54723940 Guia de Usuario Firebox

Fireware XTMWeb UI v11.3 Gua del Usuario

Fireware XTM

Web UIv11.3 Gua del Usuario

WatchGuard XTMDevicesFirebox XPeak e-SeriesFirebox XCore e-SeriesFirebox XEdge e-Series

ii Fireware XTMWeb UI

Acerca de esta Gua del usuarioLa Gua del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento deproducto importante. Para lanzamientos de productos menores, slo se actualiza el sistema de Ayuda de lainterfaz de usuario web del Fireware XTM. El sistema de Ayuda tambin incluye ejemplos deimplementacin especficos, basados en tareas que no estn disponibles en la Gua del usuario.

Para acceder a la documentacin del producto ms reciente, consulte la Ayuda de la interfaz de usuarioweb del Fireware XTM en el sitio web de WatchGuard en:http://www.watchguard.com/help/documentation/.

La informacin de esta gua est sujeta a cambios sin previo aviso. Las empresas, los nombres y los datosutilizados en los ejemplos de este documento son ficticios, salvo indicacin en contrario. Ninguna parte deesta gua podr reproducirse ni transmitirse en ninguna forma y por ningn medio, electrnico o mecnico,para ningn propsito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.

Gua revisada: 15 de julio de 2010

Informacin sobre copyright, marcas comerciales y patentesCopyright 19982010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas onombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivosdueos.

En la Gua de copyright y licencias podr encontrar informacin completa sobre copyright, marcascomerciales, patentes y licencias. Puede consultar este documento en el sitio web:http://www.watchguard.com/help/documentation/.

Nota Este producto es slo para uso interno.

Acerca de WatchGuard

WatchGuard ofrece soluciones de seguridad de contenido y red todoen uno a un precio accesible, las cuales ofrecen proteccin enprofundidad y ayudan a satisfacer los requisitos de cumplimientoreglamentarios. La lneaWatchGuard XTM combina firewall, VPN,GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red despam, virus, malware e intrusiones. La nueva lnea XCS ofreceseguridad para contenido web y correo electrnico combinada conprevencin de prdida de datos. Las soluciones extensibles deWatchGuard se adaptan para ofrecer seguridad en la medida justa,desde pequeas empresas hasta empresas con ms de 10,000empleados. WatchGuard crea dispositivos de seguridad simples,confiables y slidos que incluyen rpida implementacin,administracin integral y herramientas para la presentacin deinformes. Empresas del mundo entero confan en nuestras exclusivascajas rojas para maximizar la seguridad sin sacrificar la eficiencia y laproductividad.

Para obtener ms informacin, comunquese al 206.613.6600 o visitewww.watchguard.com.

Direccin505 Fifth Avenue SouthSuite 500Seattle, WA 98104

Soportewww.watchguard.com/supportEE.UU. y Canad +877.232.3531Todos los dems pases +1.206.521.3575

VentasEE.UU. y Canad +1.800.734.9905Todos los dems pases +1.206.613.0895

Gua del Usuario iii

ndice

Introduccin a la seguridad de red 1

Acerca de redes y seguridad de red 1

Acerca de las conexiones a Internet 1

Acerca de los Protocolos 2

Acerca de las Direcciones IP 3

Direcciones privadas y puertas de enlace 3

Acerca de las mscaras de subred 3

Acerca de las Notacin diagonal 3

Acerca del ingreso de Direcciones IP 4

estticas y dinmicas Direcciones IP 4

Acerca de las DNS (sistema de domain name) 5

Acerca de firewall 6

Acerca de servicios y polticas 7

Acerca de puertos 8

El dispositivo WatchGuard y la red 8

Introduccin a Fireware XTM 11

Introduccin a Fireware XTM 11

Componentes de Fireware XTM 12

el WatchGuard System Manager 12

WatchGuard Server Center 13

Fireware XTMWeb UI e interfaz de la lnea de comandos 14

Fireware XTMcon Actualizacin Pro 14

Servicio y soporte 17

Acerca de las Soporte de WatchGuard 17

LiveSecurity Service 17

LiveSecurity Service Gold 18

Expiracin del servicio 19

Introduccin 21

Antes de empezar 21

Verificar componentes bsicos 21

Obtener tecla de funcin del dispositivo WatchGuard 21

Recoger direcciones de red 22

Seleccione un modo configuracin de firewall 23

Acerca del Quick Setup Wizard 24

Ejecutar el Web Setup Wizard 24

Conctese al Fireware XTM Web UI 28

Conectarse a la Fireware XTMWeb UI desde una red externa 29

Acerca del Fireware XTMWeb UI 30

Seleccione el idioma de Fireware XTMWeb UI 31

Limitaciones de la Fireware XTMWeb UI 31

Concluya su instalacin 32

Personalizar su poltica de seguridad 33

Acerca de las LiveSecurity Service 33

Temas adicionales de instalacin 33

Conctese a un Firebox con Firefox v3 33

Identificar sus configuraciones de red 35

Configure su equipo para conectarse a su dispositivo WatchGuard 37

Desactive el proxy de HTTP en el explorador 39

Informacin bsica sobre configuracin y administracin 41

Acerca de las tareas bsicas de configuracin y administracin 41

Hacer una copia de seguridad de la imagen de Firebox 41

Restaurar imagen de copia de seguridad de Firebox 42

Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42

Acerca de la unidad USB 42

Guardar una imagen de respaldo en una unidad USB conectada 42

Restaurar una imagen de respaldo desde una unidad USB conectada 43

Restaurar automticamente una imagen de respaldo desde un dispositivo USB 44

Estructura del directorio de la unidad USB 46

Guardar una imagen de respaldo en una unidad USB conectada a su de administracin 46

Restablecer un dispositivo Firebox o XTM a una configuracin anterior o nueva 48

Iniciar un dispositivo Firebox o XTM en modo seguro 48

iv Fireware XTMWeb UI

Gua del Usuario v

Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a lasconfiguraciones predeterminadas de fbrica 49

Ejecutar el Quick Setup Wizard 49

Acerca de las configuraciones predeterminadas de fbrica 49

Acerca de las teclas de funcin 51

Cuando compra una nueva funcin 51

Ver las funciones disponibles con la actual tecla de funcin 51

Obtener una tecla de funcin junto a LiveSecurity 52

Agregar una tecla de funcin a su Firebox 54

Reiniciar su Firebox 56

Reiniciar Firebox de modo local 57

Reiniciar Firebox de modo remoto 57

Activar NTP y agregar servidores NTP 57

Definir la zona horaria y las propiedades bsicas del dispositivo 58

Acerca del SNMP 59

Sondeos y capturas SNMP 60

Acerca de las Bases de Informacin de Administracin (MIBs) 60

Activar Sondeo de SNMP 61

Activar Capturas y estaciones de administracin de SNMP 62

Acerca de las frases de contrasea, claves de cifrado y claves compartidas de WatchGuard 64

Crear una contrasea, una clave de cifrado o una clave compartida segura 64

Frases de contrasea de Firebox 64

Frases de contrasea de usuario 65

Frases de contrasea del servidor 65

Claves de cifrado y claves compartidas 66

Alterar frases de contrasea de Firebox 66

Defina las configuraciones globales del Firebox 67

Defina las configuraciones globales de administracin de errores ICMP 68

Habilitar la comprobacin TCP SYN 69

Definir las configuraciones globales de ajuste de tamao mximo del segmento TCP 70

Activar o desactivar la administracin de trfico y QoS 70

Cambiar el puerto Web UI 70

Reinicio automtico 70

Consola externa 71

Acerca de los servidores WatchGuard System Manager 71

Administrar un Firebox desde una ubicacin remota 72

Configurar un Firebox como un dispositivo administrado 74

Editar la poltica WatchGuard 74

Configurar Dispositivo Administrado 76

Actualizar para una nueva versin del Fireware XTM 77

Instalar la actualizacin en su equipo administrado 77

Actualizar el Firebox 78

Descargue el archivo de configuracin 78

Configuracin de red 79

Acerca de las configuracin de interfaz de red 79

Modos de red 79

Tipos de interfaz 80

Acerca de las interfaces de red en el Edge e-Series 81

Modo de enrutamiento combinado 82

Configurar una interfaz externa 82

Configurar el DHCP en modo de enrutamiento mixto 86

Pgina Acerca de Servicio DNS dinmico 88

Configurar DNS dinmico 88

Acerca de la configuracin de red en modo directo 89

Utilizar modo directo para la configuracin de la interfaz de red 90

Configurar host relacionados 90

Configurar DHCP en modo directo 91

Modo Bridge 94

Configuraciones de interfaz comunes 95

Desactivar una interfaz 96

Configurar retransmisin de DHCP 97

Restringir el trfico de red mediante la direccin MAC 97

Agregar servidores WINS y Direcciones del servidor DNS 98

Configurar una secondary network 99

vi Fireware XTMWeb UI

Gua del Usuario vii

Acerca de la Configuraciones de interfaz 100

Configuracin de tarjeta de interfaz de red (NIC) 101

Determinar No fragmentar bit IPSec 102

Configuracin de la ruta de unidad de transmisin mxima (PMTU) para IPSec 103

Usar vnculo de direccin MAC esttico 103

Buscar la direccin MAC de una computadora 104

Acerca de los puentes LAN 105

Crear una configuracin de puente de red. 105

Asignar una interfaz de red a un puente. 106

Acerca de 106

Agregue una ruta esttica 107

Acerca de redes virtuales de rea local (VLAN) 108

Requisitos y restricciones de la VLAN 108

Acerca de las etiquetado 109

Definir un nuevo (red de rea local virtual) 109

Asignar interfaces a (red de rea local virtual) 111

Ejemplos de configuracin de red 112

Ejemplo: Configurar dos VLAN con la misma interfaz 112

Use Firebox X Edge con el bridge inalmbrico 3G Extend 115

WAN mltiple 119

Acerca de usar mltiples interfaces externas 119

Requisitos y condiciones de WAN mltiple 119

WAN mltiple y DNS 120

Acerca de las opciones de WAN mltiple 120

Orden de operacin por turnos 120

Conmutacin por error 121

Desbordamiento en la interfaz 121

Tabla de enrutamiento 122

Mdem serie (solamente Firebox XEdge) 122

Configurar la opcin de operacin por turnos de WAN mltiple 122

Antes de empezar 122

Configurar interfaces 122

Descubra cmo asignar pesos a interfaces 123

Configurar la opcin de conmutacin por error de WAN mltiple 124



Configurar WAN mltiple Opcin de desbordamiento en la interfaz 125



Configurar WAN mltiple opcin tabla de enrutamiento 126


Modo de tabla de enrutamiento y balance de carga 126


Acerca de la tabla de enrutamiento de Firebox 127

Cuando usar los mtodos de WAN mltiple y enrutamiento 127

Conmutacin por error de mdem serie 128

Activar conmutacin por error de mdem serial 128

Configuraciones de la cuenta 129

Configuraciones de DNS 129

Configuracin de marcado 130

Configuraciones avanzadas 131

Configuracin de "Monitor de enlace" 131

Acerca de la configuracin avanzada de WAN mltiple 132

Define una duracin de Sticky Connection global 133

Definir accin de failback 133

Acerca del Estado de la interfaz de WAN 134

Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 134

Definir un host de monitor de enlace 134

Traduccin de direccin de red (NAT) 137

Acerca de la Traduccin de direccin de red (NAT) 137

Tipos de NAT 137

Acerca de la dinmica basada en polticas 138

Agregar firewall a entradas de NAT dinmicas 138

Configurar NAT dinmica basada en polticas 141

viii Fireware XTMWeb UI

Gua del Usuario ix

Acerca de las 1-to-1 NAT 142

Acerca de 1-to-1 NAT y VPN 143

Configurar el firewall 1-to-1 NAT 144

Configurar basado en polticas 1-to-1 NAT 147

Configurar el bucle invertido de NAT con NAT esttica 148

Agregar una poltica para bucle invertido de NAT al servidor 148

Bucle invertido de NAT y 1-to-1 NAT 150

Acerca de la NAT esttica 153

Configurar Balance de carga en el servidor 154

Ejemplos de NAT 157

Ejemplo de 1-to-1 NAT 157

Configuracin inalmbrica 159

Acerca de la configuracin inalmbrica 159

Acerca de las configuracin del punto de acceso inalmbrico 160


Acerca de configuraciones 161

Activar/desactivar Broadcasts de SSID 163

Cambiar la SSID 163

Registro eventos de autenticacin 163

Cambiar la umbral de fragmentacin 163

Cambiar la Umbral de RTS 165

Acerca de configuraciones de seguridad 166

Definir inalmbricos mtodo de autenticacin 166

Definir nivel de cifrado 167

Habilitar conexiones inalmbricas a la red opcional o de confianza 167

Activar una red inalmbrica para invitados 170

Activar un hotspot inalmbrico 173

Establecer la configuracin del tiempo de espera 174

Personalizar la pantalla de presentacin del hotspot 174

Conctese a un hotspot inalmbrico 176

Consulte Conexiones hotspot inalmbricas 177

Configurar la interfaz externa como interfaz inalmbrica 178

Configurar la interfaz externa principal como interfaz inalmbrica 178

Configurar un tnel BOVPN para seguridad adicional 181

Acerca de configuraciones de radio en Firebox XEdge e-Series inalmbrico 181

Configurar la regin operativa y el canal 182

Definir modo de operacin inalmbrica 183

Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico WatchGuardXTM2 Series 183

El pas se configura automticamente 184

Seleccionar el modo de banda y el modo inalmbrico 185

Seleccionar el canal 186

Configurar la de red invitada inalmbrica en su computadora 186

Dynamic Routing 187

Acerca de dynamic routing 187

Acerca de archivos de configuracin de demonio de enrutamiento. 187

Acerca del Protocolo de Informacin de Enrutamiento (RIP) 188

Comandos del Protocolo de Informacin de Enrutamiento (RIP) 188

Configurar el Firebox para usar RIP v1 190

Configurar el Firebox para usar RIP v2 191

Muestra de archivo de configuracin del enrutamiento RIP 192

Acerca del Protocolo "Abrir Camino Ms Curto Primero" (OSPF) 194

Comandos de OSPF 194

Tabla de Costo de Interfaz de OSPF 197

Configurar el Firebox para usar OSPF 198

Muestra de archivo de configuracin del enrutamiento OSPF 199

Acerca del Border Gateway Protocol (BGP) 201

Comandos BGP 202

Configurar el Firebox para usar el BGP 204

Muestra de archivo de configuracin del enrutamiento BGP 206

Autenticacin 209

Acerca de la autenticacin de usuario 209

Usuario pasos de autenticacin 210

Administrar usuarios autenticados 211

x Fireware XTMWeb UI

Gua del Usuario xi

Use la autenticacin para restringir el trfico entrante 212

Use la autenticacin a travs de un Firebox de puerta de enlace 212

Definir valores de autenticacin global 212

Definir tiempos de espera de autenticacin 213

Permitir mltiples inicios de sesin concomitantes 214

Limitar sesiones de inicio 214

Direccionar usuarios automticamente al portal de inicio de sesin 215

Usar una pgina de inicio predeterminada personalizada 216

Definir tiempos de espera de Sesin de Administracin 216

Acerca de la poltica de Autenticacin de WatchGuard (WG-Autoriz) 216

Acerca de Single Sign-On (SSO) 217


Configurar SSO 218

Instalar el agente de Single Sign-On (SSO) de WatchGuard 218

Instale el cliente de Single Sign-On (SSO) de WatchGuard 220

Activar Single Sign-On (SSO) 220

Tipos de servidores de autenticacin 222

Acerca de la utilizacin de servidores de autenticacin de terceros 222

Use un servidor de autenticacin de resguardo 222

Configure su Firebox como servidor de autenticacin 223

Tipos de autenticacin de Firebox 223

Definir un nuevo usuario para autenticacin en Firebox 225

Definir un nuevo grupo para autenticacin de Firebox 227

Configurar autenticacin de servidor RADIUS 227

Clave de autenticacin 228

Losmtodos de autenticacin de RADIUS 228


Usar la autenticacin por servidor RADIUS con su dispositivo WatchGuard 228

Como la autenticacin del servidor RADIUS funciona 230

Configurado autenticacin de servidor VASCO 233

Configurar autenticacin SecurID 234

Configurar autenticacin LDAP 236

Acerca de las configuraciones opcionales de LDAP 238

Configurar autenticacin en Active Directory 239

Sobre la configuracin opcional del Active Directory 241

Encuentre su base de bsqueda del Active Directory 241

Alterar el puerto predeterminado de Active Directory Server 242

Usar las configuraciones opciones de Active Directory o de LDAP 243


Especificar Configuraciones opcionales de LDAP o Active Directory 243

Use una cuenta de usuario local para autenticacin 247

Use los usuarios y grupos autorizados en polticas 248

Polticas 251

Acerca de polticas 251

Polticas de filtro de paquetes y proxy 251

Acerca de cmo agregar polticas a Firebox 252

Acerca de la pgina de polticas de Firewall o VPN mvil 253

Agregar polticas en la configuracin 254

Agregar una poltica de la lista de plantillas 255

Desactivar o eliminar una poltica 256

Acerca de los alias 257

Miembros de alias 257

Crear un alias 258

Acerca de la precedencia de polticas 260

Orden de polticas automtico 260

Especificidad de la poltica y protocolos 260

Reglas de trfico 261

Acciones de firewall 261

Cronogramas 261

Nombres y tipos de polticas 262

Determinar precedencia manualmente 262

Crear Cronogramas para acciones de Firebox 262

Establecer un cronograma operativo 263

Acerca de las Polticas personalizadas 263

xii Fireware XTMWeb UI

Gua del Usuario xiii

Cree o edite una plantilla de poltica personalizada. 264

Acerca de propiedades de polticas 265

Pestaa Poltica 266

Pestaa Propiedades 266

Pestaa Avanzada 266

Configuraciones de proxy 266

Definir reglas de acceso a una poltica 267

Configurar el enrutamiento basado en la poltica 269

Configurar un tiempo de espera inactivo personalizado 270

Determinar Administracin de errores ICMP 271

Aplicar reglas NAT 271

Defina la duracin de sticky connection para una poltica 272

Configuraciones de proxy 273

Acerca de las polticas de proxy y ALG 273

Configuracin de proxy 273

Acerca de las configuraciones de Application Blocker 274

Configurar el Application Blocker 275

Acerca de Skype y el Application Blocker 276

Agregar una poltica de proxy a la configuracin 277

Acerca de las acciones de proxy 279

Configurar la accin de proxy 279

Editar, eliminar o clonar acciones de proxy 279

Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280

Acerca del DNS proxy 280

Proxy DNS: Contenido 281

Proxy DNS: Configuracin 282

Pgina Acerca de Proxy FTP 284

Pestaa Poltica 284


Pestaa Avanzada 285

Pestaas Configuracin y Contenido 285

FTP DNS: Contenido 285

Proxy FTP: Configuracin 286

Pgina Acerca de ALG H.323 287

ALG H.323: Contenido 289

ALG H.323: Configuracin 291

Pgina Acerca de Proxy HTTP 292

Pestaa Poltica 293


Pestaa Avanzada 294

Pestaas Configuracin, Contenido y Application Blocker 294

Permitir actualizaciones de Windows a travs del proxy HTTP 294

Proxy HTTP: Pestaa Contenido 295

Proxy HTTP: Pestaa Configuracin 298

Proxy HTTP: Application Blocker 300

Pgina Acerca de Proxy HTTPS 301

Pestaa Poltica 301


Pestaa Avanzada 302


Proxy deHTTPS:Contenido 302

Proxy HTTPS: Configuracin 304

Pgina Acerca de Proxy POP3 305

Pestaa Poltica 306


Pestaa Avanzada 306


Proxy POP3: Contenido 307

Proxy POP3: Configuracin 308

Pgina Acerca de Proxy SIP 309

SIP ALG: Contenido 311

SIP ALG: Configuracin 313

Pgina Acerca de Proxy SMTP 314

Pestaa Poltica 314

xiv Fireware XTMWeb UI

Gua del Usuario xv


Pestaa Avanzada 315

Pestaas Configuracin, Direccin y Contenido 315

Proxy SMTP: Direccin 315

Proxy SMTP: Contenido 316

Proxy SMTP: Configuracin 318

Configure el proxy SMTP para colocar mensajes de correo electrnico en cuarentena 319

Pgina Acerca de Proxy de TCP-UDP 319

Pestaa Poltica 319


Pestaa Avanzada 320


Proxy de TCP-UDP: Contenido 320

Proxy de TCP-UDP: Configuracin 320

Administracin de trfico y QoS 323

Acerca de las Administracin de trfico y QoS 323

Activar administracin de trfico y QoS 323

Garantice ancho de banda 324

Restrinja el ancho de banda 325

Marcado QoS 325

Prioridad de trfico 325

Configurar el ancho de banda de interfaz saliente 325

Configure los lmites de la tasa de conexin 326

Acerca de las Marcado QoS 327


Marcado QoSpara interfaces y polticas 327

Marcado QoS y trfico IPSec 327

Marcado: tipos y valores 328

Activar marcado QoS para una interfaz 329

Activar el marcado QoS o configuraciones de priorizacin para una poltica 330

Control de trfico y definiciones de polticas 332

Definir un Accin de administracin de trfico 332

Agregar una Accin de administracin de trfico a una poltica 334

Default Threat Protection 335

Acerca de la Default Threat Protection 335

Acerca de las opciones de administracin predeterminada de paquetes 335

Acerca de los ataques de suplantacin de paquetes 337

Acerca de los Ataques de ruta de origen de IP IP 337

Acerca de las pruebas de espacio de direccin y espacio del puerto 338

Acerca de los ataques de congestin del servidor 340

Acerca de los paquetes no controlados 342

Acerca de ataques de negacin de servicio distribuidos 343

Acerca de los sitios bloqueados 343

Sitios permanentemente bloqueados 344

Lista de Sitios de bloqueo automtico/Sitios temporalmente bloqueados 344

Ver y editar los sitios en la lista de Sitios Bloqueados 344

Bloquear un sitio permanentemente 344

Crear Excepciones sitios bloqueados 345

Bloquear sitios temporalmente con configuracin de polticas 346

Cambiar la duracin de los sitios que son bloqueados automticamente 347

Acerca de los puertos bloqueados 347

Puertos bloqueados predeterminados 348

Bloquear un puerto 349

Registro y Notificacin 351

Acerca de la generacin de registros y archivos de registro 351

Log Servers 351

Syslog de estado del sistema 352

Generacin de registros y notificacin en aplicaciones y servidores 352

Acerca de las mensajes de registro 352

Tipos de mensajes de registro 352

Enviar mensajes de registro al WatchGuard Log Server 353

Agregar, editar o alterar la prioridad de Log Servers 354

Enviar informacin de registro a un host de Syslog 355

Configurar Registros 356

xvi Fireware XTMWeb UI

Gua del Usuario xvii

Defina el nivel de registro de diagnstico 357

Configurar registros y notificacin para una poltica 359

Determinar preferencias de registro y notificacin 360

Use el Syslog para ver los datos de mensaje de registro 361

Ver, Ordenar y Filtrar datos de mensaje de registro 361

Actualizar datos de mensaje de registro 363

Monitorear su Firebox 365

Monitorear su Firebox 365

El Panel de control 365

Pginas Estado del sistema 367

Tabla ARP 368

Autenticaciones 369

Medidor de ancho de banda 370

Estado de sitios bloqueados 370

Agregar o editar sitios bloqueados temporalmente 371

Suma de comprobacin 372

Conexiones 372

Lista de componentes 372

Uso de CPU 373

Concesiones de protocolo de configuracin dinmica de host (DHCP) 373

Diagnsticos 374

Ejecutar un comando de diagnstico bsico 374

Utilizar argumentos de comandos 374

DNS dinmico 375

Tecla de funcin 376

Cuando compra una nueva funcin 376

Ver las funciones disponibles con la actual tecla de funcin 376

Interfaces 377

LiveSecurity 378

Memoria 379

Lista de acceso saliente 379

Procesos 379

Rutas 380

Syslog 381

Administracin de trfico 381

Estadsticas de VPN 382

Estadsticas inalmbricas 383

Conexiones hotspot inalmbricas 384

Certificates 385

Acerca de los certificados 385

Usar mltiples certificados para determinar la confianza 385

Cmo el Firebox usa certificados 386

CRLs y caducidad de certificados 386

Solicitudes de firmas y autoridades de certificacin 387

Autoridades de Certificacin confiadas por Firebox 387

Ver y administrar Certificados de Firebox 393

Crear una CSR con el OpenSSL 395

Usar OpenSSL para generar una CSR 395

Firme un certificado con Microsoft CA 396

Emitir el certificado 396

Descargar el certificado 396

Usar Certificados para el proxy de HTTPS 397

Proteger un servidorHTTPS privado 397

Examinar contenido de los servidores HTTPS externos 398

Exportar el certificado de inspeccin de contenidoHTTPS 398

Importar los certificados en dispositivos clientes 399

Solucionar problemas con la inspeccin de contenidoHTTPS 399

Use certificados autenticados para el tnel VPN Mobile con IPSec 399

Usar un certificado para autenticacin del tnel BOVPN 400

Verificar el certificado con el FSM 401

Verificar los certificados de VPN con servidor de LDAP 401

Configure el certificado del servidor web para la autenticacin de Firebox 402

Importar un certificado en un dispositivo cliente 404

Importar un certificado en formatoPEM con el Windows XP 404

xviii Fireware XTMWeb UI

Gua del Usuario xix

Importar un certificado en formatoPEM con el Windows Vista 404

Importar un certificado en formatoPEM con Mozilla Firefox 3.x 405

Importar un certificado en formatoPEM con el Mac OSX10.5 405

Redes Privada Virtual (VPN) 407

Introduccin a VPNs 407

Branch Office VPN (BOVPN) 407

Mobile VPN 408

Acerca de la VPNs de IPSec 408

Acerca de los algoritmos y protocolos de IPSec 408

Acerca de las negociaciones VPN de IPSec 410

Configuraciones de Fase 1 y Fase 2 412

Acerca de Mobile VPNs 413

Seleccione unaMobile VPN 413

Opciones de acceso a Internet para usuarios de Mobile VPN 415

Descripcin de configuracin de Mobile VPN 416

Tneles de BOVPN manuales 417

Lo que necesita para crear un BOVPN 417

Acerca de tneles BOVPN manuales 418

Lo que necesita para crear un VPN 418

Cmo crear un tnel BOVPN manual 419

Tneles de una direccin 419

Failover de VPN 419

Configuraciones de VPN Global 419

Estado del tnelBOVPN 420

Regenerar clave de tnelesBOVPN 420

Muestra cuadro de informacin de direccin de VPN 420

Definir puertas de enlace 421

Definir extremos de puerta de enlace 424

Configurar modo y transformaciones (Configuraciones de la Fase 1) 426

Editar y eliminar puertas de enlace 430

Desactivar inicio automtico de tnel 430

Si su Firebox est detrs de un dispositivo que hace NAT 430

Establezca tneles entre los extremos de puertas de enlace 431

Definir un tnel 431

Agregar rutas para un tnel 434

Configuraciones de Fase 2 434

Agregar una Propuesta de Fase 2 436

Cambiar el orden de tneles 438

Acerca de las configuraciones de VPN Global 438

Activar puerto de transferencia IPSec 439

Activar TOS para IPSec 439

Activar servidor LDAP para verificacin de certificado 440

Usar 1-to-1 NAT a travs de un tnel BOVPN 440

1-to-1 NAT y VPNs 440

Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441

Alternativa al uso de NAT 441

Cmo configurar la VPN 441

Ejemplo 442

Configurar el tnel local 442

Configurar el tnel remoto 445

Definir una ruta para todo el trfico hacia Internet 447

Configurar el tnel BOVPN en el Firebox remoto 447

Configurar el tnel BOVPN en el Firebox central 448

Agregar una entrada de NAT dinmica en el Firebox central 449

Activar enrutamiento de multidifusin a travs de un tnel BOVPN 450

Activar un dispositivo WatchGuard para enviar trfico de multidifusin a travs de un tnel 451

Active el otro dispositivo WatchGuard para recibir trfico de multidifusin a travs de un tnel453

Activar el enrutamiento de difusin a travs de un tnel BOVPN 453

Activar el enrutamiento de difusin para el Firebox local 454

Configurar enrutamiento de difusin para el Firebox en el otro extremo del tnel 455

Configurar Failover de VPN 456

Definir mltiples pares de puertas de enlace 456

Vea Estadsticas de VPN 458

xx Fireware XTMWeb UI

Gua del Usuario xxi

Regenerar clave de tneles BOVPN 458

Preguntas relacionadas 459

Por qu necesito una direccin externa esttica? 459

Cmo obtengo una direccin IP externa esttica? 459

Cmo soluciono problemas de la conexin? 459

Por qu el ping no est funcionando? 459

Cmo configuro ms que el nmero de tneles VPN permitido en mi Edge? 460

Mejorar la disponibilidad del tnel BOVPN 460

Mobile VPN con PPTP 465

Acerca del Mobile VPN con PPTP 465

Requisitos de Mobile VPN con PPTP 465

Niveles de cifrado 466

Configurar Mobile VPN with PPTP 466

Autenticacin 467

Configuraciones de cifrado 468

Agregar al conjunto de direcciones IP 468

Configuraciones de pestaas avanzadas 469

Configurar servidores WINS y DNS 470

Agregar nuevos usuarios al grupo de usuarios de PPTP 471

Configurar polticas para permitir el trfico de Mobile VPN con PPTP 473

Configurar polticas para permitir el trfico de Mobile VPN con PPTP 474

Permitir a los usuarios de PPTP acceder a una red de confianza 474

Usar otros grupos o usuarios en una poltica de PPTP 475

Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP 475

VPN de ruta predeterminada 475

Dividir VPN de tnel 476

Configuracin de VPN de ruta predeterminada para Mobile VPN with PPTP 476

Configuracin de VPN de tnel dividido para Mobile VPN with PPTP 476

Preparar computadoras cliente para PPTP 477

Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes deservicio 477

Crear y conectar unaMobile VPN with PPTP paraWindows Vista 478

Cree y conecte unaMobile VPN with PPTP paraWindows XP 479

Cree y conecte unaMobile VPN with PPTP paraWindows 2000 480

Realizar conexiones PPTP salientes desde detrs de un Firebox 480

Mobile VPN con IPSec 481

Acerca del Mobile VPN con IPSec 481

Configurar una conexin de Mobile VPN con IPSec 481

Requisitos del sistema 482

Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec 482

Acerca de archivos de configuracin de cliente MobileVPN 483

Configurar el Firebox para Mobile VPN with IPSec 483

Agregar usuarios a un grupo de Mobile VPN de Firebox 491

Modificar un perfil de grupo existente de Mobile VPN con IPSec 493

Configurado servidores WINS y DNS. 505

Bloquear un perfil del usuario final 506

Archivos de configuracin de Mobile VPN con IPSec 507

Configurar polticas para filtrar trfico de Mobile VPN 507

Distribuir el software y los perfiles 508

Tpicos adicionales de Mobile VPN 509

Configurar Mobile VPN with IPSec para una direccin IP dinmica 510

Pgina Acerca de cliente Mobile VPNwith IPSec 512

Requisitos del cliente 512

Instalar el software cliente de Mobile VPN con IPSec 512

Conecte y desconecte el cliente Mobile VPN 515

Vea los mensajes de registro del Mobile VPN 517

Proteger su equipo con el firewall de Mobile VPN 517

Instrucciones de usuario final para la instalacin del cliente VPN Mobile con IPSec deWatchGuard 526

Configuracin del Mobile VPN paraWindows Mobile 531

Los requisitos del cliente Mobile VPN WMConfigurator y de IPSec de Windows Mobile 531

Instalar el software Mobile VPN WMConfigurator 532

Seleccione un certificado e ingrese el PIN 533

Importar un perfil del usuario final 533

xxii Fireware XTMWeb UI

Gua del Usuario xxiii

Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 534

Cargar el perfil de usuario final en el dispositivo Windows Mobile 535

Conecte y desconecte el Cliente Mobile VPN paraWindows Mobile 537

Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 540

Detener el WatchGuard Mobile VPN Service 540

Desinstalar el Configurator, Service y Monitor 541

Mobile VPN con SSL 543

Acerca del Mobile VPN con SSL 543

Configurar el dispositivo Firebox o XTM paraMobile VPN with SSL 543

Realizar configuraciones de autenticacin y conexin 544

Realice las configuraciones de Red y Conjunto de direcciones IP 544

Realizar configuraciones avanzadas para Mobile VPN with SSL 547

Configurar la autenticacin de usuario para Mobile VPN with SSL 549

Configurar polticas para controlar el acceso de clientes de Mobile VPN con SSL 549

Elegir un puerto y protocolo para Mobile VPN with SSL 550

Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL 551

Determinacin del nombre para Mobile VPN with SSL 552

Instalar y conectar el cliente de Mobile VPN con SSL 554

Requisitos de la computadora cliente 555

Descargar el software cliente 555

Desinstalar el software cliente 556

Conectarse a su red privada 556

Controles del cliente de Mobile VPN con SSL 557

Se debe distribuir e instalar en formamanual el software cliente de Mobile VPN con SSL y elarchivo de configuracin 558

Desinstale el cliente de Mobile VPN con SSL. 559

WebBlocker 561

Acerca de las WebBlocker 561

Configurar un WebBlocker Server local 562

Activacin de WebBlocker 562


Cree perfiles de WebBlocker 562

Activar anulacin local 566

Seleccione categoras para bloquear 566

Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS 567

Agregar excepciones de WebBlocker 568

Usar anulacin local de WebBlocker 568

Acerca de las Categoras de WebBlocker 569

Consultar si un sitio est categorizado 570

Agregar, eliminar o cambiar una categora 571

Acerca de las Excepciones de WebBlocker 572

Defina la accin para las sitios que no tienen coincidencias Excepciones 572

Componentes de las reglas de excepcin 572

Excepciones con parte de una URL 572

Agregar WebBlocker Excepciones 573

Renovar suscripciones de seguridad 575

Acerca del vencimiento de los servicios de suscripcin de WebBlocker 575

spamBlocker 577

Acerca de las spamBlocker 577

Requisitos de spamBlocker 579

Acciones, etiquetas y categoras de spamBlocker 581

Configurado spamBlocker 583

Acerca de las Excepciones de spamBlocker 587

Configurar acciones de Virus Outbreak Detection para una poltica 593

Configure spamBlocker para colocar mensajes de correo electrnico en cuarentena 595

Acerca de la utilizacin spamBlocker con servidores proxy mltiples 597

Configure los parmetros globales de spamBlocker 597

Utilice un servidor proxy HTTP para spamBlocker 599

Agregar reenviadores de correo electrnico de confianza para mejorar la precisin decalificacin del spam 600

Active y configure los parmetros de la Virus Outbreak Detection (VOD) 601

Acerca de spamBlocker y los lmites de escaneo de la VOD 602

Cree reglas para su lector de correo electrnico 602

Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook 603

xxiv Fireware XTMWeb UI

Gua del Usuario xxv

Enviar un informe acerca de falsos positivos o falsos negativos 604

Utilice el registro RefID en lugar de un mensaje de texto 605

Buscar la categora a la cual est asignado un mensaje 605

La Defensa de reputacin activada 607

Acerca de la Defensa de reputacin activada 607

Umbrales de reputacin 607

Calificaciones de reputacin 608

Comentario sobre la Defensa de reputacin activada 608

Configurar la Defensa de reputacin activada 608


Configurar la Defensa de reputacin activada para una accin de proxy 609

Configurar los umbrales de reputacin 610

Enviar los resultados de escaneo del Gateway Antivirus aWatchGuard 611

Gateway AntiVirus e Intrusion Prevention 613

Acerca de las Gateway AntiVirus y prevencin de intrusiones 613

Instale y actualice el Gateway AntiVirus/IPS 614

Acerca del Gateway AntiVirus/la Intrusion Prevention y las polticas de proxy 614

Configurar el servicio del Gateway AntiVirus 615

Configure el servicio del Gateway AntiVirus 615

Configurar acciones del Gateway AntiVirus 616

Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena 619

Acerca de los lmites de escaneo del Gateway AntiVirus 620

Actualice la configuracin del Gateway AntiVirus/IPS 620

Si utiliza un cliente antivirus de terceros 621

Establezca la configuracin de descompresin del Gateway AntiVirus 621

Configurar el servidor de actualizacin del Gateway AntiVirus/IPS 622

Ver estado de servicios de suscripcin y actualizar firmas manualmente 623

Configurar el Intrusion Prevention Service 624


Configurar el Intrusion Prevention Service 625

Configurar acciones del IPS 627

Establezca la configuracin del IPS 631

Configurado excepciones de firma 633

Quarantine Server 635

Pgina Acerca de Quarantine Server 635

Configure Firebox para que ponga correos electrnicos en cuarentena 636

Definir la ubicacin del Quarantine Server en Firebox 636

xxvi Fireware XTMWeb UI

Gua del Usuario 1

1 Introduccin a la seguridad de red

Acerca de redes y seguridad de redUna red esun grupode equipos y otrosdispositivos que se conectan entre s. Puede tratarse de dosequiposen la mismahabitacin, decenasde equiposen unaorganizacin omuchos equiposen elmundo enteroconectadosa travsde Internet. Los equiposen lamisma redpueden trabajar juntos y compartir datos.

Aunque las redes como Internet brindan acceso a una gran cantidad de informacin y oportunidadescomerciales, tambin pueden exponer la red a atacantes. Muchas personas creen que sus equipos noguardan informacin importante o que un hacker no estar interesado en sus equipos. Se equivocan. Unhacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La informacin de suorganizacin, incluida la informacin personal acerca de usuarios, empleados o clientes, tambin es valiosapara los hackers.

El dispositivo WatchGuard y la suscripcin a LiveSecurity pueden ayudar a prevenir estos ataques. Unabuena poltica de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, tambinpueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox paraque coincida con la poltica de seguridad y considerar las amenazas tanto internas como externas de laorganizacin.

Acerca de las conexiones a InternetLos ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a travs deconexiones de red. La velocidad con la cual una conexin de red puede enviar datos se conoce comoancho de banda: por ejemplo, 3 megabits por segundo (Mbps).

Una conexin a Internet de alta velocidad, como mdem por cable o DSL (lnea de suscriptor digital), seconoce como conexin de banda ancha. Las conexiones de banda ancha son mucho ms rpidas que lasconexiones telefnicas. El ancho de banda de una conexin telefnica es inferior a .1 Mbps, mientras queuna conexin de mdem por cable puede ser de 5 Mbps o ms.

Las velocidades tpicas para los mdem por cable en general son inferiores a las velocidades mximas,porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho debanda. Debido a este sistema de medio compartido, las conexiones de mdem por cable pueden volverselentas cuando ms usuarios estn en la red.

Las conexiones DSL proveen ancho de banda constante, pero en general son ms lentas que las conexionesde mdem por cable. Adems, el ancho de banda slo es constante entre el hogar u oficina y la oficinacentral de DSL. La oficina central de DSL no puede garantizar una buena conexin a un sitio web o red.

Cmo viaja la informacin en Internet

Los datos que se envan por Internet se dividen en unidades o paquetes. Cada paquete incluye la direccinde Internet del destino. Los paquetes que componen una conexin pueden usar diferentes rutas a travsde Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar quetodos los paquetes lleguen a destino, se agrega informacin de direccin a los paquetes.

Acerca de los ProtocolosUn protocolo es un conjunto de reglas que permiten a los equipos conectarse a travs de una red. Losprotocolos son la gramtica del lenguaje que utilizan los equipos cuando se comunican a travs de una red.El protocolo estndar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es ellenguaje comn de los equipos en Internet.

Un protocolo tambin indica el modo en que los datos se envan a travs de una red. Los protocolosutilizados con ms frecuencia son TCP (Protocolo de control de transmisin) y UDP (Protocolo de datagramade usuario). TCP/IP es el protocolo bsico utilizado por los equipos que se conectan a Internet.

Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.Para obtener ms informacin sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la pgina 36.

Introduccin a la seguridad de red

2 Fireware XTMWeb UI


Gua del Usuario 3

Acerca de las Direcciones IPPara realizar un envo postal comn a una persona, se debe conocer su direccin. Para que un equipo enInternet enve datos a un equipo diferente, debe conocer la direccin de ese equipo. Una direccin deequipo se conoce como direccin de protocolo de Internet (IP). Todos los dispositivos en Internet tienendirecciones IP nicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.

Una direccin IP consta de cuatro octetos (secuencias de nmeros binarios de 8 bits) expresados enformato decimal y separados por puntos. Cada nmero entre los puntos debe estar en el rango de 0 a 255.Algunos ejemplos de direcciones IP son:

n 206.253.208.100n 4.2.2.2n 10.0.4.1

Direcciones privadas y puertas de enlaceMuchas empresas crean redes privadas que tienen su propio espacio de direccin. Las direcciones 10.x.x.xy 192.168.x.x estn reservadas para direcciones IPprivadas. Los equipos en Internet no pueden usar estasdirecciones. Si su equipo est en una red privada, se conecta a Internet a travs de un dispositivo de puertade enlace que tiene una direccin IP pblica.

En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuarioe Internet. Despus de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminadapara todos los equipos conectados a sus interfaces de confianza u opcionales.

Acerca de las mscaras de subredDebido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones mspequeas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Porejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50pertenecen a la misma subred.

La subnet mask o mscara de red de una direccin IP de red es una serie de bits que enmascaran seccionesde la direccin IP que identifican qu partes de la direccin IP son para la red y qu partes son para el host.Una puede escribirse del mismo modo que una direccin IP o en notacin diagonal o CIDR (enrutamientode interdominios sin clases).

Acerca de las Notacin diagonalFirebox utiliza notacin diagonal para muchos fines, entre ellos la configuracin de polticas. La notacindiagonal, conocida tambin como notacin CIDR (enrutamiento de interdominios sin clases), es un modocompacto de mostrar o escribir una mscara de subred. Cuando se usa notacin diagonal, se escribe ladireccin IP, una barra diagonal hacia adelante (/) y el nmero de mscara de subred.

Para encontrar el nmero de mscara de subred el usuario debe:

1. Convertir la representacin decimal de la mscara de subred a una representacin binaria.2. Contar cada "1" en la mscara de subred. El total es el nmero de mscara de subred.

Por ejemplo, el usuario desea escribir la direccin IP 192.168.42.23 con una mscara de subred de255.255.255.0 en notacin diagonal.

1. Convertir la mscara de subred a una representacin binaria.En este ejemplo, la representacin binaria de 255.255.255.0 es:11111111.11111111.11111111.00000000.

2. Contar cada "1" en la mscara de subred.En este ejemplo, hay veinticuatro (24).

3. Escribir la direccin IP original, una barra diagonal hacia adelante (/) y luego el nmero del paso 2.El resultado es 192.168.42.23/24.

La siguiente tabla muestra mscaras de red comunes y sus equivalentes en notacin diagonal.

Mscara de red Equivalente diagonal

255.0.0.0 /8

255.255.0.0 /16

255.255.255.0 /24

255.255.255.128 /25

255.255.255.192 /26

255.255.255.224 /27

255.255.255.240 /28

255.255.255.248 /29

255.255.255.252 /30

Acerca del ingreso de Direcciones IPCuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de dilogo, se deben ingresar losdgitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barraespaciadora ni el mouse para colocar el cursor despus de los decimales.

Por ejemplo si ingresa ladireccin IP 172.16.1.10,no ingrese unespacio despusde ingresar 16.No intentecolocar el cursor despusdel decimal subsiguiente para ingresar 1. Ingrese undecimal directamente despusde 16 y luego ingrese 1.10. Presione la teclade barra inclinada (/) paradesplazarse a lamscarade red.

estticas y dinmicas Direcciones IPLos ISP (proveedores de servicios de Internet) asignan una direccin IP a cada dispositivo en la red. Ladireccin IP puede ser esttica o dinmica.




Gua del Usuario 5

Direcciones IP estticas

Una direccin IP esttica es una direccin IP que permanece siempre igual. Si tiene un servidor web, unservidor FTP u otro recurso de Internet que debe tener una direccin que no puede cambiar, puedeobtener una direccin IP esttica de su ISP. Una direccin IP esttica generalmente es ms costosa que unadireccin IP dinmica. Algunos ISP no proveen direcciones IP estticas. La direccin IP esttica debeconfigurarse en formamanual.

Direcciones IP dinmicas

Una direccin IP dinmica es una direccin IP que el ISP permite utilizar en forma temporal a un usuario. Siuna direccin dinmica no est en uso, puede ser asignada automticamente a un dispositivo diferente. Lasdirecciones IP dinmicas se asignan a travs de DHCP o PPPoE.

Acerca de DHCP

El Protocolo de Configuracin Dinmica de Host (DHCP) es un protocolo de Internet que los equipos en redutilizan para obtener direcciones IP y otra informacin como la puerta de enlace predeterminada. Cuandoel usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asignaautomticamente una direccin IP. Podra ser la misma direccin IP que tena anteriormente o podra seruna nueva. Cuando se cierra una conexin a Internet que usa una direccin IP dinmica, el ISP puedeasignar esa direccin IP a un cliente diferente.

El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrs del dispositivo. Seasigna un rango de direcciones para que el servidor DHCP use.

Acerca de PPPoE

Algunos ISP asignan direcciones IP a travs del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agregaalgunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexin de accesotelefnico estndar. Este protocolo de red permite al ISP utilizar los sistemas de facturacin, autenticacin yseguridad de su infraestructura telefnica con productos DSL de mdem y de mdem por cable.

Acerca de las DNS (sistema de domain name)Con frecuencia se puede encontrar la direccin de una persona desconocida en el directorio telefnico. EnInternet, el equivalente a un directorio telefnico es el DNS(sistema de domain name). El DNS es una redde servidores que traducen direcciones IP numricas en direcciones de Internet legibles y viceversa. ElDNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, comowww.example.com y encuentra la direccin IP equivalente, como 50.50.50.1. Los dispositivos de rednecesitan la direccin IP real para encontrar el sitio web, pero para los usuarios es mucho ms fcilingresar y recordar los domain names que las direcciones IP.

Un servidor DNS es un servidor que realiza esta traduccin. Muchas organizaciones tienen un servidor DNSprivado en su red que responde a solicitudes de DNS. Tambin se puede usar un servidor DNS en la redexterna, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).

Acerca de firewallUn dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de lared externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que elfirewall protege de Internet a los equipos de una red de confianza.

Los firewall usan polticas de acceso para identificar y filtrar diferentes tipos de informacin. Tambinpueden controlar qu polticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).Por ejemplo, muchos firewall tienen polticas de seguridad de prueba que permiten slo tipos de trficoespecficos. Los usuarios pueden seleccionar la poltica ms conveniente para ellos. Otros firewall, porejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas polticas.

Para ms informaciones, vea Acerca de servicios y polticas en la pgina 7 y Acerca de puertos en la pgina 8




Gua del Usuario 7

Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios noautorizados en Internet y examina el trfico que ingresa a redes protegidas o sale de stas. El firewallrechaza el trfico de red que no coincide con los criterios o polticas de seguridad.

En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas amenos que exista una regla especfica para permitir la conexin. Para implementar este tipo de firewall, sedebe tener informacin detallada acerca de las aplicaciones de red requeridas para satisfacer lasnecesidades de una organizacin. Otros firewall permiten todas las conexiones de red que no han sidorechazadas explcitamente. Este tipo de firewall abierto es ms fcil de implementar, pero no es tan seguro.

Acerca de servicios y polticasEl usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrnico, archivos ocomandos) desde una computadora a otra a travs de una red o a una red diferente. Estos servicios utilizanprotocolos. Los servicios de Internet utilizados con frecuencia son:

n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).n El correo electrnico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de

Oficina de Correos (POP3).n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).n Resolver un domain name a una direccin de Internet utiliza el Servicio de Domain Name (DNS).n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).

Cuando se autoriza o se rechaza un servicio, se debe agregar una poltica a la configuracin del dispositivoWatchGuard. Cada poltica que se agrega tambin puede sumar un riesgo de seguridad. Para enviar y recibirdatos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregarslo las polticas necesarias para la empresa.

Como ejemplo del modo en que se utiliza una poltica, supongamos que el administrador de red de unaempresa desea activar una conexin de servicios de terminal de Windows al servidor web pblico de laempresa en la interfaz opcional del Firebox. Peridicamente administra el servidor web con una conexin

de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningn otro usuario de la red puedautilizar los servicios de terminal del Protocolo de Escritorio Remoto a travs del Firebox. El administradorde red debe agregar una poltica que permita conexiones RDP slo desde la direccin IP de su propioequipo de escritorio a la direccin IP del servidor web pblico.

Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente slo agregaconectividad saliente limitada. Si el usuario tiene ms aplicaciones de software y trfico de red para queexamine Firebox, debe:

n Configurar las polticas en Firebox para que transfieran en trfico necesario.n Definir las propiedades y hosts aprobados para cada poltican Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a

recursos externos.

Acerca de puertosAunque los equipos tienen puertos de hardware que se utilizan como puntos de conexin, los puertostambin son nmeros utilizados para asignar trfico a un proceso particular en un equipo. En estos puertos,tambin llamados puertos TCP y UDP los programas transmiten datos. Si una direccin IP es como ladireccin de una calle, un nmero de puerto es como un nmero de departamento o edificio dentro deesa calle. Cuando un equipo enva trfico a travs de Internet a un servidor u otro equipo, utiliza unadireccin IP para identificar al servidor o equipo remoto y un nmero de puerto para identificar el procesoen el servidor o equipo que recibe los datos.

Por ejemplo, supongamos que deseamos ver una pgina web en particular. El explorador web intenta crearuna conexin en el puerto 80 (el puerto utilizado para trfico HTTP) para cada elemento de la pgina web.Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexin.

Muchos puertos se usan slo para un tipo de trfico, como el puerto 25 para SMTP (Protocolo simple detransferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con nmeros asignados. A otrosprogramas se les asignan nmeros de puerto en forma dinmica para cada conexin. IANA (InternetAssigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista atravs de:http://www.iana.org/assignments/port-numbers

La mayora de las polticas que se agregan a la configuracin del Firebox tienen un nmero de puerto entre0 y 1024, pero los nmeros de puerto posibles pueden ser entre 0 y 65535.

Los puertos estn abiertos o cerrados. Si un puerto est abierto, el equipo acepta informacin y utiliza elprotocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puertoabierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, sepueden bloquear los puertos utilizados por los hackers para atacar a la red. Para ms informaciones, veaAcerca de los puertos bloqueados en la pgina 347.

El dispositivo WatchGuard y la redEl dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo eltrfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red,tambin se puede configurar una interfaz de red opcional que est separada de la red de confianza. Luegose puede configurar el firewall en el dispositivo para detener todo el trfico sospechoso de la red externa a




Gua del Usuario 9

las redes de confianza y opcionales. Si se enruta todo el trfico para los equipos de confianza combinada atravs de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar msflexibilidad a la solucin de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para losusuarios remotos o para servidores pblicos como un servidor web o un servidor de correo electrnico.

Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redesinformticas o seguridad de red. LaWeb UI (interfaz de usuario basada en la web) de Fireware XTM proveemuchas herramientas de autoayuda para estos clientes. Los clientes con ms experiencia pueden utilizar laintegracin avanzada y las mltiples funciones de soporte WAN del Fireware Appliance Software XTM Propara conectar un dispositivo WatchGuard a una red de rea ancha mayor. El dispositivo WatchGuard seconecta a un mdem por cable, DSL de mdem o enrutador ISDN.

LaWeb UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desdediferentes ubicaciones y en cualquier momento. As se obtiene ms tiempo y recursos para utilizar en otrosequipos de la empresa.


Gua del Usuario 10

Gua del Usuario 11

2 Introduccin a Fireware XTM

Introduccin a Fireware XTMFireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Fireboxen su red. La solucin Fireware XTM incluye cuatro aplicaciones de software:

n WatchGuard System Manager (WSM)n Fireware XTMWeb UIn Command Line Interface (CLI) de Fireware XTMn WatchGuard Server Center

Posiblemente sea necesario utilizar ms de una aplicacin Fireware XTM para configurar la red de unaorganizacin. Por ejemplo, si se tiene slo un producto Firebox X Edge e-Series, la mayora de las tareas deconfiguracin pueden realizarse con la Fireware XTMWeb UI o la Command Line Interface de FirewareXTM. Sin embargo, para funciones de administracin y registro ms avanzadas, se debe utilizar WatchGuardServer Center. Si el usuario administra ms de un dispositivo WatchGuard o si ha comprado Fireware XTMcon una actualizacin Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decideadministrar y monitorear la configuracin con la Fireware XTMWeb UI, algunas funciones no puedenconfigurarse.

Para obtener ms informacin acerca de estas limitaciones, consulte Limitaciones de la Fireware XTMWebUI en la pgina 31.

Para obtener ms informacin acerca de cmo conectarse a Firebox con el WatchGuard System Manager ola Command Line Interface de Fireware XTM, consulte la Ayuda en lnea o la Gua del usuario para esosproductos. Se puede visualizar y descargar la documentacin ms reciente para estos productos en lapgina Documentacin del producto de Fireware XTM:http://www.watchguard.com/help/documentation/xtm.asp.

Nota Los trminos Firebox y dispositivo WatchGuard que se encuentran a lo largo detoda esta documentacin se refieren a productos deWatchGuard que usanFireware XTM, como el dispositivo Firebox X Edge e-Series.

Componentes de Fireware XTMPara iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,seleccione el acceso directo desde el men de Inicio. WatchGuard Server Center tambin puede iniciarsedesde un cono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientasque ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desdeWatchGuard System Manager (WSM).

el WatchGuard System ManagerWatchGuard System Manager (WSM) es la principal aplicacin para la administracin de red con Firebox.WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usandistintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan amonitorear y controlar el trfico de red.

Policy Manager

Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjuntocompleto de filtrados de paquetes preconfigurados, polticas de proxy y puertas de enlace de lacapa de aplicacin (ALG). El usuario tambin puede establecer un filtrado de paquetespersonalizado, una poltica de proxy o ALG en los cuales se configuran los puertos, los protocolos yotras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusin en lared, como ataques de congestin del servidor SYN, ataques de suplantacin de paquetes y sondeosde espacio entre puertos o direcciones.

Firebox System Manager (FSM)

El Firebox System Manager provee una interfaz para monitorear todos los componentes deldispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y suconfiguracin.

Introduccin a Fireware XTM



Gua del Usuario 13

HostWatch

HostWatch es un monitor de conexin en tiempo real que muestra el trfico de red entrediferentes interfaces de Firebox. HostWatch tambin muestra informacin acerca de usuarios,conexiones, puertos y servicios.

LogViewer

El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivode registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabrasclaves o campos de registro especificados.

Report Manager

El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Serverspara todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los InformesWatchGuard disponibles para los dispositivos WatchGuard.

Administrador de CA

El Administrador de la autoridad de certificacin (CA) muestra una lista completa de certificados deseguridad instalados en el equipo de administracin con Fireware XTM. Esta aplicacin puedeutilizarse para importar, configurar y generar certificados para uso con tneles VPN y otros fines deautenticacin.

WatchGuard Server CenterWatchGuard Server Center es la aplicacin donde se configuran y monitorean todos los servidoresWatchGuard.

Management Server

El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrartodos los dispositivos de firewall y crear tneles de red privada virtual (VPN) utilizando una simplefuncin de arrastrar y soltar. Las funciones bsicas del Management Server son:

n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolode Internet (IPSec).

n Administracin de la configuracin del tnel VPN.n Administracin de mltiples dispositivos Firebox y Firebox X Edge.

Log Server

El Log Server rene los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes deregistro estn cifrados cuando se envan al Log Server. El formato del mensaje de registro es XML(texto sin formato). La informacin reunida de dispositivos de firewall incluye los siguientesmensajes de registro: trfico, evento, alarma, depuracin (diagnstico) y estadstica.

WebBlocker Server

El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios acategoras especficas de sitios web. Durante la configuracin del Firebox, el administrador establecelas categoras de sitios web para permitir o bloquear.

Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de lasWebBlocker en la pgina 561.

Quarantine Server

El Quarantine Server rene y asla mensajes de correo electrnico que segn la sospecha despamBlocker son spam o pueden tener un virus.

Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 635.

Report Server

El Report Server peridicamente agrupa los datos reunidos por los Log Servers en los dispositivosWatchGuard y luego genera informes en forma peridica. Una vez que los datos se encuentran en elReport Server, se puede utilizar el Report Manager para generar y ver los informes.

Fireware XTMWeb UI e interfaz de la lnea de comandosLa Fireware XTMWeb UI y la Command Line Interface son soluciones de administracin alternativas quepueden realizar la mayora de las mismas tareas que WatchGuard System Manager y el Policy Manager .Algunas opciones y funciones de configuracin avanzada, como las configuraciones de FireCluster o polticade proxy, no estn disponibles en la Fireware XTMWeb UI o la Command Line Interface.

Para ms informaciones, vea Acerca del Fireware XTMWeb UI en la pgina 30.

Fireware XTMcon Actualizacin ProLa actualizacin Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,como balance de carga en el servidor y tneles SSL VPN adicionales. Las funciones disponibles con unaactualizacin Pro dependen del tipo y el modelo de Firebox:

FuncinCore e-Series

Core/Peak e-Seriesy XTM XTM1050(Pro)

Edge e-Series

Edge e-Series(Pro)

FireCluster X

VLANs 75 mx.75 mx. (Core)200 mx. (Peak/XTM1050)

20 mx. 50 mx.

Dynamic Routing (OSPF y BGP) X

Enrutamiento basado en la poltica X X

Balance de carga en el servidor X

Tneles SSLVPN mximos X X

Conmutacin por error de WANmltiples

X X X

Balance de carga de WANmltiples

X X




Gua del Usuario 15

Para adquirir Fireware XTM con una actualizacin Pro, comunquese con su revendedor local.


Gua del Usuario 16

Gua del Usuario 17

3 Servicio y soporte

Acerca de las Soporte de WatchGuardWatchGuard sabe qu importante resulta el soporte cuando debe asegurar su red con recursos limitados.Nuestros clientes requieren ms conocimiento y asistencia en un mundo donde la seguridad es deimportancia crtica. LiveSecurity Service le proporciona el respaldo que necesita, con una suscripcin querespalda su dispositivo WatchGuard desde el momento del registro.

LiveSecurity ServiceSu dispositivo WatchGuard incluye una suscripcin al innovador LiveSecurity Service, que se activa en lneacuando registra el producto. En el momento de la activacin, la suscripcin de LiveSecurity Service leotorga acceso a un programa de soporte y mantenimiento sin comparacin en la industria.

LiveSecurity Service viene con los siguientes beneficios:

Garanta de hardware con reemplazo de hardware avanzado

Una suscripcin activa de LiveSecurity extiende la garanta de hardware de un ao incluida con cadadispositivo WatchGuard. Su suscripcin adems ofrece el reemplazo de hardware avanzado paraminimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,WatchGuard le enviar una unidad de reemplazo antes de que tenga que enviar el hardwareoriginal.

Actualizaciones de software

Su suscripcin de LiveSecurity Service le proporciona acceso a las actualizaciones del softwareactual y a las mejoras funcionales para sus productos WatchGuard.

Soporte tcnico

Cuando necesita asistencia, nuestros equipos expertos estn listos para ayudarlo:

n Representantes disponibles 12 horas al da, 5 das a la semana en su zona horaria local*n Tiempo mximo de respuesta inicial focalizada de cuatro horas

n Acceso a foros para usuarios en lnea moderados por ingenieros generales de soporte

Recursos y alertas de soporte

Su suscripcin de LiveSecurity Service le brinda acceso a una variedad de videos instructivos deproduccin profesional, cursos de capacitacin interactivos en Internet y herramientas en lneadiseadas especficamente para responder las preguntas que pueda tener acerca de la seguridad dered en general o los aspectos tcnicos de la instalacin, la configuracin y el mantenimiento de susproductos WatchGuard.

Nuestro Equipo de respuesta rpida, un grupo dedicado de expertos en seguridad de red,monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones deLiveSecurity para indicarle de manera especfica lo que debe hacer para encargarse de cada nuevaamenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo deavisos y alertas que le enva LiveSecurity Service.

LiveSecurity Service GoldLiveSecurity Service Gold est disponible para las compaas que requieren disponibilidad las 24 horas.Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos derespuesta ms rpidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold esnecesario en cada unidad de su organizacin para contar con una cobertura completa.

Caractersticas del servicio LiveSecurity ServiceLiveSecurityService Gold

Horarios de soporte tcnicoDe lunes a viernes, de 6.00a.m. a 6.00p.m.*

las 24 horas

Nmero de incidentes de soporte(en lnea o por telfono)

5 por ao Ilimitada

Tiempo de respuesta inicial focalizada 4 horas 1 hora

Foro de soporte interactivo S S

Actualizaciones de software S S

Herramientas de autoayuda y capacitacin en lnea S S

Transmisiones de LiveSecurity S S

Asistencia de instalacin Opcional Opcional

Paquete de soporte de tres incidentes Opcional N/A

Actualizacin de respuesta de prioridadde una hora, para un solo incidente

Opcional N/A

Actualizacin para un solo incidente fuera delhorario de trabajo habitual

Opcional N/A

Servicio y soporte


Servicio y soporte

Gua del Usuario 19

* En la regin del pacfico asitico, los horarios de soporte estndar son de lunes a viernes, de 9.00a.m. a 9.00p.m.(GMT +8).

Expiracin del servicioLe recomendamos mantener su suscripcin activa para asegurar su organizacin. Cuando su suscripcin deLiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones desoftware peridicas, lo que puede poner su red en peligro. El dao a la red resulta mucho ms costoso queuna renovacin de la suscripcin de LiveSecurity Service. Si realiza la renovacin dentro de 30 das, no sele cobrar una tarifa de reingreso.

Servicio y soporte

Gua del Usuario 20

Gua del Usuario 21

4 Introduccin

Antes de empezarAntes de empezar el proceso de instalacin, asegrese de concluir las tareas descritas en las siguientessecciones.

Nota En esas instrucciones de instalacin, suponemos que su dispositivo WatchGuardtenga una interfaz de confianza, una externa y una opcional configurada. Paraconfigurar interfaces adicionales en su dispositivo, use las herramientas yprocedimientos de configuracin descritos en los tpicos Configuracin de red yConfiguracin.

Verificar componentes bsicosAsegurarse de que tiene esos tems:

n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instaladosn Un dispositivo Firebox o XTM de WatchGuardn Un cable serial (azul)

solamente modelos Firebox X Core, Peak y XTM de WatchGuardn Un cable cruzado de Ethernet (rojo)

solamente modelos Firebox X Core, Peak y XTM de WatchGuardn Un cable recto de Ethernet (verde)n Cable de energa o adaptador de energa CA

Obtener tecla de funcin del dispositivo WatchGuardPara habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio webde LiveSecurity de WatchGuard y obtener su tecla de funcin. El Firebox tiene slo una licencia de usuario(licencia por puesto) hasta que aplica su tecla de funcin.

Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de sutecla de funcin en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de funcinen el asistente, an puede finalizarlo. Hasta que se agregue la tecla de funcin, slo una conexin espermitida a Internet.

Tambin se obtiene una nueva tecla de funcin para cualquier producto o servicio opcional cuando loscompra. Despus de registrar su dispositivo WatchGuard o cualquier nueva funcin, puede sincronizar sutecla de funcin del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio deLiveSecurity de WatchGuard. Puede usar Fireware XTMWeb UI en cualquier momento para obtener sutecla de funcin.

Para saber cmo registrar su dispositivo WatchGuard y obtener una tecla de funcin, vea Obtener una teclade funcin junto a LiveSecurity en la pgina 52.

Recoger direcciones de redRecomendamos que registre su informacin de red antes y despus de configurar su dispositivoWatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo enfuncionamiento. Para ms informacin acerca de cmo identificar sus direcciones IP de red, vea Identificarsus configuraciones de red en la pgina 35.

WatchGuard usa la notacin diagonal para mostrar la Subnet Mask. Para ms informaciones, vea Acerca delas Notacin diagonal en la pgina 3. Para ms informacin acerca de las direcciones IP, vea Acerca de lasDirecciones IP en la pgina 3.

Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard

Red de rea Amplia _____._____._____._____ / ____

Puerta de enlace predeterminada _____._____._____._____

Red de rea local _____._____._____._____ / ____

Secondary Network (si corresponde) _____._____._____._____ / ____

Servidor(es) Pblico(s) (si corresponde) _____._____._____._____

_____._____._____._____

_____._____._____._____

Use la segunda tabla para sus direcciones IP de red despus de poner su dispositivo WatchGuard enfuncionamiento.

Interfaz externa

Conecta a la red externa (generalmente Internet) que no sea de confianza.

Interfaz de confianza

Conecta a la red interna o LAN (red de rea local) privada que desea proteger.

Introduccin


Introduccin

Gua del Usuario 23

Interfaz opcional

Generalmente conecta a un rea de confianza combinada de su red, tales como servidores en DMZ(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentesniveles de acceso.

Tabla 1: Direcciones IP de red con el dispositivo WatchGuard

Puerta de enlace predeterminada _____._____._____._____

Interfaz externa _____._____._____._____/ ____

Interfaz de confianza _____._____._____._____ / ____

Interfaz opcional _____._____._____._____ / ____

Secondary Network (si corresponde) _____._____._____._____ / ____

Seleccione un modo configuracin de firewallDebe elegir cmo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick SetupWizard. La forma como conecta el dispositivo controla la configuracin de la interfaz. Cuando conecta eldispositivo, selecciona el modo de configuracin enrutado o directo que mejor de adecue a su redactual.

Muchas redes funcionan mejor con la configuracin de enrutamiento combinado, pero recomendamos elmodo directo si:

n Ya asign un gran nmero de direcciones IP estticas y no desea alterar su configuracin de red.n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP

pblicas con direcciones IP privadas.

Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar elmodo configuracin del firewall.

Modo de enrutamiento combinado Modo directo

Todas las interfaces del dispositivo WatchGuardestn el redes diferentes.

Todas las interfaces del dispositivo WatchGuardestn en la misma red y tienen la misma direccinIP.

Las interfaces de confianza y opcional deben estaren redes diferentes. Cada interfaz tiene unadireccin IP en su red.

Los equipos en las interfaces de confianza u opcionalpueden tener una direccin IP pblica.

Use la NAT (traduccin de direccin de red)esttica para asignar direcciones pblicas adirecciones privadas detrs de las interfaces deconfianza u opcionales.

La NAT no es necesaria porque los equipos conacceso pblico tienen direcciones IP.

Para ms informacin acerca del modo directo, vea Acerca de la configuracin de red en modo directo enla pgina 89.

Para ms informacin acerca del modo de enrutamiento combinado, veaModo de enrutamientocombinado en la pgina 82.

El dispositivo WatchGuard tambin soporta un tercer modo configuracin llamado modo puente. Ese modoes usado con menos frecuencia. Para ms informacin acerca del modo puente, veaModo Bridge en lapgina 94.

Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear suconfiguracin inicial. Cuando ejecuta el Web Setup Wizard, la configuracinfirewall es automticamente definida en modo de enrutamiento combinado.Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo enmodo de enrutamiento combinado o modo directo.

Ahora puede iniciar el Quick Setup Wizard. Para ms informaciones, vea Acerca del Quick Setup Wizard enla pgina 24.

Acerca del Quick Setup WizardSe puede usar la Quick Setup Wizard para crear una configuracin bsica para su dispositivo WatchGuard. Eldispositivo usa ese archivo de configuracin bsica cuando se inicia por primera vez. Eso permite quefuncione como un firewall bsico. Puede usar ese mismo procedimiento a cualquier momento pararestablecer el dispositivo en una configuracin bsica nueva. Eso es til para la recuperacin del sistema.

Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen slo las polticas bsicas(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tienems aplicaciones de software y trfico de red para que el dispositivo busque, debe:

n Configurar las polticas en el dispositivo WatchGuard para dejar pasar el trfico necesarion Definir las propiedades y hosts aprobados para cada poltican Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a

recursos externos

Para instrucciones acerca de cmo ejecutar el asistente a partir del explorador web, vea Ejecutar el WebSetup Wizard en la pgina 24.

Ejecutar el Web Setup Wizard

Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el FirewareXTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versin anterior delsoftware, debe actualizar para el Fireware XTM antes de usar esas instrucciones.Vea las Notas de versin para las instrucciones de actualizacin para su modelo deFirebox.

Puede usar el Web Setup Wizard para hacer una configuracin bsica en un dispositivo WatchGuard XTM oFirebox X e-Series. El Web Setup Wizard automticamente configura el Firebox en el modo deenrutamiento combinado.

Introduccin


Introduccin

Gua del Usuario 25

Para usar el Web Setup Wizard, debe hacer una conexin de red directa hacia el dispositivo WatchGuard yusar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, l usa DHCPpara enviar una nueva direccin IP a su equipo.

Antes de iniciar el Web Setup Wizard, asegrese de:

n Registrar su dispositivo WatchGuard con el LiveSecurity Servicen AlmacenarunacopiadelatecladefuncindeldispositivoWatchGuardenunarchivodetextoensuequipo

Iniciar el Web Setup Wizard

1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo deadministracin a la interfaz de confianza del Firebox.

n Paraun dispositivo Firebox X Core,Peak e-Series,o XTM, la interfazde confianzaes lanmero 1n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0

2. Conecte el cable de energa a la entrada de energa del dispositivo WatchGuard y a una fuente deenerga.

3. Inicie el Firebox en modo predeterminado de fbrica. En los modelos Core, Peak y XTM, eso seconoce como modo seguro.

Para ms informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuracin anterioro nueva en la pgina 48.

4. Asegrese de que su equipo est configurado para aceptar una direccin IP asignada por DHCP.

Si su equipo usaWindows XP:

n En el men Windows Inicio, seleccione Todos los programas > Panel de control > Conexionesde red > Conexiones de rea local.

n Haga clic en Propiedades.n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.n Asegrese de que Obtener una direccin IP automticamente est seleccionado.

Para instrucciones ms detalladas, vea Identificar sus configuraciones de red en la pgina 35.

5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuracinproxy HTTP en su explorador.

Para ms informaciones, vea Desactive el proxy de HTTP en el explorador en la pgina 39.

6. Abra el explorador web e ingrese la direccin IP predeterminada de fbrica de interfaz 1.Para un Firebox XCore o Peak, o un dispositivo WatchGuard XTM, la direccin IP es:https://10.0.1.1:8080.Para un Firebox XEdge, la direccin es: https://192.168.111.1:8080.Si usa el Internet Explorer, asegrese de ingresar el https:// al principio de la direccin IP. Esoestablece una conexin HTTP segura entre su equipo de administracin y el dispositivo WatchGuard.El Web Setup Wizard se inicia automticamente.

7. Registre las credenciales de cuenta del administrador:Nombre de usuario:adminFrase de contrasea: lecturaescritura

8. Complete las siguientes pantallas del asistente.

El Web Setup Wizard incluye ese grupo de cuadros de dilogo. Algunos cuadros de dilogo aparecenslo si selecciona ciertos mtodos de configuracin:

Ingresar

Ingresar con las credenciales de cuenta del administrador. ParaNombre de usuario, seleccioneadmin. Para Frase de contrasea, use la frase:lecturaescritura.

Bienvenido

La primera pantalla le informa sobre el asistente.

Seleccione un tipo de configuracin.

Seleccione si prefiere crear una nueva configuracin o restaurar una configuracin a partir deuna imagen de copia de seguridad guardada.

Acuerdo de licencia

Debe aceptar el acuerdo de licencia para continuar con el asistente.

Opciones de tecla de funcin, Retener tecla de funcin, Aplicar tecla de funcin

Si su Firebox todava no tiene una tecla de funcin, el asistente provee opciones para quedescargue o importe una tecla de funcin. El asistente slo puede descargar una tecla defuncin si tiene una conexin a Internet. Si descarg una copia local de la tecla de funcin a suequipo, puede pegarla en el asistente de configuracin.

Si el Firebox no tiene una conexin a Internet mientras ejecuta el asistente y no se registr eldispositivo ni descarg la tecla de funcin a su equipo antes de haber iniciado el asistente,puede elegir no aplicar una tecla de funcin.

AdvertenciaSi no aplica una tecla de funcin en el Web Setup Wizard, debe registrar eldispositivo y aplicar la tecla de funcin en el Fireware XTMWeb UI. Lafuncionalidad del dispositivo es limitada hasta que se aplique una tecla de funcin.

Configurar la interfaz externa de su Firebox

Seleccione el mtodo que su ISP usa para asignar su direccin IP. Las opciones son DHCP, PPPoEo esttica.

Configurar la interfaz externa para DHCP

Ingrese su identificacin de DHCP, tal como su ISP la provee.

Configurar la interfaz externa para PPPoE

Ingrese su informacin de PPPoE, tal como su ISP la provee.

Configurar la interfaz externa con una direccin IP esttica

Ingrese su direccin IP esttica, tal como su ISP la provee.

Configurar los servidores DNS y WINS

Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice

Configurar la interfaz de confianza del Firebox

Introduccin


Introduccin

Gua del Usuario 27

Ingrese la direccin IP de la interfaz de confianza. Como opcin, puede activar el servidor DHCPpara la interfaz de confianza.

Inalmbrico (Firebox X Edge e-Series inalmbrico solamente)

Define la regin de funcionamiento, canal y modo inalmbrico. La lista de regiones defuncionamiento inalmbrico que puede seleccionar puede ser diferente segn donde hayaadquirido su Firebox.

Para ms informaciones, vea Acerca de configuraciones de radio en Firebox XEdge e-Seriesinalmbrico en la pgina 181.

Crear frases de contrasea para su dispositivo

Ingrese una frase de contrasea para el estado (slo lectura) y cuentas de administracinadmin (lectura/escritura) en el Firebox.

Habilitar administracin remota

Active la administracin remota si desea administrar ese dispositivo desde la interfaz externa.

Agregue la informacin de contacto para su dispositivo

Puede ingresar un nombre de dispositivo, ubicacin e informacin de contacto y guardar losdatos de administracin para ese dispositivo. Por defecto, el nombre del dispositivo seconfigura con el nmero de modelo de su Firebox. Recomendamos que elija un nombre nicoque pueda usar para identificar fcilmente ese dispositivo, especialmente si usa administracinremota.

Configurar la zona horaria

Seleccione la zona horaria en la que el Firebox est ubicado.

El Quick Setup Wizard est concluido

Despus de concluir el asistente, el dispositivo WatchGuard se reinicia.

Si deja el Web Setup Wizard ocioso por 15 minutos o ms, debe volver al Paso 3 e iniciar nuevamente.

Nota Si cambia la direccin IP de la interfaz deconfianza, debecambiar su configuracindered para asegurarse deque su direccin IP coincide con la subred de la red deconfianza antes deconectase al Firebox. Si usa DHCP, reinicie su equipo. Si usadirecciones estticas, veaUse una direccin IP esttica en la pgina 38.

Despus que el asistente se concluye

Despus que completa todas las pantallas en el asistente, se hace una configuracin bsica del dispositivoWatchGuard que incluye cuatro polticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) ylas direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar laconfiguracin para su dispositivo WatchGuard.

n Para ms informacin acerca de como concluir la instalacin de su dispositivo WatchGuard despusque se concluye el Web Setup Wizard, vea Concluya su instalacin en la pgina 32.

n Para ms informacin acerca de cmo conectarse al Fireware XTMWeb UI, vea Conctese alFireware XTM Web UI en la pgina 28.

Si tiene problemas con el asistente

Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivoWatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:

n El archivo del software de la aplicacin Fireware XTM descargado del sitio web LiveSecurity podraestar corrompido. Si la imagen del software est corrompida, en un dispositivo Firebox X Core, Peako XTM, este mensaje aparece en la interfaz de LCD: Error de archivo truncado.

Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez ms.

n Si usa

Documents

54723940 Guia de Usuario Firebox