Acerca de las cookies de este sitio Nuestros sitios web necesitan algunas cookies para funcionar correctamente (necesarias). Además, se pueden utilizar otras cookies con su consentimiento para analizar el uso del sitio, para mejorar la experiencia del usuario y para publicidad. Para obtener más información, consulte sus opciones de. Al visitar nuestro sitio web, acepta que procesemos la información tal y como se describe en ladeclaración de privacidad de IBM. Para facilitar la navegación, sus preferencias de cookies se compartirán entre los dominios web de IBM que se muestran aquí.
Cómo trabajar con cortafuegos
IBM Cloud® Juniper vSRX utiliza el concepto de zonas de seguridad, donde cada interfaz vSRX está correlacionada con una "zona" para gestionar los cortafuegos con estado. Los cortafuegos sin estado se controlan mediante filtros de cortafuegos.
Las políticas se utilizan para permitir y bloquear el tráfico entre estas zonas definidas, y las reglas que se definen aquí son de estado.
En IBM Cloud, un vSRX está diseñado para que tenga cuatro zonas de seguridad diferentes:
| Zona | Interfaz autónoma | Interfaz HA |
|---|---|---|
| SL-Private (sin etiquetar) | ge-0/0/0.0 o ae0.0 | reth0.0 |
| SL-Public (sin etiquetar ) | ge-0/0/1.0 o ae1.0 | reth1.0 |
| Customer-Private (etiquetada) | ge-0/0/0.1 o ae0.1 | reth2.1 |
| Customer-Public (etiquetada) | ge-0/0/1.1 o ae1.1 | reth3.1 |
Políticas de zona
Para configurar un cortafuegos con estado, siga estos pasos:
-
Cree zonas de seguridad y asigne las interfaces respectivas:
Escenario autónomo:
set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.1 set security zones security-zone CUSTOMER-PUBLIC interfaces ge-0/0/1.1Escenario de alta disponibilidad:
set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.1 set security zones security-zone CUSTOMER-PUBLIC interfaces reth2.1 -
Defina la política y las reglas entre dos zonas distintas.
En el ejemplo siguiente se muestra cómo ejecutar ping sobre el tráfico desde la zona
Customer-PrivateaCustomer-Public:set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP match source-address any destination-address any application junos-icmp set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP then permit
Estos son algunos de los atributos que pueden definirse en sus políticas:
- Direcciones de origen
- Direcciones de destino
- Aplicaciones
- Acción (permit/deny/reject/count/log)
Dado que se trata de una operación con estado, no es necesario permitir paquetes de retorno (en este caso, las respuestas de eco).
Utilice los siguientes mandatos para permitir el tráfico dirigido a vSRX:
Caso autónomo:
set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.0 host-inbound-traffic system-services all
Caso de alta disponibilidad:
set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.0 host-inbound-traffic system-services all
Para permitir protocolos, como por ejemplo OSPF o BGP, utilice el mandato siguiente:
Caso autónomo:
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all
Caso de alta disponibilidad:
set security zones security-zone trust interfaces reth2.0 host-inbound-traffic protocols all
Filtros de cortafuegos
De forma predeterminada, IBM Cloud® Juniper vSRX permite ping, SSH y HTTPS a sí mismo y descarta el resto del tráfico mediante la aplicación del filtro PROTECT-IN a la interfaz lo.
Para configurar un nuevo cortafuegos sin estado, siga estos pasos:
-
Cree el filtro y el término del cortafuegos (el filtro siguiente sólo permite ICMP y descarta todo el tráfico restante):
set firewall filter ALLOW-PING term ICMP from protocol icmp set firewall filter ALLOW-PING term ICMP then accept -
Aplique la regla de filtro a la interfaz (el siguiente mandato aplica el filtro a todo el tráfico de red privada):
set interfaces ge-0/0/0 unit 0 family inet filter input ALLOW-PING