Todos los entornos virtuales creados con Jelastic Cloud están configurados con una configuración de firewall predeterminada, ya operativa y activa.
Para comprobar el estado del cortafuegos, simplemente haga clic en el botón "Configuración" junto a su "entorno".
Una vez dentro del panel "Configuración", se mostrará un elemento de "Cortafuegos" que le permite comprobar la configuración del cortafuegos.
Echemos un vistazo más de cerca a los elementos del interior:
- Estado del cortafuegos:le permite activar o desactivar su estado;
- Conexiones entrantes:administra todas las conexiones entrantes a su entorno, como servicios web o bases de datos;
- Conexiones salientes:administra todas las conexiones salientes, como conectarse a una base de datos externa.
El elemento "Reglas de entrada" le permite configurar las reglas para las conexiones entrantes. El primero y el último elemento en gris representan las reglas del sistema y no se pueden cambiar. El primero permite que toda la infraestructura de Jelastic y sus Contenedores accedan al entorno, mientras que el último elemento bloquea todo el tráfico que no sea el especificado en las reglas anteriores.
Agregar nuevas reglas al cortafuegos
Al hacer clic en el botón "Agregar" puede insertar una nueva regla dentro del Firewall:
Los campos requeridos para agregar una nueva regla son:
- Nombre:el nombre que se mostrará en la lista de reglas;
- Protocolo:el tipo de protocolo a filtrar (TCP/UDP/Ambos);
- Intervalo de puertos:la puerta o conjunto de puertas en las que trabajar. Por ejemplo, "80" o "50-100" para filtrar desde el puerto 50 al 100 (al dejar este campo en blanco, la regla se aplicará a todos los puertos);
- Fuente:la fuente que se filtrará. Por ejemplo, un conjunto de direcciones IP o una interfaz de red;
- Prioridad:el orden en que se ejecuta la regla;
- Acción:cuando los filtros anteriores tienen que permitir la conexión (Permitir) o denegarla (Denegar).
Configuración del cortafuegos para servicios web
Esta sección le mostrará cómo optimizar la configuración del firewall para un servicio web básico, usando una configuración basada en Apache como ejemplo.
Desde su Entorno haga clic en el botón "Configuración":
Desde la pantalla de configuración, abra la configuración de Firewall/Reglas de entrada:
Algunas de las reglas establecidas por defecto no son necesarias para el correcto funcionamiento de un servicio web simple. Por lo tanto, proceda eliminando "SMTP" y "Permitir exportación de Env":
En este punto, el escenario es el siguiente:
Cuando no utilice ningún servicio FTP, continúe abriendo la pantalla de edición para la regla "21-22" y luego cambie los campos como se muestra a continuación:
De esta forma, se elimina el acceso al servicio FTP, solo queda la conexión SSH activa. Finalmente, aplique los cambios usando el botón "Aplicar".
Deshabilitar una regla de firewall
A veces, es mejor deshabilitar la regla solo temporalmente, en lugar de eliminarla por completo, para que se pueda volver a habilitar cuando sea necesario.
Por ejemplo, para evitar posibles ataques de fuerza bruta a nuestro servidor en la nube, la regla SSH, modificada en el párrafo anterior, solo podría desactivarse temporalmente.
Seleccione la regla que desea deshabilitar y use el botón "Deshabilitar" para aplicar el cambio.
Para volver a habilitar la regla y permitir el acceso SSH, use el botón "Habilitar":
