Como sabemos, un firewall permite separar una red interna de las redes externas, evitando el acceso a la primera desde las segundas, a menos que mediante una configuración se permita. En ese sentido, su funcionamiento principal difiere del de un ruteador, que, si bien también separa unas redes de otras, permite la interconexión entre todas, a menos que por configuración se impida.
Los firewalls evitan que las redes externas pongan en peligro a las redes internas, pues, al controlar el acceso de los usuarios internos a las redes externas, protegen dispositivos y recursos clave de las redes internas: al definir diferentes zonas de seguridad (una interfaz o un grupo de interfaces con los mismos atributos de seguridad), cada una de ellas caracterizada por su prioridad de seguridad, y definir además reglas para la interconexión entre ellas, cuando un usuario en la zona de alta prioridad se conecta a la zona de baja prioridad, el firewall registra la conexión en una tabla, denominada tabla de sesiones. Se permite el paso de los paquetes de respuesta únicamente de las sesiones registradas en tablas. Por default, un usuario en la zona de baja prioridad no puede conectarse a la zona de alta prioridad
Dado que los ruteadores de acceso Huawei pueden reconocer diferentes zonas de seguridad y establecer conexiones interzonales, es posible afirmar que pueden actuar como firewalls, sin requerir una licencia extra para la funcionalidad, exigiendo únicamente la configuración por parte del administrador del dispositivo.
Para habilitar las funciones de firewall en un ruteador basta con definir zonas y mapear las diferentes interfaces con las zonas creadas; definir una regla interzonal y habilitar el firewall en la interzona. Pueden también definirse una serie de atributos opcionales, como los relacionados con el comportamiento de las tablas de sesiones.
Tomemos como ejemplo de configuración básica el siguiente diagrama.
En el Gateway, la interfaz Ethernet 1/0/0 se conecta a una red interna, segura, mientras que la interfaz G0/0/0 permite alcanzar una red externa, no segura. El ruteador debe ser configurado para filtrar los paquetes que se envíen entre la red segura y la no segura: se debe permitir que el host 20.20.20.20/24 de la red eterna alcance los servidores de la red segura y prohibir el acceso de cualquier otro usuario a los mismos.
Para lograrlo, deben de realizarse 5 pasos en la configuración:
1. Configurar las diferentes zonas y la comunicación interzonal en el Gateway:
2. Agregar interfaces físicas a cada una de las zonas;
3. Configurar una lista de acceso que limite los accesos de los usuarios;
4. Configurar el filtrado de paquetes usando la lista de acceso del punto previo en la comunicación interzonal.
5. Verificar la configuración.
Paso 1 – Creación de zonas y de la comunicación interzonal.
<Gateway> system-view
[Gateway] firewall zone trust
[Gateway -zone-trust] priority 14 /la máxima prioridad posible
[Gateway -zone-trust] quit
[Gateway] firewall zone untrust
[Gateway -zone-untrust] priority 1 /la prioridad mínima es 0
[Gateway -zone-untrust] quit
[Gateway] firewall interzone trust untrust
[Gateway -interzone-trust-untrust] firewall enable
[Gateway -interzone-trust-untrust] quit
Paso 2 – Agregar interfaces físicas a cada una de las zonas.
[Gateway] vlan 100
[Gateway -vlan100] quit
[Gateway] interface vlanif 100
[Gateway -Vlanif100] ip address 10.10.10.254 24
[Gateway -Vlanif100] quit
[Gateway] interface Ethernet 1/0/0
[Gateway -Ethernet2/0/0] port link-type access
[Gateway -Ethernet2/0/0] port default vlan 100
[Gateway -Ethernet2/0/0] quit
[Gateway] interface vlanif 100
[Gateway -Vlanif100] zone trust
[Gateway -Vlanif100] quit
[Gateway] interface GigabitEthernet 0/0/0
[Gateway –GigabitEthernet0/0/0] ip address 20.20.20.254 24
[Gateway –GigabitEthernet0/0/0] zone untrust
[Gateway –GigabitEthernet0/0/0] quit
Paso 3 – Configurar una lista de acceso que limite los accesos de los usuarios.
[Gateway] acl 3002
[Gateway -acl-adv-3002] rule 5 permit tcp source 20.20.20.20 0.0.0.0 destination 10.10.10.1 0.0.0.0
[Gateway -acl-adv-3002] rule 10 permit tcp source 20.20.20.20 0.0.0.0 destination 10.10.10.2 0.0.0.0
[Gateway -acl-adv-3002] rule 15 deny ip
[Gateway -acl-adv-3002] quit
Paso 4. Configurar el filtrado de paquetes.
[Gateway] firewall interzone trust untrust
[Gateway -interzone-trust-untrust] packet-filter 3002 inbound
[Gateway -interzone-trust-untrust] quit
Paso 5. Verificación de la configuración
[Gateway] display firewall interzone trust untrust
interzone trust untrust
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3002 inbound
También te puede interesar:
Cursos MOOC en línea para certificaciones Huawei Enterprise gratis
Certificaciones Huawei - Lista de examenes y material de estudio
Certicaciones de ventas Huawei HCSA 2020
Encuentra más contenido de certificaciones e información para partners en:
Foro de Certificaciones de Huawei
Foro de Recursos para Partners y Canales de Huawei
¿Eres nuevo en la Comunidad? Visita las siguientes publicaciones donde encontrarás información que te ayudará a mejorar tu experiencia en la Comunidad Huawei Enterprise.
Infografía: ¿Cómo crear una publicación excelente en la Comunidad Huawei Enterprise?
Infografía: Beneficios de la Comunidad Huawei Enterprise
Infografía: Diferencia entre Compartiendo y Solicitar asistencia
¿Sabías que la Comunidad Huawei Enterprise es una de las cuatro herramientas de auto soporte que ofrece Huawei Enterprise?, conoce más de estas herramientas y de otras opciones de soporte en:
Infografía: Herramientas de soporte Huawei Enterprise
Solicitud de soporte técnico Huawei Enterprise
En la Comunidad realizamos continuamente webinars donde expertos comparten su conocimiento con los miembros de la Comunidad, conoce más de ellos en:
Colección de Webinars de la Comunidad Huawei Enterprise
Infografía: Webinars de la Comunidad