Skip To Content

Firewalls y ArcGIS Server

Un firewall es una herramienta de seguridad que limita la cantidad de puertos en el equipo a través de tráfico que se puede enviar y recibir desde otros equipos. Al utilizar un firewall para restringir la comunicación a un número reducido de puertos, puede limitar el modo en que se puede acceder a sus equipos y asegurarse de que personas ajenas a su organización contacten solo con los programas que usted desee. Por ejemplo, suele ser habitual permitir solo que el tráfico web atraviese un servidor web e impedir el resto de tipos de tráfico. Los firewalls se pueden implementar a través del hardware, del software o de una combinación de ambos.

Los firewalls ayudan a impedir algunos ataques, como gusanos y algunos troyanos. Estos ataques entran o salen de su sistema por puertos abiertos que dejan expuestos los programas que se ejecutan en su equipo, pero cuya intención no es quedar expuestos a toda la Internet. Los firewalls no protegen de los virus adjuntos a correos electrónicos ni de amenazas dentro de la red. Por lo tanto, si bien los firewalls son importantes, no deben ser el único componente de la estrategia de seguridad general. El software antivirus y las técnicas de autorización y autenticación sólidas son ejemplos de otras estrategias de seguridad que se deben implementar en conjunto con los firewalls.

Nota:
Los firewalls que trabajan limitando los puertos abiertos difieren de los firewalls de aplicaciones web, los cuales trabajan activamente para analizar el tráfico web entrante y pueden bloquear el contenido sospechoso. Los firewalls de aplicaciones web pueden resultar herramientas útiles en su estrategia de seguridad general, pero no son el tema central que nos ocupa.

Una práctica recomendada de seguridad consiste en implementar una red perimetral, también denominada zona desmilitarizada (DMZ, por sus siglas en inglés) o subred filtrada, para impedir que usuarios externos accedan directamente a su sitio de ArcGIS Server. Una red perimetral funciona como el único punto expuesto de su red al que pueden acceder usuarios externos. Agrega una capa de seguridad a la red de su organización.

En este tema se analiza el uso de firewalls para proteger sitios de ArcGIS Server independientes (aquellos no federados con un portal de ArcGIS Enterprise). Para obtener más información sobre la seguridad de red del portal de ArcGIS Enterprise y sitios de ArcGIS Server federados, consulte Acerca de la protección de su portal.

Proteger ArcGIS Server con firewalls

Hay varias estrategias adecuadas que puede tomar para proteger su sitio de ArcGIS Server independiente con firewalls. Las siguientes estrategias utilizan firewalls para separar la red interna (en la cual la seguridad está regulada) de la red exteriores (en la que la seguridad no puede ser garantizada).

Varios firewalls con proxy inverso y ArcGIS Web Adaptor en una red perimetral

Si su organización todavía no utiliza un servidor proxy inverso, puede configurarlo y ArcGIS Web Adaptor dentro de una red perimetral. En este escenario, ArcGIS Web Adaptor recibe las solicitudes entrantes por el puerto 443. Después, envía la solicitud a través de otro firewall a ArcGIS Server, por el puerto 6443. ArcGIS Web Adaptor hace que el equipo actúe como un proxy inverso.

Situación de varios firewalls con proxy inverso y un Web Adaptor en la red perimetral

A continuación, examinaremos más de cerca cada componente de este escenario:

  • Una red perimetral consta de equipos a los que pueden acceder los usuarios de Internet a través de un firewall, pero que no forman parte de la red interna de seguridad. La red perimetral aísla la red interna del acceso directo de clientes de Internet.
  • El ArcGIS Web Adaptor de la red perimetral, recibe solicitudes de Internet a través de un puerto común, como el puerto 443. Un firewall impide el acceso a través de cualquier otro puerto. Después, ArcGIS Web Adaptor envía la solicitud a la red interna segura a través de otro firewall con el puerto 6443 de ArcGIS Server.
  • ArcGIS Server y otros componentes de ArcGIS Enterprise residen en la red interna segura. Las solicitudes que entren en la red segura deben provenir de ArcGIS Web Adaptor y pasar por un firewall. Una respuesta que deja la red segura vuelve al cliente de la misma manera en que llegó. En primer lugar, la respuesta vuelve a pasar por el firewall hasta ArcGIS Web Adaptor. A continuación, ArcGIS Web Adaptor la envía al cliente a través de otro firewall.

Si un equipo en la red perimetral de alguna manera se ve comprometido, el segundo firewall reduce la posibilidad de que los equipos afectados puedan perjudicar los equipos en la red interna.

Integración con un proxy inverso existente

Si su organización ya utiliza un proxy inverso, puede configurarlo para encaminar las solicitudes a ArcGIS Server por su red interna segura.

Para garantizar que el puerto entre el proxy inverso y su red interna segura permanezcan ocultos para usuarios externos, instale ArcGIS Web Adaptor en otro servidor web dentro de su red interna segura.

Sitio de varios firewalls con proxy inverso en la red perimetral

Para obtener más información sobre cómo integrar ArcGIS Server con su servidor proxy inverso, consulte Utilizar un servidor proxy inverso con ArcGIS Server.

Firewall único

Una opción menos segura consiste en utilizar un solo firewall para restringir el tráfico a su servidor web. Normalmente, solo el puerto 443 queda abierto. Su servidor web, ArcGIS Web Adaptor, ArcGIS Server y sus datos se encuentran tras el firewall en la red interna segura.

Configuración de un solo firewall

Para una potente seguridad de red, coloque varias capas de defensa entre clientes externos y su red interna. Si un único firewall es la única capa de defensa, la vulneración de dicha capa abre su red segura a posible actividad maliciosa. Por este motivo, desaconsejamos este tipo de configuración de seguridad.

Firewalls entre equipos de ArcGIS Server

Normalmente no es necesario colocar firewalls entre los equipos del sitio de ArcGIS Server ni entre varios sitios de ArcGIS Server. Sin embargo, si no tiene los firewalls entre los equipos, abra los puertos enumerados en Puertos utilizados por ArcGIS Server.