Configuración del Filtro de Paquetes

La configuración de la porción de filtro de paquetes del cortafuegos de WinRoute Pro es muy sencilla. No obstante, es necesario entender cabalmente la lógica en la que se basa la funcionalidad de filtro de paquete que se aplica en WinRoute.

Reglas establecidas para la interfaz

Los usuarios pueden definir reglas de seguridad individuales para las diferentes interfaces de computador de sus ordenadores. Esta es una facilidad muy importante cuando se administran redes de segmentos múltiples.

Ejemplo: en la siguiente figura se muestra el ejemplo de una red que:

permite cualquier acceso desde Internet al servidor web ubicado dentro de la red

sólo permite que algunos miembros del grupo de direcciones predefinido, denominado Travellers, accedan al servidor PPTP ubicado dentro de la red, para acceder así a la red

fw2

Reglas diferentes para los paquetes salientes y los paquetes entrantes

WinRoute aplica reglas específicas a los paquetes salientes y a los paquetes entrantes. Se crea una tabla para cada interfaz dentro de WinRoute. En esa tabla se registran tanto los paquetes entrantes como los salientes. En otras palabras, cada paquete dispone de dos entradas: una para la salida y una para la entrada.

¿Qué son paquetes SALIENTES/ENTRANTES?

WinRoute siempre considera a su motor como la pieza básica de todo el sistema. Esto significa que todos los paquetes que salen de WinRoute son SALIENTES, sin importar si se dirigen a Internet o a la LAN. De forma similar, todos los paquetes que LLEGAN al PC WinRoute son ENTRANTES, independientemente de su origen. Por favor, tenga en cuenta este punto al crear reglas de seguridad.

fwinout

APLICAR LAS REGLAS:

De INICIO a FIN

Las reglas se definen en una lista y se aplican desde el principio hasta el final. Una vez que el paquete llega a la interfaz, se controla según la lista de criterios definidos. La comprobación empieza por el primer criterio de la lista y va bajando hasta el último criterio de la misma. Cuando el paquete coincide con los criterios, la regla en cuestión se aplica y las demás reglas se omiten.

Las reglas pueden aplicarse a:

usuarios individuales

un rango de direcciones IP

un grupo de direcciones IP definido por el usuario (para más informaciones sobre cómo definir un grupo de usuarios, vea la parte respectiva de este manual)

la subred o red completa

{The file 'Graphics\fwall3.gif' could not be found.}

Las reglas pueden aplicarse en zonas de tiempo predefinidas

En algunos casos, puede resultar útil aplicar reglas específicas durante horas de oficina, y criterios diferentes para los accesos fuera de esas horas. O talvez desee permitir que algunos usuarios accedan a la red durante la hora de almuerzo o durante el horario de trabajo, o sólo permitir el acceso a recursos específicos durante horas determinadas.

Ejemplo:

Control total de los accesos de los usuarios: el administrador de la red desea que sólo los usuarios a los que se les ha concedido acceso tengan los derechos correspondientes. No obstante, muchas configuraciones de red tienen servidores Web o FTP detrás del sistema WinRoute, que requieren acceso público.

En el ejemplo de arriba, las reglas se establecerían en el siguiente orden para los paquetes entrantes.

Permitir el acceso de los paquetes de cualquier host dirigidos al puerto 80

Permitir el acceso de los paquetes de cualquier host dirigidos al puerto 21

Denegar el acceso de todos los paquetes

Cuando el paquete entrante cumple con la regla 1. ó 2., se le permite pasar y no se aplica la regla 3. Si no cumple con 1 ó 2, se le deniega el acceso.

fw1