Directivas
Las directivas proporcionan la capacidad de permitir, denegar, rechazar o contar y continuar flujos de tráfico específicos. La aplicación de estas directivas de forma individual a cada sitio sería difícil a medida que crecen las redes SD-WAN. Para resolver este problema, se pueden crear grupos de filtros de firewall con una plantilla de directiva de firewall. Una plantilla de directiva de firewall se puede aplicar a todos los sitios de la red o a sitios específicos. Estas directivas se ordenan como directivas de plantilla previa al dispositivo o directivas de plantilla posterior al dispositivo. Las directivas de plantilla anterior y posterior al appliance para toda la red se configuran a nivel global. Las directivas locales se configuran en el nivel de sitio en Conexiones y se aplican únicamente a ese sitio específico.
Las directivas de plantilla previa al dispositivo se aplican antes que las directivas de sitio local. Las directivas de sitio local se aplican a continuación, seguidas de las directivas de plantilla posteriores al dispositivo. El objetivo es simplificar el proceso de configuración al permitirle aplicar directivas globales al tiempo que mantiene la flexibilidad para aplicar directivas específicas del sitio.
Filtrar orden de evaluación de directivas
-
Plantillas previas: Directivas compiladas de todas las secciones de plantilla PRE.
-
Pre-Global: Políticas compiladas de la sección Global PRE.
-
Local: Directivas de nivel de dispositivo.
-
Generación automática local: Directivas generadas automáticamente locales.
-
Post-Templates: Directivas compiladas de todas las secciones POST de plantilla.
-
Post-Global: Políticas compiladas de la sección Global POST.
Definiciones de directivas - Global y Local (sitio)
Puede configurar directivas de plantilla previa y posterior al dispositivo a nivel global. Las directivas locales se aplican en el nivel de sitio de un dispositivo.
La captura de pantalla anterior muestra la plantilla de directiva que se aplicaría a la red SD-WAN globalmente. Para aplicar una plantilla a todos los sitios de la red, vaya a Global > Configuración de red > Plantilla de directiva global y seleccione una directiva específica. En el nivel del sitio, puede agregar más plantillas de directivas, así como crear directivas específicas del sitio.
Los atributos configurables específicos de una directiva se muestran en la captura de pantalla siguiente, estos son los mismos para todas las directivas.
Atributos de directiva
-
Prioridad: Orden en el que se aplicará la directiva dentro de todas las directivas definidas. Las directivas de prioridad inferior se aplican antes que las directivas de prioridad superior.
-
Zona: Los flujos tienen una zona de origen y una zona de destino.
- Desde Zona: Zona de origen para la directiva.
- Zona To: Zona de destino para la directiva.
-
Acción: Acción que se realiza en un flujo coincidente.
-
Permitir: Permite el flujo a través del cortafuegos.
-
Drop: Denegar el flujo a través del firewall mediante la eliminación de los paquetes.
-
Rechazar: Deniega el flujo a través del firewall y envía una respuesta específica del protocolo. TCP enviará un reinicio, ICMP enviará un mensaje de error.
-
Contar y continuar: Cuente el número de paquetes y bytes para este flujo y, a continuación, continúe hacia abajo en la lista de directivas.
-
-
Intervalo de registro: Tiempo en segundos entre el registro del número de paquetes que coinciden con la directiva con el archivo de registro del firewall o con el servidor syslog, si está configurado.
-
Inicio del registro: Si se selecciona, se crea una entrada de registro para el nuevo flujo.
-
Fin de registro: Registra los datos de un flujo cuando se elimina el flujo.
-
Nota
El valor predeterminado del intervalo de registro de 0 significa que no hay registro.
-
Seguimiento: Permite que el firewall realice un seguimiento del estado de un flujo y muestre esta información en la tabla Supervisión > Firewall > Conexiones. Si no se realiza un seguimiento del flujo, el estado mostrará NOT_TRACKED. Consulte la tabla para el seguimiento de estado basado en el protocolo a continuación. Utilice la configuración definida en el nivel del sitio en Firewall > Configuración > Avanzado > Seguimiento predeterminado.
-
No Track: El estado de flujo no está habilitado.
-
Seguimiento: Muestra el estado actual del flujo (que coincide con esta directiva).
-
-
Tipo de coincidencia : seleccione uno de los siguientes tipos de coincidencia:
-
Protocolo IP: Si se selecciona este tipo de coincidencia, seleccione un protocolo IP con el que coincida el filtro. Las opciones incluyen ANY, TCP, UDP ICMP y así
-
Aplicación: Si se selecciona este tipo de coincidencia, especifique la aplicación que se utiliza como criterio de coincidencia para este filtro.
-
Familia de aplicaciones: Si se selecciona este tipo de coincidencia, seleccione una familia de aplicaciones que se utilice como criterio de coincidencia para este filtro.
-
Objeto de aplicación: si se selecciona este tipo de coincidencia, seleccione una familia de aplicaciones que se utilice como criterio de coincidencia para este filtro.
-
Para obtener más información sobre la aplicación, la familia de aplicaciones y el objeto de aplicación, consulte Clasificación de aplicaciones.
-
DSCP: Permite que el usuario coincida con una configuración de etiqueta DSCP.
-
Permitir fragmentos: Permite fragmentos IP que coincidan con esta directiva de filtro.
Nota
El firewall no vuelve a ensamblar tramas fragmentadas.
-
Invertir también : Agregue automáticamente una copia de esta directiva de filtro con la configuración de origen y destino invertida.
-
Coincidencia establecida : Coincide con los paquetes entrantes para una conexión a la que se permitieron los paquetes salientes.
-
Tipo de servicio de origen: En referencia a un servicio SD-WAN, Local (para el dispositivo), Ruta de acceso virtual, Intranet, IPHost o Internet son ejemplos de tipos de servicio.
-
Opción IPHost: Este es un nuevo tipo de servicio para el Firewall y se utiliza para paquetes generados por la aplicación SD-WAN. Por ejemplo, ejecutar un ping desde la interfaz de usuario web de la SD-WAN da como resultado un paquete procedente de una dirección IP virtual SD-WAN. La creación de una directiva para esta dirección IP requeriría que el usuario seleccionara la opción iPHost.
-
Nombre del servicio de origen: Nombre de un servicio vinculado al tipo de servicio. Por ejemplo, si se selecciona la ruta de acceso virtual para el tipo de servicio de origen, éste sería el nombre de la ruta de acceso virtual específica. Esto no siempre es necesario y depende del tipo de servicio seleccionado.
-
Dirección IP de origen: Dirección IP típica y máscara de subred que utilizará el filtro para hacer coincidir.
-
Puerto de origen: Puerto de origen que utilizará la aplicación específica.
-
Tipo de servicio de destino: En referencia a un servicio SD-WAN: Local (para el dispositivo), Ruta de acceso virtual, Intranet, IPHost o Internet son ejemplos de tipos de servicio.
-
Nombre de servicio de destino: Nombre de un servicio vinculado al tipo de servicio. Esto no siempre es necesario y depende del tipo de servicio seleccionado.
-
Dirección IP de destino: Dirección IP típica y máscara de subred que utilizará el filtro para hacer coincidir.
-
Puerto de destino: Puerto de destino que utilizará la aplicación específica (es decir, puerto de destino HTTP 80 para el protocolo TCP).
La opción de pista proporciona mucho más detalles sobre un flujo. La información de estado rastreada en las tablas de estado se incluye a continuación.
Tabla de estado para la opción de pista
Solo hay unos pocos estados que son consistentes:
-
ConexiónINIT creada, pero el paquete inicial no era válido.
-
O_DENIED- paquetes que crearon la conexión son denegados por una directiva de filtro.
-
R_DENIED- Los paquetes del respondedor son denegados por una directiva de filtro.
-
NOT_TRACKED- la conexión no se realiza un seguimiento con estado, pero se permite de otro modo.
-
CERRADA: La conexión ha agotado el tiempo de espera o ha sido cerrada de otro modo por el protocolo.
-
DELETED: La conexión está en proceso de ser eliminada. El estado DELETED casi nunca se verá.
Todos los demás estados son específicos del protocolo y requieren que se habilite el seguimiento con estado.
TCP puede informar de los siguientes estados:
-
SYN_ENENT - primer mensaje TCP SYN visto.
-
SYN_SENT2 - Mensaje SYN visto en ambas direcciones, sin SYN+ACK (también conocido como abierto simultáneo).
-
SYN_ACK_RCVD - SYN+ACK recibido.
-
ESTABLECIDO - segundo ACK recibido, la conexión está completamente establecida.
-
FIN_WAIT - primer mensaje FIN visto.
-
CLOSE_WAIT - Mensaje FIN visto en ambas direcciones.
-
TIME_WAIT - último ACK visto en ambas direcciones. La conexión está cerrada a la espera de que se vuelva a abrir.
Todos los demás protocolos IP (especialmente ICMP y UDP) tienen los siguientes estados:
-
NUEVO: Paquetes vistos en una dirección.
-
ESTABLISHED: Paquetes vistos en ambas direcciones.