Zonas de seguridad
Una zona de seguridad es un conjunto de redes conectadas por interfaces. Los usuarios en estas redes tienen los mismos atributos de seguridad. El FW considera que los flujos de datos dentro de una sola zona de seguridad son confiables y no requieren una política de seguridad. El FW aplica políticas de seguridad solo en los flujos de datos entre zonas de seguridad. El valor del nivel de seguridad varía de 1 a 100. Cuanto mayor sea el valor, mayor será el nivel de seguridad.
Tabla 1. Zonas de seguridad predeterminadas
NOTA: Las zonas de seguridad predeterminadas no se pueden eliminar y sus prioridades no se pueden reconfigurar ni eliminar. Puede crear zonas de seguridad y especificar sus niveles de seguridad según sea necesario.
Seguridad entre zonas y direcciones
Una interzona de seguridad describe un solo canal de transmisión de tráfico que conecta las zonas de seguridad. Se utiliza una política de seguridad para controlar el tráfico que pasa a lo largo de un canal. Una política de seguridad entregada a una interzona tiene efecto en el tráfico que pasa a lo largo de la interzona, pero no en el tráfico que viaja dentro de la interzona.
Una interzona conecta dos zonas de seguridad, también proporciona una vista específica, en la que se realizan las configuraciones de firewall.
El tráfico viaja a través de una interzona en las siguientes direcciones:
● Entrante o Inbound: una interzona que reenvía el tráfico desde una zona de seguridad de nivel inferior a una zona de seguridad de nivel superior.
● Saliente o Outbound: una interzona que reenvía el tráfico desde una zona de seguridad de nivel superior a una zona de seguridad de nivel inferior.
Aunque una interzona reenvía paquetes a ambas partes que intercambian paquetes, la interzona determina una dirección de tráfico basada en el primer paquete.
Por ejemplo, un cliente en una zona de confianza envía el primer paquete para solicitar una conexión HTTP a un servidor web en una zona no confiable con un nivel de seguridad inferior al de la zona de confianza. El FW considera que el paquete se transmite en la dirección de salida y utiliza una política de seguridad de salida para determinar si permite o rechaza el paquete. Después de que la conexión HTTP se establece con éxito, el FW crea una tabla de sesión, que registra la quinteta de la conexión en una entrada de sesión. La quinteta incluye las direcciones IP de origen y destino, los números de puerto de origen y destino y el tipo de protocolo.
Si los paquetes intercambiados entre el cliente y el servidor web coinciden con la quinteta, el FW procesa los paquetes según la política de seguridad de salida, sin volver a verificar la dirección de transmisión del paquete.
Si un usuario solo habilita una política de seguridad saliente para el tráfico de confianza a desconfianza en una interzona, se producen las siguientes situaciones:
Un terminal en una zona de confianza inicia proactivamente una conexión a otro terminal en una zona de desconfianza. Los paquetes respondidos por la zona de desconfianza pueden pasar a través de la interzona.
Los terminales en una zona no confiable solo pueden recibir solicitudes de conexiones iniciadas por terminales en una zona de confianza.