Configurar el firewall de red

Cómo configurar el Network Firewall

Esta traducción ha sido generada de forma automática por nuestro partner SYSTRAN. En algunos casos puede contener términos imprecisos, como en las etiquetas de los botones o los detalles técnicos. En caso de duda, le recomendamos que consulte la versión inglesa o francesa de la guía. Si quiere ayudarnos a mejorar esta traducción, por favor, utilice el botón «Contribuir» de esta página.

Última actualización: 31/05/2022

Objetivo

Para proteger su infraestructura mundial y los servidores de sus clientes, OVHcloud ofrece un cortafuegos configurable integrado en su solución anti-DDoS: el Network Firewall. Se trata de una opción que permite limitar la exposición de los servicios a los ataques procedentes de la red pública.

Esta guía explica cómo configurar el Network Firewall.

Para más información sobre la solución anti-DDoS de OVHcloud, consulte la página https://www.ovhcloud.com/es-es/security/anti-ddos/.

El VAC en detalle

Requisitos

Esta funcionalidad puede no estar disponible o estar limitada en los servidores dedicados Eco.

Para más información, consulte nuestra comparativa.

Procedimiento

Activar el Network Firewall

El Network Firewall protege las direcciones IP asociadas a una máquina. Es necesario configurar cada IP de forma independiente; no es posible configurar directamente el servidor.

Conéctese al área de cliente de OVHcloud, haga clic en el menú Bare Metal Cloud y abra la sección IP.
Haga clic en el botón ··· situado al final de la línea correspondiente a la IPv4 en la que quiera activar el cortafuegos y seleccione Crear firewall.

Activación del firewall de red

Confirme la operación haciendo clic en Aceptar.

Confirmación

Una vez creado el firewall, es necesario activarlo y configurarlo. Para ello, vuelva a hacer clic en el botón ··· situado al final de la línea correspondiente a la IPv4 y seleccione Activar el firewall (1). Repita el proceso y seleccione Configurar el firewall (2).

Activación de la configuración

Es posible añadir hasta 20 reglas por IP.

El firewall se activa automáticamente en cada ataque DDoS y no es posible desactivarlo hasta que el ataque haya finalizado. Por ese motivo, es importante mantener las reglas de firewall actualizadas. Las IP de OVHcloud no tienen ninguna regla configurada por defecto, por lo que pueden establecerse todas las conexiones. No olvide comprobar regularmente sus reglas de firewall (si las tiene), aunque lo haya desactivado.

  • La fragmentación UDP está bloqueada (DROP) por defecto. Si utiliza una VPN, al activar el firewall de red no olvide configurar correctamente su MTU (unidad de transmisión máxima). Por ejemplo, en OpenVPN, puede marcar MTU test.
  • El firewall de red no actúa dentro de la red de OVHcloud, por lo que las reglas creadas no afectan a las conexiones internas.

Configurar el Network Firewall

Tenga en cuenta que el Network Firewall de OVHcloud no puede utilizarse para abrir puertos en un servidor. Para abrir puertos en un servidor, debe utilizar el cortafuegos del sistema operativo instalado en el servidor.
Para más información, consulte las siguientes guías: Configurar el firewall de Windows y Configurar el firewall de Linux con iptables.

Para añadir una regla, haga clic en el botón Añadir una regla.

Añadir una regla

Para cada regla es necesario seleccionar:

  • la prioridad (de 0 a 19, siendo 0 la primera regla en aplicarse)
  • una acción (Denegar o Autorizar)
  • el protocolo
  • una IP de origen (opcional)
  • el puerto de origen (TCP y UDP)
  • el puerto de destino (TCP y UDP)
  • las opciones TCP (solo TCP)

Añadir una regla

  • Prioridad 0: Se recomienda autorizar el protocolo TCP en todas las direcciones IP con la opción ESTABLISHED. Dicha opción permite comprobar que el paquete pertenece a una sesión abierta anteriormente (ya iniciada). Si no autoriza esta opción, el servidor no recibirá las respuestas para el protocolo TCP de las peticiones SYN/ACK.
  • Prioridad 19: Se recomienda bloquear todo el protocolo IPv4 si no se cumple ninguna de las reglas anteriores.

Ejemplo de configuración

Para dejar abiertos únicamente los puertos SSH (22), HTTP (80), HTTPS (443) y UDP (10000), autorizando el ICMP, utilice las reglas de la siguiente imagen:

Ejemplo de configuración

Las reglas se ordenan cronológicamente de 0 (la primera regla leída) a 19 (la última regla leída). La cadena deja de recorrerse en el momento en el que pueda aplicarse una regla al paquete recibido.

Por ejemplo, para un paquete destinado al puerto 80/TCP, se aplicará la regla 2 y ya no se leerán las siguientes. Para un paquete destinado al puerto 25/TCP, no se aplicará ninguna regla hasta la última (la 19), que lo bloqueará, ya que las anteriores no autorizan ninguna comunicación en el puerto 25.

Como ya se ha indicado, la configuración anterior es solo un ejemplo y debe utilizarse como referencia si las reglas no se aplican a los servicios alojados en el servidor. Es absolutamente necesario configurar las reglas de su firewall en función de los servicios alojados en su servidor. Una mala configuración de sus reglas de firewall puede provocar el bloqueo del tráfico legítimo y la inaccesibilidad de los servicios del servidor.

Mitigación

Existen tres modos de mitigación: automática, permanente o forzada.

Mitigación automática: Con este modo, el tráfico pasa por el sistema de mitigación únicamente si se detecta que es "inusual" en relación con el tráfico normal recibido por el servidor.

Mitigación permanente: Activando la mitigación permanente, se aplica un primer nivel de filtrado constante a través de nuestro Shield hardware.
Todo el tráfico pasa permanentemente por el sistema de mitigación antes de llegar al servidor. Recomendamos este modo para los servicios que sean objeto de ataques frecuentes.
Tenga en cuenta que no debe crear ni activar el firewall de red para activar la mitigación permanente en su IP.

Para activarlo, haga clic en el menú Bare Metal Cloud y abra IP. A continuación, haga clic en los ... a la derecha de la IPv4 correspondiente y seleccione Mitigación: modo permanente.

Mitigación forzada: Este modo se activa automáticamente cuando se detecta un ataque en el servidor. Este modo no se puede desactivar una vez activado. Para proteger nuestra infraestructura, la protección se activará durante todo el ataque, hasta que sea totalmente mitigada.

Si se activa la mitigación anti-DDoS, las reglas del Network Firewall se activarán aunque lo haya desactivado. Por lo tanto, recuerde eliminar las reglas si desactiva el firewall.

Tenga en cuenta que la mitigación anti-DDoS no puede desactivarse.

Configurar el firewall de red Armor (Firewall Game)

Por defecto, el cortafuegos Armor está preconfigurado con algunas reglas que OVHcloud ha determinado que funcionan con los juegos más comunes. Sin embargo, para los clientes que dispongan de un servidor dedicado Game, le ofrecemos la posibilidad de ir más lejos y configurar también las reglas para los puertos.

Para configurar las reglas de sus puertos en Armor, debe conectarse primero al área de cliente de OVHcloud.
A continuación, acceda al menú Bare Metal Cloud y haga clic en la sección IP de la columna izquierda. Haga clic en ... junto a la dirección IP del servidor de juego y, seguidamente, en Configurar el firewall «Game»".

Game_wall

En la siguiente pantalla, haga clic en el botón Añadir una regla para añadir una regla a Armor.

Configure_Armor

Active los puertos según sus necesidades en la siguiente pantalla y haga clic en el botón Confirmar cuando haya terminado de añadir las reglas. El firewall Armor se ha configurado correctamente.

Más información

Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.


¿Le ha resultado útil esta guía?

Si lo desea, también puede enviarnos sus sugerencias para ayudarnos a mejorar nuestra documentación.

Imágenes, contenido, estructura...: ayúdenos a mejorar nuestra documentación con sus sugerencias.

No podemos tratar sus solicitudes de asistencia a través de este formulario. Para ello, haga clic en "Crear un tíquet" .

¡Gracias! Tendremos en cuenta su opinión.


Otras guías que podrían interesarle...

OVHcloud Community

¡Acceda al espacio de la OVHcloud Community! Resuelva sus dudas, busque información, publique contenido e interactúe con otros miembros de la comunidad.

Discuss with the OVHcloud community

A partir del 1 de enero de 2015, con arreglo a la Directiva 2006/112/CE modificada, los precios IVA incluido pueden variar según el país de residencia del cliente (por defecto, los precios con IVA incluyen el IVA español vigente).