Introducción
Los cortafuegos se han convertido en una parte esencial de cada red que tiene acceso a Internet. Sin firewalls, cualquiera podría acceder a su red y servidores e infectarlos con software malicioso. Con una configuración adecuada, un firewall puede reducir sustancialmente las comunicaciones de red no deseadas en una red local.
El artículo explicará cómo crear una regla de firewall usando MMC de firewall y Windows PowerShell . Estamos usando Windows Server 2012, pero el procedimiento se aplica a otras versiones de Windows, con ligeras variaciones.
¿Qué es un cortafuegos?
Un firewall es una pieza de hardware o software que controla el flujo de paquetes de datos y es fundamental en los sistemas informáticos modernos. Protege redes y dispositivos privados de acciones maliciosas provenientes de redes públicas de la misma manera que un firewall físico evita que el fuego se propague de un área a otra. Un cortafuegos actúa como un mecanismo de defensa que controla el tráfico de la red de acuerdo con las reglas de cortafuegos implementadas.
Las computadoras detrás de un firewall no pueden recibir datos hasta que los datos pasen todos los filtros. Esto mejora la seguridad por un amplio margen y reduce el riesgo de acceso no autorizado a redes privadas. Una configuración de firewall adecuada proporciona a su sistema una capa crucial de seguridad y reduce el riesgo de ataques de piratería exitosos. Los cortafuegos pueden realizar muchas tareas:
- Proteja los datos en su computadora creando una barrera que bloquee cualquier tráfico entrante o saliente no deseado.
- Notificarle si hay alguna solicitud de conexión de otras computadoras.
- Registra la actividad para una inspección posterior y te advierte si alguna aplicación intenta conectarse a otra computadora.
Cómo funcionan los cortafuegos de Windows Server
Como sugiere el nombre, un firewall actúa como una barrera entre sus dispositivos locales y la red externa. Cuando envía una solicitud de conexión a su computadora o servidor a través de Internet, un pirata informático puede interrumpir esa conexión e intentar obtener acceso a su red privada. Con un cortafuegos instalado, solo el tráfico de red que coincida con las reglas del cortafuegos puede pasar.
Los conjuntos de reglas de firewall que define en la configuración del firewall revisan cada paquete en busca de información marcada. Para aprovechar al máximo su firewall, debe definir con precisión las reglas de entrada y salida para evitar conexiones no deseadas.
Por ejemplo, puede establecer una regla de entrada que defina que los datos comunicados a través de un puerto específico, como el puerto TCP 80, pueden pasar el firewall. Eso significa que si el cortafuegos ve un paquete que se dirige a cualquier otro puerto, lo descartará y los datos no llegarán a su destino previsto.
Windows Firewall Server 2012 con seguridad avanzada
Firewall de Windows con seguridad avanzada es la consola de administración que almacena todas las configuraciones de Firewall de Windows. Windows Firewall es una solución de firewall basada en host integrada con prácticamente todos los sistemas operativos Windows actuales.
Firewall de Windows con seguridad avanzada proporciona comunicaciones de red entrantes y salientes más seguras mediante la aplicación de reglas que controlan el flujo de tráfico para su máquina local. Hay tres perfiles de cortafuegos disponibles:
- Dominio . Se utiliza cuando una computadora se conecta a la red corporativa. Es una red donde el dispositivo puede detectar su controlador de dominio.
- Privado . Usamos este perfil para computadoras que se conectan a una red privada, como la del hogar o la oficina. En las redes privadas, los usuarios siempre están detrás de un dispositivo y no están expuestos directamente a Internet.
- Público . Este perfil se usa cuando una computadora se conecta a una red pública, como bibliotecas, aeropuertos y otros puntos de acceso público. Las configuraciones del cortafuegos deberían ser las más restrictivas para este perfil, ya que estas redes son las menos seguras.
Los beneficios de usar Windows Server Firewall con Advanced Security son numerosos:
- Está listo para usar . Viene preinstalado con los sistemas operativos personales de Microsoft Windows, así como con las ediciones Server. También está activo de forma predeterminada, protegiendo su sistema operativo desde el primer inicio.
- No necesita una licencia especial o hardware adicional. Una vez que obtenga su copia de un sistema operativo Windows, no hay costos adicionales.
- Es altamente flexible . Ofrece muchas funcionalidades avanzadas y diferentes niveles de controles para los servicios de firewall.
¿Cuál es la diferencia entre el Firewall de Windows y el Firewall de Windows con seguridad avanzada?
La diferencia entre los dos es el nivel de funcionalidad disponible para el usuario final, es decir, la propia interfaz. Ambos son el mismo servicio de firewall. El Firewall de Windows es más fácil de usar y más amigable para el consumidor. Se encuentra en el Panel de control y le permite realizar configuraciones básicas de firewall.
El Firewall de Windows con seguridad avanzada ofrece control granular sobre las reglas de entrada y salida, así como los perfiles de firewall predeterminados. Puede modificar todas las configuraciones avanzadas de firewall mediante Microsoft Management Console (MMC) o Windows PowerShell.
¿Cómo iniciar el Firewall de Windows con la Consola de seguridad avanzada?
Puede acceder a la consola Firewall de Windows con seguridad avanzada de diferentes maneras. Cualquiera que sea el método que elija, abrirá Windows Firewall MMC donde podrá realizar más configuraciones de firewall para todos los perfiles.
- Usar el Administrador de servidores para acceder a la MMC del cortafuegos. Una vez que se abra la ventana, vaya a Herramientas en la parte superior derecha y busque el Firewall de Windows con seguridad avanzada opción hacia el final de la lista.
- Abra el Inicio menú (use la tecla de Windows en su teclado) y escriba "firewall". Debería ver el Firewall de Windows con seguridad avanzada icono aparece como uno de los resultados de búsqueda.
- Utilice el Ejecutar cuadro para iniciar Firewall de Windows con seguridad avanzada . Presiona Ganar + R claves, escriba msc y presiona Enter para cargar la consola. También puede usar el símbolo del sistema o Windows PowerShell para ejecutar este comando.
Configurar el cortafuegos de Windows
Ahora que tiene abierta la consola de Firewall de Windows con seguridad avanzada, en el medio puede ver el resumen de los tres perfiles de firewall. Su configuración predeterminada es permitir el tráfico saliente y limitar el tráfico entrante.
Cuando selecciona una opción del menú en el lado izquierdo de la ventana, verá sus detalles en la sección central. En el lado derecho, el menú mostrará las acciones disponibles para la opción que seleccionó previamente.
La consola de Windows Firewall con seguridad avanzada le permite configurar las reglas de entrada y salida, así como las conexiones de seguridad del Protocolo de Internet (IPSec). La pestaña Supervisión le permite ver las reglas de firewall activas y las reglas de seguridad de conexión para ese servidor.
Reglas de cortafuegos
Las reglas del firewall de Windows le permiten establecer si desea permitir o bloquear conexiones de red entrantes o salientes específicas. Puede elegir entre múltiples parámetros y configuraciones para cada regla de entrada o salida individual. Esto incluye seleccionar un programa, un puerto TCP o UDP, protocolo, servicio o perfil al que se aplicará una regla.
El procedimiento es el mismo cuando se crean reglas de entrada y reglas de salida con Firewall de Windows con seguridad avanzada. Enumeraré los pasos para crear una regla de entrada y puede seguirlos en el mismo orden cuando desee crear una regla de salida.
Cómo crear reglas de entrada
Inicie el Firewall de Windows con seguridad avanzada MMC utilizando el método que prefiera. Es posible que desee anclar el acceso directo al menú de inicio si usa la consola con regularidad.
- En la pantalla de inicio, seleccione Reglas de entrada La consola mostrará todas las reglas de entrada en la sección central y las acciones disponibles en el panel derecho. Puede filtrar la lista utilizando las opciones disponibles.
- Haga clic en Nueva regla... para iniciar el Asistente para nueva regla de entrada. El asistente le permitirá elegir el tipo de regla que desea crear. Puede elegir uno de los cuatro tipos.
- Esta regla permite o bloquea conexiones para un programa definido por el usuario. Le permite seleccionar una ruta a un archivo ejecutable (*.exe). No requiere insertar ninguna configuración específica del programa.
- Una regla basada en la configuración del puerto le permite permitir o bloquear una conexión según el número de puerto TCP o UDP que utilice. Puede establecer varios puertos para aplicar a esta regla de firewall.
- Esta regla contiene una lista de los programas y servicios de Windows más comunes. Puede seleccionar uno para permitir o bloquear conexiones.
- Personalizado. Esta es la regla más flexible del Asistente. Te permite crear una regla a medida con configuraciones que las opciones anteriores no proporcionan. Seguiré enumerando los pasos para esta regla, ya que cubre la mayoría de las configuraciones.
- Haga clic en Personalizar y haga clic en Siguiente para proceder.
- Elija si la regla se aplicará a las conexiones para Todos los programas o un programa específico en la máquina local y haga clic en Siguiente. Puede hacer clic en Personalizar... para seleccionar configuraciones adicionales para los procesos del programa que seleccionó.
- El siguiente paso le permitirá especificar el protocolo y el puerto para el tráfico que filtrará esta regla de firewall. Haga clic en Siguiente después de seleccionar un tipo de protocolo y configurar los ajustes.
- Tipo de protocolo. Haga clic en la barra y seleccione el protocolo de la lista desplegable. Siempre puede seleccionar Personalizado para configurar manualmente el número de puerto. Si selecciona TCP o UDP, deberá especificar el puerto local y remoto.
- Número de protocolo. Este campo se completa automáticamente después de seleccionar un tipo de protocolo y no puede cambiarlo. Para insertar su propio puerto, seleccione Personalizado en el menú desplegable "Tipo de protocolo".
- Puerto local. Esto representa el puerto en la máquina local donde está creando esta regla. Esta sección se vuelve editable si selecciona TCP o UDP en el menú desplegable "Tipo de protocolo". Seleccione una de las opciones del cuadro desplegable. Tenga en cuenta que RPC Endpoint Mapper y RPC Dynamic Ports están disponibles solo para reglas de entrada de TCP e IPHTTPS está disponible solo para TCP. Edge Traversal está disponible para reglas de entrada UDP.
- Puerto remoto. Este es el puerto en una máquina remota que intenta establecer una conexión con la máquina local. Esta sección se vuelve editable si selecciona TCP o UDP en el menú desplegable "Tipo de protocolo". Seleccione una de las opciones del cuadro desplegable. Tenga en cuenta que RPC Endpoint Mapper y RPC Dynamic Ports están disponibles solo para reglas de entrada de TCP e IPHTTPS está disponible solo para TCP. Edge Traversal está disponible para reglas de entrada UDP.
- Configuración del Protocolo de mensajes de control de Internet (ICMP). Puede personalizar la configuración de ICMP si selecciona ICMPv4 o ICMPv6 en la lista desplegable "Tipo de protocolo".
- El paso Ámbito del asistente le permite ingresar direcciones IP locales y remotas cuyo tráfico de red se aplica a la regla actual.
- Local. Si selecciona "Cualquier dirección IP" en la sección de direcciones IP locales, la regla se aplica al tráfico que pasa por el dispositivo de red que utiliza una dirección IP local. Este siempre es el caso con la máquina en la que está creando la regla. Seleccione 'Estas direcciones IP' para indicar que la regla se aplica a los paquetes con una dirección especificada en la lista. Haga clic en Agregar para insertar la dirección IP para que coincida. Posteriormente puede editar o eliminar cualquiera de las direcciones IP de la lista. También puede aplicar esta regla a una interfaz específica. Haga clic en Personalizar... y seleccione aplicar la regla a las conexiones en todas las interfaces o elija una de las interfaces disponibles que se enumeran en el cuadro.
- Remoto. Si selecciona "Cualquier dirección IP" en la sección de direcciones IP remotas, la regla se aplica al tráfico proveniente de cualquier dirección IP incluida en la lista. Seleccione 'Estas direcciones IP' para insertar las direcciones IP remotas a las que se aplica la regla. Haga clic en Agregar para especificar la dirección IP para que coincida. Posteriormente puede editar o eliminar cualquiera de las direcciones IP de la lista.
- El siguiente paso le permite elegir la acción que realiza el cortafuegos cuando una conexión coincide con la configuración de la regla de entrada. Puede seleccionar una de las tres opciones disponibles y luego hacer clic en Siguiente para continuar.
- Permita la conexión. Si la conexión coincide con la configuración de la regla de entrada o salida, los paquetes pueden atravesar el cortafuegos.
- Permita la conexión si es segura. Seleccione esta opción para permitir únicamente conexiones IPSec. Si elige esta opción, aparecerán dos pasos más en el asistente:Usuarios y Equipos. Los pasos adicionales le permiten elegir los usuarios y las computadoras que desea bloquear u otorgarles acceso. Haga clic en 'Personalizar...' para configurar los requisitos de autenticación e integridad.
- Bloquear la conexión. Esta opción bloquea todo el tráfico de red que coincida con la configuración de la regla de firewall. Si existe una regla similar con la acción 'permitir', entonces la acción de bloqueo tiene prioridad a menos que se indique lo contrario en la otra regla.
- El paso Perfil le permite elegir el perfil de firewall al que se aplicará la regla. Puedes dejar todo seleccionado o desmarcar un perfil que no quieras incluir. Haga clic en Siguiente para continuar con el paso final.
- En el paso final, ingrese el nombre deseado y la descripción opcional para esta regla de firewall y haga clic en Finalizar.
Cuando cierre el asistente, la regla entrará en vigor inmediatamente. Puede encontrar la regla en la consola del firewall cuando hace clic en Reglas de entrada opción. Las reglas habilitadas tienen un ícono de marca de verificación verde mientras que las deshabilitadas tienen íconos grises.
Cómo editar una regla de cortafuegos
Para editar cualquier regla existente y realizar configuraciones adicionales, abra el Firewall de Windows con la consola de seguridad avanzada y seleccione Reglas de entrada. o Reglas de salida opción. Ubique y haga clic en una regla para ver las acciones específicas en el panel derecho. Seleccione Propiedades y se cargará otra ventana donde podrá editar la configuración de la regla.
También puede deshabilitar, cortar, copiar o eliminar la regla que seleccionó. Asegúrese de resaltar la regla correcta para evitar cambiar las configuraciones del firewall por reglas incorrectas.
Consejo :puede hacer doble clic en una regla para abrir directamente las Propiedades ventana.
Cómo crear una regla de firewall con Windows PowerShell
1. Inicie la línea de comandos de PowerShell . Puede hacerlo buscando "powershell" en el menú de inicio, o presione las teclas Win + R en su teclado y escriba "powershell" en el cuadro Ejecutar.
2. Inserte el siguiente comando y presione enter:
New-NetFirewallRule -DisplayName "TCP custom inbound rule" -Enabled:True -Profile Private -Direction Inbound -Action Allow -Protocol TCP -LocalPort 1234
New-NetFirewallRule
. Este comando crea una regla. Le sigue una cadena de parámetros y sus valores.-DisplayName
. Especifica el nombre para mostrar de la regla.-Enabled
. Habilita la regla si se establece en verdadero. Si omite este parámetro, el valor predeterminado es verdadero .-Profile
. Asigna la regla al perfil especificado:Dominio, Privado, o Público .-Direction
. Indica si la regla se aplica a las conexiones entrantes o salientes. Si lo omite, el valor predeterminado es Entrante .-Action.
Especifique si la regla de firewall bloqueará o permitirá la conexión. Si no especifica la acción, el valor predeterminado es Permitir. .-Protocol
. Especifique el protocolo para la regla. En este caso, usamos TCP . Al omitir el protocolo, la configuración predeterminada es Cualquiera .-LocalPort
. Inserte el puerto por donde puede pasar el tráfico en el servidor local. Al omitir el número de puerto, la configuración predeterminada es Cualquiera .
Este es solo un ejemplo de cómo agregar una regla de firewall mediante la línea de comandos de Windows PowerShell. Puede encontrar más ejemplos en la documentación de Microsoft PowerShell.