El dispositivo Panda GateDefender incorpora con un conjunto de reglas preconfiguradas para el tráfico saliente, es decir, para permitir el flujo de tráfico de servicios, puertos y aplicaciones específicos de las diferentes zonas a la interfaz ROJA y, por lo tanto, a Internet. Estas reglas son necesarias para asegurar que los servicios más comunes siempre puedan acceder a Internet y funcionar de manera
adecuada. Existen dos casillas en esta página, una que muestra las reglas actuales y permite añadir nuevas, y una que permite configurar las opciones de salida del firewall.
Nota
Cuando el dispositivo Panda GateDefender está en modo sin enlace, se omiten las reglas definidas en el firewall saliente. Si se utiliza en el modo de enlace sigiloso, solo una parte del tráfico que va desde la zona tras el dispositivo Panda GateDefender hacia el exterior se considera saliente; consulte la descripción del enlace sigiloso.
Dispositivo Panda GateDefender y firewall de aplicaciones (control de aplicaciones)
Los firewalls de aplicaciones son una novedad reciente que supone una mejora frente a los firewalls de estado, puesto que combinan la capacidad de estos últimos para realizar un seguimiento de la fuente y la ruta de la conexión con la de los sistemas de prevención de intrusos para inspeccionar el contenido de los paquetes con el fin de proporcionar más seguridad frente a gusanos, virus, malware y todo tipo de amenazas. El resultado final desde el punto de vista de la experiencia del usuario es que los firewalls pueden bloquear tanto el tráfico entre puertos y direcciones IP como el tráfico generado por aplicaciones individuales. No obstante, esto exige un mayor esfuerzo por parte del firewall: mientras que con el tráfico entre direcciones IP basta con inspeccionar el primer paquete para bloquear o permitir el conjunto del flujo, para reconocer correctamente el tráfico generado por aplicaciones a veces es necesario analizar varios paquetes del flujo, por regla general, no más de tres.
A partir de la versión 5.50, todos los dispositivos Panda GateDefender van equipados con nDPI, una biblioteca de código abierto que implementa inspección de paquetes profunda, lo que permite desplegar reglas para el firewall de aplicaciones. nDPI se despliega como un módulo del kernel e interactúa con iptables para el análisis de los paquetes.
Por tanto, ahora se pueden definir dos tipos distintos de reglas en el firewall saliente:
Reglas de firewall de estado, que filtran el tráfico entre direcciones IP y puertos.
Reglas de aplicaciones, es decir, reglas que filtran el tráfico generado por aplicaciones.Si no se han definido reglas de aplicaciones, el comportamiento del firewall es exactamente el mismo que el de la versión anterior. Sin embargo, si se ha definido una regla de aplicaciones, las reglas de estado que la preceden se comportarán del modo normal, mientras que las que la siguen pasarán por nDPI.
Cabe señalar que el uso de nDPI puede presentar algunas sutilezas, como pone de manifiesto el ejemplo siguiente, lo que puede dar lugar a algunos efectos secundarios no deseados.
Imaginemos que una empresa desea permitir todo el tráfico HTTP, excepto para YouTube y Gmail. La primera regla predeterminada definida en el dispositivo Panda GateDefender sirve para permitir todo el tráfico HTTP sin restricciones. Por tanto, el primer paso consiste en desactivar esta regla. A continuación, se deben definir dos reglas:
1. una regla de aplicaciones que bloquee los protocolos de Gmail y YouTube; y 2. una regla de estado que permita todo el tráfico HTTP.
Si la segunda regla fuera una regla de aplicaciones con el protocolo HTTP, solo se permitiría el tráfico reconocido por nDPI como HTTP, pero otros protocolos que utilizan HTTP, como Yahoo y Facebook, también pasarían, puesto que nDPI no los considera HTTP, sino protocolos independientes.
Reglas actuales
En detalle, estos son los servicios y protocolos permitidos por defecto para el acceso a la IP ROJA desde las zonas y que se muestran en el cuadro superior:
Todo lo demás está prohibido por defecto, a excepción de las Reglas del sistema que permiten el acceso a los servicios en la Panda Perimetral Management Console. Las reglas de sistema se encuentran definidas aunque las zonas correspondientes no se encuentran activadas.
Las posibles acciones para cada regla son las de activarlas o desactivarlas, editarlas o eliminarlas. Se pueden añadir reglas adicionales al hacer clic en el enlace Añadir nueva regla del firewall en la parte superior de la página. Por favor recuerde que el orden de las reglas es importante: la primera regla que coincide decide si se permite o deniega un paquete, sin importar cuántas reglas que coinciden le siguen. Puede cambiarse el orden de las reglas utilizando los iconos de flecha hacia arriba y hacia abajo situados junto a cada regla.
Las siguientes configuraciones difieren de las opciones comunes por defecto.
Origen
Puede consistir en una o más Zona/Interfaces, Red/IP o direcciones MAC.
Destino
Puede ser la zona ROJA, uno o más enlaces, o una o más direcciones de red/host accesibles fuera de la interfaz ROJA.
Aplicación
Este widget de búsqueda permite seleccionar las aplicaciones que deberían formar parte de la regla. Las aplicaciones se dividen en categorías, por ejemplo, bases de datos, archivos compartidos, etc.
Sugerencia
Escriba como mínimo una letra para mostrar todas las aplicaciones cuyo nombre comienza por esa letra.
Configuración de firewall de salida
Es posible desactivar o activar la totalidad del firewall saliente haciendo clic en el interruptor Activar firewall saliente. Al desactivarlo, se permite todo el tráfico saliente y no se filtra paquete alguno: Sin embargo, se desaconseja firmemente dicha configuración y se recomienda mantener activado el firewall saliente.
Registrar las conexiones salientes aceptadas
Al marcar esta casilla se permite el registro de todas las conexiones aceptadas para la interfaz ROJA.
Proxy y firewall saliente.
Siempre que se active el proxy para un servicio concreto (p. ej., HTTP, POP, SMTP, DNS), las reglas del firewall en el firewall saliente no tendrán efecto debido a la naturaleza del proxy.
Cuando el proxy está activado, siempre que se inicie una conexión desde un cliente hacia Internet, será interceptada por el proxy del dispositivo Panda GateDefender (en modo transparente) o irá directamente al firewall pero jamás irá a través del firewall. Después el proxy comienza una nueva conexión hacia el destino real, obtiene los datos y se los envía al cliente. Esas conexiones hacia Internet siempre comienzan desde el dispositivo Panda GateDefender, que oculta la dirección IP interna del cliente. Por lo tanto, dichas conexiones nunca pasan a través del firewall saliente ya que, de hecho, son conexiones locales.