Firewall Configuration · 7 min read · Dec 26, 2025

Usando Firewall Builder Para Configurar Cisco ASA y PIX

Usando Firewall Builder Para Configurar Cisco ASA y PIX

Autor: Mike Horn
http://www.fwbuilder.org

Firewall Builder es una GUI de configuración y gestión de firewall que soporta la configuración de una amplia gama de firewalls desde una sola aplicación. Los firewalls soportados incluyen Linux iptables, BSD pf, Cisco ASA/PIX, listas de acceso de routers Cisco y muchos más. La lista completa de plataformas soportadas junto con paquetes binarios descargables y código fuente se puede encontrar en http://www.fwbuilder.org.

Este tutorial es el segundo en una serie de artículos que explican los pasos básicos para usar Firewall Builder para configurar cada una de las plataformas de firewall soportadas. En este tutorial configuraremos Listas de Control de Acceso (ACL) en un firewall Cisco ASA.

El diagrama a continuación muestra una configuración de firewall simple de 2 interfaces basada en un Cisco ASA 5505 con el firewall actuando como puerta de enlace a Internet para una red LAN privada.

Usaremos Firewall Builder para implementar las siguientes reglas básicas como listas de acceso en el firewall.

  • Permitir tráfico interno (10.0.0.0/24) a través del firewall a cualquier dirección de Internet para los protocolos HTTP y HTTPS
  • Permitir tráfico interno desde el Servidor de Correo (10.0.0.25) a través del firewall a una dirección IP específica (198.51.100.25) para el protocolo SMTP. Este servidor externo actúa como un relay de correo externo.
  • Permitir SMTP entrante desde la dirección IP externa (198.51.100.25) al Servidor de Correo interno (10.0.0.25).
  • Permitir tráfico interno (10.0.0.0/24) a la interfaz interna del firewall (Ethernet0/1) para el protocolo SSH.

Tenga en cuenta que las listas de acceso de Cisco ASA y PIX tienen un denegar implícito todo al final de cada lista de acceso, por lo que cualquier cosa para la que no configuremos una regla para permitir explícitamente será denegada.

También usaremos Firewall Builder para implementar la configuración de NAT en el firewall.

  • NAT de origen para todo el tráfico interno (10.0.0.0/24) a través del firewall destinado a cualquier dirección de Internet cambiando la IP de origen a la dirección IP de la interfaz externa (Ethernet0/0).
  • NAT de destino para el tráfico desde la dirección IP externa (198.51.100.25), el servidor de relay SMTP externo, que llega a la interfaz externa con el puerto de destino TCP 25 (SMTP) y redirigir eso a un Servidor de Correo interno (10.0.0.25).

NOTA

En este tutorial usamos un ASA 5505 ejecutando ASA OS v8.3. Algunas de las sintaxis de comandos, especialmente para nat, son diferentes para versiones anteriores de ASA OS, pero no tiene que preocuparse por esto ya que Firewall Builder genera automáticamente los comandos de configuración correctos según la versión configurada para el firewall.

Paso 1: Crear Objetos de Red

Vamos a comenzar creando los objetos que se utilizarán en las reglas. Firewall Builder incluye cientos de objetos predefinidos, incluidos la mayoría de los protocolos estándar, por lo que para implementar las reglas anteriores solo necesitaremos crear los objetos que son específicos para nuestra red. Para nuestras reglas, esto significa que necesitamos crear objetos para la red interna 10.0.0.0/24, para el Servidor de Correo interno (10.0.0.25) y para el servidor de relay SMTP externo con una dirección IP de 198.51.100.25.

Crear un Nuevo Objeto de Red IP

Para crear el objeto que representará nuestra red interna 10.0.0.0/24 en el árbol de la izquierda, haga doble clic en la carpeta etiquetada Objetos para expandirla. Haga clic derecho en la carpeta llamada Redes y seleccione “Nueva Red”. Esto crea un nuevo objeto de red. En la parte inferior de su pantalla, llamada Panel del Editor, puede modificar las propiedades de este objeto.

Cambie el nombre del objeto a algo que coincida con la función, en este ejemplo lo llamaremos “Red Interna” para representar las direcciones IP locales de la LAN. La dirección se establece en 10.0.0.0 y la máscara de red es 255.255.255.0.

NOTA: Al editar los atributos de un objeto no hay botón de Aplicar o Enviar. Una vez que edite un atributo, tan pronto como se aleje del campo que estaba editando, el cambio tendrá efecto de inmediato.

Crear un Nuevo Objeto de Dirección IP

Repita este proceso para crear un objeto que representará el servidor de relay SMTP que se utilizará en la regla #2. Vaya al árbol de objetos y haga clic derecho en la carpeta Direcciones y seleccione Nueva Dirección. En el Panel del Editor cambie el nombre del objeto a “Relay SMTP” y establezca la dirección IP en 198.51.100.25.

Repita los pasos anteriores para crear un nuevo objeto de Dirección que represente el Servidor de Correo interno (10.0.0.25). Después de que haya terminado, debería ver dos objetos en la carpeta del sistema Direcciones en el árbol de objetos.

Paso 2: Definir El Firewall

Para crear un objeto de firewall que represente su Cisco ASA, haga clic en el icono “Crear nuevo firewall” en la ventana principal de Firewall Builder. Esto lanzará un asistente que lo guiará a través de la creación de su objeto de firewall.

Ingrese un nombre para el objeto de firewall, en este ejemplo usaremos asa-1. Cambie el menú desplegable para el software que se está ejecutando en el firewall a “Cisco ASA (PIX)”.

Haga clic en el botón Siguiente > para continuar con el asistente.

Al crear un firewall en Firewall Builder tiene la opción de configurar interfaces manualmente, o puede usar el descubrimiento SNMP si tiene SNMP habilitado en su router y tiene acceso a una cadena de comunidad de Solo Lectura o Lectura-Escritura. Para este ejemplo, vamos a configurar las interfaces del router manualmente.

Haga clic en el botón Siguiente > para continuar al siguiente paso.

El firewall que cree en Firewall Builder debe coincidir con el firewall Cisco ASA o PIX en el que desea implementar las listas de acceso. Esto significa que los nombres de las interfaces y direcciones IP en el objeto de firewall que está creando deben coincidir exactamente con lo que está configurado en el ASA o PIX.

Haga clic en el icono verde para agregar una nueva interfaz al firewall. Ingrese el nombre de la interfaz exactamente como se muestra en la línea de comandos del ASA o PIX cuando ejecute el comando “show interface”. En nuestro ejemplo, las interfaces son Ethernet0/0 a Ethernet0/7, pero solo vamos a usar las interfaces Ethernet0/0 y Ethernet0/1.

Establezca el nombre de la interfaz como Ethernet0/0 y establezca la etiqueta en exterior. Haga clic en el botón Agregar dirección y establezca la dirección IP en 192.0.2.1 con una máscara de red de 255.255.255.240.

Haga clic en el icono verde para agregar otra interfaz al firewall. Ingrese la información en el asistente para que coincida con la segunda interfaz de la siguiente manera:

Haga clic en el botón Siguiente >.

Firewall Builder establecerá automáticamente el nivel de seguridad de la interfaz basado en la etiqueta de la interfaz y la dirección IP. La interfaz externa se establece en nivel de seguridad 0 y la interfaz interna se establece en nivel de seguridad 100.

Haga clic en el botón Finalizar para crear el objeto de firewall.

Después de crear el objeto de firewall que representa el ASA o PIX, el objeto de firewall se mostrará en el árbol de objetos en el lado izquierdo. El objeto de Política, que es donde se configuran las reglas de la lista de acceso, se abre automáticamente en la ventana principal.

Firewall Builder utiliza el concepto de Zonas de Red para determinar la topología de la red con el fin de crear reglas correctamente. Cada interfaz de firewall tiene una Zona de Red correspondiente que debe establecerse. La Zona de Red representa el conjunto de redes IP que serían la fuente del tráfico que llega a una interfaz.

Por ejemplo, si usa 10.0.0.0/8 para su red interna, la interfaz “inside” debe tener su Zona de Red establecida en un objeto que represente 10.0.0.0/8. Las Zonas de Red pueden ser un objeto de Red o un objeto de grupo que incluya múltiples objetos de Red. Un ejemplo de cuándo usaría un objeto de Grupo es si su red interna usara tanto 10.0.0.0/8 como 172.16.0.0/16. En este caso, crearía un objeto de Grupo que incluyera objetos de red para ambas redes IP y usaría ese objeto de Grupo como la Zona de Red de su interfaz “inside”.

Para la interfaz “outside” normalmente establecerá su Zona de Red en “Cualquiera”, que son todas las redes IP que no están asociadas a ninguna otra interfaz. Establezca la Zona de Red haciendo doble clic en el objeto de la interfaz del firewall y seleccionando la Zona de Red del menú desplegable.

En este ejemplo, vamos a establecer la Zona de Red para la interfaz “outside” Ethernet0/0 en “Cualquiera” y la Zona de Red para la interfaz “inside” Ethernet0/1 en “net-10.0.0.0” como se muestra a continuación.

NOTA: Las Zonas de Red utilizadas anteriormente son específicamente para este ejemplo. Si tiene diferentes direcciones IP y redes en uso en su entorno de red, es posible que deba seleccionar diferentes valores de Zona de Red.

Ahora que el firewall ASA está listo para la configuración, antes de continuar, debemos guardar nuestro archivo de datos que contiene el nuevo objeto de firewall que acabamos de crear. Haga esto yendo al menú Archivo -> Guardar Como. Elija un nombre y una ubicación para guardar este archivo.

Share: X/Twitter LinkedIn
#Firewall Configuration

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.