Network Firewall

Oracle Cloud Infrastructure (OCI) Network Firewall es un firewall basado en aprendizaje automático nativo en la nube con capacidades avanzadas de detección y prevención de intrusiones, respaldado por la tecnología NGFW de Palo Alto Networks® que se escala automáticamente.

Casos de uso de OCI Network Firewall

Ver más casos de OCI Network Firewall

Diagrama de caso de uso de OCI Network Firewall, descripción a continuación

En esta imagen se muestran cuatro casos de uso comunes para OCI Network Firewall:

  1. Utilizar un servicio de firewall de red gestionado y nativo
  2. Proteger el tráfico entre entornos locales y OCI
  3. Proteger el tráfico entre OCI e Internet
  4. Proteger el tráfico entre redes virtuales en la nube

Utilizar un servicio de firewall de red nativo y gestionado
En este primer caso de uso, se muestra un cortafuegos de red en una red de nube virtual junto con otros servicios nativos de la nube que incluyen máquinas virtuales y almacenamiento de objetos.

OCI Network Firewall es un servicio gestionado nativo en la nube que está totalmente integrado en Oracle Cloud Infrastructure.

Proteger el tráfico entre los entornos locales y la OCI
En el segundo caso de uso, una red de nube virtual está conectada lógicamente al entorno local de un cliente. La red de nube virtual tiene un firewall de red por el que entra lógicamente el tráfico de red desde el entorno local antes de que pueda llegar a los recursos de la red de nube virtual, que se muestran como máquinas virtuales.

El firewall de red inspecciona todo el tráfico que entra y sale del entorno local. Protege los recursos de OCI de acciones y tráfico en el entorno local.

Proteger el tráfico entre la OCI e Internet
En el tercer caso de uso, una red de nube virtual está conectada lógicamente a Internet. La red virtual en la nube tiene un firewall de red donde el tráfico de red entra lógicamente desde Internet.

Esta red virtual en la nube se conecta lógicamente a otra red virtual en la nube, que tiene recursos, que se muestran aquí como máquinas virtuales.

El firewall de red inspecciona todo el tráfico que entra y sale del entorno local. Protege los recursos de OCI de acciones y tráfico desde Internet que acceden a las capacidades de una red virtual en la nube.

Proteger el tráfico entre redes de nubes virtuales
El cuarto caso de uso se trata de tres redes de nubes virtuales. La primera y la tercera redes virtuales en la nube están conectadas lógicamente a la segunda red virtual. Tienen recursos, que se muestran aquí como máquinas virtuales.

Todo el tráfico entre ellas debe pasar a través de la segunda red virtual en la nube, que tiene un firewall de red.

El firewall de red inspecciona todo el tráfico entre ambas, protegiendo los recursos de cada red virtual en la nube de la actividad maliciosa en la otra.

Beneficios de OCI Network Firewall


1. Una adición transparente a tu red OCI

Puedes agregar OCI Network Firewall a tu entorno sin alterar los flujos de red existentes.

2. Políticas de seguridad específicas y personalizables

OCI Network Firewall ofrece políticas de seguridad específicas que incluyen filtrado de protocolos tradicionales y (a partir de mediados de 2024) reconocimiento de tráfico específico de la aplicación, lo que reduce la superficie de ataque más allá de solo protocolos y puertos.

3. Protección y prevención avanzadas de amenazas

OCI Network Firewall ofrece el mejor motor de amenazas de su clase diseñado para actuar automáticamente contra malware, spyware, ataques de comando y control y vulnerabilidades. Aprovecha la tecnología avanzada de Palo Alto Networks para detectar y prevenir intrusiones.

¿Cómo funciona OCI Network Firewall?

OCI Network Firewall es un firewall de red gestionado de última generación y un servicio de detección y prevención de intrusiones para OCI VCN, con tecnología de Palo Alto Networks.

OCI Network Firewall es una instancia escalable y de alta disponibilidad que se crea en una subred. El firewall aplica la lógica de negocio especificada en una política conectada al tráfico de red. El enrutamiento en la VCN se utiliza para dirigir el tráfico hacia y desde el firewall. OCI Network Firewall ofrece un rendimiento de 4 Gb/s, pero puede solicitar un aumento de hasta 25 Gb/s. Los primeros 10 TB de datos se procesan sin costo adicional.

Las políticas de firewall identifican el tráfico en función de una combinación de atributos: tipos de protocolo de red, protocolos TCP o UDP con números de puerto, nombres de dominio totalmente cualificados con comodines opcionales, URL y direcciones IP (se admiten IPv4 y IPv6). Una política puede aceptar tráfico, rechazarlo, inspeccionarlo en busca de intrusión o defenderse activamente contra la intrusión.

OCI Network Firewall suele implementarse para proteger el tráfico entre OCI y entornos externos, como sistemas locales, Internet y otras nubes. El firewall también puede proteger el tráfico interno de OCI, por ejemplo, entre dos redes virtuales en la nube.

Lee la documentación

Diagrama de caso de uso de OCI Network Firewall, descripción a continuación

Esta imagen presenta una disposición lógica de recursos y conexiones para mostrar cómo puede implementarse el firewall de red OCI para inspeccionar y proteger el tráfico de red.

Se muestra una región de OCI típica, que contiene una única red virtual en la nube. Hay tres subredes en la red virtual en la nube. Se puede acceder a la primera subred desde fuera de la red virtual en la nube y contiene el firewall. Dicho firewall tiene una dirección IP de 192.168.0.10.

Esta subred también tiene un recurso, que se muestra aquí como una máquina virtual. La máquina virtual tiene una dirección IP de 192.168.0.97.

La segunda subred es privada y contiene un equilibrador de carga flexible. Está conectado bidireccionalmente a la subred que contiene el firewall de red. El equilibrador de carga flexible tiene una dirección IP de 192.168.1.15.

La tercera subred es privada y contiene recursos, que se muestran aquí como dos máquinas virtuales. Las máquinas virtuales tienen las direcciones IP 192.168.20.1 y 192.168.20.2. La subred está conectada bidireccionalmente a la segunda subred.

El firewall de red de la primera subred está conectado a un gateway de Internet y a un gateway de enrutamiento dinámico, ambos disponibles en la red virtual en la nube que contiene.

El gateway de Internet está conectado bidireccionalmente a Internet.

El gateway de enrutamiento dinámico está conectado bidireccionalmente al equipo local del cliente en un entorno local.

El tráfico de Internet pasa primero por el gateway de Internet y, a continuación, por el firewall de red. El firewall de red inspecciona el tráfico. Si el tráfico está permitido, puede pasar a los recursos de la misma subred o puede pasar al equilibrador de carga de la segunda subred, que a su vez reenviará el tráfico a los recursos de la tercera subred.

Como alternativa, el tráfico procedente del entorno local pasa primero por la pasarela de enrutamiento dinámico y luego al firewall de la red. El firewall de red inspecciona el tráfico. Si el tráfico está permitido, puede pasar a los recursos de la misma subred o puede pasar al equilibrador de carga de la segunda subred, que a su vez reenviará el tráfico a los recursos de la tercera subred.

Recorrido por el producto

Configura tu defensa de red basada en aprendizaje automático

Crear vista de firewall de red

Crear un firewall de red

Una instancia de firewall de red conecta una política, una VCN y una subred dentro de la VCN. Se pueden especificar opciones adicionales, limitar el ámbito y asociar etiquetas.

Crear vista de regla de seguridad

Crear una regla de seguridad

Las políticas de seguridad están formadas por reglas de seguridad. Las reglas de seguridad conectan direcciones de origen, direcciones de destino, aplicaciones, servicios y URL con una acción.

Crear vista de aplicación

Crear una lista de aplicaciones

Las aplicaciones son una selección de tipos de protocolo que puede utilizar para identificar el tráfico de las políticas de seguridad. Se pueden seleccionar de una lista de tipos comunes o escribir un número de protocolo.

También puedes combinar varias aplicaciones en una lista de aplicaciones cómoda (no mostrada).

Crear vista de servicio

Crear una lista de servicios

Los servicios son una selección de protocolos TCP o UDP que puede utilizar para identificar el tráfico para las políticas de seguridad. Se pueden escribir un rango o varios.

También puedes combinar varios servicios en una lista de servicios cómoda (no mostrada).

Crear vista de lista de URL

Crear una lista de URL

Las URL son listas de nombres de recursos, a menudo direcciones web, que puedes utilizar para identificar el tráfico de las políticas de seguridad. Se pueden introducir hasta 1.000 URL en una sola lista.

Crear vista de servicio

Crear una lista de direcciones

Crea una lista de direcciones IP, tanto IPv4 como IPv6, o un rango de bloques de CIDR que puedas utilizar para identificar el tráfico de las políticas de seguridad. Se pueden introducir hasta 1.000 direcciones (o rangos) en una sola lista.

Arquitecturas de referencia

Un diseño de red bien planificado puede sentar las bases para una implementación satisfactoria y facilitar el uso de la red a tu equipo y a tu empresa. Al planificar el diseño de la red antes de la implementación, puedes asegurarte de que cumple todos los requisitos y evitar posibles barreras para una implementación exitosa más adelante.

OCI Network Firewall: conceptos e implementación

En este blog se tratan las funciones generales de OCI Network Firewall y cómo implementarlo.

Protección de sitios web y aplicaciones con OCI Network Firewall

This hands-on tutorial shows how to protect traffic directed to multiple websites and applications deployed in multiple backends using OCI Network Firewall and OCI Load Balancers.

Descifrado de tráfico de OCI Network Firewall con inspección de entrada SSL

En este blog se trata el descifrado SSL entrante en OCI Network Firewall mediante un certificado público RSA.

Recursos

Introducción a Network Firewall


Oracle Cloud (modo gratuito)

Crea, comprueba e implementa aplicaciones en Oracle Cloud de forma gratuita. Regístrate una vez y obtén acceso a dos ofertas gratuitas.


Ponte en contacto con ventas

¿Te gustaría obtener más información sobre Oracle Cloud Infrastructure? Permite que uno de nuestros expertos te ayude.

* Network Firewall requiere una cuenta de OCI de pago, ya sea como contrato de pago por consumo o de créditos universales.