Cisco Firepower firewall | Default Prefilter Policy
En los firewalls tradicionales normalmente todas las reglas de firewalls se gestionan desde una misma polÃtica de firewall. Sin embargo los Cisco Firepower firewalls (o FTD's) tiene una opción muy particular llamada Prefilter Policy que sirve para inspeccionar (o no) tráfico encapsulado y sin encriptar (GRE) antes de que este mismo sea inspeccionado por la Access Control Policy (o polÃtica de firewall tradicional). Para entender la idea del Prefilter policy tenemos este diagrama. El objetivo es conectar el servidor 10.10.10.10 con el servidor 10.20.20.10 via el tunnel GRE En nuestro FTD por defecto, tenemos la Default Prefilter Policy que lo hará es inspeccionar el tráfico GRE. Eso significa que en la Access Control Policy (ACP) tendremos que especificar el tráfico que queremos aceptar o denegar. En este caso creariamos la siguiente regla de firewall en los dos firewalls FTD. Source Zone: ANY Source Address: 10.10.10.10 Destination Zone: ANY Destination address: 10.2