Gestionando la Política de Firewall WAN

Este artículo explica cómo gestionar la base de reglas de firewall WAN, incluyendo: crear nuevas reglas, editar reglas, habilitar y deshabilitar una regla, buscar una regla y eliminar reglas.

Para obtener más información sobre la política de firewall WAN en Cato, consulte ¿Qué es el Firewall WAN de Cato?.

Resumen

El firewall WAN en la Cato Cloud controla el acceso a objetos y entidades en su WAN y le permite crear reglas para prevenir acceso no autorizado a la red. Utiliza una base de reglas ordenada, inspeccionando la conexión y verificando cada regla secuencialmente hasta que una regla coincida con la conexión.

El firewall WAN permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisiones de Políticas.

Habilitar y Deshabilitar el Cortafuegos WAN

Cuando el firewall WAN está deshabilitado, no hay control de acceso y todos los recursos WAN son accesibles para cualquier persona.

Para habilitar o deshabilitar el Cortafuegos WAN:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
A las Cortafuegos Habilitado sobre la base de reglas, haz clic en el control deslizante para habilitar (verde) o deshabilitar (gris) el cortafuegos WAN para la cuenta.
Haz clic en Guardar.

Creando Nuevas Reglas de Cortafuegos WAN

Cree una nueva regla de firewall WAN y configure los ajustes para la regla para gestionar el control de acceso para la WAN. Utilice la opción Añadir Regla Debajo para añadir fácilmente una regla en el lugar correcto en la base de reglas.

Para más sobre los elementos Fuente, Destino, Aplicación y Categoría de una regla, ver Referencia para Objetos de Regla.

Las opciones Tiempo definen el rango de tiempo en el que la regla está habilitada. Puede configurar opciones personalizadas para una regla, o elegir las horas laborales por defecto que están definidas para la cuenta.

Para crear una nueva regla para el Firewall WAN:

En el menú de navegación, haga clic en Seguridad > Firewall WAN.

La página de Firewall WAN se abre a su revisión existente no publicada, o a la última revisión publicada.
Haz clic en Nuevo. Se abre el panel Nuevo.
Ingrese el Nombre para la regla.
Habilitar o deshabilitar la regla usando el control deslizante (verde está habilitado, gris está deshabilitado).
Configure la Posición y Dirección para la nueva regla:
- Por defecto, la regla se aplica en una dirección, desde la fuente Hacia el destino. Haz clic en el menú desplegable Dirección para configurar la regla para operar en Ambas direcciones.
- Para más información sobre las opciones de orden de reglas, ver ¿Qué es el Firewall WAN de Cato?.
Expanda la sección Fuente y seleccione uno o más objetos para la fuente de tráfico de esta regla (o puede ingresar una dirección IP).
1. Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquiera). El valor predeterminado es Cualquiera.
2. Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
Expanda la sección Destino ingrese una cadena o seleccione uno o más objetos de destino para esta regla.
1. Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquiera). El valor predeterminado es Cualquiera.
2. Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
Expanda la Sección y agregue las condiciones del dispositivo a la regla. Para más información, ver Añadiendo Condiciones de Dispositivo a Reglas de Firewall. Los valores predeterminados son Cualquiera.
Expanda la sección App/Categoría y seleccione una o más aplicaciones para la regla.

Cuando hay más de un objeto de App/Categoría en una regla, hay una relación OR entre ellos. El valor por defecto es Cualquiera.
Expanda la sección Servicio/Puerto y defina el tipo o tipos (Servicio, Puerto/Protocolo, Cualquiera) que se aplican a esta regla.

Cuando hay más de un objeto de Servicios/Puertos en una regla, hay una relación OR entre ellos. El valor por defecto es Cualquiera.
Seleccione la Acción para esta regla. Las opciones son Permitir, Bloquear, Solicitar.
(Opcional) Configure las opciones de rastreo para generar Eventos y Enviar Notificación. La frecuencia comienza a contar después de que se envía la primera notificación.

Para más información sobre notificaciones, consulte el artículo relevante para Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección Alertas.
(Opcional) Configure las opciones de Tiempo que definen cuándo esta regla está habilitada.
Haz clic en Aplicar. La nueva regla se agrega a la base de reglas.
Haga clic en Guardar.

Los cambios se guardan en su revisión no publicada y están disponibles para editar hasta que se publiquen o descarten.

Agregando Excepciones al Firewall WAN

Puede utilizar excepciones en la base de reglas del firewall WAN para ignorar una regla específica y continuar con las reglas de menor prioridad. Por ejemplo, si la regla #3 permite el acceso VPN al subred de I+D, puede crear una excepción que no permita el acceso VPN para un pequeño subconjunto de usuarios SDP. Al crear una excepción para una regla de bloqueo, el tráfico debe coincidir con una regla de permitir con menor prioridad, de lo contrario, la regla de bloqueo ANY ANY final implícita bloquea el tráfico.

La excepción para una regla es un sub-conjunto de la regla, y algunos ajustes se aplican tanto a la regla como a la excepción:

Cuando deshabilitas la regla, la excepción también se deshabilita
Cuando mueves la regla y cambias la prioridad, la excepción también se mueve

Para agregar una excepción a una regla de cortafuegos:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
A la derecha de la regla, haz clic en el icono y selecciona Agregar Excepción.

Se abre el panel Agregar Excepción.
Expanda y configure los ajustes para la excepción de reglas.

La acción para la regla principal no se aplica a la excepción de reglas.
Haz clic en Aplicar. La excepción se agrega debajo de la regla.
Haz clic en Guardar. La excepción se guarda en tu revisión no publicada y está disponible para editar hasta que se publique o descarte.

Para eliminar una excepción de una regla de cortafuegos:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
Desde la columna derecha de la regla, haz clic en el icono y en la ventana emergente selecciona Eliminar Excepción.

La excepción se elimina de la regla.
Haz clic en Guardar. La excepción es eliminada de tu revisión no publicada, y puedes publicar la revisión para eliminar la excepción de la política de la cuenta.

Trabajando con Reglas de Cortafuegos WAN

Utilice la búsqueda de reglas de Firewall WAN para encontrar las reglas con las que desea trabajar. La función de búsqueda encuentra y muestra reglas que incluyen los términos de búsqueda en cualquiera de los siguientes campos:

Nombre
Fuente
Dispositivo
Destino
App/Categoría
Servicio/Puerto

Si una regla es parte de una sección, los resultados muestran la regla dentro de la sección.

Editando Reglas WAN y la Base de Reglas

Puede editar reglas y cambiar el orden de las reglas en la base de reglas del firewall.

Para editar una regla:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
Haz clic en la regla. Se abre el panel Editar.
Expande cualquiera de las secciones en el panel para mostrar y editar la configuración actual de la regla.
Haz clic en Aplicar para cambiar la configuración de la regla. El panel Editar se cierra.
Haga clic en Guardar para guardar los cambios.

Los cambios se guardan en su revisión no publicada y están disponibles para editar hasta que se publiquen o descarten.

Cambiando el Orden de una Regla

El orden de las reglas se define estableciendo la posición de una regla en relación con otras reglas. Por ejemplo, establecer una regla para seguir una regla específica, o ser la primera en una sección.

Estas son las opciones para definir el orden de las reglas:

Antes de la Regla - La regla se posiciona justo antes de la regla seleccionada.
Después de la Regla - La regla se posiciona justo después de la regla seleccionada.
Primero en la Sección - La regla se posiciona primero en la sección seleccionada.
Último en la Sección - La regla se posiciona última en la sección seleccionada.
Primero - La regla se posiciona en la parte superior de la base de reglas.
Último - La regla se posiciona en la parte inferior de la base de reglas.

Para cambiar el orden de las reglas:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
Pasa el cursor sobre el extremo izquierdo de la regla, y se muestra este icono: .
Haz clic en el icono y arrastra la regla hacia arriba o hacia abajo en la base de reglas.
Haz clic en Guardar.

Habilitar y Deshabilitar una Regla WAN

Para habilitar o deshabilitar una regla:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
A la derecha de la regla, haz clic en el icono y desde el menú emergente selecciona Habilitar o Deshabilitar.
Haz clic en Guardar. La regla está habilitada o deshabilitada.

Eliminando Reglas WAN

Puede eliminar una o más reglas de la base de reglas del firewall. Después de eliminar las reglas, no puede deshacerlas o restaurarlas.

Para eliminar reglas de la base de reglas de cortafuegos:

Desde el menú de navegación, haz clic en Seguridad > Cortafuegos WAN.
Haz clic en el icono y desde la ventana emergente selecciona Eliminar Regla.
En la ventana de confirmación, haz clic en Eliminar Regla. La regla se elimina.
Haz clic en Guardar. La regla está eliminada.