Listas de control de acceso
Una lista de control de acceso (ACL) es un conjunto de condiciones que puede aplicar a un dispositivo de red para filtrar el tráfico IP y proteger su dispositivo del acceso no autorizado.
Puede configurar una ACL en la GUI de NetScaler SDX Management Service para limitar y controlar el acceso al dispositivo.
Nota:
Las ACL de los dispositivos SDX se admiten desde la versión 12.0 57.19 en adelante.
Este tema incluye las siguientes secciones:
- Directrices de uso
- Cómo configurar las ACL
- Acciones adicionales para las reglas de ACL
- Solución de problemas
Directrices de uso
Tenga en cuenta los siguientes puntos al crear ACL en su dispositivo:
- Al actualizar el dispositivo SDX a la versión 12.0 57.19, la función ACL se inhabilita de forma predeterminada.
- Los administradores de SDX solo pueden controlar los paquetes entrantes a través de ACL en el dispositivo SDX.
- Si utiliza Citrix Application Delivery Management para administrar el dispositivo SDX, debe crear reglas de ACL adecuadas para permitir la comunicación entre MAS y SDX Management Service.
- Para cualquier otra configuración en el dispositivo SDX, como el aprovisionamiento o la eliminación de VPX, la adición o eliminación de servidores externos, la administración de SNMP, etc., no se requieren cambios en la configuración de ACL existente. Management Service se encarga de la comunicación con esas entidades.
Cómo configurar una ACL
La configuración de una ACL implica los siguientes pasos:
- Habilitar la función ACL
- Crear una regla de ACL
- Habilitar la regla de ACL
Nota:
Puede crear reglas de ACL sin habilitar la función de ACL. Sin embargo, si la función no está habilitada, no puede habilitar una regla de ACL después de haberla creado.
Para habilitar la función de ACL
1. Para habilitar la función ACL, inicie sesión en la GUI de SDX Management Service y vaya a Configuración > Sistema > ACL.
2. Mediante el botón de alternancia, active la función ACL.
Para crear una regla de ACL
1. En la página ACL, haga clic en Crear regla.
2. Se abre la ventana Crear regla. Agregue los detalles que se indican en la siguiente tabla.
| Propiedad | Descripción |
|---|---|
| Nombre | Agregue un nombre. |
| Protocolo | Selecciona un protocolo en el menú. De forma predeterminada, se selecciona TCP. Puede seleccionar CUALQUIERA para permitir todos los protocolos. |
| Dirección IP de origen/subred | Especifique la dirección IP de origen o la subred de origen a la que se aplica la regla. Seleccione CUALQUIERA si la regla debe aplicarse a todo el tráfico entrante. |
| IP de destino | La dirección IP de SDX Management Service se rellena automáticamente como la IP de destino. Este campo no se puede modificar. |
| Puerto de destino | Especifique el puerto de destino al que se aplica la regla. Seleccione CUALQUIERA si la regla se aplica a todos los puertos de destino. |
| Acción | Seleccione la acción para la regla, que es Permitir o Denegar. |
| Prioridad | Asigne prioridad para especificar el orden en que se evaluará la regla. Los números de prioridad determinan el orden en que las reglas de ACL se comparan con un paquete entrante. Un número de prioridad más baja tiene una prioridad más alta. Por ejemplo, el número de prioridad 1 tiene una prioridad más alta que el número de prioridad 2. Si ninguna de las reglas coincide con el paquete entrante, el paquete se bloquea. |
3. Haga clic en Aceptar para crear la regla.
Ilustración: Ejemplo de regla de ACL
Después de crear la regla, se encuentra en estado inhabilitado. Para que la regla sea efectiva, debe habilitarla.
Nota:
Para habilitar una regla, la función de ACL debe estar habilitada. Si la función está inhabilitada e intenta habilitar una regla de ACL, aparece el mensaje “ACL no se está ejecutando”.
Para habilitar una regla de ACL
1. Pase el cursor sobre la regla que quiera habilitar y haga clic en el círculo con tres puntos.
2. En el menú, selecciona Habilitar.
3. Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Habilitar.
4. Cuando se le solicite, haga clic en Sí para confirmar.
Acciones adicionales para las reglas de ACL
Puede aplicar las siguientes acciones a las reglas de ACL:
1. Inhabilitar una regla ACL
2. Modificar una regla de ACL
3. Eliminar una regla de ACL
4. Renumerar la prioridad de las reglas de ACL
Para inhabilitar una regla ACL
1. Pase el cursor sobre la regla que quiere inhabilitar y seleccione el círculo con tres puntos.
2. Haga clic en Inhabilitar en la lista.
3. Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Inhabilitar.
4. Haga clic en Sí para confirmar.
Nota:
Cuando inhabilita una regla, la regla ya no se aplica al tráfico entrante; sin embargo, la configuración de regla permanece bajo la configuración de ACL.
Para modificar una regla de ACL
1. Pase el cursor sobre la regla que quiera modificar y seleccione el círculo con tres puntos.
2. Haga clic en Modificar regla en la lista. Se abrirá la ventana Modificar regla.
3. Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Modificar regla. Se abre la ventana Modificar regla.
4. Realice los cambios y haga clic en Aceptar.
Nota:
Puede modificar una regla en estado habilitado e inhabilitado. Si modifica una regla que ya está habilitada, las modificaciones se aplicarán inmediatamente. Para una regla en estado inhabilitado, las modificaciones se aplican al habilitar la regla.
Para eliminar una regla de ACL
1. Asegúrese de que la regla está en estado inhabilitado.
2. Pase el cursor sobre la regla que quiera eliminar y seleccione el círculo con tres puntos. Haga clic en Eliminar regla en la lista.
3. Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Eliminar regla.
4. Haga clic en Sí para confirmar.
Nota:
No se puede eliminar una regla en estado habilitado.
Para cambiar la numeración de las prioridades de las reglas de ACL
1. Pase el cursor sobre la regla para la que quiere volver a numerar las prioridades y seleccione el círculo con tres puntos. Haga clic en Renumerar prioridades en la lista.
2. Como alternativa, seleccione el botón de opción para esa regla y haga clic en la ficha Seleccionar acción.
3. Seleccione Renumerar prioridades.
4. El Servicio de administración de SDX asigna automáticamente nuevos números de prioridad, que son múltiplos de 10, a todas las reglas existentes.
5. Modifique las reglas para asignar números de prioridad según su requisito. Consulte la sección “Para modificar una regla ACL” para obtener más información sobre cómo modificar una regla.
Figura. Ejemplo de números de prioridad existentes
Figura. Un ejemplo de números de prioridad en múltiplos de 10, después de que se renumeren las prioridades, se
Solución de problemas
Si las reglas de ACL no se configuran correctamente, se puede denegar el acceso a todas las cuentas de usuario. Si pierde sin darse cuenta todo el acceso a la red a SDX Management Service debido a una configuración de ACL incorrecta, siga estos pasos para obtener acceso.
1. Inicie sesión en la dirección IP de administración de Citrix Hypervisor mediante SSH y su cuenta “root”.
2. Inicie sesión en la consola de la máquina virtual del Servicio de administración mediante los privilegios nsroot.
3. Ejecute el comando “pfctl –d”.
4. Inicie sesión en Management Service a través de GUI y vuelva a configurar la ACL en consecuencia.