Nota de aplicación

Configuración de un firewall basado en zonas en el dispositivo de seguridad Cisco

ISA500

Esta nota de aplicación describe cómo configurar un firewall basado en zonas en el dispositivo de seguridad Cisco ISA500. Este
documento incluye las siguientes secciones:

• Entendiendo las Zonas

• Configurando Zonas

• Configuración de reglas de firewall

• Resolución de problemas del estudio

• de caso de reglas de ACL

• Para más información

Un firewall basado en zonas puede permitir o denegar el tráfico entrante o saliente a Internet según la zona, el servicio, la dirección de
origen y destino y la hora del día. La seguridad basada en zonas es un método poderoso y flexible de administrar segmentos de red
internos y externos que le permite separar y proteger los recursos críticos de la red interna de accesos o ataques no aprobados.

Entendiendo las Zonas

Una zona es un grupo de interfaces a las que se puede aplicar una política de seguridad. Las interfaces (como VLAN, DMZ, WAN y VPN) en
una zona comparten funciones o características comunes. Por ejemplo, dos interfaces que pertenecen a la red interna pueden ubicarse en
una zona de seguridad y las interfaces conectadas a Internet pueden ubicarse en otra zona. Las políticas de seguridad se utilizan para
controlar el tráfico de tránsito entre las diferentes zonas que protege los diferentes servicios.

Niveles de seguridad de zona

El nivel de seguridad de la zona es el nivel de confianza otorgado a esa zona. tabla 1 enumera los niveles de seguridad que admite ISA500.
Cuanto mayor sea el valor, mayor será el nivel de permiso.

Tabla 1. Niveles de seguridad admitidos

De confianza (100) Máximo nivel de confianza. De forma predeterminada, la zona LAN es de confianza.

VPN (75) Mayor nivel de confianza que una zona pública, pero menor nivel de confianza que una zona de confianza. Este nivel de
seguridad solo lo utilizan las zonas VPN y SSLVPN predefinidas. Todo el tráfico hacia y desde una zona VPN está
encriptado.

Público (50) Mayor nivel de confianza que una zona de invitados, pero menor nivel de confianza que una zona VPN. La zona
desmilitarizada (DMZ) es una zona pública.

De invitados (25) Nivel de confianza más alto que una zona que no es de confianza, pero un nivel de confianza más bajo que una zona pública. Las

zonas de invitados solo se pueden utilizar para el acceso de invitados.

No confiable (0) El nivel más bajo de confianza utilizado tanto por la WAN como por las zonas de multidifusión virtual. El puerto WAN solo se puede

asignar a una zona que no sea de confianza.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 1 de 27

 Zonas predefinidas

Los comportamientos predeterminados para todas las zonas predefinidas y las zonas nuevas están determinados por sus niveles de seguridad.

Tabla 2 enumera las zonas predefinidas que admite el ISA500. El comportamiento predeterminado es el siguiente:

• Se permite el tráfico desde una zona de mayor seguridad a una zona de menor seguridad. El tráfico desde una

• zona de menor seguridad a una zona de mayor seguridad está bloqueado. El tráfico entre zonas con el mismo

• nivel de seguridad está bloqueado.

Por ejemplo, se permite todo el tráfico de la LAN (zona confiable) a la WAN (zona no confiable) y el tráfico de la WAN (zona no
confiable) a la DMZ (zona pública) está bloqueado.

Si crea una nueva zona de confianza, como una zona de datos, las reglas de firewall se generan automáticamente para permitir o bloquear el tráfico desde la
zona de datos a otras zonas o viceversa. Esta acción de permiso o bloqueo está determinada por los niveles de seguridad.

Tabla 2. Zonas predefinidas

PÁLIDO Zona que no es de confianza. De forma predeterminada, el puerto WAN se asigna a la zona WAN y solo se puede asignar a una zona que no

sea de confianza.

LAN Zona de confianza. Puede asignar una o varias VLAN a una zona de confianza. De forma predeterminada, la VLAN
PREDETERMINADA se asigna a la zona LAN.

DMZ Zona pública. Zona utilizada para los servidores públicos que aloja en las redes DMZ.

SSLVPN Zona virtual. Zona utilizada para simplificar las conexiones VPN SSL seguras y remotas. La zona SSLVPN
no tiene un puerto físico asignado.

VPN Zona virtual. Zona utilizada para simplificar las conexiones VPN IPsec seguras. La zona VPN no tiene un
puerto físico asignado.

INVITADO Zona de invitados. Solo se usa para el acceso de invitados. De forma predeterminada, la VLAN INVITADA está asignada a esta zona.

VOZ Zona de confianza. Zona de seguridad diseñada para tráfico de voz. El tráfico entrante y saliente de esta zona está
optimizado para operaciones de voz. Si tiene dispositivos de voz, como un teléfono IP de Cisco, le recomendamos que
coloque los dispositivos en la zona de VOZ.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 2 de 27

 Configuración de firewall predeterminada

De forma predeterminada, el firewall evita todo el tráfico de una zona de menor seguridad a una zona de mayor seguridad y permite todo el tráfico de una zona de
mayor seguridad a una zona de menor seguridad. Estas reglas también se conocen como listas de control de acceso o ACL.

Después de crear una nueva zona, las reglas de firewall predeterminadas se generan automáticamente para permitir o bloquear el tráfico de la nueva zona a
otra zona o viceversa. Tabla 3 muestra la configuración de control de acceso predeterminada para el tráfico entre zonas con el mismo o diferentes niveles de
seguridad.

Tabla 3. Configuración de ACL predeterminada

Desde / Hasta De confianza (100) VPN (75) Público (50) De invitados (25) No confiable (0)

De confianza (100) Negar Permiso Permiso Permiso Permiso

VPN (75) Negar Negar Permiso Permiso Permiso

Público (50) Negar Negar Negar Permiso Permiso

De invitados (25) Negar Negar Negar Negar Permiso

No confiable (0) Negar Negar Negar Negar Negar

Los comportamientos predeterminados para todas las zonas predefinidas y las zonas nuevas están determinados por sus niveles de seguridad. Por ejemplo, de
forma predeterminada, se permite todo el tráfico de la LAN (zona confiable) a la WAN (zona no confiable). Todo el tráfico de la WAN (zona no confiable) a la DMZ
(zona pública) está bloqueado.

Cuadro 4 enumera la configuración de ACL predeterminada para las zonas predefinidas.

Cuadro 4. Configuración de ACL predefinida

Desde / Hasta LAN Voz VPN SSLVPN DMZ INVITADO PÁLIDO

LAN Permiso Negar Permiso Permiso Permiso Permiso Permiso

Voz Negar Permiso Permiso Permiso Permiso Permiso Permiso

VPN Negar Negar Permiso Negar Permiso Permiso Permiso

SSLVPN Negar Negar Negar Permiso Permiso Permiso Permiso

DMZ Negar Negar Negar Negar Permiso Negar Negar

INVITADO Negar Negar Negar Negar Permiso Permiso Permiso

PÁLIDO Negar Negar Negar Negar Permiso Negar Permiso

norte beneficios Todas las zonas

según objetivos predefinidas (excepto la zona VOICE) no se pueden borrar. Solo se pueden editar los puertos y VLAN
asociados para las zonas predefinidas (excepto las zonas VPN y SSLVPN).

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 3 de 27

 Configurando Zonas

Siga estos pasos para agregar una nueva zona, especificar su nivel de seguridad y asignar la interfaz a la zona: Paso 1. En la

página principal de la utilidad de configuración ISA500, elija Redes> Zonas.

Paso 2. Para agregar una nueva zona, haga clic en Añadir.

Paso 3. Ingrese un nombre para la nueva zona. Por ejemplo: Empleado.

Paso 4. Especifique el nivel de seguridad de la zona.

- Para las VLAN, se admiten todos los niveles de seguridad. En este ejemplo, el nivel de seguridad se establece en

De confianza ( 100).

- Para DMZ, elija Público (50).

- Para puertos WAN, elija No confiable (0).

Paso 5. Asigne interfaces a esta zona.

Elija las VLAN o los puertos WAN existentes de la Interfaces disponibles lista y luego haga clic en la flecha derecha para agregarlos a
la lista Asignado a la zona lista. Se pueden asignar hasta 16 VLAN a una zona.

Paso 6. Hacer clic Okay para aplicar su configuración.

Después de crear una nueva zona, las reglas de firewall se generan automáticamente entre zonas. Para personalizar sus propias reglas,
consulte Configuración de reglas de firewall, página 5 .

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 4 de 27

 norte beneficios según objetivos si habilitó servicios como Prevención de intrusiones (IPS), Antivirus y Control de aplicaciones en
ISA500, deberá aplicar los servicios de seguridad en estas zonas. Para obtener más información, consulte el Guía de administración
de dispositivos de seguridad integrados de la serie Cisco ISA500 a:
www.cisco.com/go/isa500resources .

Configuración de reglas de firewall

El ISA500 admite tres tipos de reglas de firewall:

• Reglas de firewall predeterminadas

• Reglas de firewall personalizadas

• Reglas de firewall generadas automáticamente

Esta página muestra los diferentes tipos de reglas de firewall.

Reglas de firewall predeterminadas

Estas son reglas que se definen en el ISA500 para todas las zonas predefinidas y nuevas zonas en función de sus niveles de seguridad. No puede
editar, eliminar ni mover estas reglas hacia arriba o hacia abajo. Para más información, ver
Configuración de firewall predeterminada, página 3 .

Reglas de firewall personalizadas

Puede haber situaciones en las que necesite crear sus propias reglas de firewall personalizadas. Las reglas personalizadas anulan las reglas de firewall
predeterminadas y generadas automáticamente. Por ejemplo, puede establecer una regla para permitir o denegar el tráfico y aplicarla a una zona, servicio, grupo,
dirección IP u hora del día específicos. También puede registrar el tráfico para cada regla que defina.

norte beneficios según objetivos El ISA500 admite hasta 100 reglas de firewall personalizadas.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 5 de 27

 Guión. Quiere restringir el acceso de los usuarios a Internet durante las horas de trabajo. De manera predeterminada, la VLAN PREDETERMINADA se asigna a la zona

LAN y la regla LAN a WAN ACL está configurada en Permitir. Esto significa que todos los usuarios de la VLAN predeterminada pueden acceder a Internet en cualquier

momento.

Solución. Cree una regla de ACL para denegar el acceso a una hora específica del día de la siguiente manera:

Paso 1. Elija Cortafuegos> Control de acceso> Reglas de ACL.

Paso 2. Haga clic en Añadir.

Paso 3. Hacer clic En para habilitar la regla de firewall.

Etapa 4. Ingrese la siguiente informacion:

• Desde Zone: Escoger LAN. A la

• zona: Escoger PÁLIDO. Servicios: Escoger

• HTTP.

• Dirección de la fuente: Escoger DEFAULT_NETWORK. Dirección de

• destino: Escoger Ninguna.

• Programación: cree una nueva programación. Cuando se selecciona, se abre la ventana Programar - Agregar / Editar que le
permite especificar cuándo está activa la regla de firewall. En este ejemplo, se creó un horario llamado “work_hours” para que el
usuario solo pueda acceder a Internet durante el horario laboral.

• Iniciar sesión: Para registrar el evento cuando se alcanza la regla de firewall, seleccione En. En este ejemplo, el registro de eventos está

desactivado.

• Acción de partido: Escoger Permiso.

Paso 5. Hacer clic Okay para guardar su configuración.

La nueva regla work_hours se agrega a la lista de Reglas de ACL.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 6 de 27

 Priorizar reglas

Si una política de firewall contiene más de una regla que permite el tráfico, puede reordenarlas por prioridad. Las reglas están ordenadas en este orden:
reglas personalizadas (prioridad más alta), reglas generadas automáticamente por el sistema y reglas predeterminadas (prioridad más baja). Puede mover
una regla hacia arriba, moverla hacia abajo o moverla a otra ubicación en la Lista de control de acceso.

Reglas de firewall generadas automáticamente

Puede configurar el ISA500 para que las reglas del firewall se generen automáticamente para funciones como el reenvío de puertos y VPN. Por ejemplo, las
reglas de firewall se pueden generar automáticamente para el reenvío de puertos para permitir el acceso desde Internet a un servidor interno, o para permitir
que un usuario de SSL VPN acceda a todas las zonas de confianza automáticamente.

Los siguientes ejemplos muestran diferentes configuraciones de reglas generadas automáticamente. En cada configuración, una regla se genera
automáticamente haciendo clic en el Crear regla de firewall caja.

• ACL generada mediante el reenvío de puertos ACL generada

• por una VPN IPsec de sitio a sitio ACL generada por VPN IPsec

• de acceso remoto

norte beneficios según objetivos No puede editar ni eliminar una regla generada automáticamente. Solo puede anularlo creando un
regla de firewall. Ver Reglas de firewall personalizadas, página 5 .

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 7 de 27

 ACL generada mediante el reenvío de puertos

En este ejemplo, se agregó una nueva regla de reenvío de puertos desde el Cortafuegos> NAT> Reenvío de puertos
página.

Al hacer clic en el cuadro Crear regla de firewall, la regla de ACL se creó automáticamente para permitir el acceso desde Internet al servidor
interno.

ACL generada por una VPN IPsec de sitio a sitio

En este ejemplo, se habilitó una VPN de sitio a sitio para una política IPsec existente ( VPN> Sitio a Sitio>
Políticas de IPsec).

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 8 de 27

 Las reglas de ACL se generaron automáticamente para permitir el acceso VPN de sitio a sitio.

ACL generada por VPN IPsec de acceso remoto

En este ejemplo, se habilitó el acceso remoto IPsec para permitir que los clientes VPN remotos establezcan las conexiones VPN.

La configuración del control de acceso se especificó en la página Configuración básica.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 9 de 27

 Las ACL de VPN para el acceso de clientes remotos se generaron y agregaron automáticamente a la Lista de control de acceso.

Reglas de Intrazone ACL

Las reglas de Intrazone ACL (ACL entre VLAN en una zona) son compatibles con ISA500. Estos son dos ejemplos:

• Dos VLAN diferentes en la misma zona. Ver Figura 1 .

• SSLVPN a SSLVPN: puede crear una regla de VPN a VPN ACL para denegar el acceso entre dos clientes ezVPN (el valor
predeterminado es permiso) o dos clientes SSL VPN / L2TP.

norte beneficios según objetivos Las ACL de IntraVLAN o las ACL dentro de una VLAN no son compatibles.

Figura 1 Ejemplo de topología de intrazona

Host1
192.168.201.100
VLAN201

ISA500

LAN
LAN Zona

VLAN202
Host2
192.168.202.100
285477

Guión. El conmutador tiene dos VLAN: VLAN201 y VLAN202. Desea denegar el tráfico de VLAN202 a VLAN201 pero permitir el
tráfico de VLAN201 a VLAN202.

Solución.

Paso 1. Desde el Cortafuegos> NAT> VLAN página, agregue dos nuevas VLAN (VLAN201 y VLAN202) y
asignarlos a ambos a la zona LAN.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 10 de 27

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 11 de 27
 Paso 2. Elija Redes> Puertos> Interfaz física y configure el puerto LAN en Maletero modo (para
ejemplo: GE7). Luego asigne la VLAN al puerto.

Paso 3. Elija Cortafuegos> Control de acceso> Reglas de ACL. Agregar una regla para bloquear (Denegar) el tráfico
VLAN202 a VLAN201.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 12 de 27

 Paso 4. Haga clic en Okay para guardar su configuración.

norte beneficios según objetivos No es necesario crear una regla para permitir el tráfico. El tráfico interno está permitido por defecto.

Estudio de caso de reglas de ACL

El siguiente estudio de caso describe cómo se pueden usar las ACL en la red de una empresa para permitir o denegar el acceso a su red. Figura
2 muestra el diagrama de red de la empresa con los siguientes detalles:

• La empresa accede a Internet a través de la interfaz WAN1.

• Los empleados están conectados a la red VLAN predeterminada, que es una intranet altamente segura.

• El servidor Telnet (192.168.75.5), el servidor SMTP (192.168.75.10) y el servidor de conferencias web (192.168.75.15) están todos
alojados en la red VLAN predeterminada, cuyo acceso solo está restringido a los empleados de la empresa en la VLAN predeterminada.

• El servidor FTP (192.168.100.10) y el servidor web (192.168.101.10) están alojados en la red DMZ a la que puede
acceder cualquier usuario en las redes menos seguras, como Internet.

• Los servidores FTP y Web están alojados en la red DMZ. Los no empleados pueden conectarse a la VLAN invitada
(192.168.25.0). Los no empleados que visiten la empresa se pueden agregar a la red de invitados que tienen acceso a Internet
y a la red DMZ, pero no a la intranet de la empresa (VLAN predeterminada).

• Existe un túnel de sitio a sitio entre un ISA500 con dirección IP WAN (214.56.101.2) y otro ISA500 con dirección IP WAN
(214.56.115.2) para que la oficina remota pueda conectarse de forma segura a la oficina principal.

• La empresa tiene una sucursal físicamente alejada de la oficina principal. Los empleados de la sucursal pueden conectarse a
la red de la empresa en una conexión VPN segura de sitio a sitio.

• Los empleados (como 214.56.105.100) pueden conectarse a la empresa desde su hogar o desde cualquier punto de acceso
mediante AnyConnect (SSL VPN) o el cliente Cisco VPN (IPsec VPN).

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 13 de 27

 Figura 2 Diagrama de red de la empresa

Cómo se aplican las reglas de ACL predeterminadas a la red de la empresa

Las siguientes secciones describen el comportamiento de las reglas de ACL predeterminadas. Estas reglas se crean de forma predeterminada.

Políticas de ACL de red VLAN predeterminadas

• Se deniega el acceso a recursos de red como Telnet, SMTP y servidores de conferencias web desde cualquier otra
red.

• El host (192.168.75.100) en la VLAN predeterminada puede acceder a los recursos de red en otras redes como
Internet, DMZ, VLAN de invitado, etc.

Políticas ACL de la red VLAN invitada

• El host (192.168.25.100) en la VLAN invitada puede acceder a los recursos de red en las redes menos
seguras, como WAN y DMZ.

• El host (192.168.25.100) en la VLAN invitada no puede acceder a los recursos de red en las redes más seguras, como
la VLAN predeterminada.

Políticas de acceso a la red DMZ

• El host en la WAN (214.56.110.100) no puede acceder a los servicios alojados en la red DMZ. En este caso, debe cambiar las
reglas de ACL predeterminadas para permitir que los hosts de las redes menos seguras accedan a los servicios de red DMZ.

• El servidor FTP y el servidor web no pueden iniciar conexiones a la red VLAN predeterminada de alta seguridad.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 14 de 27

 Políticas de acceso a la red WAN

• Los hosts de las redes de la empresa (192.168.75.100, 192.168.25.100, Web, FTP, SMTP, Web Conference y
servidores Telnet) tienen acceso a Internet.

• A los hosts de Internet (214.56.110.100 y 238.56.105.100) se les niega el acceso a las redes de la empresa.

Configuración de políticas de ACL

El administrador de red de la empresa necesita cambiar algunas de las reglas de ACL predeterminadas para permitir el acceso a ciertos
hosts de red o servicios de las redes menos seguras y para denegar el acceso a ciertos hosts de red o servicios de las redes más seguras a
los servicios menos seguros.

En este ejemplo, el administrador de red debe configurar las siguientes políticas de ACL para anular las políticas predeterminadas para que la red
de la empresa sea completamente funcional.

Configuración predeterminada de VLAN ACL

La empresa desea permitir que los hosts de la VLAN predeterminada accedan a Internet, DMZ, VLAN de invitado y puntos finales de VPN, pero desea
denegar el acceso a la DMZ y el acceso de invitado e Internet a la VLAN predeterminada. En este caso, las reglas de ACL predeterminadas permanecerán
como están.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 15 de 27

 Configuración de la ACL de la VLAN invitada

Los hosts en la VLAN invitada (192.168.25.100) solo pueden acceder a la red WAN como se muestra aquí. Sin embargo, la empresa desea que el host
de la VLAN invitada acceda a los servicios de conferencia web alojados en el servidor en la red VLAN predeterminada.

Para permitir el acceso del host de la VLAN invitada, se creó una nueva regla a partir del Cortafuegos> Control de acceso>
Reglas de ACL> Regla- Agregar / Editar página.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 16 de 27

 La nueva regla se agregó correctamente y aparece en la página Reglas de ACL.

Configuración de DMZ ACL

La empresa desea alojar los servidores Web y FTP en la red DMZ. No quiere que ningún host de la red DMZ acceda a otras
redes para obtener recursos de red.

Aquí se muestran las reglas predeterminadas de DMZ ACL.

En este ejemplo, el administrador cambió las reglas DMZ ALC para denegar el acceso a todas las redes desde DMZ.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 17 de 27

 Se agregaron dos reglas ACL para permitir que el host de cualquier red acceda a los servicios HTTP y HTTPS en el servidor web
(192.168.101.10). En este ejemplo, la dirección de destino DMZ_WEB_IP es el objeto de dirección para la dirección del servidor web
(192.168.101.10).

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 18 de 27

 Se agregaron dos reglas más para permitir que los hosts de cualquier red accedan al servidor FTP (192.168.100.10) y para permitir el control FTP y
los puertos de datos FTP en el servidor FTP.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 19 de 27

 Las reglas DMZ ACL recién configuradas se muestran aquí.

Configuración de WAN ACL

De forma predeterminada, se niega el acceso desde los hosts en la WAN a cualquier subred en la red de la empresa; sin embargo, la empresa
permite que el host en Internet acceda a los servidores FTP y Web en la DMZ. Estas reglas ya estaban configuradas en la sección anterior (ver Configuración
de DMZ ACL, página 17 ), por lo que no se requieren cambios en la configuración de WAN ACL.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 20 de 27

 Configuración de SSL VPN ACL

De forma predeterminada, los usuarios de acceso remoto pueden acceder a todas las redes disponibles. Si es necesario, puede cambiar los permisos desde la
pestaña Configuración de firewall basada en zona en la página Política de grupo de VPN SSL como se muestra aquí.

Las reglas de ACL para cada sesión de VPN SSL se generan automáticamente cuando se establece la sesión.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 21 de 27

 Configuración de ACL de sitio a sitio

Las reglas de ACL para VPN de sitio a sitio se generan automáticamente cuando se establece el túnel IPSec entre el ISA500 en la
oficina principal (214.56.101.2) y el ISA500 en la sucursal (214.56.115.2).

Las reglas de ACL permiten que cualquier host en la VLAN predeterminada (192.168.75.0) en la oficina principal acceda a los hosts en la
subred en la sucursal y viceversa (la red local y la configuración de red remota se configuran en el VPN> Sitio a Sitio> Políticas IPsec página).
Una vez establecido el túnel IPSec, cualquier host en la DEFAULT_VLAN elegida (192.168.75.0 en el ejemplo) puede acceder a cualquier
host en remote_network en el otro lado del túnel.

Solución de problemas

Cuando crea una regla, puede registrar los eventos del firewall habilitando el registro ( Cortafuegos> Control de acceso
> Reglas de ACL). Estos registros se pueden utilizar para solucionar problemas y para rastrear posibles amenazas a la seguridad. Se pueden capturar y registrar una
variedad de eventos para su revisión.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 22 de 27

 Para ver la información del registro, seleccione Gestión de dispositivos> Registros> Ver registros. Este ejemplo muestra la información de registro para la regla de
firewall que acabamos de crear.

Ejemplo de resolución de problemas

Un usuario de la red (identificado como 192.168.75.101 en la VLAN predeterminada) no puede acceder a un servidor FTP externo (10.74.10.194). Para
aislar el problema, habilite el registro del firewall en el ISA500 de la siguiente manera:

Paso 1. Elija Administración de dispositivos> Registros> Configuración de registro.

Paso 2. En Configuración de registro, haga clic en En para habilitar el registro.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 23 de 27

 Paso 3. Elija Administración de dispositivos> Registros> Instalaciones de registro.

Paso 4. Verificar Registro local junto a la función de registro del cortafuegos. Paso 5. Haga clic en Salvar.

Paso 6. Vuelva a iniciar la conexión FTP. Si la conexión falla, vea el registro del firewall desde el
Administración de dispositivos> Registros> Ver registros página.

Paso 7. Especifique la dirección IP de origen y la dirección IP de destino y haga clic en el Consulta botón. En esto
Por ejemplo, el registro indica que la conexión FTP (DstPort = 21) está bloqueada por una regla de ACL.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 24 de 27

 Paso 8. Para aislar el problema, elija Cortafuegos> Control de acceso> Reglas de ACL para ver la lista de
reglas. Como se muestra aquí, la ACL de FTP se establece en Denegar.

Paso 9. Cambie Denegar a Permitir y haga clic en Salvar.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 25 de 27

 Contabilidad de firewall

Puede verificar si un determinado paquete coincide con la regla ACL creando una regla ACL ( Firewall> Control de acceso> Reglas de ACL) con Acción
de partido ajustado a Contabilidad. Esta opción aumenta el número de aciertos en uno cuando llega a la regla de firewall. La contabilidad no niega
ni permite el tráfico. Solo verifica el número de veces que se coincide con una regla.

Este ejemplo muestra una regla de ACL configurada para verificar el tráfico que se origina desde cualquier zona hacia la interfaz LAN.

Después de configurar la regla, puede ver su recuento de visitas en la página ACL. Esta página muestra los datos de registro de la regla que acaba de
crear.

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 26 de 27

 Para más información

Recursos de productos Ubicación

Documentación del producto www.cisco.com/go/isa500resources

Comunidad de soporte de Cisco Small Business Soporte y www.cisco.com/go/smallbizsupport

recursos de Cisco Small Business Contactos de soporte www.cisco.com/go/smallbizhelp

telefónico www.cisco.com/go/sbsc

Descargas de firmware www.cisco.com/go/isa500software

Cisco Partner Central para pequeñas empresas (se requiere inicio www.cisco.com/web/partners/sell/smb
de sesión de socio)

Inicio de Cisco Small Business www.cisco.com/smb

Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y / o sus filiales en EE. UU. Y otros países. Para ver una lista de las marcas comerciales de
Cisco, vaya a esta URL: www.cisco.com/go/trademarks . Las marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra socio no implica una
relación de asociación entre Cisco y cualquier otra empresa. (1110R)

© 2012 Cisco Systems, Inc. Todos los derechos reservados. 78-20880-01

© 2012 Cisco Systems, Inc. Todos los derechos reservados. Página 27 de 27