Firewall » Reglas para Máquinas Virtuales

En el sistema Cloud-Bricks, cada máquina virtual puede controlar sus propias reglas de firewall, gestionar accesos y restricciones de servicios.

Crear reglas de Firewall en su máquina Virtual

• Para poder modificar las reglas de firewall de una máquina virtual, entrar a la página de la máquina deseada.
• Dar clic en el icono "Reglas de firewall".

• Se despliega la ventana de firewall.

1. Botón Aplicar. Hace efectivos todos los cambios realizados, colocando en funcionamiento las reglas configuradas.
2. Botón Aplicar y guardar como reglas default. Además de aplicar los cambios del firewall, hace que las reglas configuradas queden  guardadas como reglas por defecto para las nuevas máquinas virtuales que sean creadas posteriormente.
3. Botón Cancelar: Descarta los cambios realizados sin guardar.
4. Copia las reglas de firewall desde otra máquina virtual. Está opción es útil para replicar reglas en varias máquinas virtuales.
5. Tipo de regla.
   
• Es posible aplicar reglas de firewall para las conexiones entrantes o salientes.
  
• Regla de Entrada:  Aplica para conexiones generadas desde Internet que tengan como destino la máquina virtual que estamos editando.
• Regla de Salida: Aplica para conexiones generadas en la máquina virtual que tengan como destino direcciones públicas en Internet.
• Filtro IPS: Utiliza el sistema de prevención de intrusos SNORT para filtrar el tráfico de red de la máquina virtual utilizando sus conjuntos de reglas.
  
6. Host o red al cual se aplica la regla de firewall que se está creando. Ver Capítulo sobre Máquinas y Redes.
   
7. Servicio al cual se le restringe/permite el acceso. Ver Capítulo sobre Servicios.
8. Tipo de política que se aplica al servicio. Es posible Aceptar o Denegar la conexión al servicio elegido, desde o hacia los hosts seleccionados (según si se trata de una regla de entrada o de salida).
   
• Aceptar: Permite la comunicación del servicio seleccionado con los hosts configurados desde/hacia la máquina virtual.
• Denegar: Evita que se pueda realizar una conexión del servicio seleccionado con los hosts configurados desde/hacía la máquina virtual.
  Las conexiones no son rechazadas (REJECT) sino simplemente ignoradas (DROP), de modo que cuando se intenta realizar una conexión no se recibe un mensaje "Connection Refused" sino que el cliente es forzado a desistir por timeout.
  
9. Botón Agregar, agrega la regla al firewall a la tabla de reglas de entrada o de salida según corresponda.
   
10. Reglas de entrada configuradas hasta el momento.
    En esta lista aparecen todas las reglas que se agregaron con sentido "Regla de entrada".
11. Botón de eliminar, elimina la regla de entrada seleccionada.
12. Reglas de salida configuradas hasta el momento.
    En esta lista aparecen todas las reglas que se crearon con sentido "Regla de salida".
13. Botón de eliminar, elimina la regla de salida seleccionada.
14. Flechas de ascenso/descenso de reglas de firewall:
    
• El firewall lee las reglas en orden descendente, y se aplican en ese mismo orden.
  
• Cada conexión que pasa a través del firewall es comparada con todas las reglas (de entrada o salida según corresponda) hasta que se encuentre una regla que aplique a dicha conexión.
  
• La primera regla en orden descendente que aplique a una conexión específica será la que se aplique, las reglas debajo de ella serán ignoradas. 
  
• Si ninguna regla aplica para la conexión que está siendo evaluada entonces la conexión será denegada.
  

Filtros IPS

El sistema Cloud-Bricks integra el Sistema de Prevención de Intrusos SNORT de modo que es posible filtrar el tráfico malicioso en su red.

• Cuando usted selecciona el tipo de regla "Filtro IPS" podrá escoger entre varios tipos de filtro para escanear su tráfico de red con el objetivo de prevenir ataques hacia su máquina virtual.
• Cada filtro corresponde a uno de los conjuntos de reglas del sistema SNORT.
  
• Le recomendamos seleccionar únicamente los filtros que correspondan al sistema operativo y/o software instalados en su máquina virtual. Seleccionar muchos filtros puede degradar el desempeño de su red.
• El firewall de Cloud-Bricks detendrá cualquier conexión que intente aprovecharse de alguna de las vulnerabilidades detectadas por los filtros del IPS.
• Podrá monitorear las alertas generadas por este sistema utilizando el enlace SNORT IPS, dentro del menú Firewall en el sistema de administración web de Cloud-Bricks.