ElseFix.com

Home Firewall basado en zonas UniFi: lo que necesita saber

Firewall basado en zonas UniFi: lo que necesita saber

Ubiquiti ha cambiado su sistema de gestión de firewall para el trabajo UniFi un par de veces en los últimos años. Y está cambiando nuevamente con el nuevo Firewall basado en zonas (ZBF), es decir, con UniFi Network 9.x y versiones posteriores.

El nuevo sistema de administración de firewall basado en zonas no solo facilita la creación de reglas de firewall, sino que también le permite agrupar interfaces de red en zonas, lo que facilita la aplicación de políticas.

En este artículo, veremos ZBF, cómo migrar sus reglas existentes y cómo usarlas.

Firewall basado en zonas UniFi

En UniFi Network siempre tuvimos las reglas de firewall normales (avanzadas). Los nombres de los campos han cambiado un par de veces (y cambian nuevamente con la versión 9.x), pero le permite controlar el acceso según las direcciones IP (o rango), redes y grupos de puertos.

Se agregaron reglas de tráfico para facilitar la creación de reglas de firewall y también nos permitieron bloquear fácilmente dispositivos, aplicaciones, dominios, etc. individuales, pero las reglas de tráfico nunca reemplazaron por completo a las reglas de firewall avanzadas.

El problema con las reglas de firewall existentes (en la versión 8.x e inferiores) es la convención de nomenclatura que se utiliza. A mucha gente le resultó difícil entender los nombres que se utilizan: LAN In, LAN Out, WAN In, etc., lo cual entiendo totalmente.

Aquí es donde entran las Zonas de Firewall, que te permiten agrupar fácilmente las diferentes interfaces de red en grupos lógicos. Ahora podemos tener una zona, externa, con todas las conexiones WAN, o una zona VPN donde residan todas las conexiones VPN.

Las zonas ya no tienen reglas (firewall), pero ahora podemos aplicar políticas a las diferentes zonas. Al igual que las reglas, las políticas le permiten bloquear o permitir el tráfico entre diferentes zonas. La política no solo coincide entre zonas, sino que también puede aplicarla a un dispositivo específico o rango de IP en una zona.

Ventajas del firewall basado en zonas

La principal ventaja del nuevo ZBF es que le brinda una mejor comprensión de las políticas de firewall aplicadas con la nueva Zone Matrix. En esta matriz, puede ver fácilmente las zonas enumeradas como origen y destino y las políticas que se les aplican.

De forma predeterminada, una zona no puede acceder a ninguna otra zona, excepto, por supuesto, a la puerta de enlace y el tráfico establecido está permitido a la zona externa. Puede hacer clic en Políticas (n) para ver y administrar las políticas que se aplican entre las dos zonas.

Las zonas realmente ayudan a segmentar su red y le permiten establecer fácilmente límites claros entre ellas.

Cuando habilita ZBF, las siguientes zonas se crearán automáticamente para usted:

  • Interno– Para tráfico de confianza local. Las redes que crea se ubican de forma predeterminada en la zona Interna, excepto las redes de Invitados.
  • Externo– Tráfico entrante no confiable de sus conexiones WAN.
  • Puerta– Tráfico desde y hacia su UniFi Gateway (Administración de DNS, DHCP, HTTPS/SSH)
  • vpn– Todo el tráfico VPN, incluido Teleport, servidor VPN Wireguard/OpenVPN/L2TP, Site-Magic, etc.
  • Punto de acceso– Red de invitados
  • DMZ– Se utiliza para colocar un servidor en el borde de su red, haciéndolo accesible desde Internet.

Una interfaz de red, por ejemplo, el puerto WAN1 o su red IoT, solo se puede asignar a una zona. Ahora no puede eliminar las zonas predefinidas, pero puede crear zonas personalizadas y asignarles una interfaz de red. De esta forma podrá personalizar las políticas asignadas.

Asignación de políticas dentro de zonas

Dentro de una zona puedes tener múltiples redes (VLANS). Ahora todas estas redes pueden comunicarse entre sí de forma predeterminada, no hay bloqueo entre VLAN dentro de una zona.

Sin embargo, también podemos crear políticas para filtrar el tráfico dentro de la misma zona. Por lo tanto, podemos bloquear todo el tráfico entre VLAN y solo permitir el uso predeterminado de IoT, por ejemplo. O cree una excepción para un dispositivo específico.

Bloqueo de aplicaciones sencillo

El firewall basado en zonas también le permite crear una política para bloquear aplicaciones o sitios web específicos, tal como lo haríamos con las reglas de tráfico. Sin embargo, para bloquear una aplicación fácilmente, ahora también puede utilizar la nueva función Bloqueo simple de aplicaciones.

Esta función le permite seleccionar un dispositivo o red como fuente y bloquear rápidamente una aplicación específica. Luego creará las políticas de firewall necesarias para usted.

Habilitación del firewall basado en zonas

Como se mencionó al principio, ZBF es parte de la nueva versión UniFi Network 9.x, que actualmente se encuentra en acceso anticipado. Esto significa que si desea usarlo ahora mismo, deberá cambiar el canal de lanzamiento de UniFi Network a Acceso anticipado:

  1. AbiertoAjustes>Plano de control
  2. Hacer clic enActualizaciones
  3. SeleccionarRedy asegúrateAcceso tempranoes seleccionado

A continuación, necesitaremos habilitar el firewall basado en zonas. Tenga en cuenta que no puede volver atrás. Cuando habilita ZBF, todas sus reglas de tráfico y firewall existentes se migrarán automáticamente a las nuevas políticas ZBF.

Y es bueno saber que terminará con muchas más pólizas de las que tenía. Terminé con alrededor de 100 políticas después de tener solo 5 reglas de firewall personalizadas en este dispositivo.

  • Ir aAjustesy abiertoSeguridad
  • Hacer clic enMejoraen la notificación

Creando una nueva zona

Crear una nueva zona es bastante fácil, simplemente haga clic en Crear zona en la pestaña de seguridad, asigne un nombre a la zona y seleccione la red y/o interfaz que desea asignarle.

Tenga en cuenta que no es necesario crear zonas para cada VLAN. Si desea bloquear el tráfico entre VLAN, simplemente cree una política para ello en la zona interna.

Creando políticas

Las políticas le permiten controlar lo que está permitido y lo que no dentro de una zona o entre zonas. Se puede crear una política desplazándose hasta el final de la página y seleccionandoCrear política. Pero me resulta más conveniente seleccionar primero el origen y el destino en la matriz y luego hacer clic en Crear política.

De esta manera, el origen y el destino ya están completos para ti y no tienes que desplazarte tanto hacia abajo 😉. Es importante tener en cuenta que las opciones que obtiene en la póliza dependen del origen y destino que seleccione.

Bloqueo del tráfico entre VLAN

Primero creemos una política que bloquee todo el tráfico entre VLAN en la zona interna.

  1. En la matriz de zonas, haga clic enInternoInterno(políticas o Permitir todo)
  2. Hacer clic enCrear política

Usaremos el mismo principio que con las "antiguas" reglas de firewall. Eso significa que vamos a bloquear todo el tráfico basado en todas las direcciones IPv4 privadas. Mi red se ejecuta en 192.168.xx, por lo que crearemos un objeto de red (anteriormente conocido como grupo de IP) para ese rango.

  • Nombre:Bloquear entre VLAN
  • Zona de origen:Interno
    • Fuente específica:IP>Objeto
    • Hacer clicNuevoe ingrese lo siguiente:
      Nombre:Todas las IP privadas
      Tipo:Dirección IPv4/Subred
      DIRECCIÓN:192.168.0.0/16
    • Puerto:Cualquier
  • Acción:Bloquear
  • Zona de Destino:Interno
    • Fuente específica:IP>Objeto
    • Hacer clicNuevoe ingrese lo siguiente:
      Nombre:Todas las IP privadas
      Tipo:Dirección IPv4/Subred
      DIRECCIÓN:192.168.0.0/16
    • Puerto:Cualquier
  • Versión IP:IPv4
  • Protocolo:Todo
  • Estado de conexión:Todo
  • Cronograma:Siempre
  • Hacer clic enAgregar política

Esta política bloqueará todo el tráfico entre las redes asignadas a la zona interna. Hay algunas políticas más que necesitaremos crear, al igual que con las reglas de firewall más antiguas:

  • Permitir conexiones establecidas y relacionadas
  • Eliminar conexiones de estado no válidas
  • (opcional) Permitir que la VLAN principal acceda a todas las VLAN

Primero creemos la regla que permita todas las sesiones establecidas y relacionadas:

  • Permitir sesiones establecidas y relacionadas
  • Zona de origen:Interno
    • Fuente específica:Cualquier
    • Puerto:Cualquier
  • Acción:Permitir
  • Zona de Destino:Interno
    • Fuente específica:Cualquier
    • Puerto:Cualquier
  • Versión IP:IPv4
  • Protocolo:Todo
  • Estado de conexión:Responder sólo(Esto coincide con el tráfico establecido y relacionado)
  • Cronograma:Siempre
  • Hacer clic enAgregar política

A continuación, crearemos la regla que eliminará todo el tráfico no válido:

  • Nombre:Eliminar estado no válido
  • Zona de origen:Interno
    • Fuente específica:Cualquier
    • Puerto:Cualquier
  • Acción:Bloquear
  • Zona de Destino:Interno
    • Fuente específica:Cualquier
    • Puerto:Cualquier
  • Versión IP:IPv4
  • Protocolo:Todo
  • Estado de conexión:Costumbre>Inválido
  • Cronograma:Siempre
  • Hacer clic enAgregar política

La última regla que debemos crear es permitir que el tráfico de nuestra VLAN principal acceda al dispositivo en las otras VLAN. De esta manera podrá administrar sus dispositivos IoT, por ejemplo. En el siguiente ejemplo, voy a dar acceso a todas las VLAN desde la VLAN principal (predeterminada), pero, por supuesto, también puede limitar esto a una VLAN específica.

  • Nombre:Permitir la VLAN principal a todas las VLAN
  • Zona de origen:Interno
    • Fuente específica:Red
    • Red:Por defecto
    • Puerto:Cualquier
  • Acción:Permitir
  • Zona de Destino:Interno
    • Fuente específica:IP
    • Objeto:Todas las IP privadas
    • Puerto:Cualquier
  • Versión IP:IPv4
  • Protocolo:Todo
  • Estado de conexión:Todo
  • Cronograma:Siempre
  • Hacer clic enAgregar política

Ahora hemos separado las VLAN en nuestra zona interna, evitando el tráfico no deseado entre VLAN.

Bloquear aplicaciones o sitios web específicos

Las reglas de tráfico nos permitieron bloquear fácilmente aplicaciones, sitios web, etc. específicos para dispositivos o redes específicos. Todavía podemos hacer esto, pero tendremos que crear una política para esto ahora.

Hasta ahora sólo hemos creado políticas basadas en redes, pero también podemos especificar un dispositivo concreto como fuente. En cuanto al destino, verás que al seleccionar la zona externa, tendrás la opción de especificar una Aplicación, IP, Sitio Web o Región, cada una con sus propias opciones.

Por ejemplo, creemos una política que bloqueará aplicaciones según diferentes categorías para un dispositivo específico:

  • Nombre:Bloquear aplicaciones no deseadas
  • Zona de origen:Interno
    • Fuente específica:Dispositivo
    • Dispositivo:Seleccione un dispositivo
    • Puerto:Cualquier
  • Acción:Bloquear
  • Zona de Destino:Externo
    • Fuente específica:Aplicación
    • Categoría:Redes Sociales, Peer-to-Peer, Juegos Online
    • Puerto:Cualquier
  • Versión IP:IPv4
  • Protocolo:Todo
  • Estado de conexión:Todo
  • Cronograma:Siempre
  • Hacer clic enAgregar política

Concluyendo

El nuevo Firewall basado en zonas hace que sea un poco más fácil ver las políticas existentes y ver en qué fuente tienen un impacto. Sin embargo, se crean muchas más políticas (reglas de firewall) que con el sistema anterior, por lo que puede resultar un poco abrumador.

Además, la convención de nomenclatura de las diferentes configuraciones de políticas ha cambiado una vez más, pero debo decir que ahora todo parece tener un poco más de sentido. La antigua LAN In/LAN Out, etc., siempre fue un poco difícil de explicar.

Haré más pruebas en las próximas semanas con el nuevo ZBF y actualizaré este artículo con más información si es necesario. Como siempre, si tiene alguna pregunta, simplemente deje un comentario a continuación.

Related Posts

Cómo usar NordVPN WireGuard como cliente VPN de UniFi

Cómo usar NordVPN WireGuard como cliente VPN de UniFi

2024-09-10
Roaming rápido UniFi explicado

Roaming rápido UniFi explicado

2024-10-07
Explicación de la configuración DNS local y del servidor de UniFi

Explicación de la configuración DNS local y del servidor de UniFi

2024-09-12
Cómo usar cURL en PowerShell

Cómo usar cURL en PowerShell

2024-11-14
Cómo esperar un comando en PowerShell

Cómo esperar un comando en PowerShell

2024-10-04
Cómo crear imágenes artísticas con IA para redes sociales con indicaciones de texto de Bing Image Creator: una guía paso a paso

Cómo crear imágenes artísticas con IA para redes sociales con indicaciones de texto de Bing Image Creator: una guía paso a paso

2024-02-27
Clientes de correo electrónico

Clientes de correo electrónico

2025-01-12
Cómo grabar la pantalla en tu Chromebook

Cómo grabar la pantalla en tu Chromebook

2023-12-18
Aplicación de pantalla de bloqueo de voz: desbloquea tu teléfono con tu voz

Aplicación de pantalla de bloqueo de voz: desbloquea tu teléfono con tu voz

2025-01-12
Los 6 mejores programas de transcripción para Mac (gratuitos y de pago)

Los 6 mejores programas de transcripción para Mac (gratuitos y de pago)

2022-07-04
10 mejores fondos de pantalla de Hello Kitty para iPhone en 2025

10 mejores fondos de pantalla de Hello Kitty para iPhone en 2025

2025-02-12
Artículos de oficina

Artículos de oficina

2024-12-19
Prueba de velocidad de Internet

Prueba de velocidad de Internet

2024-11-19
250+ nombres divertidos para la reunión de zoom en 2025

250+ nombres divertidos para la reunión de zoom en 2025

2025-01-20
7 cosas que puedes probar si no puedes desactivar la función No molestar en Mac

7 cosas que puedes probar si no puedes desactivar la función No molestar en Mac

2024-08-07