Definir Reglas de Acceso para una Política
En cada política, usted configura las reglas de acceso que determinan si la política permite o niega las conexiones, y definen el origen y el destino de las conexiones a las que se aplica la política.
Para configurar las reglas de acceso para una política, en Policy Manager, seleccione la pestaña Política del cuadro de diálogo Editar Propiedades de Política.
Especificar la Disposición
La disposición especifica qué acción toma la política para las conexiones que coinciden con las reglas en la política. La lista desplegable Conexiones incluye las acciones que especifican si la política permite o niega las conexiones que coinciden con las reglas en la política. Para configurar la disposición, seleccione uno de estos ajustes:
Permitido
El Firebox permite el tráfico que usa esta política si éste coincide con las reglas establecidas en la política. El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de red coincide con la política.
Denegado
El Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificación al dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión con esta política.
Para más información, consulte Bloquear Sitios Temporalmente con la Configuración de Políticas.
Negado (enviar restablecer)
El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puede configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión con esta política.
Para más información, consulte Bloquear Sitios Temporalmente con la Configuración de Políticas.
Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de red que la sesión se negó y la conexión se cerró. El usuario puede configurar una política para informar otros errores en cambio, lo cual indica al dispositivo que el puerto, el protocolo, la red o el host no pueden alcanzarse. Para asegurarse de que la red funciona correctamente con otras redes, le recomendamos utilizar estas opciones con precaución.
Selección de conexiones en Policy Manager
Selección de conexiones en Fireware Web UI
Especificar el Origen y el Destino
En cada política, debe especificar el origen y el destino de las conexiones a las que se aplica la política. Una conexión debe coincidir tanto con el origen como con el destino que se especifican en la política para que ésta se aplique a ese tráfico.
En cada política, usted configura lo siguiente:
- Una lista Desde (u origen) que especifica el origen de las conexiones a las que se aplica esta política.
- Una lista A (o destino) que especifica el destino de las conexiones a las que se aplica esta política.
Por ejemplo, puede configurar una política de filtrado de paquetes ping para permitir las conexiones de ping desde todos los equipos en la red externa a un servidor web en su red opcional. Sin embargo, cuando se abre la red de destino a conexiones a través de los puertos que la política controla, la red puede volverse vulnerable. Para evitar vulnerabilidades, asegúrese de configurar las políticas con cuidado.
Los miembros de las listas de origen y destino pueden ser una dirección IP de host IPv4 o IPv6, un rango de host IP o una dirección de red, un nombre de host, un nombre de usuario, un alias, un túnel VPN, FQDN (incluye dominios comodín) o cualquier combinación de esos objetos.
IPv6 es compatible con las políticas de proxy y los servicios de suscripción en Fireware v11.12 y superior. IPv6 no es compatible con las políticas SIP-ALG y H323-ALG.
Para obtener más información acerca de cómo usar el FQDN en las políticas, consulte Acerca de las Políticas por Nombre de Dominio (FQDN).
- En la pestaña Configuración, debajo de la lista Desde o A, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Miembro.
La lista de miembros contiene los miembros que puede agregar a las listas Desde o A. Un miembro puede ser un alias, usuario, grupo, dirección IP, rango de direcciones IP o FQDN (incluidos dominios comodín).
- En la lista desplegable Tipo de Miembro, seleccione el tipo de miembro que desea agregar.
La lista de miembros se actualiza para mostrar solamente los miembros del tipo que seleccionó. - De la lista de miembros, seleccione un miembro.
- Haga clic en Aceptar.
El miembro aparece en la lista de miembros en la pestaña Configuraciones. - Para agregar a otros miembros a la lista Desde o A, repita los pasos anteriores.
- Haga clic en Guardar.
- Junto a la lista de miembros Desde o A, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Dirección.
La lista de Miembros Disponibles contiene los miembros que puede agregar a las listas Desde o A. Un miembro puede ser un alias, usuario, grupo, dirección IP, rango de direcciones IP o FQDN (incluidos dominios comodín).
Para agregar hosts, usuarios, alias o túneles a la política que no aparecen en la lista Miembros Disponibles, siga los pasos en el tema Agregar Nuevos Miembros a Una Política.
- En la lista Miembros Disponibles, seleccione un miembro y haga clic en Agregar, o haga doble clic en un miembro en la lista.
El miembro que seleccionó aparece en la lista Miembros y Direcciones Seleccionadas. - Haga clic en Aceptar.
El miembro que seleccionó aparece en la lista Desde o Hasta. - Para agregar a otros miembros a la lista Desde o A, repita los pasos anteriores.
- Haga clic en Aceptar.
Para obtener más información sobre los alias que aparecen en las listas Desde y A, consulte Acerca de los Alias.
Para obtener más información acerca de cómo crear un alias nuevo o editar un alias definido por el usuario, consulte Crear un Alias.