Le preguntamos a Gemini, la inteligencia artificial de Google cómo instalar y configurar un firewall en un router Cisco
Explicanos detalladamente cómo instalar y configurar un firewall en un router CiscoConfigurar un firewall en un router Cisco no se trata de "instalar" una aplicación, sino de activar y configurar las capacidades de seguridad que ya vienen integradas en el sistema operativo Cisco IOS (Internetwork Operating System).
Existen dos métodos principales: las ACLs (Listas de Control de Acceso) clásicas y el más moderno y potente ZPF (Zone-Based Policy Firewall). Aquí te explicaré cómo configurar el ZPF, que es el estándar actual para firewalls de estado en Cisco.
1. El Concepto de ZPF (Zone-Based Firewall)
En lugar de aplicar reglas directamente a las interfaces, el ZPF agrupa las interfaces en Zonas de Seguridad (ej. "Privada" y "Pública"). Luego, se definen políticas para el tráfico que viaja entre esas zonas.
2. Paso 1: Definir las Zonas de Seguridad
Primero, debemos crear las zonas lógicas en el router.
Bash
Router(config)# zone security PRIVADA
Router(config)# zone security PUBLICA
3. Paso 2: Definir el Tráfico a Inspeccionar (Class Maps)
Usamos un class-map para identificar qué protocolos queremos que el firewall analice. El parámetro match-any indica que si el tráfico coincide con cualquiera de los protocolos, será seleccionado.
Bash
Router(config)# class-map type inspect match-any MAPA-TRAFICO-INTERNO
Router(config-cmap)# match protocol tcp
Router(config-cmap)# match protocol udp
Router(config-cmap)# match protocol icmp
Router(config-cmap)# exit
4. Paso 3: Configurar la Política (Policy Maps)
Aquí decidimos qué hacer con el tráfico identificado en el paso anterior. En un firewall de estado, la acción clave es inspect, que permite que el tráfico salga y automáticamente crea una regla temporal para que la respuesta pueda volver a entrar.
Bash
Router(config)# policy-map type inspect POLITICA-SALIDA
Router(config-pmap)# class type inspect MAPA-TRAFICO-INTERNO
Router(config-pmap-c)# inspect // Inspección de estado (Stateful)
Router(config-pmap-c)# exit
Router(config-pmap)# exit
5. Paso 4: Definir el Par de Zonas (Zone-Pairs)
El Zone-Pair le dice al router en qué dirección se aplica la política (por ejemplo, de la zona PRIVADA hacia la zona PUBLICA).
Bash
Router(config)# zone-pair security PAR-PRIVADA-A-PUBLICA source PRIVADA destination PUBLICA
Router(config-zp)# service-policy type inspect POLITICA-SALIDA
Router(config-zp)# exit
6. Paso 5: Asignar Interfaces a las Zonas
Finalmente, debemos decirle al router qué interfaces físicas pertenecen a qué zona.
Bash
Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Enlace a Internet (WAN)
Router(config-if)# zone-member security PUBLICA
Router(config-if)# exit
Router(config)# interface GigabitEthernet0/1
Router(config-if)# description Red Local (LAN)
Router(config-if)# zone-member security PRIVADA
Router(config-if)# exit
Una vez configurado, es vital verificar que el firewall está funcionando y ver las sesiones activas (las conexiones que el router está "recordando").
Ver sesiones activas: show policy-map type inspect zone-pair sessions
Ver configuración de zonas: show zone security
Siguiente paso sugerido
Esta configuración permite que todo el tráfico salga de tu red pero bloquea cualquier intento de entrada no solicitado. ¿Te gustaría que te explicara cómo añadir una zona DMZ para un servidor web o cómo configurar reglas de acceso remoto por SSH de forma segura?
