Seguridad

Puede configurar las opciones de seguridad, como el cifrado de red, el firewall y los certificados aplicables a todos los dispositivos de la red.

Criptografía

El modo de cifrado de red define el algoritmo utilizado para todas las rutas cifradas en la red SD-WAN. No es aplicable a rutas no cifradas. Puede establecer el cifrado como AES-128 o AES-256.

Modo de cifrado de red

Zonas de firewall

Puede configurar zonas en la red y definir directivas para controlar la forma en que el tráfico entra y sale de las zonas. Las siguientes zonas están disponibles de forma predeterminada:

  • Default_LAN_Zone: Se aplica al tráfico hacia o desde un objeto con una zona configurable, donde la zona no se ha establecido.
  • Internet_Zone: Se aplica al tráfico hacia o desde un servicio de Internet mediante una interfaz de confianza.
  • Untrusted_Internet_Zone: Se aplica al tráfico hacia o desde un servicio de Internet mediante una interfaz que no es de confianza.

Zonas de firewall

También puede crear sus propias zonas y asignarlas a los siguientes tipos de objetos:

  • Interfaces de red virtual
  • Servicios de Intranet
  • Túneles GRE
  • Túneles IPSec de LAN

Valores predeterminados del firewall

Puede configurar la configuración global del firewall que se puede aplicar a todos los dispositivos de la red SD-WAN. La configuración también se puede definir en el nivel del sitio, lo que anula la configuración global.

Valores predeterminados del firewall

  • Acción predeterminada del firewall: seleccione una acción (permitir/soltar) de la lista para los paquetes que no coincidan con una directiva.

  • Seguimiento del estado de conexión predeterminado: habilita el seguimiento direccional del estado de conexión para flujos TCP, UDP e ICMP que no coinciden con una directiva de filtro o regla NAT.

    Nota

    Los flujos asimétricos se bloquean cuando el Rastreo de estado de conexión predeterminado está habilitado incluso cuando no hay directivas de firewall definidas. Si existe la posibilidad de flujos asimétricos en un sitio, la recomendación es habilitarlo a nivel de sitio o directiva y no globalmente.

  • Tiempo de espera denegado (s): Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar las conexiones denegadas.

  • Tiempo de espera inicial de TCP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión TCP incompleta.

  • Tiempo de espera por inactividad de TCP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión TCP activa.

  • Tiempo de espera de cierre de TCP (s): Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar una sesión TCP después de una solicitud de finalización.

  • Tiempos de espera de TCP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión TCP terminada.

  • Tiempo de espera de cierre de TCP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión TCP abortada.

  • Tiempo de espera inicial de UDP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar la sesión UDP que no ha visto tráfico en ambas direcciones.

  • Tiempo de espera de inactividad de UDP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión UDP activa.

  • Tiempo de espera inicial de ICMP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión ICMP que no ha visto tráfico en ambas direcciones

  • Tiempo de espera por inactividad de ICMP (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión ICMP activa.

  • Tiempo de espera inicial genérico (s): Tiempo (en segundos) para esperar paquetes nuevos antes de cerrar una sesión genérica que no ha visto tráfico en ambas direcciones.

  • Tiempo de espera por inactividad genérico (s): Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar una sesión genérica activa.

Directivas de firewall

Las directivas de firewall proporcionan seguridad al garantizar que el tráfico de red se restringe únicamente a una directiva específica en función de los criterios de coincidencia y mediante la aplicación de acciones específicas.

Puede definir reglas de firewall y colocarlo en función de la prioridad. Puede elegir el orden de prioridad para comenzar desde la parte superior de la lista, la parte inferior de la lista o desde una fila específica.

Se recomienda tener reglas más específicas para aplicaciones o subaplicaciones en la parte superior, seguidas de reglas menos específicas para las que representan tráfico más amplio.

Valores predeterminados del firewall

Para crear una regla de firewall, haga clic en Crear nueva regla.

Detalles de la directiva del firewall

  • Los criterios de coincidencia definen el tráfico de la regla como, por ejemplo, una aplicación, una aplicación definida personalizada, un grupo de aplicaciones, una familia de aplicaciones o un protocolo IP basado.

  • Información de red:

    • Zona de origen: La zona de firewall de origen.

    • Zona de destino: la zona de firewall de destino.

    • Tipo de serviciode origen: El tipo de servicio SD-WAN de origen: Local, Ruta de acceso virtual, Intranet, IPHost o Internet son ejemplos de tipos de servicio.

    • Nombre de Servicio de Origen: Nombre de un servicio vinculado al tipo de servicio. Por ejemplo, si se selecciona la ruta de acceso virtual para el tipo de servicio de origen, sería el nombre de la ruta de acceso virtual específica. Esto no siempre es necesario y depende del tipo de servicio seleccionado.

    • IP de origen: la dirección IP y la máscara de subred que utiliza la regla para hacer coincidir.

    • Puerto de origen: puerto de origen que utiliza la aplicación específica.

    • Tipo de serviciode destino: El tipo de servicio SD-WAN de destino: Local, Ruta de acceso virtual, Intranet, IPHost o Internet son ejemplos de tipos de servicio.

    • Nombre de servicio de destino: Nombre de un servicio vinculado al tipo de servicio. Esto no siempre es necesario y depende del tipo de servicio seleccionado.

    • Dirección IP: La dirección IP y la máscara de subred que utiliza el filtro para hacer coincidir.

    • Puerto de destino: Puerto de destino que utiliza la aplicación específica (es decir, puerto de destino HTTP 80 para el protocolo TCP).

    • Protocolo IP: Si se selecciona este tipo de coincidencia, seleccione un protocolo IP con el que coincida la regla. Las opciones incluyen CUALQUIERA, TCP, UDP ICMP, etc.

    • DSCP: permite que el usuario coincida con una configuración de etiqueta DSCP.

    • Permitir fragmentos: Permitir fragmentos IP que coincidan con esta regla.

    • Invertir también: Agregue automáticamente una copia de esta directiva de filtro con la configuración de origen y destino invertida.

    • Coincidencia establecida: Coincide los paquetes entrantes para una conexión a la que se permitieron los paquetes salientes.

  • El ámbito de regla especifica si una regla definida se puede aplicar globalmente en todos los sitios de la red o en determinados sitios específicos.

  • Las siguientes acciones se pueden realizar en un flujo coincidente:

    • Permitir: Permite el flujo a través del firewall.

    • Soltar: Denegar el flujo a través del firewall mediante la eliminación de los paquetes.

    • Rechazar: Denegar el flujo a través del firewall y enviar una respuesta específica del protocolo. TCP envía un reinicio, ICMP envía un mensaje de error.

    • Contar y continuar: cuente el número de paquetes y bytes para este flujo y, a continuación, continúe hacia abajo en la lista de directivas.

Además de definir la acción que se va a realizar, también puede seleccionar los registros que se van a capturar.

Certificados

Existen dos tipos de certificados: de identidad y de confianza. Los certificados de identidad se utilizan para firmar o cifrar datos para validar el contenido de un mensaje y la identidad del remitente. Los certificados de confianza se utilizan para verificar las firmas de mensajes. Los dispositivos Citrix SD-WAN aceptan certificados de identidad y de confianza. Los administradores pueden administrar certificados en el Editor de configuración.

Agregar certificado

Para agregar un certificado, haga clic en Agregar certificado.

  • Certificadosde identidad: los certificados de identidad requieren que la clave privada del certificado esté disponible para el firmante. Certificados de identidad o sus cadenas de certificados en las que confía un par para validar el contenido y la identidad del remitente. Los certificados de identidad configurados y sus respectivas huellas dactilares se muestran en el Editor de configuración.

  • Certificados de confianza: Los certificados de confianza son certificados de entidad emisora de certificados intermedia (CA) o raíz autofirmados que se utilizan para validar la identidad de un par. No se requiere ninguna clave privada para un certificado de confianza. Los certificados de confianza configurados y sus respectivas huellas dactilares se enumeran aquí.

Certificado