Foro en Español

Reply
Moderator
Posts: 906
Registered: ‎07-29-2010

Fundamentos firewall de aplicación

[ Edited ]

Hola

 

A raíz de un "post" que puso Sergio hace unos días, me gustaría aclarar los fundamentos del firewall de aplicación (no del nuestro en particular, sino de cualquiera en general), porque veo que hay alguna dudilla sobre como funciona.

 

El firewall de aplicación funciona a partir de capturar los primeros 9 paquetes de una sesión y meterlos en una cola "lenta" donde aplica el DPI. Si cambias la regla de firewall después de que tu móvil se haya conectado a la red,  la sesión de whatsapp (por ejemplo) ya estará en marcha, así que la priorización no funcionará, porque la sesión se inició antes de que tu tuvieras configurada la regla.

 

Como consecuencia de esto, las políticas de firewall de aplicación deben configurarse de una forma algo diferente a lo que estamos acostumbrados en un firewall de L3-4:

  • Siempre deberán estar en la parte de arriba de las ACL.
  • Podemos permitir, denegar, priorizar y limtar el ancho de banda de una aplicación, pero no podemos, por ejemplo, aplicar un src-nat. Estaríamos dejando clasificando con los 9 primeros paquetes para luego romper la sesión al aplicar el src-nat, y volver a empezar (y así indefinidamente.

Por último, hay un detallito más a tener en cuenta. En Instant el firewall de aplicación viene habilitado por defecto (en los ap que lo soportan), pero en el controlador tenemos que habilitarlo tanto en el rol (habilitado por defecto) como a nivel global (deshabilitado por defecto). En nuestro controller de maqueta, por ejemplo, no está habilitado:

 

Screen Shot 2014-09-26 at 18.43.11.png

Un saludo!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 14
Registered: ‎11-07-2013

Re: Fundamentos firewall de aplicación

Gracias por la información,

solo añadir que para que tome efecto el DPI se requiere reinicio del controlador.

 

Un saludo.

Moderator
Posts: 906
Registered: ‎07-29-2010

Re: Fundamentos firewall de aplicación

Cierto, cuando habilitas DPI a nivel global tienes que reiniciar el controller.

 

Gracias por la puntualización Óscar!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: