Tabla de contenido
294
el añadir la interfaz IP del firewall ó dirección MAC conectadas hacia el switch de
Zona de Defensa para la lista Excluyente. Esto previene al firewall de ser accidentalmente
bloqueado.
28.5
Limitaciones
Dependiendo del modelo del switch, hay varias limitaciones en efecto. La primera,
es la latencia entre el activar una regla de bloqueo al momento de que el switch(es)
realmente bloquee el tráfico coincidente con la regla. Todos los modelos de
switch requieren al menos algún tiempo para reforzar las reglas luego de que éstas
son entregadas por el firewall. Algunos modelos pueden activar las reglas dentro de
un segundo mientras otras requieres de un minuto ó incluso más.
Otra limitación es el número máximo de reglas soportadas por el switch. Algunos
switches soportan solo 50 reglas mientras otros soportan por sobre 800
(usualmente, con el fin de bloquear un anfitrión ó red, una regla por Puerto switch es
necesitada). Cuando este límite ha sido alcanzado no serán bloqueados más
anfitriones ó redes.
La Zona de Defensa utiliza un rango para la regla de ajuste ACL en el switch. Para evitar
conflictos potenciales en estas reglas y garantizar el control de acceso del firewall,
es altamente recomendable que el administrador limpie por completo el ajuste de regla
ACL en el switch antes de procesar la configuración de la Zona de
Defensa.
28.6
Escenario: Ajustando Zona de Defensa
El siguiente ejemplo simple ilustra los pasos necesarios para ajustar la función de
Zona de Defensa en los firewalls D-Link. Se asume que todas las interfaces en el firewall
ya han sido propiamente configurados.
Ejemplo:
Configurando Zona de Defensa
En este escenario simplificado, un threshold HTTP de 10 conexiones/Segundo es
aplicado. Si las conexiones exceden este límite, el firewall bloqueará al
anfitrión específico (en el rango de red 192.168.2.0/24 por ejemplo) de accesar al
switch por completo.
Nota
Guía de Usuario de los Firewalls D-Link
Capítulo 28. Zona de Defensa
Tabla de contenido
