Cómo funcionan las reglas de filtrado del firewall

  • Actualizado en Mar 27, 2026
  • Publicado el Jun 20, 2024
  • 4 minuto(s) leído(s)
  • AM
  • Guillermo Olvera
 Prev Next

DrayTek | Redes | Balanceo de carga | Artículo técnico | Ruteadores Vigor | Funcionamiento de reglas en Firewall

Marca: DrayTek
Tecnología: Redes
Subtecnología: Filtrado Firewall
Tipo de artículo: Artículo técnico
Nivel técnico: Avanzado
Tiempo estimado: 5 - 10 minutos
Autor: TVC Ingeniería
Componentes: Ruteador DrayTek Vigor, múltiples WAN, Firewall, reglas de balanceo
Tags: DrayTek, Firewall, reglas, políticas

Posibles Fallos:

  • El tráfico no se distribuye correctamente

  • Aplicaciones salen por la interfaz incorrecta

Causas Probables:

  • Reglas mal configuradas o en orden incorrecto

  • Falta de prioridad en políticas

Paso a paso de solución:

Filtro IP

Cuando un paquete atraviesa el enrutador de una interfaz a otra, primero se verifica mediante las reglas de filtrado del firewall activas con el índice más bajo.
La regla de filtrado comprueba si la información del encabezado cumple con la condición de filtrado de dicha regla, incluyendo la dirección, la IP de origen, la IP de destino y el tipo de servicio. Si cumple, se aplicará la acción seleccionada en Acción de filtrado. Si no, no se realizará ninguna acción y el paquete pasará a la siguiente regla de filtrado activa.
Esta siguiente regla realizará la misma verificación de la información del encabezado. Finalmente, si el paquete no coincide con ninguna de las condiciones de filtrado de todas las reglas, se aplicará la regla y la acción predeterminadas.

Acción del filtro: Bloquear inmediatamente

El enrutador descartará el paquete inmediatamente. No se aplicarán otras reglas de filtrado al paquete.

Acción del filtro: Pasar inmediatamente

El enrutador acepta los paquetes y no se le aplicarán otras reglas de filtrado. Sin embargo, si la regla de filtrado tiene seleccionado un perfil CSM, como APPE, Filtro de contenido URL, Filtro de contenido web o Filtro DNS, dichos perfiles podrían descartar el paquete en función de su contenido.

A continuación se muestra un ejemplo de cómo funcionan las reglas de filtrado en un paquete saliente.

una ilustración del proceso del cortafuegos

Acción de filtro: Bloquear si no hay más coincidencias

El enrutador retendrá el paquete inicialmente. Luego, lo pasará a la siguiente regla de filtrado para comprobar si cumple con sus condiciones. Si las cumple, aplicará la acción de dicha regla. Si no las cumple, lo pasará a la siguiente. Finalmente, si no existen otras reglas con la condición de filtrado que se aplica al paquete, lo descartará.

Acción del filtro: Pasar si no hay más coincidencias

El enrutador retendrá el paquete inicialmente. Luego, lo pasará a la siguiente regla de filtrado para comprobar si cumple con sus condiciones. Si las cumple, aplicará la acción de dicha regla. Si no las cumple, lo pasará a la siguiente. Finalmente, si no existen otras reglas con la condición de filtrado aplicable al paquete, lo aceptará. Sin embargo, si la regla de filtrado tiene seleccionado el perfil CSM, dicho perfil podría descartar el paquete en función de su contenido.

A continuación se muestra un ejemplo de cómo funcionan las reglas de filtrado en un paquete saliente con la opción "Pasar/Bloquear si no hay más coincidencias".

una ilustración del proceso del firewall con si no hay más coincidencias

Filtrado de contenido (CSM)

Filtro de URL

El filtro de URL analiza los paquetes HTTP y detecta la URL que solicita el cliente de la red local. El administrador de red puede configurar el filtro de URL para bloquear o permitir el tráfico HTTP que contenga palabras clave específicas en la URL, controlando así el acceso a dichos sitios web.

Filtro de contenido web (WCF)

Si desea impedir que los clientes de la LAN naveguen por una categoría específica de sitios web (por ejemplo, todas las redes sociales), puede resultar tedioso enumerar todas las URL que se deben bloquear. En este caso, el Filtro de Contenido Web (WCF) puede ser de gran ayuda. Mediante el servicio de categorización de URL de CYREN o BPjM (ambos requieren licencia), el router puede clasificar todos los sitios web en redes sociales, compras, noticias, etc. El administrador de red puede optar por bloquear o permitir una categoría específica y controlar el acceso a todos los sitios web que pertenecen a esa categoría sin necesidad de especificarlos.

Filtro DNS

El filtro DNS es una extensión del filtro URL y del filtro de contenido web. Si el servidor web utiliza HTTPS y el tráfico está cifrado, es posible que el enrutador no pueda verificar el contenido de esos paquetes. Sin embargo, al rastrear las consultas DNS enviadas por los clientes de la LAN, podemos averiguar a qué sitios web intentan acceder. El filtro DNS permite al administrador de red bloquear o permitir las consultas DNS que contienen palabras clave específicas, controlando así el acceso a sitios web HTTPS.

Aplicación de la Ley APP (APPE)

Además de los sitios web, al rastrear los patrones de paquetes, Vigor Router también puede reconocer las aplicaciones que utilizan los clientes de la LAN. La función APP Enforcement proporciona al administrador de red las aplicaciones más comunes para filtrar las de los clientes de la LAN.

Referencias visuales:

  • Configuración de políticas de balanceo

  • Orden de reglas

Sugerencias:

  • Colocar reglas más específicas al inicio

  • Usar failover para enlaces críticos

  • Monitorear tráfico después de aplicar cambios

  • Documentar políticas configuradas

Estandarización de Equipos:

  • Definir estructura de reglas estándar (críticas → generales)

  • Mantener consistencia en nombres y políticas

Equipos Compatibles:

  • Modelos con soporte Policy

No Compatibles:

  •  Modelos sin soporte Policy

#Enlaces utiles

Cursos o capacitaciones LMS sugeridas:

  • Balanceo de carga en redes empresariales

  • Configuración avanzada de ruteadores DrayTek

  • Administración de múltiples enlaces WAN

 


Artículos relacionados