Los grupos de firewall le permiten definir colecciones reutilizables de puertos o destinos de red y referenciarlos en todo el sistema. En lugar de ingresar los mismos puertos, redes IP o destinos basados en dominio en varios lugares, puede crear un grupo una vez y usarlo donde sea necesario. Esto hace que la política sea más fácil de leer, más rápida de mantener y menos propensa a errores a medida que su configuración crece.

Los grupos de firewall se pueden usar en varias áreas del sistema, incluyendo reglas de firewall, NAT y enrutamiento basado en políticas (PBR). Esto le permite definir criterios comunes de coincidencia una vez y aplicarlos de manera consistente en las políticas de seguridad y enrutamiento. Por ejemplo, podría crear un grupo de puertos para un servicio que utiliza múltiples puertos, un grupo de redes IPv4 para subredes internas confiables o un grupo basado en dominios para tráfico que debe seguir una ruta WAN específica.

Los tipos de grupos de firewall disponibles son:

• Grupo de Puertos: Un conjunto reutilizable de números o rangos de puertos TCP y/o UDP.
• Grupo de Redes IPv4: Un conjunto reutilizable de redes IPv4, direcciones y entradas de nombre de host/dominio compatibles.
• Grupo de Redes IPv6: Un conjunto reutilizable de redes IPv6, direcciones y entradas de nombre de host/dominio compatibles. 

Los grupos de puertos son sencillos y se utilizan típicamente cuando se coincide tráfico por puerto de destino o fuente en reglas de firewall, NAT o PBR. Pueden contener puertos individuales o rangos de puertos delimitados por guiones.

Los grupos de redes IPv4 e IPv6 soportan más que solo direcciones IP estáticas y subredes. Además de las entradas estándar de red, también soportan nombres de host exactos y dominios comodín. Estas entradas basadas en dominios se manejan de manera diferente según el tipo de coincidencia.
 

Para nombres de host exactos, el sistema utiliza un backend propietario de Alta que resuelve el nombre de host, llena la caché DNS de Route10 que también es usada por los clientes de red apuntados a Route10 para su DNS, llena el grupo de firewall y mantiene actualizado ese grupo si las respuestas DNS cambian con el tiempo. El registro DNS se actualiza y el grupo se actualiza según sea necesario, cuando expira el TTL del DNS. Esta es la mejor opción cuando desea que una política siga un nombre de host completamente calificado específico que se mantiene actualizado a medida que cambian las IPs.
 

Para dominios comodín, el backend usa la integración del grupo de firewall en el resolvedor DNS del Router Alta. En este caso, las IPs coincidentes se aprenden solo cuando un cliente consulta un nombre de host que coincide con el comodín. Cuando eso sucede, las direcciones devueltas se añaden al grupo relevante. Debido a esto, las coincidencias de dominios comodín son impulsadas por demanda: no se llenan proactivamente y dependen de que los clientes usen el router para la resolución DNS. Si ningún cliente ha consultado un nombre de host coincidente a través del router, las IPs correspondientes no estarán presentes en el grupo. Es importante asegurar que los clientes usen Route10 como su servidor DNS, o si tiene servidores DNS internos, que usen Route10 para todas las consultas de internet.
 

Esta distinción es importante al decidir qué tipo de entrada usar. Los nombres de host exactos son gestionados activamente y mantenidos actualizados por el backend. Los dominios comodín son más flexibles para coincidencias amplias, pero dependen de la actividad DNS observada y pueden no coincidir con el tráfico hasta que el dominio relevante haya sido consultado a través del router. Es posible que las políticas/reglas que usan entradas comodín se vean frustradas si el cliente usa DNS-over-HTTPS en lugar del Router Alta para DNS, mientras que los nombres de host explícitos son menos propensos a esto.

Usar grupos de firewall es especialmente útil al construir políticas más grandes o más dinámicas. Un solo grupo puede ser referenciado por múltiples reglas, por lo que actualizar el grupo actualiza todas las políticas que dependen de él. Esto reduce la duplicación y facilita mucho la administración continua.

Casos de Uso Comunes

• Reutilizar los mismos puertos de servicio en múltiples reglas de firewall.
• Definir redes de destino para políticas NAT.
• Restringir el origen en reenvíos de puertos.
• Enviar tráfico para redes o dominios específicos a través de una WAN elegida usando PBR.

Aspectos a Tener en Cuenta

• Las entradas de dominio comodín dependen de que las consultas DNS sean manejadas por Route10. Los clientes no pueden apuntar a otro servidor DNS a menos que ese servidor DNS use Route10 para responder consultas DNS de internet.
• Las entradas de nombre de host exacto son gestionadas proactivamente por el backend.
• Las coincidencias basadas en dominio dependen de la resolución DNS y la membresía resultante en el grupo, no de inspeccionar directamente el nombre de dominio en el tráfico mismo. Para los casos de uso más comunes, no es viable extraer nombres de dominio directamente del tráfico: con frecuencia no están presentes allí, y donde lo están, a menudo es demasiado tarde para tomar la acción deseada cuando son visibles (como la imposibilidad de cambiar la WAN de una conexión ya establecida).

Escenarios de Ejemplo

Enrutando un Dominio a WAN2

En este ejemplo, enrutaremos *.example.com por WAN2. Recuerde que esto significa que los clientes deben estar apuntados a Route10 para su DNS, lo cual es el valor predeterminado, pero esto no funcionará si los clientes están apuntados a otros servidores DNS.

Creando Grupo de Dominio Comodín

Primero crearemos el grupo de firewall *.example.com. Navegue a Configuración > Firewall > Grupos de Firewall. Haga clic en Añadir.

Nombre: como desee. Yo elegí “All example-com” para cumplir con las restricciones de caracteres del nombre del grupo.

Tipo: Red IPv4

Contenido: *.example.com

Haga clic en Guardar y cierre la ventana del grupo.
 

Tenga en cuenta que esta regla es solo para IPv4. Si desea enrutar tráfico IPv6 para este dominio a través de una WAN específica, también necesitaría una regla similar para IPv6.

Añadiendo Regla PBR

Ahora navegue a Configuración > Firewall > Enrutamiento por Política. Haga clic en Añadir.
 

Nombre: example.com a WAN2

Protocolo: Cualquiera

Origen: Cualquiera

Destino: grupo “All example-com”

Sticky: Deshabilitar

Objetivo: WAN2

Luego haga clic en Guardar y puede cerrar la ventana de la regla PBR. Ahora cada IP resultante de la resolución de nombres *.example.com usará WAN2.

Reenvío de Puerto Restringido por Origen

Para este ejemplo, queremos reenviar un puerto para un servidor web solo para tráfico proveniente del nombre de host DNS dinámico ddns.example.com. Esto es mucho más seguro que abrir un puerto a toda la internet ya que mantiene su superficie de ataque limitada solo a las IP(s) a las que el nombre de host resuelve. Idealmente, una VPN es una mejor opción, pero para casos donde eso no es viable, un reenvío de puerto restringido por origen proporciona mucha mejor seguridad que un reenvío de puerto abierto.

Nota: no puede usar un dominio comodín para este caso de uso, ya que no hay garantía de que algún cliente realice la consulta necesaria para llenar el grupo. Los nombres de host exactos se llenan automáticamente en el backend.

Creando Grupo de Red

Navegue a Configuración > Firewall > Grupos de Firewall y haga clic en Añadir.
 

Nombre: nómbrelo como desee, yo lo llamaré Mi DDNS

Tipo: Red IPv4

Contenido: ddns.example.com

Luego haga clic en Guardar y cierre la ventana del grupo de firewall.

Añadiendo Reenvío de Puerto

El servidor web que abriremos está en 192.168.1.10, y abriremos solo HTTPS en TCP 443. Navegue a Configuración > Firewall > Reenvío de puerto/NAT. Haga clic en Añadir.

Nombre: como desee, yo lo llamaré Reenvío web restringido

Tipo: Reenvío de Puerto/Destino

Protocolos: TCP

Origen: grupo Mi DDNS

Puerto de Origen: Cualquiera. No elija 443 como puerto de origen ya que eso no funcionará. Los puertos de origen para HTTPS son aleatorios del rango de puertos efímeros.

Destino: Si tiene una sola IP WAN, elija Cualquiera. Si tiene múltiples IP públicas, elija Personalizado e ingrese la específica que desea usar.

Puerto de Destino: Elija Personalizado e ingrese 443.

Redirigir a: 192.168.1.10:443

Zona de Entrada: WAN

Zona de Salida: LAN

Luego haga clic en Guardar y su reenvío de puerto con restricción de origen estará habilitado.

Ejemplo de Grupo de Puertos y Redes VoIP

Un caso de uso potencial que combina un grupo de puertos y dos grupos de red es restringir teléfonos IP. Aquí tenemos una VLAN VoIP dedicada en 192.168.2.0/24. Los teléfonos usan los puertos estándar SIP y RTP, y se comunican con una PBX en la nube en pbx.example.com. Configuraremos reglas de firewall para que estos teléfonos solo puedan comunicarse con la PBX usando los puertos VoIP, y bloquear todo otro tráfico desde esa red.

Creando Grupo de Puertos

Primero añadiremos un grupo de firewall que contenga los puertos estándar SIP (5060) y RTP (10000-20000). Navegue a Configuración > Firewall > Grupos de Firewall y haga clic en Añadir.
 

Nombre: haga clic en el lápiz en la parte superior para editar el nombre. Lo llamaremos Puertos VoIP.

Tipo: elija Puerto

Contenido: 5060 y 10000-20000

Luego haga clic en Guardar y cierre la ventana del grupo Puertos VoIP.

Creando Grupo de Origen

Haga clic en Añadir para crear el grupo de origen especificando la subred de la VLAN VoIP. 
 

Nombre: Red VoIP

Tipo: Red IPv4

Contenido: 192.168.2.0/24
 

Luego haga clic en Guardar y cierre la ventana del grupo.

Creando el Grupo PBX

Ahora haga clic en Añadir para agregar un grupo para la PBX en la nube usando su nombre de host pbx.example.com.

Luego haga clic en Guardar y cierre la ventana del grupo.

Creando Reglas de Firewall

Ahora vamos a crear las reglas de firewall usando los grupos que acabamos de crear. Navegue a Configuración > Firewall > Filtro. Haga clic en Añadir para agregar la primera regla, la que permite a los teléfonos alcanzar la PBX.
 

Nombre: Permitir red VoIP a PBX

Protocolos: UDP

Origen: grupo Red VoIP

Puerto de Origen: Cualquiera. Note que el puerto de origen casi nunca es el mismo que el puerto de destino, sino un puerto aleatorio del rango de puertos efímeros, por lo que debe dejarse en Cualquiera. No elija aquí el grupo Puertos VoIP.

Destino: grupo PBX

Puerto de Destino: grupo Puertos VoIP

Zona de Entrada: LAN

Zona de Salida: WAN
 

El resto puede dejarse con los valores predeterminados.

Haga clic en Guardar.
 

Ahora haga clic en Añadir nuevamente y agregaremos una regla para bloquear todo otro tráfico con destino a internet desde la red VoIP.
 

Nombre: Bloquear red VoIP a internet

Protocolos: Deje en blanco para coincidir con todos

Origen: grupo Red VoIP

Destino: Cualquiera

Zona de Entrada: LAN

Zona de Salida: WAN

Acción: en la esquina inferior izquierda elija el ícono X para rechazar, o la flecha hacia abajo para descartar. Rechazar generalmente es preferible para redes internas, así que lo elegiremos aquí.

Luego haga clic en Guardar y puede cerrar la ventana de la regla de firewall.
 

Esto le deja con las siguientes dos reglas en la lista de reglas de filtro.

Es importante mantener el orden permitir, luego bloquear. Si reordenara las reglas para que el bloqueo viniera antes que el permitir, entonces todo el tráfico de la red VoIP sería bloqueado y no se permitiría a los teléfonos alcanzar la PBX. La primera regla que coincide gana.