Definir Reglas de Acceso para una Política

En cada política, usted configura las reglas de acceso que determinan si la política permite o niega las conexiones, y definen el origen y el destino de las conexiones a las que se aplica la política.

Para configurar las reglas de acceso para una política, en Fireware Web UI, seleccione la pestaña Configuración.

Para configurar las reglas de acceso para una política, en Policy Manager, seleccione la pestaña Política del cuadro de diálogo Editar Propiedades de Política.

Especificar la Disposición

La disposición especifica qué acción toma la política para las conexiones que coinciden con las reglas en la política. La lista desplegable Conexiones incluye las acciones que especifican si la política permite o niega las conexiones que coinciden con las reglas en la política. Para configurar la disposición, seleccione uno de estos ajustes:

Permitido

El Firebox permite el tráfico que usa esta política si éste coincide con las reglas establecidas en la política. El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de red coincide con la política.

Denegado

El Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificación al dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión con esta política.

Para más información, consulte Bloquear Sitios Temporalmente con la Configuración de Políticas.

Negado (enviar restablecer)

El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puede configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión con esta política.

Para más información, consulte Bloquear Sitios Temporalmente con la Configuración de Políticas.

Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de red que la sesión se negó y la conexión se cerró. El usuario puede configurar una política para informar otros errores en cambio, lo cual indica al dispositivo que el puerto, el protocolo, la red o el host no pueden alcanzarse. Para asegurarse de que la red funciona correctamente con otras redes, le recomendamos utilizar estas opciones con precaución.

Lista desplegable Acción de política y lista desplegable Negar respuesta

Selección de conexiones en Policy Manager

Lista desplegable Acción de política y lista desplegable Negar respuesta

Selección de conexiones en Fireware Web UI

Especificar el Origen y el Destino

En cada política, debe especificar el origen y el destino de las conexiones a las que se aplica la política. Una conexión debe coincidir tanto con el origen como con el destino que se especifican en la política para que ésta se aplique a ese tráfico.

En cada política, usted configura lo siguiente:

  • Una lista Desde (u origen) que especifica el origen de las conexiones a las que se aplica esta política.
  • Una lista A (o destino) que especifica el destino de las conexiones a las que se aplica esta política.

Por ejemplo, puede configurar una política de filtrado de paquetes ping para permitir las conexiones de ping desde todos los equipos en la red externa a un servidor web en su red opcional. Sin embargo, cuando se abre la red de destino a conexiones a través de los puertos que la política controla, la red puede volverse vulnerable. Para evitar vulnerabilidades, asegúrese de configurar las políticas con cuidado.

Los miembros de las listas de origen y destino pueden ser una dirección IP de host IPv4 o IPv6, un rango de host IP o una dirección de red, un nombre de host, un nombre de usuario, un alias, un túnel VPN, FQDN (incluye dominios comodín) o cualquier combinación de esos objetos.

IPv6 es compatible con las políticas de proxy y los servicios de suscripción en Fireware v11.12 y superior. IPv6 no es compatible con las políticas SIP-ALG y H323-ALG.

Para obtener más información acerca de cómo usar el FQDN en las políticas, consulte Acerca de las Políticas por Nombre de Dominio (FQDN).

Para obtener más información sobre los alias que aparecen en las listas Desde y A, consulte Acerca de los Alias.

Para obtener más información acerca de cómo crear un alias nuevo o editar un alias definido por el usuario, consulte Crear un Alias.

Ver También

Acerca de las Propiedades de las Políticas

Configurar NAT Estática (SNAT)