Titulo del Post: Ubiquiti | Redes | Firewall por Zonas | Guía Técnica | UniFi | Configuración y segmentación de tráfico por zonas
Marca: Ubiquiti
Tecnología: Redes
Subtecnología: Firewall por Zonas (Zone-Based Firewall)
Tipo de artículo: Guía Técnica
Nivel técnico: Intermedio
Tiempo estimado: 15-25 minutos
Autor: TVC Ingeniería
Componentes: UniFi OS, UniFi Network, Gateway UniFi (UDM, UXG, etc.)
Tags: UniFi, Firewall, Zonas, Seguridad, VLAN, Segmentación
Posibles Fallos:
Bloqueo total de comunicación entre redes
Reglas mal aplicadas que permiten tráfico no deseado
Pérdida de acceso a dispositivos críticos
Conflictos entre reglas existentes y nuevas
Causas Probables:
Configuración incorrecta de zonas
Mala asignación de redes/VLAN a zonas
Orden incorrecto de reglas
Falta de políticas de allow/deny bien definidas
Paso a paso de solución:
El firewall basado en zonas (ZBF) de UniFi simplifica la administración del firewall al permitir agrupar interfaces de red, como VLAN, WAN o VPN, en zonas. Este enfoque permite definir y aplicar políticas de manera eficiente para controlar el flujo de tráfico entre estas zonas, facilitando así la gestión de la seguridad y la segmentación de la red.
Para obtener una descripción completa de las capacidades de gestión de tráfico y políticas de UniFi , consulte aquí .
Para obtener una descripción completa de las capacidades de seguridad de red y ciberseguridad de UniFi , consulte aquí .
Esta función forma parte de la versión oficial 9.0.108 de UniFi Network.
|
Requisitos
UniFi Cloud Gateway (o UniFi Gateway independiente )
Aplicación de red UniFi versión 9.0 o posterior
Puerta de enlace UniFi (Cloud) versión 4.1 o posterior
¿Qué son las zonas de firewall?
Las zonas de firewall son agrupaciones lógicas de interfaces de red, como VLAN, WAN o VPN. Al aplicar políticas a estas zonas, puede definir y controlar el flujo de tráfico fácilmente, eliminando la necesidad de crear políticas individuales para cada interfaz. Cada zona puede representar diferentes segmentos de su red, como áreas de confianza, semi-confiables o no confiables, lo que mejora tanto la seguridad como la simplicidad.
Para obtener una guía más sencilla sobre cómo implementar el aislamiento de red y de clientes, haga clic aquí.
Ventajas de los firewalls basados en zonas
Gestión de políticas simplificada : Las políticas se crean entre zonas, lo que reduce la complejidad y mejora la claridad en comparación con la gestión de políticas a nivel de interfaz.
Control granular del tráfico : Defina políticas precisas basadas en direcciones IP, protocolos, aplicaciones o usuarios, lo que garantiza una gestión integral del tráfico.
Segmentación de red mejorada : Establezca límites claros entre zonas para proteger áreas sensibles, como limitar el tráfico que se mueve desde una zona WAN externa hacia su red interna.
Mayor visibilidad : Las políticas se muestran visualmente en la Matriz de Zonas , lo que proporciona una mayor comprensión y facilita la gestión.
Zonas de cortafuegos integradas
El firewall UniFi incluye varias zonas predefinidas integradas a las que se asocian redes e interfaces.
Externo : Para el tráfico entrante que no es de confianza o que requiere un control más estricto, como el tráfico general de Internet en la WAN o una conexión con un servicio cliente VPN de terceros.
Interno : Para tráfico de confianza, como el de los ordenadores de los empleados y los servidores internos de la red local.
Puerta de enlace : Gestiona el tráfico dirigido hacia o desde la puerta de enlace UniFi (como solicitudes de administración DHCP, DNS o HTTPS/SSH).
VPN : Para el tráfico de usuarios VPN remotos (Identity One-Click VPN, WireGuard, L2TP y OpenVPN) o VPN de sitio a sitio (Site Magic, IPsec y OpenVPN).
Punto de acceso : Para redes wifi para invitados donde los dispositivos tienen acceso restringido.
DMZ : Para implementaciones que requieren acceso externo a recursos públicos, como servidores web o de correo electrónico.
Creación y modificación de zonas
Las zonas predefinidas están marcadas con un icono de candado para indicar que no se pueden eliminar. Sin embargo, los administradores pueden crear zonas personalizadas para tráfico especializado o un control más preciso. Las interfaces de red están limitadas a una sola zona y, por defecto, se asignan inicialmente a una zona predefinida, pero esta asignación se puede modificar en la sección de Firewall.
La matriz de zonas: Visualización de la segmentación del tráfico entre zonas
La matriz de zonas proporciona una representación visual clara del flujo de tráfico entre zonas, mostrando una cuadrícula con las políticas predefinidas y personalizadas. Las filas representan las zonas de origen (donde se origina el tráfico) y las columnas, las zonas de destino (hacia dónde se dirige). Las intersecciones, o celdas, muestran y permiten configurar las políticas que controlan el tráfico entre zonas. Por ejemplo, al hacer clic en la intersección entre las zonas «Interna» y «Externa», se pueden visualizar o ajustar las políticas de firewall específicas que rigen ese flujo de tráfico, lo que simplifica la gestión de políticas y mejora la visibilidad de la red.
Zonas integradas | Zona de destino | ||||||
Interno | Externo | Puerta | VPN | Punto de acceso | DMZ | ||
Zona de origen | Interno | Permitir todo | Políticas | Permitir todo | Permitir todo | Permitir todo | Permitir todo |
Externo | Políticas | Políticas | Políticas | Políticas | Políticas | Políticas | |
Puerta | Permitir todo | Permitir todo | - | Permitir todo | Permitir todo | Permitir todo | |
VPN | Permitir todo | Políticas | Permitir todo | Permitir todo | Permitir todo | Permitir todo | |
Punto de acceso | Permitir tráfico de retorno | Políticas | Políticas | Permitir tráfico de retorno | Bloquear todo | Bloquear todo | |
DMZ | Permitir tráfico de retorno | Políticas | Políticas | Permitir tráfico de retorno | Bloquear todo | Bloquear todo | |
En la matriz se muestran los siguientes valores:
Permitir todo : se permite todo el tráfico desde la zona de origen a la zona de destino.
Bloquear todo : se bloquea todo el tráfico desde la zona de origen hasta la zona de destino.
Permitir tráfico de retorno : este valor aparece cuando hay una combinación de "Permitir todo" y "Bloquear todo" entre dos zonas. La zona de origen puede enviar todo el tráfico a la zona de destino, pero la zona de destino solo puede responder a dicho tráfico.
Políticas : Se permite y se bloquea tráfico específico desde la zona de origen a la zona de destino, controlado mediante múltiples políticas de firewall. Por defecto, esto se aplica a las políticas integradas asociadas con la zona externa, que se utiliza para el tráfico entrante y saliente de internet.
Direcciones de tráfico y tráfico dentro de las zonas
Con las zonas, la limitación del tráfico se realiza en ambas direcciones. Esto significa que si el tráfico está bloqueado desde la zona de origen "Zona A" hacia la zona de destino "Zona B", pero permitido desde la zona "B" hacia la zona "A", el resultado final es que el tráfico sigue bloqueado en una dirección. Considere cuidadosamente ambas direcciones del tráfico al crear políticas de firewall.
Además de filtrar el tráfico entre distintas zonas, también es posible filtrar dentro de la misma zona, por ejemplo, de redes internas a internas. Esto resulta útil cuando hay varias redes asignadas a una zona, pero es necesario filtrar el tráfico entre ellas.
Asignación de redes a zonas
Las redes solo pueden asignarse a una única zona y, por defecto, se ubican en una de las zonas predefinidas. Al crear o editar la red, es posible ubicarla en una zona diferente. Esto también se puede hacer modificando la configuración de la zona en la sección de Firewall .
Configuración de políticas de firewall
Las políticas de firewall controlan el flujo de tráfico entre zonas, permitiéndole autorizar o bloquear tipos específicos de tráfico. Siga estos pasos para configurar y personalizar una política de firewall:
Acceda a las reglas del firewall: Siga la ruta según la versión de su red UniFi:
Red 9.4: Configuración > Zonas > Crear política o Configuración > Tabla de políticas > Crear nueva política
Red 9.3: Configuración > Motor de políticas > Zonas > Crear política
Configurar zonas de origen y destino: Especifique el alcance de la regla seleccionando las zonas de origen y destino. Opcionalmente, refine los criterios para la coincidencia de tráfico utilizando:
Cualquier dispositivo, red, IP o MAC
Puerto (cualquiera, específico u objeto)
Aplicación, dominio ("Web") o región
Seleccione su acción : Elija cómo la política gestionará el tráfico coincidente:
Permitir: Permitir el tráfico.
Permitir automáticamente el tráfico de retorno: Crea una política de firewall integrada adicional para permitir el tráfico de retorno desde la zona de destino a la zona de origen. Esto no es necesario si el tráfico de retorno ya está permitido mediante otra política.
Bloquear: Bloquear el tráfico silenciosamente.
Rechazar: Bloquear el tráfico y notificar al remitente.
Especificar restricciones (opcional): Personalice aún más la política seleccionando:
Versión de IP: Coincide con IPv4, IPv6 o ambas.
Protocolo: TCP, UDP u otros protocolos como ICMP.
Estado de la conexión: Coincidencia entre conexiones establecidas, inválidas o nuevas.
Habilitar el registro de Syslog (opcional): Envíe datos de flujo de tráfico a un servidor SIEM remoto habilitando el registro de Syslog. Configure su servidor SIEM en la sección Integraciones.
Establecer un horario personalizado (opcional): Defina cuándo estará activa la política, por ejemplo, durante el horario laboral o los fines de semana.
Establecer la regla: Por defecto, su regla personalizada tiene prioridad sobre las reglas integradas, pero sigue a otras reglas personalizadas. Utilice la opción "Reordenar" para ajustar esta jerarquía si es necesario.
Políticas de firewall integradas
Las políticas de firewall integradas se identifican mediante el icono del candado. Si bien estas no se pueden modificar ni eliminar, puede agregar nuevas políticas que las anulen colocándolas en un lugar superior de la tabla.
Las políticas predeterminadas se crean de la siguiente manera:
Puerta de enlace a la red externa.
Las políticas de firewall integradas que se aplican a estos pares de zonas son:
Permitir todo el tráfico : permite todo el tráfico.
Otras zonas al exterior
Las políticas de firewall integradas que se aplican a estos pares de zonas son:
Bloquear tráfico no válido : bloquea el tráfico con un estado de conexión de firewall no válido.
Permitir todo el tráfico : permite todo el tráfico.
Externo a otras zonas
Las políticas de firewall integradas que se aplican a estos pares de zonas son:
Permitir tráfico de retorno : permite el tráfico de internet que responde al tráfico enviado por los dispositivos. Esto se logra comparando los estados de conexión del firewall establecidos y relacionados.
Bloquear tráfico no válido : bloquea el tráfico con un estado de conexión de firewall no válido.
Bloquear todo el tráfico - Bloquea todo el tráfico.
Además de estas políticas, se crearán otras en función de las opciones configuradas en el UniFi Gateway. Por ejemplo, se añadirán políticas adicionales al usar la transmisión de IPTV, el reenvío de puertos o al configurar un servidor VPN.
Consideraciones importantes para la gestión de cortafuegos basada en zonas
Eliminación de zonas personalizadas : Al eliminar una zona personalizada, también se eliminarán todas las políticas de firewall asociadas. Tenga cuidado cuando una política abarque varias zonas.
Bloqueo del tráfico a la zona de puerta de enlace : Bloquear el tráfico a la zona de puerta de enlace puede interrumpir funciones críticas de la red, como DHCP y DNS. Siempre revise la configuración antes de bloquear el tráfico de la puerta de enlace.
Bloqueo de todo el tráfico entre zonas: Para bloquear todo el tráfico entre zonas y, al mismo tiempo, permitir un acceso específico, cree una política de permiso para el tráfico deseado (por ejemplo, a la IP de un servidor de almacenamiento) antes de agregar una política de bloqueo para denegar todo lo demás.
📋 Requisitos Previos
VLANs creadas y operativas
Router/firewall con filtrado inter-VLAN
Acceso administrativo al equipo
1. Identificar VLANs y Subredes
Ejemplo:
VLAN 10 – Administración: 192.168.10.0/24
VLAN 20 – Usuarios: 192.168.20.0/24
VLAN 30 – Invitados: 192.168.30.0/24
VLAN 40 – Servidores: 192.168.40.0/24
VLAN 50 – IoT: 192.168.50.0/24
2. Acceder al Firewall
En Omada Controller:
Gateway → Security → ACL
🔒 3. Regla Base (IMPORTANTE)
Bloquear todo el tráfico entre VLANs por defecto
Nombre:
Block_All_Inter_VLANOrigen: Any
Destino: Any (diferente VLAN)
Protocolo: Any
Acción: DENY
Prioridad: 100
👉 Esta regla SIEMPRE va al final.
✅ 4. Reglas Permitidas (ANTES del bloqueo)
Permitir administración total
Nombre:
Allow_Admin_AllOrigen: VLAN 10
Destino: Any
Acción: ALLOW
Prioridad: 5
Permitir usuarios a servidores
Nombre:
Allow_Users_to_ServersOrigen: VLAN 20
Destino: VLAN 40
Puertos: 80, 443, 22, 3389
Acción: ALLOW
Prioridad: 10
Bloquear invitados a redes internas
Nombre:
Block_Guests_InternalOrigen: VLAN 30
Destino: VLAN 10,20,40,50
Acción: DENY
Prioridad: 15
🛡️ Reglas de Seguridad Clave
Proteger VLAN de Administración
Nombre:
Protect_Admin_VLANOrigen: Todas excepto VLAN 10
Destino: VLAN 10
Acción: DENY
Log: Activado
Prioridad: 5
Permitir DNS
Nombre:
Allow_DNSOrigen: Any
Destino: DNS Servers
Puerto: 53 TCP/UDP
Acción: ALLOW
Prioridad: 1
Permitir NTP
Nombre:
Allow_NTPOrigen: Any
Destino: NTP Servers
Puerto: 123 UDP
Acción: ALLOW
Prioridad: 2
Bloquear NetBIOS (seguridad)
Nombre:
Block_NetBIOSPuertos: 135, 137-139, 445
Acción: DENY
Prioridad: 20
📊 Matriz de Acceso (Correcta)
Origen → Destino | Admin | Usuarios | Invitados | Servidores | IoT |
|---|---|---|---|---|---|
Admin | ✅ | ✅ | ✅ | ✅ | ✅ |
Usuarios | ❌ | ✅ | ❌ | ✅ | ❌ |
Invitados | ❌ | ❌ | ✅ | ❌ | ❌ |
Servidores | ✅ | ✅ | ❌ | ✅ | ❌ |
IoT | ❌ | ❌ | ❌ | ✅ | ✅ |
🧪 Pruebas (MUY IMPORTANTE)
Debe fallar:
ping 192.168.10.1 # Desde VLAN 20Debe funcionar:
ping 8.8.8.8
curl http://192.168.40.10⚠️ Orden Correcto de Reglas
DNS / NTP
Admin (acceso total)
Reglas específicas
Bloqueos puntuales
DENY ALL (última)
💡 Mejores Prácticas
Siempre usar deny por defecto
Permitir solo lo necesario (principio de mínimo acceso)
Activar logs en reglas críticas
Documentar todo
Revisar logs semanalmente
✅ Resultado Final (Clave)
✔ Las VLANs quedan aisladas
✔ Solo se permite tráfico explícitamente definido
✔ Mayor seguridad y control
✔ El sistema es predecibleReferencias visuales:
Interfaz de creación de zonas en UniFi
Ejemplo de asignación de VLAN a zonas
Configuración de reglas entre zonas
Video:
(No disponible en el post original)
Sugerencias:
Separar dispositivos IoT en una VLAN independiente
Limitar acceso de red Guest solo a internet
Documentar todas las reglas implementadas
Realizar pruebas después de cada cambio
Estandarización de Equipos:
Mantener misma estructura de zonas en todos los sitios
Usar nomenclatura estándar (LAN, WAN, GUEST, IoT)
Respaldar configuración antes de cambios
Equipos Compatibles:
UniFi Dream Machine (UDM, UDM Pro)
UniFi UXG
Gateways administrados por UniFi OS
No Compatibles:
Routers fuera del ecosistema UniFi
Equipos sin soporte de firewall por zonas
#Enlaces utiles
Contenido
Firmware más reciente: https://ui.com/download
Capacitación recomendada en LMS TVC:
Curso UniFi Network básico e intermedio
Curso de segmentación de redes y VLANs
Curso de ciberseguridad en redes IP
