Network Firewall
Oracle Cloud Infrastructure (OCI) Network Firewall es un firewall basado en aprendizaje automático nativo en la nube con capacidades avanzadas de detección y prevención de intrusiones, respaldado por la tecnología NGFW de Palo Alto Networks® que se escala automáticamente.
Casos de uso de OCI Network Firewall
Ver más casos de OCI Network Firewall
En esta imagen se muestran cuatro casos de uso comunes para OCI Network Firewall:
- Utilizar un servicio de firewall de red gestionado y nativo
- Proteger el tráfico entre entornos locales y OCI
- Proteger el tráfico entre OCI e Internet
- Proteger el tráfico entre redes virtuales en la nube
Utilizar un servicio de firewall de red nativo y gestionado
En este primer caso de uso, se muestra un cortafuegos de red en una red de nube virtual junto con otros servicios nativos de la nube que incluyen máquinas virtuales y almacenamiento de objetos.
OCI Network Firewall es un servicio gestionado nativo en la nube que está totalmente integrado en Oracle Cloud Infrastructure.
Proteger el tráfico entre los entornos locales y la OCI
En el segundo caso de uso, una red de nube virtual está conectada lógicamente al entorno local de un cliente. La red de nube virtual tiene un firewall de red por el que entra lógicamente el tráfico de red desde el entorno local antes de que pueda llegar a los recursos de la red de nube virtual, que se muestran como máquinas virtuales.
El firewall de red inspecciona todo el tráfico que entra y sale del entorno local. Protege los recursos de OCI de acciones y tráfico en el entorno local.
Proteger el tráfico entre la OCI e Internet
En el tercer caso de uso, una red de nube virtual está conectada lógicamente a Internet. La red virtual en la nube tiene un firewall de red donde el tráfico de red entra lógicamente desde Internet.
Esta red virtual en la nube se conecta lógicamente a otra red virtual en la nube, que tiene recursos, que se muestran aquí como máquinas virtuales.
El firewall de red inspecciona todo el tráfico que entra y sale del entorno local. Protege los recursos de OCI de acciones y tráfico desde Internet que acceden a las capacidades de una red virtual en la nube.
Proteger el tráfico entre redes de nubes virtuales
El cuarto caso de uso se trata de tres redes de nubes virtuales. La primera y la tercera redes virtuales en la nube están conectadas lógicamente a la segunda red virtual. Tienen recursos, que se muestran aquí como máquinas virtuales.
Todo el tráfico entre ellas debe pasar a través de la segunda red virtual en la nube, que tiene un firewall de red.
El firewall de red inspecciona todo el tráfico entre ambas, protegiendo los recursos de cada red virtual en la nube de la actividad maliciosa en la otra.
Beneficios de OCI Network Firewall
1. Una adición transparente a tu red OCI
Puedes agregar OCI Network Firewall a tu entorno sin alterar los flujos de red existentes.
2. Políticas de seguridad específicas y personalizables
OCI Network Firewall ofrece políticas de seguridad específicas que incluyen filtrado de protocolos tradicionales y (a partir de mediados de 2024) reconocimiento de tráfico específico de la aplicación, lo que reduce la superficie de ataque más allá de solo protocolos y puertos.
3. Protección y prevención avanzadas de amenazas
OCI Network Firewall ofrece el mejor motor de amenazas de su clase diseñado para actuar automáticamente contra malware, spyware, ataques de comando y control y vulnerabilidades. Aprovecha la tecnología avanzada de Palo Alto Networks para detectar y prevenir intrusiones.
¿Cómo funciona OCI Network Firewall?
OCI Network Firewall es un firewall de red gestionado de última generación y un servicio de detección y prevención de intrusiones para OCI VCN, con tecnología de Palo Alto Networks.
OCI Network Firewall es una instancia escalable y de alta disponibilidad que se crea en una subred. El firewall aplica la lógica de negocio especificada en una política conectada al tráfico de red. El enrutamiento en la VCN se utiliza para dirigir el tráfico hacia y desde el firewall. OCI Network Firewall ofrece un rendimiento de 4 Gb/s, pero puede solicitar un aumento de hasta 25 Gb/s. Los primeros 10 TB de datos se procesan sin costo adicional.
Las políticas de firewall identifican el tráfico en función de una combinación de atributos: tipos de protocolo de red, protocolos TCP o UDP con números de puerto, nombres de dominio totalmente cualificados con comodines opcionales, URL y direcciones IP (se admiten IPv4 y IPv6). Una política puede aceptar tráfico, rechazarlo, inspeccionarlo en busca de intrusión o defenderse activamente contra la intrusión.
OCI Network Firewall suele implementarse para proteger el tráfico entre OCI y entornos externos, como sistemas locales, Internet y otras nubes. El firewall también puede proteger el tráfico interno de OCI, por ejemplo, entre dos redes virtuales en la nube.
Esta imagen presenta una disposición lógica de recursos y conexiones para mostrar cómo puede implementarse el firewall de red OCI para inspeccionar y proteger el tráfico de red.
Se muestra una región de OCI típica, que contiene una única red virtual en la nube. Hay tres subredes en la red virtual en la nube. Se puede acceder a la primera subred desde fuera de la red virtual en la nube y contiene el firewall. Dicho firewall tiene una dirección IP de 192.168.0.10.
Esta subred también tiene un recurso, que se muestra aquí como una máquina virtual. La máquina virtual tiene una dirección IP de 192.168.0.97.
La segunda subred es privada y contiene un equilibrador de carga flexible. Está conectado bidireccionalmente a la subred que contiene el firewall de red. El equilibrador de carga flexible tiene una dirección IP de 192.168.1.15.
La tercera subred es privada y contiene recursos, que se muestran aquí como dos máquinas virtuales. Las máquinas virtuales tienen las direcciones IP 192.168.20.1 y 192.168.20.2. La subred está conectada bidireccionalmente a la segunda subred.
El firewall de red de la primera subred está conectado a un gateway de Internet y a un gateway de enrutamiento dinámico, ambos disponibles en la red virtual en la nube que contiene.
El gateway de Internet está conectado bidireccionalmente a Internet.
El gateway de enrutamiento dinámico está conectado bidireccionalmente al equipo local del cliente en un entorno local.
El tráfico de Internet pasa primero por el gateway de Internet y, a continuación, por el firewall de red. El firewall de red inspecciona el tráfico. Si el tráfico está permitido, puede pasar a los recursos de la misma subred o puede pasar al equilibrador de carga de la segunda subred, que a su vez reenviará el tráfico a los recursos de la tercera subred.
Como alternativa, el tráfico procedente del entorno local pasa primero por la pasarela de enrutamiento dinámico y luego al firewall de la red. El firewall de red inspecciona el tráfico. Si el tráfico está permitido, puede pasar a los recursos de la misma subred o puede pasar al equilibrador de carga de la segunda subred, que a su vez reenviará el tráfico a los recursos de la tercera subred.
Recorrido por el producto
Configura tu defensa de red basada en aprendizaje automático
Crear un firewall de red
Una instancia de firewall de red conecta una política, una VCN y una subred dentro de la VCN. Se pueden especificar opciones adicionales, limitar el ámbito y asociar etiquetas.
Crear una regla de seguridad
Las políticas de seguridad están formadas por reglas de seguridad. Las reglas de seguridad conectan direcciones de origen, direcciones de destino, aplicaciones, servicios y URL con una acción.
Crear una lista de aplicaciones
Las aplicaciones son una selección de tipos de protocolo que puede utilizar para identificar el tráfico de las políticas de seguridad. Se pueden seleccionar de una lista de tipos comunes o escribir un número de protocolo.
También puedes combinar varias aplicaciones en una lista de aplicaciones cómoda (no mostrada).
Crear una lista de servicios
Los servicios son una selección de protocolos TCP o UDP que puede utilizar para identificar el tráfico para las políticas de seguridad. Se pueden escribir un rango o varios.
También puedes combinar varios servicios en una lista de servicios cómoda (no mostrada).
Crear una lista de URL
Las URL son listas de nombres de recursos, a menudo direcciones web, que puedes utilizar para identificar el tráfico de las políticas de seguridad. Se pueden introducir hasta 1.000 URL en una sola lista.
Crear una lista de direcciones
Crea una lista de direcciones IP, tanto IPv4 como IPv6, o un rango de bloques de CIDR que puedas utilizar para identificar el tráfico de las políticas de seguridad. Se pueden introducir hasta 1.000 direcciones (o rangos) en una sola lista.
Otras capacidades de OCI Network Firewall
Arquitecturas de referencia
Un diseño de red bien planificado puede sentar las bases para una implementación satisfactoria y facilitar el uso de la red a tu equipo y a tu empresa. Al planificar el diseño de la red antes de la implementación, puedes asegurarte de que cumple todos los requisitos y evitar posibles barreras para una implementación exitosa más adelante.
Guías de soluciones y consejos de expertos
OCI Network Firewall: conceptos e implementación
En este blog se tratan las funciones generales de OCI Network Firewall y cómo implementarlo.
Protección de sitios web y aplicaciones con OCI Network Firewall
This hands-on tutorial shows how to protect traffic directed to multiple websites and applications deployed in multiple backends using OCI Network Firewall and OCI Load Balancers.
Descifrado de tráfico de OCI Network Firewall con inspección de entrada SSL
En este blog se trata el descifrado SSL entrante en OCI Network Firewall mediante un certificado público RSA.
Recursos
¿En qué te podemos ayudar?
- Inicio de sesión en My Oracle Support
- Preguntas frecuentes sobre Virtual Cloud Network
- Preguntas frecuentes sobre resiliencia
- Acuerdo de nivel de servicio
- Panel del estado del servicio
- Foros de clientes
- Capacitación sobre Oracle Cloud Infrastructure
- Marco de mejores prácticas para Oracle Cloud Infrastructure
- Certificaciones de Oracle Cloud Infrastructure
Introducción a Network Firewall
Oracle Cloud (modo gratuito)
Crea, comprueba e implementa aplicaciones en Oracle Cloud de forma gratuita. Regístrate una vez y obtén acceso a dos ofertas gratuitas.
Ponte en contacto con ventas
¿Te gustaría obtener más información sobre Oracle Cloud Infrastructure? Permite que uno de nuestros expertos te ayude.
* Network Firewall requiere una cuenta de OCI de pago, ya sea como contrato de pago por consumo o de créditos universales.