You are on page 1of 664

Fireware XTM Web UI v11.

3 Guía del Usuario

Fireware XTM
Web UI
v11.3 Guía del Usuario

WatchGuard XTM Devices
Firebox X Peak e-Series
Firebox X Core e-Series
Firebox X Edge e-Series
Acerca de esta Guía del usuario
La Guía del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento de
producto importante. Para lanzamientos de productos menores, sólo se actualiza el sistema de Ayuda de la
interfaz de usuario web del Fireware XTM. El sistema de Ayuda también incluye ejemplos de
implementación específicos, basados en tareas que no están disponibles en la Guía del usuario.

Para acceder a la documentación del producto más reciente, consulte la Ayuda de la interfaz de usuario
web del Fireware XTM en el sitio web de WatchGuard en:
http://www.watchguard.com/help/documentation/.

La información de esta guía está sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos
utilizados en los ejemplos de este documento son ficticios, salvo indicación en contrario. Ninguna parte de
esta guía podrá reproducirse ni transmitirse en ninguna forma y por ningún medio, electrónico o mecánico,
para ningún propósito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.

Guía revisada: 15 de julio de 2010

Información sobre copyright, marcas comerciales y patentes


Copyright© 1998–2010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas o
nombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivos
dueños.
En la Guía de copyright y licencias podrá encontrar información completa sobre copyright, marcas
comerciales, patentes y licencias. Puede consultar este documento en el sitio web:
http://www.watchguard.com/help/documentation/.

Nota Este producto es sólo para uso interno.

Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todo
en uno a un precio accesible, las cuales ofrecen protección en
profundidad y ayudan a satisfacer los requisitos de cumplimiento Dirección
reglamentarios. La línea WatchGuard XTM combina firewall, VPN,
505 Fifth Avenue South
GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de
Suite 500
spam, virus, malware e intrusiones. La nueva línea XCS ofrece
Seattle, WA 98104
seguridad para contenido web y correo electrónico combinada con
prevención de pérdida de datos. Las soluciones extensibles de Soporte
WatchGuard se adaptan para ofrecer seguridad en la medida justa, www.watchguard.com/support
desde pequeñas empresas hasta empresas con más de 10,000 EE. UU. y Canadá +877.232.3531
empleados. WatchGuard crea dispositivos de seguridad simples, Todos los demás países +1.206.521.3575
confiables y sólidos que incluyen rápida implementación,
Ventas
administración integral y herramientas para la presentación de
informes. Empresas del mundo entero confían en nuestras exclusivas EE. UU. y Canadá +1.800.734.9905
cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la Todos los demás países +1.206.613.0895

productividad.
Para obtener más información, comuníquese al 206.613.6600 o visite
www.watchguard.com.

ii Fireware XTM Web UI
Índice
Introducción a la seguridad de red 1

Acerca de redes y seguridad de red 1

Acerca de las conexiones a Internet 1

Acerca de los Protocolos 2

Acerca de las Direcciones IP 3

Direcciones privadas y puertas de enlace 3

Acerca de las máscaras de subred 3

Acerca de las Notación diagonal 3

Acerca del ingreso de Direcciones IP 4

estáticas y dinámicas Direcciones IP 4

Acerca de las DNS (sistema de domain name) 5

Acerca de firewall 6

Acerca de servicios y políticas 7

Acerca de puertos 8

El dispositivo WatchGuard y la red 8

Introducción a Fireware XTM 11

Introducción a Fireware XTM 11

Componentes de Fireware XTM 12

el WatchGuard System Manager 12

WatchGuard Server Center 13

Fireware XTM Web UI e interfaz de la línea de comandos 14

Fireware XTM con Actualización Pro 14

Servicio y soporte 17

Acerca de las Soporte de WatchGuard 17

LiveSecurity® Service 17

LiveSecurity® Service Gold 18

Expiración del servicio 19

Introducción 21

Antes de empezar 21

Verificar componentes básicos 21

Guía del Usuario iii


Obtener tecla de función del dispositivo WatchGuard 21

Recoger direcciones de red 22

Seleccione un modo configuración de firewall 23

Acerca del Quick Setup Wizard 24

Ejecutar el Web Setup Wizard 24

Conéctese al Fireware XTM Web UI 28

Conectarse a la Fireware XTM Web UI desde una red externa 29

Acerca del Fireware XTM Web UI 30

Seleccione el idioma de Fireware XTM Web UI 31

Limitaciones de la Fireware XTM Web UI 31

Concluya su instalación 32

Personalizar su política de seguridad 33

Acerca de las LiveSecurity Service 33

Temas adicionales de instalación 33

Conéctese a un Firebox con Firefox v3 33

Identificar sus configuraciones de red 35

Configure su equipo para conectarse a su dispositivo WatchGuard 37

Desactive el proxy de HTTP en el explorador 39

Información básica sobre configuración y administración 41

Acerca de las tareas básicas de configuración y administración 41

Hacer una copia de seguridad de la imagen de Firebox 41

Restaurar imagen de copia de seguridad de Firebox 42

Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42

Acerca de la unidad USB 42

Guardar una imagen de respaldo en una unidad USB conectada 42

Restaurar una imagen de respaldo desde una unidad USB conectada 43

Restaurar automáticamente una imagen de respaldo desde un dispositivo USB 44

Estructura del directorio de la unidad USB 46

Guardar una imagen de respaldo en una unidad USB conectada a su de administración 46

Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva 48

Iniciar un dispositivo Firebox o XTM en modo seguro 48

iv Fireware XTM Web UI
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las
configuraciones predeterminadas de fábrica 49

Ejecutar el Quick Setup Wizard 49

Acerca de las configuraciones predeterminadas de fábrica 49

Acerca de las teclas de función 51

Cuando compra una nueva función 51

Ver las funciones disponibles con la actual tecla de función 51

Obtener una tecla de función junto a LiveSecurity 52

Agregar una tecla de función a su Firebox 54

Reiniciar su Firebox 56

Reiniciar Firebox de modo local 57

Reiniciar Firebox de modo remoto 57

Activar NTP y agregar servidores NTP 57

Definir la zona horaria y las propiedades básicas del dispositivo 58

Acerca del SNMP 59

Sondeos y capturas SNMP 60

Acerca de las Bases de Información de Administración (MIBs) 60

Activar Sondeo de SNMP 61

Activar Capturas y estaciones de administración de SNMP 62

Acerca de las frases de contraseña, claves de cifrado y claves compartidas de WatchGuard 64

Crear una contraseña, una clave de cifrado o una clave compartida segura 64

Frases de contraseña de Firebox 64

Frases de contraseña de usuario 65

Frases de contraseña del servidor 65

Claves de cifrado y claves compartidas 66

Alterar frases de contraseña de Firebox 66

Defina las configuraciones globales del Firebox 67

Defina las configuraciones globales de administración de errores ICMP 68

Habilitar la comprobación TCP SYN 69

Definir las configuraciones globales de ajuste de tamaño máximo del segmento TCP 70

Activar o desactivar la administración de tráfico y QoS 70

Cambiar el puerto Web UI 70

Guía del Usuario v


Reinicio automático 70

Consola externa 71

Acerca de los servidores WatchGuard System Manager 71

Administrar un Firebox desde una ubicación remota 72

Configurar un Firebox como un dispositivo administrado 74

Editar la política WatchGuard 74

Configurar Dispositivo Administrado 76

Actualizar para una nueva versión del Fireware XTM 77

Instalar la actualización en su equipo administrado 77

Actualizar el Firebox 78

Descargue el archivo de configuración 78

Configuración de red 79

Acerca de las configuración de interfaz de red 79

Modos de red 79

Tipos de interfaz 80

Acerca de las interfaces de red en el Edge e-Series 81

Modo de enrutamiento combinado 82

Configurar una interfaz externa 82

Configurar el DHCP en modo de enrutamiento mixto 86

Página Acerca de Servicio DNS dinámico 88

Configurar DNS dinámico 88

Acerca de la configuración de red en modo directo 89

Utilizar modo directo para la configuración de la interfaz de red 90

Configurar host relacionados 90

Configurar DHCP en modo directo 91

Modo Bridge 94

Configuraciones de interfaz comunes 95

Desactivar una interfaz 96

Configurar retransmisión de DHCP 97

Restringir el tráfico de red mediante la dirección MAC 97

Agregar servidores WINS y Direcciones del servidor DNS 98

Configurar una secondary network 99

vi Fireware XTM Web UI
Acerca de la Configuraciones de interfaz 100

Configuración de tarjeta de interfaz de red (NIC) 101

Determinar No fragmentar bit IPSec 102

Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec 103

Usar vínculo de dirección MAC estático 103

Buscar la dirección MAC de una computadora 104

Acerca de los puentes LAN 105

Crear una configuración de puente de red. 105

Asignar una interfaz de red a un puente. 106

Acerca de 106

Agregue una ruta estática 107

Acerca de redes virtuales de área local (VLAN) 108

Requisitos y restricciones de la VLAN 108

Acerca de las etiquetado 109

Definir un nuevo (red de área local virtual) 109

Asignar interfaces a (red de área local virtual) 111

Ejemplos de configuración de red 112

Ejemplo: Configurar dos VLAN con la misma interfaz 112

Use Firebox X Edge con el bridge inalámbrico 3G Extend 115

WAN múltiple 119

Acerca de usar múltiples interfaces externas 119

Requisitos y condiciones de WAN múltiple 119

WAN múltiple y DNS 120

Acerca de las opciones de WAN múltiple 120

Orden de operación por turnos 120

Conmutación por error 121

Desbordamiento en la interfaz 121

Tabla de enrutamiento 122

Módem serie (solamente Firebox X Edge) 122

Configurar la opción de operación por turnos de WAN múltiple 122

Antes de empezar 122

Configurar interfaces 122

Guía del Usuario vii


Descubra cómo asignar pesos a interfaces 123

Configurar la opción de conmutación por error de WAN múltiple 124

Antes de empezar 124

Configurar interfaces 124

Configurar WAN múltiple Opción de desbordamiento en la interfaz 125

Antes de empezar 125

Configurar interfaces 125

Configurar WAN múltiple opción tabla de enrutamiento 126

Antes de empezar 126

Modo de tabla de enrutamiento y balance de carga 126

Configurar interfaces 126

Acerca de la tabla de enrutamiento de Firebox 127

Cuando usar los métodos de WAN múltiple y enrutamiento 127

Conmutación por error de módem serie 128

Activar conmutación por error de módem serial 128

Configuraciones de la cuenta 129

Configuraciones de DNS 129

Configuración de marcado 130

Configuraciones avanzadas 131

Configuración de "Monitor de enlace" 131

Acerca de la configuración avanzada de WAN múltiple 132

Define una duración de Sticky Connection global 133

Definir acción de failback 133

Acerca del Estado de la interfaz de WAN 134

Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 134

Definir un host de monitor de enlace 134

Traducción de dirección de red (NAT) 137

Acerca de la Traducción de dirección de red (NAT) 137

Tipos de NAT 137

Acerca de la dinámica basada en políticas 138

Agregar firewall a entradas de NAT dinámicas 138

Configurar NAT dinámica basada en políticas 141

viii Fireware XTM Web UI


Acerca de las 1-to-1 NAT 142

Acerca de 1-to-1 NAT y VPN 143

Configurar el firewall 1-to-1 NAT 144

Configurar basado en políticas 1-to-1 NAT 147

Configurar el bucle invertido de NAT con NAT estática 148

Agregar una política para bucle invertido de NAT al servidor 148

Bucle invertido de NAT y 1-to-1 NAT 150

Acerca de la NAT estática 153

Configurar Balance de carga en el servidor 154

Ejemplos de NAT 157

Ejemplo de 1-to-1 NAT 157

Configuración inalámbrica 159

Acerca de la configuración inalámbrica 159

Acerca de las configuración del punto de acceso inalámbrico 160

Antes de empezar 161

Acerca de configuraciones 161

Activar/desactivar Broadcasts de SSID 163

Cambiar la SSID 163

Registro eventos de autenticación 163

Cambiar la umbral de fragmentación 163

Cambiar la Umbral de RTS 165

Acerca de configuraciones de seguridad 166

Definir inalámbricos método de autenticación 166

Definir nivel de cifrado 167

Habilitar conexiones inalámbricas a la red opcional o de confianza 167

Activar una red inalámbrica para invitados 170

Activar un hotspot inalámbrico 173

Establecer la configuración del tiempo de espera 174

Personalizar la pantalla de presentación del hotspot 174

Conéctese a un hotspot inalámbrico 176

Consulte Conexiones hotspot inalámbricas 177

Configurar la interfaz externa como interfaz inalámbrica 178

Guía del Usuario ix


Configurar la interfaz externa principal como interfaz inalámbrica 178

Configurar un túnel BOVPN para seguridad adicional 181

Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico 181

Configurar la región operativa y el canal 182

Definir modo de operación inalámbrica 183

Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuard


XTM 2 Series 183

El país se configura automáticamente 184

Seleccionar el modo de banda y el modo inalámbrico 185

Seleccionar el canal 186

Configurar la de red invitada inalámbrica en su computadora 186

Dynamic Routing 187

Acerca de dynamic routing 187

Acerca de archivos de configuración de demonio de enrutamiento. 187

Acerca del Protocolo de Información de Enrutamiento (RIP) 188

Comandos del Protocolo de Información de Enrutamiento (RIP) 188

Configurar el Firebox para usar RIP v1 190

Configurar el Firebox para usar RIP v2 191

Muestra de archivo de configuración del enrutamiento RIP 192

Acerca del Protocolo "Abrir Camino Más Curto Primero" (OSPF) 194

Comandos de OSPF 194

Tabla de Costo de Interfaz de OSPF 197

Configurar el Firebox para usar OSPF 198

Muestra de archivo de configuración del enrutamiento OSPF 199

Acerca del Border Gateway Protocol (BGP) 201

Comandos BGP 202

Configurar el Firebox para usar el BGP 204

Muestra de archivo de configuración del enrutamiento BGP 206

Autenticación 209

Acerca de la autenticación de usuario 209

Usuario pasos de autenticación 210

Administrar usuarios autenticados 211

x Fireware XTM Web UI
Use la autenticación para restringir el tráfico entrante 212

Use la autenticación a través de un Firebox de puerta de enlace 212

Definir valores de autenticación global 212

Definir tiempos de espera de autenticación 213

Permitir múltiples inicios de sesión concomitantes 214

Limitar sesiones de inicio 214

Direccionar usuarios automáticamente al portal de inicio de sesión 215

Usar una página de inicio predeterminada personalizada 216

Definir tiempos de espera de Sesión de Administración 216

Acerca de la política de Autenticación de WatchGuard (WG-Autoriz) 216

Acerca de Single Sign-On (SSO) 217

Antes de empezar 218

Configurar SSO 218

Instalar el agente de Single Sign-On (SSO) de WatchGuard 218

Instale el cliente de Single Sign-On (SSO) de WatchGuard 220

Activar Single Sign-On (SSO) 220

Tipos de servidores de autenticación 222

Acerca de la utilización de servidores de autenticación de terceros 222

Use un servidor de autenticación de resguardo 222

Configure su Firebox como servidor de autenticación 223

Tipos de autenticación de Firebox 223

Definir un nuevo usuario para autenticación en Firebox 225

Definir un nuevo grupo para autenticación de Firebox 227

Configurar autenticación de servidor RADIUS 227

Clave de autenticación 228

Los métodos de autenticación de RADIUS 228

Antes de empezar 228

Usar la autenticación por servidor RADIUS con su dispositivo WatchGuard 228

Como la autenticación del servidor RADIUS funciona 230

Configurado autenticación de servidor VASCO 233

Configurar autenticación SecurID 234

Configurar autenticación LDAP 236

Guía del Usuario xi


Acerca de las configuraciones opcionales de LDAP 238

Configurar autenticación en Active Directory 239

Sobre la configuración opcional del Active Directory 241

Encuentre su base de búsqueda del Active Directory 241

Alterar el puerto predeterminado de Active Directory Server 242

Usar las configuraciones opciones de Active Directory o de LDAP 243

Antes de empezar 243

Especificar Configuraciones opcionales de LDAP o Active Directory 243

Use una cuenta de usuario local para autenticación 247

Use los usuarios y grupos autorizados en políticas 248

Políticas 251

Acerca de políticas 251

Políticas de filtro de paquetes y proxy 251

Acerca de cómo agregar políticas a Firebox 252

Acerca de la página de políticas de Firewall o VPN móvil 253

Agregar políticas en la configuración 254

Agregar una política de la lista de plantillas 255

Desactivar o eliminar una política 256

Acerca de los alias 257

Miembros de alias 257

Crear un alias 258

Acerca de la precedencia de políticas 260

Orden de políticas automático 260

Especificidad de la política y protocolos 260

Reglas de tráfico 261

Acciones de firewall 261

Cronogramas 261

Nombres y tipos de políticas 262

Determinar precedencia manualmente 262

Crear Cronogramas para acciones de Firebox 262

Establecer un cronograma operativo 263

Acerca de las Políticas personalizadas 263

xii Fireware XTM Web UI


Cree o edite una plantilla de política personalizada. 264

Acerca de propiedades de políticas 265

Pestaña Política 266

Pestaña Propiedades 266

Pestaña Avanzada 266

Configuraciones de proxy 266

Definir reglas de acceso a una política 267

Configurar el enrutamiento basado en la política 269

Configurar un tiempo de espera inactivo personalizado 270

Determinar Administración de errores ICMP 271

Aplicar reglas NAT 271

Defina la duración de sticky connection para una política 272

Configuraciones de proxy 273

Acerca de las políticas de proxy y ALG 273

Configuración de proxy 273

Acerca de las configuraciones de Application Blocker 274

Configurar el Application Blocker 275

Acerca de Skype y el Application Blocker 276

Agregar una política de proxy a la configuración 277

Acerca de las acciones de proxy 279

Configurar la acción de proxy 279

Editar, eliminar o clonar acciones de proxy 279

Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280

Acerca del DNS proxy 280

Proxy DNS : Contenido 281

Proxy DNS : Configuración 282

Página Acerca de Proxy FTP 284

Pestaña Política 284

Pestaña Propiedades 284

Pestaña Avanzada 285

Pestañas Configuración y Contenido 285

FTP DNS: Contenido 285

Guía del Usuario xiii


Proxy FTP : Configuración 286

Página Acerca de ALG H.323 287

ALG H.323: Contenido 289

ALG H.323: Configuración 291

Página Acerca de Proxy HTTP 292

Pestaña Política 293

Pestaña Propiedades 294

Pestaña Avanzada 294

Pestañas Configuración, Contenido y Application Blocker 294

Permitir actualizaciones de Windows a través del proxy HTTP 294

Proxy HTTP: Pestaña Contenido 295

Proxy HTTP: Pestaña Configuración 298

Proxy HTTP: Application Blocker 300

Página Acerca de Proxy HTTPS 301

Pestaña Política 301

Pestaña Propiedades 301

Pestaña Avanzada 302

Pestañas Configuración y Contenido 302

Proxy de HTTPS: Contenido 302

Proxy HTTPS : Configuración 304

Página Acerca de Proxy POP3 305

Pestaña Política 306

Pestaña Propiedades 306

Pestaña Avanzada 306

Pestañas Configuración y Contenido 306

Proxy POP3 : Contenido 307

Proxy POP3 : Configuración 308

Página Acerca de Proxy SIP 309

SIP ALG: Contenido 311

SIP ALG: Configuración 313

Página Acerca de Proxy SMTP 314

Pestaña Política 314

xiv Fireware XTM Web UI


Pestaña Propiedades 315

Pestaña Avanzada 315

Pestañas Configuración, Dirección y Contenido 315

Proxy SMTP : Dirección 315

Proxy SMTP : Contenido 316

Proxy SMTP : Configuración 318

Configure el proxy SMTP para colocar mensajes de correo electrónico en cuarentena 319

Página Acerca de Proxy de TCP-UDP 319

Pestaña Política 319

Pestaña Propiedades 319

Pestaña Avanzada 320

Pestañas Configuración y Contenido 320

Proxy de TCP-UDP: Contenido 320

Proxy de TCP-UDP: Configuración 320

Administración de tráfico y QoS 323

Acerca de las Administración de tráfico y QoS 323

Activar administración de tráfico y QoS 323

Garantice ancho de banda 324

Restrinja el ancho de banda 325

Marcado QoS 325

Prioridad de tráfico 325

Configurar el ancho de banda de interfaz saliente 325

Configure los límites de la tasa de conexión 326

Acerca de las Marcado QoS 327

Antes de empezar 327

Marcado QoS para interfaces y políticas 327

Marcado QoS y tráfico IPSec 327

Marcado: tipos y valores 328

Activar marcado QoS para una interfaz 329

Activar el marcado QoS o configuraciones de priorización para una política 330

Control de tráfico y definiciones de políticas 332

Definir un Acción de administración de tráfico 332

Guía del Usuario xv


Agregar una Acción de administración de tráfico a una política 334

Default Threat Protection 335

Acerca de la Default Threat Protection 335

Acerca de las opciones de administración predeterminada de paquetes 335

Acerca de los ataques de suplantación de paquetes 337

Acerca de los Ataques de ruta de origen de IP IP 337

Acerca de las pruebas de espacio de dirección y espacio del puerto 338

Acerca de los ataques de congestión del servidor 340

Acerca de los paquetes no controlados 342

Acerca de ataques de negación de servicio distribuidos 343

Acerca de los sitios bloqueados 343

Sitios permanentemente bloqueados 344

Lista de Sitios de bloqueo automático/Sitios temporalmente bloqueados 344

Ver y editar los sitios en la lista de Sitios Bloqueados 344

Bloquear un sitio permanentemente 344

Crear Excepciones sitios bloqueados 345

Bloquear sitios temporalmente con configuración de políticas 346

Cambiar la duración de los sitios que son bloqueados automáticamente 347

Acerca de los puertos bloqueados 347

Puertos bloqueados predeterminados 348

Bloquear un puerto 349

Registro y Notificación 351

Acerca de la generación de registros y archivos de registro 351

Log Servers 351

Syslog de estado del sistema 352

Generación de registros y notificación en aplicaciones y servidores 352

Acerca de las mensajes de registro 352

Tipos de mensajes de registro 352

Enviar mensajes de registro al WatchGuard Log Server 353

Agregar, editar o alterar la prioridad de Log Servers 354

Enviar información de registro a un host de Syslog 355

Configurar Registros 356

xvi Fireware XTM Web UI


Defina el nivel de registro de diagnóstico 357

Configurar registros y notificación para una política 359

Determinar preferencias de registro y notificación 360

Use el Syslog para ver los datos de mensaje de registro 361

Ver, Ordenar y Filtrar datos de mensaje de registro 361

Actualizar datos de mensaje de registro 363

Monitorear su Firebox 365

Monitorear su Firebox 365

El Panel de control 365

Páginas Estado del sistema 367

Tabla ARP 368

Autenticaciones 369

Medidor de ancho de banda 370

Estado de sitios bloqueados 370

Agregar o editar sitios bloqueados temporalmente 371

Suma de comprobación 372

Conexiones 372

Lista de componentes 372

Uso de CPU 373

Concesiones de protocolo de configuración dinámica de host (DHCP) 373

Diagnósticos 374

Ejecutar un comando de diagnóstico básico 374

Utilizar argumentos de comandos 374

DNS dinámico 375

Tecla de función 376

Cuando compra una nueva función 376

Ver las funciones disponibles con la actual tecla de función 376

Interfaces 377

LiveSecurity 378

Memoria 379

Lista de acceso saliente 379

Procesos 379

Guía del Usuario xvii


Rutas 380

Syslog 381

Administración de tráfico 381

Estadísticas de VPN 382

Estadísticas inalámbricas 383

Conexiones hotspot inalámbricas 384

Certificates 385

Acerca de los certificados 385

Usar múltiples certificados para determinar la confianza 385

Cómo el Firebox usa certificados 386

CRLs y caducidad de certificados 386

Solicitudes de firmas y autoridades de certificación 387

Autoridades de Certificación confiadas por Firebox 387

Ver y administrar Certificados de Firebox 393

Crear una CSR con el OpenSSL 395

Usar OpenSSL para generar una CSR 395

Firme un certificado con Microsoft CA 396

Emitir el certificado 396

Descargar el certificado 396

Usar Certificados para el proxy de HTTPS 397

Proteger un servidor HTTPS privado 397

Examinar contenido de los servidores HTTPS externos 398

Exportar el certificado de inspección de contenido HTTPS 398

Importar los certificados en dispositivos clientes 399

Solucionar problemas con la inspección de contenido HTTPS 399

Use certificados autenticados para el túnel VPN Mobile con IPSec 399

Usar un certificado para autenticación del túnel BOVPN 400

Verificar el certificado con el FSM 401

Verificar los certificados de VPN con servidor de LDAP 401

Configure el certificado del servidor web para la autenticación de Firebox 402

Importar un certificado en un dispositivo cliente 404

Importar un certificado en formato PEM con el Windows XP 404

xviii Fireware XTM Web UI


Importar un certificado en formato PEM con el Windows Vista 404

Importar un certificado en formato PEM con Mozilla Firefox 3.x 405

Importar un certificado en formato PEM con el Mac OS X 10.5 405

Redes Privada Virtual (VPN) 407

Introducción a VPNs 407

Branch Office VPN (BOVPN) 407

Mobile VPN 408

Acerca de la VPNs de IPSec 408

Acerca de los algoritmos y protocolos de IPSec 408

Acerca de las negociaciones VPN de IPSec 410

Configuraciones de Fase 1 y Fase 2 412

Acerca de Mobile VPNs 413

Seleccione una Mobile VPN 413

Opciones de acceso a Internet para usuarios de Mobile VPN 415

Descripción de configuración de Mobile VPN 416

Túneles de BOVPN manuales 417

Lo que necesita para crear un BOVPN 417

Acerca de túneles BOVPN manuales 418

Lo que necesita para crear un VPN 418

Cómo crear un túnel BOVPN manual 419

Túneles de una dirección 419

Failover de VPN 419

Configuraciones de VPN Global 419

Estado del túnel BOVPN 420

Regenerar clave de túneles BOVPN 420

Muestra cuadro de información de dirección de VPN 420

Definir puertas de enlace 421

Definir extremos de puerta de enlace 424

Configurar modo y transformaciones (Configuraciones de la Fase 1) 426

Editar y eliminar puertas de enlace 430

Desactivar inicio automático de túnel 430

Si su Firebox está detrás de un dispositivo que hace NAT 430

Guía del Usuario xix


Establezca túneles entre los extremos de puertas de enlace 431

Definir un túnel 431

Agregar rutas para un túnel 434

Configuraciones de Fase 2 434

Agregar una Propuesta de Fase 2 436

Cambiar el orden de túneles 438

Acerca de las configuraciones de VPN Global 438

Activar puerto de transferencia IPSec 439

Activar TOS para IPSec 439

Activar servidor LDAP para verificación de certificado 440

Usar 1-to-1 NAT a través de un túnel BOVPN 440

1-to-1 NAT y VPNs 440

Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441

Alternativa al uso de NAT 441

Cómo configurar la VPN 441

Ejemplo 442

Configurar el túnel local 442

Configurar el túnel remoto 445

Definir una ruta para todo el tráfico hacia Internet 447

Configurar el túnel BOVPN en el Firebox remoto 447

Configurar el túnel BOVPN en el Firebox central 448

Agregar una entrada de NAT dinámica en el Firebox central 449

Activar enrutamiento de multidifusión a través de un túnel BOVPN 450

Activar un dispositivo WatchGuard para enviar tráfico de multidifusión a través de un túnel 451

Active el otro dispositivo WatchGuard para recibir tráfico de multidifusión a través de un túnel
453

Activar el enrutamiento de difusión a través de un túnel BOVPN 453

Activar el enrutamiento de difusión para el Firebox local 454

Configurar enrutamiento de difusión para el Firebox en el otro extremo del túnel 455

Configurar Failover de VPN 456

Definir múltiples pares de puertas de enlace 456

Vea Estadísticas de VPN 458

xx Fireware XTM Web UI
Regenerar clave de túneles BOVPN 458

Preguntas relacionadas 459

¿Por qué necesito una dirección externa estática? 459

¿Cómo obtengo una dirección IP externa estática? 459

¿Cómo soluciono problemas de la conexión? 459

¿Por qué el ping no está funcionando? 459

¿Cómo configuro más que el número de túneles VPN permitido en mi Edge? 460

Mejorar la disponibilidad del túnel BOVPN 460

Mobile VPN con PPTP 465

Acerca del Mobile VPN con PPTP 465

Requisitos de Mobile VPN con PPTP 465

Niveles de cifrado 466

Configurar Mobile VPN with PPTP 466

Autenticación 467

Configuraciones de cifrado 468

Agregar al conjunto de direcciones IP 468

Configuraciones de pestañas avanzadas 469

Configurar servidores WINS y DNS 470

Agregar nuevos usuarios al grupo de usuarios de PPTP 471

Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 473

Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 474

Permitir a los usuarios de PPTP acceder a una red de confianza 474

Usar otros grupos o usuarios en una política de PPTP 475

Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP 475

VPN de ruta predeterminada 475

Dividir VPN de túnel 476

Configuración de VPN de ruta predeterminada para Mobile VPN with PPTP 476

Configuración de VPN de túnel dividido para Mobile VPN with PPTP 476

Preparar computadoras cliente para PPTP 477

Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de
servicio 477

Crear y conectar una Mobile VPN with PPTP para Windows Vista 478

Guía del Usuario xxi


Cree y conecte una Mobile VPN with PPTP para Windows XP 479

Cree y conecte una Mobile VPN with PPTP para Windows 2000 480

Realizar conexiones PPTP salientes desde detrás de un Firebox 480

Mobile VPN con IPSec 481

Acerca del Mobile VPN con IPSec 481

Configurar una conexión de Mobile VPN con IPSec 481

Requisitos del sistema 482

Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec 482

Acerca de archivos de configuración de cliente MobileVPN 483

Configurar el Firebox para Mobile VPN with IPSec 483

Agregar usuarios a un grupo de Mobile VPN de Firebox 491

Modificar un perfil de grupo existente de Mobile VPN con IPSec 493

Configurado servidores WINS y DNS. 505

Bloquear un perfil del usuario final 506

Archivos de configuración de Mobile VPN con IPSec 507

Configurar políticas para filtrar tráfico de Mobile VPN 507

Distribuir el software y los perfiles 508

Tópicos adicionales de Mobile VPN 509

Configurar Mobile VPN with IPSec para una dirección IP dinámica 510

Página Acerca de cliente Mobile VPN with IPSec 512

Requisitos del cliente 512

Instalar el software cliente de Mobile VPN con IPSec 512

Conecte y desconecte el cliente Mobile VPN 515

Vea los mensajes de registro del Mobile VPN 517

Proteger su equipo con el firewall de Mobile VPN 517

Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec de
WatchGuard 526

Configuración del Mobile VPN para Windows Mobile 531

Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile 531

Instalar el software Mobile VPN WM Configurator 532

Seleccione un certificado e ingrese el PIN 533

Importar un perfil del usuario final 533

xxii Fireware XTM Web UI


Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 534

Cargar el perfil de usuario final en el dispositivo Windows Mobile 535

Conecte y desconecte el Cliente Mobile VPN para Windows Mobile 537

Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 540

Detener el WatchGuard Mobile VPN Service 540

Desinstalar el Configurator, Service y Monitor 541

Mobile VPN con SSL 543

Acerca del Mobile VPN con SSL 543

Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL 543

Realizar configuraciones de autenticación y conexión 544

Realice las configuraciones de Red y Conjunto de direcciones IP 544

Realizar configuraciones avanzadas para Mobile VPN with SSL 547

Configurar la autenticación de usuario para Mobile VPN with SSL 549

Configurar políticas para controlar el acceso de clientes de Mobile VPN con SSL 549

Elegir un puerto y protocolo para Mobile VPN with SSL 550

Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL 551

Determinación del nombre para Mobile VPN with SSL 552

Instalar y conectar el cliente de Mobile VPN con SSL 554

Requisitos de la computadora cliente 555

Descargar el software cliente 555

Desinstalar el software cliente 556

Conectarse a su red privada 556

Controles del cliente de Mobile VPN con SSL 557

Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el
archivo de configuración 558

Desinstale el cliente de Mobile VPN con SSL. 559

WebBlocker 561

Acerca de las WebBlocker 561

Configurar un WebBlocker Server local 562

Activación de WebBlocker 562

Antes de empezar 562

Cree perfiles de WebBlocker 562

Guía del Usuario xxiii


Activar anulación local 566

Seleccione categorías para bloquear 566

Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS 567

Agregar excepciones de WebBlocker 568

Usar anulación local de WebBlocker 568

Acerca de las Categorías de WebBlocker 569

Consultar si un sitio está categorizado 570

Agregar, eliminar o cambiar una categoría 571

Acerca de las Excepciones de WebBlocker 572

Defina la acción para las sitios que no tienen coincidencias Excepciones 572

Componentes de las reglas de excepción 572

Excepciones con parte de una URL 572

Agregar WebBlocker Excepciones 573

Renovar suscripciones de seguridad 575

Acerca del vencimiento de los servicios de suscripción de WebBlocker 575

spamBlocker 577

Acerca de las spamBlocker 577

Requisitos de spamBlocker 579

Acciones, etiquetas y categorías de spamBlocker 581

Configurado spamBlocker 583

Acerca de las Excepciones de spamBlocker 587

Configurar acciones de Virus Outbreak Detection para una política 593

Configure spamBlocker para colocar mensajes de correo electrónico en cuarentena 595

Acerca de la utilización spamBlocker con servidores proxy múltiples 597

Configure los parámetros globales de spamBlocker 597

Utilice un servidor proxy HTTP para spamBlocker 599

Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de


calificación del spam 600

Active y configure los parámetros de la Virus Outbreak Detection (VOD) 601

Acerca de spamBlocker y los límites de escaneo de la VOD 602

Cree reglas para su lector de correo electrónico 602

Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook 603

xxiv Fireware XTM Web UI


Enviar un informe acerca de falsos positivos o falsos negativos 604

Utilice el registro RefID en lugar de un mensaje de texto 605

Buscar la categoría a la cual está asignado un mensaje 605

La Defensa de reputación activada 607

Acerca de la Defensa de reputación activada 607

Umbrales de reputación 607

Calificaciones de reputación 608

Comentario sobre la Defensa de reputación activada 608

Configurar la Defensa de reputación activada 608

Antes de empezar 608

Configurar la Defensa de reputación activada para una acción de proxy 609

Configurar los umbrales de reputación 610

Enviar los resultados de escaneo del Gateway Antivirus a WatchGuard 611

Gateway AntiVirus e Intrusion Prevention 613

Acerca de las Gateway AntiVirus y prevención de intrusiones 613

Instale y actualice el Gateway AntiVirus/IPS 614

Acerca del Gateway AntiVirus/la Intrusion Prevention y las políticas de proxy 614

Configurar el servicio del Gateway AntiVirus 615

Configure el servicio del Gateway AntiVirus 615

Configurar acciones del Gateway AntiVirus 616

Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena 619

Acerca de los límites de escaneo del Gateway AntiVirus 620

Actualice la configuración del Gateway AntiVirus/IPS 620

Si utiliza un cliente antivirus de terceros 621

Establezca la configuración de descompresión del Gateway AntiVirus 621

Configurar el servidor de actualización del Gateway AntiVirus/IPS 622

Ver estado de servicios de suscripción y actualizar firmas manualmente 623

Configurar el Intrusion Prevention Service 624

Antes de empezar 625

Configurar el Intrusion Prevention Service 625

Configurar acciones del IPS 627

Establezca la configuración del IPS 631

Guía del Usuario xxv


Configurado excepciones de firma 633

Quarantine Server 635

Página Acerca de Quarantine Server 635

Configure Firebox para que ponga correos electrónicos en cuarentena 636

Definir la ubicación del Quarantine Server en Firebox 636

xxvi Fireware XTM Web UI


1 Introducción a la seguridad de red

Acerca de redes y seguridad de red


Una red es un grupo de equipos y otros dispositivos que se conectan entre sí. Puede tratarse de dos equipos
en la misma habitación, decenas de equipos en una organización o muchos equipos en el mundo entero
conectados a través de Internet. Los equipos en la misma red pueden trabajar juntos y compartir datos.

Aunque las redes como Internet brindan acceso a una gran cantidad de información y oportunidades
comerciales, también pueden exponer la red a atacantes. Muchas personas creen que sus equipos no
guardan información importante o que un hacker no estará interesado en sus equipos. Se equivocan. Un
hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La información de su
organización, incluida la información personal acerca de usuarios, empleados o clientes, también es valiosa
para los hackers.

El dispositivo WatchGuard y la suscripción a LiveSecurity pueden ayudar a prevenir estos ataques. Una
buena política de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, también
pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para
que coincida con la política de seguridad y considerar las amenazas tanto internas como externas de la
organización.

Acerca de las conexiones a Internet


Los ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a través de
conexiones de red. La velocidad con la cual una conexión de red puede enviar datos se conoce como
ancho de banda: por ejemplo, 3 megabits por segundo (Mbps).

Una conexión a Internet de alta velocidad, como módem por cable o DSL (línea de suscriptor digital), se
conoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que las
conexiones telefónicas. El ancho de banda de una conexión telefónica es inferior a .1 Mbps, mientras que
una conexión de módem por cable puede ser de 5 Mbps o más.

Guía del Usuario 1


Introducción a la seguridad de red

Las velocidades típicas para los módem por cable en general son inferiores a las velocidades máximas,
porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de
banda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden volverse
lentas cuando más usuarios están en la red.

Las conexiones DSL proveen ancho de banda constante, pero en general son más lentas que las conexiones
de módem por cable. Además, el ancho de banda sólo es constante entre el hogar u oficina y la oficina
central de DSL. La oficina central de DSL no puede garantizar una buena conexión a un sitio web o red.

Cómo viaja la información en Internet


Los datos que se envían por Internet se dividen en unidades o paquetes. Cada paquete incluye la dirección
de Internet del destino. Los paquetes que componen una conexión pueden usar diferentes rutas a través
de Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar que
todos los paquetes lleguen a destino, se agrega información de dirección a los paquetes.

Acerca de los Protocolos


Un protocolo es un conjunto de reglas que permiten a los equipos conectarse a través de una red. Los
protocolos son la gramática del lenguaje que utilizan los equipos cuando se comunican a través de una red.
El protocolo estándar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es el
lenguaje común de los equipos en Internet.

Un protocolo también indica el modo en que los datos se envían a través de una red. Los protocolos
utilizados con más frecuencia son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagrama
de usuario). TCP/IP es el protocolo básico utilizado por los equipos que se conectan a Internet.

Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.
Para obtener más información sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la página 36.

2 Fireware XTM Web UI
Introducción a la seguridad de red

Acerca de las Direcciones IP


Para realizar un envío postal común a una persona, se debe conocer su dirección. Para que un equipo en
Internet envíe datos a un equipo diferente, debe conocer la dirección de ese equipo. Una dirección de
equipo se conoce como dirección de protocolo de Internet (IP). Todos los dispositivos en Internet tienen
direcciones IP únicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.

Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados en
formato decimal y separados por puntos. Cada número entre los puntos debe estar en el rango de 0 a 255.
Algunos ejemplos de direcciones IP son:

n 206.253.208.100
n 4.2.2.2
n 10.0.4.1

Direcciones privadas y puertas de enlace


Muchas empresas crean redes privadas que tienen su propio espacio de dirección. Las direcciones 10.x.x.x
y 192.168.x.x están reservadas para direcciones IP privadas. Los equipos en Internet no pueden usar estas
direcciones. Si su equipo está en una red privada, se conecta a Internet a través de un dispositivo de puerta
de enlace que tiene una dirección IP pública.

En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario
e Internet. Después de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada
para todos los equipos conectados a sus interfaces de confianza u opcionales.

Acerca de las máscaras de subred


Debido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones más
pequeñas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Por
ejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50
pertenecen a la misma subred.

La subnet mask o máscara de red de una dirección IP de red es una serie de bits que enmascaran secciones
de la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para el host.
Una puede escribirse del mismo modo que una dirección IP o en notación diagonal o CIDR (enrutamiento
de interdominios sin clases).

Acerca de las Notación diagonal


Firebox utiliza notación diagonal para muchos fines, entre ellos la configuración de políticas. La notación
diagonal, conocida también como notación CIDR (enrutamiento de interdominios sin clases) , es un modo
compacto de mostrar o escribir una máscara de subred. Cuando se usa notación diagonal, se escribe la
dirección IP , una barra diagonal hacia adelante (/) y el número de máscara de subred.

Para encontrar el número de máscara de subred el usuario debe:

1. Convertir la representación decimal de la máscara de subred a una representación binaria.


2. Contar cada "1" en la máscara de subred. El total es el número de máscara de subred.

Guía del Usuario 3


Introducción a la seguridad de red

Por ejemplo, el usuario desea escribir la dirección IP 192.168.42.23 con una máscara de subred de
255.255.255.0 en notación diagonal.

1. Convertir la máscara de subred a una representación binaria.


En este ejemplo, la representación binaria de 255.255.255.0 es:
11111111.11111111.11111111.00000000.
2. Contar cada "1" en la máscara de subred.
En este ejemplo, hay veinticuatro (24).
3. Escribir la dirección IP original, una barra diagonal hacia adelante (/) y luego el número del paso 2.
El resultado es 192.168.42.23/24.

La siguiente tabla muestra máscaras de red comunes y sus equivalentes en notación diagonal.

Máscara de red Equivalente diagonal

255.0.0.0 /8

255.255.0.0 /16

255.255.255.0 /24

255.255.255.128 /25

255.255.255.192 /26

255.255.255.224 /27

255.255.255.240 /28

255.255.255.248 /29

255.255.255.252 /30

Acerca del ingreso de Direcciones IP


Cuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de diálogo, se deben ingresar los
dígitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barra
espaciadora ni el mouse para colocar el cursor después de los decimales.

Por ejemplo si ingresa la dirección IP 172.16.1.10, no ingrese un espacio después de ingresar 16. No intente
colocar el cursor después del decimal subsiguiente para ingresar 1. Ingrese un decimal directamente después
de 16 y luego ingrese 1.10. Presione la tecla de barra inclinada (/) para desplazarse a la máscara de red.

estáticas y dinámicas Direcciones IP


Los ISP (proveedores de servicios de Internet) asignan una dirección IP a cada dispositivo en la red. La
dirección IP puede ser estática o dinámica.

4 Fireware XTM Web UI
Introducción a la seguridad de red

Direcciones IP estáticas
Una dirección IP estática es una dirección IP que permanece siempre igual. Si tiene un servidor web, un
servidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puede
obtener una dirección IP estática de su ISP. Una dirección IP estática generalmente es más costosa que una
dirección IP dinámica. Algunos ISP no proveen direcciones IP estáticas. La dirección IP estática debe
configurarse en forma manual.

Direcciones IP dinámicas
Una dirección IP dinámica es una dirección IP que el ISP permite utilizar en forma temporal a un usuario. Si
una dirección dinámica no está en uso, puede ser asignada automáticamente a un dispositivo diferente. Las
direcciones IP dinámicas se asignan a través de DHCP o PPPoE.

Acerca de DHCP
El Protocolo de Configuración Dinámica de Host (DHCP) es un protocolo de Internet que los equipos en red
utilizan para obtener direcciones IP y otra información como la puerta de enlace predeterminada. Cuando
el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna
automáticamente una dirección IP. Podría ser la misma dirección IP que tenía anteriormente o podría ser
una nueva. Cuando se cierra una conexión a Internet que usa una dirección IP dinámica, el ISP puede
asignar esa dirección IP a un cliente diferente.

El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrás del dispositivo. Se
asigna un rango de direcciones para que el servidor DHCP use.

Acerca de PPPoE
Algunos ISP asignan direcciones IP a través del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega
algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexión de acceso
telefónico estándar. Este protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación y
seguridad de su infraestructura telefónica con productos DSL de módem y de módem por cable.

Acerca de las DNS (sistema de domain name)


Con frecuencia se puede encontrar la dirección de una persona desconocida en el directorio telefónico. En
Internet, el equivalente a un directorio telefónico es el DNS(sistema de domain name). El DNS es una red
de servidores que traducen direcciones IP numéricas en direcciones de Internet legibles y viceversa. El
DNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, como
www.example.com y encuentra la dirección IP equivalente, como 50.50.50.1. Los dispositivos de red
necesitan la dirección IP real para encontrar el sitio web, pero para los usuarios es mucho más fácil
ingresar y recordar los domain names que las direcciones IP.

Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a solicitudes de DNS. También se puede usar un servidor DNS en la red
externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).

Guía del Usuario 5


Introducción a la seguridad de red

Acerca de firewall
Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la
red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el
firewall protege de Internet a los equipos de una red de confianza.

Los firewall usan políticas de acceso para identificar y filtrar diferentes tipos de información. También
pueden controlar qué políticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).
Por ejemplo, muchos firewall tienen políticas de seguridad de prueba que permiten sólo tipos de tráfico
específicos. Los usuarios pueden seleccionar la política más conveniente para ellos. Otros firewall, por
ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas políticas.

Para más informaciones, vea Acerca de servicios y políticas en la página 7 y Acerca de puertos en la página 8

6 Fireware XTM Web UI
Introducción a la seguridad de red

Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no
autorizados en Internet y examina el tráfico que ingresa a redes protegidas o sale de éstas. El firewall
rechaza el tráfico de red que no coincide con los criterios o políticas de seguridad.

En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a
menos que exista una regla específica para permitir la conexión. Para implementar este tipo de firewall, se
debe tener información detallada acerca de las aplicaciones de red requeridas para satisfacer las
necesidades de una organización. Otros firewall permiten todas las conexiones de red que no han sido
rechazadas explícitamente. Este tipo de firewall abierto es más fácil de implementar, pero no es tan seguro.

Acerca de servicios y políticas


El usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrónico, archivos o
comandos) desde una computadora a otra a través de una red o a una red diferente. Estos servicios utilizan
protocolos. Los servicios de Internet utilizados con frecuencia son:

n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).


n El correo electrónico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de
Oficina de Correos (POP3).
n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).
n Resolver un domain name a una dirección de Internet utiliza el Servicio de Domain Name (DNS).
n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).

Cuando se autoriza o se rechaza un servicio, se debe agregar una política a la configuración del dispositivo
WatchGuard. Cada política que se agrega también puede sumar un riesgo de seguridad. Para enviar y recibir
datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar
sólo las políticas necesarias para la empresa.

Como ejemplo del modo en que se utiliza una política, supongamos que el administrador de red de una
empresa desea activar una conexión de servicios de terminal de Windows al servidor web público de la
empresa en la interfaz opcional del Firebox. Periódicamente administra el servidor web con una conexión

Guía del Usuario 7


Introducción a la seguridad de red

de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningún otro usuario de la red pueda
utilizar los servicios de terminal del Protocolo de Escritorio Remoto a través del Firebox. El administrador
de red debe agregar una política que permita conexiones RDP sólo desde la dirección IP de su propio
equipo de escritorio a la dirección IP del servidor web público.

Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente sólo agrega
conectividad saliente limitada. Si el usuario tiene más aplicaciones de software y tráfico de red para que
examine Firebox, debe:

n Configurar las políticas en Firebox para que transfieran en tráfico necesario.


n Definir las propiedades y hosts aprobados para cada política
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.

Acerca de puertos
Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexión, los puertos
también son números utilizados para asignar tráfico a un proceso particular en un equipo. En estos puertos,
también llamados puertos TCP y UDP los programas transmiten datos. Si una dirección IP es como la
dirección de una calle, un número de puerto es como un número de departamento o edificio dentro de
esa calle. Cuando un equipo envía tráfico a través de Internet a un servidor u otro equipo, utiliza una
dirección IP para identificar al servidor o equipo remoto y un número de puerto para identificar el proceso
en el servidor o equipo que recibe los datos.

Por ejemplo, supongamos que deseamos ver una página web en particular. El explorador web intenta crear
una conexión en el puerto 80 (el puerto utilizado para tráfico HTTP) para cada elemento de la página web.
Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexión.

Muchos puertos se usan sólo para un tipo de tráfico, como el puerto 25 para SMTP (Protocolo simple de
transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otros
programas se les asignan números de puerto en forma dinámica para cada conexión. IANA (Internet
Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a
través de:
http://www.iana.org/assignments/port-numbers

La mayoría de las políticas que se agregan a la configuración del Firebox tienen un número de puerto entre
0 y 1024, pero los números de puerto posibles pueden ser entre 0 y 65535.

Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza el
protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se
pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para más informaciones, vea
Acerca de los puertos bloqueados en la página 347.

El dispositivo WatchGuard y la red


El dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo el
tráfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red,
también se puede configurar una interfaz de red opcional que esté separada de la red de confianza. Luego
se puede configurar el firewall en el dispositivo para detener todo el tráfico sospechoso de la red externa a

8 Fireware XTM Web UI
Introducción a la seguridad de red

las redes de confianza y opcionales. Si se enruta todo el tráfico para los equipos de confianza combinada a
través de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar más
flexibilidad a la solución de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para los
usuarios remotos o para servidores públicos como un servidor web o un servidor de correo electrónico.

Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redes
informáticas o seguridad de red. La Web UI (interfaz de usuario basada en la web) de Fireware XTM provee
muchas herramientas de autoayuda para estos clientes. Los clientes con más experiencia pueden utilizar la
integración avanzada y las múltiples funciones de soporte WAN del Fireware Appliance Software XTM Pro
para conectar un dispositivo WatchGuard a una red de área ancha mayor. El dispositivo WatchGuard se
conecta a un módem por cable, DSL de módem o enrutador ISDN.

La Web UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desde
diferentes ubicaciones y en cualquier momento. Así se obtiene más tiempo y recursos para utilizar en otros
equipos de la empresa.

Guía del Usuario 9


Introducción a la seguridad de red

Guía del Usuario 10


2 Introducción a Fireware XTM

Introducción a Fireware XTM


Fireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Firebox
en su red. La solución Fireware XTM incluye cuatro aplicaciones de software:

n WatchGuard System Manager (WSM)


n Fireware XTM Web UI
n Command Line Interface (CLI) de Fireware XTM
n WatchGuard Server Center

Posiblemente sea necesario utilizar más de una aplicación Fireware XTM para configurar la red de una
organización. Por ejemplo, si se tiene sólo un producto Firebox X Edge e-Series, la mayoría de las tareas de
configuración pueden realizarse con la Fireware XTM Web UI o la Command Line Interface de Fireware
XTM. Sin embargo, para funciones de administración y registro más avanzadas, se debe utilizar WatchGuard
Server Center. Si el usuario administra más de un dispositivo WatchGuard o si ha comprado Fireware XTM
con una actualización Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide
administrar y monitorear la configuración con la Fireware XTM Web UI , algunas funciones no pueden
configurarse.

Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la Fireware XTM Web
UI en la página 31.

Para obtener más información acerca de cómo conectarse a Firebox con el WatchGuard System Manager o
la Command Line Interface de Fireware XTM, consulte la Ayuda en línea o la Guía del usuario para esos
productos. Se puede visualizar y descargar la documentación más reciente para estos productos en la
página Documentación del producto de Fireware XTM:
http://www.watchguard.com/help/documentation/xtm.asp.

Nota Los términos Firebox y dispositivo WatchGuard que se encuentran a lo largo de


toda esta documentación se refieren a productos de WatchGuard que usan
Fireware XTM, como el dispositivo Firebox X Edge e-Series.

Guía del Usuario 11


Introducción a Fireware XTM

Componentes de Fireware XTM


Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,
seleccione el acceso directo desde el menú de Inicio. WatchGuard Server Center también puede iniciarse
desde un ícono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientas
que ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desde
WatchGuard System Manager (WSM).

el WatchGuard System Manager


WatchGuard System Manager (WSM) es la principal aplicación para la administración de red con Firebox.
WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usan
distintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan a
monitorear y controlar el tráfico de red.

Policy Manager

Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto
completo de filtrados de paquetes preconfigurados, políticas de proxy y puertas de enlace de la
capa de aplicación (ALG). El usuario también puede establecer un filtrado de paquetes
personalizado, una política de proxy o ALG en los cuales se configuran los puertos, los protocolos y
otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusión en la
red, como ataques de congestión del servidor SYN, ataques de suplantación de paquetes y sondeos
de espacio entre puertos o direcciones.

Firebox System Manager (FSM)

El Firebox System Manager provee una interfaz para monitorear todos los componentes del
dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su
configuración.

12 Fireware XTM Web UI
Introducción a Fireware XTM

HostWatch

HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entre
diferentes interfaces de Firebox. HostWatch también muestra información acerca de usuarios,
conexiones, puertos y servicios.

LogViewer

El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo
de registro. Puede mostrar los datos de registro página por página, o buscar y exhibir por palabras
claves o campos de registro especificados.

Report Manager

El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers
para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes
WatchGuard disponibles para los dispositivos WatchGuard.

Administrador de CA

El Administrador de la autoridad de certificación (CA) muestra una lista completa de certificados de


seguridad instalados en el equipo de administración con Fireware XTM. Esta aplicación puede
utilizarse para importar, configurar y generar certificados para uso con túneles VPN y otros fines de
autenticación.

WatchGuard Server Center


WatchGuard Server Center es la aplicación donde se configuran y monitorean todos los servidores
WatchGuard.

Management Server

El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simple
función de arrastrar y soltar. Las funciones básicas del Management Server son:

n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo
de Internet (IPSec).
n Administración de la configuración del túnel VPN.
n Administración de múltiples dispositivos Firebox y Firebox X Edge.

Log Server

El Log Server reúne los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de
registro están cifrados cuando se envían al Log Server. El formato del mensaje de registro es XML
(texto sin formato). La información reunida de dispositivos de firewall incluye los siguientes
mensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística.

WebBlocker Server

El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a
categorías específicas de sitios web. Durante la configuración del Firebox, el administrador establece
las categorías de sitios web para permitir o bloquear.

Guía del Usuario 13


Introducción a Fireware XTM

Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la página 561.

Quarantine Server

El Quarantine Server reúne y aísla mensajes de correo electrónico que según la sospecha de
spamBlocker son spam o pueden tener un virus.

Para más informaciones, vea Página Acerca de Quarantine Server en la página 635.

Report Server

El Report Server periódicamente agrupa los datos reunidos por los Log Servers en los dispositivos
WatchGuard y luego genera informes en forma periódica. Una vez que los datos se encuentran en el
Report Server, se puede utilizar el Report Manager para generar y ver los informes.

Fireware XTM Web UI e interfaz de la línea de comandos


La Fireware XTM Web UI y la Command Line Interface son soluciones de administración alternativas que
pueden realizar la mayoría de las mismas tareas que WatchGuard System Manager y el Policy Manager .
Algunas opciones y funciones de configuración avanzada, como las configuraciones de FireCluster o política
de proxy, no están disponibles en la Fireware XTM Web UI o la Command Line Interface.

Para más informaciones, vea Acerca del Fireware XTM Web UI en la página 30.

Fireware XTM con Actualización Pro


La actualización Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,
como balance de carga en el servidor y túneles SSL VPN adicionales. Las funciones disponibles con una
actualización Pro dependen del tipo y el modelo de Firebox:

Core/Peak e-Series
Core e- Edge e- Edge e-Series
Función y XTM XTM 1050
Series Series (Pro)
(Pro)

FireCluster X

75 máx. (Core)
VLANs 75 máx. 200 máx. (Peak/XTM 20 máx. 50 máx.
 1050)

Dynamic Routing (OSPF y BGP) X

Enrutamiento basado en la política X X

Balance de carga en el servidor X

Túneles SSL VPN máximos X X

Conmutación por error de WAN


X X X
múltiples

Balance de carga de WAN


X X
múltiples

14 Fireware XTM Web UI
Introducción a Fireware XTM

Para adquirir Fireware XTM con una actualización Pro, comuníquese con su revendedor local.

Guía del Usuario 15


Introducción a Fireware XTM

Guía del Usuario 16


3 Servicio y soporte

Acerca de las Soporte de WatchGuard


WatchGuard® sabe qué importante resulta el soporte cuando debe asegurar su red con recursos limitados.
Nuestros clientes requieren más conocimiento y asistencia en un mundo donde la seguridad es de
importancia crítica. LiveSecurity® Service le proporciona el respaldo que necesita, con una suscripción que
respalda su dispositivo WatchGuard desde el momento del registro.

LiveSecurity® Service
Su dispositivo WatchGuard incluye una suscripción al innovador LiveSecurity® Service, que se activa en línea
cuando registra el producto. En el momento de la activación, la suscripción de LiveSecurity® Service le
otorga acceso a un programa de soporte y mantenimiento sin comparación en la industria.

LiveSecurity® Service viene con los siguientes beneficios:

Garantía de hardware con reemplazo de hardware avanzado

Una suscripción activa de LiveSecurity extiende la garantía de hardware de un año incluida con cada
dispositivo WatchGuard. Su suscripción además ofrece el reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,
WatchGuard le enviará una unidad de reemplazo antes de que tenga que enviar el hardware
original.

Actualizaciones de software

Su suscripción de LiveSecurity® Service le proporciona acceso a las actualizaciones del software


actual y a las mejoras funcionales para sus productos WatchGuard.

Soporte técnico

Cuando necesita asistencia, nuestros equipos expertos están listos para ayudarlo:

n Representantes disponibles 12 horas al día, 5 días a la semana en su zona horaria local*


n Tiempo máximo de respuesta inicial focalizada de cuatro horas

Guía del Usuario 17


Servicio y soporte

n Acceso a foros para usuarios en línea moderados por ingenieros generales de soporte

Recursos y alertas de soporte

Su suscripción de LiveSecurity® Service le brinda acceso a una variedad de videos instructivos de


producción profesional, cursos de capacitación interactivos en Internet y herramientas en línea
diseñadas específicamente para responder las preguntas que pueda tener acerca de la seguridad de
red en general o los aspectos técnicos de la instalación, la configuración y el mantenimiento de sus
productos WatchGuard.

Nuestro Equipo de respuesta rápida, un grupo dedicado de expertos en seguridad de red,


monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones de
LiveSecurity para indicarle de manera específica lo que debe hacer para encargarse de cada nueva
amenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo de
avisos y alertas que le envía LiveSecurity® Service.

LiveSecurity® Service Gold


LiveSecurity® Service Gold está disponible para las compañías que requieren disponibilidad las 24 horas.
Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos de
respuesta más rápidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold es
necesario en cada unidad de su organización para contar con una cobertura completa.

LiveSecurity®
Características del servicio LiveSecurity® Service
Service Gold

De lunes a viernes, de 6.00 a.


Horarios de soporte técnico las 24 horas
 m. a 6.00 p. m.*

Número de incidentes de soporte


5 por año Ilimitada
(en línea o por teléfono)

Tiempo de respuesta inicial focalizada 4 horas 1 hora

Foro de soporte interactivo Sí Sí

Actualizaciones de software Sí Sí

Herramientas de autoayuda y capacitación en línea Sí Sí

Transmisiones de LiveSecurity Sí Sí

Asistencia de instalación Opcional Opcional

Paquete de soporte de tres incidentes Opcional N/A

Actualización de respuesta de prioridad


Opcional N/A
de una hora, para un solo incidente

Actualización para un solo incidente fuera del


Opcional N/A
horario de trabajo habitual

18 Fireware XTM Web UI
Servicio y soporte

* En la región del pacífico asiático, los horarios de soporte estándar son de lunes a viernes, de 9.00 a. m. a 9.00 p. m.
(GMT +8).

Expiración del servicio


Le recomendamos mantener su suscripción activa para asegurar su organización. Cuando su suscripción de
LiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones de
software periódicas, lo que puede poner su red en peligro. El daño a la red resulta mucho más costoso que
una renovación de la suscripción de LiveSecurity® Service. Si realiza la renovación dentro de 30 días, no se
le cobrará una tarifa de reingreso.

Guía del Usuario 19


Servicio y soporte

Guía del Usuario 20


4 Introducción

Antes de empezar
Antes de empezar el proceso de instalación, asegúrese de concluir las tareas descritas en las siguientes
secciones.

Nota En esas instrucciones de instalación, suponemos que su dispositivo WatchGuard


tenga una interfaz de confianza, una externa y una opcional configurada. Para
configurar interfaces adicionales en su dispositivo, use las herramientas y
procedimientos de configuración descritos en los tópicos Configuración de red y
Configuración.

Verificar componentes básicos


Asegurarse de que tiene esos ítems:

n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instalados


n Un dispositivo Firebox o XTM de WatchGuard
n Un cable serial (azul)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable cruzado de Ethernet (rojo)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable recto de Ethernet (verde)
n Cable de energía o adaptador de energía CA

Obtener tecla de función del dispositivo WatchGuard


Para habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio web
de LiveSecurity de WatchGuard y obtener su tecla de función. El Firebox tiene sólo una licencia de usuario
(licencia por puesto) hasta que aplica su tecla de función.

Guía del Usuario 21


Introducción

Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su
tecla de función en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de función
en el asistente, aún puede finalizarlo. Hasta que se agregue la tecla de función, sólo una conexión es
permitida a Internet.

También se obtiene una nueva tecla de función para cualquier producto o servicio opcional cuando los
compra. Después de registrar su dispositivo WatchGuard o cualquier nueva función, puede sincronizar su
tecla de función del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de
LiveSecurity de WatchGuard. Puede usar Fireware XTM Web UI en cualquier momento para obtener su
tecla de función.

Para saber cómo registrar su dispositivo WatchGuard y obtener una tecla de función, vea Obtener una tecla
de función junto a LiveSecurity en la página 52.

Recoger direcciones de red


Recomendamos que registre su información de red antes y después de configurar su dispositivo
WatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo en
funcionamiento. Para más información acerca de cómo identificar sus direcciones IP de red, vea Identificar
sus configuraciones de red en la página 35.

WatchGuard usa la notación diagonal para mostrar la Subnet Mask. Para más informaciones, vea Acerca de
las Notación diagonal en la página 3. Para más información acerca de las direcciones IP, vea Acerca de las
Direcciones IP en la página 3.

Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard

Red de Área Amplia _____._____._____._____ / ____

Puerta de enlace predeterminada _____._____._____._____

Red de área local _____._____._____._____ / ____

Secondary Network (si corresponde) _____._____._____._____ / ____

Servidor(es) Público(s) (si corresponde) _____._____._____._____

_____._____._____._____

_____._____._____._____

Use la segunda tabla para sus direcciones IP de red después de poner su dispositivo WatchGuard en
funcionamiento.

Interfaz externa

Conecta a la red externa (generalmente Internet) que no sea de confianza.

Interfaz de confianza

Conecta a la red interna o LAN (red de área local) privada que desea proteger.

22 Fireware XTM Web UI
Introducción

Interfaz opcional

Generalmente conecta a un área de confianza combinada de su red, tales como servidores en DMZ
(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.

Tabla 1: Direcciones IP de red con el dispositivo WatchGuard

Puerta de enlace predeterminada _____._____._____._____

Interfaz externa _____._____._____._____/ ____

Interfaz de confianza _____._____._____._____ / ____

Interfaz opcional _____._____._____._____ / ____

Secondary Network (si corresponde) _____._____._____._____ / ____

Seleccione un modo configuración de firewall


Debe elegir cómo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick Setup
Wizard. La forma como conecta el dispositivo controla la configuración de la interfaz. Cuando conecta el
dispositivo, selecciona el modo de configuración — enrutado o directo — que mejor de adecue a su red
actual.

Muchas redes funcionan mejor con la configuración de enrutamiento combinado, pero recomendamos el
modo directo si:

n Ya asignó un gran número de direcciones IP estáticas y no desea alterar su configuración de red.


n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP
públicas con direcciones IP privadas.

Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el
modo configuración del firewall.

Modo de enrutamiento combinado Modo directo

Todas las interfaces del dispositivo WatchGuard


Todas las interfaces del dispositivo WatchGuard
están en la misma red y tienen la misma dirección
están el redes diferentes.
IP.

Las interfaces de confianza y opcional deben estar


Los equipos en las interfaces de confianza u opcional
en redes diferentes. Cada interfaz tiene una
pueden tener una dirección IP pública.
dirección IP en su red.

Use la NAT (traducción de dirección de red)


estática para asignar direcciones públicas a La NAT no es necesaria porque los equipos con
direcciones privadas detrás de las interfaces de acceso público tienen direcciones IP.
confianza u opcionales.

Para más información acerca del modo directo, vea Acerca de la configuración de red en modo directo en
la página 89.

Guía del Usuario 23


Introducción

Para más información acerca del modo de enrutamiento combinado, vea Modo de enrutamiento
combinado en la página 82.

El dispositivo WatchGuard también soporta un tercer modo configuración llamado modo puente. Ese modo
es usado con menos frecuencia. Para más información acerca del modo puente, vea Modo Bridge en la
página 94.

Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear su
configuración inicial. Cuando ejecuta el Web Setup Wizard, la configuración
firewall es automáticamente definida en modo de enrutamiento combinado.
Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en
modo de enrutamiento combinado o modo directo.

Ahora puede iniciar el Quick Setup Wizard. Para más informaciones, vea Acerca del Quick Setup Wizard en
la página 24.

Acerca del Quick Setup Wizard


Se puede usar la Quick Setup Wizard para crear una configuración básica para su dispositivo WatchGuard. El
dispositivo usa ese archivo de configuración básica cuando se inicia por primera vez. Eso permite que
funcione como un firewall básico. Puede usar ese mismo procedimiento a cualquier momento para
restablecer el dispositivo en una configuración básica nueva. Eso es útil para la recuperación del sistema.

Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen sólo las políticas básicas
(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene
más aplicaciones de software y tráfico de red para que el dispositivo busque, debe:

n Configurar las políticas en el dispositivo WatchGuard para dejar pasar el tráfico necesario
n Definir las propiedades y hosts aprobados para cada política
n Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos

Para instrucciones acerca de cómo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web
Setup Wizard en la página 24.

Ejecutar el Web Setup Wizard


Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el Fireware
XTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versión anterior del
software, debe actualizar para el Fireware XTM antes de usar esas instrucciones.
Vea las Notas de versión para las instrucciones de actualización para su modelo de
Firebox.

Puede usar el Web Setup Wizard para hacer una configuración básica en un dispositivo WatchGuard XTM o
Firebox X e-Series. El Web Setup Wizard automáticamente configura el Firebox en el modo de
enrutamiento combinado.

24 Fireware XTM Web UI
Introducción

Para usar el Web Setup Wizard, debe hacer una conexión de red directa hacia el dispositivo WatchGuard y
usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, él usa DHCP
para enviar una nueva dirección IP a su equipo.

Antes de iniciar el Web Setup Wizard, asegúrese de:

n Registrar su dispositivo WatchGuard con el LiveSecurity Service


n Almacenarunacopiade latecladefuncióndeldispositivoWatchGuardenunarchivodetextoensuequipo

Iniciar el Web Setup Wizard


1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo de
administración a la interfaz de confianza del Firebox.

n Para un dispositivo Firebox X Core, Peak e-Series, o XTM, la interfaz de confianza es la número 1
n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energía a la entrada de energía del dispositivo WatchGuard y a una fuente de
energía.
3. Inicie el Firebox en modo predeterminado de fábrica. En los modelos Core, Peak y XTM, eso se
conoce como modo seguro.

Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior
o nueva en la página 48.
4. Asegúrese de que su equipo esté configurado para aceptar una dirección IP asignada por DHCP.

Si su equipo usa Windows XP:


n En el menú Windows Inicio, seleccione Todos los programas > Panel de control > Conexiones
de red > Conexiones de área local.
n Haga clic en Propiedades.
n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.
n Asegúrese de que Obtener una dirección IP automáticamente esté seleccionado.
Para instrucciones más detalladas, vea Identificar sus configuraciones de red en la página 35.
5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuración
proxy HTTP en su explorador.

Para más informaciones, vea Desactive el proxy de HTTP en el explorador en la página 39.
6. Abra el explorador web e ingrese la dirección IP predeterminada de fábrica de interfaz 1.
Para un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, la dirección IP es:
https://10.0.1.1:8080 .
Para un Firebox X Edge, la dirección es: https://192.168.111.1:8080 .
Si usa el Internet Explorer, asegúrese de ingresar el https:// al principio de la dirección IP. Eso
establece una conexión HTTP segura entre su equipo de administración y el dispositivo WatchGuard.
El Web Setup Wizard se inicia automáticamente.
7. Registre las credenciales de cuenta del administrador:
Nombre de usuario: admin
Frase de contraseña: lecturaescritura
8. Complete las siguientes pantallas del asistente.

Guía del Usuario 25


Introducción

El Web Setup Wizard incluye ese grupo de cuadros de diálogo. Algunos cuadros de diálogo aparecen
sólo si selecciona ciertos métodos de configuración:

Ingresar

Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione
admin. Para Frase de contraseña, use la frase: lecturaescritura.

Bienvenido

La primera pantalla le informa sobre el asistente.

Seleccione un tipo de configuración.

Seleccione si prefiere crear una nueva configuración o restaurar una configuración a partir de
una imagen de copia de seguridad guardada.

Acuerdo de licencia

Debe aceptar el acuerdo de licencia para continuar con el asistente.

Opciones de tecla de función, Retener tecla de función, Aplicar tecla de función

Si su Firebox todavía no tiene una tecla de función, el asistente provee opciones para que
descargue o importe una tecla de función. El asistente sólo puede descargar una tecla de
función si tiene una conexión a Internet. Si descargó una copia local de la tecla de función a su
equipo, puede pegarla en el asistente de configuración.

Si el Firebox no tiene una conexión a Internet mientras ejecuta el asistente y no se registró el


dispositivo ni descargó la tecla de función a su equipo antes de haber iniciado el asistente,
puede elegir no aplicar una tecla de función.

Advertencia
Si no aplica una tecla de función en el Web Setup Wizard, debe registrar el
dispositivo y aplicar la tecla de función en el Fireware XTM Web UI. La
funcionalidad del dispositivo es limitada hasta que se aplique una tecla de función.

Configurar la interfaz externa de su Firebox

Seleccione el método que su ISP usa para asignar su dirección IP. Las opciones son DHCP, PPPoE
o estática.

Configurar la interfaz externa para DHCP

Ingrese su identificación de DHCP, tal como su ISP la provee.

Configurar la interfaz externa para PPPoE

Ingrese su información de PPPoE, tal como su ISP la provee.

Configurar la interfaz externa con una dirección IP estática

Ingrese su dirección IP estática, tal como su ISP la provee.

Configurar los servidores DNS y WINS

Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice

Configurar la interfaz de confianza del Firebox

26 Fireware XTM Web UI
Introducción

Ingrese la dirección IP de la interfaz de confianza. Como opción, puede activar el servidor DHCP
para la interfaz de confianza.

Inalámbrico (Firebox X Edge e-Series inalámbrico solamente)

Define la región de funcionamiento, canal y modo inalámbrico. La lista de regiones de


funcionamiento inalámbrico que puede seleccionar puede ser diferente según donde haya
adquirido su Firebox.

Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series
inalámbrico en la página 181.

Crear frases de contraseña para su dispositivo

Ingrese una frase de contraseña para el estado (sólo lectura) y cuentas de administración
admin (lectura/escritura) en el Firebox.

Habilitar administración remota

Active la administración remota si desea administrar ese dispositivo desde la interfaz externa.

Agregue la información de contacto para su dispositivo

Puede ingresar un nombre de dispositivo, ubicación e información de contacto y guardar los


datos de administración para ese dispositivo. Por defecto, el nombre del dispositivo se
configura con el número de modelo de su Firebox. Recomendamos que elija un nombre único
que pueda usar para identificar fácilmente ese dispositivo, especialmente si usa administración
remota.

Configurar la zona horaria

Seleccione la zona horaria en la que el Firebox está ubicado.

El Quick Setup Wizard está concluido

Después de concluir el asistente, el dispositivo WatchGuard se reinicia.

Si deja el Web Setup Wizard ocioso por 15 minutos o más, debe volver al Paso 3 e iniciar nuevamente.

Nota Si cambia la dirección IP de la interfaz de confianza, debe cambiar su configuración


de red para asegurarse de que su dirección IP coincide con la subred de la red de
confianza antes de conectase al Firebox. Si usa DHCP, reinicie su equipo. Si usa
direcciones estáticas, vea Use una dirección IP estática en la página 38.

Después que el asistente se concluye


Después que completa todas las pantallas en el asistente, se hace una configuración básica del dispositivo
WatchGuard que incluye cuatro políticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) y
las direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar la
configuración para su dispositivo WatchGuard.

n Para más información acerca de como concluir la instalación de su dispositivo WatchGuard después
que se concluye el Web Setup Wizard, vea Concluya su instalación en la página 32.

Guía del Usuario 27


Introducción

n Para más información acerca de cómo conectarse al Fireware XTM Web UI, vea Conéctese al
Fireware XTM Web UI en la página 28.

Si tiene problemas con el asistente


Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivo
WatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:

n El archivo del software de la aplicación Fireware XTM descargado del sitio web LiveSecurity podría
estar corrompido. Si la imagen del software está corrompida, en un dispositivo Firebox X Core, Peak
o XTM , este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez más.
n Si usa el Internet Explorer 6, limpie el caché del archivo en el explorador web e intente
nuevamente.
Para limpiar el caché, en el Internet Explorer seleccione Herramientas > Opciones de Internet >
Borrar archivos.

Conéctese al Fireware XTM Web UI


Para conectarse a la Fireware XTM Web UI , se utiliza un explorador web para ir a la dirección IP de la
interfaz opcional o de confianza del dispositivo WatchGuard a través del número de puerto correcto. Las
conexiones a la Web UI están siempre cifradas con HTTPS; el mismo cifrado de alta seguridad utilizado por
sitios web de bancos y compras. Se debe utilizar https cuando se ingresa la URL en la barra de dirección del
explorador, en lugar de http.

De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UI
en su explorador es:

https://<firebox-ip-address>:8080

Aquí, <firebox-ip-address> es la dirección IP asignada a la interfaz opcional o de confianza. Cuando se realiza


esta conexión, el explorador carga el aviso de inicio de sesión. La URL predeterminada para la interfaz de
confianza es diferente para el Edge que para los otros modelos de Firebox.

n La URL predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM es


https://10.0.1.1:8080 .
n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .

El usuario puede cambiar la dirección IP de la red de confianza a una dirección IP diferente. Para más
informaciones, vea Configuraciones de interfaz comunes en la página 95.

Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox X Edge:

1. Abra su explorador web.


2. En la barra de dirección o ubicación, ingrese https://192.168.111.1:8080 y presione Enter.
En el explorador aparece una notificación del certificado de seguridad.

28 Fireware XTM Web UI
Introducción

3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) o
Agregar excepción (Firefox 3).
Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard está firmado
por la autoridad de certificación de WatchGuard, que no figura en la lista de autoridades de
confianza de su explorador.

Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivo
WatchGuard a menos que se acepte el certificado en forma permanente o se
genere e importe un certificado para uso del dispositivo. Para más informaciones,
vea Acerca de los certificados en la página 385.

4. En la lista desplegable Nombre de usuario, seleccione el nombre de usuario.

5. En el campo Frase de contraseña, ingrese la frase de contraseña.

n Si elige el nombre de usuario administrador, ingrese la frase de contraseña de configuración


(de lectura-escritura).
n Si elige el nombre de usuario estado, ingrese la frase de contraseña de estado (de sólo lectura) .

Nota De manera predeterminada, la configuración de Firebox sólo permite conexiones a


la Fireware XTM Web UI desde las redes opcionales o de confianza. Para cambiar la
configuración para permitir conexiones a la Web UI desde la red externa, consulte
Conectarse a la Fireware XTM Web UI desde una red externa en la página 29.

Conectarse a la Fireware XTM Web UI desde una


red externa
La configuración del dispositivo Fireware XTM tiene una política llamada Web UI de WatchGuard. Esta
política controla qué interfaces de Firebox pueden conectarse a la Fireware XTM Web UI De manera
predeterminada, esta política sólo permite conexiones desde redes Cualquiera de confianza y Cualquiera
opcional. Si desea permitir el acceso a la Web UI desde la red externa, debe editar la política Web UI de
WatchGuard y agregar Cualquiera externa a la lista Desde.

Fireware XTM Web UI :

1. Seleccione Firewall > Políticas de Firewall.


2. Haga doble clic en la política Web UI de WatchGuard para editarla.
3. Haga clic en la pestaña Política.
4. En la sección Desde, haga clic en Agregar.

Guía del Usuario 29


Introducción

5. Seleccione Cualquiera externa.


6. Haga clic en OK.
7. Haga clic en Guardar.

Acerca del Fireware XTM Web UI


La Web UI del Fireware XTM permite monitorear y administrar cualquier dispositivo que utiliza Fireware
XTM versión 11 o posterior sin necesidad de instalar ningún otro software en su equipo. El único software
que necesita es un explorador que admita Adobe Flash.

Debido a que no es necesario instalar ningún software, se puede utilizar la Web UI desde cualquier equipo
que tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Firebox
desde un equipo que tenga Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
explorador compatible con Adobe Flash 9 y conectividad de red.

La Web UI es una herramienta de administración en tiempo real. Esto significa que cuando utiliza la Web UI
para realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. La
Web UI no permite generar una lista de cambios a un archivo de configuración guardado localmente, para
enviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del Policy
Manager de Fireware XTM, lo cual es una herramienta de configuración fuera de línea. Los cambios
realizados a un archivo de configuración guardado localmente utilizando el Policy Manager sólo tienen
efecto después de que se guarda la configuración en el dispositivo.

Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTM Web UI .
Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.
También se debe utilizar una cuenta con privilegios de acceso administrativos
totales para ver y cambiar las páginas de configuración.

En el lado izquierdo de la Fireware XTM Web UI se encuentra la navigation bar del menú principal que se
utiliza para seleccionar un grupo de páginas de configuración.

El elemento superior en la navigation bar es el Panel de control, que permite regresar a la página Panel de
control de Fireware XTM , la cual se ve en cuanto el usuario se conecta a la Fireware XTM Web UI.

30 Fireware XTM Web UI
Introducción

Todos los demás elementos de la navigation bar contienen elementos de menú secundarios que se usan
para configurar las propiedades de esa función.

n Para visualizar estos elementos de menú secundarios, haga clic en el nombre del elemento de
menú. Por ejemplo, si hace clic en Autenticación, aparecen estos elementos de menú secundarios:
Servidores, Configuración, Usuarios y grupos, Certificado de servidor web y Single Sign-On.
n Para ocultar los elementos de menú secundarios, haga clic nuevamente en el elemento de menú de
nivel superior.

Para mostrar los elementos de menú que se amplían o en los que se hace clic, la documentación utiliza el
símbolo de flecha derecha (>). Los nombres de menús aparecen en negrita. Por ejemplo, el comando para
abrir la página Configuración de autenticación aparece en el texto como Configuración de >Autenticación.

Seleccione el idioma de Fireware XTM Web UI


Fireware XTM Web UI admite cinco idiomas. El nombre del idioma seleccionado actualmente se muestra
en la parte superior de cada página.

Para cambiar a un idioma diferente:

1. Haga clic en el nombre del idioma.


Aparecerá una lista desplegable de idiomas.

2. Seleccione el idioma de la lista.


Fireware XTM Web UI utiliza el idioma seleccionado.

Limitaciones de la Fireware XTM Web UI


Se puede utilizar la Fireware XTM Web UI, WatchGuard System Manager y la Command Line Interface (CLI)
de Fireware XTM para configurar y monitorear el dispositivo Fireware XTM. Cuando el usuario desea
modificar el archivo de configuración de un dispositivo, puede aplicar cualquiera de estos programas. Sin
embargo, hay varios cambios de configuración del dispositivo que no pueden realizarse con la Fireware
XTM Web UI.

Algunas de las tareas que puede completar en el Policy Manager, pero no con la Web UI incluyen:

n Ver o configurar opciones de proxy avanzadas.


n La vista avanzada de tipos de contenido proxy no está disponible.

n Algunas otras opciones de configuración proxy no están disponibles (varían según el proxy).

n Editar reglas de NAT estática (sólo se pueden agregar y eliminar)

Guía del Usuario 31


Introducción

n Exportar un certificado o ver detalles acerca de un certificado (sólo se pueden importar


certificados).
n Activar la generación de registro de diagnóstico o cambiar los niveles de registro de diagnóstico.
n Cambiar la generación de registro de opciones de manejo predeterminado de paquetes.
n Activar o desactivar la notificación de eventos de VPN para sucursales.
n Agregar o quitar entradas ARP estáticas en la tabla ARP del dispositivo.
n Obtener el archivo de configuración de Mobile VPN with SSL en forma manual.
n Obtener la configuración de cliente usuario final de Mobile VPN with IPSec cifrada (.wgx) (sólo se
puede obtener el archivo .ini equivalente, pero sin cifrar)
n Editar el nombre de una política.
n Agregar una dirección personalizada a una política.
n Utilizar un nombre de host (Búsqueda de DNS) para agregar una dirección IP a una política
n Utilizar administraciónbasadaenroles(tambiénconocidacomocontroldeaccesobasadoenrolesoRBAC).
n Ver o cambiar la configuración de un dispositivo que es miembro de un FireCluster.

El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientas
para monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco están disponibles en la Web UI.

Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesario
instalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalar
WatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizando
WatchGuard Server Center:

n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server

Para aprender cómo configurar funciones no admitidas en la Web UI o cómo utilizar WatchGuard Server
Center, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11 en
http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.

Para conocer más acerca de la CLI, consulte la Referencia de Command Line Interface de WatchGuard en
http://www.watchguard.com/help/documentation.

Concluya su instalación
Despuésde concluir el WebSetup Wizard, debe concluir lainstalación de su dispositivoWatchGuard ensu red.

1. Ponga el dispositivo WatchGuard en su ubicación física permanente.


2. Asegúrese de que la puerta de enlace del equipo de administración y el resto de la red de confianza
sea la dirección IP de la interfaz de confianza de su dispositivo WatchGuard.

3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abra
un explorador web e ingrese:
https//[dirección IP de la interfaz de confianza del dispositivo
WatchGuard]:8080 .

n El URL para un dispositivo Firebox X Core, Peak o XTM es https://10.0.1.1:8080 .


n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
Para obtener más información, consulte Conéctese al Fireware XTM Web UI en la página 28.

32 Fireware XTM Web UI
Introducción

4. Si usa una configuración enrutada, asegúrese de alterar la puerta de enlace puerta de enlace
predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la
dirección IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.
5. Personalice su configuración según sea necesario para fines de seguridad de su empresa.

Para más información, vea la siguiente sección Personalizar su política de seguridad.

Personalizar su política de seguridad


Su política de seguridad controla quién puede entrar y salir de su red y a qué parte de su red se puede
entrar. El archivo de configuración de su dispositivo WatchGuard administra las políticas de seguridad.

Cuando haya concluido el Quick Setup Wizard, el archivo de configuración creado sólo era una
configuración básica. Se puede modificar esa configuración para que esté de acuerdo con su política de
seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar políticas de proxy y
filtrado de paquetes para definir qué puede entrar y salir de su red. Cada política puede tener efectos
diferentes sobre su red. Las políticas que aumentan su seguridad de red pueden disminuir el acceso a ella.
A su vez, las políticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.
Para más informaciones acerca de políticas, vea Acerca de políticas en la página 251.

Para una nueva instalación, recomendamos que use solo políticas de filtrado de paquetes hasta que todos
sus sistemas estén funcionando correctamente. Según sea necesario, puede agregar políticas de proxy.

Acerca de las LiveSecurity Service


Su dispositivo WatchGuard incluye una suscripción al LiveSecurity Service. Su suscripción:

n Asegura de que tenga la protección de red más reciente con las actualizaciones de software
también más recientes
n Provee soluciones a sus problemas con recursos completos de soporte técnico
n Previene interrupciones de servicio con mensajes y ayuda de configuración para los problemas de
seguridad más recientes
n Ayuda a aprender más acerca de seguridad de red a través de recursos de capacitación
n Extiende su seguridad de red con software y otras funciones
n Extiende la garantía de su hardware con sustitución avanzada

Para más información acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la
página 17.

Temas adicionales de instalación


Conéctese a un Firebox con Firefox v3
Los exploradores web usan certificados para asegurar que el dispositivo del otro lado de una conexión
HTTPS sea el dispositivo que se espera. Los usuarios ven un aviso cuando el certificado es autofirmado o

Guía del Usuario 33


Introducción

cuando hay discrepancia entre la dirección IP o nombre del host solicitado y la dirección IP o nombre de
host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para
configurar su red rápidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador
web, aparece un mensaje de aviso Error en la conexión segura.

Para evitar ese mensaje de error, recomendamos que agregue un certificado válido firmado por una CA
(autoridad de certificación) para su configuración. Ese certificado de CA también puede ser usado para
mejorar la seguridad de la autenticación por VPN. Para obtener más informaciones sobre el uso de
certificados con los dispositivos Firebox, vea Acerca de los certificados en la página 385.

Si continúa a usar el certificado autofirmado predeterminado, puede agregar una excepción para Firebox
en cada equipo cliente. Las versiones actuales de la mayoría de los exploradores web ofrecen un enlace en
el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexión. Si su empresa usa
Mozilla Firefox v3, los usuarios pueden agregar una excepción de certificado permanente antes de
conectarse al Firebox.

Las acciones que requieren una excepción incluyen:

n Acerca de la autenticación de usuario


n Instalar y conectar el cliente de Mobile VPN con SSL
n Ejecutar el Web Setup Wizard
n Conéctese al Fireware XTM Web UI

Las URLs que suelen requerir una excepción incluyen:


https://dirección IP o nombre de host de una interfaz Firebox:8080
https://dirección IP o nombre de host de una interfaz Firebox:4100
https://dirección IP o nome de host de Firebox:4100/sslvpn.html

Agregar una excepción de certificado al Mozilla Firefox v3


Si agrega una excepción en el Firefox v3 para el Firebox Certificate, el mensaje de aviso no aparece en las
conexiones siguientes. Debe agregar una excepción separada para cada dirección IP, nombre de host y
puerto usado para conectarse al Firebox. Por ejemplo, una excepción que usa un nombre de host que no
funciona adecuadamente si se conecta con una dirección IP. Del mismo modo, una excepción que
especifica un puerto 4100 no se aplica a una conexión que no tiene un puerto especificado.

Nota Una excepción de certificado no deja su equipo menos seguro. Todo el tráfico de
red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo
seguro con SSL.

Hay dos métodos para agregar una excepción. Debe poder enviar tráfico al Firebox para agregar una
excepción.

n Haga clic en el enlace en el mensaje de aviso Error en la conexión segura.


n Use el Administrador de Certificados del Firefox v3 para agregar excepciones.

En el mensaje de aviso Error en la conexión segura:

1. Haga clic en O puede agregar una excepción.


2. Haga clic en Agregar excepción.
Aparece el cuadro de diálogo "Agregar Excepción de Seguridad".

34 Fireware XTM Web UI
Introducción

3. Haga clic en Obtener Certificado.


4. Seleccione la casilla de verificación Almacenar esa excepción permanentemente.
5. Haga clic en Confirmar Excepción de Seguridad.

Para agregar múltiples excepciones:

1. En Firefox, seleccione Herramientas > Opciones.


Aparece el cuadro de diálogo "Opciones".
2. Seleccione Avanzado.
3. Haga clic en la pestaña Cifrado y después haga clic en Visualizar certificados.
Abre el cuadro de diálogo Administrador de Certificados.
4. Haga clic en la pestaña Servidores, y después en Agregar excepción.
5. En el cuadro de texto Ubicación, ingrese la URL para conectarse al Firebox. Las URLs más comunes
están listadas arriba.
6. Cuando aparece la información del certificado en el área Estado del Certificado, haga clic en
Confirmar Excepción de Seguridad.
7. Haga clic en OK. Para agregar más excepciones, repita los Pasos 4-6.

Identificar sus configuraciones de red


Para configurar su dispositivo WatchGuard, debe saber cierta información acerca de su red. Puede usar esa
sección para aprender a identificar sus configuraciones de red.

Para una descripción de lo básico de red, vea Acerca de redes y seguridad de red en la página 1.

Requisitos de direcciones de red


Antes de empezar la instalación, debe saber cómo su equipo obtiene una dirección IP. Su Proveedor de
servicios de Internet (ISP) o administrador de red corporativa puede proveerle esa información. Use el
mismo método para conectar el dispositivo WatchGuard a Internet que usa para su equipo. Por ejemplo, si
conecta su equipo directamente a Internet con una conexión de banda ancha, puede poner el dispositivo
WatchGuard entre su equipo e Internet y usar la configuración de red de su equipo para configurar la
interfaz externa del dispositivo WatchGuard.

Puede usar una dirección IP estática, DHCP o PPPoE para configurar la interfaz externa del dispositivo
WatchGuard. Para obtener más información acerca de las direcciones de red, vea Configurar una interfaz
externa en la página 82.

Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar el
dispositivo WatchGuard. Su equipo debe tener una dirección IP en la misma red que el dispositivo
WatchGuard.

En la configuración predeterminada de fábrica, el dispositivo WatchGuard asigna una dirección IP a su


equipo con DHCP (siglas para Protocolo de configuración de host dinámico). Puede configurar su equipo

Guía del Usuario 35


Introducción

para que use DHCP y después puede conectarse al dispositivo para administrarlo. También puede otorgar
una dirección IP estática a su equipo que esté en la misma red que la dirección IP de confianza del
dispositivo WatchGuard. Para más informaciones, vea Configure su equipo para conectarse a su dispositivo
WatchGuard en la página 37.

Buscar las propiedades TCP/IP


Para conocer las propiedades de la red, el usuario debe observar las propiedades TCP/IP de su equipo o de
cualquier otro equipo de la red. Debe contar con la siguiente información para instalar el dispositivo
WatchGuard:

n Dirección IP
n Máscara de subred
n Puerta de enlace predeterminada
n Dirección IP estática o dinámica del equipo
n Direcciones IP principales y secundarias de los servidores DNS

Nota Si el ISP asigna al equipo del usuario una dirección IP que empieza con 10, 192.168
ó 172.16 a 172.31, entonces el ISP utiliza NAT (Traducción de dirección de red) y su
dirección IP es privada. Recomendamos obtener una dirección IP pública para la
dirección IP externa de Firebox. Si el usuario tiene una dirección IP privada, puede
tener problemas con algunas funciones como la conexión a red privada virtual.

Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones
de las secciones siguientes.

Buscar las propiedades TCP/IP en Microsoft Windows Vista

1. Seleccione Inicio> Programas> Accesorios> Ventana de comandos.


Aparece el cuadro de diálogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.

Buscar las propiedades TCP/IP en Microsoft Windows 2000, Windows 2003 y


Windows XP

1. Seleccione Inicio> Todos los programas> Accesorios> Ventana de comandos.


Aparece el cuadro de diálogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.

Buscar las propiedades TCP/IP en Microsoft Windows NT

1. Seleccione Inicio> Programas> Ventana de comandos.


Aparece el cuadro de diálogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.

36 Fireware XTM Web UI
Introducción

Buscar las propiedades TCP/IP en Macintosh OS 9

1. Seleccione el Menú Apple> Paneles de control> TCP/IP.


Aparece el cuadro de diálogo TCP/IP.
2. Anote los valores que se observan para el adaptador de red principal.

Buscar las propiedades TCP/IP en Macintosh OS X 10.5

1. Seleccione el Menú Apple> Preferencias del sistema o seleccione el ícono desde el dock.
Aparece el cuadro de diálogo Preferencias del sistema.
2. Haga clic en el ícono Red.
Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que se observan para el adaptador de red.

Buscar las propiedades TCP/IP en otros sistemas operativos (Unix, Linux)

1. Lea la guía del sistema operativo para encontrar las configuraciones TCP/IP.
2. Anote los valores que se observan para el adaptador de red principal.

Buscar Configuraciones de PPPoE


Muchos ISPs usan el Protocolo Punto a Punto por Ethernet (PPPoE) porque es fácil usar con la
infraestructura de marcado. Si su ISP usa PPPoE para asignar direcciones IP, debe obtener esa información:

n Nombre de inicio de sesión


n Dominio (opcional)
n Contraseña

Configure su equipo para conectarse a su dispositivo


WatchGuard
Antes que pueda usar el Web Setup Wizard, debe configurar su equipo para conectar su dispositivo
WatchGuard. Puede configurar su tarjeta de interfaz de red para usar una dirección IP estática o usar DHCP
para obtener una dirección IP automáticamente.

Usar DHCP
Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cómo configurar su equipo para usar el DHCP.

Para configurar un equipo con Windows XP para usar DHCP:

1. Seleccione Inicio > Panel de control.


Aparece la ventana "Panel de control".
2. Haga doble clic en Conexiones de red.

Guía del Usuario 37


Introducción

3. Haga doble clic en Conexión de área local.


Aparece la ventana de "Estado de conexión de área local".
4. Haga clic en Propiedades.
Aparece la ventana de "Propiedades de conexión de área local".
5. Haga doble clic en Protocolo de internet (TCP/IP).
Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
6. Seleccione Obtener dirección IP automáticamente y Obtener dirección de servidor DNS
automáticamente.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP).
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
9. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su equipo está listo para conectarse al dispositivo WatchGuard.
10. Cuando el dispositivo WatchGuard esté listo, abra un explorador web.
11. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar.
12. Si aparece una advertencia de certificado, acéptelo.
Se inicia el Quick Setup Wizard.

Nota La dirección IP para el Firebox X Edge es https://192.168.111.1/ .


La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivo
WatchGuard XTM es https://10.0.1.1/ .

13. Ejecutar el Web Setup Wizard.

Use una dirección IP estática


Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cómo configurar su equipo para usar lea dirección IP estática. Debe seleccionar una
dirección IP en la misma subred como la red de confianza.

Para configurar un equipo con Windows XP para usar una dirección IP estática:

1. Seleccione Inicio > Panel de control.


Aparece la ventana "Panel de control".
2. Haga doble clic en Conexiones de red.
3. Haga doble clic en Conexión de área local.
Aparece la ventana de "Estado de conexión de área local".
4. Haga clic en Propiedades.
Aparece la ventana de "Propiedades de conexión de área local".
5. Haga doble clic en Protocolo de internet (TCP/IP).
Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
6. Seleccione Usar la siguiente dirección IP.
7. En el campo dirección IP, ingrese una dirección IP en la misma red que la interfaz de confianza de
Firebox.
Recomendamos esas direcciones:

n Firebox X Edge — 192.168.111.2 para


n Firebox X Core o Peak, o dispositivo WatchGuard XTM — 10.0.1.2
La red de interfaz de confianza predeterminada para un Firebox X Edge es 192.168.111.0.
La red de interfaz de confianza predeterminada para un Firebox X Core o Peak, o dispositivo WatchGuard
XTM es 10.0.1.0.

38 Fireware XTM Web UI
Introducción

8. En el campo Subnet Mask, ingrese 255.255.255.0 .


9. En el campo Puerta de enlace predeterminada, ingrese la dirección IP de la interfaz de confianza
del dispositivo WatchGuard.
La dirección de la interfaz de confianza predeterminada del Edge es 192.168.111.1.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP).
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
12. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su equipo está listo para conectarse al dispositivo WatchGuard.
13. Cuando el dispositivo WatchGuard esté listo, abra un explorador web.

14. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar.


15. Si aparece una advertencia de certificado, acéptelo.
Se inicia el Quick Setup Wizard.

Nota La dirección IP para el Firebox X Edge es https://192.168.111.1/ .


La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivo
WatchGuard XTM es https://10.0.1.1/ .

16. Ejecutar el Web Setup Wizard.

Desactive el proxy de HTTP en el explorador


Muchos exploradores web están configurados para usar un servidor proxy HTTP para aumentar la velocidad
de descarga de las páginas web. Para administrar o configurar el Firebox con la interfaz de administración
web, su explorador debe conectase directamente con el dispositivo. Si usa un servidor proxy de HTTP, debe
desactivar temporalmente la configuración de proxy HTTP en su explorador. Puede activar la configuración
del servidor proxy HTTP en su explorador nuevamente después que configure el Firebox.

Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si está usando un
explorador diferente, use el sistema de Ayuda del explorador para encontrar la información necesaria.
Muchos exploradores automáticamente desactivan la función de proxy del HTTP.

Desactivar el proxy HTTP en Internet Explorer 6.x o 7.x


1. Abra el Internet Explorer.
2. Seleccione Herramientas > Opciones de Internet.
Aparece el cuadro de diálogo de "Opciones de Internet".
3. Haga clic en la pestaña Conexiones.
4. Haga clic en Configuración de LAN.
Aparece el cuadro de diálogo "Configuración de red de área local (LAN)".
5. Limpie la casilla de verificación Usar un servidor proxy para su LAN.
6. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de red de área local (LAN).
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.

Desactivar el proxy HTTP en Firefox 2.x


1. Abra el Firefox.
2. Seleccione Herramientas > Opciones.
Aparece el cuadro de diálogo "Opciones".

Guía del Usuario 39


Introducción

3. Haga clic en el icono Avanzado.


4. Haga clic en la pestaña Red. Haga clic en Configuraciones.
5. Haga clic en Configuraciones de conexión.
Aparece el cuadro de diálogo "Configuraciones de conexión".
6. Asegúrese de que la opción Conexión directa a Internet esté seleccionada.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de conexión.
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones.

Desactivar el proxy HTTP en Safari 2.0


1. Abra el Safari.
2. Seleccione Preferencias.
Aparece el cuadro de diálogo de "Preferencias" del Safari.
3. Haga clic en el icono Avanzado.
4. Haga clic en el botón Cambiar configuración.
Aparece el cuadro de diálogo "Preferencias del Sistema".
5. Limpie la casilla de verificación Proxy web (HTTP).
6. Haga clic en Aplicar ahora.

40 Fireware XTM Web UI
5 Información básica sobre
configuración y administración

Acerca de las tareas básicas de configuración y


administración
Después que su dispositivo WatchGuard esté instalado en su red y configurado con un archivo de
configuración básica, puede comenzar a añadir configuraciones personalizadas. Los tópicos en esta sección
lo ayuda a concluir esas tareas básicas de administración y mantenimiento.

Hacer una copia de seguridad de la imagen de


Firebox
Una imagen de copia de seguridad de Firebox es una copia cifrada y guardada de una imagen de disco flash
del disco flash de Firebox. Eso incluye el software del dispositivo Firebox, archivo de configuración, licencias
y certificados. Puede guardar una imagen de copia de seguridad en su de administración o en un directorio
en su red. La imagen de copia de seguridad para un Firebox X Edge no incluye el software del dispositivo
Firebox.

Recomendamos que realice archivos de copia de seguridad de la imagen de Firebox periódicamente.


También recomendamos que cree una imagen de copia de seguridad del Firebox antes de hacer cambios
significativos en la configuración de su Firebox, o antes de actualizar su Firebox o el software del dispositivo.

1. Seleccione Imagen de copia de seguridad >de Sistema.


2. Ingrese y confirme una clave de cifrado. Esa es la clave utilizada para cifrar el archivo de copia de
seguridad. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia de
seguridad.
3. Haga clic en Copia de seguridad.
4. Seleccione una ubicación para guardar el archivo de imagen de copia de seguridad e ingrese un
nombre de archivo.
La imagen de copia de seguridad está guardada en la ubicación especificada.

Guía del Usuario 41


Información básica sobre configuración y administración

Restaurar imagen de copia de seguridad de


Firebox
1. Seleccione Sistema > Restaurar Imagen.
2. Haga clic en Restaurar imagen.
3. Haga clic en Examinar.
4. Seleccione el archivo de imagen de copia de seguridad guardado. Haga clic en Abrir.
5. Haga clic en Restaurar.
6. Ingrese la clave de cifrado usada cuando creó la imagen de copia de seguridad.
Firebox restaura la imagen de copia de seguridad. Eso reinicia y usa la imagen de copia de seguridad.

Espere dos minutos antes de conectarse al Firebox nuevamente.

Si no logra restaurar la imagen de Firebox con éxito, puede restablecer el Firebox. Dependiendo del
modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de
fábrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuración.

Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva
en la página 48.

Utilice una unidad USB para realizar copias de


respaldo y restaurar el sistema
Una imagen de respaldo de un dispositivo WatchGuard XTM es una copia cifrada y guardada de la imagen
del disco de la unidad flash desde el dispositivo XTM. El archivo de imagen de respaldo incluye el sistema
operativo del dispositivo XTM, el archivo de configuración, la tecla de función y los certificados.

En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una
unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo los
procedimientos de copia de respaldo y restauración. Cuando guarda una imagen de respaldo del sistema en
una unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez.

Nota No puede utilizar esta función en un dispositivo e-Series, porque los dispositivos e-
Series no tienen puerto USB.

Acerca de la unidad USB


La unidad USB debe ser formateada con el sistema de archivos FAT o FAT32. Si la unidad USB tiene más de
una partición, Fireware XTM sólo utiliza la primera partición. Cada imagen de respaldo del sistema puede
ser incluso de 30 MB de tamaño. Le recomendamos utilizar una unidad USB lo suficientemente grande para
almacenar varias imágenes de respaldo.

Guardar una imagen de respaldo en una unidad USB conectada


Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.

1. Seleccione Sistema > Unidad USB.


Aparecerá la página Copia de respaldo/Restaurar a unidad USB.

42 Fireware XTM Web UI
Información básica sobre configuración y administración

2. En la sección Nueva imagen de respaldo, ingrese un Nombre de archivo para la imagen de


respaldo.
3. Ingrese y confirme una Encryption key. Esa es la clave utilizada para cifrar el archivo de respaldo. Si
pierde u olvida la encryption key, no puede restaurar el archivo de respaldo.
4. Haga clic en Guardar en unidad USB.
La imagen guardada aparece en la lista de Imágenes de respaldo del dispositivo disponibles después de que se
terminó de guardar.

Restaurar una imagen de respaldo desde una unidad USB


conectada
Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.

1. Seleccione Sistema > Unidad USB.


Aparecerá la página Copia de respaldo/Restaurar a unidad USB.

2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo a


restaurar.
3. Haga clic en Restaurar la imagen seleccionada.

Guía del Usuario 43


Información básica sobre configuración y administración

4. Ingrese la Encryption key usada cuando creó la imagen de respaldo.


5. Haga clic en Restaurar.
El dispositivo XTM restaura la imagen de respaldo. Eso reinicia y usa la imagen de copia de seguridad.

Restaurar automáticamente una imagen de respaldo desde un


dispositivo USB
Si se conecta una unidad USB (dispositivo de almacenamiento) a un dispositivo WatchGuard XTM en modo
de recuperación, el dispositivo puede restaurar automáticamente la imagen previamente respaldada en la
unidad USB. Para utilizar la función de restauración automática, primero debe seleccionar una imagen de
respaldo en la unidad USB como la que desea utilizar para el proceso de restauración. Debe utilizar
Fireware XTM Web UI, Firebox System Manager o la Command Line Interface de Fireware XTM para
seleccionar esa imagen de respaldo.

Puede utilizar la misma imagen de respaldo para más de un dispositivo, si todos los dispositivos pertenecen
a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo
guardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.

Seleccione la imagen de respaldo que desea restaurar automáticamente


1. Seleccione Sistema > Unidad USB.
Aparecerá la página Copia de respaldo/Restaurar a unidad USB. Los archivos de imagen de respaldo guardados
aparecen en una lista en la parte superior de la página.

2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo.


3. Haga clic en Utilizar la imagen seleccionada para la restauración automática.
4. Ingrese la Encryption key usada para crear la imagen de respaldo. Haga clic en Aceptar
El dispositivo XTM guarda una copia de la imagen de respaldo seleccionada en la unidad USB.

44 Fireware XTM Web UI
Información básica sobre configuración y administración

Si había guardado una imagen de restauración automática anterior, el archivo auto-restore.fxi es


reemplazado por una copia de la imagen de respaldo seleccionada.

Advertencia
Si su dispositivo XTM ha utilizado una versión del sistema operativo Fireware XTM
anterior a la v11.3, debe actualizar la imagen de software del modo de
recuperación en el dispositivo a la v11.3 de la función de restauración automática
a operar. Vea las Notas de versión de Fireware XTM 11.3 para obtener
instrucciones de actualización.

Restaurar la imagen de respaldo de un dispositivo XTM 5 Series, 8


Series o XTM 1050
1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB del
dispositivo XTM.
2. Apague el dispositivo XTM.
3. Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.
4. Mantenga el botón presionado hasta que aparezca "Iniciando modo de recuperación" en la pantalla
LCD.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automática después de reiniciarse.

Si la unidad USB no contiene una imagen de restauración automática válida para esta familia de modelos de
dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperación. Si vuelve a
reiniciar el dispositivo, éste utilizará su configuración actual. Cuando el dispositivo está en modo de
recuperación, puede utilizar el WSM Quick Setup Wizard para crear una nueva configuración básica.

Para obtener más información acerca WSM Quick Setup Wizard, vea Ejecutar el Quick Setup Wizard del WSM.

Restaurar la imagen de respaldo de un dispositivo XTM 2 Series


1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB del
dispositivo XTM 2 Series.
2. Desconecte la fuente de energía.
3. Presione y sostenga el botón Restablecer en la parte trasera del dispositivo.
4. Conecte el suministro de energía mientras sigue presionando el botón Restablecer.
5. Después de 10 segundos, suelte el botón Restablecer.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automática después de reiniciarse.

Si la unidad USB no contiene una imagen de restauración automática válida para 2 Series, la restauración
automática fallará y el dispositivo no se reiniciará. Si el proceso de restauración automática no resulta
exitoso, debe desconectar y volver a conectar la fuente de alimentación para iniciar el dispositivo 2 Series
con las configuraciones predeterminadas de fábrica.

Para obtener información sobre las configuraciones predeterminadas de fábrica, vea Acerca de las
configuraciones predeterminadas de fábrica.

Guía del Usuario 45


Información básica sobre configuración y administración

Estructura del directorio de la unidad USB


Cuando guarda una imagen de respaldo en una unidad USB, el archivo se guarda en un directorio en la
unidad USB con el mismo nombre del número de serie de su dispositivo XTM. Esto significa que puede
almacenar imágenes de respaldo para más de un dispositivo XTM en la misma unidad USB. Cuando restaura
una unidad de respaldo, el software recupera automáticamente la lista de imágenes de respaldo
almacenada en el directorio asociado con ese dispositivo.

En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza
con el número de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\

Las imágenes de respaldo de un dispositivo se guardan en el directorio \sn\flash-images . La imagen de


respaldo guardada en el directorio de imágenes flash contiene el sistema operativo de Fireware XTM, la
configuración del dispositivo, las teclas de función y los certificados. Los subdirectorios \configs ,
\feature-keys y \certs no se utilizan para ninguna operación de copia de respaldo y restauración desde
una unidad USB. Puede utilizarlos para almacenar teclas de función, archivos de configuración y certificados
adicionales para cada dispositivo.

También hay un directorio en el nivel de raíz de la estructura del directorio que se utiliza para almacenar la
imagen de respaldo de restauración automática designada.
\auto-restore\

Cuando designa una imagen de respaldo para utilizarla para la restauración automática, una copia de la
imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de
archivo auto-restore.fxi . Sólo puede tener una imagen de restauración automática guardada en cada
unidad USB. Puede utilizar la misma imagen de respaldo de restauración automática para más de un
dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,
puede utilizar una imagen de restauración automática guardada en un XTM 530 como la imagen de
restauración automática de cualquier otro dispositivo XTM 5 Series.

Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauración automática. Si copia
y renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso de
restauración automática no funciona correctamente.

Guardar una imagen de respaldo en una unidad USB conectada


a su de administración
Puede usar Fireware XTM Web UI para guardar una imagen de respaldo en una unidad o un dispositivo de
almacenamiento USB conectado a su de administración. Si guarda los archivos de configuración para
múltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a cualquiera de esos
dispositivos XTM para su recuperación.

46 Fireware XTM Web UI
Información básica sobre configuración y administración

Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarán automáticamente en el
directorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utiliza
Windows u otro sistema operativo para copiar manualmente los archivos de configuración al dispositivo
USB, debe crear manualmente el número de serie correcto y los directorios de imágenes flash para cada
dispositivo (si todavía no existen).

Antes de empezar
Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por
la función de respaldo y restauración USB. Si no guarda la imagen de respaldo en la ubicación correcta, es
posible que el dispositivo no la encuentre cuando le conecte la unidad USB.

Guardar la imagen de respaldo


Para guardar una imagen de respaldo en una unidad USB conectada a su de administración, use los pasos
que se describen en Hacer una copia de seguridad de la imagen de Firebox. Cuando selecciona la ubicación
en donde desea guardar el archivo, seleccione la letra correspondiente a la unidad USB conectada a su
computadora. Si desea que la imagen de respaldo que guarda sea reconocida por el dispositivo XTM cuando
conecte la unidad, asegúrese de guardar la copia de respaldo en el directorio \flash-images bajo el
directorio nombrado con el número de serie de su dispositivo XTM.

Por ejemplo, si el número de serie de su dispositivo XTM es 70A10003C0A3D , guarde el archivo de la


imagen de respaldo en esta ubicación de la unidad USB:
\70A10003C0A3D\flash-images\

Designar una imagen de respaldo para la restauración automática


Para designar una imagen de respaldo para el uso por parte de la función de restauración automática, debe
conectar la unidad USB al dispositivo y designar la imagen de respaldo que desea utilizar para la
restauración automática como se describe en Utilice una unidad USB para realizar copias de respaldo y
restaurar el sistema. Si guarda una imagen de respaldo manualmente en el directorio de restauración
automática, el proceso de restauración automática no funciona correctamente.

Guía del Usuario 47


Información básica sobre configuración y administración

Restablecer un dispositivo Firebox o XTM a una


configuración anterior o nueva
Si su dispositivo Firebox o XTM tiene un problema de configuración grave, puede restablecer el dispositivo a
su configuración predeterminada de fábrica. Por ejemplo, si no sabe la contraseña de configuración o si un
corte de suministro eléctrico causa daños al sistema operativo de Fireware XTM, puede usar el Quick Setup
Wizard para conformar su configuración nuevamente o restaurar una configuración guardada.

Para una descripción de las configuraciones predeterminadas de fábrica, vea Acerca de las configuraciones
predeterminadas de fábrica en la página 49.

Nota Si tiene un dispositivo WatchGuard XTM, también puede utilizar el modo seguro
para restaurar automáticamente una imagen de respaldo del sistema desde un
dispositivo de almacenamiento USB. Para más informaciones, vea Restaurar
automáticamente una imagen de respaldo desde un dispositivo USB.

Iniciar un dispositivo Firebox o XTM en modo seguro


Para restaurar las configuraciones predeterminadas de fábrica para un dispositivo Firebox X Core e-Series,
Peak e-Series, WatchGuard XTM 5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox o
XTM en modo seguro.

1. Apague el dispositivo Firebox o XTM.


2. Presione el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo
Firebox o XTM.
3. Mantenga presionado el botón de la flecha hacia abajo hasta que aparezca el mensaje de inicio del
dispositivo en la pantalla LCD:

n En un dispositivo Firebox X Core e-Series o Peak e-Series, aparece WatchGuard


Technologies en la pantalla LCD.
n En un dispositivo WatchGuard XTM, aparece Iniciando modo seguro... en la pantalla.
Cuando el dispositivo está en modo seguro, la pantalla muestra el número del modelo seguido de la
palabra "seguro".

Cuando inicia un dispositivo en modo seguro:

n El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas de


fábrica.
n No se quita la tecla de función actual. Si ejecuta el Quick Setup Wizard para crear una nueva
configuración, el asistente usa la tecla de función previamente importada.
n Su configuración actual sólo se elimina cuando guarda una nueva configuración. Si reinicia el
dispositivo Firebox o XTM antes de guardar una nueva configuración, el dispositivo volverá a utilizar
su configuración actual.

48 Fireware XTM Web UI
Información básica sobre configuración y administración

Restablecer un dispositivo Firebox X Edge e-Series o


WatchGuard XTM 2 Series a las configuraciones
predeterminadas de fábrica
Cuando reinicia un dispositivo Firebox X Edge e-Series o XTM 2 Series, las configuraciones originales son
reemplazadas por las configuraciones predeterminadas de fábrica. Para restablecer el dispositivo a las
configuraciones predeterminadas de fábrica:

1. Desconecte la fuente de energía.


2. Presione y sostenga el botón Restaurar en la parte trasera del dispositivo.
3. Conecte el suministro de energía mientras sigue presionando el botón Restaurar.
4. Siga presionando el botón Restaurar hasta que el indicador amarillo Attn se mantenga encendido.
Eso muestra que el dispositivo restauró con éxito las configuraciones predeterminadas de fábrica.
En un Firebox X Edge e-Series, ese proceso puede llevar 45 segundos o más. En un dispositivo 2 Series, ese
proceso puede llevar 75 segundos o más.
5. Suelte el botón Restaurar.

Nota Debe iniciar el dispositivo nuevamente antes de conectarlo. Si no lo hace, cuando


intente conectar el dispositivo, aparecerá una página web con este mensaje: Su
dispositivo se está ejecutando a partir de una copia de respaldo del firmware.
También podrá ver ese mensaje si el botón Restaurar queda fijo en la posición de
presionado. Si sigue viendo ese mensaje, revise el botón Restaurar y reinicie el
dispositivo.

6. Desconecte la fuente de energía.


7. Conecte la fuente de energía nuevamente.
Se enciende el Indicador de Energía y su dispositivo es restablecido.

Ejecutar el Quick Setup Wizard


Después de restaurar las configuraciones predeterminadas de fábrica, puede usar el Quick Setup Wizard
para crear una configuración básica o restaurar una imagen respaldo guardada.

Para más informaciones, vea Acerca del Quick Setup Wizard en la página 24.

Acerca de las configuraciones predeterminadas


de fábrica
El término configuraciones predeterminadas de fábrica se refiere a la configuración que está en el
dispositivo WatchGuard cuando lo recibe, antes de realizar cualquier cambio. También puede restablecer
las configuraciones predeterminadas de fábrica en el Firebox, tal como se describe en Restablecer un
dispositivo Firebox o XTM a una configuración anterior o nueva en la página 48.

Las propiedades de configuración y red predeterminadas para el dispositivo WatchGuard son:

Guía del Usuario 49


Información básica sobre configuración y administración

Red de confianza (Firebox X Edge e-Series)

La dirección IP predeterminada para la red de confianza es 192.168.111.1. La Subnet Mask para la


red de confianza es 255.255.255.0.

La dirección IP predeterminada para el Fireware XTM Web UI es https://192.168.111.1:8080.

Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de
DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.

Red de confianza (Firebox X Core y Peak e-Series y dispositivos WatchGuard XTM)

La dirección IP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de
confianza es 255.255.255.0.

El puerto y la dirección IP predeterminada para el Fireware XTM Web UI es https://10.0.1.1:8080.

Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de
DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..

Red externa

Firebox está configurado para obtener una dirección IP con DHCP.

Red opcional

La red opcional está desactivada.

Configuraciones de firewall

Todas las políticas entrantes son negadas. La política saliente permite todo el tráfico saliente. Se
niegan las solicitudes de ping recibidas en la red externa.

Seguridad del sistema

Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado
(acceso sólo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define
las frases de contraseña de estado y configuración. Después de concluir el Quick Setup Wizard,
puede iniciar sesión en el Fireware XTM Web UI sea con la cuenta de administrador admin o estado.
Para tener acceso completo de administrador, inicie sesión con el nombre de usuario de admin e
ingrese la frase de contraseña de configuración. Para acceso de sólo lectura, inicie sesión con el
nombre de usuario de estado e ingrese la frase de contraseña de sólo lectura.

Por defecto, Firebox está configurado para administración local desde la red de confianza
solamente. Los cambios adicionales de configuración deben ser realizados para permitir la
administración desde la red externa.

Opciones de actualización

Para habilitar las opciones de actualización, como WebBlocker, spamBlocker y Gateway AV/IPS,
debe pegar o importar la tecla de función que habita esas funciones en la página de configuración o
usar el comando Obtener Tecla de Función para activar las opciones de actualización. Si inicia el
Firebox en modo seguro, no es necesario importar la tecla de función nuevamente.

50 Fireware XTM Web UI
Información básica sobre configuración y administración

Acerca de las teclas de función


La tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad de
su dispositivo.

Cuando compra una nueva función


Cuando compra una nueva función para su dispositivo WatchGuard, debe:

n Obtener una tecla de función junto a LiveSecurity


n Agregar una tecla de función a su Firebox

Ver las funciones disponibles con la actual tecla de función


Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Para ver las funciones
disponibles con esa tecla de función:

1. Conéctese al Fireware XTM Web UI.


2. Seleccione Sistema > Tecla de Función.
Aparece la página "Tecla de Función".

Guía del Usuario 51


Información básica sobre configuración y administración

La sección Funciones incluye:

n Una lista de funciones disponibles


n Si la función está activada o no
n Valor asignado a la función, tal como número de interfaces VLAN permitidas
n Fecha de caducidad de la función
n Estado actual de caducidad, tal como cuántos días faltan para que la función caduque
n El número máximo de direcciones IP permitidas de acceso saliente (sólo para dispositivos Firebox X
Edge XTM)

Obtener una tecla de función junto a LiveSecurity


Antes de activar una nueva función, o remover un servicio de suscripción, debe tener un certificado de
license key de WatchGuard que no esté registrado aún en el sitio web de LiveSecurity. Cuando activa la
License Key, puede obtener una tecla de función que habilita la función activada en el dispositivo
WatchGuard. También puede retener una tecla de función existente posteriormente.

Activar la license key para una función


Para activar una license key y obtener una tecla de función para la función activada:

1. Abra un explorador web y vaya a http://www.watchguard.com/activate.


Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.
2. Ingrese su nombre de usuario y contraseña de LiveSecurity.
Aparece la página Activar Productos.
3. Ingrese un número de serie o license key para el producto, tal como aparece en su certificado
impreso. Asegúrese de incluir todos los guiones.
Use el número de serie para registrar un nuevo dispositivo WatchGuard y la license key para
registrar las funciones de complementos.

4. Haga clic en Continuar.


Aparece la página Elija el producto para actualizar.
5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar.
Si agregó un nombre del dispositivo cuando registró su dispositivo WatchGuard, ese nombre
aparece en la lista.
6. Haga clic en Activar.
Aparece la página "Retener tecla de función".

52 Fireware XTM Web UI
Información básica sobre configuración y administración

7. Copie la tecla de función completa en un archivo de texto y guárdelo en su PC.


8. Haga clic en Finalizar.

Obtener una tecla de función actual


Puede registrarse en el sitio web de LiveSecurity para obtener una tecla de función actual o puede usar
Fireware XTM Web UIpara retener una tecla de función actual y agregarla directamente a su dispositivo
WatchGuard.

Cuando va al sitio web de LiveSecurity para retener su tecla de función, puede elegir entre descargar una o
más teclas de función en un archivo comprimido. Si selecciona múltiples dispositivos, el archivo
comprimido contiene un archivo de tecla de función para cada dispositivo.

Para retener una tecla de función actual del sitio web de Live Security:

1. Abra un explorador web y vaya a http://www.watchguard.com/archive/manageproducts.asp.


Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.
2. Ingrese su nombre de usuario y contraseña de LiveSecurity.
Aparece la página "Administrar Productos".
3. Seleccione Teclas de Función.
Aparece la página "Retener Tecla de Función", con una lista desplegable para seleccionar un producto.
4. En la lista desplegable, seleccione su dispositivo WatchGuard.
5. Haga clic en Obtener Tecla.
Aparece una lista de todos sus dispositivos registrados. Aparece una marca de verificación al lado del
dispositivo seleccionado.
6. Seleccione Mostrar teclas de función en la pantalla.
7. Haga clic en Obtener Tecla.
Aparece la página "Retener tecla de función".
8. Copie la tecla de función en un archivo de texto y guárdelo en su equipo.

Para usar el Fireware XTM Web UI para retener la tecla de función actual:

1. Conéctese al Fireware XTM Web UI.


Aparece el Panel de Control del Fireware XTM Web UI .
2. Seleccione Sistema> Tecla de Función .
Aparece la página Resumen de Tecla de Función.

Guía del Usuario 53


Información básica sobre configuración y administración

3. Haga clic en Obtener Tecla de Función.


Su tecla de función es descargada a partir de LiveSecurity y es automáticamente actualizada en su dispositivo
WatchGuard.

Agregar una tecla de función a su Firebox


Si adquiere una nueva opción o actualiza su dispositivo WatchGuard, puede agregar una nueva tecla de
función para activar las nuevas funciones. Antes de instalar la nueva tecla de función, debe remover
completamente la antigua.

1. Seleccione Sistema > Tecla de función.


Aparece la página Tecla de función de Firebox.

Las funciones que están disponibles con esa tecla de función aparecenen esa página. Esa página
también incluye:
n Si la función está activada o no
n Un valor asignado a la función, tal como número de interfaces VLAN permitidas
n La fecha de caducidad de la función
n El tiempo que falta para que la función caduque

54 Fireware XTM Web UI
Información básica sobre configuración y administración

2. Haga clic en Remover para remover la tecla de función actual.


Página de cuadro de diálogo Todas las informaciones sobre teclas de función están limpias de.
3. Haga clic en Actualizar.
Importar Tecla de Función de Firebox página aparece.

Guía del Usuario 55


Información básica sobre configuración y administración

4. Copiar el texto del archivo de la tecla de función y pegar en el cuadro de texto.


5. Haga clic Guardar.
La página "Tecla de función" reaparece con la información de la nueva tecla de función.

Remover una tecla de función


1. Seleccione Sistema > Tecla de función.
Aparece la página Tecla de función de Firebox.
2. Haga clic en Eliminar.
Todas las informaciones sobre teclas de función están limpias en página.
3. Haga clic en Guardar.

Reiniciar su Firebox
Puede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Si
permite el acceso externo, también puede reiniciar el Firebox desde un equipo en Internet. Puede
determinar la hora del día en la cual su Firebox se reinicia automáticamente.

56 Fireware XTM Web UI
Información básica sobre configuración y administración

Reiniciar Firebox de modo local


Para reiniciar Firebox de modo local, puede usar el Fireware XTM Web UI o puede desconectar y conectar
nuevamente el dispositivo.

Reiniciar desde el Fireware XTM Web UI

Para reiniciar el Firebox desde el Fireware XTM Web UI, debe iniciar sesión con acceso de lectura-escritura.

1. Seleccione Panel de Control> Sistema.


2. En la sección Información del dispositivo, haga clic en Reiniciar.

Desconecte y vuelva a conectar

En el Firebox X Edge:

1. Desconecte el Firebox X Edge del suministro de energía.


2. Espere un mínimo de 10 segundos.
3. Conecte la fuente de energía nuevamente.

En el Firebox X Core o Peak, o en el dispositivo WatchGuard XTM :

1. Use el conmutador de energía para apagar el dispositivo.


2. Espere un mínimo de 10 segundos.
3. Encienda el dispositivo.

Reiniciar Firebox de modo remoto


Antes de conectarse a su Firebox para administrar o reiniciarlo desde un equipo remoto externo al Firebox,
primero debe configurar el Firebox para permitir la administración desde la red externa.

Para más informaciones, vea Administrar un Firebox desde una ubicación remota en la página 72.

Para iniciar el Firebox de forma remota a partir del Fireware XTM Web UI:

1. Seleccione Panel de Control> Sistema.


2. En la sección Información del dispositivo, haga clic en Reiniciar.

Activar NTP y agregar servidores NTP


El Protocolo de Horario de Red (NTP, en las siglas en inglés) sincroniza el horario del reloj en toda una red.
Su Firebox puede usar el NTP para obtener el horario correcto automáticamente desde los servidores NTP
en Internet. Como el Firebox usa el horario del reloj de su sistema para cada mensaje de registro que
genera, el horario debe estar ajustado correctamente. Se puede alterar el servidor NTP que Firebox utiliza.
También puede agregar más servidores NTP o borrar los existentes, o puede ajustar el horario
manualmente.

Para usar NTP, la configuración de su Firebox debe permitir DNS. El DNS es permitido en la configuración
predeterminada por la política Saliente. También debe configurar los servidores DNS para la interfaz
externa antes de configurar el NTP.

Guía del Usuario 57


Información básica sobre configuración y administración

Para obtener más información acerca de esas direcciones, vea Agregar direcciones de servidor DNS y WINS.

1. Seleccionar Sistema > NTP.


Aparece el cuadro de diálogo Configuración de NTP.

2. Seleccione Activar NTP Server .


3. Para agregar un servidor NTP, seleccione IP de host oNombre de host (buscar) en la lista
desplegable Elegir tipo, después ingrese la dirección IP o nombre del host del servidor NTP que
desea usar en el cuadro de texto al lado.
Se puede configurar hasta tres servidores NTP
4. Para borrar un servidor, seleccione la entrada del servidor y haga clic en Remover.
5. Haga clic en Guardar.

Definir la zona horaria y las propiedades básicas


del dispositivo
Cuando ejecuta el Web Setup Wizard, se define la zona horaria y otras propiedades básicas del dispositivo.

Para alterar las propiedades básicas del dispositivo:

1. Conéctese al Fireware XTM Web UI.


2. Seleccione Sistema > Sistema.
Aparece la Configuración del dispositivo.

58 Fireware XTM Web UI
Información básica sobre configuración y administración

3. Configurar esas opciones:

modelo de Firebox

Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega una
nueva tecla de función al Firebox con una actualización de modelo, el modelo de Firebox en la
configuración del dispositivo es automáticamente actualizado.

Nombre

El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que
aparecerá en sus informes y archivos de registro. De lo contrario, los informes y archivos de
registro usan la dirección IP del la interfaz externa de Firebox. Muchos clientes usan un domain
name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el
sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para
configurar los certificados y túneles VPN.

Ubicación, Contacto

Ingrese cualquier información que podría ser útil para identificar y hacer el mantenimiento del
Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa
información allí.

Zona horaria

Seleccione la zona horaria para la ubicación física del Firebox. La configuración de zona horaria
controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el
LogViewer, Informes WatchGuard y WebBlocker.

4. Haga clic en Guardar.

Acerca del SNMP


El SNMP (siglas en inglés para Protocolo de Administración de Red Simple) es usado para monitorear
dispositivos en su red. El SNMP utiliza bases de información de administración (MIB) para definir cuáles
informaciones y eventos son monitoreados. Debe configurar una aplicación de software separada, a
menudo denominada visor de eventos o explorador MIB, para recoger y administrar datos de SNMP.

Guía del Usuario 59


Información básica sobre configuración y administración

Hay dos tipos de MIBs: estándar y empresarial. Las MIBs estándares son definiciones de eventos de
hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar información
acerca de eventos específicos a un fabricante determinado. Su Firebox soporta ocho MIBs estándares: IP-
MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. También
soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.

Sondeos y capturas SNMP


Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. El Firebox reporta
datos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, el
número de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red en el Firebox.

Una captura SNMP es una notificación de evento que su Firebox envía a un sistema de administración de
SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor que sea exceda su
umbral predefinido. Su Firebox puede enviar una captura para cualquier política en el Policy Manager.

Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su
Firebox no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el administrador
de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía ningún tipo de
acuse de recibo al recibir la captura.

Acerca de las Bases de Información de Administración (MIBs)


Fireware XTM soporta dos tipos de Bases de Información de Administración (MIBs):

MIBs Estándares

Las MIBs estándares son definiciones de eventos de hardware y red usadas por diversos dispositivos.
Su dispositivo WatchGuard soporta ocho MIBs estándares:

n IP-MIB
n IF-MIB
n TCP-MIB
n UDP-MIB
n SNMPv2-MIB
n SNMPv2-SMI
n RFC1213-MIB
n RFC1155 SMI-MIB

Esas MIBs incluyen datos acerca de la información de red estándar, tal como direcciones IP y
configuración de interfaz de red.

MIBs Empresariales

Las MIBs empresariales son usados para dar información acerca de eventos específicos a un
fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:

n WATCHGUARD-PRODUCTS-MIB
n WATCHGUARD-SYSTEM-CONFIG-MIB
n UCD-SNMP-MIB

Esas MIBs incluyen datos más específicos acerca del hardware del dispositivo.

Al instalar el WatchGuard System Manager, las MIBs son instaladas en:

60 Fireware XTM Web UI
Información básica sobre configuración y administración

\My Documents\My WatchGuard\Shared WatchGuard\SNMP

Activar Sondeo de SNMP


Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. Su Firebox reporta
datos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, el
número de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red.

1. Seleccione Sistema >SNMP.


Aparece la página SNMP.

2. Para activar el SNMP, en la lista desplegable Versión, seleccione v1, v2c, o v3.
3. Si seleccionó la v1 o v2c para la versión del SNMP, ingrese la Cadena de comunidad que el servidor
SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario y
contraseña que permite el acceso a las estadísticas de un dispositivo.

Si seleccionó la v3 para la versión del SNMP, ingrese el Nombre del usuario que el servidor SNMP
usa cuando se contacta con el Firebox.
4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación,
seleccione MD5 o SHA e ingrese la Contraseña de autenticación dos veces.

Guía del Usuario 61


Información básica sobre configuración y administración

5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES e
ingrese la Contraseña de cifrado dos veces.
6. Haga clic en Guardar.

Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.

1. Seleccione Firewall >Políticas de Firewall.


2. Haga clic en Agregar.
3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar.
Aparece la página "Configuración de Política".
4. Abajo del cuadro De, haga clic en Agregar.
Aparece la ventana Agregar miembro.
5. En la lista desplegable Insertar miembro, seleccione IP del host.
6. Ingrese la dirección IP de su servidor SNMP en el cuadro de texto al lado. Haga clic en OK.
7. Remueva la entrada Cualquiera de Confianza de la lista De.
8. Abajo del cuadro Para, haga clic en Agregar.
Aparece la ventana Agregar miembro.
9. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.
10. Remueva la entrada Cualquiera Externo de la lista Para.
11. Haga clic en Guardar.

Activar Capturas y estaciones de administración de SNMP


Una captura SNMP es una notificación de evento que el dispositivo WatchGuard envía a un sistema de
administración de SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor
que sea exceda su umbral predefinido. Su dispositivo WatchGuard puede enviar una captura para cualquier
política.

Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su
dispositivo WatchGuard no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el
administrador de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía
ningún tipo de acuse de recibo al recibir la captura.

Una solicitud de informe es más confiable que una captura porque su dispositivo WatchGuard sabe si la
solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son
guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de
informe más de una vez, los reintentos aumentan el tráfico. Recomendamos que considere si vale la pena
usar la memoria del enrutador para cada notificación de SNMP y aumentar el tráfico de red.

Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 sólo soporta
capturas, pero no solicitudes de informe.

Configurar Estaciones de Administración de SNMP


1. Seleccione Sistema > SNMP.
Aparece la página SNMP.

62 Fireware XTM Web UI
Información básica sobre configuración y administración

2. En la lista desplegable Capturas de SNMP, seleccione la versión de la captura o informe que desea
usar.
SNMPv1 sólo soporta capturas, pero no solicitudes de informe.
3. En el cuadro de texto Estaciones de Administración deSNMP , ingrese la dirección IP de su servidor
SNMP. Haga clic en Agregar.
4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover.
5. Haga clic en Guardar.

Agregar una política de SNMP


Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.

1. Seleccione Firewall >Políticas de Firewall.


2. Haga clic en Agregar.
3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar política.
Aparece la página "Configuración de Política".
4. En el cuadro de texto Nombre, ingrese un nombre para la política.
5. Seleccione la casilla de verificación Activar.
6. En la sección Desde, haga clic en Agregar.
Aparece la ventana Agregar miembro.
7. En la lista desplegable Tipo de miembro , seleccione el IP del host.

Guía del Usuario 63


Información básica sobre configuración y administración

8. En el cuadro de texto al lado, inserte la dirección IP de su servidor SNMP y después haga clic en
Aceptar.
9. Remueva la entrada Cualquiera de Confianza de la lista De.
10. En la sección Hasta, haga clic en Agregar.
Aparece la ventana Agregar miembro.
11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.
12. Remueva la entrada Cualquiera Externo de la lista Para.
13. Haga clic en Guardar.

Enviar una captura SNMP para una política


Su Firebox puede enviar una captura SNMP cuando el tráfico es filtrado por una política. Debe tener al
menos una estación de administración de SNMP configurada para activar las capturas SNMP.

1. Seleccione Firewall > Políticas de Firewall.


2. Haga doble clic en una política.
O seleccione una política y haga clic en Editar.
Aparece la página "Configuración de Política".
3. Haga clic en la pestaña Propiedades.
4. En la sección Registro, seleccione la casilla de verificación Enviar Captura SNMP.
5. Haga clic en Guardar.

Acerca de las frases de contraseña, claves de


cifrado y claves compartidas de WatchGuard
Como parte de la solución de seguridad de su red, utilice contraseñas, claves de cifrado y claves
compartidas. Este tema incluye información sobre la mayoría de las contraseñas, claves de cifrado y claves
compartidas que usted utiliza para los productos WatchGuard. No incluye información sobre contraseñas o
frases de contraseña de terceros. En los procedimientos relacionados también se incluye información
sobre las restricciones para las contraseñas, las claves de cifrado y las claves compartidas.

Crear una contraseña, una clave de cifrado o una clave


compartida segura
Para crear una contraseña, una clave de cifrado o una clave compartida segura, se recomienda:

n utilice una combinación de caracteres ASCII en minúscula y en mayúscula, números y caracteres


especiales (por ejemplo, Im4e@tiN9);
n no utilice una palabra de los diccionarios estándar, incluso si la utiliza en una secuencia diferente o
en un idioma diferente; y
n no utilice un nombre. Resulta fácil para un atacante encontrar un nombre de empresa, un nombre
de familia o el nombre de alguien famoso.

Como medida de seguridad adicional, se recomienda cambiar las contraseñas, las claves de cifrado y las
claves compartidas a intervalos regulares.

Frases de contraseña de Firebox


Un Firebox utiliza dos frases de contraseña:

64 Fireware XTM Web UI
Información básica sobre configuración y administración

Frase de contraseña de estado

La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox. Cuando inicia
sesión con esta frase de contraseña, puede revisar su configuración, pero no puede guardar los
cambios en el Firebox. La frase de contraseña de estado está asociada al estado del nombre de
usuario.

Frase de contraseña de configuración

La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso
pleno al Firebox. Debe utilizar esta frase de contraseña para guardar los cambios de configuración
en el Firebox. Ésta es también la frase de contraseña que debe utilizar para cambiar sus frases de
contraseña de Firebox. La frase de contraseña de configuración está asociada al nombre de usuario
del administrador.

Cada una de estas frase de contraseña de Firebox debe tener al menos ocho caracteres.

Frases de contraseña de usuario


Puede crear nombres de usuario y frases de contraseña para utilizar con la autenticación de Firebox y la
administración basada en roles.

Frases de contraseñas de usuario para autenticación de Firebox

Una vez que configura esta frase de contraseña de usuario, los caracteres se enmascaran y la frase
de contraseña no vuelve a aparecer en texto simple. Si se pierde la frase de contraseña, debe
configurar una nueva frase de contraseña. El rango permitido para esta frase de contraseña es de
entre ocho y 32 caracteres.

Frases de contraseña de usuario para administración basada en roles

Una vez que configura esta frase de contraseña de usuario, no vuelve a aparecer en el cuadro de
diálogo Propiedades de usuario y de grupo. Si se pierde la frase de contraseña, debe configurar una
nueva frase de contraseña. Esta frase de contraseña debe tener al menos ocho caracteres.

Frases de contraseña del servidor


Frase de contraseña del administrador

La frase de contraseña del administrador se utiliza para controlar el acceso a WatchGuard Server
Center. También puede utilizar esta frase de contraseña cuando se conecta a su Management Server
desde WatchGuard System Manager (WSM). Esta frase de contraseña debe tener al menos ocho
caracteres. La frase de contraseña del administrador está relacionada con la admin del nombre de
usuario.

Secreto compartido del servidor de autenticación

El secreto compartido es la clave que Firebox y el servidor de autenticación utilizan para asegurar la
información de autenticación que se transfiere entre ellos. El secreto compartido distingue
mayúsculas de minúsculas y debe ser el mismo en Firebox que en el servidor de autenticación. Los
servidores RADIUS, SecurID y VASCO utilizan una clave compartida.

Guía del Usuario 65


Información básica sobre configuración y administración

Claves de cifrado y claves compartidas


Encryption Key del Log Server

La clave de cifrado se utiliza para crear una conexión segura entre Firebox y los Log Servers, y para
evitar ataques “man-in-the-middle” (o de intrusos). El rango permitido para la clave de cifrado es de
8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o
invertidas (/ o \).

Respaldar/restablecer clave de cifrado

Ésta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuración de
Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccionó cuando
creó el archivo de respaldo de configuración. Si pierde o olvida la clave de cifrado, no puede
restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres
y no puede tener más de 15 caracteres.

Clave compartida VPN

La clave compartida es una contraseña utilizada por dos dispositivos para cifrar y descifrar los datos
que pasan a través del túnel. Los dos dispositivos usan la misma frase de contraseña. Si los
dispositivos no tienen la misma frase de contraseña, no pueden encriptar o descifrar los datos
correctamente.

Alterar frases de contraseña de Firebox


Firebox usa dos frases de contraseña:

Frase de contraseña de estado

La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox.

Frase de contraseña de configuración

La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso
pleno al Firebox.

Para obtener más información acerca de las frases de contraseña, vea Acerca de las frases de contraseña,
claves de cifrado y claves compartidas de WatchGuard en la página 64.

Para alterar las frases de contraseña:

1. Seleccione Sistema > Frase de contraseña.


Aparece la página Frase de contraseña.

66 Fireware XTM Web UI
Información básica sobre configuración y administración

2. Ingrese y confirme las frases de contraseña de nuevo estado (sólo lectura) y confirmación
(lectura/escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña de
configuración.
3. Haga clic en Guardar.

Defina las configuraciones globales del Firebox


En Fireware XTM Web UIse pueden seleccionar configuraciones que controlen las acciones de muchas
funciones de los dispositivos Firebox y XTM . Se configuran los parámetros básicos para:

n Administración de errores ICMP


n Comprobación TCP SYN
n Ajuste del tamaño máximo de TCP
n Administración de tráfico y QoS
n Puerto de interfaz del usuario web

Para modificar las configuraciones globales:

1. Seleccionar Sistema > Configuraciones globales.


Aparece el cuadro de diálogo Configuraciones globales.

Guía del Usuario 67


Información básica sobre configuración y administración

2. Configure las diferentes categorías de las configuraciones globales como se describe en las
siguientes secciones.
3. Haga clic en Guardar.

Defina las configuraciones globales de administración de


errores ICMP
El Protocolo de mensajes de control de Internet (ICMP) controla errores en las conexiones. Se utiliza para
dos tipos de operaciones:

n Para informar a los host clientes acerca de condiciones de error.


n Para sondear una red a fin de encontrar características generales acerca de ésta.

El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los
parámetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se
resuelven problemas, pero también pueden reducir la seguridad porque exponen información acerca de la
red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,
pero esto también puede generar demoras del tiempo de espera para conexiones incompletas, lo cual
puede causar problemas en las aplicaciones.

68 Fireware XTM Web UI
Información básica sobre configuración y administración

Las configuraciones para la administración global de errores de ICMP son:

Se requiere fragmentación (PMTU)

Seleccione esta casilla de verificación para permitir los mensajes "Se requiere fragmentación" de
ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.

Tiempo excedido

Seleccione esta casilla de verificación para permitir mensajes de "Tiempo excedido" de ICMP. Un
enrutador en general envía estos mensajes cuando ocurre un bucle en la ruta.

No se puede alcanzar la red

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar la red" de
ICMP. Un enrutador en general envía estos mensajes cuando un enlace de red está roto.

No se puede alcanzar el host

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el host" de
ICMP. La red en general envía estos mensajes cuando no puede utilizar un host o servicio.

No se puede alcanzar el puerto

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el puerto" de
ICMP. Un host o firewall en general envía estos mensajes cuando un servicio de red no está
disponible o no está permitido.

No se puede alcanzar el protocolo

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el protocolo"
de ICMP.

Para anular estas configuraciones globales de ICMP para una política específica: Fireware XTM Web UI:

1. Seleccione Firewall > Políticas de Firewall.


2. Haga doble clic en la política para editarla.
Aparece la página Configuración de políticas.
3. Seleccione la pestaña Avanzado.
3. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas.
4. Seleccione la casilla de verificación sólo para las configuraciones que desea activar.
5. Haga clic Guardar.

Habilitar la comprobación TCP SYN


La comprobación TCP SYN garantiza que el protocolo de enlace de tres vías TCP se complete antes de que el
dispositivo Firebox o XTM permita una conexión de datos.

Guía del Usuario 69


Información básica sobre configuración y administración

Definir las configuraciones globales de ajuste de tamaño


máximo del segmento TCP
El segmento TCP puede configurarse en un tamaño específico para una conexión que debe tener más
sobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configurado
correctamente, los usuarios no pueden obtener acceso a algunos sitios web. Las configuraciones globales
de ajuste de tamaño máximo del segmento TCP son:

Ajuste automático

El dispositivo Firebox o XTM examina todas las negociaciones de tamaño máximo del segmento
(MSS) y cambia el valor de MSS al correspondiente.

Sin ajustes

El dispositivo Firebox o XTM no cambia el valor de MSS.

Limitar a

El usuario configura un límite de ajuste del tamaño.

Activar o desactivar la administración de tráfico y QoS


Para los fines de prueba de rendimiento o depuración de la red, el usuario puede desactivar las funciones
de administración de tráfico y QoS.

Para activar estas funciones:

Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.

Para desactivar estas funciones:

Desmarque la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.

Cambiar el puerto Web UI


De manera predeterminada, la Fireware XTM Web UI utiliza el puerto 8080.

Para cambiar este puerto:

1. En el cuadro de texto Puerto Web UI , ingrese o seleccione un número de puerto diferente.


2. Utilice el nuevo puerto para conectarse a la Fireware XTM Web UI y pruebe la conexión con el
nuevo puerto.

Reinicio automático
Puede programar el dispositivo Firebox o XTM para que se reinicie automáticamente en el día y la hora
especificados.

Para programar un reinicio automático para el dispositivo:

70 Fireware XTM Web UI
Información básica sobre configuración y administración

1. Seleccione la casilla de verificación Programar horario para reiniciar.


2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los días o
seleccione un día de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del día (en formato
de 24 horas) en que desea que comience el reinicio.

Consola externa
Esta opción sólo está disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta
casilla de verificación para usar el puerto serie para conexiones de consola, como la CLI (interfaz de línea
de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutación por error de módem
cuando esta opción está seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuración.

Acerca de los servidores WatchGuard System


Manager
Cuando instala el software de WatchGuard System Manager, puede elegir instalar uno o más servidores
WatchGuard System Manager. También puede ejecutar el programa de instalación y seleccionar instalar un
solo servidor o más servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programa
de WatchGuard Server Center se instala automáticamente. WatchGuard Server Center es una aplicación
unificada que usted puede utilizar para establecer, configurar, guardar un archivo de respaldo y restablecer
todos los servidores WatchGuard System Manager.

Cuando utiliza Fireware XTM Web UI para administrar su Firebox o dispositivos XTM, también puede elegir
utilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener más
información sobre WatchGuard System Manager, los servidores WatchGuard System Manager y
WatchGuard Server Center, consulte Ayuda de Fireware XTM WatchGuard System Manager v11.x y la Guía
de usuario de WatchGuard System Manager v11.x de Fireware XTM.

WatchGuard System Manager incluye cinco servidores:

n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server

Para obtener más información sobre WatchGuard System Manager y los servidores WatchGuard, consulte
Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.

Cada servidor tiene una función específica:

Management Server

El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los
dispositivos firewall y crear túneles de red privada virtual (VPN) con sólo arrastrar y soltar. Las
funciones básicas del Management Server son:

n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo
de Internet (IPSec).

Guía del Usuario 71


Información básica sobre configuración y administración

n Administración de la configuración del túnel VPN.


n Administración de múltiples dispositivos Fireware XTM y Firebox

Para obtener más información acerca del Management Server, consulte Acerca del WatchGuard
Management Server la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de
usuario v11.x..

Log Server

El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una
base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al Log Servers. El
formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el
Log Servers recopila incluyen mensajes de registro de tráfico, mensajes de registro de eventos,
alarmas y mensajes de diagnóstico.

Para obtener más información sobre los Log Servers, consulte la Ayuda de Fireware XTM
 WatchGuard System Manager v11.x o la Guía de usuario v11.x..

Report Server

El Report Server agrupa periódicamente los datos recopilados por sus Log Server desde sus
dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego
genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,
puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.

Para obtener más información acerca de cómo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.

Para obtener más información sobre el Report Server, consulte la Ayuda de Fireware XTM
 WatchGuard System Manager v11.x o la Guía de usuario v11.x.

Quarantine Server

El Quarantine Server recopila y aísla mensajes de correo electrónico que spamBlocker identifica
como posible spam.

Para obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine
Server en la página 635.

WebBlocker Server

El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categorías
especificadas de sitios web. Cuando configura Firebox, establece las categorías de sitio web que
desea permitir o bloquear.

Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la página 561.

Administrar un Firebox desde una ubicación remota


Cuando configura un Firebox con el Quick Setup Wizard, se crea automáticamente una política llamada
política WatchGuard. Esa política permite conectarse y administrar el Firebox desde cualquier equipo en
redes de confianza u opcional. Si desea administrar el Firebox desde una ubicación remota (cualquier
ubicación externa al Firebox), debe alterar la política WatchGuard para permitir conexiones administrativas

72 Fireware XTM Web UI
Información básica sobre configuración y administración

desde la dirección IP de su ubicación remota.

La política WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.
Cuando permite las conexiones en la política WatchGuard, permite las conexiones a cada uno de esos
cuatro puertos.

Antes de modificar la política WatchGuard, recomendamos que considere conectarse al Firebox con una
VPN. Eso aumenta enormemente la seguridad de la conexión. Caso no sea posible, recomendamos que
permita el acceso desde la red externa sólo a determinados usuarios autorizados y al número de equipos
más pequeño posible. Por ejemplo, su configuración es más segura si permite conexiones desde un equipo
simple en vez de desde el alias "Cualquier-externo".

1. Seleccione Firewall > Políticas de Firewall.


2. Haga doble clic en la política de WatchGuard.
O haga clic en la política WatchGuard y seleccione Editar.
Aparece la página de Configuración de Política.

Guía del Usuario 73


Información básica sobre configuración y administración

3. En la sección Desde, haga clic en Agregar.


Aparece el cuadro de diálogo "Agregar miembro".

4. Agregar la dirección del equipo externo que se conecta al Firebox: en la lista desplegable Tipo de
miembro, seleccione IP del host, y haga clic en Aceptar. Después, ingrese la dirección IP.
5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccione
Alias.
Para obtener información sobre cómo crear un alias, vea Crear un alias en la página 258.

Configurar un Firebox como un dispositivo


administrado
Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede conectarse a él por
cualquier otra razón, es posible configurar el Firebox como cliente administrado antes de añadirlo al
Management Server.

Editar la política WatchGuard


1. Seleccione Firewall >Políticas de Firewall.
Aparece la página "Políticas de Firewall".
2. Haga doble clic en la política WatchGuard para abrirla.
Aparece el cuadro de diálogo de la página Configuración de Políticas para la política WatchGuard.

74 Fireware XTM Web UI
Información básica sobre configuración y administración

3. En las la lista desplegable Conexiones, asegúrese que Permitido esté seleccionado.


4. En la sección Desde, haga clic en Agregar.
Aparece el cuadro de diálogo "Agregar miembro".
5. En el Tipo de miembro lista desplegable, seleccione el IP del host.
6. En el cuadro de texto ,Tipo inserte la dirección IP de la interfaz externa del Firebox de puerta de
enlace.
Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet,
ingrese la dirección IP estática del Management Server.
7. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro.
8. Asegúrese de que la sección Para incluya una entrada para Firebox o para Cualquiera.
9. Haga clic en Guardar.

Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a la
Management Server configuration, éste automáticamente se conecta a la dirección IP estática y configura el
Firebox como un cliente Firebox administrado.

Guía del Usuario 75


Información básica sobre configuración y administración

Configurar Dispositivo Administrado


(Opcional) Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede encontrar la
dirección IP del Firebox por algún motivo, es posible usar ese procedimiento para preparar su Firebox para
que sea administrado por el Management Server.

1. Seleccione Sistema > Dispositivos Administrados.


Aparece la página "Dispositivo Administrado".

2. Para configurar un Firebox como dispositivo administrado, seleccione la casilla Centralized


Management.
3. En el campo Nombre del dispositivo administrado, ingrese el nombre que desea dar al Firebox
cuando lo agrega a la Management Server configuration.

76 Fireware XTM Web UI
Información básica sobre configuración y administración

Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre usado al agregar el
dispositivo a la Management Server configuration.
4. En la ventana Dirección(es) IP del Management Server , seleccione la dirección IP del Management
Server caso tenga una dirección IP pública.

O seleccione la dirección IP pública del Firebox de puerta de enlace para el Management Server.
5. Para agregar una dirección, haga clic en Agregar.

El Firebox que protege el Management Server automáticamente monitorea todos los puertos
usados por el Management Server y envía cualquier conexión de esos puertos hacia el Management
Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente añade una política
WG-Mgmt-Server a su configuración para cuidar de esas conexiones. Si no usó el Management
Server Setup Wizard en el Management Server o si saltó el paso Firebox de Puerta de Enlace en el
asistente, debe añadir manualmente la política WG-Mgmt-Server a la configuración de su Firebox de
puerta de enlace.
6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.

El secreto compartido ingresado aquí debe coincidir con aquél ingresado al agregar el Firebox a la
Management Server configuration.
7. Copie el texto de su archivo de certificado CA del Management Server, y péguelo en el campo
Certificado de Management Server.
8. Haga clic Guardar.

Cuando guarda la configuración en el Firebox, éste queda activado como dispositivo administrado. El
Firebox administrado intenta conectarse a la dirección IP del Management Server en el puerto TCP 4110.
Las conexiones de administración no son permitidas a partir del Management Server para este dispositivo
Firebox.

Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener más información
acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.

También puede usar el WSM para configurar el modo de administración de su dispositivo. Para obtener más
información acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.

Actualizar para una nueva versión del Fireware XTM


Periódicamente, el WatchGuard crea nuevas versiones Fireware XTM disponible a los usuarios de Firebox
con suscripciones activas del LiveSecurity. Para actualizar desde una versión del Fireware XTM hacia una
nueva versión de Fireware XTM, use los procedimientos en las siguientes secciones.

Instalar la actualización en su equipo administrado


1. Descargue el software actualizado de Fireware XTM en la sección de Descargas de Software del sitio
web de WatchGuard en http://www.watchguard.com.

Guía del Usuario 77


Información básica sobre configuración y administración

2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantalla
para instalar el archivo de actualización del Fireware XTM en el directorio de instalación de
WatchGuard en su equipo de administración.
Por defecto, el archivo es instalado en una carpeta en:
C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0

Actualizar el Firebox
1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia de
seguridad de su Firebox.
Para más informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la página 41.
2. Seleccione Sistema > Actualizar OS.
3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización
desde el directorio en el que está instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.

El procedimiento de actualización puede llevar hasta 15 minutos y automáticamente reinicia el dispositivo


WatchGuard.

Si su dispositivo WatchGuard estuvo funcionando por algún tiempo antes de la actualización, puede ser
necesario reiniciar el dispositivo antes de iniciar la actualización, para que se limpie la memoria temporal.

Descargue el archivo de configuración


A partir del Fireware XTM Web UI, puede descargar la configuración de su dispositivo WatchGuard en un
archivo comprimido. Eso puede ser útil si desea abrir el mismo archivo de configuración en el Policy
Manager de Fireware XTM pero no logra conectarse al dispositivo desde el Policy Manager. Eso también
puede ser útil si desea enviar un archivo de configuración al representante de WatchGuard Technical
Support.

1. Seleccione Sistema >Configuración.


Aparece la página de descarga del Archivo de configuración.
2. Haga clic en Descargar archivo de configuración.
Aparece el cuadro de diálogo "Seleccionar ubicación para descarga".
3. Seleccione una ubicación para guardar el archivo de configuración.

El archivo de configuración es guardado en un archivo en formato comprimido (.gz). Antes que pueda usar
ese archivo con el Policy Manager de Fireware XTM, debe extraer el archivo zipeado hacia una carpeta en
su equipo.

Para obtener más información acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.

78 Fireware XTM Web UI
6 Configuración de red

Acerca de las configuración de interfaz de red


Un componente principal de la configuración del dispositivo WatchGuard es la configuración de las
direcciones IP de la interfaz de red. Cuando se ejecuta el Quick Setup Wizard, las interfaces externa y de
confianza se configuran de manera tal que el tráfico pueda circular desde dispositivos protegidos a una red
externa. Puede seguir los procedimientos en esta sección para cambiar la configuración después de
ejecutar el Quick Setup Wizard o para agregar otros componentes de su red a la configuración. Por
ejemplo, puede configurar una interfaz opcional para servidores públicos como un servidor web.

El dispositivo WatchGuard separa físicamente a las redes en la red de área local (LAN) de las que se
encuentran en la red de área ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar
paquetes desde las redes que protege a redes fuera de la organización. Para hacerlo, el dispositivo debe
conocer qué redes están conectadas en cada interfaz.

Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso de que
necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su problema con
rapidez.

Modos de red
El dispositivo WatchGuard admite varios modos de red:

Modo de enrutamiento combinado

En el modo de enrutamiento combinado, se puede configurar Firebox para que envíe tráfico de red
entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,
cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de
red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traducción de
dirección de red (NAT) para enviar información entre interfaces de red.

Guía del Usuario 79


Configuración de red

Para obtener más información, consulte Acerca de la Traducción de dirección de red (NAT) en la
página 137.

Los requisitos para un modo de enrutamiento combinado son:

n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La
configuración mínima incluye a las interfaces externas y de confianza. También puede
configurar una o más interfaces opcionales.
n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una
dirección IP de esa red.

Modo directo

En una configuración directa, el dispositivo WatchGuard está configurado con la misma dirección IP
en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no
será necesario cambiar la configuración de ninguna computadora local. Esta configuración se
conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente.
Algunas funciones de red, como puentes y VLAN ( redes virtuales de área local) no están disponibles
en este modo.

Para la configuración directa se debe:

n Asignar una dirección IP externa al dispositivo WatchGuard.


n Utilizar una red lógica para todas las interfaces.
n No configurar multi-WAN en modo de operación por turnos o conmutación por error.

Para más informaciones, vea Acerca de la configuración de red en modo directo en la página 89.

Modo puente

El modo puente es una función que permite ubicar al dispositivo WatchGuard entre una red
existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta
función, el dispositivo WatchGuard procesa y reenvía todo el tráfico de red entrante a la gateway IP
address especificada. Cuando el tráfico llega a la puerta de enlace, parece haber sido enviado desde
el dispositivo original. En esta configuración, el dispositivo WatchGuard no puede realizar varias
funciones que requieren una dirección IP pública y única. Por ejemplo, no se puede configurar un
dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red
privada virtual).

Para más informaciones, vea Modo Bridge en la página 94.

Tipos de interfaz
Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:

Interfaces externas

Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la
organización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta Firebox
a Internet. Se puede configurar un máximo de cuatro (4) interfaces externas físicas.

80 Fireware XTM Web UI
Configuración de red

Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de
servicios de Internet (ISP) para otorgar una dirección IP a su Firebox. Si no conoce el método, solicite
esta información a su ISP o administrador de red.

Interfaces de confianza

Las interfaces de confianza se conectan a la LAN (red de área local) privada o a la red interna de la
organización. Una interfaz de confianza en general provee conexiones a los empleados y recursos
internos seguros.

Interfaces opcionales

Las interfaces opcionales son entornos combinados-de confianza o DMZ que están separados de la
red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional
son los servidores web públicos, servidores FTP y servidores de correo electrónico.

Para obtener más información sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la
página 95.

Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar la
conmutación por error con un módem externo en el puerto serie.

Para más informaciones, vea Conmutación por error de módem serie en la página 128.

Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notación diagonal para
indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0
como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene una subnet mask
de 255.255.0.0.

Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal en la
página 3.

Acerca de las interfaces de red en el Edge e-Series


Cuando utiliza Fireware XTM en un Firebox X Edge e-Series, los números de interfaz de red que aparecen
en la interfaz de usuario web (web UI) del Fireware XTM no coinciden con las etiquetas de interfaz de red
que aparecen debajo de las interfaces físicas en el dispositivo. Utilice la siguiente tabla para comprender
cómo los números de interfaz de la web UI se asignan a las interfaces físicas en el dispositivo.

Número de
Etiqueta de interfaz en el hardware de Firebox X Edge e-
interfaz en
Series
Fireware XTM

0 WAN 1

1 LAN 0, LAN 1, LAN 2

2 WAN 2

3 Op

Guía del Usuario 81


Configuración de red

Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de
tres interfaces que se conecta a una única interfaz de Firebox. En Fireware XTM, estas interfaces se
configuran juntas como Interfaz 1.

Modo de enrutamiento combinado


En el modo de enrutamiento combinado, Firebox puede configurarse para enviar tráfico de red entre
muchos tipos diferentes de interfaces de red física y virtual. El modo de enrutamiento combinado es el
modo de red predeterminado. Aunque la mayoría de las funciones de seguridad y red están disponibles en
este modo, debe verificar cuidadosamente la configuración de cada dispositivo conectado a Firebox para
asegurarse de que la red funcione correctamente.

Una configuración de red básica en el modo de enrutamiento combinado utiliza por lo menos dos
interfaces. Por ejemplo, puede conectar una interfaz externa a un módem por cable u otra conexión a
Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la
organización. En esa configuración básica, puede agregar una red opcional que protege a los servidores
pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o
configurar opciones de seguridad adicionales como restricciones de dirección MAC. También puede definir
el modo en que el tráfico de red se envía entre las interfaces.

Para comenzar con la configuración de interfaces en el modo de enrutamiento combinado, consulte


Configuraciones de interfaz comunes en la página 95.

En el modo de enrutamiento combinado es fácil olvidar las direcciones IP y puntos de conexión en la red ,
especialmente si se usan VLAN (redes virtuales de área local), secondary networks y otras funciones
avanzadas. Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso
de que necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su
problema con rapidez.

Configurar una interfaz externa


Una interfaz externa se usa para conectar el dispositivo Firebox o XTM a una red fuera de la organización.
Con frecuencia, una interfaz externa es el método mediante el cual se conecta el dispositivo a Internet. Se
puede configurar un máximo de cuatro (4) interfaces externas físicas.

Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de servicios de
Internet (ISP) para otorgar una dirección IP a su dispositivo. Si no conoce el método, solicite esta
información a su ISP o administrador de red.

Para obtener información acerca de los métodos utilizados para configurar y distribuir direcciones IP,
consulte estáticas y dinámicas Direcciones IP en la página 4.

Usar una dirección IP estática


1. Seleccione Interfaces de >red.
Aparece la página de Interfaces de red.
2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En la lista desplegable Modo configuración, seleccione IP estática.
4. En el cuadro de texto Dirección IP , ingrese la dirección IP de la interfaz.

82 Fireware XTM Web UI
Configuración de red

5. En el cuadro de texto Puerta de enlace predeterminada , ingrese la dirección IP de la puerta de


enlace predeterminada.

6. Haga clic en Guardar.

Usar autenticación PPPoE


Si su ISP usa PPPoE, debe configurar la autenticación PPPoE antes de que el dispositivo pueda enviar tráfico
a través de la interfaz externa.

1. Seleccione Interfaces de >red.


Aparece la página de Interfaces de red.
2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En la lista desplegable Modo configuración , seleccione PPPoE.
4. Seleccione una opción:

n Obtener una dirección IP automáticamente


n Usar esta dirección IP (proporcionada por el proveedor de servicios de Internet)
5. Si seleccionó Usar esta dirección IP, en el cuadro de texto adyacente, ingrese la dirección IP.
6. Ingrese el nombre de usuario y la contraseña. Vuelva a ingresar la contraseña.
Los ISP usan el formato de dirección de correo electrónico para nombres de usuario, como por ejemplo
user@example.com.

7. Haga clic en Configuración avanzada de PPPoE para configurar opciones de PPPoE adicionales.
El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.

Guía del Usuario 83


Configuración de red

8. Si el ISP requiere la etiqueta de host único para paquetes de descubrimiento de PPPoE, seleccione
la casilla de verificación Utilizar etiqueta de host único en paquetes de descubrimiento de PPPoE.
9. Seleccionar cuándo el dispositivo se conecta al servidor PPPoE:

n Siempre activo: el dispositivo Firebox o XTM mantiene una conexión PPPoE constante. No es
necesario para el tráfico de red atravesar la interfaz externa.

Si selecciona esta opción, ingrese o seleccione un valor en el cuadro de texto Intervalo de


reintento de inicialización de PPPoE para establecer la cantidad de segundos en que PPPoE
intenta inicializarse antes de que ingrese en tiempo de espera.

n Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE sólo cuando
recibe una solicitud de enviar tráfico a una dirección IP en la interfaz externa. Si el ISP
restablece la conexión en forma regular, seleccione esta opción.

Si selecciona esta opción, en el cuadro de texto Tiempo de espera inactivo , establezca la


cantidad de tiempo en que un cliente puede permanecer conectado cuando no se envía
tráfico. Si no selecciona esta opción, debe reiniciar Firebox en forma manual cada vez que se
restablece la conexión.

10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el número de solicitudes de eco
de LCP permitidas antes de que la conexión PPPoE se considere inactiva y se cierre.
11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de
tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.
12. Para configurar el dispositivo Firebox o XTM para que reinicie automáticamente la conexión PPPoE
en forma diaria o semanal, seleccione la casilla de verificación Programar tiempo para reinicio
automático.

84 Fireware XTM Web UI
Configuración de red

13. En la lista desplegable Programar tiempo para reinicio automático, seleccione Diario para reiniciar
la conexión al mismo tiempo cada día o seleccione un día de la semana para un reinicio semanal.
Seleccione la hora y minutos del día (en formato de 24 horas) para reiniciar automáticamente la
conexión PPPoE.
14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.

Las opciones son el nombre del ISP o una clase de servicio que esté configurada en el servidor
PPPoE. En general, esta opción no se usa. Selecciónela sólo si hay más de un concentrador de
acceso o si sabe que debe utilizar un nombre de servicio específico.
15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador
de acceso PPPoE, conocido también como servidor PPPoE. En general, esta opción no se usa.
Seleccione esta opción sólo si sabe que hay más de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticación , ingrese o seleccione el número de veces que
el dispositivo Firebox o XTM puede intentar realizar una conexión.
El valor predeterminado es de tres (3) intentos de conexión.
17. En el cuadro de texto Tiempo de espera de autenticación , ingrese un valor para la cantidad de
tiempo entre los reintentos.
El valor predeterminado es 20 segundos entre cada intento de conexión.
18. Haga clic en Volver a las configuraciones principales de PPPoE.
19. Guarde su configuración.

Usar DHCP
1. En la lista desplegable Modo configuración , seleccione DHCP.
2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una dirección MAC,
ingrese esta información en el cuadro de texto Cliente .
3. Para especificar un nombre de hostpara identificación,ingréselo enel cuadrode textoNombre dehost .

4. Para asignar una dirección IP en forma manual a la interfaz externa, ingrésela en el cuadro de texto
Utilizar esta dirección IP .

Para configurar esta interfaz para que obtenga una dirección IP automáticamente, desmarque el
cuadro de texto Utilizar esta dirección IP.
5. Para cambiar el tiempo de concesión, seleccione la casilla de verificación Tiempo de concesión y
seleccione el valor deseado en la lista desplegable adyacente.

Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesión predeterminado de
un día; cada dirección es válida por un día.

Guía del Usuario 85


Configuración de red

Configurar el DHCP en modo de enrutamiento mixto


DHCP (protocolo de configuración dinámica de host) es un método para asignar direcciones IP en forma
automática a clientes de red. El dispositivo WatchGuard se puede configurar como servidor DHCP para las
redes que protege. Si tiene un servidor DHCP, recomendamos que continúe usando ese servidor para DHCP.

Si el dispositivo WatchGuard está configurado en modo directo, consulte Configurar DHCP en modo directo
en la página 91.

Nota No se puede configurar DHCP en ninguna interfaz en la cual esté activado


FireCluster.

Configurar DHCP
1. Seleccione Interfaces de> red.
2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.

86 Fireware XTM Web UI
Configuración de red

3. En la lista desplegable Modo configuración, seleccione Usar servidor DHCP.

4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una dirección
IP de inicio y una dirección IP de finalización desde la misma subnet, luego haga clic en Agregar.
El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.
Se puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el
primero al último. Las direcciones en cada grupo se asignan por número, de menor a mayor.
5. Para cambiar el tiempo de concesión predeterminado, seleccione una opción diferente en la lista
desplegable Tiempo de concesión.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.
Cuando el tiempo de concesión se está por agotar, el cliente envía datos al servidor DHCP para obtener una
nueva concesión.
6. De manera predeterminada, cuando el dispositivo WatchGuard está configurado como servidor
DHCP, revela la información del servidor DNS y WINS configurada en la pestaña Configuración de
red > WINS/DNS. Para especificar información diferente para que el dispositivo asigne cuando
revela las direcciones IP, haga clic en ,pestaña DNS/WINS..

n Ingrese un Domain name para cambiar el dominio DNS predeterminado.


n Para crear una nueva entrada del servidor DNS o WINS, haga clic en el botón Agregar
adyacente al tipo de servidor que desea, ingrese una dirección IP y haga clic en OK.
n Para cambiar la dirección IP del servidor seleccionado, haga clic en el botón Editar.
n Para eliminar al servidor seleccionado de la lista adyacente, haga clic en el botón Eliminar.

Configurar reservas de DHCP


Para reservar una dirección IP específica para un cliente:

1. Ingrese un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de la
tarjeta de red del cliente.

Guía del Usuario 87


Configuración de red

2. Haga clic en Agregar.

Página Acerca de Servicio DNS dinámico


Se puede registrar la dirección IP externa del dispositivo WatchGuard en el servicio del sistema de domain
name (DNS) dinámico DynDNS.org. Un servicio DNS dinámico garantiza que la dirección IP adjunta a su
domain name cambie cuando el ISP entregue una nueva dirección IP a su dispositivo. Esta función está
disponible en modo de enrutamiento combinado o modo de configuración de red directo.

Si se usa esta función, el dispositivo WatchGuard recibe la dirección IP de members.dyndns.org cuando se


inicia. Verifica que la dirección IP sea correcta cada vez que se reinicia y periódicamente cada veinte días. Si
se realizan cambios en la configuración DynDNS en el dispositivo WatchGuard o si se cambia la dirección IP
de la puerta de enlace predeterminada, actualiza DynDNS.com de inmediato.

Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, ingrese en
http://www.dyndns.com.

Nota WatchGuard no está asociado con DynDNS.com.

Configurar DNS dinámico


1. Seleccione Red >DNS dinámico.
Aparece la página de cliente de DNS dinámico.
2. Seleccione una interfaz de red y después haga clic en Configurar.
Aparece la página de configuración de DNS dinámico.

88 Fireware XTM Web UI
Configuración de red

3. Seleccione la casilla de verificación Activar DNS dinámico.


4. Ingrese el nombre de usuario y contraseña.
5. En el cuadro de texto Confirmar, vuelva a ingresar la contraseña.
6. En el cuadro de texto Dominio, ingrese el dominio de la organización.
7. En la lista desplegable Tipo de servicio, seleccione el sistema que se usará para DNS dinámico:

n dyndns; envía actualizaciones para un nombre de host DNS dinámico. Use la opción dyndns
cuando no tenga control sobre la dirección IP (por ejemplo, no es estática y cambia en forma
regular).
n custom; envía actualizaciones para un nombre de host DNS personalizado. Las empresas que
pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opción.
Para acceder a una explicación de cada opción, consulte http://www.dyndns.com/services/.
8. En el campo Opciones, ingrese una o más de estas opciones:

n mx=mailexchanger& ; especifica un Mail eXchanger (MX) para usar con el nombre de host.
n backmx=YES|NO& ; solicita que el MX en el parámetro anterior esté configurado como MX de
copia de seguridad (incluye al host como MX con un valor de preferencia menor).
n wildcard=ON|OFF|NOCHG& ; activa o desactiva comodines para este host (ON [encendido] para
activar).
n offline=YES|NO ; establece al nombre de host en modo desconectado. Pueden enlazarse una
o más opciones con el signo &. Por ejemplo:
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON

Para obtener más información, consulte http://www.dyndns.com/developers/specs/syntax.html.


9. Haga clic en Enviar.

Acerca de la configuración de red en modo


directo
En una configuración directa, Firebox está configurado con la misma dirección IP en todas las interfaces. El
modo configuración directa distribuye el rango de dirección lógica de la red a lo largo de todas las
interfaces de red disponibles. Puede colocar Firebox entre el enrutador y la LAN y no será necesario
cambiar la configuración de ninguna computadora local. Esta configuración se conoce como modo directo
porque el dispositivo WatchGuard se coloca en una red previamente configurada.

En modo directo:

n Se debe asignar la misma dirección IP principal a todas las interfaces en Firebox (externa, de
confianza y opcional).
n Pueden asignarse secondary networks en cualquier interfaz.
n Lasmismas direccionesIP ypuertas de enlace predeterminadaspueden mantenerse para loshost enlas
redesde confianzay opcionales,y se puede agregar una direcciónde secondarynetwork ala interfaz
externaprincipal paraque Fireboxpueda enviar tráfico correctamente a loshost de estas redes.
n Los servidores públicos detrás de Firebox pueden continuar utilizando las direcciones IP públicas. La
traducción de dirección de red (NAT) no se utiliza para enrutar tráfico desde el exterior de la red
hacia los servidores públicos.

Las propiedades de una configuración directa son:

Guía del Usuario 89


Configuración de red

n Se debe asignar y utilizar una dirección IP estática en la interfaz externa.


n Se utiliza una red lógica para todas las interfaces.
n No se puede configurar más de una interfaz externa cuando el dispositivo WatchGuard está
configurado en modo directo. La funcionalidad multi-WAN se desactiva automáticamente.

En algunas ocasiones es necesario Limpiar caché de ARP de cada computadora protegida por Firebox, pero
esto no es frecuente.

Nota Si se mueve una dirección IP de una computadora que se encuentra detrás de una
interfaz a una computadora que se encuentra detrás de una interfaz diferente,
pueden transcurrir varios minutos antes de que el tráfico de red se envíe a la nueva
ubicación. Firebox debe actualizar su tabla de enrutamiento interna antes de que
este tráfico pueda circular. Los tipos de tráfico que se ven afectados incluyen
registro, SNMP y conexiones de administración de Firebox.

Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya
ha creado una configuración de red, puede usar el Policy Manager para cambiar al modo directo.
Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.

Utilizar modo directo para la configuración de la interfaz de red


1. Seleccione Interfaces de > red.
Aparece el cuadro de diálogo Interfaces de red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo directo transparente.
3. En el campoDirección IP, ingrese la dirección IP que desea utilizar como dirección principal para
todas las interfaces de Firebox.
4. En el campo Puerta de enlace ingrese la dirección IP de la puerta de enlace. Esta dirección IP se
agrega automáticamente a la lista de hosts relacionados.

5. Haga clic en Guardar.

Configurar host relacionados


En una configuración directa o de puente, Firebox está configurado con la misma dirección IP en todas las
interfaces. Firebox automáticamente descubre nuevos dispositivos que se conectan a estas interfaces y
agrega cada nueva dirección MAC a su tabla de enrutamiento interna. Si desea configurar conexiones de
dispositivos en forma manual o si la función de asignación automática de host no funciona correctamente,
puede agregar una entrada de host relacionado. Una entrada de host relacionado crea una ruta estática
entre la dirección IP del host y una interfaz de red. Recomendamos desactivar la asignación automática de
host en interfaces para las que se crean entradas de host relacionados.

1. Seleccione Interfaces de >red.


Aparece la página de Interfaces de red.
2. Configurar interfaces de red en modo directo o puente. Haga clic en Propiedades.
Aparece la página Propiedades del modo directo.

90 Fireware XTM Web UI
Configuración de red

3. Desmarque la casilla de verificación para cualquier interfaz en la que desee agregar una entrada de
host relacionado.
4. En el cuadro de texto Host, ingrese la dirección IP del dispositivo para el cual desea construir una
ruta estática desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clic
en Agregar. Repita este paso para agregar otros dispositivos.

5. Haga clic en Guardar.

Configurar DHCP en modo directo


Cuando se usa el modo directo para la configuración de red, de manera opcional se puede configurar a
Firebox como servidor DHCP para las redes que protege o convertir a Firebox en agente de retransmisión de
DHCP. Si tiene un servidor DHCP configurado, recomendamos que continúe usando ese servidor para DHCP.

Guía del Usuario 91


Configuración de red

Usar DHCP
De manera predeterminada, Firebox revela la información de configuración del servidor DNS/WINS cuando
está configurado como servidor DHCP. La información DNS/WINS de esta página puede configurarse para
anular la configuración global. Para obtener más información, consulte las instrucciones en Agregar
servidores WINS y Direcciones del servidor DNS en la página 98.

1. Seleccione Interfaces de >red.


Aparece la página de Interfaces de red.
2. Haga clic en Propiedades.
3. Seleccione la pestaña Configuración DHCP.

4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en los
cuadros de texto IP de inicio e IP de finalización, ingrese un rango de direcciones IP que se
encuentren en la misma subnet que la dirección IP directa. Haga clic en Agregar.
Repita este paso para agregar más grupos de direcciones.
Se puede configurar un máximo de seis grupos de direcciones.

92 Fireware XTM Web UI
Configuración de red

5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente,
en la sección Direcciones reservadas:

n Ingrese un Nombre de reserva para identificar la reserva.


n Ingrese la dirección IP reservada que desea reservar.
n Ingrese la Dirección MAC del dispositivo.
n Haga clic en Agregar.
Repita este paso para agregar más reservas de DHCP .
6. Si es necesario, Agregar servidores WINS y Direcciones del servidor DNS.
7. Para cambiar el tiempo de concesión DHCP , seleccione una opción diferente en la lista desplegable
Tiempo de concesión.
8. En la parte superior de la página, haga clic en Volver.
9. Haga clic en Guardar.

Utilizar retransmisión de DHCP


1. Seleccione Interfaces de >red.
Aparece la página de Interfaces de red.
2. Seleccione cualquier interfaz de confianza u opcional y haga clic en Configurar.
O bien, haga doble clic en una interfaz de confianza u opcional.
Aparece la página Configuración de interfaz.
3. Junto al cuadro de texto Dirección IP, seleccione Utilizar retransmisión de DHCP.

4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta
estática al servidor DHCP, si es necesario.
5. Haga clic en Guardar. Haga clic en Guardar nuevamente.

Especificar la configuración DHCP para una sola interfaz

Puede especificar una configuración DHCP diferente para cada interfaz opcional o de confianza en su
configuración. Para modificar estas configuraciones:

1. Desplácese hasta la parte inferior del cuadro de diálogo Configuración de red.


2. Seleccione una interfaz.
3. Haga clic en Configurar.
4. Para utilizar la misma configuración de DHCP que estableció en el modo directo, seleccione Utilizar
configuración DHCP del sistema.

Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.
Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccione
Utilizar servidor DHCP para secondary network.
5. Para agregar grupos de direcciones IP , configurar el tiempo de concesión predeterminado y
administrar servidores DNS/WINS, complete los Pasos 3-6 de la sección Utilizar DHCP.
6. Haga clic en OK.

Guía del Usuario 93


Configuración de red

Modo Bridge
El modo Bridge es una función que le permite instalar su dispositivo Firebox o XTM entre una red existente
y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, el dispositivo
Firebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de la puerta de enlace. Cuando el
tráfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el
dispositivo original.

Para utilizar el modo Bridge, debe especificar una dirección IP utilizada para administrar el dispositivo
Firebox o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones para el Gateway
Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos según sea necesario.
Debido a esto, asegúrese de asignar una dirección IP que pueda enrutarse por Internet.

Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:

n WAN múltiple
n VLAN (redes virtuales de área local)
n Puentes de red
n Rutas estáticas
n FireCluster
n Secondary networks
n Servidor DHCP o retransmisión DHCP
n Conmutación por error de módem serial (Firebox X Edge únicamente)
n 1 a 1 NAT, dinámica o estática
n Enrutamiento dinámico (OSPF, BGP o RIP)
n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlace
n Algunas funciones proxy, incluido el Servidor de caché de Internet HTTP

Si ya ha configurado estas funciones o estos servicios, se desactivarán cuando cambie a modo Bridge. Para
utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de
enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.

Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de
red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe
cambiar a modo de enrutamiento combinado o directo y configurar la interfaz
como externa, opcional o de confianza y luego volver al modo Bridge. Las
funciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionan
correctamente en el modo Bridge.

Para activar el modo Bridge:

1. Seleccione Interfaces de >red.


Aparece la página de Interfaces de red.

2. En la lista desplegable Configurar interfaces en, seleccione Modo Bridge.

94 Fireware XTM Web UI
Configuración de red

3. Si se le indica que desactive las interfaces, haga clic en Sí para desactivar las interfaces o en No para
volver a la configuración anterior.
4. Ingrese la dirección IP del dispositivo Firebox o XTM en notación diagonal.
Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal
en la página 3.
5. Ingrese la dirección IP de puerta de enlace que recibe todo el tráfico de red desde el dispositivo.
6. Haga clic en Guardar.

Configuraciones de interfaz comunes


Con el modo de enrutamiento combinado, se puede configurar el dispositivo WatchGuard para que envíe
tráfico de red entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cada
interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de red para cada
computadora o cliente protegido por el dispositivo WatchGuard.

Para configurar el modo de enrutamiento combinado en Firebox:

1. Seleccione Interfaces de> red.


Aparece el cuadro de diálogo Interfaces.

2. Seleccione la interfaz que desea configurar y después haga clic en Configurar. Las opciones
disponibles dependen del tipo de interfaz seleccionada.
Aparece el cuadro de diálogo de interfaz Configuración.

Guía del Usuario 95


Configuración de red

3. En el campo Nombre de la interfaz (alias), puede retener el nombre predeterminado o cambiarlo a


otro que refleje con más detalle su propia red y sus propias relaciones de confianza.
Asegúrese de que el nombre sea único entre los nombres de interfaz y también entre todos los
nombres de grupos MVPN y nombres de túnel. Puede usar este alias con otras funciones, como
políticas de proxy, para administrar el tráfico de red para esta interfaz.
4. (Opcional) Ingrese una descripción de la interfaz en el campo Descripción de interfaz.
5. En la lista desplegable Modo configuración, seleccione el tipo de interfaz. Puede seleccionar
Externa, De confianza, Opcional, Puente, Desactivada o VLAN. Algunos tipos de interfaz tienen
configuraciones adicionales.

n Para obtener más información acerca de cómo asignar una dirección IP a una interfaz externa,
consulte Configurar una interfaz externa en la página 82. Para configurar la dirección IP de una
interfaz de confianza u opcional, ingrese la dirección IP en notación diagonal.
n Para asignar direcciones IP en forma automática a clientes en una interfaz de confianza u
opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86 o
Configurar retransmisión de DHCP en la página 97.
n Para usar más de una dirección IP en una única interfaz de red física, consulte Configurar una
secondary network en la página 99.
n Para obtener más información acerca de configuraciones LAN, consulte Acerca de redes
virtuales de área local (VLAN) en la página 108.
n Para quitar una interfaz de su configuración, consulte Desactivar una interfaz en la página 96.
6. Configure la interfaz como se describe en uno de los temas anteriores.
7. Haga clic en Guardar.

Desactivar una interfaz


1. Seleccione Red > Configuración.
Aparece el cuadro de diálogo "Configuración de red".

96 Fireware XTM Web UI
Configuración de red

2. Seleccione la interfaz que desea desactivar. Haga clic en Configurar.


Aparece el cuadro de diálogo Configuración de interfaz.

3. En la lista desplegable Tipo de interfaz, seleccione Desactivada. Haga clic en OK.

En el cuadro de diálogo Configuración de red, el tipo de interfaz ahora aparece como Desactivada.

Configurar retransmisión de DHCP


Una forma de obtener direcciones IP para las computadoras en las redes de confianza u opcional es usar
un servidor DHCP en una red diferente. Se puede usar la retransmisión DHCP para obtener direcciones IP
para las computadoras en la red de confianza u opcional. Con esta función, Firebox envía solicitudes DHCP a
un servidor en una red diferente.

Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,
debe configurar un túnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta función
opere correctamente.

Nota No se puede usar la retransmisión DHCP en ninguna interfaz en la cual esté


activado FireCluster.

Para configurar retransmisión DHCP :

1. Seleccione Interfaces de > red.


Aparece la página de Interfaces de red.
2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.
3. En la lista desplegable debajo de la dirección IP de interfaz, seleccione Usar retransmisión DHCP.
4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta
estática al servidor DHCP, si es necesario.
5. Haga clic en Guardar.

Restringir el tráfico de red mediante la dirección MAC


Puede usar una lista de direcciones MAC para administrar qué dispositivos tienen permitido enviar tráfico
en la interfaz de red especificada. Cuando se activa esta función, el dispositivo WatchGuard verifica la
dirección MAC de cada computadora o dispositivo que se conecta a la interfaz especificada. Si la dirección
MAC de ese dispositivo no figura en la lista de control de acceso MAC para esa interfaz, el dispositivo no
puede enviar tráfico.

Esta función es especialmente útil para prevenir cualquier acceso no autorizado a la red desde una
ubicación dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada
interfaz cuando se agrega a la red una nueva computadora autorizada.

Nota Si decide restringir el acceso mediante la dirección MAC, debe incluir la dirección
MAC de la computadora que usa para administrar el dispositivo WatchGuard.

Para activar el control de acceso MAC para una interfaz de red:

1. Seleccione Interfaces de > red.


Aparece la página de Interfaces de red.

Guía del Usuario 97


Configuración de red

2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en
Configurar.
Aparece la página Configuración de interfaz.
3. Seleccione la pestaña Control de acceso MAC.

4. Seleccione la casilla de verificación Restringir acceso mediante dirección MAC.


5. Ingrese la dirección MAC de la computadora o dispositivo para darle acceso a la interfaz específica.
6. (Opcional) Ingrese un Nombre para la computadora o dispositivo para identificarlo en la lista.
7. Haga clic en Agregar.
Repita los pasos 5 al 7 para agregar más computadoras o dispositivos a la lista de control de acceso MAC .

Agregar servidores WINS y Direcciones del servidor DNS


Los permisos para compartir Firebox Direcciones IP del servidor WINS (Windows Internet Name Server) y
Direcciones IP del servidor DNS (Sistema de domain name) para algunas funciones. Estas funciones incluyen
DHCP y Mobile VPN. Los servidores WINS y DNS deben estar accesibles desde la interfaz de confianza de
Firebox.

Esta información se utiliza para dos fines:

n El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec y
para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionen
correctamente.
n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de
confianza o en las redes opcionales para resolver las consultas de DNS.

Asegúrese de utilizar sólo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar
que no se creen políticas con propiedades de configuración que impidan a los usuarios conectarse con el
servidor DNS.

98 Fireware XTM Web UI
Configuración de red

1. Seleccione Interfaces de >red.


2. Desplácese hasta la sección Servidores DNS y Servidores WINS.

3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundaria
para cada servidor WINS y DNS.
4. Haga clic en Agregar.
5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS.
6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP
use con nombres no calificados como watchguard_mail.

Configurar una secondary network


Una secondary network es una red que comparte una de las mismas redes físicas que una de las interfaces
del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se realiza (o agrega) un alias IP a la
interfaz. Este alias IP es la puerta de enlace predeterminada para todas las computadoras en la secondary
network. La secondary network le indica al dispositivo Firebox o XTM que hay más de una red en la interfaz
del dispositivo Firebox o XTM.

Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz del
dispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto de
direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a
la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea
una ruta desde una dirección IP en la secondary network a la dirección IP de la interfaz del dispositivo
Firebox o XTM.

Si su dispositivo Firebox o XTM está configurado con una dirección IP estática, puede agregar una dirección
IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede
configurar NAT estática para más de un tipo de servidor igual. Por ejemplo, configure una secondary
network externa con una segunda dirección IP pública si tiene dos servidores SMTP públicos y desea
configurar una regla NAT estática para cada uno.

Guía del Usuario 99


Configuración de red

Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar
secondary networks con una configuración de red directa o enrutada. También puede agregar una
secondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa está
configurada para obtener su dirección IP a través de PPPoE o DHCP.

Para definir una dirección IP secundaria, debe tener:

n Una dirección IP sin utilizar en la secondary network para asignársela a la interfaz del dispositivo
Firebox o XTM.
n Una dirección IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.

Para definir una dirección IP secundaria:

1. Seleccione Interfaces de >red.


Aparece la página de Interfaces de red.
2. Seleccione la interfaz para la secondary network y haga clic en Configurar o haga doble clic en una
interfaz.
Aparece la página Configuración de interfaz.
3. En la sección Redes secundarias, ingrese una dirección IP de host no asignada en notación diagonal
de la secondary network. Haga clic en Agregar. Repita este paso para agregar secondary networks
adicionales.
4. Haga clic en Guardar.
5. Haga clic en Guardar nuevamente.

Nota Asegúrese de agregar las direcciones de secondary network correctamente. El


dispositivo Firebox o XTM no indica si la dirección es correcta. Recomendamos no
crear una subnet como secondary network en una interfaz que forme parte de una
red más grande en una interfaz diferente. En tal caso, puede ocurrir spoofing y la
red no podrá funcionar correctamente.

Acerca de la Configuraciones de interfaz


Se pueden usar varias configuraciones avanzadas para las interfaces de Firebox:

Configuración de tarjeta de interfaz de red (NIC)

Establece la velocidad y los parámetros dobles para las interfaces de Firebox en configuración
automática o manual. Recomendamos mantener la velocidad de enlace configurada para
negociación automática. Si usa la opción de configuración manual, debe asegurarse de que el
dispositivo al que se conecta Firebox también esté manualmente configurado a la misma velocidad y
parámetros dobles que Firebox. Utilice la opción de configuración manual sólo cuando deba anular
los parámetros de interfaz automáticos de Firebox para operar con otros dispositivos en la red.

100 Fireware XTM Web UI


Configuración de red

Configurar el ancho de banda de interfaz saliente

Cuando utiliza configuraciones de administración de tráfico para garantizar ancho de banda a las
políticas, esta configuración verifica que no se garantice más ancho de banda del que efectivamente
existe para una interfaz. Esta configuración ayuda a asegurar que la suma de configuraciones de
ancho de banda garantizado no complete el enlace de manera tal que el tráfico no garantizado no
pueda circular.

Activar marcado QoS para una interfaz

Crea diferentes clasificaciones de servicio para distintos tipos de tráfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por las configuraciones definidas para una política.

Determinar No fragmentar bit IPSec

Determina la configuración de No fragmentar (DF) bit para IPSec.

Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec

(Interfaces externas únicamente) Controla la cantidad de tiempo en que Firebox disminuye la


unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP
de fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.

Usar vínculo de dirección MAC estático

Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de
Firebox.

Configuración de tarjeta de interfaz de red (NIC)


1. Seleccione Interfaces de >red.
2. Seleccione la interfaz que configurar. Haga clic en Configurar.
3. Haga clic en Configuraciones generales avanzadas.

4. En la lista desplegable velocidad de enlace, seleccione Negociación automática si desea que el


dispositivo WatchGuard seleccione la mejor velocidad de red. También puede seleccionar una de las
velocidades doble medio o doble completo que usted sepa que son compatibles con el resto de su
equipo de red.

Negociación automática es la configuración predeterminada. Le recomendamos encarecidamente


que no cambie esta configuración a menos que soporte técnico le indique hacerlo. Si configura la
velocidad de enlace en forma manual y otros dispositivos de su red no admiten la velocidad
seleccionada, se puede generar un conflicto que no permita a la interfaz de Firebox reconectarse
después de una conmutación por error.

Guía del Usuario 101


Configuración de red

5. En el cuadro de texto Unidad Máxima de Transmisión (MTU) , seleccione el tamaño máximo del
paquete, en bytes, que pueden enviarse a través de la interfaz. Recomendamos utilizar el valor
predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamaño de paquete
diferente.
Puede configurar la MTU desde un mínimo de 68 a un máximo de 9000.
6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Cancelar
dirección MAC e ingrese la nueva dirección MAC.

Para obtener más información acerca de direcciones MAC, consulte la siguiente sección.
7. Haga clic en Guardar.
8. Haga clic en Guardar nuevamente.

Acerca de direcciones MAC


Algunos ISP utilizan una dirección MAC para identificar a las computadoras en su red. Cada dirección MAC
recibe una dirección IP estática. Si su ISP utiliza este método para identificar su computadora, entonces
debe cambiar la dirección MAC de la interfaz externa del dispositivo WatchGuard. Utilice la dirección MAC
del módem por cable, DSL de módem o enrutador que se conectaron directamente al ISP en su
configuración original.

La dirección MAC debe tener estas propiedades:

n La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
n La dirección MAC debe funcionar con:
o Una o más direcciones en la red externa.
o La dirección MAC de la red de confianza para el dispositivo.
o La dirección MAC de la red opcional para el dispositivo.

n La dirección MAC no debe estar configurada en 000000000000 o ffffffffffff.

Si la casilla de verificación Cancelar dirección MAC no está seleccionada cuando se reinicia el dispositivo
WatchGuard, el dispositivo utiliza la dirección MAC predeterminada para la red externa.

Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la dirección MAC
que usted asigna a la interfaz externa sea única en su red. Si el dispositivo WatchGuard encuentra un
dispositivo que usa la misma dirección MAC, vuelve a cambiar a la dirección MAC estándar para la interfaz
externa y se inicia nuevamente.

Determinar No fragmentar bit IPSec


Cuando configura la interfaz externa, seleccione una de las tres opciones para determinar la configuración
para la sección No fragmentar (DF) bit para IPSec.

102 Fireware XTM Web UI


Configuración de red

Copiar

Seleccione Copiar para aplicar la configuración DF bit del marco original al paquete cifrado IPSec. Si
un marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si es
necesario. Si un marco está configurado para no ser fragmentado, Fireware XTM encapsula el marco
completo y configura DF bit del paquete cifrado para que coincida con el marco original.

Determinar

Seleccione Configurar si no desea que Firebox fragmente el marco independientemente de la


configuración de bit original. Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás
de un Firebox diferente, debe desmarcar esta casilla de verificación para activar la función de
puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una
ubicación cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para
que el Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una
política IPSec.

Limpiar

Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuración de bit original.

Configuración de la ruta de unidad de transmisión máxima


(PMTU) para IPSec
Esta configuración de interfaz avanzada se aplica a interfaces externas únicamente.

La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la
unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP de
fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.

Recomendamos mantener la configuración predeterminada. Esto puede protegerlo de un enrutador en


Internet con una configuración de MTU muy baja.

Usar vínculo de dirección MAC estático


Es posible controlar el acceso a una interfaz en el dispositivo WatchGuard mediante la dirección (MAC) del
hardware de la computadora. Esta función puede proteger a la red de ataques de envenenamiento ARP, en
los cuales los piratas informáticos intentan cambiar la dirección MAC de sus computadoras para que
coincidan con un dispositivo real en la red del usuario. Para usar el vínculo de dirección MAC, se debe
asociar una dirección IP en la interfaz específica con una dirección MAC. Si esta función está activada, las
computadoras con una dirección MAC específica sólo pueden enviar y recibir información con la dirección
IP asociada.

Guía del Usuario 103


Configuración de red

También se puede utilizar esta función para restringir todo el tráfico de red a los dispositivos que coinciden
con las direcciones MAC e IP en esta lista. Esto es similar a la función de control de acceso MAC.

Para más informaciones, vea Restringir el tráfico de red mediante la dirección MAC en la página 97.

Nota Si decide restringir el acceso a la red mediante el vínculo de dirección MAC,


asegúrese de incluir la dirección MAC de la computadora que usa para
administrar el dispositivo WatchGuard.

Para establecer las configuraciones del vínculo de dirección MAC estático:

1. Seleccione Interfaces de > red. Seleccione una interfaz y después haga clic en Configurar.
2. Haga clic en Avanzado.

3. Ingrese un par de dirección IP y dirección MAC. Haga clic en Agregar. Repita este paso para agregar
otros pares.
4. Si desea que esta interfaz transmita sólo tráfico que coincida con una entrada en la lista vínculo de
dirección MAC/IP estático, seleccione la casilla de verificación Sólo permitir tráfico enviado desde
o hacia estas direcciones MAC/IP.

Si no desea bloquear tráfico que no coincide con una entrada de la lista, desmarque esta casilla de
verificación.

Buscar la dirección MAC de una computadora


La dirección MAC se conoce también como dirección de hardware o dirección Ethernet. Es un identificador
único, específico de la tarjeta de red en la computadora. La dirección MAC en general se muestra del
siguiente modo: XX-XX-XX-XX-XX-XX, en donde cada X es un dígito o letra de la A a la F. Para encontrar la
dirección MAC de una computadora en la red:

1. Desde la línea de comando de la computadora cuya dirección MAC desea averiguar, ingrese
ipconfig /all (Windows) o ifconfig (OS X o Linux).
2. Busque la entrada de "dirección física" de la computadora. Este valor es la dirección MAC o de
hardware de la computadora.

104 Fireware XTM Web UI


Configuración de red

Acerca de los puentes LAN


Un puente de red establece una conexión entre interfaces de red física múltiples en el dispositivo
WatchGuard. Un puente puede usarse del mismo modo que una interfaz de red física normal. Por ejemplo,
se puede configurar DHCP para entregar direcciones IP a clientes en un puente o utilizarlo como alias en
políticas de firewall.

Para utilizar un puente debe:

1. Crear una configuración de puente de red..


2. Asignar una interfaz de red a un puente..

Si desea establecer un puente entre todo el tráfico de dos interfaces, recomendamos utilizar el modo
puente para la configuración de red.

Crear una configuración de puente de red.


Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red.

1. Seleccione Puente de> red.


Aparece la página Puente.
2. Haga clic en Nuevo.

Guía del Usuario 105


Configuración de red

3. En la pestaña Configuración de puente, ingrese un Nombre y una Descripción (opcional) para la


configuración de puente.
4. Seleccione una Zona de seguridad en la lista desplegable e ingrese una dirección IP en notación
diagonal para el puente.
El puente se agrega al alias de la zona de seguridad que especifica.
5. Para agregar interfaces de red, seleccione la casilla de verificación adyacente a cada interfaz de red
que desea agregar a la configuración del puente.
6. Para realizar la configuración DHCP , seleccione la pestaña DHCP . Seleccione Servidor DHCP o
Retransmisión DHCP en la lista desplegable Modo DHCP.
Para obtener más información sobre la configuración DHCP , consulte Configurar el DHCP en modo
de enrutamiento mixto en la página 86 o Configurar retransmisión de DHCP en la página 97.
7. Si desea agregar secondary networks a la configuración de puente, seleccione la pestaña
Secundaria.
Ingrese una dirección IP en notación diagonal y haga clic en Agregar.
Para obtener más información sobre secondary networks, consulte Configurar una secondary
network en la página 99.
8. Haga clic en Guardar.

Asignar una interfaz de red a un puente.


Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red.
Puede crear la configuración de puente en el cuadro de diálogo Configuración de red , o cuando configura
una interfaz de red.

1. Seleccione Puente de> red.


Aparece la página Puente.
2. Seleccione una configuración de puente en la lista Configuración de puente, luego haga clic en
Configurar.
3. Seleccione la casilla de verifciación junto a cada interfaz de red que desea agregar al puente.
4. Haga clic en Guardar.

Acerca de
Una ruta es la secuencia de dispositivos a través de los cuales se envía el tráfico de red. Cada dispositivo en
esta secuencia, en general llamado enrutador, almacena información acerca de las redes a las que está
conectado en una tabla de enrutamiento. Esta información se utiliza para reenviar el tráfico de red al
siguiente enrutador en la ruta.

El dispositivo WatchGuard actualiza automáticamente su tabla de enrutamiento cuando se cambia la


configuración de interfaz de red, cuando falla una conexión de red física o cuando se reinicia. Para
actualizar la tabla de enrutamiento en otra oportunidad, debe usar el dynamic routing o agregar una ruta
estática. Las rutas estáticas pueden mejorar el rendimiento, pero si surge un cambio en la estructura de red
o si falla una conexión, el tráfico de red no puede llegar a destino. El dynamic routing garantiza que el
tráfico de red pueda llegar a destino, pero es más difícil de configurar.

106 Fireware XTM Web UI


Configuración de red

Agregue una ruta estática


Un ruta es la secuencia de dispositivos a través de los cuales debe pasar el tráfico de red para llegar desde
el origen al destino. Un enrutador es el dispositivo en una ruta que encuentra un punto de red subsiguiente
a través del cual envía el tráfico de red a su destino. Cada enrutador está conectado a un mínimo de dos
redes. Un paquete puede atravesar un número de puntos de red con enrutadores antes de llegar a destino.

Se pueden crear rutas estáticas para enviar el tráfico a host o redes específicas. El enrutador puede
entonces enviar el tráfico desde la ruta especificada al destino correcto. Si tiene una red completa detrás
de un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo el
tráfico a esa red se envía a la puerta de enlace predeterminada del Firebox.

Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de
red es una ruta a una red completa detrás de un enrutador ubicado en la red local. Utilice una ruta de host
si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija sólo a un host.

1. Seleccione Rutas de >red.


Aparece la página Rutas.

2. En la lista desplegable Tipo, seleccione IP de host o IP de red.

n Seleccione IP de red si tiene una red completa detrás de un enrutador en la red local.
n Seleccione IP de host si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija
sólo a un host.
3. En el cuadro de texto Ruta hacia, ingrese la dirección IP de destino.
4. En el cuadro de texto Puerta de enlace, ingrese la dirección IP de la interfaz local del enrutador.
La dirección IP de la puerta de enlace debe ser una dirección IP administrada por el dispositivo
WatchGuard.

Guía del Usuario 107


Configuración de red

5. En el cuadro de texto Métrica, ingrese o seleccione una métrica para la ruta. Las rutas con las
métricas más bajas tienen mayor prioridad.
6. Haga clic en Agregar.
7. Para agregar otra ruta estática, repita los pasos 2 al 4.
Para eliminar una ruta estática, seleccione la dirección IP en la lista y haga clic en Eliminar.
8. Haga clic en Guardar.

Acerca de redes virtuales de área local (VLAN)


Una VLAN (red de área local virtual) 802.1Q es una colección de computadoras en una o varias LAN que se
agrupan en un solo dominio de broadcast independientemente de su ubicación física. Esto permite agrupar
dispositivos de acuerdo con patrones de tráfico en lugar de proximidad física. Los miembros de una VLAN
pueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN también pueden
usarse para dividir a un conmutador en múltiples segmentos. Por ejemplo, supongamos que su empresa
tiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Usted desea restringir a
los empleados contratados a un subconjunto de los recursos utilizados por los empleados de tiempo
completo. También desea utilizar una política de seguridad más restrictiva para los trabajadores
contratados. En este caso, se divide la interfaz en dos VLAN.

Las VLAN permiten dividir la red en grupos con una agrupación o estructura jerárquica lógica en lugar de
una física. Esto ayuda a liberar al personal de TI de las restricciones del diseño de red y la infraestructura de
cableado existentes. Las VLAN facilitan el diseño, la implementación y la administración de la red. Debido a
que las VLAN se basan en software, la red se puede adaptar de manera rápida y sencilla a incorporaciones,
reubicaciones y reorganizaciones.

Las VLAN utilizan puentes y conmutadores, entonces los broadcast son más eficientes porque se dirigen
sólo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el tráfico a través de
los enrutadores, lo cual implica una reducción en la latencia del enrutador. Firebox puede configurarse para
funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisión DHCP con un
servidor DHCP separado.

Requisitos y restricciones de la VLAN


n La implementación de VLAN de WatchGuard no es compatible con el protocolo de administración
de enlaces Spanning Tree (árbol de expansión).
n Si su Firebox está configurado para utilizar el modo de red directo, no puede utilizar VLAN.
n Una interfaz física puede ser miembro de una VLAN no etiquetado en sólo una VLAN. Por ejemplo,
si Externo-1 es un miembro no etiquetado de una VLAN denominada VLAN-1, no puede ser
miembro no etiquetado de una VLAN diferente al mismo tiempo. Además, las interfaces externas
pueden ser miembros de sólo una VLAN.
n La configuración de multi-WAN se aplica al tráfico VLAN . Sin embargo, puede ser más fácil administrar
el ancho de banda cuando se usan sólo interfaces físicas en una configuración multi-WAN .
n El modelo y la licencia de su dispositivo controlan el número de VLAN que puede crear.
Para consultar el número de VLAN que puede agregar a su configuración, seleccione Estado del
sistema> Licencia.
Identifique la fila denominada Número total de interfaces VLAN.

108 Fireware XTM Web UI


Configuración de red

n Recomendamos no crear más de 10 VLAN que funcionen en interfaces externas por el


rendimiento.
n Todos los segmentos de red que desee agregar a una VLAN deben tener direcciones IP en la red VLAN.

Nota Si define VLAN, puede ignorar mensajes con el texto “802.1d unknown version”
(802.1d versión desconocida). Esto puede ocurrir porque la implementación de
VLAN de WatchGuard no es compatible con el protocolo de administración de
enlaces Spanning Tree (árbol de expansión).

Acerca de las etiquetado


Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces del
conmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red como
parte de una VLAN específica. Estas etiquetas, que agregan cuatro bytes extras al encabezado de Ethernet,
identifican al marco como perteneciente a una VLAN específica. El etiquetado se especifica con el estándar
IEEE 802.1Q.

La definición de VLAN incluye la disposición de marcos de datos etiquetados y no etiquetados. Debe


especificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada.
El dispositivo WatchGuard puede insertar etiquetas para paquetes que se envían a un conmutador
compatible con VLAN. Su dispositivo también puede eliminar etiquetas de paquetes que se envían a un
segmento de red que pertenece a una VLAN que no tiene conmutador.

Definir un nuevo (red de área local virtual)


Antes de crear una nueva VLAN, asegúrese de comprender los conceptos acerca de las VLAN y sus
restricciones, según se describe en Acerca de redes virtuales de área local (VLAN) en la página 108. Antes
de poder crear una configuración de VLAN , debe cambiar también por lo menos una interfaz para que sea
del tipo VLAN.

Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuración de VLAN. Se puede
cambiar la vista de esta tabla:

n Haga clic en el encabezado de columna para ordenar la tabla según los valores de esa columna.
n La tabla puede ordenarse de mayor a menor o de menor a mayor.
n Los valores en la columna Interfaz muestran las interfaces físicas que son miembros de esta VLAN.
n El número de interfaz en negrita es la interfaz que envía datos no etiquetados a esa VLAN.

Para crear una nueva VLAN:

1. Seleccione Red > VLAN.


Aparece la página VLAN .
2. Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones:

También puede configurar interfaces de red desde la tabla Interfaces.

Guía del Usuario 109


Configuración de red

3. Haga clic en Nueva.


Aparece la página Configuración de VLAN.

4. En el campo Nombre, ingrese un nombre para la VLAN.


5. (Opcional) En el campo Descripción, ingrese una descripción de la VLAN.
6. En el campo Identificación de VLAN ingrese o seleccione un valor para la VLAN.
7. En el campo Zona de seguridad, seleccione De confianza, Opcional o Externa.
Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por
ejemplo, las VLAN de tipo De confianza son administradas por políticas que usan el alias Cualquiera
de confianza como origen o destino.
8. En el campo Dirección IP ingrese la dirección de la puerta de enlace de la VLAN.

Usar DHCP en una VLAN

Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.

1. En la pestaña Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar el
Firebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name para
proporcionarlo a los clientes DHCP .
2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la última dirección IP en el grupo.
Haga clic en Agregar.
Se puede configurar un máximo de seis grupos de direcciones.
3. Para reservar una dirección IP específica para un cliente, Ingrese la dirección IP, el nombre de
reserva y la dirección MAC del dispositivo. Haga clic en Agregar.

110 Fireware XTM Web UI


Configuración de red

4. Para cambiar el tiempo de concesión predeterminado, seleccione un intervalo de tiempo diferente


en la lista desplegable que se encuentra en la parte superior de la página.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.
Cuando el tiempo de concesión se está por agotar, el cliente envía una solicitud al servidor DHCP para obtener
una nueva concesión.
5. Para agregar servidores DNS o WINS a la configuración DHCP , ingrese la dirección del servidor en el
campo adyacente a la lista. Haga clic en Agregar.
6. Para borrar un servidor de la lista, seleccione la entrada y haga clic en Eliminar.

Usar Retransmisión de DHCP en una VLAN

1. En la pestaña Red, seleccione Retransmisión de DHCP en la lista desplegable Modo DHCP.


2. Ingrese la dirección IP del servidor DHCP. Asegúrese de agregar una ruta al servidor DHCP, si es
necesario.

Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de área local virtual).

Asignar interfaces a (red de área local virtual)


Cuando se crea una nueva VLAN, se especifica el tipo de datos que recibe de las interfaces de Firebox. Sin
embargo, también se puede convertir a una interfaz en miembro de una VLAN actualmente definida o
eliminar una interfaz de una VLAN. Se debe cambiar el tipo de interfaz a VLAN para poder usarla en una
configuración VLAN .

1. Seleccione Red > VLAN.


Aparece la página VLAN .
2. Haga clic en Nueva o seleccione una interfaz de VLAN y haga clic en Configurar.
3. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione una opción en la lista
desplegable:

n Tráfico etiquetado: la interfaz envía y recibe tráfico etiquetado.


n Tráfico no etiquetado : la interfaz envía y recibe tráfico no etiquetado.
n Sin tráfico: se elimina la interfaz de esta configuración VLAN.

4. Haga clic en Guardar.

Guía del Usuario 111


Configuración de red

Ejemplos de configuración de red


Ejemplo: Configurar dos VLAN con la misma interfaz
Una interfaz de red en un dispositivo Firebox o XTM es miembro de más de una VLAN cuando el interruptor
que se conecta a esa interfaz transporta tráfico a más de una VLAN. Este ejemplo muestra cómo conectar un
interruptor configurado para dos VLAN diferentes a una sola interfaz en el dispositivo Firebox o XTM.

El diagrama subsiguiente muestra la configuración correspondiente para este ejemplo.

En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se
conecta a la interfaz 3 del dispositivo Firebox o XTM.

Las instrucciones subsiguientes le muestran cómo configurar estas VLAN:

Configurar la Interfaz 3 como una interfaz de VLAN


1. Seleccione Interfaces de >red.
2. En el cuadro de texto Nombre de interfaz (Alias), ingrese vlan.
3. Seleccione la interfaz número 3. Haga clic en Configurar.

112 Fireware XTM Web UI


Configuración de red

1. En la lista desplegable Tipo de interfaz, seleccione VLAN.


2. Haga clic en Guardar.

Defina las dos VLAN y asígnelas a la interfaz de VLAN


1. Seleccione Red > VLAN.
2. Haga clic en Nuevo.
3. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese
VLAN10 .
4. En el cuadro de texto Descripción, ingrese una descripción. Para este ejemplo, ingrese
Contabilidad .
5. En el cuadro de texto ID de VLAN, ingrese el número de VLAN configurado para la VLAN en el
interruptor. Para este ejemplo, ingrese 10 .
6. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo,
seleccione De confianza.
7. En el cuadro de texto Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo
Firebox o XTM en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24 .
8. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista
desplegable.

Guía del Usuario 113


Configuración de red

9. Haga clic en Guardar.


10. Haga clic en Nuevo para agregar la segunda VLAN.
11. En el cuadro de texto Nombre (Alias), ingrese VLAN20 .
12. En el cuadro de texto Descripción, ingrese Ventas .
13. En el cuadro de texto ID de VLAN, ingrese 20 .
14. En la lista Zona de seguridad, seleccione Opcional.
15. En el campo Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo Firebox o XTM
en esta VLAN. Para este ejemplo, ingrese 192.168.20.1/24 .
16. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista
desplegable.
17. Haga clic en Guardar.

18. Ahora, ambas VLAN aparecen en la lista y están configuradas para utilizar la interfaz de VLAN
definida.

114 Fireware XTM Web UI


Configuración de red

Use Firebox X Edge con el bridge inalámbrico 3G Extend


El bridge inalámbrico 3G Extend de WatchGuard añade conectividad celular 3G al dispositivo Firebox X Edge
o WatchGuard XTM 2 Series. Cuando se conecta la interfaz externa del dispositivo WatchGuard del bridge
inalámbrico 3G Extend de WatchGuard, las computadoras de la red pueden conectarse en forma
inalámbrica a Internet a través de la red celular 3G.

El 3G Extend tiene dos modelos basados en tecnología de Top Global y Cradlepoint.

Use el dispositivo 3G Extend/Top Global MB5000K


Siga estos pasos para usar el bridge inalámbrico 3G Extend con el dispositivo Firebox X Edge o XTM 2 Series.

1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con PPPoE.
Asegúrese de configurar el nombre de usuario PPPoE/contraseña en público/público. Para obtener
más información acerca de cómo configurar la interfaz externa para PPPoE, consulte Configurar una
interfaz externa en la página 82.
2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos
de banda ancha para obtener más información.
3. Prepare el bridge inalámbrico 3G Extend:

n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalámbrico 3G Extend.
n Conecte la energía eléctrica al bridge inalámbrico 3G Extend.
n Verifique que las luces LED estén activas.
4. Use un cable Ethernet para conectar el bridge inalámbrico 3G Extend a la interfaz externa del
dispositivo WatchGuard.

Guía del Usuario 115


Configuración de red

No es necesario cambiar ninguna configuración en el dispositivo 3G Extend antes de conectarlo al


dispositivo WatchGuard. En algunas ocasiones es necesario conectarse a la interfaz de administración web
del dispositivo 3G Extend. Para conectarse a la interfaz 3G Extend web, conecte la computadora
directamente al MB5000K con un cable Ethernet y asegúrese de que la computadora esté configurada para
obtener su dirección IP con DHCP. Abra el explorador web e ingrese http://172.16.0.1 . Conéctese con
un nombre de usuario/contraseña de público/público.

n Para operar correctamente con el dispositivo WatchGuard, el bridge inalámbrico 3G Extend debe
configurarse para ejecutarse en modo "Autoconexión". Todos los dispositivos 3G Extend/MB5000K
están preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el
dispositivo 3G Extend está configurado en modo Autoconexión, conéctese directamente al
dispositivo y seleccione Interfaces > Acceso a Internet. Seleccione la interfaz WAN#0. En el sección
Red, asegúrese de que el modo Conectar de la lista desplegable esté configurado en Auto.
n Si la tarjeta inalámbrica 3G funciona en la red celular GPRS , puede ser necesario agregar un inicio
de sesión de red y contraseña a la configuración del dispositivo 3G Extend. Para agregar un inicio de
sesión de red red y contraseña, conéctese al bridge inalámbrico 3G Extend y seleccione Servicios >
 Bridge administrable.
n Para restablecer las configuraciones predeterminadas de fábrica en el MB5000K, conéctese al
bridge inalámbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fábrica.
Haga clic en Sí.

Por seguridad, recomendamos cambiar el nombre de usuario/contraseña PPPoE predeterminados de


público/público después de que la red esté en funcionamiento. Debe cambiar el nombre de usuario y la
contraseña en el dispositivo WatchGuard y en el bridge inalámbrico 3G Extend.

n Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo WatchGuard, consulte


Configurar una interfaz externa en la página 82.
n Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo 3G Extend, conéctese al
dispositivo en ingrese en Servicios>Bridge administrable.

El dispositivo 3G Extend admite más de 50 tarjetas de módem y opciones de plan ISP. Para obtener
información detallada acerca del producto Top Global, incluida la Guía del usuario del MB5000, ingrese en
http://www.topglobaluse.com/support_mb5000.htm.

Use el dispositivo 3G Extend/Cradlepoint CBA250.


Siga estos pasos para usar el adaptador de banda ancha celular 3G Extend Cradlepoint con su dispositivo
WatchGuard Firebox X.

1. Siga las instrucciones en la Guía de inicio rápido del Cradlepoint CBA250 para configurar el
dispositivo Cradlepoint.
2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con DHCP. Para
aprender cómo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa
en la página 82.
3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.
4. Inicie (o reinicie) el dispositivo WatchGuard.
Cuando Firebox se inicia, recibe una dirección DHCP del dispositivo Cradlepoint. Después de que se asigna una
dirección IP , Firebox puede conectarse a Internet a través de la red de banda ancha celular.

116 Fireware XTM Web UI


Configuración de red

El Cradlepoint admite un gran número de USB o dispositivos inalámbricos de banda ancha ExpressCard.
Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.

Guía del Usuario 117


Configuración de red

Guía del Usuario 118


7 WAN múltiple

Acerca de usar múltiples interfaces externas


Puede usar su dispositivo Firebox WatchGuard para crear soporte redundante para la interfaz externa. Esa
es una opción útil si debe tener una conexión constante a Internet.

Con la función WAN múltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred
diferente. Eso permite conectar su Firebox a más de un Proveedor de servicios de Internet (ISP). Cuando
configura una segunda interfaz, la función de WAN múltiple es automáticamente activada.

Requisitos y condiciones de WAN múltiple


Debe tener una segunda conexión a Internet y más de una interfaz externa para usar la mayoría de las
opciones de configuración de WAN múltiple.

Las condiciones y requisitos para el uso de WAN múltiple incluyen:

n Si tiene una política configurada con un alias de interfaz externa individual en su configuración, debe
alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no
lo hace, puede ser que sus políticas de firewall nieguen algún tráfico.
n La configuración de WAN múltiple no se aplica al tráfico entrante. Cuando configura una política
para tráfico entrante, puede ignorar todas las configuraciones de WAN múltiple.
n Para anular la configuración de WAN múltiple en cualquier política individual, active el enrutamiento
basado en la política para la política en cuestión. Para más información acerca del enrutamiento
basado en la política, vea Configurar el enrutamiento basado en la política en la página 269.
n Asigne el Domain Name totalmente cualificado de su empresa a la dirección IP de interfaz externa
del orden más bajo. Si añade un dispositivo WatchGuard de WAN múltiple a la Management Server
configuration, debe usar la interfaz externa de orden más inferior para identificarlo cuando agrega
el dispositivo.
n Para usar WAN múltiple, debe usar el modo de enrutamiento combinado para la configuración de
red. Esa función no opera en las configuraciones de red de modo directo o puente.

Guía del Usuario 119


WAN múltiple

n Para usar el método de desbordamiento en la interfaz, debe tener el Fireware XTM con una
actualización Pro. También debe tener una licencia Pro de Fireware XTM si usa el método de
operación por turnos y configura diferentes pesos para las interfaces externas del dispositivo
WatchGuard.

Puede usar una de las cuatro opciones de configuración de WAN múltiple para administrar su tráfico de red.

Para detalles de configuración y procedimientos, vea la sección para cada opción.

WAN múltiple y DNS


Asegúrese de que su servidor DNS puede ser contactado a través de cada una de las WAN. De lo contrario,
debe modificar sus políticas de DNS de modo tal que:

n La lista De incluya Firebox.


n La casilla de verificación Usar enrutamiento basado en la política esté seleccionada.
Si sólo una WAN puede alcanzar el servidor DNS, seleccione esa interfaz en la lista desplegable al
lado.
Si más de una WAN puede alcanzar el servidor DNS, seleccione una de ellas, seleccione
Conmutación por error, seleccione Configurar y seleccione todas las interfaces que pueden
alcanzar el servidor DNS. El orden es indiferente.

Nota Debe tener un Fireware XTM con una actualización Pro para usar la enrutamiento
basado en la política.

Acerca de las opciones de WAN múltiple


Cuando configura interfaces externas múltiples, tiene varias opciones para controlar cuál interfaz un paquete
saliente utiliza. Alguna de esas funciones requiere que tenga el Fireware XTM con actualización Pro.

Orden de operación por turnos


Cuando configura la WAN múltiple con el método de operación por turnos, el dispositivo WatchGuard
busca en su tabla de enrutamiento la información de dynamic routing o estático para cada conexión. Si no
se encuentra la ruta especificada, el dispositivo WatchGuard distribuye la carga de tráfico entre sus
interfaces externas. El dispositivo WatchGuard usa el promedio de tráfico enviado (TX) y recibido (RX) para
balancear la carga de tráfico por todas las interfaces externas especificadas en su configuración de
operación por turnos.

Si tiene un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su
configuración de operación por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada
interfaz tiene un peso 1. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía a
través de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, se
duplica la parte de tráfico que pasará por esa interfaz, comparada a la interfaz con peso 1.

Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear el
tráfico en las tres interfaces, se podría usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware
intentará distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del tráfico total fluya por cada una de las
tres interfaces.

120 Fireware XTM Web UI


WAN múltiple

Para más informaciones, vea Configurar la opción de operación por turnos de WAN múltiple en la página 122.

Conmutación por error


Cuando usa el método de conmutación por error para enrutar el tráfico por las interfaces externas del
dispositivo WatchGuard, se selecciona una interfaz externa para que sea la principal. Las otras interfaces
externas son las de resguardo y se define el orden para que el dispositivo WatchGuard use las interfaces de
resguardo. El dispositivo WatchGuard monitorea la interfaz externa principal. Si se desconecta, el dispositivo
WatchGuard envía todo el tráfico a la siguiente interfaz externa en su configuración. Mientras el dispositivo
WatchGuard envía todo el tráfico a la interfaz de resguardo, sigue monitoreando la interfaz externa
principal. Cuando la interfaz principal esté activa nuevamente, el dispositivo WatchGuard inmediatamente
recomienza a enviar todas las nuevas conexiones por la interfaz externa principal.

Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; éstas pueden
conmutar por recuperación inmediatamente o continuar a usar la interfaz de resguardo hasta que la
conexión esté concluida. La conmutación por error de WAN múltiple y el FireCluster son configurados
separadamente. La conmutación por error de WAN múltiple provocada por una conexión con fallas hacia
un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación
por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. La
conmutación por error del FireCluster tiene precedencia sobre la conmutación por error de WAN múltiple.

Paramás informaciones,vea Configurar la opciónde conmutaciónpor error de WAN múltiple enla página124.

Desbordamiento en la interfaz
Cuando usa el método de configuración de WAN múltiple de desbordamiento en la interfaz, selecciona el
orden que desea que el dispositivo WatchGuard envíe tráfico por las interfaces externas y configura cada
interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el tráfico
por la primera interfaz externa en su lista de configuración de desbordamiento en la interfaz. Cuando el
tráfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a
enviar tráfico a la siguiente interfaz externa configurada en la lista de configuración de desbordamiento en
la interfaz.

Ese método de configuración de WAN múltiple permite que la cantidad de tráfico enviada por cada interfaz
WAN sea restringido a un límite de ancho de banda especificado. Para determinar el ancho de banda, el
dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el número
más alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades
de su red para la interfaz en cuestión y definir el valor de umbral según esas necesidades. Por ejemplo, si su
ISP es asimétrico y define el umbral de ancho de banda según una tasa alta de TX, el desbordamiento en la
interfaz no será desencadenado por una alta tasa de RX.

Si todas las interfaces WAN llegaron al límite de ancho de banda, el dispositivo WatchGuard usa el algoritmo
de enrutamiento ECMP (Protocolo de múltiples rutas de igual costo) para encontrar la mejor ruta.

Nota Es necesario tener el Fireware XTM con actualización Pro para usar ese método de
enrutamiento de WAN múltiple.

Para más informaciones, vea Configurar WAN múltiple Opción de desbordamiento en la interfaz en la
página 125.

Guía del Usuario 121


WAN múltiple

Tabla de enrutamiento
Cuando selecciona la opción de tabla de enrutamiento para su configuración de WAN múltiple, el
dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los
procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta
específica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento
desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la
pestaña Estado del Firebox System Manager. La opción de tabla de enrutamiento es de WAN múltiple
predeterminada.

Si su dispositivo WatchGuard no encuentra una ruta especificada, él selecciona qué ruta usar según los
valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de múltiples
rutas de igual costo) especificado en:
http://www.ietf.org/rfc/rfc2992.txt

Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cuál salto siguiente (ruta) usar para
enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de tráfico actual.

Para más informaciones, vea Cuando usar los métodos de WAN múltiple y enrutamiento en la página 127.

Módem serie (solamente Firebox X Edge)


Si su organización tiene una cuenta de marcado con un ISP, puede conectar un módem externo al puerto
serie en su Edge y usar esa conexión para conmutación por error cuando todas las otras interfaces externas
estén inactivas.

Para más informaciones, vea Conmutación por error de módem serie en la página 128.

Configurar la opción de operación por turnos de


WAN múltiple
Antes de empezar
n Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.
n Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal
como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las
opciones de WAN múltiple en la página 120.

Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable de la sección Modo de WAN múltiple, seleccione Operación por turnos.

122 Fireware XTM Web UI


WAN múltiple

3. Si tiene un Fireware XTM con actualización Pro, puede modificar el peso asociado a cada interfaz.
Elija una interfaz, después ingrese o seleccione un nuevo valor en el campo Peso al lado. El valor
predeterminado es 1 para cada interfaz.

Para más información acerca del peso de interfaz, vea Descubra cómo asignar pesos a interfaces en
la página 123.
4. Para asignar una interfaz a la configuración de WAN múltiple, seleccione una interfaz y haga clic en
Configurar.
5. Seleccione la casilla de verificación Participar en WAN múltiple y haga clic en Aceptar.

6. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.

7. Haga clic en Guardar.

Descubra cómo asignar pesos a interfaces


Si usa un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su
configuración de WAN múltiple de operación por turnos. Por defecto, cada interfaz tiene un peso de 1. El
peso se refiere a la proporción de carga que el Firebox envía a través de una interfaz.

Solo números enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son
permitidos. Para un balance de carga óptimo, puede ser necesario hacer cálculos para saber el peso en
número entero que asignar a cada interfaz. Use un multiplicador común, así se define la proporción relativa
de ancho de banda dada por cada conexión externa en números enteros.

Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5
Mbps, y un tercero tiene 769 Kpbs. Convierta la proporción en números enteros:

n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida
para las tres líneas. Sus tres líneas tienen la proporción de 6, 1,5 y 0,75 Mbps.
n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5
: 0,75] es la misma razón que [600 : 150 : 75]

Guía del Usuario 123


WAN múltiple

n Encuentre el mayor divisor común de los tres números. En este caso, 75 es el número más alto que
divide igualmente los tres números, 600, 150 y 75.
n Divida cada uno de los números por el mayor divisor común.

Los resultados son 8, 2 y 1. Podría usar esos números como pesos en una configuración de WAN múltiple
de operación por turnos.

Configurar la opción de conmutación por error de


WAN múltiple
Antes de empezar
n Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.
n Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal
como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las
opciones de WAN múltiple en la página 120.

Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable Modo de WAN Múltiple, seleccione Conmutación por error.

3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutación
por error. La primera interfaz de la lista es la principal.
4. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.

Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea
Acerca de la configuración avanzada de WAN múltiple en la página 132.
5. Haga clic en Guardar.

124 Fireware XTM Web UI


WAN múltiple

Configurar WAN múltiple Opción de


desbordamiento en la interfaz
Antes de empezar
n Para usar la función de WAN múltiple, debe tener más de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.
n Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal
como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las
opciones de WAN múltiple en la página 120.

Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable Modo WAN múltiple, seleccione Desbordamiento en la interfaz.

3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de tráfico de red en
megabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el tráfico a otras
interfaces.
4. Para definir el orden de la operación de interfaz, seleccione una interfaz en la tabla y haga clic en
Arriba y Abajo para cambiar el orden. Las interfaces son usadas desde la primera a la última en la lista.

5. Para concluir su configuración, debe añadir información, tal como se describe en Acerca del Estado
de la interfaz de WAN en la página 134.

Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de
la configuración avanzada de WAN múltiple.

Guía del Usuario 125


WAN múltiple

Configurar WAN múltiple opción tabla de


enrutamiento
Antes de empezar
n Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.
n Debe elegir si el método de tabla de enrutamiento es un método de WAN múltiple correcto para
sus necesidades. Para más informaciones, vea Cuando usar los métodos de WAN múltiple y
enrutamiento en la página 127
n Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal
como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las
opciones de WAN múltiple en la página 120.

Modo de tabla de enrutamiento y balance de carga


Es importante observar que la opción de tabla de enrutamiento no hace el balance de carga en las
conexiones a Internet. El Firebox lee su tabla de enrutamiento interna desde arriba hacia abajo. Las rutas
estáticas y dinámicas que especifican un destino aparecen en la parte superior de la tabla de enrutamiento
y tienen precedencia sobre las rutas predeterminadas. (Una ruta predetermina tiene destino 0.0.0.0/0.) Si
no hay una entrada estática o dinámica específica en la tabla de enrutamiento para un destino, el tráfico
hacia ese destino es enrutado entre las interfaces externas del Firebox usando los algoritmos de ECMP. Eso
puede resultar o no en la distribución equitativa de paquetes entre las múltiples interfaces externas.

Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable Modo de WAN múltiple, seleccione Tabla de enrutamiento.

3. Para asignar interfaces a la configuración de WAN múltiple, seleccione una interfaz y haga clic en
Configurar.
4. Seleccione la casilla de verificación Participar de WAN múltiple . Haga clic en OK.
5. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.

126 Fireware XTM Web UI


WAN múltiple

Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de
la configuración avanzada de WAN múltiple.

Acerca de la tabla de enrutamiento de Firebox


Cuando selecciona la opción de configuración de tabla de enrutamiento, es importante saber mirar la tabla
de enrutamiento que está en su Firebox.

En el Fireware XTM Web UI:

Seleccione Estado del sistema > Rutas.


Eso muestra la tabla de enrutamiento interna en su Firebox.

Las rutas en la tabla de enrutamiento interna en el Firebox incluyen:

n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y
BGP), si activa el dynamic routing.
n Las rutas de redes permanentes o rutas de host que se añaden.
n Las rutas que el Firebox crea automáticamente cuando lee la información de configuración de red.

Si su Firebox detecta que una interfaz externa está inactiva, él remueve las rutas estáticas o dinámicas que
usan esa interfaz. Eso es así si los hosts especificados en el Monitor de enlaces no responden y si un enlace
físico de Ethernet está inactivo.

Para más información acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca
del Estado de la interfaz de WAN en la página 134.

Cuando usar los métodos de WAN múltiple y enrutamiento


Si usa el dynamic routing, puede usar el método de configuración de WAN múltiple de tabla de
enrutamiento o de operación por turnos. Las rutas que usan una puerta de enlace en una red interna
(opcional o de confianza) no son afectadas por el método de WAN múltiple seleccionado.

Cuando usar el método de tabla de enrutamiento


El método de tabla de enrutamiento es una buena opción si:

n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al
dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las
ubicaciones externas.
n Debe tener acceso a un sitio externo o red externa a través de una ruta específica en una red
externa. Los ejemplos incluyen:
n Tener un circuito privado que usa un enrutador de frame relay en la red externa.
n Preferir que todo el tráfico a una ubicación externa siempre pase por una interfaz externa del
dispositivo WatchGuard.

El método de tabla de enrutamiento es la forma más rápida de balancear carga de más de una ruta a
Internet. Después de activar esa opción, el algoritmo de ECMP administra todas las decisiones de conexión.
No son necesarias configuraciones adicionales en el dispositivo WatchGuard.

Guía del Usuario 127


WAN múltiple

Cuando usar el método de operación por turnos


El balance de carga de tráfico a Internet usando ECMP se basa en conexiones, no en ancho de banda. Las
rutas configuradas estáticamente o aprendidas desde el dynamic routing son usadas antes que el algoritmo
de ECMP. Si tiene un Fireware XTM con una actualización Pro, la opción de operación por turnos ponderada
permite enviar más tráfico por una interfaz externa que otras opciones. Al mismo tiempo, el algoritmo de la
operación por turno distribuye el tráfico a cada interfaz externa basado en el ancho de banda, no en
conexiones. Eso le da más control sobre cuántos bytes de datos son enviados a través de cada ISP.

Conmutación por error de módem serie


(Este tópico se aplica solamente al Firebox X Edge y al XTM 2 Series.)

Puede configurar el Firebox X Edge o el XTM 2 Series para enviar tráfico a través de un módem serial
cuando no logra enviar tráfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP
 (Proveedor de servicios de Internet) y un módem externo conectado al puerto serie (Edge) o puerto USB
 (2 Series) para usar esa opción.

El Edge fue probado con esos módems:

n Módem fax serial Hayes 56K V.90


n Zoom FaxModem 56K modelo 2949
n Módem externo U.S. Robotics 5686
n Módem serial Creative Modem Blaster V.92
n MultiTech 56K Data/Fax Modem International

El 2 Series fue probado con esos módems:

n Zoom FaxModem 56K modelo 2949


n MultiTech 56K Data/Fax Modem International
n Módem Fax/Datos OMRON ME5614D2
n Módem fax serial Hayes 56K V.90

En el caso de un módem serial, use un adaptador USB a serial para conectar el módem al dispositivo XTM 2
Series.

Activar conmutación por error de módem serial


1. Seleccione Red > Módem.
Aparece la página Módem.
2. Seleccione la casilla Activar módem para conmutación por error cuando todas las interfaces
externas estén inactivas.

128 Fireware XTM Web UI


WAN múltiple

3. Completar la configuración Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las
siguientes secciones.
4. Haga clic en Guardar.

Configuraciones de la cuenta
1. Seleccione la pestaña Cuenta.
2. En el cuadro de texto Número de teléfono, ingrese el número de teléfono de su ISP.
3. Si tiene otro número para su ISP, en el cuadro de texto Número de teléfono alternativo, ingréselo.
4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.
5. Si inicia sesión en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese
el domain name.
Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contraseña de cuenta , ingrese la contraseña que utiliza para conectarse a su
cuenta de marcado.
7. Si tiene problemas con su conexión, seleccione la casilla de verificación Activar rastreo de
depuración de módem y PPP. Cuando esa opción está seleccionada, el Firebox envía registros
detallados para la función de conmutación por error del módem serial al archivo de registro del
evento.

Configuraciones de DNS
Si su ISP de marcado no ofrece información del servidor DNS, o si debe usar un servidor DNS diferente,
puede agregar manualmente las direcciones IP para que un servidor DNS use después que ocurre una
conmutación por error.

1. Seleccione la pestaña DNS.


Aparece la página "Configuraciones de DNS".

Guía del Usuario 129


WAN múltiple

2. Seleccione la casilla de verificación Configurar manualmente las direcciones IP del servidor DNS.
3. En el cuadro de texto Servidor DNS principal , ingrese la dirección IP del servidor DNS principal.
4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la
dirección IP para el servidor secundario.
5. En el cuadro de texto MTU , para fines de compatibilidad, puede definir la Unidad Máxima de
Transmisión (MTU, en sus siglas en inglés) en un valor diferente. La mayoría de los usuarios
mantienen la configuración predeterminada.

Configuración de marcado
1. Seleccione la pestaña Marcado.
Aparece la página "Opciones de marcado".

2. En el cuadro de texto Tiempo de espera de marcado , ingrese o seleccione el número de segundos


antes que se agote el tiempo de espera si su módem no se conecta. El valor predeterminado es de
dos (2) minutos.
3. En el cuadro de texto Intentos de remarcado , ingrese o seleccione el número de veces que el
Firebox intenta remarcar si su módem no se conecta. El número predeterminado indica que se
espere tres (3) intentos de conexión.
4. En el cuadro de texto Tiempo de espera de inactividad , ingrese o seleccione el número de minutos
que esperar si el tráfico no pasa por el módem antes que se agote el tiempo de espera. El valor
predeterminado es de ningún tiempo de espera.
5. En la lista desplegable Volumen del parlante , seleccione el volumen del parlante de su módem.

130 Fireware XTM Web UI


WAN múltiple

Configuraciones avanzadas
Algunos ISPs requieren que se especifique una o más opciones de ppp para establecer conexión. En China,
por ejemplo, algunos ISPs requieren el uso de la opción de ppp de recibir-todos. La opción de recibir-todos
hace que el ppp acepte todos los caracteres de control del punto.

1. Seleccione la pestaña Avanzado.

2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar
más de una opción de PPP, separe cada opción con una coma.

Configuración de "Monitor de enlace"


Puede definir las opciones para probar una o más interfaces externas para una conexión activa. Cuando una
interfaz externa se vuelve activa nuevamente, el Firebox ya no envía tráfico a través del módem serial y usa,
en su lugar, la interfaz o las interfaces externas. Puede configurar el Monitor de enlace para enviar un ping a
un sitio o dispositivo en la interfaz externa, crear una conexión TCP con un sitio o número de puerto que
especifique, o ambos. También puede definir el intervalo de tiempo entre pruebas de conexión y
configurar el número de veces que una prueba debe fallar o tener éxito antes que una interfaz sea activada
o desactivada.

Para configurar el monitor de enlace para una interfaz:

1. Seleccione la pestaña Monitor de enlace.


Aparecen las opciones definidas de ping y conexión TCP para cada interfaz externa.

2. Para configurar una interfaz, selecciónela en la lista y haga clic en Configurar.


Aparece el cuadro de diálogo "Detalles de monitor de enlace".

Guía del Usuario 131


WAN múltiple

3. Para enviar un ping a una ubicación o dispositivo en la red externa, seleccione la casilla Ping e
ingrese una dirección IP o nombre de host en el cuadro de texto al lado.
4. Para crear una conexión TCP a una ubicación o dispositivo en la red externa, seleccione la casilla TCP
e ingrese una dirección IP o nombre de host en el cuadro de texto al lado. También puede ingresar
o seleccionar un Número depuerto.
El número de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan éxito antes que una interfaz sea marcada como activa,
seleccione la casilla Ping y TCP deben tener éxito.
6. Para cambiar el intervalo de tiempo entre los intentos de conexión, en el cuadro de texto Probar
intervalo , ingrese o seleccione un número diferente.
La configuración predeterminada es de 15 segundos.
7. Para cambiar el número de fallas que marcan una interfaz como inactiva, en el cuadro de texto
Desactivar después de, ingrese o seleccione un número diferente.
El valor predeterminado es de tres (3) intentos de conexión.
8. Para cambiar el número de conexiones exitosas que marcan una interfaz como activa, en el cuadro
de texto Reactivar después de , ingrese o seleccione un número diferente.
El valor predeterminado es de tres (3) intentos de conexión.
9. Haga clic en OK.

Acerca de la configuración avanzada de WAN


múltiple
Puede configurar sticky connections, failback, y notificación de eventos de WAN múltiple. No todas las
opciones de configuración están disponibles para todas las opciones de configuración de WAN múltiple. Si
una configuración no se aplica a la opción de WAN múltiple seleccionada, esos campos no aparecen activos.

Para configurar WAN múltiple:

1. Seleccione Red > WAN múltiple.


2. Haga clic en la pestaña Configuración avanzada.
3. Configure Duración de Sticky Connection y Failback para conexiones activas, tal como se describe
en las secciones siguientes.
4. Haga clic en Guardar.

132 Fireware XTM Web UI


WAN múltiple

Define una duración de Sticky Connection global


Una sticky connection es una conexión que sigue usando la misma interfaz de WAN por un período definido
de tiempo. Puede definir los parámetros de sticky connection si usa opciones de desbordamiento en la
interfaz o operación por turnos para WAN múltiple. La rapidez asegura que, si un paquete sale por una
interfaz externa, los futuros paquetes entre el par de direcciones IP de origen y de destino usan la misma
interfaz externa por un período determinado de tiempo. Por defecto, las sticky connections usan la misma
interfaz por 3 minutos.

Si una definición de política contiene una configuración de sticky connection, esa configuración es usada en
lugar de la configuración global.

Para cambiar la duración de sticky connection global para un protocolo o conjunto de protocolos:

1. En el cuadro de texto para el protocolo, ingrese o seleccione un número.


2. En la lista desplegable al lado, seleccione una duración.

Si define una duración de sticky connection en una política, puede anular la duración de sticky connection
global. Para más informaciones, vea Defina la duración de sticky connection para una política en la página 272.

Definir acción de failback


Puede definir la acción que desea que su dispositivo WatchGuard haga cuando ocurre un evento de
conmutación por error y la interfaz externa principal se vuelve activa nuevamente. Cuando eso se dá, todas
las nuevas conexiones inmediatamente conmutan por recuperación hacia la interfaz externa principal.
Seleccione el método deseado para las conexiones en proceso en el momento de la failback.

En la lista desplegable Failback para conexiones activas :

n Failback inmediata — Seleccione esta opción si desea que el dispositivo WatchGuard detenga
inmediatamente todas las conexiones existentes.

Guía del Usuario 133


WAN múltiple

n Failback gradual — Seleccione esta opción si desea que el dispositivo WatchGuard siga usando la
interfaz de conmutación por error para conexiones existentes hasta que cada conexión esté
completa.

Esa configuración de failback también se aplica a cualquier configuración de enrutamiento basado en la


política que se define para usar interfaces externas de conmutación por error.

Acerca del Estado de la interfaz de WAN


Puede elegir el método y frecuencia con la que desea que el Firebox verifique el estado de cada interfaz de
WAN. Si no configura un método especificado para ser usado por Firebox, él envía un ping a la puerta de
enlace predeterminada de la interfaz para verificar el estado de la misma.

Tiempo necesario para que el Firebox actualice su tabla de


enrutamiento
Si un host de monitor de enlace no responde, puede llevar de 40 - 60 segundos para que el dispositivo
WatchGuard actualice su tabla de enrutamiento. Cuando el mismo host de monitor de enlace empieza a
responder nuevamente, puede llevar de 1 - 60 segundos para que su Firebox actualice su tabla de
enrutamiento.

El proceso de actualización es mucho más rápido cuando su Firebox detecta una desconexión física del
puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento
inmediatamente. Cuando su Firebox detecta que la conexión de Ethernet está activa nuevamente, él
actualiza su tabla de enrutamiento dentro de 20 segundos.

Definir un host de monitor de enlace


1. Seleccione Red > WAN múltiple.
2. Seleccione la interfaz y haga clic en Configurar.
Aparece el cuadro de diálogo "Detalles de monitor de enlace".

134 Fireware XTM Web UI


WAN múltiple

3. Seleccione las casillas de verificación para cada método de monitor de enlace que desea que el
Firebox use para verificar el estado de cada interfaz externa:

n Ping — Agregue una dirección IP o domain name para que el Firebox envíe un ping para
verificar el estado de la interfaz.
n TCP — Agregue una dirección IP o domain name de un equipo con el que el Firebox puede
negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.
n Ping y TCP deben tener éxito — La interfaz es considerada inactiva excepto si tanto el ping
como la conexión TCP son concluidos con éxito.
Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por error
de WAN múltiple provocada por una falla de conexión hacia un host de monitor de enlace no
desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster
ocurre solamente cuando la interfaz física está desactivada o no responde. Si agrega un domain
name para que el Firebox envíe un ping y alguna de las interfaces externas tiene una dirección IP
estática, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidor
DNS y WINS.
4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,
ingrese o seleccione una configuración de Probar después de.
La configuración predeterminada es de 15 segundos.
5. Para cambiar el número de fallas de pruebas consecutivas que debe ocurrir antes de una
conmutación por error, ingrese o seleccione una configuración de Desactivar después de.
La configuración predeterminada es de tres (3). Después del número de fallas seleccionado, el Firebox intenta
enviar el tráfico a través de la siguiente interfaz especificada en la lista de conmutación por error de WAN
múltiple.
6. Para cambiar el número de pruebas consecutivas exitosas a través de una interfaz antes que la
interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuración
de Reactivar después de.
7. Repita esos pasos para cada interfaz externa.
8. Haga clic en Guardar.

Guía del Usuario 135


WAN múltiple

Guía del Usuario 136


8 Traducción de dirección de red
(NAT)

Acerca de la Traducción de dirección de red (NAT)


La traducción de dirección de red (NAT) es un término utilizado para describir cualquiera de varias formas
de traducción de dirección IP y puerto. En su nivel más básico, NAT cambia la dirección IP de un paquete
de un valor a otro diferente.

El objetivo principal de NAT es aumentar el número de computadoras que pueden funcionar partiendo de
una única dirección IP públicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.
Cuando se usa NAT, la dirección IP de origen se cambia en todos los paquetes que se envían.

NAT se puede aplicar como configuración de firewall general o como una configuración en una política. Las
configuraciones de NAT firewall no se aplican a las políticas BOVPN.

Si tiene Fireware XTM con una actualización Pro, puede usar la función de Balance de carga en el servidor
como parte de una regla NAT estática. La función de balance de carga en el servidor está diseñada para
ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores
públicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede
determinar que el dispositivo WatchGuard controle el número de sesiones iniciadas en hasta diez
servidores para cada política de firewall que configure. El dispositivo WatchGuard controla la carga según el
número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de
banda que usa cada servidor.

Para obtener más información sobre el balance de carga en el servidor, consulte Configurar Balance de
carga en el servidor en la página 154.

Tipos de NAT
El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuración puede usar más de un tipo
de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el tráfico de firewall y otros tipos como
configuración en una política.

Guía del Usuario 137


Traducción de dirección de red (NAT)

NAT dinámico

NAT dinámico también se conoce como enmascaramiento IP. El dispositivo WatchGuard puede
aplicar su dirección IP pública a los paquetes salientes para todas las conexiones o para servicios
específicos. Esto oculta a la red externa la dirección IP real de la computadora que es el origen del
paquete. NAT dinámica en general se usa para ocultar las direcciones IP de host internos cuando
tienen acceso a servicios públicos.

Para más informaciones, vea Acerca de la dinámica basada en políticas en la página 138.

NAT estática

NAT estática, conocida también como reenvío de puerto, se configura cuando se configuran las
políticas. NAT estática es una NAT de puerto-a-host. Un host envía un paquete desde la red externa a
un puerto en una interfaz externa. NAT estática cambia esta dirección IP a una dirección IP y puerto
detrás del firewall.

Para más informaciones, vea Acerca de la NAT estática en la página 153.

1-to-1 NAT

1-to-1 NAT crea una asignación entre direcciones IP en una red y direcciones IP en una red
diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan
acceso a los servidores internos públicos.

Para más informaciones, vea Acerca de las 1-to-1 NAT en la página 142.

Acerca de la dinámica basada en políticas


NAT dinámica es el tipo de NAT que se utiliza con más frecuencia. Cambia la dirección IP de origen de una
conexión saliente a la dirección IP pública de Firebox. Fuera de Firebox, se observa sólo la dirección IP de la
interfaz externa de Firebox en los paquetes salientes.

Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrece
más seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con
NAT dinámica, todas las conexiones deben iniciarse desde detrás de Firebox. Los host maliciosos no pueden
iniciar conexiones a las computadoras detrás de Firebox cuando éste está configurado para NAT dinámica.

En la mayoría de las redes, la política de seguridad recomendada es aplicar NAT a todos los paquetes
salientes. Con Fireware, NAT dinámica está activada de manera predeterminada en el cuadro de diálogo
Red > NAT. También está activada de manera predeterminada en cada política que se crea. Puede anular la
configuración de firewall para NAT dinámica en las políticas individuales, como se describe en Aplicar
reglas NAT en la página 271.

Agregar firewall a entradas de NAT dinámicas


La configuración predeterminada de NAT dinámica activa NAT dinámica desde todas las direcciones IP
privadas hacia la red externa. Las entradas predeterminadas son:

n 192.168.0.0/16 – Cualquiera-externo
n 172.16.0.0/12 – Cualquiera-externo
n 10.0.0.0/8 – Cualquiera-externo

138 Fireware XTM Web UI


Traducción de dirección de red (NAT)

Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y
en general se usan para las direcciones IP en LAN. Para activar NAT dinámica para direcciones IP privadas
distintas de éstas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT
dinámicas en la secuencia en la que aparecen en la lista Entradas de NAT dinámica. Recomendamos colocar
las reglas en una secuencia que coincida con el volumen de tráfico al que se aplican las reglas.

1. Seleccione Red > NAT.


Aparece la página de configuración de NAT.

2. En la sección NAT dinámica , haga clic en Agregar.


 Aparece la página de configuración de NAT dinámica.

Guía del Usuario 139


Traducción de dirección de red (NAT)

3. En la sección Desde , haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
dirección a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rango
de host o Alias.
4. En la sección Desde , debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de
host, la dirección IP de red o el rango de direcciones IP de host o seleccione un alias en la lista
desplegable.
Debe ingresar una dirección de red en notación diagonal.

Para obtener más información sobre alias del dispositivo WatchGuard incorporados, consulte Acerca
de los alias en la página 257.
5. En la sección Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
dirección a utilizar para especificar el destino de los paquetes salientes.
6. En la sección Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de host,
la dirección IP de red o el rango de direcciones IP de host , o seleccione un alias en la lista
desplegable.
7. Haga clic en Guardar.
La nueva entrada aparece en la lista Entradas de NAT dinámica.

Eliminar una entrada NAT dinámica


No puede cambiar una entrada NAT dinámica existente. Si desea cambiar una entrada existente, debe
eliminar la entrada y agregar una nueva.

Para eliminar una entrada NAT dinámica:

1. Seleccione la entrada que desea eliminar.


2. Haga clic en Eliminar.
Aparece un mensaje de advertencia.
3. Haga clic en Sí.

140 Fireware XTM Web UI


Traducción de dirección de red (NAT)

Reordenar entradas NAT dinámica


Para cambiar la secuencia de las entradas NAT dinámica:

1. Seleccione la entrada que desea cambiar.


2. Haga clic en Arriba o Abajo para desplazarla en la lista.

Configurar NAT dinámica basada en políticas


En NAT dinámica basada en políticas, Firebox asigna direcciones IP privadas a direcciones IP públicas. NAT
dinámica se activa en la configuración predeterminada de cada política. No es necesario activarla a menos
que la haya desactivado previamente.

Para que NAT dinámica basada en políticas funcione correctamente, utilice la pestaña Política del cuadro de
diálogo Editar propiedades de políticas para asegurarse de que la política esté configurada para permitir el
tráfico saliente sólo a través de una interfaz de Firebox.

Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.

1. Seleccione Firewall > Políticas de firewall.


Aparece la lista de políticas de firewall.
2. Seleccione una política y haga clic en Editar.
Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado.

Guía del Usuario 141


Traducción de dirección de red (NAT)

4. Seleccione la casilla de verificación NAT dinámica.


5. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica
establecidas para el dispositivo WatchGuard.
Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.
Puede configurar una dirección IP de origen NAT dinámica para cualquier política que usa NAT
dinámica. Seleccione la casilla de verificación Establecer IP de origen.

Cuando selecciona una dirección IP de origen, cualquier tráfico que usa esta política muestra una
dirección específica de su rango de direcciones IP externas o públicas como el origen. Esto se utiliza
con más frecuencia para obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para
su dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con
la dirección IP de registro MX. Esta dirección de origen debe estar en la misma subnet que la
interfaz especificada para el tráfico saliente.
Recomendamos no utilizar la opción Establecer IP de origen si tiene más de una interfaz externa
configurada en su dispositivo WatchGuard.
Si no selecciona la casilla de verificación Establecer IP de origen, el dispositivo WatchGuard cambia
la dirección IP de origen para cada paquete a la dirección IP de la interfaz desde la cual se envía el
paquete.
6. Haga clic en Guardar.

Desactivar basado en políticas NAT dinámica


NAT dinámica se activa en la configuración predeterminada de cada política. Para desactivar NAT dinámica
para una política:

1. Seleccione Firewall > Políticas de firewall.


Aparece la lista de políticas de firewall.
2. Seleccione una política y haga clic en Editar.
Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado.
4. Para desactivar NAT para el tráfico controlado por esta política, desmarque la casilla de verificación
NAT dinámica .
5. Haga clic en Guardar.

Acerca de las 1-to-1 NAT


Cuando se activa 1-to-1 NAT, el dispositivo WatchGuard cambia las rutas de todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente. Una regla 1-to-1
NAT siempre tiene prioridad sobre NAT dinámica.

1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP
privadas que deben hacerse públicas. Se puede usar 1-to-1 NAT para asignar direcciones IP públicas a los
servidores internos. No es necesario cambiar la dirección IP de los servidores internos. Cuando se tiene un
grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrónico),1-to-1 NAT es
más fácil de configurar que NAT estática para el mismo grupo de servidores.

Para comprender cómo configurar 1-to-1 NAT, proponemos este ejemplo:

142 Fireware XTM Web UI


Traducción de dirección de red (NAT)

La empresa ABC tiene un grupo de cinco servidores de correo electrónico con direcciones privadas detrás
de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:

10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5

La empresa ABC selecciona cinco direcciones IP públicas de la misma dirección de red como interfaz
externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrónico
resuelvan.

Estas direcciones son:

50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5

La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrónico. La regla 1-to-1
NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación
tiene el siguiente aspecto:

10.1.1.1 <--> 50.1.1.1


10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5

Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la
relación NAT entre el grupo de direcciones IP privadas y el grupo de direcciones públicas. 1-to-1 NAT
también funciona en tráfico enviado desde redes que protege el dispositivo WatchGuard.

Acerca de 1-to-1 NAT y VPN


Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direcciones
de red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un túnel VPN entre dos redes que usan
la misma dirección de red privada. Si el rango de dirección en la red remota es el mismo que en la red
local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT.

1-to-1 NAT se configura para un túnel VPN al configurar el túnel VPN y no en Red> NAT. página.

Guía del Usuario 143


Traducción de dirección de red (NAT)

Configurar el firewall 1-to-1 NAT


1. Seleccione Red > NAT.
Aparece la página de configuración de NAT .

2. En la sección 1-to-1 NAT , haga clic en Agregar.


Aparece la página de configuración de 1-to-1 NAT.

144 Fireware XTM Web UI


Traducción de dirección de red (NAT)

3. En la lista desplegable Tipo de asignación, seleccione IP única (para asignar un host), Rango de IP
(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).
Si selecciona Rango de IP o Subnet IP, no incluya más de 256 direcciones IP en ese rango o subnet.
Para aplicar NAT a más de 256 direcciones IP , debe crear más de una regla.

4. Complete todos los campos en la sección Configuración.

Para obtener más información acerca de cómo usar estos campos, consulte la siguiente sección
Definir una regla de 1-to-1 NAT.
5. Haga clic en Guardar.

Después de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las políticas
correspondientes.

n Si su política administra tráfico saliente, agregue las direcciones IP de la base real a la sección Desde
de la configuración de políticas.
n Si su política administra tráfico entrante, agregue las direcciones IP de base NAT a la sección Hasta
de la configuración de políticas.

En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo
electrónico descritos en Acerca de las 1-to-1 NAT en la página 142, debemos configurar la política SMTP
para permitir el tráfico SMTP. Para completar esta configuración, debe cambiar la configuración de la
política para permitir el tráfico desde la red externa al rango de dirección IP 10.1.1.1-10.1.1.5.

1. Crear una nueva política o modificar una política existente.


2. Junto a la lista Desde, haga clic en Agregar.
3. Seleccione el alias Cualquiera-externo y haga clic en OK.
4. Junto a la lista Hasta, haga clic en Agregar.
5. Para agregar una dirección IP por vez, seleccione IP de host en la lista desplegable e ingrese la
dirección IP en el cuadro de texto adyacente y haga clic enOK.
6. Repita los pasos 3 al 4 para cada dirección IP en el rango de dirección NAT.
Para agregar varias direcciones IP a la vez, seleccione Rango de host en la lista desplegable. Ingrese
la primera y la última dirección IP del rango de base de NAT y haga clic en OK.

Guía del Usuario 145


Traducción de dirección de red (NAT)

Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-
to-1 NAT, debe usar la dirección IP pública (base de NAT) de esa computadora. Si
esto es un problema, puede desactivar 1-to-1 NAT y usar NAT estática.

Definir una Regla de 1-to-1 NAT


En cada regla de 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. También debe
configurar:

Interfaz

El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-
to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se
aplica a la interfaz externa.

Base de NAT

Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base de NAT es la primera dirección IP disponible en el rango de
direcciones hasta. La dirección IP base de NAT es la dirección a la que cambia la dirección IP de base
real cuando se aplica 1-to-1 NAT. No se puede usar la dirección IP de una interfaz Ethernet existente
como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.

Base real

Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base real es la primera dirección IP disponible en el rango de direcciones
desde. Es la dirección IP asignada a la interfaz Ethernet física de la computadora a la cual se aplicará
la política de 1-to-1 NAT. Cuando los paquetes de una computadora con una dirección de base real
atraviesan la interfaz especificada, se aplica la acción 1 a 1. En nuestro ejemplo anterior, la base real
es 10.0.1.50.

Número de host para NAT (para rangos únicamente)

El número de direcciones IP en un rango al cual se aplica la regla de 1-to-1 NAT. La primera


dirección IP de base real se traduce a la primera dirección IP de base de NAT cuando se aplica 1-to-1
NAT. La segunda dirección IP de base real en el rango se traduce a la segunda dirección IP de base
de NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Número de host para
NAT. En el ejemplo anterior, el número de host al que se aplicará NAT es 5.

También puede usar 1-to-1 NAT cuando debe crear un túnel VPN entre dos redes que usan la misma
dirección de red privada. Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben
tener rangos de direcciones de red diferentes. Si el rango de dirección en la red remota es el mismo que
en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede
crear el túnel VPN y no cambiar las direcciones IP de un lado del túnel. 1-to-1 NAT se configura para un
túnel VPN al configurar el túnel VPN y no en el cuadro de diálogo Red> NAT.

Para observar un ejemplo de cómo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.

146 Fireware XTM Web UI


Traducción de dirección de red (NAT)

Configurar basado en políticas 1-to-1 NAT


En 1-to-1 NAT basada en políticas, su dispositivo WatchGuard usa los rangos de direcciones IP públicas y
privadas que se establecieron al configurar 1-to-1 NAT global, pero las reglas se aplican a una política
individual. 1-to-1 NAT se activa en la configuración predeterminada de cada política. Si el tráfico coincide
con 1-to-1 NAT y con las políticas de NAT dinámica, 1-to-1 NAT prevalece.

Activar 1-to-1 NAT basada en políticas


Debido a que 1-to-1 NAT basada en políticas está activada en forma predeterminada, no es necesaria
ninguna otra acción para activarla. Si previamente ha desactivado 1-to-1 NAT basada en políticas, seleccione
la casilla de verificación enPaso 4 del siguiente procedimiento para volver a activarla.

Desactivar 1-to-1 NAT basada en políticas


1. Seleccione Firewall > Políticas de firewall.
Aparece la lista de políticas de firewall.
2. Seleccione una política y haga clic en Editar.
Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado.

4. Desmarque la casilla de verificación 1-to-1 NAT para desactivar NAT para el tráfico controlado por
esta política.
5. Haga clic en Guardar.

Guía del Usuario 147


Traducción de dirección de red (NAT)

Configurar el bucle invertido de NAT con NAT


estática
Fireware XTM incluye soporte para bucle invertido de NAT. El bucle invertido de NAT permite a un usuario
en las redes de confianza u opcionales obtener acceso a un servidor público que se encuentra en la misma
interfaz física de Firebox por medio de su dirección IP pública o domain name. Para conexiones de bucle
invertido de NAT, Firebox cambia la dirección IP de origen de la conexión para que sea la dirección IP de la
interfaz interna de Firebox (la dirección IP principal para la interfaz donde tanto el cliente como el servidor
se conectan a Firebox).

El siguiente ejemplo ayuda a comprender cómo configurar el bucle invertido de NAT cuando se usa NAT
estática:

La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT
estática para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios de
la red de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor público.

En este ejemplo suponemos:

n La interfaz de confianza está configurada con una dirección IP en la red 10.0.1.0/24.


n La interfaz de confianza también está configurada con una dirección IP secundaria en la red
192.168.2.0/24.
n El servidor HTTP está conectado físicamente a la red 10.0.1.0/24. La dirección de base real del
servidor HTTP se encuentra en la red de confianza.

Agregar una política para bucle invertido de NAT al servidor


En este ejemplo, para permitir a los usuarios de sus redes de confianza y opcional utilizar la dirección IP
pública o el domain name para acceder a un servidor público que se encuentra en la red de confianza, se
debe agregar una política HTTP que podría ser la siguiente:

148 Fireware XTM Web UI


Traducción de dirección de red (NAT)

La sección Hasta de la política contiene una ruta NAT estática desde la dirección IP pública del servidor
HTTP a la dirección IP real de ese servidor.

Para obtener más información acerca de NAT estática, consulte Acerca de la NAT estática en la página 153.

Si utiliza 1-to-1 NAT para enrutar tráfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-
to-1 NAT en la página 150.

Guía del Usuario 149


Traducción de dirección de red (NAT)

Bucle invertido de NAT y 1-to-1 NAT


El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un
servidor público con su dirección IP pública o domain name si el servidor se encuentra en la misma interfaz
física de Firebox. Si utiliza 1-to-1 NAT para enrutar el tráfico a servidores en la red interna, siga estas
instrucciones para configurar el bucle invertido de NAT desde usuarios internos a esos servidores. Si no
utiliza 1-to-1 NAT, consulte Configurar el bucle invertido de NAT con NAT estática en la página 148.

Para comprender cómo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este
ejemplo:

La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla
1-to-1 NAT para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios
de la interfaz de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor
público.

En este ejemplo suponemos:

n Un servidor con la dirección IP pública 100.100.100.5 está asignado con una regla 1-to-1 NAT a un
host en la red interna.

En la sección de 1-to-1 NAT de la página de configuración de NAT , seleccione estas opciones:

Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5

n La interfaz de confianza está configurada con una red principal, 10.0.1.0/24.


n El servidor HTTP está conectado físicamente a la red en la interfaz de confianza. La dirección de base
real de ese host se encuentra en la interfaz de confianza.
n La interfaz de confianza también está configurada con una secondary network, 192.168.2.0/24.

En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de
confianza, es necesario:

1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese tráfico cuando las
computadoras internas obtienen acceso a la dirección IP pública 100.100.100.5 con una conexión

150 Fireware XTM Web UI


Traducción de dirección de red (NAT)

de bucle invertido de NAT.

Se debe agregar una asignación más de 1-to-1 NAT para aplicar al tráfico que se inicia en la interfaz
de confianza. La nueva asignación 1 a 1 es igual a la anterior, excepto que la Interfaz está
configurada en De confianza en lugar de Externa.

Después de agregar la segunda entrada 1-to-1 NAT, la sección de la pestaña 1-to-1 NAT cuadro de
diálogo Configuración de página muestra dos asignaciones de 1-to-1 NAT : una para Externa y una
para De confianza.

En la sección 1-to-1 NAT de la página de configuración de NAT, agregue estas dos entradas:

Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5


Interfaz — De confianza, NAT Base — 100.100.100.5, Base real — 10.0.1.5

2. Agregue una entrada NAT dinámica para cada red en la interfaz a la que está conectado el servidor.

El campo Desde para la entrada NAT dinámica es la dirección IP de red de la red desde la cual las
computadoras obtienen acceso a la dirección IP de 1-to-1 NAT con bucle invertido de NAT.
Elcampo Hasta para laentrada NATdinámica esla direcciónbase de NAT enla asignaciónde 1-to-1NAT.
En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios
de ambas redes obtener acceso al servidor HTTP con la dirección IP pública o nombre de host del
servidor. Se deben agregar dos entradas NAT dinámica.

En la sección NAT dinámica de la página de configuración de NAT , agregue:

10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5

3. Agregue una política para permitir a los usuarios en su red de confianza utilizar la dirección IP
pública o el domain name para obtener acceso al servidor público en la red de confianza. Para este
ejemplo:

De

Cualquiera de confianza

Guía del Usuario 151


Traducción de dirección de red (NAT)

Para

100.100.100.5

La dirección IP pública a la que los usuarios desean conectarse es 100.100.100.5. Esta dirección IP
está configurada como dirección IP secundaria en la interfaz externa.
En la sección Hasta de la política, agregue 100.100.100.5.

Para obtener más información acerca de cómo configurar NAT estática, consulte Acerca de la NAT estática
en la página 153.

Para obtener más información acerca de cómo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1
NAT en la página 144.

152 Fireware XTM Web UI


Traducción de dirección de red (NAT)

Acerca de la NAT estática


NAT estática, conocida también como reenvío de puerto, es una NAT de puerto-a-host. Un host envía un
paquete desde la red externa a un puerto en una interfaz externa. NAT estática cambia la dirección IP de
destino a una dirección IP y puerto detrás del firewall. Si una aplicación de software utiliza más de un
puerto y los puertos se seleccionan en forma dinámica, se debe usar 1-to-1 NAT o verificar si un proxy en el
dispositivo WatchGuard administra este tipo de tráfico. NAT estática también funciona en el tráfico enviado
desde redes que protege el dispositivo WatchGuard.

Cuando se usa NAT estática, se utiliza una dirección IP externa de Firebox en lugar de la dirección IP de un
servidor público. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor público
no tenga una dirección IP pública. Por ejemplo, se puede ubicar el servidor de correo electrónico SMTP
detrás del dispositivo WatchGuard con una dirección IP privada y configurar NAT estática en su política
SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el tráfico
SMTP se envíe al servidor SMTP real detrás de Firebox.

1. Seleccione Firewall >Políticas de Firewall.

2. Haga doble clic en una política para editarla.


3. En la lista desplegableConexiones están, seleccione Permitidas.
Para usar NAT estática, la política debe permitir el acceso del tráfico entrante.
4. Debajo de la lista Hasta, haga clic en Agregar.
Aparece el cuadro de diálogo "Agregar miembro".

Nota NAT estática sólo está disponible para políticas que usan un puerto específico, que
incluye TCP y UDP. Una política que utiliza un protocolo diferente no puede usar
NAT estática entrante. El botón NAT en el cuadro de diálogo Propiedades de esa
política no está disponible. También se puede usar NAT estática con la política
Cualquiera.

5. En el Miembro En la lista desplegable Tipo, seleccione NAT estática.

6. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea
utilizar en esta política.

Guía del Usuario 153


Traducción de dirección de red (NAT)

Por ejemplo, puede usar NAT estática en esta política para paquetes recibidos en sólo una dirección
IP externa. O bien, puede usar NAT estática para paquetes recibidos en cualquier dirección IP
externa si selecciona el alias Cualquiera externo.
7. Ingrese la dirección IP interna. Es el destino en la red opcional o de confianza.
8. Si es necesario, seleccione la casilla de verificación Determinar puerto interno para un puerto
diferente . Esto activa la traducción de dirección de puerto (PAT).

Esta función permite cambiar el destino del paquete no sólo a un host interno específico sino
también a un puerto diferente. Si selecciona esta casilla de verificación, ingrese el número de
puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea
utilizar. En general, esta función no se utiliza.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar NAT estática.
La ruta de NAT estática aparece en la lista Miembros y Direcciones.

10. Haga clic en Guardar.

Configurar Balance de carga en el servidor


Nota Para usar la función de balance de carga en el servidor, debe contar con un
dispositivo Firebox X Core, Peak o WatchGuard XTM y Fireware XTM con
actualización Pro.

La función de balance de carga en el servidor en Fireware XTM está diseñada para ayudarle a aumentar la
escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores públicos. Con el balance
de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el número de sesiones
iniciadas en hasta diez servidores para cada política de firewall que configure. El dispositivo WatchGuard
controla la carga según el número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide
ni compara el ancho de banda que usa cada servidor.

El balance de carga en el servidor se configura como parte de una regla NAT estática. El dispositivo
WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se
configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el
dispositivo WatchGuard.

Operación por turnos

Si selecciona esta opción, el dispositivo WatchGuard distribuye las sesiones entrantes entre los
servidores que se especifican en la política en orden de operación por turnos. La primera conexión
se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente
servidor en su política y así sucesivamente.

Conexión menor

Si selecciona esta opción, el dispositivo WatchGuard envía cada nueva sesión al servidor en la lista
que actualmente tiene el número más bajo de conexiones abiertas al dispositivo. El dispositivo
WatchGuard no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.
Se pueden aplicar pesos a los servidores en la configuración del balance de carga en el servidor para
asegurarse de que los servidores con más capacidad reciban la carga más pesada. De manera

154 Fireware XTM Web UI


Traducción de dirección de red (NAT)

predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporción de carga que
el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en
número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación con un
servidor con un peso de 1.

Cuando se configura el balance de carga en el servidor, es importante saber:

n Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede
aplicar NAT estática.
n Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamiento
basado en políticas u otras reglas de NAT en la misma política.
n Cuando se aplica el balance de carga en el servidor a una política, se puede agregar un máximo de
10 servidores a la política.
n El dispositivo WatchGuard no modifica al remitente o la dirección IP de origen del tráfico enviado a
estos dispositivos. Mientras que el tráfico se envía directamente desde el dispositivo WatchGuard,
cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la
dirección IP de origen original del tráfico de red.
n Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no
ocurre la sincronización en tiempo real entre los miembros del cluster cuando ocurre un evento de
conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en cluster
principal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor
para ver cuáles servidores están disponibles. Entonces aplica el algoritmo de balance de carga del
servidor a todos los servidores disponibles.

Para configurar el balance de carga en el servidor:

1. Seleccione Firewall >Políticas de Firewall. Seleccione la política que dese modificar y haga clic en
Editar.
O bien, agregue una nueva política.

2. Debajo del campo Hasta, haga clic en Agregar.


Aparece el cuadro de diálogo Miembro dirección.

3. En la lista desplegable Tipo de miembro, seleccione Balance de carga en el servidor.

Guía del Usuario 155


Traducción de dirección de red (NAT)

4. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea
utilizar en esta política.

Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el
servidor para esta política a paquetes recibidos en sólo una dirección IP externa. O bien, se puede
determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes
recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera externo.
5. En la lista desplegable Método, seleccione el algoritmo deseado para que use el dispositivo
WatchGuard para el balance de carga en el servidor: Operación por turnos o Conexión menor.
6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta política.

Puede agregar un máximo de 10 servidores a una política. También puede agregar peso al servidor.
De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporción de
carga que el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se
duplica en número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación
con un servidor con un peso de 1.
7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificación
Activar sticky connection y configure el período en los campos Activar sticky connection.

Una sticky connection es una conexión que continúa usando el mismo servidor durante un período
definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones de origen y de
destino se envíen al mismo servidor durante el período especificado.
8. Haga clic en Guardar.

156 Fireware XTM Web UI


Traducción de dirección de red (NAT)

Ejemplos de NAT
Ejemplo de 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente.

Considere una situación en la que se tiene un grupo de servidores internos con direcciones IP privadas,
cada una de las cuales debe mostrar una dirección IP pública diferente al mundo exterior. Puede usar 1-to-
1 NAT para asignar direcciones IP públicas a los servidores internos y no tiene que cambiar las direcciones
IP de sus servidores internos. Para comprender cómo configurar 1-to-1 NAT, considere este ejemplo:

Una empresa tiene un grupo de tres servidores con direcciones privadas detrás de una interfaz opcional de
su Firebox. Las direcciones de estos servidores son:

10.0.2.11
10.0.2.12
10.0.2.13

El administrador selecciona tres direcciones IP públicas de la misma dirección de red como interfaz externa
de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:

50.50.50.11
50.50.50.12
50.50.50.13

Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una
relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación tiene el
siguiente aspecto:

10.0.2.11 <--> 50.50.50.11


10.0.2.12 <--> 50.50.50.12
10.0.2.13 <--> 50.50.50.13

Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relación NAT entre el
grupo de direcciones IP privadas y el grupo de direcciones públicas.

Guía del Usuario 157


Traducción de dirección de red (NAT)

Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.

158 Fireware XTM Web UI


9 Configuración inalámbrica

Acerca de la configuración inalámbrica


Cuando activa la función inalámbrica del dispositivo WatchGuard, puede configurar la interfaz externa para
utilizarla en forma inalámbrica o puede configurar el dispositivo WatchGuard como punto de acceso
inalámbrico para usuarios en las redes de confianza, opcionales o invitadas.

Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.

Para activar la función inalámbrica en su dispositivo WatchGuard:

1. Seleccione Red > Inalámbrica.


Aparece la página Inalámbrica.

2. En la página Inalámbrica, seleccione una opción de configuración inalámbrica:

Activar cliente inalámbrico como interfaz externa

Esta configuración le permite configurar la interfaz externa del dispositivo inalámbrico


WatchGuard a fin de conectarse con una red inalámbrica. Esto no resulta útil en áreas que
tienen una infraestructura de red limitada o nula.

Guía del Usuario 159


Configuración inalámbrica

Para obtener información sobre cómo configurar la interfaz externa en modo inalámbrico,
consulte Configurar la interfaz externa como interfaz inalámbrica en la página 178.

Activar puntos de acceso inalámbricos

Esta configuración le permite configurar el dispositivo inalámbrico WatchGuard como un punto


de acceso para los usuarios en las redes de confianza, opcionales o invitadas.

Para más informaciones, vea Acerca de las configuración del punto de acceso inalámbrico en la
página 160.

3. En la sección Configuraciones de radio, seleccione sus configuraciones de radio inalámbrico.

Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series
inalámbrico en la página 181 y Acerca de las configuraciones de radio inalámbrico en el dispositivo
inalámbrico WatchGuard XTM 2 Series en la página 183.
4. Haga clic en Guardar.

Acerca de las configuración del punto de acceso


inalámbrico
Cualquier dispositivo inalámbrico WatchGuard puede configurarse como punto de acceso inalámbrico con
tres zonas de seguridad diferentes. Puede activar otros dispositivos inalámbricos para conectar con el
dispositivo inalámbrico WatchGuard como parte de la red de confianza o parte de la red opcional. También
puede activar una red de servicios inalámbricos para invitados para los usuarios de dispositivos
WatchGuard. Las computadoras que se conectan con la red invitada se conectan a través del dispositivo
inalámbrico WatchGuard, pero no tienen acceso a las computadoras en las redes opcionales o de confianza.

Antes de activar el dispositivo inalámbrico WatchGuard como un punto de acceso inalámbrico, debe
examinar cuidadosamente los usuarios inalámbricos que se conectan con el dispositivo y determinar el
nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalámbrico que puede
habilitar:

Habilitar conexiones inalámbricas a una interfaz de confianza

Cuando habilita conexiones inalámbricas a través de una interfaz de confianza, los dispositivos
inalámbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, así
como acceso total a Internet según las reglas que usted configure para el acceso saliente en su
dispositivo WatchGuard. Si activa el acceso inalámbrico a través de una interfaz de confianza, se
recomienda especialmente que active y utilice la función de restricción de MAC para habilitar el
acceso a través del dispositivo WatchGuard sólo para los dispositivos que agregue a la lista de
direcciones MAC habilitadas.

Para obtener más información sobre cómo restringir el acceso a través de direcciones MAC,
consulte Usar vínculo de dirección MAC estático en la página 103.

Habilitar conexiones inalámbricas a una interfaz opcional

Cuando habilita conexiones inalámbricas a través de una interfaz opcional, esos dispositivos
inalámbricos tienen acceso total a todas las computadoras en la red opcional, así como acceso total a
Internet según las reglas que configure para el acceso saliente en su dispositivo WatchGuard.

160 Fireware XTM Web UI


Configuración inalámbrica

Habilitar conexiones de invitados inalámbricos a través de la interfaz externa

Las computadoras que se conectan con la Wireless Guest Network se conectan a través del
dispositivo WatchGuard a Internet según las reglas que configure para el acceso saliente en su
dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o
de confianza.

Para obtener más información sobre cómo configurar una Wireless Guest Network, consulte Activar
una red inalámbrica para invitados en la página 170.

Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.

Para habilitar conexiones inalámbricas a su red opcional o de confianza, consulte Habilitar conexiones
inalámbricas a la red opcional o de confianza en la página 167.

Antes de empezar
Los dispositivos inalámbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas
por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE). Al instalar un dispositivo inalámbrico
WatchGuard:

n Asegúrese de que el dispositivo inalámbrico se instale en un lugar a más de 20 centímetros de


distancia respecto de las personas. Éste es un requisito de la Comisión Federal de Comunicaciones
(FCC) para los transmisores de baja potencia.
n Es recomendable instalar el dispositivo inalámbrico lejos de otras antenas o transmisores para
disminuir las interferencias.
n El algoritmo predeterminado de autenticación inalámbrica que está configurado para cada zona de
seguridad inalámbrica no es el algoritmo de autenticación más seguro. Si los dispositivos
inalámbricos que se conectan a su dispositivo inalámbrico WatchGuard pueden funcionar
adecuadamente con WPA2, se recomienda incrementar el nivel de autenticación a WPA2.
n Un cliente inalámbrico que se conecta con el dispositivo WatchGuard desde la red opcional o de
confianza puede ser parte de cualquier túnel de red privada virtual (VPN) para sucursales donde el
componente de la red local de la configuración de la Fase 2 incluya direcciones IP de la red opcional
o de confianza. Para controlar el acceso al túnel VPN, puede forzar a los usuarios de dispositivos
WatchGuard para que se autentiquen.

Acerca de configuraciones
Cuando activa el acceso a la red opcional, de confianza o inalámbrica para invitados, algunas configuraciones
se definen del mismo modo para cada una de las tres zonas de seguridad. Éstas pueden configurarse con
distintos valores para cada zona.

Guía del Usuario 161


Configuración inalámbrica

Para obtener información sobre la configuración de SSID de broadcast y responder a las consultas sobre la
configuración del SSID, consulte Activar/desactivar Broadcasts de SSID en la página 163.

Para obtener información sobre cómo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la
página 163.

Para obtener información sobre la configuración Registrar eventos de autenticación, consulte Registro
eventos de autenticación en la página 163.

Para obtener información sobre el Umbral de fragmentación, consulte Cambiar la umbral de


fragmentación en la página 163.

Para obtener información sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la página 165.

Para obtener información sobre las configuraciones de Autenticación y de Cifrado, consulte Acerca de
configuraciones de seguridad en la página 166.

162 Fireware XTM Web UI


Configuración inalámbrica

Activar/desactivar Broadcasts de SSID


Las computadoras con tarjetas de red inalámbrica envían solicitudes para ver si hay puntos de acceso
inalámbricos a los que pueden conectarse.

Para configurar una interfaz inalámbrica de dispositivo WatchGuard a fin de enviar y responder a estas
solicitudes, seleccione la casilla de verificación Broadcast de SSID y responder a consultas SSID. Por
razones de seguridad, active esta opción únicamente cuando se encuentre configurando computadoras en
su red a fin de conectar el dispositivo inalámbrico WatchGuard. Desactive esta opción una vez que todos sus
clientes estén configurados. Si utiliza la función de servicios inalámbricos para invitados, quizá deba habilitar
broadcasts de SSID en la operación estándar.

Cambiar la SSID
El SSID (Identificador de conjunto de servicios) es el nombre específico de su red inalámbrica. Para utilizar
la red inalámbrica desde la computadora de un cliente, la tarjeta de red inalámbrica en la computadora
debe tener el mismo SSID que la red inalámbrica WatchGuard a la cual se conecta la computadora.

El SO Fireware XTM asigna automáticamente un SSID a cada red inalámbrica. Este SSID utiliza un formato
que contiene el nombre de la interfaz, y los dígitos entre el quinto y el noveno del número de serie del
dispositivo inalámbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para
identificar específicamente su red inalámbrica.

Registro eventos de autenticación


Un evento de autenticación ocurre cuando una computadora inalámbrica intenta conectarse a la interfaz
inalámbrica de un dispositivo WatchGuard. Para incluir estos eventos en el archivo de registro, marque la
casilla de verificación Registrar eventos de autenticación.

Cambiar la umbral de fragmentación


Fireware XTM le permite configurar el tamaño máximo de marco que el dispositivo inalámbrico
WatchGuard puede enviar sin fragmentar el marco. Esto se denomina umbral de fragmentación. Por lo
general, esta configuración no se cambia. La configuración predeterminada es el tamaño máximo de marco
de 2346, lo que significa que nunca fragmentará los marcos que envíe a los clientes inalámbricos. Esto es lo
mejor para la mayoría de los entornos.

Cuándo cambiar el umbral de fragmentación predeterminado


Cuando dos dispositivos utilizan el mismo medio para transmitir paquetes exactamente al mismo tiempo,
ocurre una colisión. Los dos paquetes pueden corromperse y el resultado es un grupo de fragmentos de
datos que no se pueden leer. Si un paquete sufre una colisión, éste debe descartarse y volver a
transmitirse. Esto se suma a la sobrecarga de la red y puede reducir el rendimiento o la velocidad de ésta.

Guía del Usuario 163


Configuración inalámbrica

Hay más posibilidades de que los marcos más grandes choquen entre sí que los pequeños. Para reducir los
paquetes inalámbricos, debe disminuir el umbral de fragmentación en el dispositivo inalámbrico
WatchGuard. Si disminuye el tamaño máximo de los marcos, esto puede reducir la cantidad de
transmisiones de repetición ocasionadas por los choques y disminuir la sobrecarga ocasionada por las
transmisiones de repetición.

Los marcos más pequeños introducen más sobrecarga en la red. Esto ocurre particularmente en las redes
inalámbricas debido a que cada marco fragmentado enviado desde un dispositivo inalámbrico a otro
requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son
altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el
rendimiento de la red inalámbrica si disminuye el umbral de fragmentación. El tiempo que se ahorra al
reducir las transmisiones de repetición puede ser suficiente para compensar la sobrecarga adicional que
agregan los paquetes más pequeños. Esto puede dar como resultado una mayor velocidad.

Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentación, el rendimiento de la
red inalámbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega
sobrecarga del protocolo y la eficiencia del protocolo se reduce.

Si desea experimentar, comience con el máximo predeterminado 2346 y disminuya el umbral de a una
pequeña cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los
paquetes de la red en diferentes momentos del día. Compare el efecto que un umbral más pequeño
produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento
cuando los errores son moderadamente altos.

En general, se recomienda dejar esta configuración en su valor predeterminado de 2346.

Cambiar el umbral de fragmentación


1. Seleccione Red > inalámbrica.

2. Seleccione la red inalámbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso
2 o a Invitado inalámbrico, haga clic en Configurar.
Aparecen los ajustes de configuración automática para esa red inalámbrica.

164 Fireware XTM Web UI


Configuración inalámbrica

3. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese


o seleccione un valor entre 256 y 2346.

4. Haga clic en Volver a la página principal.


5. Haga clic en Guardar.

Cambiar la Umbral de RTS


RTS/CTS (Solicitar envío/Borrar envío) ayuda a evitar problemas cuando los clientes inalámbricos pueden
recibir señales de más de un punto de acceso inalámbrico en el mismo canal. Este problema a veces se
conoce con el nombre de nodo oculto.

No se recomienda cambiar el umbral de RTS predeterminado. Cuando el umbral de RTS se configura al


valor predeterminado de 2346, RTS/CTS se desactiva.

Guía del Usuario 165


Configuración inalámbrica

Si debe cambiar el umbral de RTS, ajústelo en forma gradual. Redúzcalo de a una pequeña cantidad por vez.
Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es
positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir más latencia en
la red, ya que las solicitudes de envío se incrementan tanto que el medio compartido se reserva con más
frecuencia que la necesaria.

Acerca de configuraciones de seguridad


Los dispositivos inalámbricos WatchGuard utilizan tres normas de protocolo de seguridad para proteger su
red inalámbrica: WEP (privacidad equivalente por cable), WPA (Wi-Fi Protected Access ) y WPA2. Cada
norma de protocolo puede cifrar las transmisiones en la red de área local (LAN) entre las computadoras y
los puntos de acceso. También pueden impedir el acceso no autorizado al punto de acceso inalámbrico.

Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar
la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una
conexión inalámbrica.

Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de
LAN, tales como protección de contraseña, túneles VPN y autenticación de usuario.

Definir inalámbricos método de autenticación


Están disponibles cinco métodos de autenticación para los dispositivos inalámbricos WatchGuard. De ser
posible, se recomienda utilizar WPA2 porque es el más seguro. Los cinco métodos disponibles, desde el
menos seguro al más seguro, son:

Sistema abierto

La autenticación de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este
método se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).

Clave compartida

Enla autenticaciónde clave compartida, sólopueden conectarse aquellos clientesinalámbricos que


tenganla clave compartida. Laautenticación de clave compartidasólo puede utilizarse concifrado WEP.

Sólo WPA (PSK)

Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada
usuario inalámbrico la misma contraseña para autenticar el punto de acceso inalámbrico.

WPA/WPA2 (PSK)

Cuando selecciona la autenticación WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos
inalámbricos configurados para utilizar WPA o WPA2.

SÓLO WPA2 (PSK)

La autenticación WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es
el método de autenticación más seguro. No funciona con algunas tarjetas de red inalámbrica
anteriores.

166 Fireware XTM Web UI


Configuración inalámbrica

Definir nivel de cifrado


En la lista desplegable Cifrado, seleccione el nivel de cifrado para las conexiones inalámbricas. Las
selecciones disponibles cambian cuando utiliza mecanismos de autenticación diferentes. El sistema
operativo de Fireware XTM crea automáticamente una encryption key (clave de cifrado) aleatoria cuando
ésta resulta necesaria. Puede utilizar esta clave o cambiarla por una distinta. Cada cliente inalámbrico debe
utilizar esta misma clave cuando se conecte al dispositivo Firebox o XTM.

Autenticación por sistema abierto y por Clave compartida


Las opciones de cifrado para la autenticación por sistema abierto y por clave compartida son WEP
hexadecimal de 64 bits, WEP ASCII de 40 bits, WEP hexadecimal de 128 bits y WEP ASCII de 128 bits. Si
selecciona la autenticación de sistema abierto, también puede seleccionar Sin cifrado.

1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No
todos los controladores de adaptadores inalámbricos admiten caracteres ASCII. Puede tener un
máximo de cuatro claves.

n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.
n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingresó más de una clave, en la lista desplegable Índice de claves, seleccione la clave que desea
utilizar de manera predeterminada.

El dispositivo Firebox o XTM inalámbrico sólo puede usar una encryption key por vez. Si seleccionó
una clave distinta de la primera clave en la lista, también debe configurar su cliente inalámbrico para
que utilice la misma clave.

Autenticación WPA y WPA2 PSK


Las opciones de cifrado para los métodos de autenticación de el acceso protegido Wi-Fi (WPA-PSK y WPA2-
PSK) son:

n TKIP — Sólo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opción no
está disponible para los modos inalámbricos que admiten 802.11n.
n AES — Sólo utilice AES (Estándar de cifrado avanzado) para el cifrado.
n TKIP o AES — Utilice TKIP o AES.

Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalámbrico Firebox o XTM
acepte conexiones de clientes inalámbricos configurados para utilizar cifrado TKIP o AES. En el caso de los
clientes inalámbricos 802.11n, le recomendamos que configure el cliente inalámbrico para utilizar el
cifrado AES.

Habilitar conexiones inalámbricas a la red


opcional o de confianza
Para habilitar conexiones inalámbricas a su red opcional o de confianza:

Guía del Usuario 167


Configuración inalámbrica

1. Seleccione Red > Inalámbrica.


Aparece la página de configuración Inalámbrica.

2. Seleccione Activar puntos de acceso inalámbricos.


3. Junto al Punto de acceso 1 o al Punto de acceso 2, haga clic en Configurar.
Aparece el cuadro de diálogo Configuración del punto de acceso inalámbrico.

168 Fireware XTM Web UI


Configuración inalámbrica

4. Seleccione la casilla de verificación Activar bridge inalámbrico a una interfaz opcional o de


confianza.
5. En la lista desplegable junto a Activar bridge inalámbrico a una interfaz opcional o de confianza,
seleccione una interfaz opcional o de confianza.

De confianza

Cualquier cliente inalámbrico en la red de confianza tiene acceso total a las computadoras en
las redes opcionales y de confianza, y acceso a Internet según lo definen las reglas de firewall
saliente en su dispositivo WatchGuard.
Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.

Opcional

Cualquier cliente inalámbrico en la red opcional tiene acceso total a las computadoras en la red
opcional y acceso a Internet según lo definen las reglas de firewall saliente en su dispositivo
WatchGuard.
Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.

6. Para configurar la interfaz inalámbrica para enviar y responder a las solicitudes de SSID, seleccione la
casilla de verificación Broadcast de SSID y responder a consultas SSID.

Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID
en la página 163.
7. Seleccione la casilla de verificación Registrar eventos de autenticación si desea que el dispositivo
WatchGuard envíe un mensaje de registro al archivo de registro cada vez que una computadora
inalámbrica intenta conectase con la interfaz.

Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.
8. Para requerir que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, seleccione la
casilla de verificación Requerir Mobile VPN cifrado con conexiones IPSec para clientes
inalámbricos.

Cuando selecciona esta casilla de verificación, los únicos paquetes que Firebox habilita a través de la
red inalámbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere
que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la
seguridad para los clientes inalámbricos si no selecciona WPA o WPA2 como el método de
autenticación inalámbrica.
9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su red opcional
inalámbrica o utilice el nombre predeterminado.

Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.
10. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese
un valor: 256–2346. No se recomienda cambiar esta configuración.

Para obtener más información sobre esta configuración, consulte Cambiar la umbral de
fragmentación en la página 163.

Guía del Usuario 169


Configuración inalámbrica

11. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones
inalámbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalámbricos
de la red son compatibles con WPA2.

Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de
autenticación.
12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.

Para más informaciones, vea Definir nivel de cifrado en la página 167.


13. Guardar la configuración

Nota Si activa conexiones inalámbricas con la interfaz de confianza, se recomienda


restringir el acceso mediante una dirección MAC. Esto impide que los usuarios se
conecten con el dispositivo inalámbrico WatchGuard desde computadoras no
autorizadas que podrían contener virus o spyware. Haga clic en la pestaña Control
de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña
de la misma manera en que restringe el tráfico de red en una interfaz según se
describe en Restringir el tráfico de red mediante la dirección MAC en la página 97.

Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de
confianza, consulte Activar una red inalámbrica para invitados en la página 170.

Activar una red inalámbrica para invitados


Puede activar una Wireless Guest Network para proveer a un usuario invitado acceso inalámbrico a Internet
sin acceso a las computadoras en sus redes opcionales o de confianza.

Para configurar una Wireless Guest Network:

1. Seleccione Red > Inalámbrica.


Aparece la página Configuración inalámbrica.

2. Seleccione Activar puntos de acceso inalámbricos.


3. Junto a Invitado inalámbrico, haga clic en Configurar.
Aparece el cuadro de diálogo Configuración de invitado inalámbrico.

170 Fireware XTM Web UI


Configuración inalámbrica

4. Seleccione la casilla de verificación Activar Wireless Guest Network.

Se permiten conexiones inalámbricas a Internet a través del dispositivo WatchGuard según las reglas
que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen
acceso a las computadoras de su red opcional o de confianza.
5. En el cuadro de texto Dirección IP, ingrese la dirección IP privada que utilizará con la Wireless Guest
Network. La dirección IP que ingrese no debe estar en uso en una de sus interfaces de red.
6. En el cuadro de diálogo Máscara de subred, ingrese la máscara de subred. El valor correcto
generalmente es 255.255.255.0.
7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo
inalámbrico intenta realizar una conexión, seleccione la casilla de verificación Activar servidor DHCP
en la Wireless Guest Network.

Para obtener más información sobre cómo establecer la configuración para el servidor DHCP,
consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86.
8. Haga clic en la pestaña Inalámbrica para ver las configuraciones de seguridad para la Wireless Guest
Network.
Aparecen las configuraciones inalámbricas.

Guía del Usuario 171


Configuración inalámbrica

9. Seleccione la casilla de verificación SSID de broadcast y responder a consultas SSID para que su
nombre de Wireless Guest Network esté visible para los usuarios invitados.

Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID
en la página 163.
10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalámbrica
intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificación Registrar
eventos de autenticación.

Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.
11. Para permitir que los usuarios inalámbricos invitados se envíen tráfico entre sí, desmarque la casilla
de verificación Prohibir tráfico de red inalámbrica de cliente a cliente.
12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su Wireless Guest
Network o utilice el nombre predeterminado.

Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.
13. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese
un valor: 256–2346. No se recomienda cambiar esta configuración.

Para obtener más información sobre esta configuración, consulte Cambiar la umbral de
fragmentación en la página 163.
14. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones a
la Wireless Guest Network. La configuración que elija dependerá del tipo de acceso a los invitados que
desee proveer y de si desea requerir que sus invitados ingresen una contraseña para utilizar la red.

172 Fireware XTM Web UI


Configuración inalámbrica

Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de
autenticación en la página 166.
15. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.

Para más informaciones, vea Definir nivel de cifrado en la página 167.


16. Haga clic en Volver a la página principal.
17. Haga clic en Guardar.

También puede restringir el acceso a la red invitada mediante una dirección MAC . Haga clic en la pestaña
Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña de la misma
manera en que restringe el tráfico de red en una interfaz según se describe en Restringir el tráfico de red
mediante la dirección MAC en la página 97.

Activar un hotspot inalámbrico


Puede configurar su red inalámbrica para invitados WatchGuard XTM 2 Series o Firebox X Edge e-Series
como un hotspot inalámbrico para brindarles acceso a Internet a sus visitas o a sus clientes. Cuando activa la
función de hotspot, tiene más control sobre las conexiones a su red inalámbrica para invitados.

Cuando configura su dispositivo como hotspot inalámbrico, usted puede personalizar:

n La pantalla de presentación que ven los usuarios cuando se conectan


n Términos y condiciones que los usuarios deben aceptar antes de poder navegar a un sitio web
n Duración máxima de la conexión continua de un usuario

Cuando activa la función de hotspot inalámbrico, se crea automáticamente la política Permitir usuarios de
hotspot. Esta política permite las conexiones desde la interfaz inalámbrica para invitados a sus interfaces
externas. Esto provee a los usuarios del hotspot inalámbrico un acceso inalámbrico a Internet sin acceso a
las computadoras en sus redes opcionales o de confianza.

Antes de configurar un hotspot inalámbrico, debe establecer la configuración de su red inalámbrica para
invitados como se describe en Activar una red inalámbrica para invitados.

Para configurar el hotspot inalámbrico:

1. Seleccione Red > Inalámbrica.


2. Junto a Invitado inalámbrico, haga clic en Configurar.
3. En la página Inalámbrico, seleccione la pestaña Hotspot.
4. Marque la casilla de selección Activar hotspot.

Guía del Usuario 173


Configuración inalámbrica

Establecer la configuración del tiempo de espera


Puede establecer configuraciones de tiempo de espera para limitar la cantidad de tiempo que los usuarios
pueden utilizar su hotspot de manera continua. Cuando se vence el período de espera, el usuario es
desconectado. Cuando un usuario es desconectado, pierde toda conexión a Internet pero permanece
conectado a la red inalámbrica. Vuelve a aparecer la pantalla de presentación del hotspot y el usuario debe
volver a aceptar los Términos y condiciones antes de poder continuar utilizando el hotspot inalámbrico.

1. En el cuadro de texto Agotamiento de la sesión, especifique la cantidad máxima de tiempo durante


la cual un usuario puede permanecer continuamente conectado a su hotspot. Puede especificar la
unidad de tiempo mediante la lista desplegable adyacente. Si el Agotamiento de la sesión se
configura en 0 (el valor predeterminado), los usuarios inalámbricos invitados no son desconectados
después de un intervalo de tiempo especificado.
2. En el cuadro de texto Tiempo de espera inactivo, especifique la cantidad de tiempo que un usuario
debe permanecer inactivo para que expire la conexión. Puede especificar la unidad de tiempo
mediante la lista desplegable adyacente. Si el Tiempo de espera inactivo se configura en 0, los
usuarios no son desconectados si no envían ni reciben tráfico.

Personalizar la pantalla de presentación del hotspot


Cuando los usuarios se conectan a su hotspot, ven una pantalla de presentación, o un sitio web que deben
visitar antes de poder navegar a otros sitios web. Puede configurar el texto que aparece en esta página,
como también el aspecto de la página. También puede redirigir al usuario a una página web especificada
después que acepte los términos y condiciones.

Como mínimo, debe especificar el Título de la página y los Términos y condiciones para activar esta
función.

1. En el cuadro de texto Título de la página, ingrese el título que desea que aparezca en la página de
presentación del hotspot.

174 Fireware XTM Web UI


Configuración inalámbrica

2. Para incluir un mensaje de bienvenida:

n Marque la casilla de selección Mensaje de bienvenida.


n En el cuadro de texto Mensaje de bienvenida, ingrese el mensaje que verán los usuarios
cuando se conecten al hotspot.
3. (Opcional) Para usar un logotipo personalizado en la pantalla de presentación:

n Marque la casilla de selección Utilizar un logotipo personalizado.


n Haga clic en Subir para cargar el archivo de su logotipo personalizado.
El archivo debe estar en un formato .jpg, .gif o .png. Le recomendamos que la imagen no sea
mayor de 90 x 50 (ancho x altura) píxeles o 50 kB.
3. En el cuadro de texto Términos y condiciones, ingrese o pegue el texto que desea que los usuarios
acepten antes de poder utilizar el hotspot. La longitud máxima es de 20.000 caracteres.
4. Para redirigir automáticamente a los usuarios a un sitio web después de que aceptan los Términos y
condiciones, en el cuadro de texto URL de redirección, ingrese la URL del sitio web.
5. Puede personalizar las fuentes y los colores de su página de bienvenida:

n Fuente: Seleccione la fuente en la lista desplegable Fuente. Si no especifica una fuente, la


página de bienvenida utiliza la fuente predeterminada del navegador para cada usuario.
n Tamaño: Seleccione el tamaño del texto en la lista desplegable Tamaño. El tamaño
predeterminado del texto es Mediano.

Guía del Usuario 175


Configuración inalámbrica

n Color del texto: Éste es el color para el texto en la pantalla de presentación del hotspot. El color
predeterminado es el #000000 (negro). El color configurado aparece en un recuadro
adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML
en el cuadro de texto Color del texto.
n Color de fondo: Éste es el color utilizado para el fondo de la pantalla de presentación del
hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un
recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML
en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentación.
Aparece una vista previa de la pantalla de presentación en una nueva ventana del navegador.

7. Cierre la ventana de vista previa del navegador.


8. Cuando termine de configurar su hotspot, haga clic en Regresar a la página principal.
9. Haga clic en Guardar para guardar la configuración.

Conéctese a un hotspot inalámbrico


Después de configurar su hotspot inalámbrico, puede conectarse a éste para ver su pantalla de
presentación.

1. Utilice un cliente inalámbrico para conectase a su red inalámbrica para invitados. Utilice el SSID y
cualquier otra configuración que haya establecido para la red inalámbrica para invitados.
2. Abra un explorador web. Navegue a cualquier sitio web.
Aparecerá la pantalla de presentación del hotspot inalámbrico en el navegador.

176 Fireware XTM Web UI


Configuración inalámbrica

3. Marque la casilla de selección He leído y acepto los términos y condiciones.


4. Haga clic en Continuar.
El navegador muestra la URL original que solicitó. O bien, si el hotspot está configurado para redirigir
automáticamente el navegador a una URL, el navegador se dirigirá a ese sitio web.

El contenido y el aspecto de la pantalla de presentación del hotspot puede establecerse en la configuración


del hotspot para su red inalámbrica para invitados.

La URL de la pantalla de presentación del hotspot inalámbrico es:


https://<IP address of the wireless guest network>:4100/hotspot .

Consulte Conexiones hotspot inalámbricas


Cuando activa la función de hotspot inalámbrico, puede consultar información acerca de la cantidad de
clientes que están conectados. También puede desconectar clientes inalámbricos.

Para ver la lista de clientes hotspot inalámbricos conectados:

1. Conéctese a la Fireware XTM Web UI en su dispositivo inalámbrico.


2. Seleccione Estado del sistema > Hotspot inalámbrico.
Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.

Guía del Usuario 177


Configuración inalámbrica

Para desconectar a un cliente hotspot inalámbrico, desde la página Clientes hotspot inalámbricospage:

1. Seleccione un cliente hotspot inalámbrico conectado o varios.


2. Haga clic en Desconectar.

Configurar la interfaz externa como interfaz


inalámbrica
En áreas con infraestructura de red limitada o inexistente, se puede utilizar el dispositivo inalámbrico
WatchGuard para proporcionar acceso seguro a la red. Debe conectar físicamente los dispositivos de red al
dispositivo WatchGuard. Luego, configure la interfaz externa para que se conecte a un punto de acceso
inalámbrico que se conecta a una red más grande.

Nota Cuando la interfaz externa se configura con una conexión inalámbrica, el


dispositivo inalámbrico WatchGuard ya no puede usarse como punto de acceso
inalámbrico. Para proporcionar acceso inalámbrico a los usuarios, conecte un
dispositivo de punto de acceso inalámbrico al dispositivo inalámbrico
WatchGuard.

Configurar la interfaz externa principal como interfaz


inalámbrica
1. Seleccione Red > Inalámbrica.
Aparece la página Configuración inalámbrica.

178 Fireware XTM Web UI


Configuración inalámbrica

2. Seleccione Activar cliente inalámbrico como interfaz externa.


3. Haga clic en Configurar.
Aparece la configuración de interfaz externa.

4. En la lista desplegable Modo configuración, seleccione una opción:

Configuración manual

Para usar una dirección IP estática, seleccione esta opción. Ingrese la Dirección IP, Máscara de
subred y Puerta de enlace predeterminada.

Cliente DHCP

Para configurar la interfaz externa como cliente DHCP , seleccione esta opción. Ingrese la
configuración de DHCP.

Guía del Usuario 179


Configuración inalámbrica

Para obtener más información acerca de cómo configurar la interfaz externa para usar una
dirección IP estática o DHCP, consulte Configurar una interfaz externa en la página 82.
5. Haga clic en la pestaña Inalámbrico.
Aparece la configuración de cliente inalámbrico.

6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre único para la red externa
inalámbrica.
7. En la lista desplegable Autenticación, seleccione el tipo de autenticación que desea activar para las
conexiones inalámbricas. Recomendamos utilizar WPA2 si los dispositivos inalámbricos de la red son
compatibles con WPA2.

Para obtener más información acerca de los métodos de autenticación inalámbrica, consulte Acerca
de configuraciones de seguridad en la página 166.
8. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.

180 Fireware XTM Web UI


Configuración inalámbrica

9. Haga clic en Guardar.

Configurar un túnel BOVPN para seguridad adicional


Para crear un puente inalámbrico y proporcionar más seguridad, agregue un túnel BOVPN entre el
dispositivo WatchGuard y la puerta de enlace externa. Se debe configurar el Modo agresivo en los
parámetros de Fase 1 de la configuración de BOVPN en ambos dispositivos.

Para obtener información acerca de cómo configurar un túnel BOVPN, consulte Acerca de túneles BOVPN
manuales en la página 418.

Acerca de configuraciones de radio en Firebox X


 Edge e-Series inalámbrico
Los dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráfico
desde las computadoras con tarjetas de Ethernet inalámbrico. Varias configuraciones son específicas según
la selección del canal.

Para ver o cambiar las configuraciones de radio:

1. Conéctese al Fireware XTM Web UI.


2. Seleccione Red > Inalámbrica.
Aparece la página Inalámbrica.

Las Configuraciones de radio aparecen en la parte inferior de esta página.

Guía del Usuario 181


Configuración inalámbrica

Configurar la región operativa y el canal


Cuando activa el modo inalámbrico, debe configurar la región operativa inalámbrica.

1. En la lista desplegable Región operativa, seleccione la región operativa que mejor describa la
ubicación de su dispositivo.

La lista de regiones operativas inalámbricas que puede seleccionar en su Firebox puede ser
diferente según dónde lo haya adquirido.
2. En la lista desplegable Canal, seleccione un canal o seleccione Automático.

Si configura el canal en Automático, el dispositivo inalámbrico WatchGuard selecciona


automáticamente el canal con la señal disponible más fuerte en su ubicación física.

Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalámbricos están
disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada región operativa
compatible en Firebox X Edge e-Series inalámbrico.

Europa,
Frecuencia Australia Medio República
Canal central América Asia &Nueva Oriente y Francia Israel Japón Taiwán Popular
(MHz) Zelanda África de China
(EMEA)

1 2412 Sí Sí Sí Sí -- -- Sí Sí Sí

2 2417 Sí Sí Sí Sí -- -- Sí Sí Sí

3 2422 Sí Sí Sí Sí -- Sí Sí Sí Sí

4 2427 Sí Sí Sí Sí -- Sí Sí Sí Sí

5 2432 Sí Sí Sí Sí -- Sí Sí Sí Sí

6 2437 Sí Sí Sí Sí -- Sí Sí Sí Sí

7 2442 Sí Sí Sí Sí -- Sí Sí Sí Sí

8 2447 Sí Sí Sí Sí -- Sí Sí Sí Sí

9 2452 Sí Sí Sí Sí -- Sí Sí Sí Sí

10 2457 Sí Sí Sí Sí Sí -- Sí Sí Sí

11 2462 Sí Sí Sí Sí Sí -- Sí Sí Sí

12 2467 -- -- Sí Sí Sí -- Sí -- Sí

13 2472 -- -- Sí Sí Sí -- Sí -- Sí

14 2484 -- -- -- -- -- -- Sí -- --

182 Fireware XTM Web UI


Configuración inalámbrica

Definir modo de operación inalámbrica


La mayoría de las tarjetas inalámbricas pueden operar sólo en modo de 802.11b (hasta 11 MB/segundo) o
de 802.11g (54 MB/segundo). Para establecer el modo operativo para el dispositivo inalámbrico
WatchGuard, seleccione una opción en la lista desplegable Modo inalámbrico. Existen tres modos
inalámbricos:

802.11b solamente

Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que
estén sólo en el modo 802.11b.

802.11g solamente

Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que
estén sólo en el modo 802.11g.

802.11g y 802.11b

Éste es el modo predeterminado y la configuración recomendada. Este modo le permite al


dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11b u 802.11g. El dispositivo
WatchGuard funciona en el modo 802.11g solamente si todas las tarjetas inalámbricas que están
conectadas al dispositivo utilizan el modo 802.11g. Si alguno de los clientes 802.11b se conecta al
dispositivo, todas las conexiones automáticamente pasan al modo 802.11b.

Acerca de las configuraciones de radio


inalámbrico en el dispositivo inalámbrico
WatchGuard XTM 2 Series
Los dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráfico
desde las computadoras con tarjetas de Ethernet inalámbrico. Las configuraciones de radio disponibles para
el dispositivo inalámbrico WatchGuard XTM 2 Series son distintas de las del dispositivo inalámbrico Firebox
X Edge e-Series.

Para ver o cambiar las configuraciones de radio:

1. Conéctese al Fireware XTM Web UI.


2. Seleccione Red > Inalámbrica.
Aparece la página Inalámbrica.

Guía del Usuario 183


Configuración inalámbrica

Las Configuraciones de radio aparecen en la parte inferior de esta página.

El país se configura automáticamente


Debido a los requisitos normativos de las distintas partes del mundo, no se pueden utilizar todas las
configuraciones de radio inalámbrico en todos los países. Cada vez que enciende el dispositivo inalámbrico
XTM 2 Series, el dispositivo se contacta con un servidor WatchGuard para determinar el país y la
configuración de radio inalámbrico permitido para ese país. Para hacer esto, el dispositivo debe tener una
conexión a Internet. Una vez que se determina el país, puede establecer todas las configuraciones de radio
inalámbrico compatibles que puedan utilizarse en ese país.

En el cuadro de diálogo Configuración inalámbrica, la configuración de País muestra en qué país el


dispositivo detecta que se encuentra. No se puede cambiar la configuración de País. Las opciones
disponibles para las demás configuraciones de radio se basan en los requisitos normativos del país en donde
el dispositivo detecta que se encuentra.

Nota Si el dispositivo XTM 2 Series no puede conectarse con el servidor WatchGuard, no


se podrá saber cuál es el país. En este caso, sólo podrá seleccionar en el conjunto
limitado de configuraciones de radio inalámbrico permitidas en todos los países. El
dispositivo inalámbrico XTM 2 Series continúa intentando conectarse
periódicamente al servidor WatchGuard para determinar el país y las
configuraciones de radio inalámbrico permitidas.

184 Fireware XTM Web UI


Configuración inalámbrica

Si el dispositivo 2 Series aún no tiene una región configurada o si la región no está actualizada, puede forzar
el dispositivo para actualizar la región de radio inalámbrico.

Para actualizar la región de radio inalámbrico:

1. Seleccione Estado del sistema > Estadísticas inalámbricas.


2. haga clic en Actualizar la información del país.
El dispositivo 2 Series se contacta con un servidor WatchGuard para determinar la región operativa actual.

Seleccionar el modo de banda y el modo inalámbrico


El dispositivo WatchGuard XTM 2 Series admite dos bandas inalámbricas diferentes: 2.4 GHz y 5 GHz. La
banda que selecciona y el país determinan los modos inalámbricos disponibles. Seleccione la Banda que
admite el modo inalámbrico que desea utilizar. Luego seleccione el modo en la lista desplegable Modo
inalámbrico.

La banda 2.4 GHz admite estos modos inalámbricos:


802.11n, 802.11g y 802.11b

Éste es el modo predeterminado en la banda 2.4 GHz y es la configuración recomendada. Este modo
le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u
802.11b.

802.11g y 802.11b

Este modo le permite al dispositivo inalámbrico WatchGuard conectarse con los dispositivos que
utilizan 802.11g u 802.11b.

SÓLO 802.11b

Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11b.

La banda 5 GHz admite estos modos inalámbricos:


802.11a y 802.11n

Éste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalámbrico
WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.

SÓLO 802.11a

Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11a.

Nota Si elige un modo inalámbrico que admite varias normas 802.11, el rendimiento
general puede disminuir considerablemente. Esto se debe en parte a la necesidad
de admitir protocolos de protección para la retrocompatibilidad cuando los

Guía del Usuario 185


Configuración inalámbrica

dispositivos que utilizan modos más lentos están conectados. Además, los
dispositivos más lentos tienden a dominar la velocidad porque puede llevar mucho
más tiempo enviar o recibir la misma cantidad de datos a los dispositivos que
utilizan un modo más lento.

La banda 5 GHz provee más rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los
dispositivos inalámbricos. Seleccione la banda y el modo según las tarjetas inalámbricas de los dispositivos
que se conectarán con el dispositivo inalámbrico WatchGuard.

Seleccionar el canal
Los canales disponibles dependen del país y del modo inalámbrico que seleccione. En forma
predeterminada, el Canal se configura en Automático. Cuando el canal se configura en Automático, el
dispositivo inalámbrico 2-Series selecciona automáticamente un canal silencioso de la lista disponible en la
banda que usted ha seleccionado. O puede seleccionar un canal específico de la lista desplegable Canal.

Configurar la de red invitada inalámbrica en su


computadora
Estas instrucciones son para el sistema operativo Windows XP con Service Pack 2. Para obtener
instrucciones de instalación para otros sistemas operativos, consulte la documentación o los archivos de
ayuda de su sistema operativo.

1. Seleccione Iniciar > Configuración >Panel de control > Conexiones de red.


Aparece el cuadro de diálogo Conexiones de red.
2. Haga clic con el botón derecho en Conexión de red inalámbrica y seleccione Propiedades.
Aparece el cuadro de diálogo Conexión de red inalámbrica.
3. Seleccione la pestaña Redes inalámbricas.
4. Debajo de Redes preferidas, haga clic en Agregar.
Aparece el cuadro de diálogo Propiedades de red inalámbrica.
5. Ingrese el SSID en el cuadro de diálogo Nombre de red (SSID).
6. Seleccione los métodos de autenticación de red y el cifrado de datos en las listas desplegables. Si es
necesario, desmarque la casilla de verificación La clave se provee en forma automática e ingrese la
clave de red dos veces.
7. Haga clic en OK para cerrar el cuadro de diálogo Propiedades de red inalámbrica.
8. Haga clic en Ver redes inalámbricas.
Todas las conexiones inalámbricas disponibles aparecen en el cuadro de texto Redes disponibles.
9. Seleccione el SSID de la red inalámbrica y haga clic en Conectar.

Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexión de red
inalámbrica y haga clic en Conectar nuevamente.
10. Configure la computadora inalámbrica para utilizar la configuración dinámica de host (DHCP).

186 Fireware XTM Web UI


10 Dynamic Routing

Acerca de dynamic routing


Un protocolo de enrutamiento es un lenguaje que un enrutador usa con otros enrutadores para compartir
información acerca del estado de las tablas de enrutamiento de red. Con el enrutamiento estático, las tablas
de enrutamiento son definidas y no cambian. Si un enrutador en un camino remoto falla, no se puede
enviar un paquete a su destino. El dynamic routing hace que las actualizaciones automáticas enruten tablas
a medida que cambia la configuración de una res.

Nota El soporte para algunos protocolos de dynamic routing está disponible sólo en el
Fireware XTM con actualización Pro. El dynamic routing no es soportado en el
Firebox X Edge E-Series.

El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualización Pro soporta los
protocolos RIP v1, RIP v2, OSPF y BGP v4.

Acerca de archivos de configuración de demonio


de enrutamiento.
Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuración de dynamic routing para el demonio de enrutamiento elegido. Ese archivo de
configuración incluye informaciones como contraseña y nombre del archivo de registro. Para ver una
muestra de archivos de configuración para cada protocolo de enrutamiento, vea estos tópicos:

n Muestra de archivo de configuración del enrutamiento RIP


n Muestra de archivo de configuración del enrutamiento OSPF
n Muestra de archivo de configuración del enrutamiento BGP

Notas acerca de los archivos de configuración:

n Los caracteres "!" y "#" son puestos antes de los comentarios, que son líneas de texto en archivos de
configuración que explican la función de los comandos siguientes. Si el primer caracter de una línea

Guía del Usuario 187


Dynamic Routing

es un caracter de comentario, entonces el resto de la línea será interpretado como un comentario.


n Puede usar la palabra "no" al principio de la línea para desactivar un comando. Por ejemplo: "no red
10.0.0.0/24 área 0.0.0.0" desactiva el área de backbone en la red especificada.

Acerca del Protocolo de Información de


Enrutamiento (RIP)
El Protocolo de Información de Enrutamiento (RIP, en sus siglas en inglés) es usado para administrar
información de enrutadores en una red autocontenida, tal como una LAN corporativa o una WAN privada.
Con el RIP, el host de puerta de enlace envía su tabla de enrutamiento al enrutador más cercano a cada 30
segundos. Ese enrutador envía el contenido de sus tablas de enrutamiento a los enrutadores vecinos.

El RIP es mejor para redes pequeñas. Eso es así porque la transmisión de la tabla de enrutamiento completa
a cada 30 segundos puede poner una carga grande de tráfico en la red y porque las tablas de RIP se limitan
a 15 saltos. El OSPF es una mejor opción para grandes redes.

Hay dos versiones del RIP. RIP v1 usa la difusión de UDP a través del puerto 520 para enviar actualizaciones
a las tablas de enrutamiento. RIP v2 usa la multidifusión para enviar actualizaciones de tabla de
enrutamiento.

Comandos del Protocolo de Información de Enrutamiento (RIP)


La tabla siguiente es un catálogo de comandos de enrutamiento soportados por RIP v1 y RIP v2 que pueden
ser usados para crear o modificar un archivo de configuración de enrutamiento. Si usa RIP v2, debe incluir
la Subnet Mask con cualquier comando que usa una dirección IP de red o el RIP v2 no funcionará. Las
secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.

Sección Comando Descripción

Defina una contraseña simple o una autenticación MD5 en una interfaz

interfaz eth[N] Comience sección para definir

Tipo de autenticación para interfaz

ip rip cadena autenticación


Definir contraseña de autenticación de rip
[CONTRASEÑA]

clave [CLAVE] Definir nombre de clave MD5

clave [ENTERO] Definir número de clave MD5

cadena-clave [CLAVE-AUT] Definir clave de autenticación de MD5

ip rip modo autenticación md5 Usar autenticación MD5

ip rip modo autenticación clave


Definir clave de autenticación de MD5
[CLAVE]

Configurar demonio de enrutamiento RIP

router rip Activar demonio de RIP

188 Fireware XTM Web UI


Dynamic Routing

Sección Comando Descripción

Definir versión RIP en 1 o 2 (versión 2


versión [1/2]
predeterminada)

ip rip enviar versión [1/2] Definir RIP para enviar versión 1 ó 2

ip rip recibir versión [1/2] Definir RIP para recibir versión 1 ó 2

no ip split-horizon Desactivar split-horizon; activado por defecto

Configurar interfaces y redes

no red eth [N]

interfaz-pasiva eth[N]

interfaz-pasiva predeterminada

red [A.B.C.D/M]

vecino [A.B.C.D/M]

Distribuir rutas a puntos RIP e inyectar rutas OSPF o BGP a la tabla de enrutamiento RIP

información-predeterminada Compartir ruta de último recurso (ruta


originar predeterminada) con puntos RIP

redistribuir núcleo Redistribuir rutas estáticas de firewall a puntos RIP

redistribuir conectado Redistribuir rutas de todas las interfaces a puntos RIP

redistribuir mapa-ruta conectado Redistribuir rutas de todas las interfaces hacia puntos
[NOMBREMAPA] RIP, con un filtro de mapa de ruta (nombremapa)

redistribuir ospf Redistribuir rutas de OSPF a RIP

redistribuir mapa-ruta ospf Redistribuir rutas desde OSPF a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).

redistribuir bgp Redistribuir rutas de BGP a RIP

redistribuir mapa-ruta bgp Redistribuir rutas desde BGP a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).

Configurar filtros de redistribución de rutas con mapas de ruta y listas de acceso

lista-acceso [PERMITIR|NEGAR] Crear una lista de acceso para permitir o negar la


[NOMBRELISTA] [A,B,C,D/M | redistribución de solo una dirección IP o todas las
CUALQUIERA] direcciones IP

ruta-mapa [NOMBREMAPA] Crear un mapa de ruta con un nombre y permitir


permitir [N] otorgando prioridad de N

coincidir dirección ip
[NOMBRELISTA]

Guía del Usuario 189


Dynamic Routing

Configurar el Firebox para usar RIP v1


1. Seleccionar Red > Dynamic Routing.
Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaña RIP.

4. Seleccione Activar .

5. Copie y pegue el texto del archivo de configuración del demonio de enrutamiento en la ventana.
6. Haga clic en Guardar.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la


página 187.

Permitir tráfico de RIP v1 a través del Firebox


Debe agregar y configurar una política para permitir difusiones de RIP desde en enrutador hacia la dirección
IP de difusión de red. También debe añadir la dirección IP de la interfaz de Firebox en el campo Para.

190 Fireware XTM Web UI


Dynamic Routing

1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.


Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.
3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección
de red o IP del enrutador que usa RIP hacia la interfaz Firebox que se conecta. También debe
agregar la dirección IP de difusión de red.
4. Haga clic en Guardar.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador están enviando actualizaciones el uno al otro.

Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces
correctas.

Configurar el Firebox para usar RIP v2


1. Seleccionar Red > Dynamic Routing.
Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaña RIP.

Guía del Usuario 191


Dynamic Routing

4. Seleccione Activar .

5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.


6. Haga clic en Guardar.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la


página 187.

Permitir tráfico de RIP v2 a través del Firebox


Debe añadir y configurar una política para permitir multidifusiones de RIP v2 de los enrutadores que tienen
RIP v2 activado, hacia la dirección reservada de multidifusión para RIP v2.

1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.


Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.
3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección
de red o IP del enrutador usando RIP hacia la dirección IP de multidifusión 224.0.0.9.
4. Haga clic en Guardar.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador están enviando actualizaciones el uno al otro.

Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces
correctas.

Muestra de archivo de configuración del enrutamiento RIP


Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un
archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo
de configuración para el demonio de enrutamiento de RIP. Si desea usar este archivo de configuración
como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas
o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las
necesidades de su empresa.

Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Configurar claves de autenticación MD5.
! Definir el nombre de la clave de autenticación MD5 (CLAVE), el número de la
clave (1),
! y la cadena de la clave de autenticación (CLAVEAUT).
! clave CLAVE
! clave 1 ! cadena-clave CLAVEAUT
!! SECCIÓN 2: Configure las propiedades de interfaz.
! Definir autenticación para interfaz (eth1).
! interfaz eth1
!
! Definir la contraseña de autenticación simple de RIP (CLAVECOMPARTIDA).
! ip rip cadena de autenticación CLAVECOMPARTIDA
!
! Definir autenticación MD5 de RIP y clave MD5 (CLAVE).
! ip rip modo autenticación md5

192 Fireware XTM Web UI


Dynamic Routing

! ip rip clave autenticación CLAE


!
!! SECCIÓN 3: Configure propiedades globales del demonio de RIP.
! Activar demonio de RIP. Debe estar activado para todas las configuraciones de
RIP. router rip
!
! Definir versión RIP en 1; la predeterminada es la versión 2.
! versión 1
!
! Definir RIP para enviar o recibir versión 1; la predeterminada es la versión 2.
! ip rip enviar versión 1
! ip rip recibir versión 1
!
! Desactivar split-horizon para evitar bucles de enrutamiento. Predeterminado
está activado.
! no ip split-horizon
!! SECCIÓN 4: Configurar interfaces y redes.
! Desactivar enviar y recibir RIP en interfaz (eth0).
! no red eth0
!
! Definir RIP para sólo-recibir en interfaz (eth2).
! interfaz-pasiva eth2
!
! Definir RIP para sólo-recibir en todas las interfaces.
! interfaz-pasiva predeterminada
!
! Activar difusión (versión 1) o multidifusión (versión 2) de RIP en
! red (192.168.253.0/24). !red 192.168.253.0/24
!
! Definir actualizaciones de tabla de enrutamiento de unidifusión para vecino
(192.168.253.254).
! vecino 192.168.253.254
!! SECCIÓN 5: Redistribuir rutas de RIP para puntos e inyectar OSPF o BGP
!! rutas a tabla de enrutamiento RIP.
! Compartir ruta del último recurso (ruta predeterminada) de la tabla de
enrutamiento de núcleo
! con puntos RIP
! información-predeterminada originar
!
! Redistribuir rutas estáticas de firewall a puntos RIP.
! redistribuir núcleo
!
! Definir mapas de ruta (NOMBREMAPA) para restringir la redistribución de rutas
en Sección 6.
! Redistribuir rutas de todas las interfaces hacia puntos RIP o con un mapa de ruta
! filtro (NOMBREMAPA).
! redistribuir conectado
! redistribuir mapa-ruta conectado NOMBREMAPA
!
! Redistribuir rutas desde OSPF a RIP o con un filtro de mapa de ruta
(NOMBREMAPA).
! redistribuir ospf !redistribuir ospf mapa-ruta NOMBREMAPA
!

Guía del Usuario 193


Dynamic Routing

! Redistribuir rutas desde BGP a RIP o con un filtro de mapa de ruta


(NOMBREMAPA).
! redistribuir bgp !redistribuir bgp mapa-ruta NOMBREMAPA
!! SECCIÓN 6: Configurar filtros de redistribución de rutas con mapas de ruta y
!! listas de acceso.
! Crear una lista de acceso para sólo permitir redistribución de 172.16.30.0/24.
! lista-acceso NOMBRELISTA permitir 172.16.30.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10.
! ruta-mapa [NOMBREMAPA] permitir 10
! coincidir dirección ip NOMBRELISTA

Acerca del Protocolo "Abrir Camino Más Curto


Primero" (OSPF)
Nota El soporte para ese protocolo está disponible sólo en el Fireware XTM con
actualización Pro.

El OSPF (Abrir camino más curto primero) es un protocolo de enrutador interior usado en grandes redes.
Con el OSPF, un enrutador que ve una alteración en su tabla de enrutamiento o que detecta un cambio en
la red inmediatamente envía una actualización de multidifusión a todos los otros enrutadores en la red.
OSPF es diferente del RIP porque:

n El OSPF envía sólo la parte de la tabla de enrutamiento que fue alterada en la transmisión. El RIP
envía la tabla de enrutamiento completa todas las veces.
n El OSPF envía una multidifusión sólo cuando su información fue alterada. El RIP envía una tabla de
enrutamiento a cada 30 segundos.

Además, observe lo siguiente acerca de OSPF:

n Si tiene más de un área de OSPF, una debe ser área 0.0.0.0 (el área del backbone).
n Todas las áreas deben ser adyacentes al área de backbone. Si no lo son, debe configurar un enlace
virtual al área de backbone.

Comandos de OSPF
Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento soportados por OSPF. Las
secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.
También puede usar el texto de muestra encontrados en Muestra de archivo de configuración del
enrutamiento OSPF en la página 199.

Sección Comando Descripción

Configurar interfaz

ip ospf clave-autenticación
Definir contraseña de autenticación de OSPF
[CONTRASEÑA]

interfaz eth[N] Iniciar sección para definir propiedades para

194 Fireware XTM Web UI


Dynamic Routing

Sección Comando Descripción

interfaz

ip ospf clave-resumen-mensaje Definir clave e ID de clave de autenticación de


[CLAVE-ID] md5 [CLAVE] MD5

Definir costo de enlace para la interfaz (ver tabla


ip ospf costo [1-65535]
de Costo de Interfaz OSPF abajo)

Definir intervalo para enviar paquetes de hello; el


ip ospf hello-intervalo [1-65535]
predeterminado es de 10 segundos

Definir intervalo después del último hello de un


ip ospf intervalo-muerto [1-65535] vecino antes de declararlo inactivo; el
predeterminado es de 40 segundos.

Definir intervalo entre retransmisiones de


ip ospf intervalo-retransmitir [1-
anuncios de enlace-estado (LSA); el
65535]
predeterminado es de 5 segundos.

Definir tiempo requerido para enviar


ip ospf transmitir-retraso [1-3600] actualización de LSA; el predeterminado es de 1
segundo.

Definir prioridad de ruta; valor alto aumenta la


ip ospf prioridad [0-255] elegibilidad de volverse en enrutador asignado
(DR, en sus siglas en inglés)

Configurar Demonio de Enrutamiento de OSPF

enrutador ospf Activar demonio OSPF

definir ID de enrutador para OSPF manualmente;


ospf enrutador-id [A.B.C.D] enrutador determina su propio ID caso no esté
definido

Activar compatibilidad RFC 1583 (puede llevar a


compatibilidad ospf rfc 1583
bucles de ruta)

ospf abr-tipo Más información acerca de ese comando puede


[cisco|ibm|accesodirecto|estándar] ser encontrada en el archivo draft-ietf-abr-o5.txt

interfaz-pasiva eth[N] Desactivar anuncio de OSPF en interfaz eth[N]

ancho de banda de referencia de Definir costo global (vea tabla de costo de OSPF
costo-auto[0-429495] abajo); no use con el comando "ip ospf [COSTO]"

temporizadores spf [0- Definir cronograma de tiempo de retraso y


4294967295][0-4294967295] espera de OSPF

Activar OSPF en una Red

*La variable "área" puede ser ingresada en dos formatos:

Guía del Usuario 195


Dynamic Routing

Sección Comando Descripción

[W.X.Y.Z]; o como un número entero [Z].

Anunciar OSPF en la red


red [A.B.C.D/M] área [Z]
A.B.C.D/M para área 0.0.0.Z

Configurar propiedades para área de backbone u otras áreas

La variable "área" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un número entero [Z].

Crear área 0.0.0.Z y definir una red con clase para


área [Z] rango [A.B.C.D/M] el área (las configuraciones de máscara y red de
interfaz y rango deberían coincidir)

área [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para área 0.0.0.Z

área [Z] stub Definir área 0.0.0.Z como stub

área [Z] stub no-summary

Activar autenticación de contraseña simple para


área [Z] autenticación
área 0.0.0.Z

área [Z] resumen de mensaje de


Activar autenticación MD5 para área 0.0.0.Z
autenticación

Redistribuir rutas OSPF

información-predeterminada Compartir ruta de último recurso (ruta


originar predeterminada) con OSPF

Compartir ruta del último recurso (ruta


información-predeterminada
predeterminada) con OSPF, y añadir una métrica
originar métrica [0-16777214]
usada para generar la ruta predeterminada

información-predeterminada Compartir siempre la ruta de último recurso (ruta


originar siempre predeterminada)

información-predeterminada Compartir siempre ruta del último recurso (ruta


originar siempre métrica [0- predeterminada), y añadir una métrica usada para
16777214] generar la ruta predeterminada

redistribuir conectado Redistribuir rutas de todas las interfaces a OSPF

Redistribuir rutas de todas las interfaces a OSPF y


redistribuir métricas conectadas
una métrica usada para la acción

Configurar redistribución de rutas con Listas de Acceso


y Mapas de Ruta

lista-acceso [NOMBRELISTA] Crear una lista de acceso para permitir la


permiso [A.B.C.D/M] distribución a A.B.C.D/M

196 Fireware XTM Web UI


Dynamic Routing

Sección Comando Descripción

listas-acceso [NOMBRELISTA] negar Restringir distribución de cualquier mapa de ruta


todos especificado arriba

ruta-mapa [NOMBREMAPA] Crear un mapa de ruta con el [NOMBREMAPA] de


permitir [N] nombre y permitir otorgando prioridad de [N]

coincidir dirección ip
[NOMBRELISTA]

Tabla de Costo de Interfaz de OSPF


El protocolo OSPF encuentra la ruta más eficiente entre dos puntos. Para eso, mira los factores como
velocidad de enlace de la interfaz, el número de salto entre puntos y otros indicadores. Por defecto, OSPF
usa la velocidad de enlace real de un dispositivo para calcular el costo total de una ruta. Puede definir el
costo de la interfaz manualmente para ayudar a maximizar la eficiencia si, por ejemplo, su firewall basado
en gigabytes está conectado a un enrutador de 100M. Use los números en esa tabla para definir
manualmente el costo de interfaz en un valor diferente del costo real de interfaz.

Tipo de Ancho de banda en Ancho de banda en Costo de Interfaz de


interfaz bits/segundo bytes/segundo OSPF

Ethernet 1G 128M 1

Ethernet 100M 12.5M 10

Ethernet 10M 1.25M 100

Módem 2M 256K 500

Módem 1M 128K 1000

Módem 500K 62.5K 2000

Módem 250K 31.25K 4000

Módem 125K 15625 8000

Módem 62500 7812 16000

Serial 115200 14400 10850

Serial 57600 7200 21700

Serial 38400 4800 32550

Serial 19200 2400 61120

Serial 9600 1200 65535

Guía del Usuario 197


Dynamic Routing

Configurar el Firebox para usar OSPF


1. Seleccionar Red > Dynamic Routing.
Configuración de dynamic routing páginaaparece.
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaña OSPF.

4. Seleccione Activar .

5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en


la página 187.
Para empezar, necesita sólo dos comandos en su archivo de configuración de OSPF. Esos dos
comandos, en ese orden, empiezan el proceso de OSPF:
router ospf
red <network IP address of the interface you want the process to listen on and distribute through
the protocol> área <area ID in x.x.x.x format, such as 0.0.0.0>

198 Fireware XTM Web UI


Dynamic Routing

6. Haga clic Guardar.

Permitir tráfico de OSPF a través del Firebox


Debe añadir y configurar una política para permitir multidifusiones de OSPF de los enrutadores que tienen
OSPF activado, hacia la dirección reservada de multidifusión para OSPF.

1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.


Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.
3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección
de red o IP del enrutador usando OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6.

Para más información acerca de cómo definir las direcciones de origen y destino para una política,
vea Definir reglas de acceso a una política en la página 267.
4. Haga clic en Guardar.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador están enviando actualizaciones el uno al otro.

Entonces puede añadir la autenticación y restringir la política de OSPF para analizar sólo las
interfaces correctas.

Muestra de archivo de configuración del enrutamiento OSPF


Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un
archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo
de configuración para el demonio de enrutamiento de OSPF. Si desea usar este archivo de configuración
como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas
o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las
necesidades de su empresa.

Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Configure las propiedades de interfaz.
! Definir propiedades para interfaz eth1.
! interfaz eth1
!
! Definir la contraseña de autenticación simple (CLAVECOMPARTIDA).
! ip ospf clave-autenticación CLAVECOMPARTIDA
!
! Definir el IP de clave de autenticación MD5 (10) y clave de autenticación MD5
(CLAVEAUT).
! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT
!
! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.
! para tabla de costo de enlace OSPF. ! ip ospf costo 1000
!
! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10
segundos.
! ip ospf intervalo-hello 5

Guía del Usuario 199


Dynamic Routing

!
! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40
segundos.
! ip ospf intervalo-muerto 15
!
! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)
! en 10 segundos (1-65535); el predeterminado es 5 segundos.
! ip ospf intervalo-retransmitir 10
!
! Definir intervalo de actualización LSA en 3 segundos (1-3600); el
predeterminado es 1 segundo.
! ip ospf transmitir-retraso 3
!
! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en
! enrutador asignado (DR).
! ip ospf prioridad 255
!! SECCIÓN 2: Iniciar OSFP y definir propiedades de demonio.
! Activar demonio OSPF. Debe estar activado para todas las configuraciones
de OSPF.
! router ospf
!
! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el
firewall lo hará
! definir el propio ID basado en una dirección IP de interfaz.
! ospf router-id 100.100.100.20
!
! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de
enrutamiento).
! ospf rfc1583compatibilidad
!
! Definir tipo de enrutador de adyacencia de área (ABR) en cisco, ibm, acceso
directo o estándar.
! Más información acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.
! ospf abr-tipo cisco
!
! Desactivar anuncio de OSPF en interfaz eth0.
! interfaz pasiva eth0
!
! Definir costo global en 1000 (0-429495).
! ancho de banda de referencia de costo-auto 1000
!
! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener
! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores
spf 25 20
!! SECCIÓN 3: Definir propiedades de área y red. Definir áreas con notación
W.X.Y.Z
!! o Z.
! Anunciar OSPF en la red 192.168.253.0/24 para área 0.0.0.0.
! red 192.168.253.0/24 área 0.0.0.0
!
! Crear área 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)
! para el área (configuraciones de red de interfaz y rango deben coincidir).
! área 0.0.0.1 rango 172.16.254.0/24
!

200 Fireware XTM Web UI


Dynamic Routing

! Definir vecino de enlace virtual (172.16.254.1) para área 0.0.0.1.


! área 0.0.0.1 enlace-virtual 172.16.254.1
!
! Definir área 0.0.0.1 como stub en todos los enrutadores en área 0.0.0.1.
! área 0.0.0.1 stub
!
! área 0.0.0.2 stub sin-resumen
!
! Activar autenticación de contraseña simple para área 0.0.0.0.
! área 0.0.0.0 autenticación
!
! Activar autenticación MD5 para área 0.0.0.1.
! área 0.0.0.1 resumen-mensaje autenticación
!! SECCIÓN 4: Redistribuir rutas de OSPF
! Compartir ruta del último recurso (ruta predeterminada) de la tabla de
enrutamiento de núcleo
! con puntos OSPF.
! información-predeterminada originar
!
! Redistribuir rutas estáticas a OSPF.
! redistribuir núcleo
!
! Redistribuir rutas de todas las interfaces a OSPF.
! redistribuir conectado
! redistribuir mapa-ruta conectado
! ! Redistribuir rutas de RIP y BGP y OSPF.
! redistribuir rip !redistribuir bgp
!! SECCIÓN 5: Configurar filtros de redistribución de rutas con listas de acceso
!! y mapas de ruta.
! Crear una lista de acceso para sólo permitir redistribución de 10.0.2.0/24.
! lista-acceso NOMBRELISTA permitir 10.0.2.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando una
prioridad de 10 (1-199).
! ruta-mapa [NOMBREMAPA] permitir 10
! coincidir dirección ip NOMBRELISTA

Acerca del Border Gateway Protocol (BGP)


Nota El soporte para ese protocolo está disponible sólo en Fireware XTM con una
actualización Pro en los dispositivos Core e-Series, Peak e-Series o XTM.

El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de
enrutadores para compartir información de enrutamiento. El BGP usa parámetros de ruta o atributos para
definir políticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que
divulgue más de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos
redundantes y puede aumentar su tiempo de actividad.

Guía del Usuario 201


Dynamic Routing

Los hosts que usan BGP usan TCP para enviar información de tabla de enrutamiento actualizada cuando un
host encuentra una alteración. El Host envía sólo la parte de la tabla de enrutamiento que tiene la
alteración. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de
enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM está definido
en 32 K.

El volumen de la red de área amplia (WAN) típica del cliente WatchGuard es más adecuado para el dynamic
routing de OSPF. Una WAN también puede usar el border gateway protocol externo (EBGP) cuando más de
una puerta de enlace hacia Internet esté disponible. EBGP le permite aprovechar al máximo la posible
redundancia con una red "multi-homed".

Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Debe obtener un
ASN junto a uno de los registros regionales en la tabla abajo. Después de que se le asigne su propio ASN,
debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.

Región Nombre del registro Sitio web

Norte América RIN www.arin.net

Europa RIPE NCC www.ripe.net

Asia-Pacífico APNIC www.apnic.net

América Latina LACNIC www.lacnic.net

África AfriNIC www.afrinic.net

Comandos BGP
Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento de BGP. Las secciones deben
aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.

No use los parámetros de configuración de BGP que no reciba de su ISP.

Sección Comando Descripción

Configurar daemon de enrutamiento de BGP

Activar el daemon BGP y definir número de sistema


bgp enrutado [ASN]
autónomo (ASN); eso es provisto por su ISP

Anunciar BGP en la red


red [A.B.C.D/M]
A.B.C.D/M

sin red [A.B.C.D/M] Desactivar anuncios de BGP en la re A.B.C.D/M

Definir propiedades de vecinos

vecino [A.B.C.D] remoto-como


Definir vecino como miembro de ASN remoto
[ASN]

Definir vecino en otra red usando "multi-hop" (multi-salto)


vecino [A.B.C.D] ebgp-multihop
de EBGP

202 Fireware XTM Web UI


Dynamic Routing

Sección Comando Descripción

vecino [A.B.C.D] versión 4 o Definir versión de BGP (4, 4+, 4-) para comunicación con
posterior vecino; la predeterminada es la 4

vecino [A.B.C.D] actualizar- Definir la sesión BGP para que use una interfaz específica
fuente [PALABRA] para las conexiones TCP

vecino [A.B.C.D]
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
predeterminado-originar

Definir puerto TCP personalizado para comunicarse con


vecino [A.B.C.D] puerto 189
vecino BGP [A,B,C,D]

vecino [A.B.C.D] enviar-


Determinar punto enviar-comunidad
comunidad

Definir peso predeterminado para las rutas de vecino


vecino [A.B.C.D] peso 1000
[A.B.C.D]

vecino [A.B.C.D] máximo-prefijo Definir número máximo de prefijos permitidos a partir de


[NÚMERO] este vecino

Listas de comunidades

lista-comunidad ip [<1- Especificar comunidad para que acepte el número de


99>|<100-199>] permitir sistema autónomo y número de red separados por dos
AA:NN puntos

Filtrado de punto

vecino [A.B.C.D] distribuir-lista


[NOMBRELISTA] Definir distribución de lista y dirección para punto
[ENTRAR|SALIR]

vecino [A.B.C.D] prefijo-lista


Para aplicar una lista de prefijos para coincidir con los
[NOMBRELISTA]
anuncios entrantes o clientes para ese vecino
[ENTRAR|SALIR]

vecino [A.B.C.D] filtro-lista


Para coincidir una lista de acceso de camino de sistema
[NOMBRELISTA]
autónomo a rutas entrantes y salientes
[ENTRAR|SALIR]

vecino [A.B.C.D] ruta-mapa


[NOMBREMAPA] para aplicar un mapa de ruta a rutas entrantes o salientes
[ENTRAR|SALIR]

Redistribuir rutas a BGP

redistribuir núcleo Redistribuir rutas estáticas a BGP

redistribuir rip Redistribuir rutas RIP a BGP

Guía del Usuario 203


Dynamic Routing

Sección Comando Descripción

redistribuir ospf Redistribuir rutas OSPF a BGP

Reflexión de ruta

Para configurar el ID del cluster si el cluster de BGP tiene


bgp cluster-id A.B.C.D
más de un reflector de ruta

vecino [W.X.Y.Z] ruta-reflector- Para configurar el enrutador como reflector de ruta BGP y
cliente configurar el vecino especificado como su cliente

Listas de acceso y listas de prefijos IP

ip prefijo-listas PRELISTA
Definir lista de prefijos
permitir A.B.C.D/E

acceso-lista NOMBRE
Definir lista de acceso
[negar|permitir] A.B.C.D/E

ruta-mapa [NOMBREMAPA] En conjunción con los comandos "coincidir" y "definir", eso


permitir [N] define las condiciones y acciones para redistribuir rutas

coincidir dirección ip lista-


Coincide el acceso-lista especificado
prefijo [NOMBRELISTA]

definir comunidad [A:B] Definir el atributo de comunidad BGP

coincidir comunidad [N] Coincide la comunidad_lista especificada

Definir el valor de preferencia para la ruta de sistema


definir local-preferencia [N]
autónomo

Configurar el Firebox para usar el BGP


Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Para más
informaciones, vea Acerca del Border Gateway Protocol (BGP) en la página 201.

1. Seleccionar Red > Dynamic Routing.


Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaña BGP.

204 Fireware XTM Web UI


Dynamic Routing

4. Seleccione Activar .
5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en


la página 187.
Para empezar, necesita sólo tres comandos en su archivo de configuración de BGP. Esos tres
comandos, inicie el proceso de BGP, configurar una relación de punto con el ISP y cree una ruta para
una red hacia Internet. Debe usar los comandos en ese orden.
BGP de enrutador: Número del sistema autónomo de BGP provisto por su
red de ISP: dirección IP de red a la cual desea divulgar una ruta desde el vecino de Internet
: <IP address of neighboring BGP router> remoto-como <BGP autonomous number>
6. Haga clic en Guardar.

Permitir tráfico de BGP a través del Firebox


Debe añadir y configurar una política para permitir el tráfico de BGP hacia del Firebox desde las redes
aprobadas. Esas redes deben ser las mismas definidas en su archivo de configuración de BGP.

Guía del Usuario 205


Dynamic Routing

1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.


Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione BGP. Haga clic en Agregar.
3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección
de red o IP del enrutador que usa BGP hacia la interfaz Firebox que se conecta. También debe
agregar la dirección IP de difusión de red.
4. Haga clic en Guardar.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador están enviando actualizaciones el uno al otro.

Entonces puede añadir la autenticación y restringir la política de BGP para analizar sólo las interfaces
correctas.

Muestra de archivo de configuración del enrutamiento BGP


Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de
archivo de configuración para el demonio de enrutamiento de BGP. Si desea usar este archivo de
configuración como base para su propio archivo de configuración, copie el texto en una aplicación como el
Bloc de Notas o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para
atender a las necesidades de su empresa.

Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP
! Activar BGP y definir ASN local en 100 enrutador bgp 100
! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la sección 2
64.74.30.0/24

!! SECCIÓN 2: Propiedades de vecinos


! Definir vecino (64.74.30.1) como miembro de ASN remoto (200)
! vecino 64.74.30.1 remoto-como 200
! Definir vecino (208.146.43.1) en otra red usando "multi-hop" (multi-salto)
de EBGP
! vecino 208.146.43.1 remoto-como 300
! vecino 208.146.43.1 ebgp-multihop
! Definir versión de BGP (4, 4+, 4-) para comunicación con vecino; la
predeterminada es la 4
! vecino 64.74.30.1 versión 4+
! Anunciar ruta predeterminada para vecino BGP (64.74.30.1)
! vecino 64.74.30.1 predeterminada-originar
! Definir puerto TCP personalizado 189 para comunicarse con vecino BGP
(64.74.30.1). Puerto predeterminado es TCP 179
! vecino 64.74.30.1 puerto 189
! Determinar punto enviar-comunidad
! vecino 64.74.30.1 enviar-comunidad
! Definir peso predeterminado para las rutas de vecino (64.74.30.1)
! vecino 64.74.30.1 peso 1000
! Definir número máximo de prefijos permitidos a partir de este vecino

206 Fireware XTM Web UI


Dynamic Routing

no 64.74.30.1 NÚMERO máximo-prefijo

CIÓN 3: Definir listas de comunidades


! lista-comunidad ip 70 permitir 7000:80

CIÓN 4: Filtrado de anuncios


! Definir distribución de lista y dirección para punto
! vecino 64.74.30.1 distribuir-lista NOMBRELISTA [entrar|salir]
! Para aplicar una lista de prefijos para coincidir con los anuncios entrantes o
clientes para ese vecino
! vecino 64.74.30.1 prefijo-lista NOMBRELISTA [entrar|salir]
! Para coincidir una lista de acceso de camino de sistema autónomo a rutas
entrantes y salientes
! vecino 64.74.30.1 filtro-lista NOMBRELISTA [entrar|salir]
! para aplicar un mapa de ruta a rutas entrantes o salientes
! vecino 64.74.30.1 ruta-mapa NOMBREMAPA [entrar|salir]

CCIÓN 5: Redistribuir rutas a BGP


! Redistribuir rutas estáticas a BGP
! Redistribuir núcleo
! Redistribuir rutas RIP a BGP
! Redistribuir rip
! Redistribuir rutas OSPF a BGP

! Redistribuir ospf

CCIÓN 6: Reflexión de ruta
! Definir ID de clúster y firewall como un cliente de servidor de reflector de ruta
51.210.0.254
! bgp clúster-id A.B.C.D
! vecino 51.210.0.254 ruta-reflector-cliente

!! SECCIÓN 7: Listas de acceso y listas de prefijos IP


! Definir lista de prefijos
! ip prefijo-lista PRELISTA permitir 10.0.0.0/8
! Definir lista acceso!acceso-lista NOMBRE negar 64.74.30.128/25
! acceso-lista NOMBRE permitir 64.74.30.0/25
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10
! ruta-mapa [NOMBREMAPA] permitir 10
! coincidir dirección ip prefijo-lista NOMBRELISTA
! definir comunidad 7000:80

Guía del Usuario 207


Dynamic Routing

Guía del Usuario 208


11 Autenticación

Acerca de la autenticación de usuario


La autenticación de usuario es un proceso que descubre si un usuario es quien se declaró ser y averigua los
privilegios asignados a dicho usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre de
usuario y una frase de contraseña. Cada cuenta de usuario está asociada a una dirección IP. Esa combinación
de nombre de usuario, frase de contraseña y dirección IP ayuda el administrador del dispositivo a
monitorear las conexiones a través del dispositivo. Con la autenticación, los usuarios pueden iniciar sesión
en la red desde cualquier equipo, pero acceder sólo a los protocolos y puertos de red a los cuales estén
autorizados. Firebox puede también mapear las conexiones que se inician desde una dirección IP
determinada y también transmitir el nombre de la sesión mientras el usuario está autenticado.

Puede crear políticas de firewall para dar acceso a recursos específicos de red a usuarios y grupos. Eso es
útil en los ambientes de red donde varios usuarios comparten un único equipo o dirección IP.

Puede configurar su Firebox como servidor de autenticación local o usar su servidor de Active Directory
Authentication, LDAP o RADIUS existente. Cuando usa la autenticación de Firebox por el puerto 4100, los
privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticación de
terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticación de
terceros están basados en la participación en un grupo.

La función de autenticación de usuario de WatchGuard permite que un nombre de usuario esté asociado a
una dirección IP específica para ayudarlo a autenticarse y rastrear conexiones de usuarios a través del
dispositivo. Con el dispositivo, la pregunta fundamental que cada conexión realiza es "¿debo permitir el
tráfico de la origen X hacia el destino Y?" Para que la función de autenticación de WatchGuard funcione
correctamente, la dirección IP del equipo del usuario no debe cambiar mientras el usuario esté autenticado
al dispositivo.

En gran parte de los ambientes, la relación entre una dirección IP y el equipo de usuario es bastante estable
como para ser usada para la autenticación. Los ambientes en los cuales la asociación entre el usuario y una
dirección IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas
desde un servidor de terminal, no suelen ser muy aptos para una utilización exitosa de la función de
autenticación de usuario.

Guía del Usuario 209


Autenticación

WatchGuard soporta control de Autenticación, Cuentas y Acceso (AAA, en sus siglas en inglés) en los
productos de firewall, basado en el asociación estable entre la dirección IP y la personal.

La función de autenticación de usuario de WatchGuard también soporta la autenticación a un dominio de


Active Directory con Single Sign-On (SSO), así como otros servidores comunes de autenticación. Asimismo,
soporta configuraciones de inactividad y límites de duración de sesión. Esos controles restringen el período
de tiempo que una dirección IP puede transmitir tráfico a través de Firebox antes que los usuarios deban
proveer sus contraseñas nuevamente (reautenticarse).

Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de
espera de sesión y quiénes están autorizados a autenticarse, puede mejorar su control de autenticación,
cuentas y control de acceso.

Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de
autenticación.

Usuario pasos de autenticación


Un servidor HTTPS opera en el dispositivo WatchGuard para aceptar las solicitudes de autenticación.

Para autenticarse, un usuario debe conectarse a la página web del portal de autenticación en el dispositivo
WatchGuard.

1. Diríjase a:
https://[dirección IP de la interfaz del dispositivo]:4100/

o
https://[nombre del host del dispositivo]:4100
Aparece la página web de autenticación.
2. Ingrese un nombre de usuario y contraseña.
3. Seleccione el servidor de autenticación en la lista desplegable, si más de un tipo de autenticación
está configurado.
El dispositivo WatchGuard envía el nombre y contraseña al servidor de autenticación usando un PAP (Protocolo
de Autenticación de Contraseña, según sus siglas en inglés).

Cuando autenticado, el usuario está autorizado a usar los recursos aprobados de red.

Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, se
recibe una advertencia de seguridad de su explorador web cuando se autentica.
Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa
advertencia, puede usar un certificado externo o crear un certificado
personalizado que coincida con la dirección IP o domain name usado para la
autenticación.

210 Fireware XTM Web UI


Autenticación

Cerrar manualmente una sesión autenticada


Los usuarios no necesitan esperar que el tiempo de espera de la sesión se agote para cerrar sus sesiones
autenticadas. Pueden cerrar sus sesiones manualmente antes que se agote el tiempo de espera. La página
web de autenticación debe estar abierta para que el usuario cierre una sesión. Si está cerrada, el usuario
debe autenticarse nuevamente para desconectarse.

Para cerrar manualmente una sesión autenticada:

1. Diríjase a la página web del portal de Autenticación:

https://[dirección IP de la interfaz del dispositivo]:4100/


o
https://[nombre del host del dispositivo]:4100

2. Haga clic en Salir.

Nota Si la página web del portal de autenticación está configurada para redireccionar
automáticamente hacia otra página web, el portal lo redirecciona algunos
segundos después que lo abre. Asegúrese de salir antes que la página lo
redireccione.

Administrar usuarios autenticados


Puede usar Fireware XTM Web UI para ver una lista de todos los usuarios autenticados en su dispositivo
WatchGuard y cerrar sesiones para esos usuarios.

Ver usuarios autenticados


Para ver los usuarios autenticados en su dispositivo WatchGuard:

1. Conéctese al Fireware XTM Web UI.


2. Seleccione Estado del sistema > Lista de autenticación.
Aparece una lista de todos los usuarios autenticados en el Firebox.

Cerrar una sesión de usuario


A partir de la navigation bar del Fireware XTM Web UI:

1. Seleccione Estado del sistema > Lista de autenticación.


Aparece una lista de todos los usuarios autenticados en el Firebox.

2. Seleccione uno o más nombres de usuario de la lista.


3. Haga clic con el botón derecho en el(los) nombre(s) de usuario y seleccione Usuario de
desconexión.

Guía del Usuario 211


Autenticación

Use la autenticación para restringir el tráfico


entrante
Una función de la herramienta de autenticación es restringir el tráfico saliente. También puede ser usada
para restringir el tráfico de red entrante. Cuando tiene una cuenta en el dispositivo WatchGuard que tiene
una dirección IP externa pública, puede autenticarse al dispositivo desde un equipo externo al dispositivo.
Por ejemplo, puede insertar esa dirección en su explorador web: https://<IP address of
WatchGuard device external interface>:4100/ .

Después de autenticarse, puede usar las políticas configuradas para usted en el dispositivo.

Para permitir que un usuario remoto se autentique desde la red externa:

1. Seleccione Firewall >Políticas de Firewall.


Aparece la página "Políticas de Firewall".
2. Seleccione la política Autenticación de WatchGuard y haga clic en Editar.
También puede hacer doble clic en la política. Esa política aparece después que se agrega un usuario
o grupo a una configuración de políticas.
Aparece la página "Configuración de Política".
3. En la lista desplegable Conexiones están, asegúrese de que Permitido esté seleccionado
4. Abajo de la ventana De, haga clic en Agregar.
Aparece el cuadro de diálogo "Agregar Dirección".
5. Seleccione Cualquiera de la lista y haga clic en Agregar.
6. Haga clic en OK.
En la ventana "De" aparece "Cualquiera".
7. Abajo del cuadro Para, haga clic en Agregar.
8. Seleccione Firebox en la lista y haga clic en Agregar.
9. Haga clic en OK.
Firebox aparece en la ventana "Para".

Use la autenticación a través de un Firebox de puerta de enlace


El Firebox de puerta de enlace es el dispositivo puesto en su red para proteger su Management Server
contra la Internet.

Para enviar una solicitud de autenticación a través de un Firebox de puerta de enlace a un dispositivo
diferente, debe tener una política que permita el tráfico de autenticación en el dispositivo de puerta de
enlace. Si se niega el tráfico de autenticación en el dispositivo de puerta de enlace, agregar la política de
WG-Autoriz. Esa política controla el tráfico en el puerto TCP 4100. Debe configurar la política para permitir
el tráfico hacia la dirección IP del dispositivo de destino.

Definir valores de autenticación global


Puede definir valores de autenticación global (tales como los valores de tiempo de espera y la página de
autenticación redirecciona).

Para configurar la autenticación:

212 Fireware XTM Web UI


Autenticación

1. Conéctese al Fireware XTM Web UI.


2. Seleccione Configuración >de Autenticación.
Aparece la página "Configuración de Autenticación".

3. Configurar la autenticación tal como se describe en las secciones siguientes.


4. Haga clic en Guardar.

Definir tiempos de espera de autenticación


Puede definir el período de tiempo que los usuarios permanecen autenticados después de cerrar su última
conexión autenticada. Ese tiempo de espera es definido o en el cuadro de diálogo Configuraciones de
Autenticación, o enConfigurar usuario de Firebox página.

Para más informaciones sobre la configuración de autenticación de usuario y Configurar usuario de Firebox
página, vea Definir un nuevo usuario para autenticación en Firebox en la página 225.

Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores
también anulan los tiempos de espera de autenticación global.

Los valores de tiempos de espera de autenticación no se aplican a usuarios de Mobile VPN con PPTP.

Guía del Usuario 213


Autenticación

Tiempo de espera de sesión

El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir
conectado por el tiempo que desee.

Tiempo de espera inactivo

El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo
(sin transmitir cualquier tráfico a la red externa). Si define este campo en cero (0) segundos,
minutos, horas o días, la sesión no termina cuando está inactiva y el usuario puede seguir conectado
por el tiempo que desee.

Permitir múltiples inicios de sesión concomitantes


Puede permitir que más de un usuario se autentique con las mismas credenciales de usuario al mismo
tiempo en un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio.
Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del
primer usuario autenticado con las credenciales. Si no permitir esa función, el usuario no puede
autenticarse en el servidor de autenticación más de una vez al mismo tiempo.

1. Vaya a Configuración de Autenticación página.


2. Seleccione la casilla de verificación Permitir múltiples sesiones de autenticación de firewall de la
misma cuenta.

Para usuarios de Mobile VPN with IPSec y Mobile VPN with SSL, las sesiones de inicio simultáneas de la
misma cuenta siempre son compatibles, esté la casilla seleccionada o no. Esos usuarios deben iniciar sesión
desde diferentes direcciones IP para el inicio de sesión simultáneo, es decir, no pueden usar la misma
cuenta para iniciar sesión si están detrás de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP
no tienen esa restricción.

Limitar sesiones de inicio


En Configuración de Autenticación página, puede imponer un límite de sesión única autenticada por
usuario. Si selecciona esa opción, los usuarios no pueden iniciar sesión en un servidor de autenticación
desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intenta
autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando la sesión
siguiente es autenticada, o si la sesión siguiente es rechazada.

1. Seleccione Imponer a usuarios el límite de una única sesión de inicio.


2. De la lista desplegable, seleccione Rechazar intentos concomitantes de inicio de sesión cuando el
usuario ya está registrado o Cerrar primera sesión cuando el usuario inicia sesión por segunda vez.

214 Fireware XTM Web UI


Autenticación

Direccionarusuariosautomáticamenteal portal deiniciode


sesión
Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar usuarios
automáticamente que no están todavía autenticados al portal de autenticación o solicitarles que naveguen
manualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS.

Redireccionar usuarios automáticamente a la página de autenticación para que se autentiquen.

Al marcar esta casilla de verificación, todos los usuarios que todavía no están autenticados serán
redireccionados automáticamente al portal de inicio de sesión de autenticación cuando intenten
acceder a Internet. Si no seleccionar esa casilla de verificación, los usuarios no autenticados deben
navegar manualmente al portal de inicio de sesión de autenticación.

Para más información acerca de autenticación de usuario, vea Usuario pasos de autenticación en la
página 210.

Guía del Usuario 215


Autenticación

Usar una página de inicio predeterminada personalizada


Al seleccionar la casilla de verificación Redireccionar usuarios automáticamente a la página de
autenticación para solicitar a los usuarios que se autentiquen antes de acceder a Internet, aparece el portal
de autenticación web de Firebox cuando un usuario abre un explorador web. Si desea que el explorador
vaya a una página diferente después que los usuarios inician la sesión con éxito, puede definir un
redireccionamiento.

En Configuración de Autenticación página:

1. Seleccione la casilla de verificación Enviar un redireccionamiento al explorador después de una


autenticación exitosa
2. En el cuadro de texto, ingrese el URL del sitio web al cual desea que los usuarios sean
redireccionados.

Definir tiempos de espera de Sesión de Administración


Use esos campos para definir el período de tiempo que un usuario registrado con privilegios de
lectura/escritura permanece autenticado antes que el dispositivo WatchGuard cierre la sesión.

Tiempo de espera de sesión

El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir
conectado por el tiempo que desee.

Tiempo de espera inactivo

El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo
(sin transmitir cualquier tráfico a la red externa). Si define ese campo en cero (0) segundos, minutos,
horas o días, la sesión no termina cuando el usuario está inactivo y puede seguir conectado por el
tiempo que desee.

Acerca de la política de Autenticación de


WatchGuard (WG-Autoriz)
La política de Autenticación de WatchGuard (WG-Autoriz) es adicionada automáticamente a la configuración
de su dispositivo WatchGuard. La primera política que agrega a la configuración de su dispositivo que tiene
un nombre de grupo o usuario en el campo De en la pestaña Política de la definición de políticas cre una
política WG-Autoriz. Esa política controla el acceso al puerto 4100 en el dispositivo. Los usuarios envían
solicitudes de autenticación al dispositivo a través de ese puerto. Por ejemplo, para autenticarse a un
dispositivo WatchGuard con una dirección IP de 10.10.10.10, ingrese https://10.10.10.10:4100 en la
barra de direcciones del explorador web.

216 Fireware XTM Web UI


Autenticación

Si desea enviar una solicitud de autenticación a través de un dispositivo de puerta de enlace hacia un
dispositivo diferente, puede ser necesario agregar la política WG-Autoriz manualmente. Si el tráfico de
autenticación es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la
política WG-Autoriz. Modifique esa política para permitir el tráfico hacia la dirección IP del dispositivo de
destino.

Para obtener más información sobre cuando modificar la política de autenticación de WatchGuard, vea Use
la autenticación para restringir el tráfico entrante en la página 212.

Acerca de Single Sign-On (SSO)


Cuando los usuarios inician la sesión en los equipos en su red, deben presentar un nombre de usuario y
contraseña. Si usa la autenticación en Active Directory en su Firebox para restringir el tráfico de red saliente
a usuarios o grupos determinados, ellos también deben iniciar sesión nuevamente cuando se autentican
manualmente al dispositivo para acceder a recursos de red, como la Internet. Puede usar Single Sign-On
(SSO) para permitir que usuarios en las redes de confianza o opcional se autentiquen automáticamente al
Firebox cuando inician sesión en sus equipos.

El SSO de WatchGuard es una solución en dos partes, que incluye el agente SSO y los servicios de cliente
SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El
software cliente SSO es opcional y está instalado en el equipo cliente de cada usuario.

El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quién está
registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones
anteriores a WSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la
información recibida para autenticar un usuario en Single Sign-On.

Si el cliente SSO no está instalado, el agente SSO puede obtener más de una respuesta del equipo que
consulta. Eso puede ocurrir si más de un usuario inicia sesión en el mismo equipo, o debido a los accesos
por lotes o servicio que ocurren en el equipo. El agente SSO usa sólo la primera respuesta recibida del
equipo y reporta aquel usuario a Firebox como el usuario que está registrado. El dispositivo puede
comparar la información del usuario con todas las políticas definidas para aquel usuario y/o grupo de
usuarios de una sola vez. El agente SSO, por defecto, pone en caché esos datos por unos 10 minutos para
que no sea necesario generar una consulta para cada conexión.

Cuando el software cliente SSO está instalado, recibe un llamado del agente SSO y devuelve información
precisa sobre el usuario que está actualmente registrado en la estación de trabajo. El agente SSO no
establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque
recibe la información correcta sobre quién está registrado actualmente en un equipo y a cuáles grupos de
Active Directory el usuario pertenece, desde el cliente SSO.

Si trabaja en un ambiente donde más de una persona usa un equipo, recomendamos que instale el
software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe
prestar atención. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus
administrado de modo central) que hayan sido desplegados para que el inicio de sesión se hiciera con las
credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a

Guía del Usuario 217


Autenticación

partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales
de usuarios individuales que inician sesión interactivamente. Además, todos los mensajes de registro
generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el
usuario individual.

Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde
los usuarios se registran a equipos con inicio de sesión por lote o de servicio.
Cuando más de un usuario está asociado a una dirección IP, los permisos de red
pueden no funcionar correctamente. Eso puede representar un riesgo de
seguridad.

Antes de empezar
n Debe tener un Active Directory Server configurado en una red de confianza u opcional.
n Su Firebox debe estar configurado para usar la Active Directory Authentication.
n Cada usuario debe tener una cuenta configurada en el Active Directory Server.
n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO) funcione
correctamente. Si los usuarios se registran a una cuenta que existe sólo en sus equipos locales, sus
credenciales no son verificadas y el Firebox no reconoce que están registrados.
n Si usa un software de firewall de terceros en sus equipos en red, asegúrese de que el puerto TCP
445 (Samba/Windows Network) esté abierto en cada cliente.
n Asegúrese de que la opción de compartir impresoras y archivos esté habilitada en todos los equipos
desde los cuales los usuarios se autentican con SSO.
n Asegúrese de que los puertos NetBIOS y SMS no estén bloqueados en todos los equipos desde los
cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el
puerto TCP 445.
n Asegúrese de que el puerto 4116 esté abierto en los equipos cliente.
n Asegúrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean
miembros del dominio con relaciones de confianza absoluta.

Configurar SSO
Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que también instale el cliente
SSO en los equipos de los usuarios. Aunque sólo pueda usar el SSO con el agente SSO, la seguridad y el
control de acceso aumentan cuando también se usa el cliente SSO.

Para configurar el SSO, siga esos pasos:

1. Instalar el agente de Single Sign-On (SSO) de WatchGuard.


2. Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional, pero recomendado).
3. Activar Single Sign-On (SSO).

Instalar el agente de Single Sign-On (SSO) de WatchGuard


Para usar Single Sign-On (SSO), debe instalar el agente SSO de WatchGuard. El agente SSO es un servicio que
recibe solicitudes de autenticación de Firebox y verifica el estado del usuario con el servidor de Active
Directory. El servicio es ejecutado con el nombre de WathGuard Authentication Gateway en el equipo en
el cual se instala el software agente SSO. Ese equipo debe tener instalado el Microsoft.NET Framework 2.0

218 Fireware XTM Web UI


Autenticación

o versión posterior.

Nota Para usar Single Sign-On en su Firebox, debe instalar el agente SSO en un equipo
dominio con dirección IP estática. Recomendamos que instale el agente SSO en su
controlador de dominio.

Descargar el software del agente SSO


1. Abrir un explorador web e ir a http://www.watchguard.com/.
2. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y número de modelo.
5. Descargue el software WatchGuard Authentication Gateway y guarde el archivo en una ubicación
adecuada.

Antes de instalar
El servicio del agente SSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.
Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente
 SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:

n Agregar la cuenta al grupo Admin de Dominio.


n Convertir Admin de Dominio en un grupo principal.
n Permitir que el inicio de sesión en la cuenta como un servicio.
n Definir contraseña para que nunca caduque.

Instalar el servicio del agente SSO


1. Haga doble clic en WG-Authentication-Gateway.exe para iniciar el Asistente de Configuración del
Authentication Gateway.
En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada página y complete el asistente.

Para el nombre de usuario del dominio, ingrese el nombre de usuario en el formato:


dominio\nombre de usuario . No incluya la parte .com o .net del domain name. Por ejemplo, si el
dominio es mywatchguard.com y se use la cuenta de dominio ssoagente, inserte
mywatchguard\ssoagente .
También puede usar el formato UPN del nombre de usuario:
nombredeusuario@mywatchguard.com . Si usa el formato UPN del nombre de usuario, debe
incluir la parte .com o .net del domain name.
3. Para cerrar el asistente, haga clic en Finalizar.

Después que el asistente concluya, el servicio de WatchGuard Authentication Gateway inicia


automáticamente. Cada vez que el equipo se reinicia, el servicio inicia automáticamente.

Guía del Usuario 219


Autenticación

Instale el cliente de Single Sign-On (SSO) de WatchGuard


Como parte de la solución de Single Sign-On (SSO) de WatchGuard, se puede instalar el cliente SSO de
WatchGuard. El cliente SSO es instalado como un servicio de Windows y ejecutado en la cuenta del Sistema
Local en una estación de trabajo para verificar las credenciales del usuario con sesión iniciada en aquel
equipo. Cuando un usuario intenta autenticarse, el agente SSO envía una solicitud de credenciales de
usuario al cliente SSO. Entonces, el cliente SSO devuelve las credenciales al usuario con sesión iniciada en la
estación de trabajo.

El cliente SSO analiza en el puerto 4116.

Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automáticamente en los
equipos de los usuarios cuando inician sesión en el dominio. Puede usar la Política de Grupo de Active
Directory para instalar el software automáticamente cuando los usuarios inicien sesión en su dominio. Para
obtener más información acerca del despliegue de instalación del software para los objetos de política de
grupo de Active Directory, vea la documentación de su sistema operativo.

Descargar el software cliente SSO


1. Use su explorador web para ir a http://www.watchguard.com/.
2. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y número de modelo.
5. Descargue el software WatchGuard Authentication Client y guarde el archivo en una ubicación
adecuada.

Instale el servicio cliente SSO


1. Haga doble clic en WG-Authentication-Client.msi para iniciar el Asistente de Configuración de
Authentication Client.
En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada página y complete el asistente.

Para ver cuáles unidades están disponibles para instalar el cliente y cuánto espacio está disponible
en cada una de las unidades, haga clic en Costo de Disco.
3. Para cerrar el asistente, haga clic en Cerrar.

El servicio WatchGuard Authentication Client inicia automáticamente cuando el asistente concluye e


inicia siempre que el equipo reinicia.

Activar Single Sign-On (SSO)


Antes de configurar el SSO, debe:

n Configurar su Active Directory Server


n Instalar el agente de Single Sign-On (SSO) de WatchGuard
n Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional)

220 Fireware XTM Web UI


Autenticación

Activar y configurar el SSO


Para activar y configurar el SSO desde Fireware XTM Web UI:

1. Seleccione Single Sign-On por > Autenticación.


Aparece la página "Single Sign-On por Autenticación".

2. Seleccione la casilla de verificación Activar Single Sign-On (SSO) con Active Directory.
3. En el cuadro de texto Dirección IP de Agente SSO , ingrese la dirección IP de su Agente SSO.
4. En el cuadro de texto Poner datos en caché por , ingrese o seleccione el período de tiempo que se
guardan los datos del agente SSO en caché.
5. En la lista Excepciones de SSO , agregar o remover las direcciones IP del host para las cuales no
desea que el dispositivo envíe consultas de SSO.

Para obtener más información sobre excepciones de SSO, vea la sección siguiente.
6. Haga clic Guardar para guardar los cambios.

Definir excepciones de SSO


Si su red incluye dispositivo con direcciones IP que no requieren autenticación, como servidores de red,
servidores de impresoras o equipos que no forman parte del dominio, recomendamos que agregue sus
direcciones IP a la lista de Excepciones de SSO. Cada vez que ocurre una conexión desde uno de esos
dispositivo y la dirección IP para el dispositivo no está en la lista de excepciones, el Firebox contacta al
agente SSO para intentar asociar la dirección IP al nombre de usuario. Eso lleva cerca de 10 segundos. Use
la lista de excepciones para evitar que se produzcan retrasos en cada conexión y que se reduzca el tráfico
de red innecesariamente.

Guía del Usuario 221


Autenticación

Tipos de servidores de autenticación


El sistema operativo de Fireware XTM soporta seis métodos de autenticación:

n Configure su Firebox como servidor de autenticación


n Configurar autenticación de servidor RADIUS
n Configurado autenticación de servidor VASCO
n Configurar autenticación SecurID
n Configurar autenticación LDAP
n Configurar autenticación en Active Directory

Puede configurar uno o más tipos de servidor de autenticación para un dispositivo WatchGuard. Si usa más
de un tipo de servidor de autenticación, los usuarios deben seleccionar el tipo de servidor de autenticación
en una lista desplegable cuando se autentican.

Acerca de la utilización de servidores de autenticación de


terceros
Si usa un servidor de autenticación de terceros, no necesita mantener una base de datos separada en el
dispositivo WatchGuard. Se puede configurar un servidor externo, instalar el servidor de autenticación con
acceso al dispositivo y poner el servidor como resguardo del dispositivo, por seguridad. Se puede entonces
configurar el dispositivo para que reenvíe las solicitudes de autenticación de usuario a ese servidor. Si crea
un grupo de usuarios en el dispositivo que se autentica en un servidor externo, asegúrese de crear un
grupo en el servidor que tenga el mismo nombre que el grupo de usuarios en el dispositivo.

Para configurar un dispositivo WatchGuard para servidores de autenticación externos, vea:

n Configurar autenticación de servidor RADIUS


n Configurado autenticación de servidor VASCO
n Configurar autenticación SecurID
n Configurar autenticación LDAP
n Configurar autenticación en Active Directory

Use un servidor de autenticación de resguardo


Puede configurar un servidor de autenticación principal y de resguardo con cualquier tipo de autenticación
de terceros. Si el dispositivo WatchGuard no puede conectarse al autenticación principal después de tres
intentos, el servidor principal queda marcado como inactivo y se genera un mensaje de alarma. El
dispositivo entonces se conecta con el servidor de autenticación de resguardo.

Si el dispositivo WatchGuard no puede conectarse al servidor de autenticación de resguardo, espera diez


minutos y luego intentar conectarse al servidor de autenticación principal nuevamente. El servidor inactivo
es marcado como activo después que se alcanza el intervalo de tiempo.

222 Fireware XTM Web UI


Autenticación

Configure su Firebox como servidor de


autenticación
Si no usa un servidor de autenticación externo, puede usar el Firebox como servidor de autenticación. Ese
procedimiento divide su empresa en grupos y usuarios para autenticación. Cuando asigne usuarios a grupos,
asegúrese de asociarlos por tarea e información que usan. Por ejemplo, puede tener un grupo para
contabilidad, un grupo de marketing y un grupo de investigación y desarrollo. También puede haber un
grupo de nuevos empleados con acceso a Internet más controlado.

Cuando se crea un grupo, se define el procedimiento de autenticación para los usuarios, el tipo de sistema
e información que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se
puede agregar o quitar usuarios de sus grupos.

El servidor de autenticación de Firebox está activado por defecto. No necesita activarlo antes de agregar
usuarios y grupos.

Tipos de autenticación de Firebox


Puede configurar el Firebox para autenticar usuarios para cuatro tipos diferentes de autenticación:

n Firewall autenticación
n de conexiones de Mobile VPN with PPTP
n Configurar el Firebox para Mobile VPN with IPSec
n Conexiones de Mobile VPN con SSL

Cuando la autenticación tiene éxito, el Firebox enlaza esos elementos:

n Nombre de usuario
n Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro
n Dirección IP del equipo usado para autenticarse
n Dirección IP virtual del equipo usado para conectarse a Mobile VPN

Firewall autenticación
Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica
con Firebox, sus credenciales y dirección IP del equipo son usadas para encontrar si alguna política se aplica
al tráfico que el equipo envía y recibe.

Para crear una cuenta de usuario de Firebox:

1. Definir un nuevo usuario para autenticación en Firebox.


2. Definir un nuevo grupo para autenticación de Firebox y poner el nuevo usuario en aquel grupo.
3. Cree una política que permita el tráfico sólo desde y hacia una lista de nombres o grupos de usuarios
Firebox.
Esa política se aplica sólo si se recibe o envía un paquete a la dirección IP del usuario autenticado.

Para autenticarse con una conexión HTTPS al Firebox a través del puerto 4100:

1. Abra un explorador web y diríjase a:


https://<IP address of a Firebox interface>:4100/

Guía del Usuario 223


Autenticación

2. Ingrese el nombre de usuario y contraseña.


3. Seleccione Dominio en la lista desplegable.
Ese campo sólo aparece si puede elegir más de un dominio.
4. Haga clic en Ingresar.

Si las credenciales son válidas, el usuario será autenticado.

de conexiones de Mobile VPN with PPTP


Al activar Mobile VPN with PPTP en su Firebox, los usuarios incluidos en el grupo de Mobile VPN with PPTP
pueden usar la función de PPTP incluida en el sistema operativo del equipo para establecer una conexión
PPTP con el dispositivo.

Como el Firebox permite la conexión PPTP desde cualquier usuario Firebox que ofrezca las credenciales
correctas, es importante que se haga una política para sesiones de PPTP que incluya sólo usuarios que
desea autorizar el envío de tráfico a través de la sesión PPTP. También puede añadir un grupo o usuario
individual a una política que restrinja el acceso a los recursos detrás de Firebox. Firebox crea un grupo
preconfigurado denominado usuarios PPTP para esa finalidad.

Para configurar una conexión de Mobile VPN con PPTP:

1. En el Fireware XTM Web UI, seleccione VPN>Mobile VPN with PPTP.


2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP.
3. Asegúrese de que la casilla de verificación Usar autenticación RADIUS para autenticar usuarios de
Mobile VPN with PPTP no esté seleccionada. Si la casilla de verificación está seleccionada, el
servidor de autenticación RADIUS autentica la sesión PPTP. Si limpia esa casilla, Firebox autentica la
sesión PPTP.
Firebox averigua si el nombre de usuario y contraseña insertados por el usuario en el cuadro de
diálogo de la conexión de VPN coincide con las credenciales del usuario en la base de datos de
usuarios de Firebox que es miembro del grupo de usuarios PPTP.
Si las credenciales aportadas por el usuario coinciden con una cuenta en la base de datos de usuarios de
Firebox, el usuario es autenticado para una sesión PPTP.
4. Crear una política que permita el tráfico solo desde y hacia una lista de nombres o grupos de
usuarios Firebox.
El Firebox no observa esa política, a no ser que haya tráfico desde o hacia la dirección IP del usuario
autenticado.

Conexiones de Mobile VPN con IPSec


Al configurar su dispositivo WatchGuard para hospedar sesiones de Mobile VPN con IPSec, cree políticas en
su dispositivo y luego use el cliente de Mobile VPN con IPSec para permitir que sus usuarios accedan a su
red. Después de configurar el dispositivo WatchGuard, cada equipo cliente debe ser configurado con el
software cliente de Mobile VPN con IPSec.

Cuando el equipo del usuario está correctamente configurado, el usuario hace la configuración de Mobile
VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de
usuarios de Firebox, y si el usuario está en el grupo de Mobile VPN creado, la sesión de Mobile VPN es
autenticada.

Para configurar la autenticación para Mobile VPN with IPSec:

224 Fireware XTM Web UI


Autenticación

1. Configurar una conexión de Mobile VPN con IPSec.


2. Instalar el software cliente de Mobile VPN con IPSec.

Conexiones de Mobile VPN con SSL


Puede configurar el Firebox para hospedar sesiones de Mobile VPN con SSL. Cuando Firebox está
configurado con una conexión de Mobile VPN with SSL, los usuarios incluidos en el grupo de Mobile VPN
with SSL pueden instalar y usar el software cliente de Mobile VPN con SSL para establecer una conexión SSL.

Como el Firebox permite la conexión SSL desde cualquiera de sus usuarios que ofrezca las credenciales
correctas, es importante que se haga una política para sesiones de SSL que incluya sólo usuarios que desea
autorizar que envíen tráfico a través de la sesión SSL. También se puede agregar esos usuarios a un Grupo
de Usuarios de Firebox y crear una política que permita el tráfico sólo desde ese grupo. Firebox crea un
grupo preconfigurado denominado usuarios SSLVPN para esa finalidad.

Para configurar una conexión de Mobile VPN con SSL:

1. En el Fireware XTM Web UI, seleccione VPN> Mobile VPN with SSL.
Aparece la página "Configuración de Mobile VPN con SSL".
2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.

Definir un nuevo usuario para autenticación en Firebox


1. En el Fireware XTM Web UI, seleccione servidores de >autenticación.
Aparece la página "Servidores de autenticación".
2. En la pestaña Firebox de los Servidores de Autenticación página, haga clic en Agregar abajo de la
lista Usuarios.
Aparece el cuadro de diálogo "Configurar Usuario de Firebox".

Guía del Usuario 225


Autenticación

3. Ingrese el Nombre y (opcional) una Descripción del nuevo usuario.


4. Ingrese y confirme la frase de contraseña que desea que la persona use para autenticarse.

Nota Al definir esa frase de contraseña, los caracteres están enmascarados y no


aparecen en el texto simple de nuevo. Si pierde la frase de contraseña, debe definir
una nueva.

5. En el campo Tiempo de espera de sesión, defina el período máximo de tiempo que el usuario
puede enviar tráfico a la red externa.

La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor
máximo es de 365 días.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras está inactivo (sin transmitir tráfico hacia la red externa).

La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor
máximo es de 365 días.
7. Para agregar un usuario a un Grupo de Autenticación de Firebox, seleccione el nombre de usuario
en la lista Disponible.
8. Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Puede entonces agregar más usuarios.
9. Para cerrar el cuadro de diálogo Configurar usuario de Firebox, haga clic en Aceptar.
Aparece la pestaña "Usuarios de Firebox" con un listado de los nuevos usuarios.

226 Fireware XTM Web UI


Autenticación

Definir un nuevo grupo para autenticación de Firebox


1. En el Fireware XTM Web UI, seleccione servidores de >autenticación.
Aparece la página "Servidores de autenticación".
2. Seleccione la pestaña Firebox.
3. Haga clic en Agregar bajo de la lista Grupos.
Aparece el cuadro de diálogo "Configurar Grupo de Firebox".

4. Ingrese un nombre para el grupo.


5. (Opcional) Ingrese una descripción para el grupo.
6. Para agregar un usuario al grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en
para desplazar el nombre a la lista Miembro.
También puede hacer doble clic en el nombre de usuario en la lista "Disponible".
7. Después de agregar todos los usuarios necesarios al grupo, haga clic en Aceptar.

Ahora puede configurar políticas y autenticación con esos usuarios y grupos, tal como se describe en Use
los usuarios y grupos autorizados en políticas en la página 248.

Configurar autenticación de servidor RADIUS


RADIUS (Servicio de Usuario de Marcado por Autenticación Remota) autentica los usuarios locales y
remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos
central los datos de autenticación de los usuarios, servidores de acceso remoto, puertas de enlace de VPN y
otros recursos.

Para más información acerca de la autenticación por RADIUS, vea Como la autenticación del servidor
RADIUS funciona en la página 230.

Guía del Usuario 227


Autenticación

Clave de autenticación
Los mensajes de autenticación hacia y desde el servidor RADIUS usan una clave de autenticación, no una
contraseña. Esa clave de autenticación, o shared secret, debe ser la misma en el cliente y servidor RADIUS.
Sin esa clave, no puede haber comunicación entre cliente y servidor.

Los métodos de autenticación de RADIUS


Para autenticación por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticación PAP
(siglas en inglés para Protocolo de Autenticación por Contraseña).

Para autenticación con PPTP, RADIUS soporta sólo MSCHAPv2 ( Protocolo de autenticación por desafío
mutuo de Microsoft versión 2).

Antes de empezar
Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticación RADIUS, es necesario
tener esta información:

n Servidor RADIUS principal — dirección IP y puerto RADIUS


n Servidor RADIUS secundario (opcional) — dirección IP y puerto RADIUS
n Secreto compartido — Contraseña que distingue mayúsculas de minúsculas, que sea igual en el
dispositivo WatchGuard y en el servidor RADIUS
n Métodos de autenticación — Defina su servidor RADIUS para permitir el método de autenticación
que su dispositivo WatchGuard utiliza: PAP o MS CHAP v2

Usar la autenticación por servidor RADIUS con su dispositivo


WatchGuard
Para usar la autenticación por servidor RADIUS con su dispositivo WatchGuard, debe:

n Agregar la dirección IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la
documentación de su proveedor RADIUS.
n Activar y especificar el servidor RADIUS en la configuración de su dispositivo WatchGuard.
n Agregar nombres de usuario o nombres de grupo RADIUS a sus políticas.

Para activar y especificar el(los) servidor(es) RADIUS en su configuración:

En Fireware XTM Web UI:

1. Seleccione Servidores >de autenticación.


Aparece la página "Servidores de autenticación".

2. Haga clic en la pestaña servidor RADIUS.

228 Fireware XTM Web UI


Autenticación

3. Para activar el servidor RADIUS y activar los campos en este cuadro de diálogo, seleccione la casilla
de verificación Activar servidor .
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS.
5. En el campo Puerto, asegúrese de que aparezca el número de puerto que RADIUS usa para
autenticación. El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguos
pueden usar puerto 1645.
6. En el frase de contraseña secreta , ingrese el secreto compartido entre el dispositivo WatchGuard y
el servidor RADIUS.
El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor RADIUS.
7. En el cuadro de texto ConfirmarFrase de contraseña, ingrese el secreto compartido nuevamente.
8. Ingrese o seleccione el valor de tiempo de espera.

El valor de tiempo de espera es el período de tiempo que el dispositivo WatchGuard espera la


respuesta del servidor de autenticación antes de intentar establecer una nueva conexión.
9. En el cuadro de texto Reintentos, inserte o seleccione el número de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticación (el tiempo de espera está especificado
arriba) antes de reportar una conexión fallida por un intento de autenticación.
10. En el cuadro de texto atributo Grupo, ingrese o seleccione un valor del atributo. El atributo Grupo
predeterminado es FilterID, que es el atributo 11 de RADIUS.

Guía del Usuario 229


Autenticación

El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de
usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de
autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del
dispositivo WatchGuard.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Este servidor no realizará intentos seguidos de autenticación hasta
que esté marcado como activo nuevamente.
12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaña Configuración del servidor
secundario y seleccione .Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.

Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.

Como la autenticación del servidor RADIUS funciona


RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidor
de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación.
RADIUS es un protocolo cliente-servidor, en el cual Firebox es el cliente y el servidor RADIUS es el servidor.
(El cliente RADIUS a veces es denominado Servidor de Acceso a la Red, o NAS en sus siglas en inglés).
Cuando un usuario intenta autenticarse, Firebox envía un mensaje al servidor RADIUS. Si el servidor RADIUS
está configurado adecuadamente para que Firebox sea un cliente, RADIUS envía un mensaje de aceptar o
rechazar al Firebox (el Servidor de Acceso de Red).

Cuando Firebox usa el RADIUS para un intento de autenticación:

1. El usuario intenta autenticarse, sea a través de una conexión de HTTPS por el explorador al Firebox
por el puerto 4100 o a través de una conexión usando Mobile VPN with PPTP o IPSec. Firebox lee el
nombre de usuario y contraseña.
2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo envía al servidor RADIUS. Firebox
usa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en el
mensaje Acceso-Solicitar.
3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el
Firebox). Si el servidor RADIUS no está configurado para aceptar Firebox como cliente, el servidor
rechaza el mensaje Acceso-Solicitar y no retorna el mensaje.
4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido está correcto, el
servidor encuentra el método solicitado de autenticación en el mensaje Acceso-Solicitar.

230 Fireware XTM Web UI


Autenticación

5. Si el mensaje Acceso-Solicitar usa un método de autenticación permitido, el servidor RADIUS


obtiene las credenciales de usuarios en el mensaje y busca una coincidencia en una base de datos
de usuarios. Si el nombre de usuario y contraseña coinciden con una entrada de la base de datos, el
servidor RADIUS puede obtener información adicional acerca del usuario en la base de datos de
usuarios (tal como la aprobación de acceso remoto, membresía de grupo, horas de conexión, etc.)
6. El servidor RADIUS verifica si tiene una política de acceso o un perfil en su configuración que
coincida con todas las informaciones disponibles sobre el usuario. Caso exista tal política, el servidor
envía una respuesta.
7. Si falla cualquiera de las condiciones anteriores, o si el servidor RADIUS no tiene una política que
coincida, envía un mensaje de Acceso-Rechazar que muestra la falla de autenticación. La transacción
de RADIUS termina y el usuario tiene el acceso negado.
8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS envía un
mensaje Acceso-Aceptar a Firebox.
9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que envía. Si el secreto
compartido no coincide, Firebox rechaza la respuesta de RADIUS.

10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con
el atributo FilterID para poner el usuario en un grupo RADIUS.
11. El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensaje
Acceso-Aceptar. Firebox ignora gran parte de esa información, como los protocolos que el usuario
está permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de
espera de inactividad y otros atributos.
12. El único atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo
RADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para
incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a
un grupo RADIUS.

Para obtener más informaciones sobre grupos RADIUS, vea la siguiente sección.

Acerca de los grupos RADIUS


Al configurar la autenticación RADIUS, puede definir el número del atributo Grupo. Fireware XTM lee el
número del atributo Grupo en Fireware XTM Web UI para decir qué atributo RADIUS lleva la información
de grupo RADIUS. Fireware XTM reconoce sólo el atributo RADIUS número 11, FilterID, como atributo
Grupo. Al configurar el servidor de RADIUS, no altere el valor predeterminado en 11 del número del
atributo de Grupo.

Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese
valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su
configuración de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde
el Firebox pone el usuario.

Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidos
en su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio.
Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por Firebox. Asegúrese de que la cadena de
texto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo
local o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombre
descriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.

Guía del Usuario 231


Autenticación

Utilización práctica de grupos RADIUS


Si su organización tiene muchos usuarios que autenticar, puede facilitar la administración de sus políticas de
Firebox al configurar el RADIUS para que envíe el valor FilterID a muchos usuarios. Firebox pone a todos los
usuarios en un grupo lógico para que sea fácil administrar el acceso de los usuarios. Cuando crea una
política en Fireware XTM Web UI que permita que sólo usuarios autenticados accedan a un recurso de red,
se usa el nombre de grupo RADIUS en vez de agregar una lista de varios usuarios individuales.

Por ejemplo, cuando María se autentica, la cadena FilterID que RADIUS envía es Ventas, así que Firebox
pone a María en el grupo RADIUS de Ventaspor el tiempo que ella esté autenticada. Si los usuarios Juan y
Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes
Acceso-Aceptar para Juan y Alicia, entonces, María, Juan y Alicia están todos en el mismo grupo Ventas.
Puede crear una política en Fireware XTM Web UI que permita al grupo Ventas acceder a un recurso.

Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los
miembros de su organización de soporte interno. También puede crear una política diferente para permitir
que los usuarios de Soporte de TI accedan a recursos.

Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una política de HTTP filtrada.
También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puede
permitir que los usuarios de Soporte de TI accedan a Internet con la política de HTTP no filtrada, para que
puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de
usuario) en el campo De de un política para mostrar cuáles grupos (o cuáles usuarios) pueden usar la
política.

Valores de tiempo de espera y reintentos.


Ocurre una falla de autenticación cuando no se recibe respuesta del servidor RADIUS principal. Después de
tres intentos fallidos de autenticación, el Fireware XTM usa el servidor RADIUS secundario. Ese proceso se
denomina conmutación por error.

Nota Ese número de intentos de autenticación no es el mismo que el número de


reintentos. No es posible alterar el número de intentos de autenticación antes que
ocurra la conmutación por error.

Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox
espera el número de segundos definido en el cuadro Tiempo de espera y entonces envía otro Acceso-
Solicitar. Eso continúa por el número de veces indicado en el cuadro Reintento (o hasta que haya una
respuesta válida). Si no hay una respuesta válida del servidor RADIUS, o si el secreto compartido de RADIUS
no coincide, Fireware XTM lo considera un intento fallido de autenticación.

Después de tres intentos fallidos de autenticación, Fireware XTM usa el servidor RADIUS secundario para el
siguiente intento de autenticación. Si el servidor secundario tampoco logra contestar después de tres
intentos de autenticación, Fireware XTM espera diez minutos para que el administrador corrija el problema.
Después de diez minutos, Fireware XTM intenta usar el servidor RADIUS principal nuevamente.

232 Fireware XTM Web UI


Autenticación

Configurado autenticación de servidor VASCO


La autenticación por el servidor VASCO usa el software VACMAN Middleware para autenticar usuarios
remotos a una red empresarial a través de un ambiente de servidor web o RADIUS. VASCO también soporta
múltiples ambientes de servidor de autenticación. El sistema por token de contraseña única de VASCO
permite eliminar el enlace más débil de su infraestructura de seguridad - el uso de contraseñas estáticas.

Para usar la autenticación por servidor VASCO con su dispositivo WatchGuard, debe:

n Agregar la dirección IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se
describe en la documentación de su proveedor VASCO.
n Activar y especificar el VACMAN Middleware Server en la configuración de su dispositivo
WatchGuard.
n Agregar nombres de usuario y de grupo a las políticas en el Policy Manager.

La autenticación por servidor VASCO es configurada usando las configuraciones del servidor RADIUS. El
cuadro de diálogo Servidores de autenticación no tiene una pestaña separada para servidores VACMAN
Middleware Server.

En Fireware XTM Web UI:

1. Seleccione Servidores >de autenticación.


Aparece la página "Servidores de autenticación".

2. Haga clic en la pestaña RADIUS.

Guía del Usuario 233


Autenticación

3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de diálogo,
seleccione la casilla de verificación Servidor.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del VACMAN Middleware Server.
5. En el cuadro de texto Puerto, asegúrese de que apareza el número de puerto que VASCO usa para
autenticación. El número de puerto predeterminado es 1812.
6. En el cuadro de texto frase de contraseña secreta , inserte el secreto compartido entre el
dispositivo WatchGuard y el VACMAN Middleware Server.

El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo


WatchGuard y en el servidor.
7. En el cuadro de texto Confirmar , ingrese el secreto compartido nuevamente.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar
establecer una nueva conexión.
9. En el cuadro de texto Reintentos , ingrese o seleccione el número de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticación antes de reportar un error de conexión
por un intento de autenticación.
10. Ingrese o seleccione el valor del atributo Grupo. El atributo Grupo predeterminado es FilterID, que
es el atributo 11 de VASCO.

El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo de
usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de
autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del
dispositivo WatchGuard.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no intente conectarse a este
servidor hasta que esté marcado como activo nuevamente.
12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaña Configuraciones
de Servidor Secundario, y seleccione Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.

Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.

Configurar autenticación SecurID


Para usar autenticación por SecurID, debe configurar correctamente los servidores RADIUS, VASCO y
ACE/Server. Los usuarios también deben tener un token y un PIN (número de identificación personal) de
SecurID. Consulte la documentación de SecurID RSA para obtener más información.

En Fireware XTM Web UI:

234 Fireware XTM Web UI


Autenticación

1. Seleccione Servidores >de autenticación.


Aparece la página "Servidores de autenticación".

2. Haga clic en la pestaña SecurID.

3. Seleccione Activar SecurID Server casilla de verificación para activar el servidor SecurID y activar los
campos en ese cuadro de diálogo.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor SecurID.
5. Haga clic en el campo Puerto para subir o bajar, hasta definir el número de puerto para usar en la
autenticación de SecurID.
El número predeterminado es 1812.
6. En el frases de contraseña cuadro de texto, ingrese el secreto compartido entre el dispositivo
WatchGuard y el servidor SecurID. El secreto compartido distingue mayúsculas de minúsculas, y
debe ser igual en el dispositivo WatchGuard y en el servidor SecurID.
7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar
establecer una nueva conexión.
9. En el Reintentos , inserte o seleccione el número de veces que el dispositivo WatchGuard intenta
conectarse al servidor de autenticación antes de reportar una conexión fallida por un intento de
autenticación.
10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.
Recomendamos que no altere ese valor.

Guía del Usuario 235


Autenticación

El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de
usuarios. Cuando el servidor SecurID envía un mensaje al dispositivo WatchGuard al cual el usuario
está autenticado, también envía una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso.
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la
lista desplegable al lado para determinar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no use este servidor hasta que
esté marcado como activo nuevamente, después que se alcance el valor del tiempo muerto.
12. Para agregar un servidor SecurID de resguardo, seleccione la pestaña Configuración del servidor
secundario y seleccione Activar un servidor SecurID secundario.Server .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor SecurID principal y de resguardo.

Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en OKGuardar.

Configurar autenticación LDAP


Puede usar un servidor de autenticación por LDAP (Protocolo de Acceso Liviano al Directorio) para
autenticar los usuarios con el dispositivo WatchGuard. El LDAP es un protocolo abierto para usar servicios
de directorio online, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes de
configurar su dispositivo WatchGuard para la autenticación de LDAP, asegúrese de verificar la
documentación de su proveedor de LDAP para ver si su instalación soporta el atributo memberOf (o
equivalente).

En Fireware XTM Web UI:

1. Seleccione Servidores >de autenticación.


Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña LDAP .

236 Fireware XTM Web UI


Autenticación

3. Seleccionar la casilla de verificación Activar LDAPServer para activar el servidor de LDAP y activar
los campos en ese cuadro de diálogo.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor de LDAP principal a la cual el
dispositivo WatchGuard debe contactarse para solicitudes de autenticación.
El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. También
puede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de un
túnel VPN.
5. En el cuadro de texto Puerto, seleccione el número del puerto TCP para ser usado por el dispositivo
WatchGuard para conectar con el servidor de LDAP. El número de puerto predeterminado es 389.
LDAP por TLS no está soportado.
6. En el cuadro de texto Base de búsqueda , ingrese las configuraciones de base de búsqueda.

El formato estándar es: ou=unidad organizacional,dc=primera parte del nombre de distinción del
servidor,dc=cualquier parte del nombre de distinción del servidor que aparece después del punto.
Se determina una base de búsqueda para imponer límites a los directorios en el servidor de
autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticación. Por ejemplo, si las cuentas de usuario están en una OU (unidad organizativa) a la que
se refiere como cuentas y el domain name es ejemplo.com, su base de búsqueda es:
ou=cuentas,dc=ejemplo,dc=com

7. En el cuadro de texto Cadena de grupo , ingrese el atributo de cadena de grupo.

Guía del Usuario 237


Autenticación

Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos
servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es
member.
8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una
operación de búsqueda.

Puede usar cualquier DN de usuario con el privilegio de búsqueda en el LDAP/Active Directory,


como un Administrador. Algunos administradores crean un nuevo usuario que sólo tiene privilegios
de búsqueda para usar en ese campo.
9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)
para una operación de búsqueda.
10. En el cuadro de texto Atributo de inicio de sesión, en la lista desplegable, seleccione un atributo de
inicio de sesión de LDAP para ser usado para autenticación.

El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. El
atributo de inicio de sesión predeterminado es uid. Si usa uid, el campo DN de usuario buscando y
el campo Contraseña de Usuario buscando pueden estar vacíos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista
desplegable al lado para determinar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor
hasta que esté marcado como activo nuevamente.
12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaña Configuraciones de Servidor
de Resguardo, y seleccione Activar un servidor de LDAP secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.

Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.

Acerca de las configuraciones opcionales de LDAP


El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en el
Fireware XTM Web UI. Se puede determinar esos parámetros para cada usuario individual.

Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.

238 Fireware XTM Web UI


Autenticación

Configurar autenticación en Active Directory


El Active Directory es una aplicación de Microsoft, basada en Windows, de una estructura de directorio de
LDAP. El Active Directory le permite expandir el concepto de jerarquía usado en el DNS hacia un nivel
organizativo. Mantiene la información y configuración de una organización en una base de datos central y
de fácil acceso.

Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el
dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active
Directory Server.

Antes de empezar, asegúrese de que sus usuarios puedan autenticarse con éxito en el Active Directory
Server.

En Fireware XTM Web UI:

1. Seleccione Servidores >de autenticación.


Aparece la página "Servidores de autenticación".
2. Haga clic en la pestaña Active Directory.

3. Seleccione la casilla Activar Active Directory .


4. En el campo dirección IP, ingrese la dirección IP del Active Directory Server principal.

Guía del Usuario 239


Autenticación

El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.
También es posible configurar el dispositivo para usar un Active Directory Server disponible a través
de un túnel VPN.
5. En el cuadro de texto Puerto , ingrese o seleccione el número de puerto de TCP a ser usado por el
dispositivo para conectarse al Active Directory Server. El número de puerto predeterminado es 389.

Si su Active Directory Server es un servidor de catálogo global, puede ser útil alterar el puerto
predeterminado. Para más informaciones, vea Alterar el puerto predeterminado de Active Directory
Server en la página 242.
6. En el cuadro de texto Base de búsqueda, inserte la ubicación en el directorio para empezar la
búsqueda.

El formato estándar para la configuración de base de búsqueda es: ou=<name of organizational


unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server
name that appears after the dot>.
Se determina una base de búsqueda para poner límites en los directorios en el servidor de
autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticación. Recomendamos que determine la base de búsqueda en la raíz del dominio. Eso
permite encontrar todos los usuarios y grupos a los que pertenecen los mismos.
Para más informaciones, vea Encuentre su base de búsqueda del Active Directory en la página 241.
7. En el cuadro de texto Cadena de Grupo, inserte la cadena de atributos usada para mantener la
información del grupo usuario en el Active Directory Server. Si no cambió su esquema de Active
Directory, la cadena de grupo siempre es memberOf .
8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una
operación de búsqueda.

No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesión de
sAMAccountName . Si altera el atributo del inicio de sesión, debe agregar un valor en el campoDN del
usuario de búsqueda para su configuración. Puede usar cualquier DN de usuario con el privilegio de
búsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario más
débil, sólo con un privilegio de búsqueda, suele ser suficiente.
9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)
para una operación de búsqueda.
10. En el atributo de inicio de sesión lista desplegable, seleccione un atributo de inicio de sesión de
Active Directory para ser usado para autenticación.

El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del Active
Directory. El atributo de inicio de sesión predeterminado es sAMAccountName. Si usa el
sAMAccountName, el campoDN de usuario de búsqueda y el campo Contraseña de usuario de
búsqueda pueden estar vacíos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor
inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable
al lado para determinar la duración.

Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor
hasta que esté marcado como activo nuevamente.

240 Fireware XTM Web UI


Autenticación

12. Para agregar un Active Directory Server de resguardo, seleccione la pestaña Configuración de
servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el Active Directory Server principal y de resguardo.

Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
14. Haga clic en Guardar.

Sobre la configuración opcional del Active Directory


El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en el
Fireware XTM Web UI. Se puede determinar esos parámetros para cada usuario individual.

Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.

Encuentre su base de búsqueda del Active Directory


Al configurar el dispositivo WatchGuard para autenticar usuarios con su Active Directory Server, se agrega
una base de búsqueda. La base de búsqueda es el lugar por donde la búsqueda empieza en la estructura
jerárquica del Active Directory para las entradas de cuenta de usuario. Eso puede ayudar a apurar el
procedimiento de autenticación.

Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de
todos los usuarios para los cuales desea configurar autenticación en el dispositivo WatchGuard.

En su Active Directory Server:

1. Seleccione Inicio> Herramientas administrativas >Usuarios y equipos de Active Directory.


2. En el árbol Usuarios y equipos de Active Directory, encuentre y seleccione su domain name.
3. Expanda el árbol para encontrar una ruta en la jerarquía de Active Directory.

Los componentes del domain name tienen el formato dc=componente de domain name, están
incluidos al final de la cadena de base de búsqueda y están separados por comas.
Para cada nivel del domain name, debe incluir un componente de domain name separado en su
base de búsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el
componente del domain name en su base de búsqueda es DC=prefijo,DC=ejemplo,DC=com .

Por ejemplo, si su domain name en el árbol se parece a este después de expandirlo:

La cadena de la base de búsqueda que agregar a la configuración de Firebox es:

DC=kunstlerandsons,DC=com

La cadena de búsqueda no distingue mayúsculas de minúsculas. Cuando ingresa su cadena de búsqueda,


puede usar letras mayúsculas o minúsculas.

Guía del Usuario 241


Autenticación

Campos DN del usuario de búsqueda y Contraseña del usuario de


búsqueda
Debe rellenar estos campos sólo si seleccionó una opción para el Atributo de inicio de sesión que sea
diferente del valor predeterminado, sAMAccountName. La mayoría de las organizaciones que usa Active
Directory no lo cambia. Cuando deja ese campo en el valor predeterminado sAMAccountName, los
usuarios proveen sus nombres usuales de inicio de sesión en Active Directory como nombres de usuarios
para autenticar. Ese es el nombre que encuentra en el cuadro de texto Nombre de usuario para inicio de
sesión en la pestaña Cuenta, cuando edita la cuenta de usuario en Usuarios y equipos de Active Directory.

Si usa un valor diferente para Atributo de inicio de sesión, el usuario que intente autenticarse da un
formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de búsqueda a
la configuración de su Firebox.

Alterar el puerto predeterminado de Active Directory Server


Si su dispositivo WatchGuard está configurado para autenticar usuarios con servidor de Active Directory
Authentication (AD), él se conecta por defecto al Active Directory Server en el puerto LDAP estándar, que
es el puerto TCP 389. Si los servidores de Active Directory que agrega a su configuración del dispositivo
 WatchGuard están configurados como servidores de catálogo global de Active Directory, puede solicitar al
dispositivo WatchGuard que use el puerto de catálogo global - puerto TCP 3268 - para conectarse al Active
Directory Server.

Un servidor de catálogo global es un controlador de dominio que almacena informaciones sobre todos los
objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que
referirse a controladores de dominio específicos que almacenan los datos solicitados. Si tiene sólo un
dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de
catálogo global.

Si el Active Directory Server principal o secundario usado en su configuración del dispositivo WatchGuard


también está configurado como un servidor de catálogo global, puede cambiar el puerto utilizado por el
dispositivo WatchGuard para conectarse al Active Directory Server para aumentar la velocidad de las
solicitudes de autenticación. No obstante, no recomendamos la creación de servidores de catálogo global
de Active Directory adicionales sólo para aumentar la velocidad de las solicitudes de autenticación. La
replicación que ocurre entre múltiples servidores de catálogo global puede usar bastante ancho de banda
de su red.

Configurar el Firebox para que use el puerto de catálogo global


1. En el Fireware XTM Web UI, seleccione servidores de >autenticación.
Aparece la página "Servidores de autenticación".
2. Seleccione la pestaña Active Directory.
3. En el cuadro de texto Puerto, limpie los contenidos e inserte 3268.
4. Haga clic Guardar.

242 Fireware XTM Web UI


Autenticación

Descubra si su Active Directory Server está configurado como servidor


de catálogo global
1. Seleccione Inicio> Herramientas administrativas >Sitios y servicios de Active Directory.
2. Expanda el árbol de sitios y encuentre el nombre de su Active Directory Server.
3. Haga clic con el botón derecho en Configuraciones NTDS para el Active Directory Server y
seleccione Propiedades.

Si la casilla de verificación Catálogo Global está seleccionada, el Active Directory Server está
configurado para ser un catálogo global.

Usar las configuraciones opciones de Active


Directory o de LDAP
Cuando el Fireware XTM contacta el servidor de directorio (Active Directory o LDAP) para buscar
información, puede obtener información adicional en la lista de atributos en la respuesta de búsqueda
enviada por el servidor. Eso le permite usar el servidor del directorio para asignar parámetros adicionales a
la sesión de usuario autenticado, tales como los tiempos de espera y asignaciones de dirección de Mobile
VPN. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, puede
definir esos parámetros para cada usuario individual, sin limitarse a las configuraciones globales en Fireware
XTM Web UI.

Antes de empezar
Para usar esas configuraciones opcionales es necesario:

n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
n Hacer que los nuevos atributos estén disponibles para la clase de objeto a la que pertenecen las
cuentas de usuario.
n Otorgar valores a los atributos para los objetos de usuario que deberían usarlos.

Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a sus


directorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes y
no se puede deshacerlas. Use el sitio web de Microsoft para obtener recursos para planear, probar e
implementar cambios a un esquema de Active Directory. Consulte la documentación de su proveedor de
LDAP antes de ampliar el esquema a otros directorios.

Especificar Configuraciones opcionales de LDAP o Active


Directory
Para especificar los atributos adicionales, Fireware XTM busca en la respuesta de búsqueda del servidor de
directorio:

1. En el Fireware XTM Web UI, seleccione servidores de >autenticación.


Aparece la página "Servidores de autenticación".

Guía del Usuario 243


Autenticación

2. Haga clic en la pestaña LDAP o en Active Directory y asegúrese de que el servidor está activado.

244 Fireware XTM Web UI


Autenticación

3. Haga clic en Configuraciones opcionales.


Aparecen las configuraciones opcionales del servidor página .

Guía del Usuario 245


Autenticación

4. Ingrese los atributos que desea incluir en la búsqueda del directorio en los campos de cadenas.

Cadena de atributos de IP

Ese campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una dirección IP
virtual al cliente de Mobile VPN. Debe ser un atributo de valor único y una dirección IP en
formato decimal. La dirección IP debe estar dentro del grupo de direcciones IP virtuales que
son especificadas en la creación del Grupo de Mobile VPN.

Si Firebox no encuentra el atributo de IP en el resultado de búsqueda, o si no se especifica un


atributo en Fireware XTM Web UI, él asigna una dirección IP virtual al cliente de Mobile VPN a
partir del grupo de direcciones IP virtuales creadas con el Grupo de Mobile VPN.

Cadena de atributos de máscara de red

Ese campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a la
dirección IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor único y una Subnet
Mask en formato decimal.

El software de Mobile VPN asigna automáticamente una máscara de red si el Firebox no


encuentra el atributo de máscara de red en el resultado de búsqueda, o si no especifica uno en
Fireware XTM Web UI.

Cadena de atributos de DNS

246 Fireware XTM Web UI


Autenticación

Ese campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo que Fireware XTM usa para asignar una o más direcciones de
DNS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso
puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con
puntos. Si Firebox no encuentra el atributo de DNS en el resultado de búsqueda, o si no se
especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS..

Cadena de atributos de WINS

Ese campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo que Fireware XTM debería usar para asignar una o más
direcciones WINS al cliente de Mobile VPN para el período de duración de la sesión de Mobile
VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal
normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de búsqueda, o
si no se especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas
cuando Configurado servidores WINS y DNS..

Cadena de atributos de tiempo de concesión

Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall.

Ingrese el nombre del atributo para que Fireware XTM use para controlar la duración máxima
que un usuario puede permanecer autenticado (tiempo de espera de sesión). Después de ese
período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.

Cadena de atributos de tiempo de espera inactivo

Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall.

Ingrese el nombre del atributo que Fireware XTM usa para controlar el período de tiempo que
un usuario puede permanecer autenticado cuando no se transmite tráfico hacia el Firebox
desde el usuario (tiempo de espera inactivo). Si no se envía tráfico al dispositivo por ese
período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.

5. Haga clic en Guardar.


Configuraciones de atributos guardadas.

Use una cuenta de usuario local para


autenticación
Cualquier usuario puede autenticarse como usuario de Firewall, usuario de PPTP, o usuario de Mobile VPN,
y abrir un túnel PPTP o Mobile VPN si el PPTP o Mobile VPN está activado en Firebox. No obstante, después
de la autenticación o de que un túnel haya sido establecido con éxito, los usuarios pueden enviar tráfico por
el túnel VPN sólo si el tráfico está permitido por una política en Firebox. Por ejemplo, un usuario sólo de

Guía del Usuario 247


Autenticación

Mobile VPN puede enviar tráfico a través de un túnel de Mobile VPN. Aunque el usuario sólo de Mobile
VPN pueda autenticarse y abrir un túnel PPTP, no puede enviar el tráfico a través de ese túnel.

Si usa la autenticación por Active Directory y la membresía a un grupo para el usuario no coincide con la
política de Mobile VPN, encuentra un mensaje de error que dice que el Tráfico descifrado no coincide con
ninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con el
mismo nombre que su grupo de Mobile VPN.

Use los usuarios y grupos autorizados en políticas


Se puede especificar nombres de usuarios y grupos al crear políticas en Fireware XTM Web UI. Por
ejemplo, se pueden definir todas las políticas para que sólo autoricen conexiones para usuarios
autenticados. O puede limitar conexiones en una política para usuarios específicos.

El término usuarios y grupos autorizados se refiere a usuarios y grupos que están autorizados a acceder a
los recursos de red.

Definir usuarios y grupos para autenticación de Firebox


Si usa el Firebox como servidor de autenticación y desea definir usuarios y grupos que se autentican a
Firebox, vea Definir un nuevo usuario para autenticación en Firebox en la página 225 y Definir un nuevo
grupo para autenticación de Firebox en la página 227.

Definir usuarios y grupos para autenticación de terceros


1. Cree un grupo en su servidor de autenticación externo que contenga todas las cuentas de usuarios
en su sistema.

2. En el Fireware XTM Web UI, seleccione Usuarios y Grupos de > Autenticación.


Aparece el cuadro de diálogo "Usuarios y Grupos de Autenticación".

248 Fireware XTM Web UI


Autenticación

3. Ingrese un nombre de usuario o grupo creado en el servidor de autenticación.


4. (Opcional) Ingrese una descripción para el usuario o grupo.
5. Seleccione el botón de radio Grupo o Usuario.
6. En la lista desplegable Servidor Autoriz, seleccione su tipo de servidor de autenticación.

Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticación a través de
un servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.
7. Haga clic en Agregar.
8. Haga clic Guardar.

Agregar usuarios y grupos a las definiciones de política


Cualquier usuario o grupo que desee usar en las definiciones de políticas debe ser agregado como usuario
autorizado. Todos los usuarios y grupos creados para autenticación en Firebox y todos los usuarios de
Mobile VPN son automáticamente agregados a la lista de usuarios y grupos autorizados en el cuadro de
diálogo Usuarios y Grupos Autorizados. Puede agregar cualesquiera usuarios o grupos de servidores de
autenticación externos a la lista de usuarios y grupos autorizados siguiendo el procedimiento anterior.
Entonces estará listo para agregar usuarios y grupos a su configuración de política.

1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall.


Aparece la página "Políticas de Firewall".
2. Seleccione una política de la lista y haga clic en Editar.
O haga doble clic en una política.
Aparece la página "Configuración de Política".
3. En la pestaña política, abajo del cuadro De, haga clic en Agregar.
Aparece el cuadro de diálogo "Agregar Dirección".

Guía del Usuario 249


Autenticación

4. Haga clic en Agregar usuario.


Aparece el cuadro de diálogo "Agregar usuarios y grupos autorizados".

5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo está autorizado como
usuario de firewall, VPN SSL o PPTP.

Para más información sobre esos tipos de autenticación, vea Tipos de autenticación de Firebox en la
página 223.
6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.
7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en
Seleccionar.
Reaparece el cuadro de diálogo "Agregar dirección" con el usuario o grupo en el cuadro Miembros o
Direcciones Seleccionados.

Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de Política.
8. Si el usuario o grupo no aparece en la lista en el cuadro de diálogo Agregar Usuarios o Grupos
Autorizados, vea Definir un nuevo usuario para autenticación en Firebox en la página 225, Definir un
nuevo grupo para autenticación de Firebox en la página 227, o el procedimiento anterior Definir
usuarios y grupos para autenticación externa.

Después que se agrega un usuario o grupo a una configuración de políticas, Fireware XTM Web UI agrega
automáticamente una política de autenticación de WatchGuard a su configuración de Firebox. Use esa
política para controlar el acceso a la página web del portal de autenticación.

Para obtener instrucciones para editar esa política, vea Use la autenticación para restringir el tráfico
entrante en la página 212.

250 Fireware XTM Web UI


12 Políticas

Acerca de políticas
La política de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la
información que la recorre. El Firebox rechaza todos los paquetes que no están específicamente
permitidos. Cuando se agrega una política al archivo de configuración del Firebox, se agrega un conjunto de
reglas que indican al Firebox que debe permitir o rechazar tráfico en función de factores como el origen y
el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.

Como ejemplo del modo en que puede usarse una política, supongamos que el administrador de red de
una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El
administrador de red administra el servidor web con una conexión de Escritorio Remoto. Al mismo tiempo,
el administrador de red desea asegurarse de que ningún otro usuario de la red pueda utilizar el Escritorio
Remoto. Para crear esta configuración, el administrador de red agrega una política que permite conexiones
RDP sólo desde la dirección IP de su propio equipo de escritorio a la dirección IP del servidor web.

Una política también puede aportar al Firebox más instrucciones sobre cómo administrar el paquete. Por
ejemplo, el usuario puede definir configuraciones de registro y notificación que se aplican al tráfico o usar
NAT (Traducción de dirección de red) para cambiar la dirección IP de origen y el puerto del tráfico de red.

Políticas de filtro de paquetes y proxy


Firebox utiliza dos categorías de políticas para filtrar el tráfico de red: filtrado de paquetes y servidores
proxy. Un filtro de paquetes examina la IP y el encabezado de TCP/UDP del paquete. Si la información del
encabezado del paquete es legítima, entonces Firebox acepta el paquete. De lo contrario, Firebox lo
rechaza.

Un proxy examina tanto la información del encabezado como el contenido de cada paquete para
asegurarse de que las conexiones sean seguras. Esto también se denomina inspección profunda de
paquetes. Si la información del encabezado del paquete es legítima y el contenido del paquete no se
considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.

Guía del Usuario 251


Políticas

Acerca de cómo agregar políticas a Firebox


Firebox incluye muchos filtrados de paquetes preconfigurados y proxies que se pueden agregar a la
configuración. Por ejemplo, si el usuario desea un filtro de paquete para todo el tráfico Telnet, agrega una
política Telnet predefinida que pueda modificar para la configuración de red. También puede definir una
política personalizada para la cual se configuran los puertos, protocolos y otros parámetros.

Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:
Saliente (TCP-UDP), FTP, ping y hasta dos políticas de administración de WatchGuard. Si el usuario tiene más
aplicaciones de software y tráfico de red para que examine Firebox, debe:

n Configurar las políticas en Firebox para que permitan la circulación del tráfico necesario.
n Definir las propiedades y hosts aprobados para cada política
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.

Recomendamos establecer límites en el acceso saliente cuando se configura Firebox.

Nota En toda la documentación, nos referimos a los filtrados de paquetes y proxies


como políticas. La información sobre políticas se refiere tanto a los filtrados de
paquetes como a proxies, salvo indicación en contrario.

252 Fireware XTM Web UI


Políticas

Acerca de la página de políticas de Firewall o VPN móvil


Las páginas de políticas de Firewall y políticas de Mobile VPN muestran las políticas incluidas en la
configuración actual de su dispositivo Firebox o XTM.

La siguiente información aparece para cada política:

Acción

La acción que toma la política para el tráfico que coincide con la definición de la política. El símbolo en
esta columna también indica si la política es una política de filtro de paquetes o una política de proxy.

n Marca de comprobación verde: política de filtro de paquetes; se permite el tráfico


n X roja: política de filtro de paquetes; se rechaza el tráfico
n Círculo con línea: política de filtro de paquetes y la acción para el tráfico no está configurada
n Escudo verde con marca de comprobación: política de proxy; el tráfico está permitido
n Escudo rojo con una X: política de proxy; se rechaza el tráfico
n Escudo gris: política de proxy; la acción para el tráfico no está configurada

Nombre de la política

Nombre de la política, como se define en el campo Nombre en la página Configuración de políticas.

Tipo de política

El protocolo que la política administra. Los servidores proxy incluyen el protocolo y "-proxy".

Tipo de tráfico

Tipo de tráfico que la política examina: firewall o VPN.

Guía del Usuario 253


Políticas

Registro

Si está habilitada la generación de registros para la política.

Alarma

Si están configuradas las alarmas para la política.

De

Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de origen).

Para

Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de destino).

PBR

Indica si la política utiliza enrutamiento basado en políticas. Si éste es el caso y no está habilitada la
conmutación por error, aparece el número de interfaz. Si el enrutamiento basado en la política y la
conmutación por error están habilitados, aparece una lista de números de interfaz, con la interfaz
principal en el primer lugar de la lista.

Para más información acerca del enrutamiento basado en políticas, vea Configurar el enrutamiento
basado en la política en la página 269.

Puerto

Protocolos y puertos utilizados por la política.

De manera predeterminada, la Fireware XTM Web UI clasifica a las políticas desde la más específica hasta la
más general. El orden determina cómo fluye el tráfico a través de las políticas. Si desea establecer el orden
de las políticas de manera manual, junto a El orden automático está activado, haga clic en Desactivar.

Para obtener más información sobre el orden de las políticas, consulte Acerca de la precedencia de
políticas.

Agregar políticas en la configuración


Para agregar una política de firewall o Mobile VPN:

1. Seleccione Firewall >Políticas de firewall o Firewall> Políticas de Mobile VPN.


Aparece la página Políticas que seleccionó el usuario.
2. Haga clic en Agregar.
3. Amplíe la lista de filtrados de paquetes y políticas para encontrar un protocolo o puerto.
4. Para políticas de firewall, seleccione una plantilla y haga clic en Agregar.
Para políticas de proxy, también se debe seleccionar la opción Cliente o Servidor en la lista
desplegable Acción de proxy.
Para políticas de Mobile VPN, primero seleccione un grupo de Mobile VPN al cual se aplique la
política, luego seleccione la plantilla y haga clic en Agregar.

254 Fireware XTM Web UI


Políticas

El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.
La definición predeterminada consiste en configuraciones que son apropiadas para la mayoría de las
instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales específicos o si se
desea incluir propiedades de política especiales como acciones de administración de tráfico y cronogramas
operativos.

Después de agregar una política a la configuración, se definen reglas para:

n Establecer orígenes y destinos de tráfico permitidos.


n Configurar reglas de filtrado.
n Activar o desactivar la política.
n Configurar propiedades como administración de tráfico, NAT y registro.

Para obtener más información sobre la configuración de políticas, consulte Acerca de propiedades de
políticas en la página 265.

Agregar una política de la lista de plantillas


El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.
Las configuraciones de definiciones predeterminadas son apropiadas para la mayoría de las instalaciones.
Sin embargo, el usuario puede modificarlas para incluir propiedades de políticas especiales como acciones
de QoS y cronogramas operativos.

1. en la página Agregar política,amplíe las carpetas Filtrados de paquetes, Proxies o Personalizada.


Aparece una lista de plantillas para políticas de filtrados de paquetes o proxy.
2. Seleccione el tipo de política que desea crear. Haga clic en Agregar.
Aparece el cuadro de diálogo , página Configuración de políticas.

Guía del Usuario 255


Políticas

3. Para cambiar el nombre de la política, ingrese un nuevo nombre en el campo Nombre.


4. Defina las reglas de acceso y otras configuraciones para la política.
5. Haga clic en Guardar.

Para obtener más información sobre propiedades de políticas, consulte Acerca de propiedades de políticas
en la página 265.

Desactivar o eliminar una política


Para desactivar una política:

256 Fireware XTM Web UI


Políticas

1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN .


Aparece la página "Configuración de Política".
2. Seleccione la política y haga clic en Editar.
3. Desmarque la casilla de verificación Activar.
4. Haga clic en Guardar.

Eliminar una política


Según cambie la política de seguridad, en ocasiones es necesario eliminar una política.

Para borrar una política:

1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN .


2. Seleccione la política y haga clic en Eliminar. Los cambios en la configuración se guardan
automáticamente.

Acerca de los alias


Un alias es un acceso directo que identifica a un grupo de hosts, redes o interfaces. Cuando se usa un alias,
es fácil crear una política de seguridad porque el Firebox permite utilizar alias cuando se crean políticas.

Los alias predeterminados en Fireware XTM Web UI incluyen:

n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De
confianza o Externa.
n Firebox: un alias para todas las interfaces del Firebox.
n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces
de confianza y cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y
cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y
cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera BOVPN: un alias para cualquier túnel BOVPN (IPSec).
Cuando se utiliza el asistente de la política BOVPN para crear una política para permitir el tráfico a
través de un túnel BOVPN, el asistente automáticamente crea alias .in y .out para los túneles
entrantes y salientes.

Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticación de
usuario. Con la autenticación de usuario, se puede monitorear una conexión con un nombre y no como una
dirección IP. La persona se autentica con un nombre de usuario y una contraseña para obtener acceso a los
protocolos de Internet.

Para más información acerca de autenticación de usuario, vea Acerca de la autenticación de usuario en la
página 209.

Miembros de alias
Puede agregarse estos objetos a un alias:

n IP de host
n IP de red

Guía del Usuario 257


Políticas

n Un rango de direcciones IP de host


n Nombre de DNS para un host
n Dirección de túnel: definida por un usuario o grupo, dirección y nombre del túnel.
n Dirección personalizada: definida por un usuario o grupo, dirección e interfaz del Firebox.
n Otro alias
n Un usuario o grupo autorizado

Crear un alias
Para crear un alias para utilizar con las políticas de seguridad:

1. Seleccione Alias de> firewall.


Los alias página .

2. Haga clic en Agregar.


Agregar alias página aparece.

258 Fireware XTM Web UI


Políticas

3. En el cuadro de texto Nombre de alias ingrese un nombre único para identificar al alias.
Este nombre aparece en listas cuando se configura una política de seguridad.
4. En el campo Descripción, ingrese una descripción del alias.
5. Haga clic en Guardar.

Agregar una dirección, rango de dirección, nombre de DNS, usuario,


grupo u otro alias al alias
1. En el cuadro de diálogo Agregar alias, haga clic en Agregar miembro.
Aparece el cuadro de diálogo "Agregar miembro".
2. En el En la lista desplegable Tipo de miembro seleccione el tipo de miembro que desea agregar.
3. Ingrese la dirección o el nombre en el cuadro Tipo cuadro de textoo seleccione el usuario o grupo..
4. Haga clic en OK.
El nuevo miembro aparece en la sección Miembros de alias de Agregar alias. página.
5. Para agregar más miembros, repita los pasos 1al 4.
6. Haga clic en Guardar.

Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.

Guía del Usuario 259


Políticas

Acerca de la precedencia de políticas


La precedencia es la secuencia en la cual el dispositivo Firebox o XTM examina el tráfico de red y aplica una
regla de política. El dispositivo Firebox o XTM automáticamente ordena las políticas desde la más detallada a
la más general. Compara la información en el paquete con la lista de reglas en la primera política. La
primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel de
detalle en dos políticas es equivalente, una política de proxy siempre tiene prioridad sobre una Política de
filtrado de paquetes.

Orden de políticas automático


El dispositivo Firebox o XTM automáticamente otorga la precedencia más alta a las políticas más específicas
y la más baja a las menos específicas. El dispositivo Firebox o XTM examina la especificidad de los criterios
subsiguientes en este orden. Si no puede determinar la precedencia con el primer criterio, pasa al siguiente
y así sucesivamente.

1. Especificidad de la política
2. Protocolos configurados para el tipo de política
3. Reglas de tráfico del campo Hasta
4. Reglas de tráfico del campo Desde
5. Acción de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las políticas
6. Cronogramas aplicados a las políticas
7. Secuencia alfanumérica basada en el tipo de política
8. Secuencia alfanumérica basada en el nombre de la política

Las secciones subsiguientes incluyen más detalles acerca de lo que hace el dispositivo Firebox o XTM dentro
de estos ocho pasos.

Especificidad de la política y protocolos


El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar dos políticas hasta que
determina que las políticas son equivalentes o que una es más detallada que la otra.

1. Una política "Cualquier política" siempre tiene la precedencia más baja.


2. Verificación del número de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La política con el
menor número tiene mayor precedencia.
3. Verificación del número de puertos únicos para los protocolos TCP y UDP. La política con el menor
número tiene mayor precedencia.
4. Suma la cantidad de puertos TCP y UDP únicos. La política con el menor número tiene mayor
precedencia.
5. Calificación de los protocolos según el valor del protocolo IP. La política con la menor calificación
tiene mayor precedencia.

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara la especificidad de la


política y los protocolos, examina las reglas de tráfico.

260 Fireware XTM Web UI


Políticas

Reglas de tráfico
El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de tráfico más
general de una política con la regla de tráfico más general de una segunda política. Asigna mayor
precedencia a la política con la regla de tráfico más detallada.

1. Rango de direcciones IP de la
2. dirección de host (menor al de la subnet con la que se compara)
3. Rango de direcciones IP de la
4. subnet (mayor al de la subnet con la que se compara)
5. Nombre de usuario de autenticación
6. Grupo de autenticación
7. Interfaz, dispositivo Firebox o XTM
8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional
9. Cualquier

Por ejemplo, compare estas dos políticas:

(HTTP-1) Desde: De confianza, usuario1

(HTTP-2) Desde: 10.0.0.1, Cualquiera de confianza

De confianza es la entrada más general para HTTP-1. Cualquiera-De confianza es la entrada más general
para HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es la
regla de tráfico más detallada. Esto es correcto a pesar de que HTTP-2 incluye una dirección IP, porque el
dispositivo Firebox o XTM compara la regla de tráfico más general de una política con la regla de tráfico más
general de la segunda política para establecer la precedencia.

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de tráfico,
examina las acciones de firewall.

Acciones de firewall
El dispositivo Firebox o XTM compara las acciones de firewall de dos políticas para establecer la
precedencia. La precedencia de acciones de firewall de mayor a menor es:

1. Negada o Negada (enviar restablecer)


2. Política de proxy permitida
3. Política de filtrado de paquetes permitida

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones de
firewall, examina los cronogramas.

Cronogramas
El dispositivo Firebox o XTM compara los cronogramas de dos políticas para establecer la precedencia. La
precedencia de cronogramas de mayor a menor es:

1. Siempre desactivado
2. A veces activo
3. Siempre activo

Guía del Usuario 261


Políticas

Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas,
examina los nombres y tipos de políticas.

Nombres y tipos de políticas


Si las dos políticas no coinciden en ningún otro criterio de precedencia, el dispositivo Firebox o XTM ordena
las políticas en secuencia alfanumérica. Primero, utiliza el tipo de política. Luego, utiliza el nombre de la
política. Dado que dos políticas no pueden ser del mismo tipo y tener el mismo nombre, éste es el último
criterio de precedencia.

Determinar precedencia manualmente


Para cambiar al modo de orden manual y cambiar la precedencia de la política, debe desactivar el modo de
orden automático:

1. Seleccione Firewall >Políticas de Firewall.


Aparece la página "Políticas de Firewall".
2. Junto a El modo de orden automático está activado, haga clic en Desactivar.
Aparece un mensaje de configuración.
3. Haga clic en Sí para confirmar que desea cambiar al modo de orden manual.
4. Para cambiar el orden de una política, selecciónela y arrástrela a la nueva ubicación.
O bien, seleccione una política y haga clic en Subir o Bajar para subirla o bajarla en la lista.
5. Haga clic en Guardar para guardar los cambios en el orden de la política.

Crear Cronogramas para acciones de Firebox


Un cronograma es un conjunto de horarios en los cuales una función está activada o desactivada. El
cronograma debe utilizarse si el usuario desea que una política o acción de WebBlocker se active o
desactive automáticamente en los horarios especificados. El cronograma creado puede aplicarse a más de
una política o acción de WebBlocker si desea que esas políticas o acciones se activen en los mismos
horarios.

Por ejemplo, una organización desea restringir ciertos tipos de tráfico de red durante el horario comercial
normal. El administrador de red podría crear un cronograma que se active en los días laborables y
establecer cada política en la configuración para que use el mismo cronograma.

Para crear un cronograma:

1. Seleccione Firewall> Programación.
Aparece la página Programación.
2. Para crear un nuevo cronograma, haga clic en Agregar.
Para modificar un cronograma, haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese un nombre o una descripción para el cronograma. Este
nombre no puede modificarse después de guardar el cronograma.
4. Seleccione los horarios en los que desea que el cronograma funcione para cada día de la semana.
5. Haga clic en Guardar.

262 Fireware XTM Web UI


Políticas

Establecer un cronograma operativo


El usuario puede establecer un cronograma operativo para una política, para que ésta se ejecute en los
horarios especificados. Los cronogramas pueden ser compartidos por más de una política.

Para modificar el cronograma de una política:

1. Seleccione Firewall> Programación.
Aparece la página Programación.

2. En la lista Políticas de programación, seleccione el Nombre del cronograma de una política.


3. En la columna Cronograma, seleccione un cronograma de la lista desplegable.
4. Haga clic en Guardar.

Acerca de las Políticas personalizadas


Si el usuario necesita autorizar un protocolo que no está incluido de manera predeterminada como opción
de configuración del Firebox, debe definir una política de tráfico personalizada. Puede agregar una política
personalizada que use:

n Puertos TCP
n Puertos UDP
n Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica
un protocolo IP que no es TCP o UDP con el número de protocolo IP.

Guía del Usuario 263


Políticas

Para crear una política personalizada, primero debe crear o editar una plantilla de política personalizada
que especifique los puertos y protocolos utilizados por políticas de ese tipo. Luego, crea una o más políticas
a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.

Cree o edite una plantilla de política personalizada.


1. Seleccione Firewall > Políticas de Firewall. Haga clic en el botón Agregar.
2. Haga clic en Personalizada o seleccione una plantilla de política personalizada y haga clic en Editar.

3. En el cuadro de texto Nombre, ingrese el nombre de la política personalizada. El nombre aparece


en el Policy Manager como el tipo de política. Un nombre único ayuda al usuario a encontrar la
política cuando desea modificarla o eliminarla. Este nombre no debe ser igual a ningún nombre de
la lista en el cuadro de diálogo Agregar política.
4. En el cuadro de texto Descripción, ingrese una descripción de la política.
Esto aparece en la sección Detalles al hacer clic en el nombre de la política en la lista de Filtros de usuarios.
5. Seleccione el tipo de política: Filtro de paquetes o Proxy.
6. Si seleccione Proxy, elija el protocolo de proxy en la lista desplegable adyacente.
7. Para agregar protocolos a esta política, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar protocolo.

264 Fireware XTM Web UI


Políticas

8. En la lista desplegable Tipo, seleccione Puerto independiente o Intervalo de puertos.


9. En la lista desplegable Protocolo, seleccione el protocolo para esta nueva política.
Si selecciona Puerto independiente, puede elegir TCP, UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP o
Cualquiera.
Si selecciona Intervalo de puertos, puede elegir TCP o UDP. Las opciones por debajo de la lista
desplegable cambian para cada protocolo.

Nota Fireware XTM no circula tráfico multicast IGMP a través de Firebox o entre
interfaces de Firebox. Circula tráfico multicast IGMP sólo entre una interfaz y
Firebox.

10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva política.
Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de
finalización.
11. Haga clic en Guardar.
La plantilla de la política se agrega a la carpeta Políticas personalizadas.

Ahora puede utilizar la plantilla de la política que creó para agregar una o más políticas personalizadas a su
configuración. Siga el mismo procedimiento que para una política predefinida.

Acerca de propiedades de políticas


Cada tipo de política tiene una definición predeterminada, que consiste en configuraciones que son
apropiadas para la mayoría de las organizaciones. Sin embargo, el usuario puede modificar configuraciones
de políticas según los fines particulares de su empresa o agregar otras configuraciones como administración
de tráfico y cronogramas operativos.

Las políticas de Mobile VPN se crean y funcionan del mismo modo que las políticas de firewall. Sin
embargo, se debe especificar un grupo de Mobile VPN al que se aplica la política.

En la parte superior de la página de configuración de la política, se puede cambiar el nombre de la política.


Si la política es una política de proxy, también puede cambiarse la acción de proxy. Para más informaciones,
vea Acerca de las acciones de proxy en la página 279.

Guía del Usuario 265


Políticas

Para configurar las propiedades de una política, en la página Políticas de Firewall, haga doble clic en la
política para abrir la página Configuración de políticas. O bien, si acaba de agregar una política a la
configuración, aparece automáticamente la página Configuración de políticas.

Pestaña Política
Utilice la pestaña Política para definir información básica acerca de una política, como si permite o rechaza
tráfico y cuáles dispositivos administra. Las configuraciones de la pestaña Política pueden utilizarse para
crear reglas de acceso para una política o configurar el enrutamiento basado en la política, NAT estática o el
balance de carga en el servidor.

Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:

n Definir reglas de acceso a una política en la página 267


n Configurar el enrutamiento basado en la política en la página 269
n Acerca de la NAT estática en la página 153
n Configurar Balance de carga en el servidor en la página 154

Pestaña Propiedades
La pestaña Propiedades muestra el puerto y el protocolo al que se aplica la política, además de una
descripción de la política configurada. Las configuraciones en esta pestaña pueden utilizarse para definir las
preferencias de registro, notificaciones, bloque automático y tiempo de espera.

Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:

n Determinar preferencias de registro y notificación en la página 360


n Bloquear sitios temporalmente con configuración de políticas en la página 346
n Configurar un tiempo de espera inactivo personalizado en la página 270

Pestaña Avanzada
La pestaña Avanzada incluye configuraciones para NAT y Administración de tráfico (QoS), además de
opciones de WAN múltiples e ICMP.

Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:

n Establecer un cronograma operativo en la página 263


n Agregar una Acción de administración de tráfico a una política en la página 334
n Determinar Administración de errores ICMP en la página 271
n Aplicar reglas NAT en la página 271
n Activar el marcado QoS o configuraciones de priorización para una política en la página 330
n Defina la duración de sticky connection para una política en la página 272

Configuraciones de proxy
Cada política de proxy tiene configuraciones específicas de la conexión que pueden personalizarse. Para
conocer más acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolo
deseado.

Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305

266 Fireware XTM Web UI


Políticas

Página Acerca de Proxy FTP en la página


Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Página Acerca de Proxy HTTP en la página
Página Acerca de Proxy de TCP-UDP en la página 319
292
Página Acerca de Proxy HTTPS en la página
301

Definir reglas de acceso a una política


La pestaña Política del cuadro de diálogo Configuración de políticas se usa para configurar las reglas de
acceso a una política determinada.

El campo Las conexiones están define si el tráfico que coincide con las reglas de la política está permitido o
negado. Para configurar el modo en que se administra el tráfico, utilice estas configuraciones:

Permitido

El Firebox permite el tráfico que usa esta política si coincide con las reglas establecidas en la política.
El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de red
coincide con la política.

Negado

Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificación
al dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje de
registro cuando un equipo intenta utilizar esta política. La política también puede agregar
automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión
con esta política.

Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.

Negado (enviar restablecer)

El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puede
configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta
política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios
bloqueados si intenta establecer una conexión con esta política.

Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.

Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de red
que la sesión se rechazó y la conexión se cerró. El usuario puede configurar una política para
informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el
host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaución para asegurarse
de que la red funciona correctamente con otras redes.

Guía del Usuario 267


Políticas

La pestaña Política también incluye:

n Una lista Desde (u origen) que especifica quién puede enviar (o no puede enviar) tráfico de red con
esta política.
n Una lista Hasta (o destino) que especifica a quién el Firebox puede enrutar tráfico si el tráfico
coincide (o no coincide) con las especificaciones de la política.

Por ejemplo, puede configurar un filtro de paquetes ping para permitir el tráfico de ping desde todos los
equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de
destino a conexiones a través del puerto o puertos que la política controla, la red puede volverse
vulnerable. Asegúrese de configurar las políticas con cuidado para evitar vulnerabilidades.

1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de
miembros Desde o Hasta.
Aparece el cuadro de diálogo Agregar miembro.

2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembro
puede ser un alias, usuario, grupo, dirección IP o rango de direcciones IP .
3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar al
cuadro.
4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada
de esta ventana.

5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.
6. Haga clic en OK.

268 Fireware XTM Web UI


Políticas

El origen y el destino pueden ser una dirección IP de host, un rango de host, un nombre de host, una
dirección de red, un nombre de usuario, un alias, un túnel VPN o cualquier combinación de esos objetos.

Para obtener más información sobre los alias que aparecen como opciones en la lista Desde y Hasta,
consulte el tema Acerca de los alias en la página 257.

Para obtener más información acerca de cómo crear un nuevo alias, consulte Crear un alias en la página 258.

Configurar el enrutamiento basado en la política


Para enviar tráfico de red, un enrutador en general examina la dirección de destino en el paquete y
observa la tabla de enrutamiento para encontrar el destino del siguiente salto. En algunos casos, el usuario
desea enviar tráfico a una ruta diferente de la ruta predeterminada que se especifica en la tabla de
enrutamiento. Puede configurar una política con una interfaz externa específica para usar con todo el
tráfico saliente que coincida con esa política. Esta técnica se conoce como enrutamiento basado en la
política. El enrutamiento basado en la política tiene prioridad sobre otras configuraciones de WAN
múltiples.

El enrutamiento basado en la política puede usarse cuando hay más de una interfaz externa y Firebox se ha
configurado para WAN múltiples. Con el enrutamiento basado en la política, el usuario puede asegurarse de
que todo el tráfico para una política siempre atraviese la misma interfaz externa, aunque la configuración
de WAN múltiples esté definida para enviar tráfico en una configuración de operación por turnos. Por
ejemplo, si el usuario desea que el correo electrónico se enrute a través de una interfaz particular, puede
usar el enrutamiento basado en la política en la definición de proxy POP3 o SMTP.

Nota Para usar enrutamiento basado en la política, debe tener Fireware XTM con una
actualización Pro. También debe configurar por lo menos dos interfaces externas.

Enrutamiento basado en la política, conmutación por error y failback


Cuando se usa el enrutamiento basado en la política con conmutación por error de WAN múltiples, se
puede especificar si el tráfico que coincide con la política usa otra interfaz externa cuando ocurre la
conmutación por error. La configuración predeterminada es rechazar el tráfico hasta que la interfaz esté
disponible nuevamente.

Las configuraciones de failback (definidas en la pestaña WAN múltiples del cuadro de diálogo Configuración
de red) también se aplican al enrutamiento basado en la política. Si ocurre un evento de conmutación por
error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la
interfaz de conmutación por error o puede retornar a la interfaz original. Las nuevas conexiones se envían a
la interfaz original.

Restricciones en el enrutamiento basado en la política


n El enrutamiento basado en la política está disponible sólo si la WAN múltiple está activada. Si se
activa la WAN múltiple, el cuadro de diálogo Editar propiedades de políticas automáticamente
incluye campos para configurar el enrutamiento basado en la política.
n De manera predeterminada, el enrutamiento basado en la política no está activado.

Guía del Usuario 269


Políticas

n El enrutamiento basado en la política no se aplica al tráfico IPSec ni al tráfico destinado a la red de


confianza u opcional (tráfico entrante).

Agregar enrutamiento basado en la política a una política


1. Seleccione Firewall > Políticas de Firewall.
2. Seleccione una política y haga clic en Editar.
O haga doble clic en una política.
Aparece la página "Configuración de Política".

3. Seleccione la casilla de verificación Usar enrutamiento basado en la política.

4. Para especificar la interfaz para enviar tráfico saliente que coincida con la política, seleccione el
nombre de la interfaz en la lista desplegable adyacente. Asegúrese de que la interfaz seleccionada
sea miembro del alias o red definido en el campo Hasta de la política.
5. (Opcional) Configurar el enrutamiento basado en la política con conmutación por error de WAN
múltiples, como se describe a continuación. Si no selecciona Conmutación por error y la interfaz
definida para esta política pasa a estar inactiva, el tráfico se rechaza hasta que la interfaz vuelva a
estar disponible.
6. Haga clic en Guardar.

Configurar basado en políticas Enrutamiento con conmutación por error


El usuario puede configurar la interfaz especificada para esta política como interfaz principal y definir otras
interfaces externas como interfaces de resguardo para todo el tráfico que no es IPSec.

1. En la página Configuración de políticas, seleccione Usar conmutación por error.


2. En la lista adyacente, seleccione la casilla de verificación para cada interfaz que desea utilizar en la
configuración de la conmutación por error.
3. Haga clic en Subir y Bajar para definir el orden para conmutación por error.
La primera interfaz de la lista es la principal.
4. Haga clic en Guardar.

Configurar un tiempo de espera inactivo personalizado


El tiempo de espera inactivo es la cantidad de tiempo máximo que una conexión puede mantenerse activa
cuando no se envía tráfico. De manera predeterminada, el Firebox cierra las conexiones de red después de
300 segundos (6 minutos). Cuando se activa esta configuración para una política, el Firebox cierra la
conexión una vez transcurrido el lapso de tiempo especificado por el usuario.

1. En la página Configuración de políticas, seleccione la pestaña Propiedades.


2. Seleccione la casilla de verificación Especificar tiempo de espera inactivo personalizado.
3. En el campo adyacente, establezca el número de segundos antes del tiempo de espera.

270 Fireware XTM Web UI


Políticas

Determinar Administración de errores ICMP


Pueden establecerse las configuraciones de administración de errores de ICMP asociadas con una política.
Estas configuraciones anulan las configuraciones globales de administración de errores de ICMP.

Para cambiar las configuraciones de administración de errores de ICMP para la política actual:

1. Haga clic en la pestaña Avanzado.


2. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas.
3. Seleccione una o más casillas de verificación para anular las configuraciones de ICMP globales para
ese parámetro.

Para obtener más información sobre configuraciones de ICMP , consulte Defina las configuraciones
globales del Firebox en la página 67.

Aplicar reglas NAT


Se pueden aplicar reglas de traducción de dirección de red (NAT) a una política. Puede seleccionar 1-to-1
NAT o NAT dinámica.

1. En la página Configuración de políticas, seleccione la pestaña Avanzada.


2. Seleccione una de las opciones descritas en las siguientes secciones.

1-to-1 NAT
Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP públicas y privadas
configurados por el usuario, según se describe en Acerca de las 1-to-1 NAT en la página 142.

NAT dinámico
Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP públicas.
Todas las políticas tienen NAT dinámica activada de manera predeterminada.

Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica establecidas para
el dispositivo WatchGuard.

Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.

En el campo Configurar IP de origen, puede seleccionar una dirección IP de origen NAT dinámica para
cualquier política que use NAT dinámica. De este modo se garantiza que cualquier tráfico que usa esta
política muestra una dirección específica de su rango de direcciones IP externas o públicas como el origen.
Esto resulta útil si se desea obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para su
dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con la
dirección IP de registro MX.

Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.

Guía del Usuario 271


Políticas

Defina la duración de sticky connection para una política


La configuración de sticky connection para una política anula la configuración de sticky connection global. Se
deben activar WAN múltiples para utilizar esta función.

1. En la página Propiedades de políticas, seleccione la pestaña Avanzada.


2. Para usar la configuración de sticky connection de WAN múltiple global, desmarque la casilla de
verificación Anular configuración de sticky connection de WAN múltiple.
3. Para definir un valor de sticky connection personalizado para esta política, seleccione la casilla de
verificación Activar sticky connection.
4. En el cuadro de texto Activar sticky connection, ingrese la cantidad de tiempo en minutos para
mantener la conexión.

272 Fireware XTM Web UI


13 Configuraciones de proxy

Acerca de las políticas de proxy y ALG


Todas las políticas de WatchGuard son herramientas importantes para la seguridad de la red, ya sea se trate
de políticas de filtro de paquetes, políticas de proxy o puertas de enlace de la capa de aplicación (ALG). Un
filtro de paquetes examina el encabezado IP y TCP/UDP de cada paquete, un proxy monitorea y escanea
conexiones completas y una ALG proporciona administración de conexión transparente además de
funcionalidad del proxy. Las políticas de proxy y ALG examinan los comandos utilizados en la conexión para
asegurarse de que tengan la sintaxis y el orden correctos y usan la inspección de paquetes profunda para
garantizar que las conexiones sean seguras.

Una política de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y
examina la carga del paquete. Un proxy luego reescribe la información de la red y envía el paquete a su
destino, mientras que una ALG restablece la información de la red original y reenvía el paquete. Como
resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga
de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrónico) entrantes
para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de
script. Los atacantes con frecuencia usan estos métodos para enviar virus informáticos. Un proxy o ALG
puede imponer una política que prohíbe estos tipos de contenido, mientras el filtro de paquetes no puede
detectar el contenido no autorizado en la carga de datos del paquete.

Si el usuario ha adquirido y activado servicios de suscripción adicionales (Gateway AntiVirus, Intrusion


Prevention Service, spamBlocker, WebBlocker), los servidores proxy de WatchGuard pueden aplicar estos
servicios al tráfico de red.

Configuración de proxy
Al igual que los filtrados de paquetes, las políticas de proxy incluyen opciones comunes para administrar el
tráfico de red, incluidas las funciones de administración del tráfico y programación. Sin embargo, las
políticas de proxy también incluyen configuraciones que se relacionan con el protocolo de red específico.

Guía del Usuario 273


Configuraciones de proxy

Por ejemplo, puede configurar una política de proxy DNS para permitir sólo las solicitudes que coinciden
con la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrónico si los
encabezados no están definidos correctamente. Estas opciones pueden configurarse en las pestañas
General y Contenido de cada política de proxy.

Fireware XTM admite políticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,
HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener más información sobre una política de proxy,
consulte la sección para dicha política.

Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
Página Acerca de Proxy FTP en la página
Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Página Acerca de Proxy HTTP en la página
Página Acerca de Proxy de TCP-UDP en la página 319
292
Página Acerca de Proxy HTTPS en la página
301

Acerca de las configuraciones de Application


Blocker
El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM
cuando una política de proxy TCP-UDP, HTTP o HTTPS detecta actividad de red de aplicaciones de
mensajería instantánea (IM) o punto a punto (P2P).

El Application Blocker identifica estas aplicaciones de IM:

n AIM (AOL Instant Messenger)


n ICQ
n IRC
n MSN Messenger
n Skype
n Yahoo! Messenger

Nota El Application Blocker no puede bloquear las sesiones de Skype que ya están
activas. Para más informaciones, vea Acerca de Skype y el Application Blocker.

El Application Blocker identifica estas aplicaciones P2P:

n BitTorrent
n Ed2k (eDonkey2000)
n Gnutella
n Kazaa
n Napster
n Winny

Nota No se requiere que el Intrusion Prevention service utilice la función del Application
Blocker.

274 Fireware XTM Web UI


Configuraciones de proxy

Configurar el Application Blocker


En los servidores proxy HTTP y TCP-UDP, puede establecer estas configuraciones del Application Blocker:

Aplicaciones de IM

Seleccione la casilla de selección adyacente a una o más aplicaciones de IM. Luego, seleccione
Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de IM. Si
selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirán las aplicaciones que no haya marcado.

Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo!
están seleccionadas. Como la acción está configurada para Eliminar, el proxy de TCP-UDP
permite el tráfico de IM de IRC, Skype y MSN.

Aplicaciones de P2P

Seleccione la casilla de selección adyacente a una o más aplicaciones de P2P. Luego, seleccione
Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de P2P. Si
selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirán las aplicaciones que no haya marcado.

Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster y
Gnutella están seleccionadas. Como la acción está configurada para Eliminar, el proxy permite
cualquier otro tipo de tráfico P2P.

Para obtener información acerca de dónde establecer las configuraciones del Application Blocker en los
servidores proxy HTTP y TCP-UDP, consulte:

n Proxy de TCP-UDP: Contenido


n Proxy HTTP: Application Blocker

Guía del Usuario 275


Configuraciones de proxy

Acerca de Skype y el Application Blocker


Skype es una aplicación de red punto a punto (P2P) muy conocida que se usa para realizar llamadas de voz,
enviar mensajes o archivos de texto o participar en videoconferencias por Internet. El cliente de Skype usa
una combinación dinámica de puertos que incluye a los puertos salientes 80 y 443. El tráfico de Skype es
muy difícil de detectar y bloquear porque está cifrado y porque el cliente de Skype puede derivar muchos
firewalls de red.

El Application Blocker puede configurarse para bloquear el inicio de sesión de un usuario en la red de
Skype. Es importante comprender que el Application Blocker sólo puede bloquear el proceso inicio de
sesión en Skype. No puede bloquear el tráfico para un cliente de Skype que ya ha iniciado sesión y tiene
una conexión activa. Por ejemplo:

n Si un usuario remoto inicia sesión en Skype cuando el equipo no está conectado a la red y luego el
usuario se conecta a la red mientras el cliente de Skype aún está activo, el Application Blocker no
puede bloquear el tráfico de Skype hasta que el usuario cierre la sesión de la aplicación de Skype o
reinicie el equipo.
n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario
que ya esté conectado a la red de Skype no puede bloquearse hasta que cierre la sesión en Skype o
reinicie su equipo.

Cuando el Application Blocker bloquea un inicio de sesión en Skype, agrega las direcciones IP de los
servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es
"admin" y el Motivo es "manejo predeterminado de paquetes". Además, aparece un mensaje de registro
en Control de tráfico que muestra que el acceso al servidor de Skype fue denegado porque la dirección
está en la lista de Sitios bloqueados.

Nota Debido a que la lista de Sitios bloqueados bloquea el tráfico entre los servidores de
Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los
usuarios.

Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el período
especificado por el usuario en el cuadro de texto Duración de sitios bloqueados automáticamente en la
configuración de Sitios bloqueados. La duración predeterminada es 20 minutos. Si se bloquea Skype y luego
se cambia la configuración para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista
de Sitios bloqueados permanecerán bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista de
Sitios bloqueados en forma manual.

Para obtener más información acerca de la configuración Duración de sitios bloqueados


automáticamente, consulte Cambiar la duración de los sitios que son bloqueados automáticamente en la
página 347.

Bloquear inicios de sesión en Skype


Para bloquear inicios de sesión en Skype, se debe crear una configuración del Application Blocker y
seleccionar Skype como un tipo de aplicación a bloquear. Luego se debe aplicar la configuración a la política
de proxy TCP/UDP.

276 Fireware XTM Web UI


Configuraciones de proxy

Para obtener más información acerca de cómo crear una configuración del Application Blocker, consulte
Acerca de las configuraciones de Application Blocker en la página 274.

Agregar una política de proxy a la configuración


Cuando se agrega una política de proxy o ALG (puerta de enlace de la capa de aplicación) a la configuración
del Fireware XTM, se especifican tipos de contenido que el dispositivo Firebox o XTM debe buscar a medida
que examina el tráfico de red. Si el contenido coincide (o no coincide) con los criterios definidos en la
definición de proxy o ALG, el tráfico se permite o deniega.

Pueden usarse las configuraciones predeterminadas de la política de proxy o ALG o pueden cambiarse estas
configuraciones para adaptarlas al tráfico de red de su organización. También pueden crearse políticas de
proxy o ALG adicionales para administrar diferentes partes de la red.

Es importante recordar que una política de proxy o ALG requiere más capacidad de procesamiento que un
filtro de paquetes. Si se agrega un gran número de políticas de proxy o ALG a la configuración, las
velocidades del tráfico de red podrían disminuir. Sin embargo, un proxy o ALG utiliza métodos que los filtros
de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada política de proxy incluye varias
configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y
rendimiento.

Puede usar Fireware XTM Web UI para agregar una política de proxy.

1. Seleccione Firewall >Políticas de Firewall.


2. Haga clic en Agregar.
3. En la lista Seleccionar tipo de política, seleccione un filtro de paquetes, una política de proxy o ALG
(puerta de enlace de la capa de aplicación). Haga clic en Agregar.
Aparece la página Configuración de política.

Guía del Usuario 277


Configuraciones de proxy

Para obtener más información sobre las propiedades básicas de todas las políticas, consulte Acerca de
propiedades de políticas en la página 265.

Para obtener más información acerca de las configuraciones predeterminadas para una política de proxy o
ALG, consulte el tema "Acerca de" para el tipo de política agregada.

Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
Página Acerca de Proxy FTP en la página
Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287

278 Fireware XTM Web UI


Configuraciones de proxy

Página Acerca de Proxy HTTP en la página


Página Acerca de Proxy de TCP-UDP en la página 319
292
Página Acerca de Proxy HTTPS en la página
301

Acerca de las acciones de proxy


Una acción de proxy es un grupo específico de configuraciones, orígenes o destinos para un tipo de proxy.
Dado que la configuración puede incluir varias políticas de proxy del mismo tipo, cada política de proxy
utiliza una acción de proxy diferente. Cada política de proxy tiene acciones de proxy predefinidas o
predeterminadas para clientes y servidores. Por ejemplo, puede usarse una acción de proxy para paquetes
enviados a un servidor POP3 protegido por el dispositivo Firebox o XTM y una acción de proxy diferente
para aplicar a mensajes de correo electrónico recuperados por clientes POP3.

Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un
tipo de política de proxy específico. Sin embargo, puede asignarse sólo una acción de proxy a cada política
de proxy. Por ejemplo, una política POP3 está vinculada a una acción de proxy POP3-Cliente. Si desea crear
una acción de proxy POP3 para un servidor POP3 o una acción de proxy adicional para clientes POP3,
deben agregarse nuevas políticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy
Manager.

Configurar la acción de proxy


Para establecer la acción de proxy para una política de proxy antes de crear la política, seleccione una
plantilla de política de proxy y luego seleccione la acción deseada en la lista desplegable Acción de proxy.

Para cambiar una acción de proxy para una política de proxy existente, haga clic en el botón Cambiar en la
parte superior de la página, luego seleccione la acción deseada en la lista desplegable y haga clic en OK.

Editar, eliminar o clonar acciones de proxy


n Para editar una acción de proxy, modifique las configuraciones de una política de proxy que utilice
esa acción de proxy y guarde los cambios.
n Para eliminar una acción de proxy, ingrese en la página Firewall> Acciones de proxy. Seleccione la
acción de proxy que desea borrar y haga clic en Eliminar. Si elige una acción de proxy que está en
uso, debe modificar esa política de proxy para que use una acción de proxy diferente antes de
poder eliminar la acción de proxy.
n Para realizar una copia de una acción de proxy y guardarla con un nuevo nombre, ingrese en la
página Firewall> Acciones de proxy. Seleccione el proxy con las configuraciones que desea copiar y
haga clic en Clonar. Ingrese un nuevo nombre para la acción de proxy y haga clic en OK.

Para obtener más información sobre las configuraciones de acciones de proxy para cada proxy, consulte el
tema Acerca de para ese proxy.

Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305
Página Acerca de Proxy FTP en la página
Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Página Acerca de Proxy HTTP en la página Página Acerca de Proxy de TCP-UDP en la página 319

Guía del Usuario 279


Configuraciones de proxy

292
Página Acerca de Proxy HTTPS en la página
301

Acerca de acciones de proxy definidas por el usuario y


predefinidas Acciones de proxy
Fireware XTM tiene acciones de proxy servidor y cliente predefinidas para cada proxy. Estas acciones
predefinidas se configuran para equilibrar los requisitos de accesibilidad de una empresa típica con la
necesidad de proteger su capital de equipos contra ataques. Las configuraciones de acciones de proxy
predefinidas no pueden modificarse. Si desea realizar cambios en la configuración, debe clonar (copiar) la
definición existente y guardarla como una acción de proxy definida por el usuario. Los servicios de
suscripción, como el Gateway AntiVirus, no pueden configurarse para acciones de proxy predefinidas.

Por ejemplo, si desea modificar una configuración en la acción de proxy HTTP Cliente, debe guardarla con
un nombre diferente, como HTTP Cliente.1. Esto es necesario sólo cuando se realizan modificaciones en los
conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orígenes o destinos
permitidos o las configuraciones NAT para una política, no es necesario guardarlas con un nuevo nombre.

Acerca del DNS proxy


El Sistema de domain name (DNS) es un sistema de servidores en red que traducen direcciones IP
numéricas en direcciones de Internet legibles y jerárquicas, y viceversa. DNS permite a la red de equipos
comprender, por ejemplo, que se desea alcanzar el servidor en 200.253.208.100 cuando se ingresa un
domain name en el explorador, como www.watchguard.com. Con Fireware XTM, es posible controlar el
tráfico DNS mediante dos métodos: el filtro de paquetes DNS y la política de proxy DNS. El proxy DNS es útil
sólo si las solicitudes de DNS se enrutan a través de Firebox.

Cuando se crea un nuevo archivo de configuración, éste automáticamente incluye una política de filtrado
de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a
las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y
UDP 53 estándar. Dado que Saliente es un filtro de paquetes, no puede ofrecer protección contra troyanos
salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el
tráfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas
amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece
métodos adicionales de controlar los servicios disponibles a la comunidad de red.

Para agregar el proxy DNS a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.

Pestaña Política
n Las conexiones DNS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o
Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política
de la definición de proxy). Vea Definir reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en la política: consulte Configurar el enrutamiento basado en la
política en la página 269.

280 Fireware XTM Web UI


Configuraciones de proxy

n También puede configurarse NAT estática o el balance de carga en el servidor. Vea Acerca de la NAT
estática en la página 153 y Configurar Balance de carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios
temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada
 Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido.

n Proxy DNS : Configuración


n Proxy DNS : Contenido

Proxy DNS : Contenido


Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con el
protocolo DNS.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política DNS-Servidor proxy.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.
3. Configure Tipos de consulta y Nombres de consulta.

Guía del Usuario 281


Configuraciones de proxy

Tipos de consulta

Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNS
de un tipo específico, desmarque la casilla de verificación adyacente.

Nombres de consulta

Para denegar solicitudes DNS por patrón, seleccione la casilla de verificación Denegar estos
nombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clic
en Agregar.

Para borrar una entrada de la lista Nombres de consulta, seleccione la entrada y haga clic en
Eliminar.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Proxy DNS : Configuración


Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con el
protocolo DNS.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política DNS-Servidor proxy.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.
3. Configurar las Reglas de detección de anomalías de protocolo.

282 Fireware XTM Web UI


Configuraciones de proxy

Internet sin clasificar

La mayoría de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio,
utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de red
requieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio de
nombres Hesiod para distribuir automáticamente información de usuarios y grupos a través de
una red con el sistema operativo Unix. La acción predeterminada es denegar estas solicitudes.

Seleccione una opción para solicitudes DNS que usan las clases CH o HS:

n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente
durante un período determinado. Seleccione la opción apropiada en la lista desplegable
adyacente.

Consulta con formato erróneo

Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estándares del
protocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces pueden
enviar solicitudes con formato inadecuado que son necesarias para la organización.
Recomendamos utilizar la configuración predeterminada y denegar las solicitudes DNS con
formato inadecuado.

Seleccione una opción para solicitudes DNS con formato inadecuado:

n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente
durante un período determinado. Seleccione la opción apropiada en la lista desplegable
adyacente.

Activar el registro para informes

Para enviar un mensaje de registro para cada solicitud de conexión administrada por el DNS-
Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear
informes precisos sobre el tráfico DNS Servidor proxy.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Guía del Usuario 283


Configuraciones de proxy

Página Acerca de Proxy FTP


El FTP (protocolo de transferencia de archivos) se usa para enviar archivos desde un equipo a otro diferente
a través de una red TCP/IP. El cliente FTP es generalmente un equipo. El servidor FTP puede ser un recurso
que mantiene archivos en la misma red o en una red diferente. El cliente FTP puede estar en uno de dos
modos para la transferencia de datos: activo o pasivo. En el modo activo, el servidor inicia una conexión con
el cliente en el puerto de origen 20. En el modo pasivo, el cliente utiliza un puerto previamente negociado
para conectarse al servidor. El proxy FTP monitorea y examina estas conexiones FTP entre los usuarios y los
servidores FTP a los que se conectan.

Con una política de proxy FTP es posible:

n Establecer la longitud máxima del nombre de usuario, la longitud de la contraseña, la longitud del
nombre de archivo y la longitud de la línea de comandos permitidas a través del proxy para ayudar a
proteger la red de ataques de fallas en la memoria intermedia.
n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.

El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando el FTP utiliza un puerto
que no es el puerto 20, el proxy TCP/UDP retransmite el tráfico al proxy FTP. Para obtener información
sobre el proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.

Para agregar el proxy FTP a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.

Pestaña Política
La pestaña Política se utiliza para definir reglas de acceso y otras opciones.

n Las conexiones FTP-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o
Negadas (enviar restablecer). Defina quién figura en la lista Desde y Hasta (en la pestaña Política de
la definición de proxy).
Para más informaciones, vea Definir reglas de acceso a una política.
n Usar el enrutamiento basado en la política: Configurar el enrutamiento basado en la política.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para obtener más información, consulte Acerca de la NAT estática en la página 153 o Configurar
Balance de carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones de FTP Servidor proxy están (en la pestaña Política)
en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.

284 Fireware XTM Web UI


Configuraciones de proxy

Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido.

n Proxy FTP : Configuración


n FTP DNS: Contenido

FTP DNS: Contenido


El usuario puede controlar el tipo de archivos que el proxy FTP permite para cargas y descargas. Por
ejemplo, debido a que muchos hackers utilizan archivos ejecutables para implementar virus o gusanos en
un equipo, el usuario podría denegar solicitudes de archivos *.exe. O bien, si no dese permitir que los
usuarios carguen archivos de Windows Media a un servidor FTP, puede agregar *.wma a la definición de
proxy y especificar que estos archivos se rechazan. Utilice el asterisco (*) como carácter comodín.

Guía del Usuario 285


Configuraciones de proxy

1. Seleccione la pestaña Contenido.


2. En la sección Descargas, seleccione la casilla de verificación Denegar estos tipos de archivos si
desea limitar los tipos de archivos que un usuario puede descargar.
Esta casilla de verificación está seleccionada de manera predeterminada y restringe los tipos de archivos que
los usuarios pueden descargar a través del proxy FTP.
3. Si desea denegar archivos o tipos de archivos adicionales, ingrese un asterisco (*) y el nombre o
extensión del archivo y luego haga clic en Agregar.
4. En la sección Cargas, seleccione la casilla de verificación Denegar estos tipos de archivos si desea
limitar los tipos de archivos que un usuario puede descargar.
Si selecciona esta configuración, no se permitirán los archivos que coincidan con los patrones
mencionados.
5. Si desea denegar cualquier archivo o tipo de archivo adicional, ingrese un asterisco (*) y el nombre
o extensión del archivo y luego haga clic en Agregar.
6. Haga clic en Enviar.

Proxy FTP : Configuración


Cuando se agrega una política de proxy FTP , pueden configurarse opciones adicionales relacionadas con el
protocolo FTP.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política FTP Servidor proxy.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.
3. Configurar esas opciones:

Longitud máxima de nombre de usuario

Defina el número máximo de caracteres que un usuario puede enviar en un nombre de


usuario. Cuando un usuario se conecta a un servidor FTP, debe proporcionar un nombre de
usuario para iniciar sesión. Los nombres de usuario muy extensos pueden ser signo de un
ataque de fallas en la memoria intermedia.

Extensión máxima de contraseña

Defina el número máximo de caracteres para contraseñas de usuarios. Cuando un usuario se


conecta a un servidor FTP, debe proporcionar una contraseña para iniciar sesión. Las
contraseñas muy extensas pueden ser signo de un ataque de fallas en la memoria intermedia.

Extensión máxima de nombre de archivo

286 Fireware XTM Web UI


Configuraciones de proxy

Defina el número máximo de caracteres en un nombre de archivo, para solicitudes de carga y


descarga. Algunos sistemas de archivo no pueden identificar o usar archivos con nombres de
archivos muy largos.

Extensión máxima de línea de comandos

Defina el número máximo de caracteres que un usuario puede enviar en un comando FTP. Los
usuarios envían comandos a un servidor FTP para completar tareas con archivos. Los comandos
muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia.

Cantidad máxima de inicios de sesión fallidos

Defina el número máximo de veces que un usuario puede intentar iniciar sesión antes de que
se denieguen las conexiones. Los múltiples intentos de inicio de sesión fallidos pueden ser
resultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor.

Activar el registro para informes

Para enviar un mensaje de registro para cada solicitud de conexión administrada por el FTP
Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear
informes precisos sobre el tráfico FTP Servidor proxy.

4. Para bloquear automáticamente conexiones que no coinciden con la configuración en esa opción,
seleccione la casilla de verificación adyacente Bloqueo automático.
5. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
6. Haga clic en Guardar.

Página Acerca de ALG H.323


Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar una ALG (puerta de enlace de la capa
de aplicación) H.323 o SIP (Protocolo de inicio de sesión) para abrir los puertos necesarios para activar VoIP
a través del dispositivo WatchGuard. Una ALG se crea del mismo modo que una política de proxy y ofrece
opciones de configuración similares. Estas ALG se han creado para funcionar en un entorno NAT para
mantener la seguridad en equipos de conferencias con direcciones privadas protegidos por el dispositivo
WatchGuard.

H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un
estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como
teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qué ALG
agregar, consulte la documentación para los dispositivos o aplicaciones VoIP.

Componentes de VoIP
Es importante comprender que en general VoIP se implementa mediante el uso de:

Conexiones punto a punto

En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,
éste puede enrutar el tráfico de llamada correctamente.

Guía del Usuario 287


Configuraciones de proxy

Conexiones hospedadas

Conexiones hospedadas por un sistema de gestión de llamadas (PBX)

Con H.323, el componente clave de la gestión de llamadas se conoce como gatekeeper. Un gatekeeper
gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el
dispositivo WatchGuard o en una ubicación externa. Por ejemplo, algunos proveedores VoIP hospedan un
gatekeeper en la red a la que el usuario debe conectarse antes de que éste pueda realizar una llamada
VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.

La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.

Funciones de ALG
Cuando se activa una ALG H.323, el dispositivo WatchGuard:

n Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados.


n Se asegura de que las conexiones VoIP usen protocolos H.323 estándar.
n Genera mensajes de registro con fines de auditoría.

Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar
puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP .

Pestaña Política
n Las conexiones ALG-H.323 están: especifica si las conexiones están Permitidas, Negadas o Negadas
(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política de la
definición de ALG).
Para más informaciones, vea Definir reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en la política : si desea utilizar el enrutamiento basado en la política en
la definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado.

288 Fireware XTM Web UI


Configuraciones de proxy

Pestaña Avanzada
También puede usar estas opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido.

n ALG H.323: Configuración


n ALG H.323: Contenido

ALG H.323: Contenido


Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configurar
opciones adicionales relacionadas con el protocolo H.323.

Para mejorar la seguridad de red y el rendimiento:

1. Editar o agregar la política ALG H.323.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.
3. Configurar esas opciones:

Codecs negados

Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión VoIP
H.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión
automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un

Guía del Usuario 289


Configuraciones de proxy

codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario lograr que la solución VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.

Para agregar un codec a la lista:

n En el cuadro de texto Codecs, ingrese el nombre del codec o el patrón de texto único.
No use caracteres comodín ni sintaxis de expresión regular. Los patrones de codec
distinguen mayúsculas de minúsculas.
n Haga clic en Agregar.

Para eliminar un codec de la lista:

n Seleccione un codec en la lista.


n Haga clic en Eliminar.

Activar control de acceso para VoIP

Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté
activada, la ALG H.323 permite o restringe llamadas según las opciones configuradas.

Configuración predeterminada

n Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los
usuarios VoIP inicien llamadas de manera predeterminada.
n Seleccione la casilla de verificación Recibir llamadas VoIP para permitir que todos los
usuarios VoIP reciban llamadas de manera predeterminada.
n Seleccione la casilla de verificación adyacente Registro para crear un mensaje de
registro para cada conexión VoIP H.323 iniciada o recibida.

290 Fireware XTM Web UI


Configuraciones de proxy

Niveles de acceso

Para crear una excepción a la configuración predeterminada especificada anteriormente:

n Ingrese un nombre de host, dirección IP o dirección de correo electrónico.


n Seleccione un nivel de acceso en la lista desplegable adyacente.
n Haga clic en Agregar.

Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas
únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican sólo al tráfico VoIP H.323.

Si desea eliminar una excepción:

n Seleccione la excepción en la lista.


n Haga clic en Eliminar.

Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro
cuando cree la excepción.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

ALG H.323: Configuración


Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configurar
opciones adicionales relacionadas con el protocolo H.323.

Para mejorar la seguridad de red y el rendimiento:

1. Editar o agregar la política ALG H.323.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.
3. Configurar esas opciones:

Activar protección de cosecha de directorio.

Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar
información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por
defecto.

Sesiones máximas

Guía del Usuario 291


Configuraciones de proxy

Esta función para restringe el número máximo de sesiones de audio o video que pueden
crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de sesiones
máximas en una y participa en una llamada VoIP con audio y video, la segunda conexión se
descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro sesiones.
Firebox crea una entrada de registro cuando niega una sesión multimedia por encima de este
número.

Información del agente usuario

Para identificar el tráfico H.323 saliente como un cliente específico, ingrese una nueva cadena
de agente usuario en el cuadro de texto Reescribir agente usuario como.

Para eliminar el agente usuario falso, desmarque el cuadro de texto.

Tiempos de espera

Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor máximo es 3600 segundos (60 minutos). Para especificar un intervalo de
tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios
inactivos.

Activar el registro para informes

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por la ALG H.323. Esta opción es necesaria para que Informes
WatchGuard cree informes precisos sobre el tráfico H.323. Esa opción es activada por defecto.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Página Acerca de Proxy HTTP


El protocolo de transferencia de hipertexto (HTTP) es un protocolo de solicitud/respuesta entre clientes y
servidores. El cliente HTTP en general es un explorador web. El servidor HTTP es un recurso remoto que
almacena archivos HTML, imágenes y otro contenido. Cuando el cliente HTTP inicia una solicitud, establece
una conexión del TCP (Protocolo de control de transmisión) en el puerto 80. Un servidor HTTP escucha
solicitudes en el puerto 80. Cuando recibe la solicitud del cliente, el servidor responde con el archivo
solicitado, un mensaje de error o alguna otra información.

El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el tráfico web para identificar
contenido sospechoso que puede ser un virus u otro tipo de intrusión. También puede proteger de ataques
a su servidor HTTP.

Con un filtro de proxy HTTP, es posible:

n Ajuste los tiempos de espera y los límites de duración de las solicitudes y respuestas HTTP para
evitar el mal desempeño de la red, como también varios ataques.
n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web
bloqueado por el proxy HTTP.
n Filtrar tipos MIME de contenido web.

292 Fireware XTM Web UI


Configuraciones de proxy

n Bloquear patrones de ruta y URL especificados.


n Negar cookies de sitios web especificados.

También se puede usar el proxy HTTP con la suscripción de seguridad WebBlocker. Para más información,
vea Acerca de las WebBlocker en la página 561.

El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando HTTP utiliza un puerto
que no es el puerto 80, el proxy TCP/UDP envía el tráfico al proxy HTTP. Para obtener información sobre el
proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.

Para agregar el proxy HTTP a la configuración del dispositivo Firebox o XTM, consulte Agregar una política
de proxy a la configuración en la página 277.

Pestaña Política
n Las conexiones HTTP Servidor proxy están  E specifique si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas
Desde y Hasta (en la pestaña Política de la definición de proxy). Para más información, vea Definir
reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en políticas  Para utilizar el enrutamiento basado en políticas en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más información, vea Acerca de la NAT estática en la página 153 y Configurar Balance de carga
en el servidor en la página 154.

Guía del Usuario 293


Configuraciones de proxy

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Generación de registros y Determinar
preferencias de registro y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.
Para más información, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o
XTM o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.

Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración, Contenido y Application Blocker


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla cada proxy. Para modificar estas configuraciones,
edite una política de proxy y seleccione la pestaña Configuración, Contenido o Application Blocker.

n Proxy HTTP: Pestaña Configuración


n Proxy HTTP: Pestaña Contenido
n Proxy HTTP: Application Blocker

Vea también

Permitir actualizaciones de Windows a través del proxy HTTP


Los servidores Windows Update identifican el contenido que entregan a un equipo como una transmisión
binaria genérica (como transmisión de octetos), la cual queda bloqueada por las reglas de proxy HTTP
predeterminadas. Para permitir actualizaciones de Windows a través del proxy HTTP, se debe editar el
conjunto de reglas de proxy HTTP Cliente para agregar excepciones de proxy HTTP para los servidores
Windows Update.

1. Asegúrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.
Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.
2. Seleccione la pestaña Configuración de la política de proxy HTTPS.

294 Fireware XTM Web UI


Configuraciones de proxy

3. En el cuadro de texto a la izquierda del botón Agregar , ingrese o pegue cada uno de estos dominios
y haga clic en Agregar después de cada uno:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
4. Haga clic en Guardar.

Si aún no puede descargar actualizaciones de Windows


Si tiene más de una política de proxy HTTP, asegúrese de agregar las excepciones HTTP a la política y acción
de proxy correctas.

Microsoft no limita las actualizaciones sólo a estos dominios. Examine los registros de tráfico negado a un
dominio de propiedad de Microsoft. Busque el tráfico negado por el proxy HTTP. La línea de registro debe
incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP y
luego vuelva a ejecutar Windows Update.

Proxy HTTP: Pestaña Contenido


Ciertos tipos de contenido que los usuarios solicitan a sitios web pueden ser una amenaza para la seguridad
de la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. Si la definición de
proxy predeterminada no satisface todas las necesidades de la empresa, se puede agregar, eliminar o
modificar la definición.

Para configurar restricciones para contenido HTTP :

1. Edite o agregue la política HTTP Servidor proxy.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.

Guía del Usuario 295


Configuraciones de proxy

3. Configure las opciones como se describe en las siguientes secciones.


4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Tipo de contenido
Cuando un servidor web envía tráfico HTTP, en general agrega un tipo MIME o tipo de contenido al
encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en
el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.

El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, debe agregar
imagen/jpg a la definición de proxy. También puede usar el asterisco (*) como comodín. Para permitir
cualquier formato de imagen, se agrega imagen/* .

Para obtener una lista de tipos MIME registrados y actualizados, ingrese en


http://www.iana.org/assignments/media-types.

296 Fireware XTM Web UI


Configuraciones de proxy

1. Seleccione la casilla de verificación Permitir sólo los tipos de contenido seguro si desea limitar los
tipos de contenido permitidos a través a través del proxy. De manera predeterminada se incluye
una lista de tipos de MIME comunes.
2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos ,
seleccione el tipo de MIME y haga clic en <.
3. Para agregar otros tipos de contenido, en el cuadro de texto Tipos de contenido, ingrese un tipo de
contenido y haga clic en Agregar.
4. Para eliminar un tipo de contenido, selecciónelo en la lista Tipos de contenido y haga clic en
Eliminar.
No se pueden eliminar tipos de contenido predefinidos.

Patrones de nombre de archivo


Una URL (localizador uniforme de recursos) identifica un recurso en un servidor remoto e indica la
ubicación de la red en ese servidor. La ruta de URL es la cadena de información después del domain name
de nivel superior. Se puede usar el proxy HTTP para bloquear sitios web que contienen texto especificado
en la ruta de URL. Si la definición de proxy predeterminada no satisface todas las necesidades de la
empresa, se puede agregar, eliminar o modificar los patrones de ruta de URL. Utilice el asterisco (*) como
carácter comodín. Por ejemplo:

n Para bloquear todas las páginas que tienen el nombre de host www.prueba.com, ingrese el patrón:
www.prueba.com*
n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web, ingrese: *sexo*
n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web, ingrese: *.prueba

Para bloquear patrones de rutas de URL no seguros:

1. Para usar reglas de rutas de URL para filtrar el contenido del host, la ruta y los componentes de la
cadena de consulta de una URL, seleccione la casilla de verificación Denegar los patrones de nombres
de archivos no seguros.
El nombre especifica los nombres de archivos pero cualquier patrón que se ingresa se aplica a toda la ruta de URL .
2. Para agregar un nuevo patrón de ruta, ingrese la ruta y haga clic en Agregar.
3. Para eliminar un patrón de ruta, seleccione el patrón y haga clic en Eliminar.

Cookies
Las cookies HTTP son pequeños archivos de texto alfanumérico que los servidores web ponen en los
clientes web. Las cookies controlan la página en la que está un cliente web para permitir al servidor web
enviar más páginas en la secuencia correcta. Los servidores web también usan cookies para reunir
información acerca de un usuario final. Muchos sitios web usan cookies para autenticación y otras funciones
legítimas y no pueden funcionar correctamente sin cookies.

El proxy HTTP busca paquetes según el dominio asociado con la cookie. El dominio puede especificarse en
la cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Por
ejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrón: *.nosy-adware-
site.com . Si desea rechazar cookies de todos los subdominios en un sitio web, use el símbolo comodín (*)
antes y después del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,
como images.google.com y mail.google.com.

Para bloquear cookies de sitios:

Guía del Usuario 297


Configuraciones de proxy

1. Para bloquear cookies de un sitio en particular, seleccione la casilla de verificación Denegar las
cookies de estos sitios.
2. En el siguiente cuadro de texto, ingrese el domain name del sitio web o dominios parcial con
comodines.
3. Haga clic en Agregar.
4. Haga clic en Enviar.

Proxy HTTP: Pestaña Configuración


Para determinar los parámetros HTTP básicos:

1. Edite o agregue la política HTTP Servidor proxy.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.

3. Configure las opciones como se describe en las siguientes secciones.


4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Solicitudes HTTP
Tiempo de espera de conexión inactivo

Determina el tiempo que la conexión TCP de la sesión HTTP permanece abierta cuando no han
circulado paquetes a través de ella. Si ningún paquete atraviesa la conexión TCP durante el tiempo
especificado, la conexión TCP se cierra. Dado que toda sesión de TCP utiliza una pequeña cantidad
de memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTP
correctamente, esta opción se usa para controlar el rendimiento. En el campo adyacente, ingrese la
cantidad de minutos antes de que el proxy se desconecte.

Longitud máxima de URL

Define el número máximo de caracteres permitidos en una URL. En esta área del proxy, URL incluye
a todo lo que compone a la dirección web después del dominio de nivel superior. Esto incluye el
carácter diagonal pero no el nombre de host (www.miejemplo.com o miejemplo.com). Por ejemplo,
la URL www.miejemplo.com/productos cuenta diez caracteres para este límite porque /productos
tiene diez caracteres.

El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por un
equipo detrás de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a un
servidor web. La extensión mínima es de 15 bytes. Se recomienda mantener esta configuración
activada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes web
infectados en las redes que protege el proxy HTTP.

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el HTTP Servidor proxy. Esta opción es necesaria para que Informes
WatchGuard cree informes precisos sobre el tráfico HTTP.

298 Fireware XTM Web UI


Configuraciones de proxy

Respuestas HTTP
Tiempo de espera

Controla durante cuánto tiempo el proxy HTTP espera que el servidor web envíe la página web.
Cuando un usuario hace clic en un hipervínculo o ingresa una URL en la barra de dirección del
explorador web, envía una solicitud HTTP a un servidor remoto para obtener el contenido. En la
mayoría de los exploradores, la barra de estado muestra, Contactando al sitio... o un mensaje
similar. Si el servidor remoto no responde, el cliente HTTP continúa enviando la solicitud hasta que
recibe una respuesta o hasta que la solicitud ingresa en tiempo de espera. Al mismo tiempo, el
proxy HTTP continúa controlando la conexión y usa recursos de red valiosos.

Extensión máxima de línea

Controla la extensión máxima permitida de una línea de caracteres en los encabezados de respuesta
HTTP. Defina este valor para proteger a sus equipos contra explotaciones por fallas en la memoria
intermedia. Dado que las URL para muchos sitios de comercio continúan aumentando la extensión
con el tiempo, es posible que en el futuro necesite ajustar este valor.

Activar el registro para informes

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el HTTP Servidor proxy. Debe activar esta opción para crear informes
precisos sobre el tráfico HTTP Servidor proxy.

Mensaje de negación
Cuando se niega el contenido, el dispositivo WatchGuard envía un deny message predeterminado que
reemplaza al contenido negado. El usuario puede escribir un nuevo deny message para reemplazar el deny
message predeterminado. Puede personalizar el deny message con HTML estándar. También puede usar
caracteres Unicode (UTF-8) en el mensaje de negación. La primera línea del deny message es un
componente del encabezado HTTP. Debe incluir una línea vacía entre la primera línea y el cuerpo del
mensaje.

El deny message de Firebox aparece en el explorador web cuando el usuario realiza una solicitud que el
proxy HTTP no permite. También recibe un deny message cuando la solicitud está permitida, pero el proxy
HTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo
.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si el
usuario intenta descargar una página web que tiene tipo de contenido desconocido y la política de proxy
está configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en el
explorador web. El deny message predeterminado puede verse en el campo Mensaje de negación. Para
cambiar este mensaje por otro personalizado, utilice estas variables:

%(transacción)%

Incluye Solicitud o Respuesta en el deny message para mostrar qué lado de la transacción causó la
negación del paquete.

%(motivo)%

Incluye el motivo por el que Firebox negó el contenido.

Guía del Usuario 299


Configuraciones de proxy

%(método)%

Incluye el método de solicitud de la solicitud negada.

%(Host de URL)%

Incluye el nombre de host del servidor de la URL negada. Si no se incluyó un nombre de host, se
incluye la dirección IP del servidor.

%(ruta de URL)%

Incluye el componente de la ruta del URL negado.

Excepciones de proxy HTTP


Para ciertos sitios web, se usan excepciones de proxy HTTP para derivar las reglas de proxy HTTP, pero no el
marco de proxy. El tráfico que coincide con las excepciones de proxy HTTP aún atraviesa la administración
de proxy estándar utilizada por el proxy HTTP. Sin embargo, cuando ocurre una coincidencia, algunas
configuraciones de proxy no se incluyen.

El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, si
bloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitio
www.ejemplo.com, puede agregar www.ejemplo.com como una excepción de proxy HTTP.

El usuario especifica la dirección IP o el domain name de los sitios que desea permitir. El domain name (o
host) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names también
pueden terminar en un código de país, como .de (Alemania) o .jp (Japón).

Para agregar un domain name, ingrese el patrón de URL sin el inicio http://. Por ejemplo, para permitir que
los usuarios visiten el sitio web de WatchGuard http://www.watchguard.com, ingrese
www.watchguard.com . Si desea permitir todos los subdominios que contienen watchguard.com, puede
usar el asterisco (*) como carácter comodín. Por ejemplo, para permitir que los usuarios visiten
watchguard.com, www.watchguard.com y support.watchguard.com, ingrese:
*.watchguard.com

1. En el cuadro de texto adyacente a Agregar, ingrese la dirección IP de host o el domain name del
sitio web que desea permitir.
2. Haga clic en Agregar.
Repita este proceso para cada host o domain name adicional que desea agregar.
3. Si desea que se grabe un mensaje de registro en el archivo de registro cada vez que ocurre una
transacción web en un sitio web en la lista de excepciones, seleccione la casilla de verificación
Registrar cada excepción de HTTP.

Proxy HTTP: Application Blocker


El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM cuando
una política de proxy HTTP detecta el tráfico de red de mensajería instantánea (IM) o punto a punto (P2P).

En la pestaña Application Blocker, seleccione los tipos de aplicación IM y P2P a detectar y sus acciones
asociadas.

300 Fireware XTM Web UI


Configuraciones de proxy

Para obtener información acerca de estas configuraciones, consulte Acerca de las configuraciones de
Application Blocker en la página 274.

Página Acerca de Proxy HTTPS


HTTPS (Protocolo de transferencia de hipertexto sobre nivel de seguridad de la conexión, o HTTP sobre SSL)
es un protocolo de solicitud/respuesta entre clientes y servidores utilizado para comunicaciones y
transacciones seguras. El proxy HTTPS puede utilizarse para asegurar un servidor web protegido por Firebox
o para examinar el tráfico HTTPS solicitado por clientes en su red. De manera predeterminada, cuando el
cliente HTTPS inicia una solicitud, establece una conexión TCP (protocolo de control de transmisión) en el
puerto 443. La mayoría de los servidores HTTPS escuchan solicitudes en el puerto 443.

HTTPS es más seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de página
del usuario además de las páginas reenviadas por el servidor web. Debido a que el tráfico HTTPS está
cifrado, Firebox debe descifrarlo para poder examinarlo. Después de examinar el contenido, Firebox cifra
el tráfico con un certificado y lo envía al destino previsto.

El usuario puede exportar el certificado predeterminado creado por Firebox para esta función o importar
un certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el tráfico web solicitado por los
usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para
que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa el
proxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomienda
importar el certificado del servidor web existente por la misma razón.

Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar el
proxy TCP/UDP para retransmitir el tráfico al proxy HTTPS. Para obtener información sobre el proxy
TCP/UDP , consulte Página Acerca de Proxy de TCP-UDP en la página 319.

Pestaña Política
n Las conexiones HTTPS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una
política en la página 267.
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor
. Para obtener más información, consulte Acerca de la NAT estática en la página 153 y Configurar
Balance de carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para más informaciones,
vea Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado.

Guía del Usuario 301


Configuraciones de proxy

Pestaña Avanzada
 Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido. Para más información, vea:

n Proxy HTTPS : Configuración


n Proxy de HTTPS: Contenido

Proxy de HTTPS: Contenido
Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política HTTPS Servidor proxy.


Aparece la página de Configuración de políticas.
2. Haga clic en la pestaña Contenido.

302 Fireware XTM Web UI


Configuraciones de proxy

3. Configurar esas opciones:

Activar inspección profunda de contenido HTTPS

Cuando esta casilla de verificación está seleccionada, Firebox descifra el tráfico HTTPS, examina
el contenido y vuelve a cifrar el tráfico con un nuevo certificado. La política de proxy HTTP que
se elige en esta página examina el contenido.

Nota Si otro tipo de tráfico usa el puerto HTTPS, como el tráfico SSL VPN , se
recomienda evaluar esta opción con atención. El proxy de HTTPS intenta examinar
todo el tráfico en el puerto 443 de TCP de la misma manera. Para asegurarse de
que otras fuentes de tráfico funcionen correctamente, se recomienda agregar esas
fuentes a la lista de derivación. Para obtener más información consulte la siguiente
sección.

De manera predeterminada, Firebox genera automáticamente el certificado utilizado para


cifrar el tráfico. El usuario también puede cargar su propio certificado. Si el sitio web original o
el servidor web tienen un certificado no válido o con suscripción propia o si el certificado fue
firmado por una CA que Firebox no reconoce, aparece una advertencia del explorador acerca
del certificado. Los certificados que no pueden volverse a firmar correctamente aparecen
como emitidos por el Proxy HTTPS Fireware: Certificado no reconocido o simplemente
Certificado no válido.

Se recomienda importar el certificado que se usa, además de cualquier otro certificado


necesario para que el cliente confíe en ese certificado, en cada dispositivo cliente. Cuando un
cliente no confía automáticamente en el certificado utilizado para la función de inspección de
contenido, aparece una advertencia en el explorador y servicios como Windows Update no
funcionan correctamente.

Algunos programas, como algunos programas de mensajería instantánea o comunicación,


guardan copias privadas de certificados y no usan el almacenamiento de certificados del
sistema operativo. Si estos programas no tienen un método para importar certificados de CA
de confianza, es posible que no funcionen correctamente cuando se activa la inspección de
contenido.

Para más informaciones, vea Acerca de los certificados en la página 385 o Usar Certificados
para el proxy de HTTPS en la página 397.

Acción de proxy

Seleccione una política de proxy HTTP para que Firebox use cuando inspecciona contenido
HTTPS descifrado.

Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del


proxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si agrega
direcciones IP a la lista de derivación para la inspección de contenido, el tráfico de esos sitios
se filtra con las configuraciones de WebBlocker del proxy HTTPS.

Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la
página 561.

Usar OCSP para confirmar la validez de los certificados

Guía del Usuario 303


Configuraciones de proxy

Seleccione esta casilla de verificación para que Firebox automáticamente verifique las
revocaciones de certificados con OCSP (Protocolo de estado de certificado en línea). Cuando
esta función está activada, Firebox usa información en el certificado para contactar a un
servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP
responde que el certificado ha sido revocado, Firebox desactiva el certificado.

Si selecciona esta opción, puede ocurrir una demora de varios segundos mientras Firebox
solicita una respuesta del servidor OCSP . Firebox guarda entre 300 y 3000 respuestas de OCSP
para mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Firebox
determina el número de respuestas guardadas en el caché.

Tratar los certificados que no puedan ser confirmados como no válidos

Cuando esta opción está seleccionada y un respondedor OCSP no envía una respuesta a una
solicitud de estado de revocación, Firebox considera el certificado original como no válido o
revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error
de enrutamiento o un problema con la conexión de red.

Lista de derivación

Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Para
agregar un sitio web o nombre de host, ingrese la dirección IP en el cuadro de texto y haga clic
en el botón Agregar.

Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del


proxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si agrega
direcciones IP a la lista de derivación para la inspección de contenido, el tráfico de esos sitios
se filtra con las configuraciones de WebBlocker del proxy HTTPS.

Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la
página 561.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Proxy HTTPS : Configuración


Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política HTTP Servidor proxy.


Aparece la página de Configuración de políticas.
2. Seleccione la pestaña Configuración.

3. Configurar esas opciones:

Tiempo de espera inactivo

Seleccione esta casilla de verificación para cerrar conexiones HTTPS que no han enviado o
recibido tráfico durante el tiempo especificado. Para cambiar el límite de tiempo, ingrese o
seleccione un número en el cuadro de texto adyacente.

Nombres del certificado

304 Fireware XTM Web UI


Configuraciones de proxy

El usuario puede permitir o negar el acceso a sitios web cuando el certificado coincide con un
patrón de esta lista desplegable. Esta función actúa aunque no se use la inspección de
contenido profunda para descifrar el tráfico de red HTTPS.

n Permitir: seleccione esta opción para permitir tráfico desde sitios que coinciden con los
patrones en la lista Nombres del certificado.
n Negar : seleccione esta opción para rechazar conexiones de sitios que coinciden y enviar
un deny message al sitio.
n Descartar : seleccione esta opción para rechazar conexiones sin un mensaje de
negación.
n Bloquear : seleccione esta opción para descartar conexiones y automáticamente agregar
el sitio a la lista Sitios bloqueados.

Para agregar un sitio web, ingrese el domain name (en general la URL) del certificado en el
cuadro de texto adyacente y haga clic en Agregar.

Para eliminar un sitio, selecciónelo y haga clic en Eliminar.

Activar el registro para informes

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el HTTPS Servidor proxy. Debe activar esta opción para crear
informes precisos sobre el tráfico HTTPS Servidor proxy.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Página Acerca de Proxy POP3


POP3 (Protocolo de Oficina de Correos v.3) es un protocolo que mueve mensajes de correo electrónico
desde un servidor de correo electrónico a un cliente de correo electrónico en una conexión TCP a través
del puerto 110. La mayoría de las cuentas de correo electrónico basadas en Internet usan POP3. Con POP3,
un cliente de correo electrónico contacta a un servidor de correo electrónico y verifica si tiene mensajes
de correo electrónico nuevos. Si encuentra un nuevo mensaje, descarga el mensaje de correo electrónico
al cliente de correo electrónico local. Después de que el cliente de correo electrónico recibe el mensaje, la
conexión se cierra.

Con un filtro de proxy POP3, es posible:

n Ajustar los límites de tiempo de espera y extensión de línea para asegurarse de que el proxy POP3
no use demasiados recursos de red y para impedir algunos tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrónico que se les envía.
n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME.
n Bloquear patrones de ruta y URL especificados.

Para agregar el proxy POP3 a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.

Guía del Usuario 305


Configuraciones de proxy

Pestaña Política
n Las conexiones POP3-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una
política en la página 267.
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado.

Pestaña Avanzada
 Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido.

n Proxy POP3 : Configuración


n Proxy POP3 : Contenido

306 Fireware XTM Web UI


Configuraciones de proxy

Proxy POP3 : Contenido


Los encabezados de mensajes de correo electrónico incluyen un encabezado de tipo de contenido para
mostrar el tipo MIME del correo electrónico y de cualquier adjunto. El tipo de contenido o tipo MIME
informa al equipo los tipos de medios que contiene el mensaje. Ciertos tipos de contenido incluidos en el
mensaje de correo electrónico pueden ser una amenaza de seguridad para la red. Otros tipos de contenido
pueden disminuir la productividad de los usuarios.

Para mejorar la seguridad de red y el rendimiento:

1. Editar o agregar la política POP3 Servidor proxy.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.

3. Configurar esas opciones:

Permitir sólo los tipos de contenido seguro

En la lista Tipos de contenido, el usuario puede configurar valores para el filtrado de contenido
y la acción a seguir para tipos de contenido que no coinciden con los criterios. Para la política
de proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para la
política de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.

El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, se
agrega imagen/jpg . También puede usar el asterisco (*) como comodín. Para permitir
cualquier formato de imagen, se agrega imagen/* a la lista.

Denegar los patrones de nombres de archivos no seguros

Guía del Usuario 307


Configuraciones de proxy

Este conjunto de reglas se usa en una acción de proxy POP3 servidor para poner límites en los
nombres de archivo para adjuntos de correo electrónico entrante. Este conjunto de reglas se
usa en una acción de proxy POP3 cliente para poner límites en los nombres de archivo para
adjuntos de correo electrónico saliente. El usuario puede agregar, eliminar o modificar reglas.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Proxy POP3 : Configuración


Cuando se agrega una política de proxy POP3, se pueden configurar opciones adicionales relacionadas con
el protocolo POP3.

Para mejorar la seguridad de red y el rendimiento:

1. Editar o agregar la política POP3 Servidor proxy.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.

3. Configurar esas opciones:

Tiempo de espera

Utilice esta configuración para limitar la cantidad de minutos en los que el cliente de correo
electrónico intenta abrir una conexión con el servidor de correo electrónico antes de que la
conexión se cierre. Esto impide que el proxy use demasiados recursos de red cuando el
servidor POP3 está lento o no se puede alcanzar.

Longitud máxima de línea

Utilice esta configuración para impedir algunos tipos de ataques de fallas en la memoria
intermedia. Las extensiones de línea muy largas pueden causar fallas en la memoria intermedia
en algunos sistemas de correo electrónico. La mayoría de los clientes y sistemas de correo
electrónico envían líneas relativamente cortas, pero algunos sistemas de correo electrónico
web envían líneas muy extensas. Sin embargo, es poco probable que el usuario tenga que
cambiar esta configuración, a menos que evite el acceso a correo electrónico legítimo. La
configuración predeterminada es 1000 bytes.

Mensaje de negación

En el cuadro de texto Mensaje de negación, puede escribir un mensaje de texto sin cifrar
personalizado en HTML estándar que aparece en el correo electrónico del destinatario cuando
el proxy bloquea ese correo electrónico. Se pueden usar las siguientes variables:

n %(motivo)%: incluye el motivo por el que Firebox negó el contenido.


n %(tipo)%: incluye el tipo de contenido que se negó.
n %(nombre de archivo)%: incluye el nombre de archivo del contenido negado.
n %(virus)%: incluye el nombre o el estado de un virus. Sólo para usuarios de Gateway
AntiVirus.
n %(acción)%: incluye el nombre de la acción seguida; bloquear, extraer, etc.
n %(recuperación)%: incluye si se puede recuperar el adjunto.

Activar el registro para informes

308 Fireware XTM Web UI


Configuraciones de proxy

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por el POP3 Servidor proxy. Debe activar esta opción para crear
informes precisos sobre el tráfico POP3 Servidor proxy.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Página Acerca de Proxy SIP


Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar un SIP (Protocolo de inicio de sesión) o
una ALG (puerta de enlace de la capa de aplicación) H.323 para abrir los puertos necesarios para activar
VoIP a través de Firebox. Una ALG se crea del mismo modo que una política de proxy y ofrece opciones de
configuración similares. Estas ALG se han creado para funcionar en un entorno NAT para mantener la
seguridad en equipos de conferencias con direcciones privadas detrás de Firebox.

H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un
estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como
teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar cuál ALG
necesita agregar, consulte la documentación para dispositivos o aplicaciones VoIP.

Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.

Componentes de VoIP
Es importante comprender que en general VoIP se implementa con:

Conexiones punto a punto

En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,
éste puede enrutar el tráfico de llamada correctamente.

Conexiones hospedadas

Conexiones hospedadas por un sistema de gestión de llamadas (PBX)

En el SIP estándar, dos componentes clave de la gestión de llamadas son el Log Server SIP y el Proxy SIP.
Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestión de llamadas.
La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG de
WatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema de
gestión de llamadas externo a Firebox. En esta versión, no se admite SIP cuando el sistema de gestión de
llamadas está protegido por Firebox.

La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP . Esto puede ayudar al usuario a resolver cualquier problema.

Funciones de ALG
Cuando se activa una SIP-ALG, Firebox:

Guía del Usuario 309


Configuraciones de proxy

n Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados.


n Se asegura de que las conexiones VoIP usen protocolos SIP estándar.
n Genera mensajes de registro con fines de auditoría.

Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar
puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP .

Para agregar la SIP ALG a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.

Pestaña Política
n Las conexionesSIP-ALG están: especifica silas conexionesestán Permitidas,Negadas oNegadas
(enviar restablecer)y define el contenidode lalista Desdey Hasta (en lapestaña Política de la definición
de ALG).Para másinformaciones, veaDefinir reglasde accesoa unapolítica enla página267.
n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en la
definición de ALG, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para más informaciones, vea
Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada
 Pueden usarse varias otras opciones en la definición de ALG:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las ALG de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el
tipo de tráfico de red que controla la ALG. Para modificar estas configuraciones, edite una ALG y haga clic
en la pestaña Configuración o Contenido.

310 Fireware XTM Web UI


Configuraciones de proxy

n SIP ALG: Configuración


n SIP ALG: Contenido

SIP ALG: Contenido


Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicación), se pueden configurar opciones
adicionales relacionadas con el protocolo SIP.

Para mejorar la seguridad de red y el rendimiento:

1. Editar o agregar la política SIP ALG.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.
3. Configurar esas opciones:

Codecs negados

Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión SIP
VoIP que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión
automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario para que la solución VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.

Para agregar un codec a la lista, ingrese el nombre del codec o el patrón de texto único en el
cuadro de texto y haga clic en Agregar. No use caracteres comodín ni sintaxis de expresión
regular. Los patrones codec distinguen mayúsculas de minúsculas.

Para borrar un codec de la lista, selecciónelo y haga clic en Eliminar.

Guía del Usuario 311


Configuraciones de proxy

Activar control de acceso para VoIP

Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté
activada, la SIP ALG permite o restringe llamadas según las opciones configuradas.

Configuración predeterminada

Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los usuarios
VoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificación Recibir
llamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manera
predeterminada. Seleccione la casilla de verificación adyacente Registro para crear un mensaje
de registro para cada conexión SIP VoIP iniciada o recibida.

Niveles de acceso

Para crear una excepción a la configuración predeterminada especificada anteriormente,


ingrese un nombre de host, una dirección IP o una dirección de correo electrónico. Seleccione
un nivel de acceso en la lista desplegable adyacente y luego haga clic en Agregar.

Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas
únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican sólo al tráfico SIP VoIP.

Si desea eliminar una excepción, selecciónela en la lista y haga clic en Eliminar.

Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro
cuando cree la excepción.

312 Fireware XTM Web UI


Configuraciones de proxy

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

SIP ALG: Configuración


Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicación), se pueden configurar opciones
adicionales relacionadas con el protocolo SIP.

Para mejorar la seguridad de red y el rendimiento:

1. Editar o agregar la política SIP ALG.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.

Activar normalización de encabezado

Seleccione esta casilla de verificación para negar encabezados SIP extremadamente largos o
malformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si es
necesario se puede desactivar esta opción para que la solución VoIP funcione correctamente.

Activar ocultación de topología

Esta función reescribe los encabezados de tráfico SIP para eliminar información de red privada,
como direcciones IP . Recomendamos mantener esta opción activada, salvo que tenga un
dispositivo de puerta de enlace VoIP actual que realice la ocultación de topología.

Activar protección de cosecha de directorio.

Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar
información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por
defecto.

Sesiones máximas

Utilice esta función para restringir el número máximo de sesiones de audio o video que
pueden crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de
sesiones máximas en una y participa en una llamada VoIP con audio y video, la segunda
conexión se descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro
sesiones. Firebox crea una entrada de registro cuando niega una sesión multimedia por encima
de este número.

Guía del Usuario 313


Configuraciones de proxy

Activar el registro para informes

Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por la SIP ALG. Debe activar esta opción para crear informes precisos
sobre el tráfico SIP.

Información del agente usuario

Para identificar el tráfico SIP saliente como un cliente específico, ingrese una nueva cadena de
agente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agente
usuario falso, desmarque el cuadro de texto.

Canales de medios inactivos

Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor máximo es 600 segundos (diez minutos). Para especificar un intervalo de
tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios
inactivos.

3. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
4. Haga clic en Guardar.

Página Acerca de Proxy SMTP


SMTP (Protocolo simple de transferencia de correo) es un protocolo utilizado para enviar mensajes de
correo electrónico entre servidores de correo electrónico y también entre clientes de correo electrónico y
servidores de correo electrónico. En general utiliza una conexión TCP en el puerto 25. El proxy SMTP se
puede usar para controlar mensajes de correo electrónico y contenido de correo electrónico. El proxy
escanea los mensajes SMTP para un número de parámetros filtrados y los compara con las reglas en la
configuración de proxy.

Con un filtro de proxy SMTP, es posible:

n Ajustar los límites de tiempo de espera, tamaño máximo del correo electrónico y extensión de línea
para asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunos
tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrónico que intentan recibir.
n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME y patrones de
nombre.
n Limitar las direcciones de correo electrónico a las que se pueden enviar mensajes de correo
electrónico y automáticamente bloquear mensajes de correo electrónico de remitentes específicos.

Para agregar el proxy SMTP a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.

Pestaña Política
n Las conexiones SMPT Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una

314 Fireware XTM Web UI


Configuraciones de proxy

política en la página 267.


n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para más informaciones,
vea Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada
 Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración, Dirección y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido. El proxy SMTP también incluye
una pestaña Dirección, donde pueden configurarse opciones para remitentes y destinatarios de mensajes
de correo electrónico.

n Proxy SMTP : Configuración


n Proxy SMTP : Dirección
n Proxy SMTP : Contenido

Proxy SMTP : Dirección


Cuando se agrega una política de proxy SMTP , pueden configurarse opciones adicionales relacionadas con
el protocolo SMTP.

Para limitar quiénes pueden enviar y recibir mensajes de correo electrónico:

Guía del Usuario 315


Configuraciones de proxy

1. Edite o agregue la política SMTP Servidor proxy.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Dirección.

3. Configurar esas opciones:

Bloquear el correo electrónico de emisores no seguros

Seleccione esta casilla de verificación para limitar quiénes pueden enviar mensajes de correo
electrónico a destinatarios en su red. Para agregar un remitente a la lista, ingrese la dirección
de correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El
asterisco (*) puede usarse como carácter comodín para hacer coincidir más de un remitente.

Limitar destinatarios de correo electrónico

Seleccione esta casilla de verificación para permitir que sólo usuarios especificados reciban
mensajes de correo electrónico. Para agregar un destinatario a la lista, ingrese la dirección de
correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El asterisco
(*) puede usarse como carácter comodín para hacer coincidir más de un destinatario.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Proxy SMTP : Contenido


Cuando se agrega una política de proxy SMTP , pueden configurarse opciones adicionales relacionadas con
el protocolo SMTP. Ciertos tipos de contenido incluidos en el mensaje de correo electrónico pueden ser
una amenaza de seguridad para la red. Otros tipos de contenido pueden disminuir la productividad de los
usuarios. El conjunto de reglas para la acción de proxy SMTP entrante se usa para configurar valores para el
filtrado de contenido SMTP entrante. El conjunto de reglas para la acción de proxy SMTP saliente se usa
para configurar valores para el filtrado de contenido SMTP saliente. El proxy SMTP admite los siguientes
tipos de contenido de manera predeterminada: texto/*, imagen/*, multiparte/*, mensaje/*, aplicación/* y
aplicación/x-watchguard-bloqueado.

Para mejorar la seguridad de red y el rendimiento:

316 Fireware XTM Web UI


Configuraciones de proxy

1. Edite o agregue la política SMTP Servidor proxy.


Aparece la página "Configuración de Política".
2. Haga clic en la pestaña Contenido.
3. Configurar esas opciones:

Permitir sólo los tipos de contenido seguro

Para permitir sólo los tipos MIME configurados en la lista Tipos de contenido, seleccione esta
casilla de verificación.

Para agregar un tipo de contenido predefinido a la lista Tipos de contenido, seleccione la


entrada y haga clic en < para copiar la entrada.

Para agregar un nuevo tipo de contenido, ingrese el tipo MIME en la lista adyacente y haga clic
en Agregar. El asterisco (*) puede usarse como carácter comodín para hacer coincidir más de
un tipo MIME al mismo tiempo.

Para eliminar un tipo de contenido, seleccione la entrada y haga clic en Eliminar. No pueden
eliminarse tipos de contenido en la lista Tipos de contenido predefinidos.

Denegar los patrones de nombres de archivos no seguros

Seleccione esta casilla de verificación para negar mensajes de correo electrónico con adjuntos
que tienen nombres de archivo que coinciden con un patrón en la lista adyacente.

Para agregar un patrón de nombre de archivo, ingrese el patrón de nombre de archivo en el


cuadro de texto adyacente y haga clic en Agregar. El asterisco (*) puede usarse como carácter
comodín para hacer coincidir más de un nombre de archivo al mismo tiempo.

Para eliminar un patrón de nombre de archivo, selecciónelo en la lista y haga clic en Eliminar.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Guía del Usuario 317


Configuraciones de proxy

Proxy SMTP : Configuración


Cuando agrega una política de proxy SMTP , puede configurar opciones adicionales relacionadas con el
protocolo DNS.

Para mejorar la seguridad de red y el rendimiento:

1. Edite o agregue la política SMTP Servidor proxy.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.
3. Configurar esas opciones:

Tiempo de espera

El usuario puede establecer la cantidad de tiempo que una conexión SMTP entrante puede
estar inactiva antes de que la conexión se cierre. El valor predeterminado es 10 minutos.

Para cambiar este valor, ingrese o seleccione un número en el campo adyacente.

Tamaño máximo de correo electrónico

Utilice esta opción para configurar la extensión máxima de los mensajes SMTP entrantes. El
valor predeterminado es de 10.000.000 bytes o 10 MB.

Para cambiar este valor, ingrese o seleccione un número en el campo adyacente.

Para permitir mensajes de cualquier tamaño, configure el valor en cero (0).

La codificación puede aumentar la extensión de los archivos incluso en un tercio. Por ejemplo,
para permitir mensajes de hasta 10 KB, debe configurar este campo en un mínimo de 1.334
 bytes para asegurarse de recibir los mensajes de 10 KB .

Longitud máxima de línea

Puede configurar la extensión máxima de línea para las líneas de los mensajes SMTP. Las
extensiones de línea muy largas pueden causar fallas en la memoria intermedia en algunos
sistemas de correo electrónico. La mayoría de los clientes de correo electrónico envían
extensiones de línea cortas, pero algunos sistemas de correo electrónico Web envían líneas
muy largas.

La configuración predeterminada es de 1.000 bytes o 1 KB.

Para cambiar este valor, ingrese o seleccione un número en el campo adyacente.

Para permitir extensiones de línea de cualquier tamaño, configure el valor en cero (0).

Activar el registro para informes

Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud de
conexión administrada mediante el proxy SMTP. Debe activar esta opción para crear informes
precisos acerca del tráfico proxy SMTP.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

318 Fireware XTM Web UI


Configuraciones de proxy

Configure el proxy SMTP para colocar mensajes de correo


electrónico en cuarentena
El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidad
completa para cualquier mensaje de correo electrónico con sospecha o certeza de ser spam o de contener
virus. Este depósito recibe mensajes de correo electrónico del proxy SMTP y filtrados por spamBlocker.

Para configurar el proxy SMTP para colocar mensajes de correo electrónico en cuarentena:

1. Agregue el proxy SMTP a su configuración y active spamBlocker en la definición de proxy.


O bien, active spamBlocker y selecciónelo para activarlo para el proxy SMTP.
2. Cuando se configuran las acciones que spamBlocker aplica para diferentes categorías de mensajes
de correo electrónico (como se describe en Configurado spamBlocker en la página 583),
asegúrese de seleccionar la acción Cuarentena para al menos una de las categorías. Cuando se
selecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho.

También se puede seleccionar la acción Cuarentena para mensajes de correo electrónico identificados por
la Virus Outbreak Detection como portadores de virus. Para más informaciones, vea Configurar acciones de
Virus Outbreak Detection para una política en la página 593.

Página Acerca de Proxy de TCP-UDP


El proxy de TCP-UDP se incluye para estos protocolos en puertos no estándar: HTTP, HTTPS, SIP y FTP. En el
caso de estos protocolos, el proxy de TCP-UDP retransmite el tráfico a los servidores proxy correctos para
los protocolos o le da la posibilidad de permitir o negar el tráfico. En el caso de otros protocolos, puede
seleccionar si desea permitir o negar el tráfico. También puede utilizar esta política de proxy para permitir o
negar el tráfico de red mediante IM (mensajería instantánea) y P2P (punto a punto) . El proxy de TCP-UDP
 está pensado sólo para las conexiones salientes.

Para agregar el proxy de TCP-UDP a su configuración de Firebox, consulte Agregar una política de proxy a
la configuración en la página 277.

Pestaña Política
n Las conexiones del proxy de TCP-UDP están — Especifique si las conexiones están Permitidas,
Negadas o Negadas (enviar restablecer), y defina quién aparece en la lista De y A (en la pestaña
Política de la definición de proxy). Para obtener más información, consulte Definir reglas de acceso
a una política en la página 267.
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
carga en el servidor en la página 154.

Pestaña Propiedades
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación .

Guía del Usuario 319


Configuraciones de proxy

n Si configuró la lista desplegable Las conexiones están (en la pestaña Política) como Negadas o
Negadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. Vea
Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuard
o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.

Pestaña Avanzada
 Pueden usarse varias otras opciones en la definición de proxy:

n Establecer un cronograma operativo


n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política

Pestañas Configuración y Contenido


Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido.

n Proxy de TCP-UDP: Configuración


n Proxy de TCP-UDP: Contenido

Proxy de TCP-UDP: Contenido


Puede utilizar la configuración del Application Blocker en la pestaña Contenido para definir las acciones que
realiza el dispositivo Firebox o XTM cuando una política de proxy TCP-UDP detecta tráfico de red de
mensajería instantánea (IM) o punto a punto (P2P).

En la pestaña Contenido, marque la casilla de selección para los tipos de aplicación IM y P2P que desea que
el proxy TCP-UDP detecte, como también la acción asociada.

Para más información, vea Acerca de las configuraciones de Application Blocker en la página 274.

Proxy de TCP-UDP: Configuración


Cuando agrega una política de proxy de TCP-UDP, puede configurar opciones adicionales relacionadas con
los protocolos de redes múltiples.

Para especificar las políticas de proxy que filtran distintos tipos de tráfico de red:

1. Editar o agregar la política POP3 Servidor proxy.


Aparece la página "Configuración de Política".
2. Seleccione la pestaña Configuración.

320 Fireware XTM Web UI


Configuraciones de proxy

3. Configurar esas opciones:

Acciones del servidor proxy para redirigir el tráfico

El proxy de TCP-UDP puede pasar el tráfico HTTP, HTTPS, SIP y FTP a políticas de proxy que ya
haya creado cuando este tráfico se envíe por puertos no estándar. En el caso de cada uno de
estos protocolos, en las listas desplegables adyacentes, seleccione la política de proxy que
desea para administrar este tráfico.

Si no desea que su Firebox utilice una política de proxy para filtrar un protocolo, seleccione
Permitir o Negar en la lista desplegable adyacente.

Nota Para asegurarse de que su Firebox funciona correctamente, no podrá seleccionar


Permitir para el protocolo FTP.

Activar el registro para informes

Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud de
conexión administrada mediante el proxy TCP-UDP. Debe activar esta opción para crear
informes precisos acerca del tráfico proxy TCP-UDP.

4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
5. Haga clic en Guardar.

Guía del Usuario 321


Configuraciones de proxy

Guía del Usuario 322


14 Administración de tráfico y QoS

Acerca de las Administración de tráfico y QoS


En una red amplia con muchas computadoras, el volumen de datos que se desplaza por el firewall puede
ser muy grande. Un administrador de red puede utilizar las acciones de Administración de tráfico y Calidad
de servicio (QoS) para evitar la pérdida de datos para importantes aplicaciones comerciales y para
asegurarse de que las aplicaciones críticas de la misión tengan prioridad sobre el resto del tráfico.

La administración de tráfico y la QoS proporcionan una cantidad de beneficios. Se puede:

n Garantizar o limitar el ancho de banda


n Controlar la velocidad a la cual Firebox envía paquetes a la red
n Priorizar cuándo enviar paquetes a la red

Para aplicar la administración de tráfico a las políticas, usted define una acción de administración de tráfico,
que es una colección de configuraciones que puede aplicar a una o más definiciones de la política. De esta
manera, no necesita ajustar la configuración de la administración de tráfico de manera independiente en
cada política. Puede definir acciones de administración de tráfico adicionales si desea aplicar diferentes
configuraciones a diferentes políticas.

Activar administración de tráfico y QoS


Por motivos de rendimiento, todas las funciones de administración de tráfico y QoS están desactivadas de
manera predeterminada. Debe activar estas funciones en la Configuración global antes de poder utilizarlas.

1. Seleccione Sistema > Configuración global.


Aparece la página de Configuración global.

Guía del Usuario 323


Administración de tráfico y QoS

2. Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
3. Haga clic en Guardar.

Garantice ancho de banda


Las reservas de ancho de banda pueden evitar los tiempos de espera de conexión. Una cola de
administración de tráfico con ancho de banda reservado y una prioridad baja puede proporcionar ancho de
banda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otras
colas de administración de tráfico pueden aprovechar el ancho de banda reservado sin utilizar cuando esté
disponible.

Por ejemplo, supongamos que la compañía tiene un servidor FTP en una red externa y desea garantizar que
el FTP siempre tenga por lo menos 200 kilobytes por segundo (KBps) mediante la interfaz externa. También
puede considerar la configuración de un ancho de banda mínimo para la interfaz de confianza para
asegurarse de que la conexión tenga un ancho de banda garantizado de extremo a extremo. Para hacer
esto, debería crear una acción de administración de tráfico que defina un mínimo de 200 KBps para el
tráfico FTP en la interfaz externa. Entonces, crearía una política FTP y aplicaría la acción de administración
de tráfico. Esto permitirá ejecutar el comando ftp put a 200 KBps. Si desea permitir la ejecución del
comando ftp get a 200 KBps, debe configurar el tráfico FTP en la interfaz de confianza para que también
tenga un mínimo de 200 KBps.

324 Fireware XTM Web UI


Administración de tráfico y QoS

Como ejemplo adicional, supongamos que su compañía utiliza materiales multimedia (streaming media)
para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene
cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas
compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de
banda suficiente, puede aplicar una acción de administración de tráfico a la interfaz externa para el puerto
de materiales multimedia.

Restrinja el ancho de banda


La configuración de ancho de banda garantizado trabaja con el ajuste del Ancho de banda de interfaz
saliente configurado para cada interfaz externa para asegurarse de que no garantice más ancho de banda
del que realmente existe. Esta configuración también ayuda a asegurar que la suma de la configuración de
ancho de banda garantizado no llene el enlace de modo que el tráfico no garantizado no pueda pasar. Por
ejemplo, supongamos que el enlace es de 1 Mbps y usted intenta utilizar una acción de administración de
tráfico que garantiza 973 Kbps (0.95 Mbps) a la política FTP en ese enlace. Con esta configuración, el tráfico
FTP podría utilizar una cantidad tal del ancho de banda disponible que otros tipos de tráfico no podrían
utilizar la interfaz.

Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de tráfico de red saliente. Cuando
marca el tráfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para
este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera
adecuada mientras viaja de un punto a otro de la red.

Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el
marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado.

Prioridad de tráfico
Puede asignar diferentes niveles de prioridad a las políticas o al tráfico de una interfaz en particular. La
priorización del tráfico en el firewall le permite administrar cosas de clase de servicio (CoS) múltiples y
reservar la prioridad más alta para los datos en tiempo real o la transmisión de datos. Una política con alta
prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace
está congestionado; entonces, el tráfico debe competir por el ancho de banda.

Configurar el ancho de banda de interfaz saliente


Algunas funciones de administración de tráfico exigen que establezca un límite de ancho de banda para
cada interfaz de red. Por ejemplo, debe establecer la configuración de Ancho de banda de interfaz saliente
para utilizar el marcado QoS y la priorización.

Después de configurar este límite, Firebox completa las tareas de priorización básica sobre el tráfico de red
para evitar problemas de tráfico excesivo en la interfaz especificada. Además, aparece una advertencia en
Fireware XTM Web UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administración
de tráfico.

Guía del Usuario 325


Administración de tráfico y QoS

Si no cambia la configuración de Ancho de banda de interfaz saliente en ninguna interfaz del valor
predeterminado en 0, está configurada para autonegociar la velocidad de enlace para esa interfaz.

1. Seleccione Administración de tráfico > por firewall.


Aparece la página de administración de tráfico.
2. Haga clic en la pestaña Interfaces.

3. En la columna Ancho de banda adyacente al nombre de la interfaz, ingrese la cantidad de ancho de


banda proporcionada por la red.
Utilice la velocidad de carga de su conexión a Internet en kilobits o megabits por segundo (Kbps o
Mbps).
Configure el ancho de banda de su interfaz LAN sobre la base de la velocidad de enlace mínima
admitida por su infraestructura LAN.
4. Para cambiar la unidad de la velocidad, seleccione una interfaz de la lista, luego haga clic en la
unidad de velocidad adyacente y seleccione una opción diferente en la lista desplegable.
5. Haga clic en Guardar.

Configure los límites de la tasa de conexión


Para mejorar la seguridad de red, puede crear un límite en una política de modo que sólo filtre una
cantidad específica de conexiones por segundo. Si se intentan realizar conexiones adicionales, el tráfico se
niega y se crea un mensaje de registro.

1. Seleccione Firewall > Políticas de firewall o Políticas > de Mobile VPN para firewall.


Aparecerá la página de Políticas.
2. Haga doble clic en una política o seleccione la política que desea configurar y haga clic en Editar.
3. Haga clic en la pestaña Avanzado.
4. Seleccione la casilla de verificación Tasa de conexión.
5. En el cuadro de texto adyacente, ingrese o seleccione el número de conexiones que puede
procesar esta política en un segundo.

326 Fireware XTM Web UI


Administración de tráfico y QoS

6. Haga clic en Guardar.

Acerca de las Marcado QoS


Las redes actuales suelen constar de varios tipos de tráfico de red que compiten por el ancho de banda.
Todo el tráfico, ya sea de primordial importancia o carente de importancia, tiene la misma posibilidad de
llegar a destino de manera oportuna. El marcado de calidad del servicio (QoS) le brinda un tratamiento
preferencial al tráfico crítico, para asegurarse de que sea entregado de manera rápida y confiable.

La función de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.
Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio
para distintos tipos de tráfico de red. Cuando marca el tráfico, puede cambiar hasta seis bits en los campos
del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden
utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro
de la red.

Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase de
servicio) y marca de Differentiated Service Code Point (DSCP). Para obtener más información acerca de estos
tipos de marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la página 328.

Antes de empezar
n Asegúrese de que su equipo de LAN soporte el marcado y la administración QoS. Es posible que
también deba asegurarse de que su ISP soporte el marcado QoS.
n El uso de procedimientos de QoS en una red requiere una planificación exhaustiva. Primero puede
identificar el ancho de banda teórico disponible y luego determinar qué aplicaciones de red son de
alta prioridad, especialmente sensibles a la latencia y la oscilación o ambas opciones.

Marcado QoS para interfaces y políticas


Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el
marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado. El marcado QoS
para una política anula cualquier configuración de marcado QoS en una interfaz.

Por ejemplo, supongamos que su Firebox recibe tráfico con marcado QoS de una red de confianza y lo
envía a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el
tráfico a su equipo ejecutivo obtenga una prioridad más alta que el resto del tráfico de red de la interfaz de
confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,
agregue una política con configuración de marcado QoS para el tráfico a su equipo ejecutivo con un valor
más alto.

Marcado QoS y tráfico IPSec


Si desea aplicar el marcado QoS al tráfico IPsec, debe crear una política de firewall específica para la política
IPsec correspondiente y aplicarle el marcado QoS a esa política.

También puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado
en un encabezado IPSec.

Guía del Usuario 327


Administración de tráfico y QoS

Para preservar el marcado:

1. Seleccione VPN > Configuraciones Globales.


Aparece la página de configuración de VPN global.
2. Seleccione la casilla de verificación Activar TOS para IPSec.
3. Haga clic en Guardar.
Se preservan todas las marcas existentes cuando el paquete es encapsulado en un encabezado IPSec.

Para eliminar el marcado:

1. Seleccione VPN > Configuraciones Globales.


Aparece la página de configuración de VPN global.
2. Limpie la casilla de verificación Activar TOS para IPSec.
3. Haga clic en Guardar.
Se restablecen los bits de TOS y no se preserva el marcado.

Marcado: tipos y valores


Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase
de servicio) y marca de Differentiated Service Code Point (DSCP). La marca de precedencia IP sólo afecta a
los tres primeros bits del octeto de tipo de servicio IP (TOS). La marca DSCP amplía el marcado a los seis
primeros bits del octeto de TOS IP. Ambos métodos le permiten preservar los bits en el encabezado, que
pueden haber sido marcados previamente por un dispositivo externo, o cambiarlos a un nuevo valor.

Los valores de DSCP se pueden expresar de forma numérica o mediante nombres de palabras clave
especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la
prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de
Fireware soporta tres tipos de comportamiento por salto:

Mejor esfuerzo

Mejor esfuerzo es el tipo de servicio predeterminado y se recomienda para el tráfico no crítico o no


realizado en tiempo real. Si no utiliza el marcado QoS, todo el tráfico recaerá dentro de esta clase.

Assured Forwarding (AF)

El Assured Forwarding se recomienda para el tráfico que requiere mejor confiabilidad que el
servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured
Forwarding (AF), el tráfico puede asignarse a tres clases: baja, media y alta.

Desvío urgente (EF)

Este tipo tiene la prioridad más alta. Generalmente se reserva para el tráfico crítico de la misión y en
tiempo real.

Los puntos de código del selector de clase (CSx) se definen como compatibles con las versiones anteriores
de los valores de precedencia IP. CS1 a CS7 son idénticos a los valores de precedencia IP 1 a 7.

La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP
correspondiente (que es igual al valor CS) y la descripción en palabras clave de PHB.

328 Fireware XTM Web UI


Administración de tráfico y QoS

Valor de precedencia IP Descripción: Palabra clave del


Valor de DSCP
equivalente (valores CS) comportamiento por salto

0 Mejor esfuerzo (igual a la carencia de marcado)

8 1 Scavenger*

10 AF Clase 1 - Baja

12 AF Clase 1 - Media

14 AF Clase 1 - Alta

16 2

18 AF Clase 2 - Baja

20 AF Clase 2 - Media

22 AF Clase 2 - Alta

24 3

26 AF Clase 3 - Baja

28 AF Clase 3 - Media

30 AF Clase 3 - Alta

32 4

34 AF Clase 4 - Baja

36 AF Clase 4 - Media

38 AF Clase 4 - Alta

40 5

46 EF

48 6 Control de Internet

56 7 Control de red

* La clase Scavenger se utiliza para el tráfico de prioridad más baja (por ejemplo, para compartir medios o
utilizar aplicaciones de juegos). Este tráfico tiene una prioridad más baja que Mejor esfuerzo.

Para obtener más información acerca de los valores de DSCP consulte esta referencia: http://www.rfc-
editor.org/rfc/rfc2474.txt

Activar marcado QoS para una interfaz


Puede establecer el comportamiento de marcado predeterminado a medida que el tráfico sale de una
interfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una política.

Guía del Usuario 329


Administración de tráfico y QoS

1. Seleccione Administración de tráfico > por firewall.


Aparece la página de administración de tráfico.
2. Limpie la casilla de verificación Desactivar toda administración de tráfico. Haga clic en Guardar.
Es posible que desee desactivar estas funciones más tarde si realiza pruebas de rendimiento o depuración de red.
3. Seleccione Interfaces de >red.
Aparece la página de Interfaces de red.
4. Seleccione la interfaz para la cual desea activar el marcado QoS. Haga clic en Configurar.
Aparece la página Configuración de interfaz.
5. Haga clic en Avanzado.

6. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.


7. En la lista desplegable Método de marcado, seleccione el método de marcado:

n Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
8. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad más alta).
Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.
Para obtener más información acerca de estos valores, consulte Marcado: tipos y valores en la
página 328.
9. Seleccione la casilla de verificación Priorizar tráfico basado en el marcado QoS.
10. Haga clic en Guardar.

Activar el marcado QoS o configuraciones de priorización para


una política
Además de marcar el tráfico que abandona una interfaz de Firebox, también puede marcar el tráfico por
política. La acción de marcado que selecciona es aplicada a todo el tráfico que usa la política. Las políticas
múltiples que utilizan las mismas acciones de marcado no tienen efecto una sobre otra. Las interfaces de
Firebox también pueden tener su propia configuración de marcado QoS. Para utilizar el marcado QoS o la
configuración de priorización para una política, debe cancelar cualquier configuración de marcado QoS por
interfaz.

1. Seleccione Firewall > Políticas de firewall o Políticas> de Mobile VPN para firewall.


Aparecerá la página de Políticas.
2. Seleccione la política que desea cambiar. Haga clic en Editar.
3. Haga clic en la pestaña Avanzado.

330 Fireware XTM Web UI


Administración de tráfico y QoS

4. Seleccione la casilla de verificación Cancelar configuraciones por interfaz para activar otros campos
de marcado QoS y priorización.
5. Complete la configuración como se describe en las secciones subsiguientes.
6. Haga clic en Guardar.

Configuración de marcado QoS


Para obtener más información acerca de los valores de marcado QoS, consulte Marcado: tipos y valores en
la página 328.

1. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.


2. En la lista desplegable Método de marcado, seleccione el método de marcado:

n Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
3. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad más alta).
Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.
4. En la lista desplegable Priorizar tráfico basado en, seleccione Marcado QoS.

Configuración de priorización
Se pueden utilizar muchos algoritmos para priorizar el tráfico de red. Fireware XTM utiliza un método de
cola de alto rendimiento según la clase basado en el algoritmo de marcado jerárquico de paquetes
(Hierarchical Token Bucket, HTB). La priorización en el Fireware XTM se aplica por política y es equivalente a
los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la
prioridad más alta. El nivel 5 comúnmente se utiliza para transmitir datos como VoIP o videoconferencias.
Reserve los niveles 6 y 7 para las políticas que permiten las conexiones de administración del sistema, para
asegurarse de que estén siempre disponibles y evitar la interferencia de otro tráfico de red de alta
prioridad. Utilice la tabla de niveles de prioridad como guía cuando asigne las prioridades.

1. En la lista desplegable Priorizar tráfico basado en, seleccione Valor personalizado.


2. En la lista desplegable Valor, seleccione un nivel de prioridad.

Guía del Usuario 331


Administración de tráfico y QoS

Niveles de prioridad
Le recomendamos asignar una prioridad superior a 5 sólo a las políticas administrativas de WatchGuard,
como la política WatchGuard, la política WG-Logging o la política WG-Mgmt-Server. El tráfico comercial de
alta prioridad deberá obtener una prioridad de 5 o menor.

Prioridad Descripción

0 Rutinaria (HTTP, FTP)

1 Prioridad

2 Inmediata (DNS)

3 Flash (Telnet, SSH, RDP)

4 Cancelar Flash

5 Crítica (VoIP)

6 Control de interconexión de redes (Configuración del enrutador remoto)

7 Control de red (Administración de firewall, enrutador e interruptor)

Control de tráfico y definiciones de políticas


Definir un Acción de administración de tráfico
Las acciones de administración de tráfico pueden imponer restricciones de ancho de banda y garantizar una
cantidad mínima de ancho de banda para una o más políticas. Cada acción de administración de tráfico
puede incluir configuraciones para interfaces múltiples. Por ejemplo, en una acción de administración de
tráfico utilizada con una política HTTP para una organización pequeña, puede configurar el ancho de banda
mínimo garantizado de una interfaz de confianza en 250 Kbps y el ancho de banda máximo en 1000 Kbps.
Esto limita las velocidades a las cuales los usuarios pueden descargar archivos, pero garantiza que una
pequeña cantidad del ancho de banda siempre esté disponible para el tráfico HTTP. Luego podrá configurar
el ancho de banda mínimo garantizado de una interfaz externa en 150 Kbps y el ancho de banda máximo en
300 Kbps para administrar las velocidades de carga al mismo tiempo.

Determine el ancho de banda disponible


Antes de comenzar, debe determinar el ancho de banda disponible de la interfaz utilizada para las políticas
que desea que tengan un ancho de banda garantizado. En el caso de las interfaces externas, puede
comunicarse con su ISP (Proveedor de servicios de Internet) para verificar el acuerdo de nivel de servicio
para el ancho de banda. A continuación puede utilizar una prueba de velocidad con herramientas en línea
para verificar este valor. Estas herramientas pueden producir valores diferentes según una cantidad de
variables. En el caso de otras interfaces, puede suponer que la velocidad de enlace en la interfaz Firebox es

332 Fireware XTM Web UI


Administración de tráfico y QoS

el ancho de banda máximo teórico para esa red. También debe considerar tanto las necesidades de envío
como de recepción de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su
conexión a Internet es asimétrica, utilice el ancho de banda del enlace ascendente establecido por su ISP
 como el valor de umbral.

Determine la suma de su ancho de banda


También debe determinar la suma del ancho de banda que desea garantizar para todas las políticas en una
interfaz determinada. Por ejemplo, en una interfaz externa de 1500 Kbps, es posible que desee reservar
600 Kbps para todo el ancho de banda garantizado y utilizar los 900 Kbps restantes para todo el otro tráfico.

Todas las políticas que utilizan una acción de administración de tráfico comparten su tasa de conexión y sus
configuraciones de ancho de banda. Cuando son creadas, las políticas pertenecen automáticamente a la
acción de administración de tráfico predeterminada, que no impone restricciones ni reservas. Si crea una
acción de administración de tráfico para configurar un ancho de banda máximo de 10 Mbps y se la aplica a
una política FTP y a una política HTTP, todas las conexiones manejadas por esas políticas deben compartir 10
 Mbps. Si más tarde aplica la misma acción de administración de tráfico a una política SMTP, las tres políticas
deberán compartir 10 Mbps. Esto también se aplica a los límites de la tasa de conexión y al ancho de banda
mínimo garantizado. El ancho de banda garantizado sin utilizar reservado por una acción de administración
de tráfico puede ser utilizado por otras acciones.

Crear o modificar una acción de administración de tráfico


1. Seleccione Administración de tráfico > por firewall.
Aparece la página de administración de tráfico.
2. Haga clic en Agregar para crear una nueva acción de administración de tráfico.
O bien, seleccione una acción y haga clic en Configurar.

3. Ingrese un Nombre y una Descripción (opcional) para la acción. Utilizará el nombre de la acción para
hacer referencia a ésta cuando la asigne a una política.
4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mínimo y máximo para
esa interfaz en los cuadros de texto adyacentes.
5. Haga clic en Agregar.

Guía del Usuario 333


Administración de tráfico y QoS

6. Repita los pasos 4 y 5 para agregar límites de tráfico a interfaces adicionales.


7. Para eliminar una interfaz de la acción de administración de tráfico, selecciónela y haga clic en
Eliminar.
8. Haga clic en Guardar.

Ahora puede aplicar esta acción de administración de tráfico a una o más políticas.

Agregar una Acción de administración de tráfico a una política


Después de Definir un Acción de administración de tráfico, puede agregarla a las definiciones de las
políticas. También puede agregar cualquier acción de administración de tráfico existente a las definiciones
de la política.

1. Seleccione Administración de tráfico > por firewall.


Aparece la página de administración de tráfico.
2. En la lista Políticas de administración de tráfico, seleccione una política.

3. En la columna adyacente, haga clic en la lista desplegable y seleccione una acción de administración
de tráfico.
4. Para configurar una acción para otras políticas, repita los pasos 2 al 3.
5. Haga clic en Guardar.

Nota Si tiene una configuración multi-WAN, los límites de ancho de banda se aplican de
manera independiente a cada interfaz.

Agregue una acción de administración de tráfico a las políticas múltiples


Cuando se agrega la misma acción de administración de tráfico a políticas múltiples, el ancho de banda
máximo y mínimo se aplican a cada interfaz de su configuración. Si dos políticas comparten una acción que
tiene un ancho de banda máximo de 100 kbps en una sola interfaz, entonces todo el tráfico de esa interfaz
que coincida con esas políticas estará limitado a 100 kbps en total.

Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos únicos,
es posible que necesite que todas las conexiones de alta prioridad compartan una acción de administración
de tráfico. Si tiene mucho ancho de banda libre, podría crear acciones de administración de tráfico
independientes para cada aplicación.

334 Fireware XTM Web UI


15 Default Threat Protection

Acerca de la Default Threat Protection


El OS del Fireware XTM de WatchGuard y las políticas creadas le dan el control rígido sobre el acceso a su
red. Un acceso rígido a políticas ayuda a mantener los hackers fuera de su red. Pero hay otros tipos de
ataques que una política rígida no puede derrotar. La configuración cuidadosa de las opciones de Default
Threat Protection para el dispositivo WatchGuard puede detener amenazas como los ataques de congestión
de SYN, ataques de suplantación de paquetes y sondeos de espacio de dirección y puerto.

Con la protección contra amenazas predeterminada, el firewall examina el origen y el destino de cada
paquete que recibe. Mira la dirección IP y el número de puerto y monitorea los paquetes en busca de
patrones que muestran si su red está en riesgo. Si existe algún riesgo, puede configurar el dispositivo
WatchGuard para bloquear automáticamente un posible ataque. Ese método proactivo de detección de
intrusión y prevención mantiene a los atacantes fuera de su red.

Para configurar la protección contra amenazas predeterminada, vea:

n Acerca de las opciones de administración predeterminada de paquetes


n Acerca de los sitios bloqueados
n Acerca de los puertos bloqueados

También puede adquirir una actualización para su dispositivo WatchGuard para usar Intrusion Prevention
basada en firmas. Para más informaciones, vea Acerca de las Gateway AntiVirus y prevención de intrusiones
en la página 613.

Acerca de las opciones de administración


predeterminada de paquetes
Cuando su dispositivo WatchGuard recibe un paquete, examina la fuente y el destino para éste. Busca la
dirección IP y el número del puerto. El dispositivo también monitorea paquetes en busca de patrones que
pueden mostrar si su red está en riesgo. Ese proceso se denomina administración predeterminada de
paquetes.

Guía del Usuario 335


Default Threat Protection

La administración predeterminada de paquetes puede:

n Rechazar un paquete que podría ser un riesgo de seguridad, incluyendo paquetes que podrían ser
parte de un ataque de suplantación de paquetes o ataque de congestión del servidor SYN.
n Bloquear automáticamente todo el tráfico hacia y desde una dirección IP
n Agregar un evento al archivo de registro
n Enviar una captura SNMP al Management Server de SNMP
n Enviar una notificación de posibles riesgos de seguridad

La mayoría de las opciones de administración predeterminada de paquetes están activadas en la


configuración del dispositivo WatchGuard. Puede cambiar los umbrales en los cuales el dispositivo
WatchGuard toma medidas. También puede cambiar las opciones seleccionadas para la administración
predeterminada de paquetes.

1. En el Fireware XTM Web UI, seleccione Firewall > Administración predeterminada de paquetes.


Aparece la página "Administración predeterminada de paquetes".

2. Seleccione las casillas para los patrones de tráfico contra los cuales desea tomar medidas, tal como
se explicó en esos tópicos:

n Acerca de los ataques de suplantación de paquetes en la página 337


n Acerca de los Ataques de ruta de origen de IP IP en la página 337
n Acerca de las pruebas de espacio de dirección y espacio del puerto en la página 338
n Acerca de los ataques de congestión del servidor en la página 340
n Acerca de los paquetes no controlados en la página 342
n Acerca de ataques de negación de servicio distribuidos en la página 343

336 Fireware XTM Web UI


Default Threat Protection

Acerca de los ataques de suplantación de paquetes


Un método que los atacantes usan para entrar en su red es crear una identidad electró