De acuerdo

Configuración de las funciones de firewall en ruteadores Huawei

Última respuesta febr. 14, 2021 10:45:27 248 2 1 0 0

Como sabemos, un firewall permite separar una red interna de las redes externas, evitando el acceso a la primera desde las segundas, a menos que mediante una configuración se permita. En ese sentido, su funcionamiento principal difiere del de un ruteador, que, si bien también separa unas redes de otras, permite la interconexión entre todas, a menos que por configuración se impida.


Los firewalls evitan que las redes externas pongan en peligro a las redes internas, pues, al controlar el acceso de los usuarios internos a las redes externas, protegen dispositivos y recursos clave de las redes internas: al definir diferentes zonas de seguridad (una interfaz o un grupo de interfaces con los mismos atributos de seguridad), cada una de ellas caracterizada por su prioridad de seguridad, y definir además reglas para la interconexión entre ellas, cuando un usuario en la zona de alta prioridad se conecta a la zona de baja prioridad, el firewall registra la conexión en una tabla, denominada tabla de sesiones. Se permite el paso de los paquetes de respuesta únicamente de las sesiones registradas en tablas. Por default, un usuario en la zona de baja prioridad no puede conectarse a la zona de alta prioridad


Dado que los ruteadores de acceso Huawei pueden reconocer diferentes zonas de seguridad y establecer conexiones interzonales, es posible afirmar que pueden actuar como firewalls, sin requerir una licencia extra para la funcionalidad, exigiendo únicamente la configuración por parte del administrador del dispositivo.


Para habilitar las funciones de firewall en un ruteador basta con definir zonas y mapear las diferentes interfaces con las zonas creadas; definir una regla interzonal y habilitar el firewall en la interzona. Pueden también definirse una serie de atributos opcionales, como los relacionados con el comportamiento de las tablas de sesiones.


Tomemos como ejemplo de configuración básica el siguiente diagrama.


1


En el Gateway, la interfaz Ethernet 1/0/0 se conecta a una red interna, segura, mientras que la interfaz G0/0/0 permite alcanzar una red externa, no segura. El ruteador debe ser configurado para filtrar los paquetes que se envíen entre la red segura y la no segura: se debe permitir que el host 20.20.20.20/24 de la red eterna alcance los servidores de la red segura y prohibir el acceso de cualquier otro usuario a los mismos.


Para lograrlo, deben de realizarse 5 pasos en la configuración:


1.    Configurar las diferentes zonas y la comunicación interzonal en el Gateway:

2.    Agregar interfaces físicas a cada una de las zonas;

3.    Configurar una lista de acceso que limite los accesos de los usuarios;

4.    Configurar el filtrado de paquetes usando la lista de acceso del punto previo en la comunicación interzonal.

5.    Verificar la configuración.


Paso 1 – Creación de zonas y de la comunicación interzonal.

<Gateway> system-view

[Gateway] firewall zone trust

[Gateway -zone-trust] priority 14 /la máxima prioridad posible

[Gateway -zone-trust] quit

[Gateway] firewall zone untrust

[Gateway -zone-untrust] priority 1 /la prioridad mínima es 0

[Gateway -zone-untrust] quit

[Gateway] firewall interzone trust untrust

[Gateway -interzone-trust-untrust] firewall enable

[Gateway -interzone-trust-untrust] quit


Paso 2 – Agregar interfaces físicas a cada una de las zonas.

[Gateway] vlan 100

[Gateway -vlan100] quit

[Gateway] interface vlanif 100

[Gateway -Vlanif100] ip address 10.10.10.254 24

[Gateway -Vlanif100] quit

[Gateway] interface Ethernet 1/0/0

[Gateway -Ethernet2/0/0] port link-type access

[Gateway -Ethernet2/0/0] port default vlan 100

[Gateway -Ethernet2/0/0] quit

[Gateway] interface vlanif 100

[Gateway -Vlanif100] zone trust

[Gateway -Vlanif100] quit

[Gateway] interface GigabitEthernet 0/0/0

[Gateway –GigabitEthernet0/0/0] ip address 20.20.20.254 24

[Gateway –GigabitEthernet0/0/0] zone untrust

[Gateway –GigabitEthernet0/0/0] quit


Paso 3 – Configurar una lista de acceso que limite los accesos de los usuarios.

[Gateway] acl 3002

[Gateway -acl-adv-3002] rule 5 permit tcp source 20.20.20.20 0.0.0.0 destination 10.10.10.1 0.0.0.0

[Gateway -acl-adv-3002] rule 10 permit tcp source 20.20.20.20 0.0.0.0 destination 10.10.10.2 0.0.0.0

[Gateway -acl-adv-3002] rule 15 deny ip

[Gateway -acl-adv-3002] quit


Paso 4. Configurar el filtrado de paquetes.

[Gateway] firewall interzone trust untrust

[Gateway -interzone-trust-untrust] packet-filter 3002 inbound

[Gateway -interzone-trust-untrust] quit


Paso 5. Verificación de la configuración

[Gateway] display firewall interzone trust untrust

interzone trust untrust

 firewall enable       

 packet-filter default deny inbound             

 packet-filter default permit outbound                    

 packet-filter 3002 inbound   



También te puede interesar:

Cursos MOOC en línea para certificaciones Huawei Enterprise gratis

Certificaciones Huawei - Lista de examenes y material de estudio

Bolsa de trabajo

Certicaciones de ventas Huawei HCSA 2020

 

Encuentra más contenido de certificaciones e información para partners en:

Foro de Certificaciones de Huawei

Foro de Recursos para Partners y Canales de Huawei

 

¿Eres nuevo en la Comunidad? Visita las siguientes publicaciones donde encontrarás información que te ayudará a mejorar tu experiencia en la Comunidad Huawei Enterprise. 

Infografía: ¿Cómo crear una publicación excelente en la Comunidad Huawei Enterprise?

Infografía: Beneficios de la Comunidad Huawei Enterprise

Infografía: Diferencia entre Compartiendo y Solicitar asistencia


¿Sabías que la Comunidad Huawei Enterprise es una de las cuatro herramientas de auto soporte que ofrece Huawei Enterprise?, conoce más de estas herramientas y de otras opciones de soporte en:

Infografía: Herramientas de soporte Huawei Enterprise

Solicitud de soporte técnico Huawei Enterprise

 

En la Comunidad realizamos continuamente webinars donde expertos comparten su conocimiento con los miembros de la Comunidad, conoce más de ellos en:

Colección de Webinars de la Comunidad Huawei Enterprise

Infografía: Webinars de la Comunidad



  • x
  • convención:

EicheS
Publicado 2021-2-14 10:45:27
Gracias por la info
Ver más
  • x
  • convención:

cardelher
cardelher Publicado 2021-2-15 17:30 (0) (0)
A la orden! Espero sea de utilidad.  

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.