Documente Academic
Documente Profesional
Documente Cultură
Aunque redes como Internet le dan acceso a una gran cantidad de información y oportunidades de negocio,
también pueden abrir su red a los atacantes. Muchas personas piensan que sus ordenadores no tienen
información importante, o que un hacker no está interesado en sus ordenadores. Esto no es correcto. Un
hacker puede usar su ordenador como plataforma para atacar a otros ordenadores o redes. La información de
su organización, incluida información personal sobre usuarios, empleados o clientes, también es valiosa para
los piratas informáticos.
Su dispositivo Firebox o XTM y la suscripción de LiveSecurity pueden ayudarle a prevenir estos ataques. Una
buena política de seguridad de red, o un conjunto de reglas de acceso para usuarios y recursos, también
puede ayudarle a encontrar y prevenir ataques a su ordenador o red. Le recomendamos que configure su
dispositivo Firebox o XTM para que coincida con su política de seguridad y piense en amenazas tanto dentro
como fuera de su organización.
Una conexión a Internet de alta velocidad, como un módem por cable o una línea DSL (Digital Subscriber Line),
se conoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que las
conexiones de acceso telefónico. El ancho de banda de una conexión de acceso telefónico es inferior a .1
Mbps, mientras que un módem por cable puede ser de 5 Mbps o más.
Las velocidades típicas para los módems de cable son generalmente más bajas que las velocidades máximas,
porque cada ordenador en un vecindario es un miembro de una LAN. Cada ordenador en esa LAN utiliza parte
del ancho de banda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden
llegar a ser lentas contra más usuarios estén en la red.
Las conexiones DSL proporcionan un ancho de banda constante, pero normalmente son más lentas que las
conexiones por cable módem. Además, el ancho de banda es sólo constante entre su casa u oficina y la oficina
central DSL. La oficina central DSL no puede garantizar una buena conexión a un sitio web o red.
Un protocolo también indica cómo se envían los datos a través de una red. Los protocolos más utilizados son
TCP (Transmission Control Protocol) y UDP (User Datagram Protocol). TCP / IP es el protocolo básico utilizado
por los ordenadores que se conectan a Internet.
Debe conocer algunos de los ajustes de TCP / IP cuando configura su dispositivo Firebox o XTM. Para obtener
más información sobre TCP / IP, consulte Búsqueda de propiedades de TCP / IP en la página 36.
Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados en formato
decimal y separados por puntos. Cada número entre los períodos debe estar dentro del rango de 0 y 255.
Algunos ejemplos de direcciones IP son: 192.168.0.5; 4.2.2.2; 10.0.4.1
Por lo general, la puerta de enlace predeterminada es el enrutador que se encuentra entre su red e Internet.
Después de instalar el dispositivo Firebox o XTM en su red, se convierte en la puerta de enlace
predeterminada para todos los equipos conectados a sus interfaces de confianza u opcionales.
Una máscara de subred de una dirección IP de red o máscara de red es una serie de bits que enmascaran
secciones de la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para
el host. Una máscara de subred se puede escribir de la misma manera que una dirección IP, o en barra
diagonal o notación CIDR.
Por ejemplo, desea escribir la dirección IP 192.168.42.23 con una máscara de subred de 255.255.255.0 en
notación de barras.
11111111.11111111.11111111.00000000.
3. Escriba la dirección IP original, una barra diagonal (/) y, a continuación, el número del paso 2.
El resultado es 192.168.42.23/24.
Esta tabla muestra las máscaras de red comunes y sus equivalentes en la notación de barras:
Por ejemplo, si escribe la dirección IP 172.16.1.10, no escriba un espacio después de escribir 16. No intente
colocar el cursor después del decimal siguiente para escribir 1. Escriba un decimal directamente después de 16
y, a continuación, escriba 1.10.
Direcciones IP estáticas
Una dirección IP estática es una dirección IP que siempre permanece igual. Si tiene un servidor web,
servidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puede
obtener una dirección IP estática de su ISP. Una dirección IP estática suele ser más cara que una dirección
IP dinámica, y algunos ISP no proporcionan direcciones IP estáticas. Debe configurar manualmente una
dirección IP estática.
Direcciones IP dinámicas
Una dirección IP dinámica es una dirección IP que un ISP le permite utilizar temporalmente. Si no se
utiliza una dirección dinámica, se puede asignar automáticamente a un dispositivo diferente. Las
direcciones IP dinámicas se asignan mediante DHCP o PPPoE.
Acerca de DHCP
El Protocolo de configuración dinámica de host (DHCP) es un protocolo de Internet que utilizan los
ordenadores de una red para obtener direcciones IP y otra información, como la puerta de enlace
predeterminada. Cuando se conecta a Internet, un ordenador configurado como un servidor DHCP en el ISP
asigna automáticamente una dirección IP. Puede ser la misma dirección IP que tenía antes, o puede ser una
nueva. Al cerrar una conexión a Internet que utiliza una dirección IP dinámica, el ISP puede asignar esa
dirección IP a un cliente diferente.
Puede configurar su dispositivo Firebox o XTM como servidor DHCP para redes detrás del dispositivo. Asigna
un rango de direcciones para el servidor DHCP a utilizar.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a través de Protocolo punto a punto a través de Ethernet (PPPoE). PPPoE
añade algunas de las características de Ethernet y PPP a una conexión de acceso telefónico estándar. Este
protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación y seguridad de su
infraestructura de acceso telefónico con módem DSL y productos de cable módem.
Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a las solicitudes de DNS. También puede utilizar un servidor DNS en su red
externa, como un servidor DNS proporcionado por su ISP (Proveedor de servicios de Internet).
Acerca de los firewalls
Un dispositivo de seguridad de red, como un firewall, separa sus redes internas de las conexiones de red
externas para disminuir el riesgo de un ataque externo. La siguiente figura muestra cómo un firewall protege
los equipos de una red de confianza de Internet.
Los firewalls utilizan políticas de acceso para identificar y filtrar diferentes tipos de información. También
pueden controlar qué políticas o puertos pueden utilizar en Internet los ordenadores protegidos (acceso
saliente). Por ejemplo, muchos firewalls tienen ejemplos de políticas de seguridad que permiten sólo tipos de
tráfico especificos. Los usuarios pueden seleccionar la política que es mejor para ellos. Otros firewalls, como
los dispositivos Firebox o XTM, permiten al usuario personalizar estas políticas.
Para obtener más información, consulte Acerca de los servicios y políticas en la página 7 y Acerca de los
puertos en la página 8.
Los firewalls pueden ser en forma de hardware o software. Un firewall protege las redes privadas de usuarios
no autorizados en Internet. El tráfico que entra o sale de las redes protegidas es examinado por el firewall. El
firewall deniega el tráfico de red que no coincide con los criterios o políticas de seguridad.
En algunos firewalls cerrados o predeterminados, todas las conexiones de red se deniegan a menos que exista
una regla específica para permitir la conexión. Para implementar este tipo de firewall, debe tener información
detallada sobre las aplicaciones de red necesarias para satisfacer las necesidades de su organización. Otros
firewalls permiten todas las conexiones de red que no se han negado explícitamente. Este tipo de firewall
abierto es más fácil de implementar, pero no es tan seguro.
Cuando se permite o se deniega un servicio, debe agregar una directiva a la configuración del dispositivo
Firebox o XTM. Cada política que agregue también puede agregar un riesgo de seguridad. Para enviar y recibir
datos, debe “abrir una puerta” en su ordenador, lo que pone en riesgo su red. Le recomendamos que añada
sólo las políticas necesarias para su empresa.
Un ejemplo de cómo puede utilizar una política, suponga que el administrador de red de una empresa desea
activar una conexión de servicios de terminal de Windows con el servidor web público de la empresa en la
interfaz opcional del dispositivo Firebox o XTM. Él o ella administraran rutinariamente el servidor web con un
control remoto.
Conexión de escritorio remoto, al mismo tiempo, desea asegurarse de que ningún otro usuario de la red
pueda utilizar los servicios del terminal de Escritorio remoto a través del dispositivo Firebox o XTM. El
administrador de red añadiría una directiva que permita conexiones RDP sólo desde la dirección IP de su
propio equipo de escritorio a la dirección IP del servidor web público.
Cuando configura su dispositivo Firebox o XTM con el Asistente de configuración rápida, el asistente añade
sólo conectividad saliente limitada. Si tiene más aplicaciones de software y tráfico de red para que su
dispositivo Firebox o XTM lo examine, debe:
Configurar las directivas en su dispositivo Firebox o XTM para pasar el tráfico necesario.
Establecer los hosts y propiedades aprobados para cada directiva.
Equilibrar el requisito de proteger su red contra los requisitos de sus usuarios para obtener acceso a
recursos externos.
Muchos puertos se utilizan para un solo tipo de tráfico, como el puerto 25 para SMTP (Simple Mail Transfer
Protocol). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otros programas se les
asignan dinámicamente números de puerto para cada conexión. La IANA (Internet Assigned Numbers
Authority) mantiene una lista de puertos conocidos. Puede ver esta lista en:
http://www.iana.org/assignments/port-numbers
La mayoría de las políticas que agregamos a la configuración del dispositivo Firebox o XTM tienen un número
de puerto entre 0 y 1024, pero los números de puerto posibles pueden ser de 0 a 65535.
Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza el
protocolo identificado con ese puerto para crear conexiones con otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra los riesgos creados por los puertos abiertos, puede
bloquear los puertos utilizados por los piratas informáticos para atacar su red.
Para obtener más información, consulte Acerca de los puertos bloqueados en la página 347.
Algunos clientes que compran un dispositivo Firebox o XTM no saben mucho acerca de las redes informáticas
o la seguridad de la red. Fireware XTM Web UI (interfaz de usuario basada en web), proporciona muchas
herramientas de autoayuda para estos clientes. Los clientes avanzados pueden utilizar la integración avanzada
y varias funciones de soporte de WAN del sistema operativo Fireware XTM con una actualización Pro para
conectar un dispositivo Firebox o XTM a una red más amplia. El dispositivo Firebox o XTM se conecta a un
módem por cable, módem DSL o enrutador ISDN.
Puede usar la interfaz web para administrar con seguridad la configuración de seguridad de red desde
diferentes ubicaciones en cualquier momento. Esto le da más tiempo y recursos para otros componentes de
su negocio.
Puede utilizar una o más de las aplicaciones de Fireware XTM para configurar la red.
Por ejemplo, si sólo tiene un producto Firebox X Edge serie e, puede realizar la mayoría de la configuración de
tareas con Fireware XTM Web UI o Fireware XTM Command Line Interface. Sin embargo, para el registro y
generación de informes, debe utilizar WatchGuard Server Center. Si gestiona más de una Firebox o XTM, o si
ha adquirido Fireware XTM con una actualización Pro, recomendamos que utilice WatchGuard System
Manager (WSM). Si decide administrar y supervisar su configuración con Fireware XTM Web UI, hay algunas
características que no se podrán configurar.
Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la interfaz de usuario
Web de Fireware XTM.
Para obtener más información sobre cómo conectarse a su dispositivo Firebox o XTM con WatchGuard System
Manager o la interfaz de línea de comandos de Fireware XTM, consulte la Ayuda o la Guía del usuario de
dichos productos. Puede ver y descargar la documentación más actualizada de estos productos en el producto
Fireware XTM
Página de documentación:
http://www.watchguard.com/help/documentation/xtm.asp
Gerente de Políticas:
Puede utilizar Policy Manager para configurar el firewall. Policy Manager incluye un conjunto completo de
filtros de paquetes preconfigurados, políticas de proxy y gateways de capa de aplicación (ALG). También
puede crear un filtro de paquetes personalizado, una política de proxy o ALG en el que establezca los
puertos, los protocolos y otras opciones.
Otras funciones de Policy Manager le ayudan a detener los intentos de intrusión en la red, como los
ataques SYN Flood, los ataques de suplantación de identidad y las sondas de espacio de puerto o de
dirección.
Firebox System Manager le ofrece una interfaz para supervisar todos los componentes de su dispositivo
Firebox o XTM. Desde FSM, puede ver el estado en tiempo real de su dispositivo Firebox o XTM y su
configuración.
HostWatch:
HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entre diferentes
interfaces de dispositivos Firebox o XTM. HostWatch también muestra información sobre usuarios,
conexiones, puertos y servicios.
LogViewer:
LogViewer es la herramienta que se utiliza para ver los datos del archivo de registro. Puede mostrar la
página de datos de registro por página o buscar y mostrar mediante palabras clave o campos de registro
especificados.
Administrador de informes:
Puede utilizar el Administrador de informes para generar informes de los datos recopilados de sus
servidores de registro para todos sus dispositivos Firebox o XTM. Desde el Gestor de informes, puede ver
los informes de WatchGuard disponibles para los dispositivos Firebox o XTM.
CA Manager:
El administrador de la Certificación de Autoridad (CA) muestra una lista completa de los certificados de
seguridad instalados en su ordenador para la gestión de Fireware XTM. Puede utilizar esta aplicación para
importar, configurar y generar certificados para su uso con túneles VPN y otros propósitos de
autenticación.
Servidor de administración:
El servidor de administración funciona en un equipo con Windows. Con este servidor, puede administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simple
función de arrastrar y soltar. Las funciones básicas del servidor de administración son:
El servidor de registro recopila mensajes de registro de cada dispositivo WatchGuard Firebox o XTM.
Estos mensajes de registro se cifran cuando se envían al servidor de registro. El formato del mensaje de
registro es XML (texto sin formato). La información recogida de los dispositivos de firewall incluye estos
mensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística.
Servidor WebBlocker:
El servidor WebBlocker funciona con el proxy HTTP del dispositivo Firebox o XTM para denegar el acceso
del usuario a determinadas categorías de sitios web. Durante la configuración del dispositivo Firebox o
XTM, el administrador establece las categorías de sitios web para permitir o bloquear.
Para obtener más información sobre WebBlocker y el servidor WebBlocker, consulte Acerca de
WebBlocker.
Servidor de cuarentena:
El servidor de cuarentena recopila y aísla los mensajes de correo electrónico que spamBlocker sospecha
que son spam de correo electrónico o correos electrónicos que se sospecha que tienen un virus.
Servidor de informes:
El servidor de informes periódicamente consolida los datos recopilados por los servidores de registro de
los dispositivos Firebox o XTM y genera periódicamente informes. Una vez que los datos están en el
servidor de informes, puede utilizar el Administrador de informes para generar y ver informes.
Para obtener más información, consulte Acerca de FireWire XTM Web UI.
3. Servicio y soporte
Acerca del soporte WatchGuard
WatchGuard® sabe lo importante que es el soporte cuando asegura su red con recursos limitados. Nuestros
clientes requieren un mayor conocimiento y asistencia en un mundo donde la seguridad es crítica. El servicio
LiveSecurity® le brinda la copia de seguridad que necesita, con una suscripción que le da soporte tan pronto
como registre su dispositivo Firebox o XTM.
Servicio LiveSecurity
Su dispositivo Firebox o XTM incluye una suscripción a nuestro innovador servicio LiveSecurity, que se activa
en línea al registrar su producto. Tan pronto como se activa, su suscripción a LiveSecurity Service le da acceso
a un programa de soporte y mantenimiento sin igual en la industria.
Una suscripción LiveSecurity activa amplía la garantía de hardware de un año que se incluye con cada
dispositivo Firebox o XTM. Su suscripción también proporciona un reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de un fallo de hardware. Si tiene un fallo de hardware,
WatchGuard le enviará una unidad de reemplazo antes de que tenga que devolver el hardware original.
Actualizaciones de software:
Soporte técnico:
Cuando necesite ayuda, los miembros de nuestro equipo de expertos estarán listos para ayudarle:
o Representantes disponibles 12 horas al día, 5 días a la semana en su zona horaria local *.
o Tiempo máximo de respuesta inicial de cuatro horas.
o Acceso a foros de usuarios en línea moderados por ingenieros de soporte sénior.
Su suscripción a LiveSecurity Service le ofrece acceso a una variedad de videos de instrucción producidos
profesionalmente, cursos interactivos de capacitación en línea y herramientas en línea específicamente
diseñadas para responder a preguntas que pueda tener acerca de la seguridad de la red en general o los
aspectos técnicos de instalación, configuración y mantenimiento de su producto WatchGuard.
Nuestro Equipo de Respuesta Rápida, un grupo dedicado de expertos en seguridad de redes, monitorea
Internet para identificar amenazas emergentes. A continuación, entregan LiveSecurity Broadcasts para
decirle específicamente lo que puede hacer para hacer frente a cada nueva amenaza. Puede personalizar
sus preferencias de alerta para ajustar el tipo de asesoramiento y alertas que le envía el Servicio
LiveSecurity.
* En la región de Asia y el Pacífico, las horas estándar de asistencia son 9 AM-9 PM, de lunes a viernes
(GMT +8).
Caducidad del servicio
Le recomendamos que mantenga activa su suscripción para proteger su organización. Cuando caduca la
suscripción de LiveSecurity, pierde el acceso a avisos de seguridad de última hora y actualizaciones regulares
de software, lo que puede poner en peligro su red. Los daños a su red son mucho más costosos que la
renovación de su suscripción a LiveSecurity Service. Si usted renueva dentro de 30 días, no hay coste de
reinstalación.
4. Empezando
Antes de que empieces
Antes de comenzar el proceso de instalación, asegúrese de completar las tareas descritas en las siguientes
secciones.
Nota: En estas instrucciones de instalación, suponemos que su dispositivo Firebox o XTM tiene una interfaz de
confianza, una externa y una opcional configurada. Para configurar interfaces adicionales en su dispositivo,
utilice las herramientas y procedimientos de configuración descritos en los temas Configurar y configurar la
red.
o Un ordenador con una tarjeta de interfaz de red Ethernet 10 / 100BaseT y un navegador web
instalado
o Un dispositivo WatchGuard Firebox o XTM
o Un cable serie (azul)
Sólo modelos Firebox X Core, Peak y WatchGuard XTM
o Un cable Ethernet cruzado (rojo)
Sólo modelos Firebox X Core, Peak y WatchGuard XTM
o Un cable Ethernet recto (verde)
o Cable de alimentación o adaptador de alimentación de CA
Obtener una clave de función de dispositivo Firebox o XTM
Para activar todas las funciones de su dispositivo Firebox o XTM, debe registrar el dispositivo en el sitio
web de WatchGuard LiveSecurity y obtener su clave de activación. El dispositivo Firebox o XTM sólo tiene
una licencia de usuario (licencia de prueba) hasta que aplique su clave de activación.
Si registra su dispositivo Firebox o XTM antes de utilizar el Asistente de configuración rápida, puede pegar
una copia de su clave de activación en el asistente. A continuación, el asistente lo aplica al dispositivo. Si
no pega la clave de activación en el asistente, todavía puede terminar el asistente. Hasta que no agregue
su clave de activación, sólo se permite una conexión a Internet.
También obtendrá una nueva clave de activación para cualquier producto o servicio opcional cuando lo
compre. Después de registrar su dispositivo Firebox o XTM o cualquier nueva función, puede sincronizar
la clave de activación de su dispositivo Firebox o XTM con las teclas de función que hay en su perfil de
registro en el sitio de WatchGuard LiveSecurity. Puede utilizar la interfaz de usuario Web de Fireware
XTM en cualquier momento para obtener su clave de activación.
Para obtener más información sobre cómo registrar su dispositivo Firebox o XTM y obtener una clave de
activación, consulte Obtener una clave de función de LiveSecurity en la página 52.
Reunir direcciones de red
Le recomendamos que registre su información de red antes y después de configurar su dispositivo
Firebox o XTM. Utilice la primera tabla que aparece a continuación para las direcciones IP de red antes de
poner el dispositivo en funcionamiento. Para obtener información sobre cómo identificar las direcciones
IP de red, consulte Identificar la configuración de red en la página 35.
WatchGuard utiliza la notación de barras para mostrar la máscara de subred. Para obtener más
información, consulte Acerca de la notación de barras en la página 3. Para obtener más información sobre
las direcciones IP, consulte Acerca de las direcciones IP en la página 3.
_____._____._____._____
_____._____._____._____
Utilice la segunda tabla para las direcciones IP de red después de poner en funcionamiento el dispositivo
Firebox o XTM.
Interfaz externa:
Interfaz de confianza:
Se conecta a la LAN privada (red de área local) o a la red interna que desea proteger.
Interfaz/es opcional/es:
Normalmente se conecta a un área de confianza mixta de su red, como servidores en una zona DMZ
(zona desmilitarizada). Puede utilizar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.
Muchas redes funcionan mejor con la configuración de enrutamiento mixto, pero recomendamos el
modo desplegable si:
Ya has asignado una gran cantidad de direcciones IP estáticas y no quieres cambiar tu configuración
de red.
No puede configurar las computadoras en sus redes confiables y opcionales que tienen direcciones
IP públicas con direcciones IP privadas.
Esta tabla y las descripciones debajo de la tabla muestran tres condiciones que pueden ayudarlo a
seleccionar un modo de configuración del firewall.
Para obtener más información sobre el modo de inserción, consulte Modo de inserción en la página 91.
Para obtener más información sobre el modo de enrutamiento mixto, consulte Modo de enrutamiento
mixto en la página 84.
El dispositivo Firebox o XTM también es compatible con un tercer modo de configuración llamado modo
puente. Este modo se usa menos. Para obtener más información sobre el modo puente, consulte Modo
puente en la página 96.
Nota: Puede usar el Asistente de configuración web o el Asistente de configuración rápida WSM para
crear su configuración inicial. Cuando ejecuta el Asistente de configuración web, la configuración del
firewall se configura automáticamente en el modo de enrutamiento mixto. Cuando ejecuta el Asistente
de configuración rápida de WSM, puede configurar el dispositivo en modo de enrutamiento mixto o en
modo de inserción.
Ahora puede iniciar el Asistente de configuración rápida. Para obtener más información, consulte Acerca
del Asistente de configuración rápida en la página 24.
Configurar las políticas en el dispositivo Firebox o XTM para dejar pasar el tráfico necesario.
Establecer los hosts y propiedades aprobados para cada política.
Equilibrar el requisito de proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Para obtener instrucciones sobre cómo ejecutar el asistente desde un navegador web, consulte Ejecución del
Asistente de configuración web en la página 25.
Puede usar el Asistente de configuración Web para una configuración básica en cualquier dispositivo
Firebox Xe-Series o WatchGuard XTM. El Asistente de Configuración Web configura automáticamente el
dispositivo Firebox o XTM para el modo de enrutamiento mixto.
Para usar el Asistente de configuración web, debe tener una conexión de red directa al dispositivo Firebox
o XTM y usar un navegador web para iniciar el asistente. Cuando configura su dispositivo Firebox o XTM,
usa DHCP para asignar una nueva dirección IP a su ordenador.
Para un Firebox X Core o Peak e-Series o un dispositivo XTM, la interfaz de confianza es la interfaz
número 1.
Para un Firebox X Edge e-Series, la interfaz de confianza es LAN0
2. Conecte el cable de alimentación a la entrada de alimentación del dispositivo Firebox o XTM y a una
fuente de alimentación.
3. Inicie el dispositivo Firebox o XTM en el modo predeterminado de fábrica. En los modelos Core, Peak y
XTM, esto se conoce como modo seguro.
Para obtener más información, consulte Resetear el dispositivo Firebox o XTM a una configuración
anterior o nueva en la página 48.
4. Asegúrese de que su ordenador esté configurado para aceptar una dirección IP asignada por DHCP.
En el menú Inicio de Windows, seleccione Todos los programas > Panel de control > Conexiones de
red > Conexiones de área local.
Haga clic en Propiedades.
Seleccione Protocolo de Internet (TCP / IP) y haga clic en Propiedades.
Asegúrese de que se ha seleccionado Obtener una dirección IP automáticamente.
Para obtener instrucciones más detalladas, consulte Identificar la configuración de red en la página 35.
5. Si su navegador utiliza un servidor proxy HTTP, debe desactivar temporalmente la configuración del
proxy HTTP en su navegador.
Para obtener más información, consulte Deshabilitar el proxy HTTP en el navegador en la página 39.
https://10.0.1.1:8080.
Si usa Internet Explorer, asegúrese de escribir https:// al comienzo de la dirección IP. Esto abre una
conexión HTTP segura entre su ordenador de administración y el dispositivo Firebox o XTM.
Contraseña: readwrite
El Asistente de configuración web incluye este conjunto de cuadros de diálogo. Algunos cuadros de
diálogo aparecen solo si selecciona ciertos métodos de configuración:
Iniciar sesión:
Inicie sesión con las credenciales de cuenta de administrador predeterminadas. Para nombre de
usuario, seleccione admin. Para Frase de contraseña, use la contraseña: readwrite.
Bienvenido:
Seleccione crear una nueva configuración o restaurar una configuración desde una imagen de
respaldo guardada.
Acuerdo de licencia:
Si su dispositivo Firebox o XTM aún no tiene una clave de activación, el asistente le ofrece opciones
para descargar o importar una clave de activación. El asistente solo puede descargar una clave de
activación si tiene conexión a Internet. Si ha descargado una copia local de la clave de activación en
su ordenador, puede pegarla en el asistente de configuración.
Si el dispositivo Firebox o XTM no tiene una conexión a Internet mientras ejecuta el asistente, y no
registró el dispositivo y descargó la clave de activación en su ordenador antes de iniciar el asistente,
puede optar por no aplicar una clave de activación.
Nota: Si no aplica una clave de activación en el Asistente de configuración web, debe registrar el
dispositivo y aplicar la clave de activación en la interfaz de usuario Web Fireware XTM. La
funcionalidad del dispositivo está limitada hasta que aplique una clave de activación.
Configurar la interfaz externa de tu Firebox:
Seleccione el método que usa su ISP para asignar su dirección IP. Las opciones son DHCP, PPPoE o
estático.
Si el Asistente de configuración web no puede instalar el software del dispositivo Fireware XTM en el
dispositivo Firebox o XTM, el asistente agota el tiempo de espera. Si tiene problemas con el asistente,
compruebe estas cosas:
El archivo de software de aplicación Fireware XTM que descargó del sitio web de LiveSecurity podría
estar dañado. Si la imagen del software está dañada, en un dispositivo Firebox X Core, Peak o XTM
puede ver este mensaje en la interfaz LCD: Error de truncamiento de archivo. Si aparece este mensaje,
descargue el software nuevamente e inténtelo nuevamente con el asistente.
Si usa Internet Explorer 6, borre la memoria caché del archivo en su navegador web e inténtelo
nuevamente.
Para borrar la caché, en Internet Explorer, seleccione Herramientas > Opciones de Internet > Eliminar archivos.
De forma predeterminada, el puerto utilizado para la interfaz de usuario web es 8080. La URL para conectarse
a la interfaz de usuario web en su navegador es:
La URL predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM es:
https://10.0.1.1:8080.
Por ejemplo, para usar la URL predeterminada para conectarse a Firebox X Edge:
2. Cuando vea la advertencia de certificado, haga clic en Continuar a este sitio web (IE 7) o Agregar excepción
(Firefox 3).
Esta advertencia aparece porque el certificado que utiliza el dispositivo Firebox o XTM está firmado por la
autoridad de certificación WatchGuard, que no figura en la lista de autoridades de confianza de su navegador.
Nota Esta advertencia aparece cada vez que se conecta al dispositivo Firebox o XTM a menos que acepte
permanentemente el certificado o genere e importe un certificado para que el dispositivo lo utilice. Para
obtener más información, consulte Acerca de los certificados en la página 383.
Nota: Esta advertencia aparece cada vez que se conecta al dispositivo Firebox o XTM a menos que acepte
permanentemente el certificado o genere e importe un certificado para que el dispositivo lo utilice. Para
obtener más información, consulte Acerca de los certificados en la página 383.
Nota: de manera predeterminada, la configuración del dispositivo Firebox o XTM solo permite conexiones a
Fireware XTM Web UI desde redes confiables y opcionales. Para cambiar la configuración para permitir las
conexiones a la interfaz de usuario Web desde la red externa, consulte Conectar a Fireware XTM Web UI
desde una red externa en la página 29.
5. Seleccione Externo.
Debido a que no hay software para instalar, puede usar la interfaz de usuario web desde cualquier ordenador
que tenga conectividad TCP / IP y un navegador. Esto significa que puede administrar su dispositivo Firebox o
XTM desde un ordenador con Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
navegador compatible con Adobe Flash 9 y conectividad de red.
La interfaz de usuario web es una herramienta de gestión en tiempo real. Esto significa que cuando usa la
interfaz de usuario Web para realizar cambios en un dispositivo, los cambios que realice generalmente surten
efecto de inmediato. La interfaz de usuario Web no le permite crear una lista de cambios en un archivo de
configuración almacenado localmente, para enviar muchos cambios al dispositivo a la vez más adelante. Esto
es diferente del Fireware XTM Policy Manager, que es una herramienta de configuración fuera de línea.
Los cambios que realice en un archivo de configuración almacenado localmente con Policy Manager no
tendrán efecto hasta que guarde la configuración en el dispositivo.
Nota: debe completar el Asistente de configuración rápida para poder ver la interfaz de usuario Web Fireware
XTM. Para obtener más información, consulte Ejecutar el Asistente de configuración web en la página 25.
También debe usar una cuenta con privilegios de acceso administrativo completo para ver y cambiar las
páginas de configuración.
En el lado izquierdo de Fireware XTM Web UI está la barra de navegación del menú principal que usa para
seleccionar un conjunto de páginas de configuración.
El elemento superior en la barra de navegación es el Panel de control, que le lleva a la página del Panel de
control de Fireware XTM que ve cuando se conecta por primera vez a la Interfaz de usuario Web de Fireware
XTM.
Todos los demás elementos en la barra de navegación contienen elementos secundarios del menú que utiliza
para configurar las propiedades de esa característica.
Para ver estos elementos secundarios del menú, haga clic en el nombre del elemento del menú. Por
ejemplo, si hace clic en Autenticación, aparecerán estos elementos secundarios del menú: Servidores,
Configuración, Usuarios y Grupos, Web, Certificado de servidor e Inicio de sesión único.
Para ocultar los elementos del menú secundario, haga clic nuevamente en el elemento del menú de nivel
superior.
Para mostrar los elementos de menú amplíe o haga clic, la documentación usa el símbolo de la flecha hacia la
derecha (>). Los nombres de los menús están en negrita.
Por ejemplo, el comando para abrir la página de Configuración de autenticación aparece en el texto como
Autenticación > Configuración.
Algunas de las tareas que puede completar en Policy Manager, pero no con la interfaz de usuario Web
incluyen:
El grupo de aplicaciones que viene con WatchGuard System Manager incluye muchas otras herramientas
para monitorear e informar. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco están disponibles en la interfaz de usuario Web.
Para usar algunas funciones de Fireware XTM relacionadas con los servidores WatchGuard, debe instalar
WatchGuard Server Center. No es necesario que use WatchGuard System Manager para instalar
WatchGuard Server Center. Puede usar WatchGuard Server Center para configurar estos servidores
WatchGuard:
Servidor de administración
Servidor de registro
Servidor de informes
Servidor de cuarentena
Servidor WebBlocker
Para obtener información acerca de cómo configurar funciones que no son compatibles con la interfaz de
usuario web o cómo usar WatchGuard Server Center, consulte la Ayuda del administrador del sistema
WatchGuard X11 de Fireware XTM en:
http://www.watchguard.com/help/docs/wsm/11/en-US/index.html.
Para obtener más información sobre la CLI, consulte Referencia de la interfaz de línea de comandos
WatchGuard en:
http://www.watchguard.com/help/documentation.
Completa tu instalación
Una vez que haya terminado con el Asistente de configuración web, debe completar la instalación de su
dispositivo Firebox o XTM en su red.
2. Asegúrese de que la puerta de enlace del ordenador de administración y el resto de la red de confianza sea
la dirección IP de la interfaz de confianza de su dispositivo Firebox o XTM.
3. Para conectarse a su dispositivo Firebox o XTM con Fireware XTM Web UI, abra un navegador web y
escriba:
4. Si utiliza una configuración enrutada, asegúrese de cambiar la puerta de enlace predeterminada en todos
los ordenadores que se conecten a su dispositivo Firebox o XTM para que coincida con la dirección IP de la
interfaz de confianza del dispositivo Firebox o XTM.
5. Personalice su configuración según sea necesario para los propósitos de seguridad de su negocio.
Para obtener más información, consulte la sección Personalizar su política de seguridad posterior.
Cuando completó el Asistente de configuración rápida, el archivo de configuración que creó fue solo una
configuración básica. Puede modificar esta configuración para alinear su política de seguridad con los
requisitos comerciales y de seguridad de su empresa. Puede agregar políticas de proxy y filtro de
paquetes para configurar lo que permite y deniega su red. Cada política puede tener un efecto en su red.
Las políticas que aumentan la seguridad de su red pueden disminuir el acceso a su red. Y las políticas que
aumentan el acceso a su red pueden poner en riesgo la seguridad de su red. Para obtener más
información sobre las políticas, consulte Acerca de las políticas en la página 251.
Para una instalación nueva, le recomendamos que use solo políticas de filtro de paquetes hasta que todos
sus sistemas funcionen correctamente. Según sea necesario, puede agregar políticas de proxy.
Asegura que obtenga la protección de red más nueva con las actualizaciones de software más
recientes.
Brinda soluciones a sus problemas con recursos completos de soporte técnico.
Previene interrupciones del servicio con mensajes y ayuda de configuración para los problemas de
seguridad más recientes.
Le ayuda a obtener más información sobre la seguridad de la red a través de recursos de
capacitación.
Extiende su seguridad de red con software y otras características
Extiende su garantía de hardware con reemplazo avanzado
Para obtener más información sobre el servicio LiveSecurity, consulte Acerca del servicio WatchGuard en
la página 17.
Si continúa utilizando el certificado auto firmado predeterminado, puede agregar una excepción para el
dispositivo Firebox o XTM en cada ordenador cliente. Las versiones actuales de la mayoría de los
navegadores web proporcionan un enlace en el mensaje de advertencia que el usuario puede hacer clic
para permitir la conexión. Si su organización usa Mozilla Firefox v3, sus usuarios deben agregar una
excepción de certificado permanente antes de que puedan conectarse al dispositivo Firebox o XTM.
Dirección IP
Máscara de subred
Puerta de enlace predeterminada
Si su computadora tiene una dirección IP estática o dinámica
Direcciones IP de servidores DNS primarios y secundarios
Nota: si su ISP le asigna a su ordenador una dirección IP que comience con 10, 192.168 o 172.16 a 172.31,
su ISP usará NAT (Traducción de direcciones de red) y su dirección IP será privada. Le recomendamos que
obtenga una dirección IP pública para su dirección IP externa del dispositivo Firebox o XTM. Si usa una
dirección IP privada, puede tener problemas con algunas funciones, como la red privada virtual.
Encuentre sus propiedades de TCP / IP en Microsoft Windows Vista
1. Seleccione Inicio > Programas > Accesorios > Símbolo del sistema.
Aparece el cuadro de diálogo Símbolo del sistema.
2. En el símbolo del sistema, escriba ipconfig/ all y presione Enter.
3. Anote los valores que ve para el adaptador de red principal.
Encuentre sus propiedades de TCP / IP en Microsoft Windows 2000, Windows 2003 y Windows XP
1. Seleccione Inicio > Todos los programas > Accesorios > Símbolo del sistema.
Aparece el cuadro de diálogo Símbolo del sistema.
2. En el símbolo del sistema, escriba ipconfig/ all y presione Entrar.
3. Anote los valores que ve para el adaptador de red principal.
Encuentre sus propiedades TCP / IP en Microsoft Windows NT
1. Seleccione Inicio > Programas > Símbolo del sistema.
Aparece el cuadro de diálogo Símbolo del sistema.
2. En el símbolo del sistema, escriba ipconfig/ all y presione Entrar.
3. Anote los valores que ve para el adaptador de red principal.
Encuentre sus propiedades de TCP / IP en Macintosh OS 9
1. Seleccione el menú Apple > Paneles de control > TCP / IP.
Aparece el cuadro de diálogo TCP / IP.
2. Anote los valores que ve para el adaptador de red principal.
Encuentre sus propiedades de TCP / IP en Macintosh OS X 10.5
1. Seleccione el menú Apple > Preferencias del sistema, o seleccione el ícono del Dock.
Aparece el cuadro de diálogo Preferencias del sistema.
2. Haga clic en el ícono de red.
Aparece el panel de preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que ve para el adaptador de red.
Encuentre sus propiedades TCP / IP en otros sistemas operativos (Unix, Linux)
1. Lea la guía del sistema operativo para encontrar la configuración de TCP / IP.
2. Anote los valores que ve para el adaptador de red principal.
Usar DHCP
Si su ordenador no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones sobre cómo configurar su ordenador para que use DHCP.
Para configurar un ordenador con Windows XP para usar DHCP:
1. Seleccione Inicio > Panel de control.
Aparece la ventana del Panel de control.
2. Haga doble clic en Conexiones de red.
3. Haga doble clic en Conexión de área local.
Aparece la ventana Estado de conexión de área local.
4. Haga clic en Propiedades.
Aparece la ventana Propiedades de conexión de área local.
5. Haga doble clic en Protocolo de Internet (TCP / IP).
Aparece el cuadro de diálogo Propiedades del Protocolo de Internet (TCP / IP).
6. Seleccione Obtener una dirección IP automáticamente y Obtenga la dirección del servidor DNS
automáticamente.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del Protocolo de Internet (TCP / IP).
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
9. Cierre las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su ordenador está listo para conectarse al dispositivo Firebox o XTM.
10. Cuando el dispositivo Firebox o XTM esté listo, abra un navegador web.
11. En la barra de direcciones del navegador, escriba la dirección IP de su dispositivo Firebox o XTM y
presione Entrar.
12. Si aparece una advertencia del certificado de seguridad, acepte el certificado.
Se inicia el Asistente de configuración rápida.
Nota: La dirección IP predeterminada para un Firebox X Edge es https://192.168.111.1/.
La dirección IP predeterminada para un Firebox X Core o Peak, o el dispositivo WatchGuard XTM es
https://10.0.1.1/
13. Ejecute el Asistente de configuración web.
Red opcional
La red opcional está deshabilitada.
Sistema de seguridad
El dispositivo Firebox o XTM tiene el administrador de cuentas de administrador integrado (acceso de
lectura y escritura) y el estado (acceso de solo lectura). Cuando configura por primera vez el dispositivo
con el Asistente de configuración rápida, configura las frases de contraseña de estado y configuración.
Después de completar el Asistente de configuración rápida, puede iniciar sesión en Fireware XTM Web UI
con las cuentas de administrador o de administrador de estado. Para acceder al administrador completo,
inicie sesión con el nombre de usuario de administrador y escriba la frase de contraseña de configuración.
Para el acceso de solo lectura, inicie sesión con el nombre de usuario de estado y escriba la frase de
contraseña de solo lectura.
De forma predeterminada, el dispositivo Firebox o XTM está configurado para la gestión local solo de la
red de confianza. Se deben realizar cambios de configuración adicionales para permitir la administración
desde la red externa.
Opciones de actualización
Para habilitar opciones de actualización como WebBlocker, spamBlocker y Gateway AV/IPS, debe pegar o
importar la tecla de función que habilita estas funciones en la página de configuración o usar el comando
Obtener clave de función para activar las opciones de actualización. Si inicia el dispositivo Firebox o XTM
en modo seguro, no tiene que volver a importar la tecla de función.
Puede iniciar sesión en el sitio web de LiveSecurity para obtener una clave de función actual, o
puede usar la interfaz de usuario web Fireware XTM para recuperar la clave de función actual y
agregarla directamente a su dispositivo Firebox o XTM.
Cuando vaya al sitio web de LiveSecurity para recuperar su clave de función, puede elegir descargar
una o más teclas de función en un archivo comprimido. Si selecciona varios dispositivos, el archivo
comprimido contiene un archivo de clave de función para cada dispositivo.
Para recuperar una clave de función actual del sitio web de LiveSecurity:
1. Abra un navegador web y vaya a https://www.watchguard.com/archive/manageproducts.asp.
Si aún no ha iniciado sesión en LiveSecurity, aparece la página de inicio de sesión de LiveSecurity.
2. Escriba su nombre de usuario y contraseña de LiveSecurity.
Aparecerá la página Administrar productos.
3. Seleccione las teclas de función.
Aparecerá la página Recuperar clave de funciones, con una lista desplegable para seleccionar un
producto.
4. En la lista desplegable, seleccione su dispositivo Firebox o XTM.
5. Haga clic en Obtener clave.
Aparecerá una lista de todos sus dispositivos registrados. Aparece una marca de verificación al
lado del dispositivo que seleccionó.
6. Seleccione Mostrar teclas de función en la pantalla.
7. Haga clic en Obtener clave.
Aparecerá la página Recuperar clave de función.
8. Copie la tecla de función a un archivo de texto y guárdelo en su ordenador.
Para usar la interfaz de usuario web Fireware XTM para recuperar la clave de función actual:
1. Conéctese a Fireware XTM Web UI.
Aparece el Tablero de interfaz de usuario web Fireware XTM.
2. Seleccione Sistema > Tecla de función.
Aparece la página Resumen de la clave de funciones.
3. Haga clic en Obtener clave de función.
Su clave de función se descarga de LiveSecurity y se actualiza automáticamente en su dispositivo
Firebox o XTM.
Si compra una nueva opción o actualiza su dispositivo Firebox o XTM, puede usar la Fireware XTM
Web UI para agregar una nueva clave de función para habilitar las nuevas características. Antes de
instalar la nueva clave de función, debe eliminar por completo la tecla de función anterior.
1. Seleccione Sistema > Claves de funciones.
Aparece la página Clave de la función de Firebox.
Las características disponibles con esta clave de función aparecen en esta página. Esta página
también incluye:
Para reiniciar localmente el dispositivo Firebox o XTM, puede usar la IU web de Fireware XTM o puede
apagar y encender el dispositivo.
Reinicio desde Fireware XTM Web UI
Para reiniciar el dispositivo Firebox o XTM desde Fireware XTM Web UI, debe iniciar sesión con
acceso de lectura y escritura.
1. Seleccione Tablero> Sistema.
2. En la sección Información del dispositivo, haga clic en Reiniciar.
Ciclo de poder
En el Firebox X Edge:
1. Desconecte la fuente de alimentación del Firebox X Edge.
2. Espere un mínimo de 10 segundos.
3. Vuelva a conectar la fuente de alimentación.
En el dispositivo Firebox X Core o Peak, o WatchGuard XTM:
1. Use el interruptor de encendido para apagar el dispositivo.
2. Espere un mínimo de 10 segundos.
3. Encienda el dispositivo.
Antes de que pueda conectarse a su dispositivo Firebox o XTM para administrarlo o reiniciarlo desde un
ordenador remoto externo al dispositivo Firebox o XTM, primero debe configurar el dispositivo Firebox o
XTM para permitir la administración desde la red externa.
Para obtener más información, consulte Administrar un dispositivo Firebox o XTM desde una ubicación
remota en la página 72.
Para reiniciar el dispositivo Firebox o XTM de manera remota desde Fireware XTM Web UI:
1. Seleccione Tablero > Sistema.
2. En la sección Información del dispositivo, haga clic en Reiniciar.
Modelo Firebox
El número de modelo del dispositivo Firebox o XTM, según lo determina Quick Setup Wizard. Si
agrega una nueva clave de función al dispositivo Firebox o XTM con una actualización del modelo, el
modelo de dispositivo Firebox o XTM en la configuración del dispositivo se actualizará
automáticamente.
Nombre
El nombre descriptivo del dispositivo Firebox o XTM. Puede darle al dispositivo Firebox o XTM un
nombre amigable que aparece en sus archivos de registro e informes. De lo contrario, los archivos de
registro y los informes utilizan la dirección IP de la interfaz externa del dispositivo Firebox o XTM.
Muchos clientes usan un nombre de dominio completamente calificado como el nombre descriptivo
si registran tal nombre con el sistema DNS.
Debe dar un nombre descriptivo al dispositivo Firebox o XTM si utiliza el Servidor de administración
para configurar túneles VPN y certificados.
Ubicación, contacto
Escriba cualquier información que pueda ser útil para identificar y mantener el dispositivo Firebox o
XTM.
El Asistente de configuración rápida rellena estos campos si ingresó esta información allí.
Zona horaria
Seleccione la zona horaria para la ubicación física del dispositivo Firebox o XTM. La configuración de
zona horaria controla la fecha y la hora que aparecen en el archivo de registro y en herramientas
como LogViewer, WatchGuard Reports y WebBlocker.
4. Haga clic en Guardar.
Acerca de SNMP
SNMP (Simple Network Management Protocol) se usa para monitorear dispositivos en su red. SNMP utiliza
bases de información de gestión (MIB) para definir qué información y eventos se controlan. Debe configurar
una aplicación de software independiente, a menudo llamada visor de eventos o un explorador MIB, para
recopilar y administrar datos SNMP.
Hay dos tipos de MIB: estándar y empresarial. Las MIB estándar son definiciones de eventos de red y
hardware utilizados por muchos dispositivos diferentes. Las MIB de empresa se utilizan para proporcionar
información sobre eventos específicos de un único fabricante. Su dispositivo Firebox o XTM admite ocho MIB
estándar:
IP-MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. También
es compatible con dos MIB empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-
MIB.
Puede configurar su dispositivo Firebox o XTM para aceptar sondeos SNMP desde un servidor SNMP. El
dispositivo Firebox o XTM informa al servidor SNMP de datos como el recuento de tráfico de cada
interfaz, el tiempo de actividad del dispositivo, la cantidad de paquetes TCP recibidos y enviados y cuándo
se modificó por última vez cada interfaz de red en el dispositivo Firebox o XTM.
Una trampa SNMP es una notificación de evento que su dispositivo Firebox o XTM envía a una estación de
administración SNMP.
La trampa identifica cuándo ocurre una condición específica, como un valor que es mayor que su umbral
predefinido. Su dispositivo Firebox o XTM puede enviar una trampa para cualquier política en Policy
Manager.
Una solicitud de informe SNMP es similar a una trampa, pero el receptor envía una respuesta. Si su
dispositivo Firebox o XTM no recibe una respuesta, envía la solicitud de información nuevamente hasta
que el administrador de SNMP envíe una respuesta. Una trampa se envía solo una vez, y el receptor no
envía ningún reconocimiento cuando recibe la trampa.
Acerca de las bases de información de administración (MIB)
MIB estándar
Las MIB estándar son definiciones de eventos de red y hardware utilizados por muchos dispositivos
diferentes. Su dispositivo Firebox o XTM admite estas ocho MIB estándar:
IP-MIB
IF-MIB
TCP-MIB
UDP-MIB
SNMPv2-MIB
SNMPv2-SMI
RFC1213-MIB
RFC1155 SMI-MIB
Estas MIB incluyen información sobre la información de red estándar, como las direcciones IP y la
configuración de la interfaz de red.
Enterprise MIBs
Las MIB de empresa se utilizan para proporcionar información sobre eventos específicos de un único
fabricante.
Su dispositivo Firebox o XTM admite estas MIB empresariales:
WATCHGUARD-PRODUCTS-MIB
WATCHGUARD-SYSTEM-CONFIG-MIB
UCD-SNMP-MIB
Estas MIB incluyen información más específica sobre el hardware del dispositivo.
Cuando instala WatchGuard System Manager, las MIB están instaladas en el directorio\My
Documents\My WatchGuard\Shared WatchGuard\SNMP.
Puede configurar su dispositivo Firebox o XTM para aceptar sondeos SNMP desde un servidor SNMP. Su
dispositivo Firebox o XTM reporta información al servidor SNMP, como el recuento de tráfico de cada
interfaz, el tiempo de actividad del dispositivo, la cantidad de paquetes TCP recibidos y enviados, y
cuándo se modificó por última vez la interfaz de red.
1. Seleccione Sistema> SNMP.
2. Para habilitar SNMP, en la lista desplegable Versión, seleccione v1, v2c o v3.
3. Si seleccionó v1 o v2c para la versión SNMP, escriba la secuencia de comunidad que utiliza el servidor
SNMP cuando contacta con el dispositivo Firebox o XTM. La cadena de comunidad es como una ID de
usuario o contraseña que permite el acceso a las estadísticas de un dispositivo.
Si seleccionó v3 para la versión SNMP, escriba el nombre de usuario que utiliza el servidor SNMP cuando
contacta con el dispositivo Firebox o XTM.
4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación, seleccione
MD5 o SHA y escriba la Contraseña de autenticación dos veces.
5. Si su servidor SNMP utiliza cifrado, en la lista desplegable Protocolo de privacidad, seleccione DES y
escriba la Contraseña de cifrado dos veces.
6. Haga clic en Guardar.
Para permitir que su dispositivo Firebox o XTM reciba sondeos SNMP, también debe agregar una política
SNMP.
1. Seleccione Firewall > Políticas de firewall.
2. Haga clic en Agregar.
3. Expanda la categoría Filtros de paquete y seleccione SNMP. Haga clic en Agregar.
Aparece la página Configuración de la política.
4. Debajo del cuadro De, haga clic en Agregar.
Aparece la ventana Agregar miembro.
5. En la lista desplegable Tipo de miembro, seleccione IP de host.
6. Escriba la dirección IP de su servidor SNMP en el cuadro de texto adyacente. Haga clic en Aceptar.
7. Elimine la entrada Any-Trusted de la lista From.
8. Debajo del cuadro Para, haga clic en Agregar.
Aparece la ventana Agregar miembro.
9. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en Aceptar.
10. Elimine la entrada Any-External de la lista To.
11. Haga clic en Guardar.
Una trampa SNMP es una notificación de evento que su dispositivo Firebox o XTM envía a una estación de
administración SNMP. La trampa identifica cuándo ocurre una condición específica, como un valor que es
más que su umbral predefinido. Su dispositivo Firebox o XTM puede enviar una trampa para cualquier
política.
Una solicitud de información de SNMP es similar a una trampa, pero el receptor envía una respuesta. Si
su dispositivo Firebox o XTM no obtiene una respuesta, envía la solicitud de información nuevamente
hasta que el administrador de SNMP envíe una respuesta. Una trampa se envía solo una vez, y el receptor
no envía ningún reconocimiento cuando atrapa la trampa.
Una solicitud de información es más confiable que una trampa porque su dispositivo Firebox o XTM sabe
si se recibió la solicitud de información. Sin embargo, las solicitudes de información consumen más
recursos. Se mantienen en la memoria hasta que el emisor recibe una respuesta. Si se debe enviar una
solicitud de información más de una vez, los intentos aumentarán el tráfico. Le recomendamos que
considere si el recibo de cada notificación de SNMP merece el uso de la memoria en el enrutador y
aumenta el tráfico de la red.
Para habilitar las solicitudes de información de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 solo
admite capturas, no informa las solicitudes.
2. En la lista desplegable Capturas de SNMP, seleccione la versión de trampa o informe que desea usar.
SNMPv1 solo admite capturas, no informa las solicitudes.
3. En el cuadro de texto Estaciones de administración de SNMP, escriba la dirección IP de su servidor
SNMP. Haga clic en Agregar.
4. Para eliminar un servidor en la lista, seleccione la entrada y haga clic en Eliminar.
5. Haga clic en Guardar.
Agregar una política de SNMP
Para habilitar su dispositivo Firebox o XTM para recibir encuestas SNMP, también debe agregar una
política SNMP.
1. Seleccione Firewall > Políticas de firewall.
2. Haga clic en Agregar.
3. Expanda la categoría Filtros de paquetes y seleccione SNMP. Haga clic en Agregar política.
La página de configuración de política aparece.
4. En el cuadro de texto Nombre, escriba un nombre para la política.
5. Seleccione la casilla de verificación Habilitar.
6. En la sección From, haga clic en Agregar.
La ventana Agregar miembro aparece.
7. En la lista desplegable Tipo de miembro, seleccione IP de host.
8. En el cuadro de texto adyacente, escriba la dirección IP de su servidor SNMP, luego haga clic en
Aceptar.
9. Elimine la entrada Any-Trusted de la lista From.
10. En la sección Para, haga clic en Agregar.
La ventana Agregar miembro aparece.
11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en Aceptar.
12. Elimine la entrada Any-External de la lista To.
13. Haz clic en Guardar.
Su dispositivo Firebox o XTM puede enviar una trampa SNMP cuando una política filtra el tráfico. Debe
tener al menos una estación de administración SNMP configurada para habilitar capturas SNMP.
1. Seleccione Firewall > Políticas de firewall.
2. Haz doble clic en una política.
O bien, seleccione una política y haga clic en Editar.
La página de configuración de política aparece.
3. Haga clic en la pestaña Propiedades.
4. En la sección Registro, seleccione la casilla de verificación Enviar trampa SNMP.
5. Haga clic en Guardar.
Acerca de las frases de paso de WatchGuard, las claves de cifrado y las
claves compartidas
Como parte de su solución de seguridad de red, usa frases clave, claves de encriptación y claves compartidas.
Este tema incluye información sobre la mayoría de las frases de contraseña, las claves de cifrado y las claves
compartidas que utiliza para los productos WatchGuard. No incluye información sobre contraseñas o frases
clave de terceros.
La información sobre restricciones para frases de contraseña, claves de cifrado y claves compartidas también
se incluye en los procedimientos relacionados.
Para crear una frase de contraseña segura, clave de cifrado o clave compartida, le recomendamos que:
User Passphrases
Puede crear nombres de usuario y frases de contraseña para usar con la autenticación de Firebox y la
administración basada en roles.
2. Escriba y confirme las nuevas frases de contraseña de estado (solo lectura) y de configuración (lectura /
escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña de
configuración.
3. Haga clic en Guardar.
2. Configure las diferentes categorías de configuraciones globales como se describe en las secciones
siguientes.
3. Haga clic en Guardar.
Definir la configuración global de manejo de errores ICMP
El Protocolo de mensajes de control de Internet (ICMP) controla los errores en las conexiones. Se usa para
dos tipos de operaciones:
Informar a los clientes anfitriones sobre las condiciones de error
Para probar una red para encontrar características generales sobre la red
El dispositivo Firebox o XTM envía un mensaje de error ICMP cada vez que ocurre un evento que coincide
con uno de los parámetros que seleccionó. Estos mensajes son buenas herramientas para usar cuando
resuelve problemas, pero también pueden disminuir la seguridad porque exponen información sobre su
red. Si niega estos mensajes ICMP, puede aumentar la seguridad si evita las pruebas de red, pero esto
también puede causar demoras en el tiempo de espera para las conexiones incompletas, lo que puede
causar problemas en las aplicaciones.
Las configuraciones para el manejo de errores ICMP global son:
Host inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de Host inalcanzable. Su red
generalmente envía estos mensajes cuando no puede usar un host o servicio.
Puerto inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de Puerto inalcanzable. Un
servidor o firewall generalmente envía estos mensajes cuando un servicio de red no está disponible
o no está permitido.
Protocolo inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de protocolo inalcanzable.
Para anular esta configuración ICMP global para una política específica, desde la IU web de Fireware XTM:
1. Seleccione Firewall > Políticas de firewall.
2. Haga doble clic en la política para editarla.
La página de configuración de política aparece.
3. Seleccione la pestaña Avanzado.
3. Seleccione la casilla de verificación Utilizar manejo de errores ICMP basado en políticas.
4. Seleccione la casilla de verificación solo para la configuración que desea habilitar.
5. Haga clic en Guardar.
Habilitar comprobación SYN de TCP
La comprobación de TCP SYN asegura que el handshake de tres vías TCP se completa antes de que el
dispositivo Firebox o XTM permita una conexión de datos.
El segmento TCP se puede establecer en un tamaño específico para una conexión que debe tener más
sobrecarga de nivel 3 de TCP / IP (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configurado
correctamente, los usuarios no pueden obtener acceso a algunos sitios web. La configuración de ajuste
de tamaño de segmento máximo de TCP global es:
Ajuste automático:
El dispositivo Firebox o XTM examina todas las negociaciones de tamaño de segmento máximo (MSS)
y cambia el valor de MSS por el aplicable.
Sin ajuste:
El dispositivo Firebox o XTM no cambia el valor del MSS.
Limitado a:
Establece un límite de ajuste de tamaño.
Para pruebas de rendimiento o depuración de red, puede desactivar las características de gestión del
tráfico y QoS.
Reinicio automático
Puede programar su dispositivo Firebox o XTM para que se reinicie automáticamente el día y la hora que
especifique.
Para programar un reinicio automático para su dispositivo:
1. Seleccione la casilla Programar la hora para reiniciar.
2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los días, o
seleccione un día de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, escriba o seleccione la hora y los minutos del día (en formato de 24
horas) que desea que comience el reinicio.
Consola externa
Esta opción solo está disponible para dispositivos y configuraciones de Firebox X Edge. Seleccione esta
casilla de verificación para usar el puerto serie para las conexiones de la consola, como Fireware XTM CLI
(interfaz de línea de comando). No puede usar el puerto serie para la migración tras error del módem
cuando esta opción está seleccionada, y debe reiniciar el dispositivo para cambiar esta configuración.
Servidor de administración:
El servidor de administración opera en un ordenador con Windows. Con este servidor, puede administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) con una simple función de
arrastrar y soltar. Las funciones básicas de Management Server son:
o Autoridad de certificación para distribuir certificados para túneles de seguridad de protocolo de
Internet (IPSec)
o Gestión de configuración de túnel VPN
o Gestión para múltiples dispositivos Firebox o XTM
Para obtener más información sobre el Servidor de administración, consulte Acerca del servidor de
administración de WatchGuard la Guía de usuario de FireWare XTM WatchGuard System Manager v11.x
o v11.x.
Servidor de registro:
El servidor de registro recoge los mensajes de registro de cada dispositivo Firebox y XTM y los almacena
en una base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al servidor de
registro. El formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro
que recopila el servidor de registro incluyen mensajes de registro de tráfico, mensajes de registro de
eventos, alarmas y mensajes de diagnóstico.
Para obtener más información acerca de Servidores de registro, consulte la Guía de usuario de Fireware
XTM WatchGuard System Manager v11.x o v11.x.
Servidor de informes:
El servidor de informes consolida periódicamente los datos recopilados por sus servidores de registro
desde sus dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El servidor de
informes luego genera los informes que especifique. Cuando los datos están en el Servidor de informes,
puede revisarlos con el Administrador de informes o la IU web de informes.
Para obtener más información acerca de cómo usar la IU web de informes, consulte la Ayuda de IU web
de informes.
Para obtener más información sobre el Servidor de informes, consulte la Guía de usuario de FireWare
XTM WatchGuard System Manager v11.x o v11.x.
Servidor de cuarentena:
El servidor de cuarentena recopila y aísla los mensajes de correo electrónico que el bloqueador de spam
identifica como posible correo no deseado.
Para obtener más información sobre el servidor de cuarentena, consulte Acerca del servidor de
cuarentena en la página 613.
Servidor WebBlocker:
El servidor WebBlocker funciona con el proxy HTTP para denegar el acceso del usuario a categorías
específicas de sitios web. Cuando configura un dispositivo Firebox o XTM, configura las categorías de
sitios web que desea permitir o bloquear.
Para obtener más información sobre WebBlocker y el servidor WebBlocker, consulte Acerca de
WebBlocker en la página 555.
2. Para configurar un dispositivo Firebox o XTM como dispositivo administrado, seleccione la casilla de
verificación Administración centralizada.
3. En el cuadro de texto Nombre del dispositivo administrado, escriba el nombre que desea darle al
dispositivo Firebox o XTM cuando lo agregue a la configuración del Servidor de administración.
Este nombre distingue entre mayúsculas y minúsculas y debe coincidir con el nombre que usa cuando
agrega el dispositivo a la configuración del servidor de administración.
4. En la lista Direcciones IP del servidor de gestión, seleccione la dirección IP del servidor de gestión si
tiene una dirección IP pública.
O bien, seleccione la dirección IP pública de la puerta de enlace Firebox para el servidor de
administración.
5. Para agregar una dirección, haga clic en Agregar.
El dispositivo Firebox o XTM que protege el servidor de gestión supervisa automáticamente todos los
puertos utilizados por el servidor de gestión y reenvía cualquier conexión en estos puertos al servidor de
gestión configurado. Cuando utiliza el Asistente de configuración del servidor de administración, el
asistente agrega una política de servidor WGMgmt a su configuración para manejar estas conexiones. Si
no usó el Asistente de configuración del servidor de administración en el Servidor de administración, o si
omitió el paso de Firebox de puerta de enlace en el asistente, debe agregar manualmente la política del
Servidor WG-Mgmt a la configuración de Firebox de su puerta de enlace.
6. En los campos Shared Secret y Confirm, escriba el secreto compartido.
El secreto compartido que escriba aquí debe coincidir con el secreto compartido que escriba cuando
agregue el dispositivo Firebox o XTM a la configuración del servidor de administración.
7. Copie el texto del archivo de certificado de CA de su servidor de gestión y péguelo en el cuadro de
texto Certificado de servidor de gestión.
8. Haga clic en Guardar.
Cuando guarda la configuración en el dispositivo Firebox o XTM, el dispositivo Firebox o XTM se habilita
como dispositivo administrado. El dispositivo Firebox o XTM gestionado intenta conectarse a la dirección
IP del servidor de gestión en el puerto TCP 4110. Las conexiones de gestión están permitidas desde el
servidor de gestión a este dispositivo gestionado Firebox o XTM.
Ahora puede agregar el dispositivo a la configuración de su servidor de administración. Para obtener más
información, consulte la Ayuda o la Guía del usuario de WatchGuard System Manager.
También puede usar WSM para configurar el modo de administración para su dispositivo. Para obtener
más información, consulte la Ayuda o la Guía del usuario de WatchGuard System Manager.
1. Descargue el software Fireware XTM actualizado de la sección Descargas de software del sitio web
WatchGuard en http://www.watchguard.com.
2. Inicie el archivo que descargó del sitio web de LiveSecurity y utilice el procedimiento en pantalla para
instalar el archivo de actualización de Fireware XTM en el directorio de instalación de WatchGuard en su
ordenador de administración.
Por defecto, el archivo está instalado en una carpeta en:
C:\Archivos de programa\Archivos comunes\WatchGuard\resources\FirewareXTM\11.0
1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia de seguridad de
su dispositivo Firebox o XTM.
Para obtener más información, consulte Realizar una copia de seguridad de la imagen del dispositivo
Firebox o XTM en la página 41.
2. Seleccione Sistema > Actualizar sistema operativo.
3. Escriba el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización del
directorio donde está instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.
El procedimiento de actualización puede tardar hasta 15 minutos y reinicia automáticamente el
dispositivo Firebox o XTM.
Si su dispositivo Firebox o XTM ha estado en funcionamiento durante algún tiempo antes de la
actualización, es posible que deba reiniciar el dispositivo antes de comenzar la actualización para borrar
la memoria temporal.
Cuando compra una actualización, registra la actualización en el sitio web de WatchGuard LiveSecurity.
Luego descarga una clave de función que habilita la actualización en su dispositivo Firebox o XTM.
Para obtener información sobre las claves de función, consulte Acerca de las claves de función en la
página 51.
6. Configuración de la red
Acerca de la configuración de interfaz de red
Un componente principal de la configuración de su dispositivo Firebox o XTM es la configuración de las
direcciones IP de la interfaz de red. Cuando ejecuta el Asistente de configuración rápida, las interfaces
externas y de confianza se configuran para que el tráfico pueda fluir de dispositivos protegidos a una red
externa. Puede usar los procedimientos en esta sección para cambiar la configuración después de ejecutar el
Asistente de configuración rápida o agregar otros componentes de su red a la configuración. Por ejemplo,
puede configurar una interfaz opcional para servidores públicos, como un servidor web.
Su dispositivo Firebox o XTM separa físicamente las redes en su red de área local (LAN) de las de una red de
área amplia (WAN) como Internet. Su dispositivo usa el enrutamiento para enviar paquetes desde redes que
protege a redes externas a su organización. Para hacer esto, su dispositivo debe saber qué redes están
conectadas en cada interfaz.
Le recomendamos que registre información básica sobre su red y configuración de VPN en caso de que
necesite ponerse en contacto con el soporte técnico. Esta información puede ayudar a su técnico a resolver su
problema rápidamente.
Modos de red
En el modo de enrutamiento mixto, puede configurar su dispositivo Firebox o XTM para enviar
tráfico de red entre una amplia variedad de interfaces de redes físicas y virtuales.
Este es el modo de red predeterminado, y este modo ofrece la mayor cantidad de flexibilidad para
diferentes configuraciones de red.
Sin embargo, debe configurar cada interfaz por separado, y es posible que tenga que cambiar la
configuración de red para cada ordenador o cliente protegido por su dispositivo Firebox o XTM. El
dispositivo Firebox o XTM utiliza la Traducción de direcciones de red (NAT) para enviar información
entre las interfaces de red.
Para obtener más información, consulte Acerca de la traducción de direcciones de red en la página
139.
Todas las interfaces del dispositivo Firebox o XTM deben configurarse en diferentes subredes. La
configuración mínima incluye las interfaces externas y confiables. También puede configurar
una o más interfaces opcionales.
Todos los ordenadores conectados a las interfaces confiables y opcionales deben tener una
dirección IP de esa red.
Modo Drop-in:
En una configuración de acceso directo, su dispositivo Firebox o XTM está configurado con la misma
dirección IP en todas las interfaces. Puede colocar su dispositivo Firebox o XTM entre el enrutador y
la LAN y no tener que cambiar la configuración de ningún ordenador local. Esta configuración se
conoce como drop-in porque su dispositivo Firebox o XTM se coloca en una red existente. Algunas
funciones de red, como puentes y VLAN (redes de área local virtuales), no están disponibles en este
modo.
Modo Puente:
El modo puente es una función que le permite colocar su dispositivo Firebox o XTM entre una red
existente y su puerta de enlace para filtrar o administrar el tráfico de la red. Cuando habilita esta
función, su dispositivo Firebox o XTM procesa y reenvía todo el tráfico de red entrante a la dirección
IP de la puerta de enlace que especifique. Cuando el tráfico llega a la puerta de enlace, parece que se
envió desde el dispositivo original. En esta configuración, su dispositivo Firebox o XTM no puede
realizar varias funciones que requieren una dirección IP pública y única. Por ejemplo, no puede
configurar un dispositivo Firebox o XTM en modo puente para que actúe como un punto final para
una VPN (red privada virtual).
Tipos de interfaz
Utiliza tres tipos de interfaz para configurar su red en el modo de enrutamiento mixto o drop-in:
Interfaces externas:
Se usa una interfaz externa para conectar su dispositivo Firebox o XTM a una red fuera de su
organización. A menudo, una interfaz externa es el método por el cual conecta su dispositivo Firebox
o XTM a Internet. Puede configurar un máximo de cuatro interfaces físicas externas.
Cuando configura una interfaz externa, debe elegir el método que utiliza su proveedor de servicios
de Internet (ISP) para proporcionarle una dirección IP para su dispositivo Firebox o XTM. Si no
conoce el método, obtenga esta información de su ISP o administrador de red.
Interfaces de confianza:
Las interfaces de confianza se conectan a la LAN privada (red de área local) o a la red interna de su
organización. Una interfaz de confianza generalmente proporciona conexiones para los empleados y
recursos internos seguros.
Interfaces opcionales:
Las interfaces opcionales son entornos de confianza mixta o DMZ que están separados de su red de
confianza. Ejemplos de ordenadores que a menudo se encuentran en una interfaz opcional son
servidores web públicos, servidores FTP y servidores de correo.
Para obtener más información sobre los tipos de interfaz, consulte Configuración de interfaz común en la
página 98.
Si tiene un Firebox X Edge, puede usar la interfaz de usuario web de Fireware XTM para configurar el
failover con un módem externo sobre el puerto serie.
Para obtener más información, consulte Conmutación por falla de módems en serie en la página 131.
Cuando configura las interfaces en su dispositivo Firebox o XTM, debe usar la notación de barra para
indicar la máscara de subred. Por ejemplo, debe ingresar el rango de red 192.168.0.0 máscara de subred
255.255.255.0 como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene
una máscara de subred de 255.255.0.0.
Para obtener más información sobre la notación de barra, consulte Acerca de la notación de barra en la
página 3.
Cuando utiliza Fireware XTM en una Firebox X Edge e-Series, los números de interfaz de red que aparecen
en la interfaz de usuario web de Fireware XTM no coinciden con las etiquetas de interfaz de red que
aparecen debajo de las interfaces físicas en el dispositivo. Use la tabla siguiente para comprender cómo
los números de interfaz en la interfaz de usuario web se asignan a las interfaces físicas en el dispositivo.
Número de interfaz en Fireware XTM Etiqueta de interfaz en el hardware Firebox X Edge e-Series
0 WAN 1
1 LAN 0, LAN 1, LAN 2
2 WAN 2
3 Opt
Puede considerar las interfaces etiquetadas LAN 0, LAN 1 y LAN 2 como un concentrador de red de tres
interfaces que está conectado a una sola interfaz de Firebox. En Fireware XTM, configura estas interfaces
juntas como Interfaz 1.
Para comenzar con la configuración de la interfaz en el modo de enrutamiento mixto, consulte Configuración
de la interfaz común en la página 98.
Es fácil olvidar las direcciones IP y los puntos de conexión en su red en el modo de enrutamiento mixto,
especialmente si usa VLAN (redes de área local virtuales), redes secundarias y otras funciones avanzadas. Le
recomendamos que registre información básica sobre su red y configuración de VPN en caso de que necesite
ponerse en contacto con el soporte técnico. Esta información puede ayudar a su técnico a resolver su
problema rápidamente.
Se usa una interfaz externa para conectar su dispositivo Firebox o XTM a una red fuera de su
organización. A menudo, una interfaz externa es el método por el cual conecta su dispositivo a Internet.
Puede configurar un máximo de cuatro interfaces físicas externas.
Cuando configura una interfaz externa, debe elegir el método que utiliza su proveedor de servicios de
Internet (ISP) para darle una dirección IP para su dispositivo. Si no conoce el método, obtenga esta
información de su ISP o administrador de red.
Para obtener información sobre los métodos utilizados para establecer y distribuir direcciones IP,
consulte Direcciones IP estáticas y dinámicas en la página 4.
Si su ISP usa PPPoE, debe configurar la autenticación PPPoE antes de que su dispositivo pueda enviar
tráfico a través de la interfaz externa.
5. Si seleccionó Usar esta dirección IP, en el cuadro de texto adyacente, escriba la dirección IP.
Los ISP usan el formato de la dirección de correo electrónico para los nombres de usuario, como
user@example.com.
7. Haga clic en Configuración de PPPoE avanzada para configurar opciones PPPoE adicionales.
Su ISP puede decirle si debe cambiar los valores de tiempo de espera o LCP.
8. Si su ISP requiere la etiqueta Host-Uniq para los paquetes de descubrimiento PPPoE, seleccione la
casilla de verificación Usar etiqueta de host-Uniq en paquetes de descubrimiento PPPoE.
10. En la falla de eco LCP en el cuadro de texto, escriba o seleccione la cantidad de solicitudes de eco
LCP fallidas permitidas antes de que la conexión PPPoE se considere inactiva y cerrada.
11. En el tiempo de espera de eco de LCP en el cuadro de texto, escriba o seleccione el período de
tiempo, en segundos, que debe recibirse la respuesta a cada tiempo de espera de eco.
12. Para configurar el Firebox o el dispositivo XTM para reiniciar automáticamente la conexión PPPoE
diaria o semanalmente, seleccione la casilla de verificación Programar la hora para el reinicio
automático.
13. En la lista desplegable Hora programada para el reinicio automático, seleccione Diariamente para
reiniciar la conexión a la misma hora todos los días, o seleccione un día de la semana para reiniciar
semanalmente. Seleccione la hora y los minutos del día (en formato de 24 horas) para reiniciar
automáticamente la conexión PPPoE.
14. En el cuadro de texto Nombre del servicio, escriba un nombre de servicio PPPoE.
Este es un nombre de ISP o una clase de servicio que se configura en el servidor PPPoE. Por lo
general, esta opción no se usa. Selecciónelo solo si hay más de un concentrador de acceso o si sabe
que debe usar un nombre de servicio específico.
15. En el cuadro de texto Nombre del concentrador de acceso, escriba el nombre de un concentrador
de acceso PPPoE, también conocido como servidor PPPoE. Por lo general, esta opción no se usa.
Selecciónelo solo si sabe que hay más de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticación, escriba o seleccione la cantidad de veces que
el dispositivo Firebox o XTM puede intentar establecer una conexión.
17. En el cuadro de texto Tiempo de espera de autenticación, escriba un valor para la cantidad de
tiempo entre reintentos.
2. Si su ISP o servidor DHCP externo requiere un identificador de cliente, como una dirección MAC,
en el cuadro de texto del Cliente, escriba esta información.
3. Para especificar un nombre de host para identificación, escríbalo en el cuadro de texto Nombre de
host.
4. Para asignar manualmente una dirección IP a la interfaz externa, escríbala en el cuadro de texto
Usar esta dirección IP.
Para configurar esta interfaz para obtener una dirección IP automáticamente, borre este el cuadro
de texto Usar esta dirección IP.
Las direcciones IP asignadas por un servidor DHCP tienen un arrendamiento de un día por defecto;
cada dirección es válida por un día.
Si su dispositivo Firebox o XTM está configurado en modo desplegable, consulte Configurar DHCP en el
modo de inserción en la página 93.
Nota: No puede configurar DHCP en ninguna interfaz para la que FireCluster esté habilitado.
Configurar DHCP
Puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se utilizan de
principio a fin. Las direcciones de cada grupo se asignan por número, de menor a mayor.
5. Para cambiar el tiempo de alquiler predeterminado, seleccione una opción diferente en la lista
desplegable Tiempo de arrendamiento.
Este es el intervalo de tiempo que un cliente DHCP puede usar una dirección IP que recibe del
servidor DHCP. Cuando el tiempo de arrendamiento está a punto de expirar, el cliente envía datos al
servidor DHCP para obtener una nueva concesión.
6. De forma predeterminada, cuando está configurado como servidor DHCP, su dispositivo Firebox o
XTM proporciona la información del servidor DNS y WINS configurada en la pestaña Configuración de
red> WINS / DNS. Para especificar información diferente para que su dispositivo asigne cuando da
direcciones IP, haga clic en la pestaña DNS / WINS.
1. Escriba un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de la
tarjeta de red del cliente.
Puede registrar la dirección IP externa de su dispositivo Firebox o XTM con el servicio dinámico del
Sistema de nombres de dominio (DNS) DynDNS.org. Un servicio DNS dinámico se asegura de que la
dirección IP adjunta a su nombre de dominio cambie cuando su ISP le proporcione a su dispositivo una
nueva dirección IP. Esta función está disponible en el modo de configuración de red de enrutamiento
mixto o de acceso directo.
Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, vaya a
http://www.dyndns.com.
7. En la lista desplegable Tipo de servicio, seleccione el sistema para usar para DNS dinámico:
dyndns: envía actualizaciones para un nombre de host de DNS dinámico. Utilice la opción dyndns
cuando no tenga control sobre su dirección IP (por ejemplo, no es estático, y cambia regularmente).
personalizado: envía actualizaciones para un nombre de host DNS personalizado. Esta opción es
utilizada con frecuencia por las empresas que pagan para registrar su dominio con dyndns.com.
mx = mailexchanger & - Especifica un intercambiador de correo (MX) para usar con el nombre de
host.
backmx = YES | NO & - Solicita que el MX en el parámetro anterior esté configurado como un MX de
respaldo (incluye el host como un MX con un valor de preferencia más bajo).
comodín = ON | OFF | NOCHG & - Habilita o deshabilita los comodines para este host (ON para
habilitar).
fuera de línea = SÍ | NO - Establece el nombre de host en modo fuera de línea. Una o más opciones
se pueden encadenar junto con el carácter comercial. Por ejemplo:
& mx = backup.kunstlerandsons.com & backmx = YES & wildcard = ON
En modo drop-in:
Debe asignar la misma dirección IP primaria a todas las interfaces en su dispositivo Firebox o XTM
(externo, de confianza y opcional).
Puede asignar redes secundarias en cualquier interfaz.
Puede mantener las mismas direcciones IP y puertas de enlace predeterminadas para hosts en sus
redes confiables y opcionales, y agregar una dirección de red secundaria a la interfaz externa
principal para que su dispositivo Firebox o XTM pueda enviar tráfico correctamente a los hosts en
estas redes.
Los servidores públicos detrás de su dispositivo Firebox o XTM pueden continuar usando direcciones
IP públicas.
La traducción de direcciones de red (NAT) no se usa para enrutar el tráfico desde fuera de su red a sus
servidores públicos.
A veces es necesario borrar el caché ARP de cada ordenador protegido por el dispositivo Firebox o XTM,
pero esto no es común.
Nota: si mueve una dirección IP de un ordenador ubicado detrás de una interfaz a un ordenador ubicado
detrás de una interfaz diferente, puede pasar varios minutos antes de que el tráfico de red se envíe a la
nueva ubicación. Su dispositivo Firebox o XTM debe actualizar su tabla de enrutamiento interno antes de
que este tráfico pueda pasar. Los tipos de tráfico que se ven afectados incluyen las conexiones de
administración de dispositivos de registro, SNMP y Firebox o XTM.
Puede configurar sus interfaces de red con el modo de inserción cuando ejecuta el Asistente de
configuración rápida. Si ya ha creado una configuración de red, puede usar Policy Manager para cambiar
al modo de instalación.
Para obtener más información, consulte Ejecutar el Asistente de configuración web en la página 25.
2. Desde la lista desplegable Configure Interfaces en, seleccione el modo Drop-In transparente.
3. En el cuadro de texto Dirección IP, escriba la dirección IP que desea usar como dirección principal para
todas las interfaces en su dispositivo Firebox o XTM.
4. En el cuadro de texto Pasarela, escriba la dirección IP de la puerta de enlace. Esta dirección IP se agrega
automáticamente a la lista de Hosts relacionados.
En una configuración drop-in o bridge, el dispositivo Firebox o XTM está configurado con la misma
dirección IP en cada interfaz. Su dispositivo Firebox o XTM descubre automáticamente nuevos
dispositivos que están conectados a estas interfaces y agrega cada nueva dirección MAC a su tabla de
enrutamiento interno. Si desea configurar manualmente las conexiones de dispositivos, o si la función
Asignación automática de hosts no funciona correctamente, puede agregar una entrada de hosts
relacionada. Una entrada de hosts relacionados crea una ruta estática entre la dirección IP del host y una
interfaz de red. Recomendamos que desactive la asignación automática de host en las interfaces para las
que crea una entrada de hosts relacionada.
2. Configure las interfaces de red en modo drop-in o puente. Haga clic en Propiedades.
3. Desactive la casilla de verificación para cualquier interfaz para la que desee agregar una entrada de
hosts relacionada.
4. En el cuadro de texto Host, escriba la dirección IP del dispositivo para el que desea construir una ruta
estática desde el dispositivo Firebox o XTM. Seleccione la interfaz de la lista desplegable adyacente, luego
haga clic en Agregar.
Cuando utiliza el modo de inserción para la configuración de red, puede configurar opcionalmente el
dispositivo Firebox o XTM como servidor DHCP para las redes que protege, o hacer que el dispositivo
Firebox o XTM sea un agente de retransmisión DHCP. Si tiene un servidor DHCP configurado, le
recomendamos que continúe usando ese servidor para DHCP.
Use DHCP
De forma predeterminada, su dispositivo Firebox o XTM proporciona la información del servidor DNS
/ WINS de configuración cuando está configurado como un servidor DHCP. Puede configurar
información DNS / WINS en esta página para anular la configuración global. Para obtener más
información, consulte las instrucciones en Agregar direcciones de servidor WINS y DNS en la página
101.
5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente,
en la sección Direcciones reservadas:
7. Para cambiar el tiempo de alquiler de DHCP, seleccione una opción diferente en la lista
desplegable Tiempo de arrendamiento.
4. Escriba la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de agregar una ruta
estática al servidor DHCP, si es necesario.
Para deshabilitar DHCP para clientes en esa interfaz de red, seleccione Deshabilitar DHCP.
Para configurar diferentes opciones de DHCP para clientes en una red secundaria, seleccione
Usar servidor DHCP para red secundaria.
Modo Puente
El modo puente es una función que le permite instalar su dispositivo Firebox o XTM entre una red existente y
su puerta de enlace para filtrar o administrar el tráfico de la red. Cuando habilita esta función, su dispositivo
Firebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de puerta de enlace. Cuando el
tráfico llega a una puerta de enlace desde el dispositivo Firebox o XTM, parece que se envió desde el
dispositivo original.
Para usar el modo puente, debe especificar una dirección IP que se use para administrar su dispositivo Firebox
o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones de AV / IPS de Gateway y
para enrutar a servidores DNS, NTP o WebBlocker internos según sea necesario. Debido a esto, asegúrese de
asignar una dirección IP enrutable en Internet.
Cuando utiliza el modo puente, su dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como una puerta de enlace. Estas funciones incluyen:
Multi-WAN
VLAN (redes de área local virtuales)
Puentes de red
Rutas estáticas
FireCluster
Redes secundarias
Servidor DHCP o relé DHCP
Conmutación por falla del módem serial (Firebox X Edge solamente)
NAT de 1 a 1, dinámico o estático
Enrutamiento dinámico (OSPF, BGP o RIP)
Cualquier tipo de VPN para el cual el dispositivo Firebox o XTM sea un punto final o puerta de enlace
Algunas funciones proxy, incluido HTTP Web Cache Server
Si ha configurado previamente estas características o servicios, se desactivan cuando cambia al modo puente.
Para volver a utilizar estas características o servicios, debe usar un modo de red diferente. Si regresa al modo
de enrutamiento mixto o drop-in, es posible que deba configurar algunas características nuevamente.
Nota: Cuando habilita el modo puente, cualquier interfaz con un puente de red o una VLAN previamente
configurada está deshabilitada. Para utilizar esas interfaces, primero debe cambiar al modo de enrutamiento
mixto o de doble entrada, y configurar la interfaz como Externo, Opcional o Confiable, luego volver al modo
puente. Las funciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionan correctamente
en modo puente.
Para obtener más información sobre la notación de barra, consulte Acerca de la notación de barra en la página
3.
5. Escriba la dirección IP de la puerta de enlace que recibe todo el tráfico de red del dispositivo.
2. Seleccione la interfaz que desea configurar, luego haga clic en Configurar. Las opciones disponibles
dependen del tipo de interfaz que seleccionó.
3. En el campo Nombre de interfaz (Alias), puede conservar el nombre predeterminado o cambiarlo por uno
que refleje más fielmente su propia red y sus propias relaciones de confianza.
Asegúrese de que el nombre sea único entre los nombres de la interfaz, así como también todos los nombres
de los grupos MVPN y los nombres de los túneles. Puede usar este alias con otras funciones, como políticas de
proxy, para administrar el tráfico de red para esta interfaz.
Para obtener más información sobre cómo asignar una dirección IP a una interfaz externa, consulte
Configuración de una interfaz externa en la página 84. Para configurar la dirección IP de una interfaz de
confianza u opcional, escriba la dirección IP en notación de barra.
Para asignar direcciones IP automáticamente a clientes en una interfaz de confianza u opcional, consulte
Configurar DHCP en el modo de enrutamiento mixto en la página 87 o Configurar el Retransmisión DHCP
en la página 100.
Para usar más de una dirección IP en una única interfaz de red física, vea Configurar una red secundaria
en la página 102.
Para obtener más información sobre las configuraciones de VLAN, consulte Acerca de las redes de área
local virtuales (VLAN) en la página 110.
Para eliminar una interfaz de su configuración, consulte Desactivar una interfaz en la página 100.
Nota: No puede usar el repetidor DHCP en ninguna interfaz en la que FireCluster esté habilitado.
Para configurar el relevo DHCP:
1. Seleccione Red > Interfaces.
Aparece la página Interfaces de red.
2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.
3. En la lista desplegable debajo de la dirección IP de la interfaz, seleccione Usar retransmisión DHCP.
4. Escriba la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de agregar una ruta
estática al servidor DHCP, si es necesario.
5. Haga clic en Guardar.
Esta característica es especialmente útil para evitar el acceso no autorizado a su red desde una ubicación
dentro de su oficina. Sin embargo, debe actualizar la lista de Control de direcciones MAC para cada
interfaz cuando se agrega un nuevo ordenador autorizado a la red.
Nota: Si elige restringir el acceso por la dirección MAC, debe incluir la dirección MAC del ordenador que
usa para administrar su dispositivo Firebox o XTM.
El dispositivo Firebox o XTM usa el servidor DNS para resolver los nombres de las direcciones IP para
VPN IPSec y para las funciones spamBlocker, Gateway AV e IPS para que funcionen correctamente.
Las entradas WINS y DNS son utilizadas por los clientes DHCP en las redes confiables u opcionales, y
por los usuarios de Mobile VPN para resolver las consultas DNS.
Asegúrese de usar solo un servidor interno WINS y DNS para DHCP y Mobile VPN. Esto ayuda a asegurarse
de no crear políticas que tengan propiedades de configuración que impidan que los usuarios se conecten
al servidor DNS.
Por ejemplo, si configura un dispositivo Firebox o XTM en modo de inserción, le da a cada interfaz de
dispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto diferente
de direcciones IP en su red de confianza. Puede agregar esta red privada como una red secundaria a la
interfaz confiable de su dispositivo Firebox o XTM. Cuando agrega una red secundaria, crea una ruta
desde una dirección IP en la red secundaria a la dirección IP de la interfaz del dispositivo Firebox o XTM.
Si su dispositivo Firebox o XTM está configurado con una dirección IP estática en una interfaz externa,
también puede agregar una dirección IP en la misma subred que su interfaz externa principal como una
red secundaria. A continuación, puede configurar NAT estática para más de uno del mismo tipo de
servidor. Por ejemplo, configure una red secundaria externa con una segunda dirección IP pública si tiene
dos servidores SMTP públicos y desea configurar una regla NAT estática para cada uno.
Puede agregar hasta 2048 redes secundarias por interfaz de dispositivo Firebox o XTM. Puede usar redes
secundarias con una configuración de red enrutada o sin cargo. También puede agregar una red
secundaria a una interfaz externa de un dispositivo Firebox o XTM si esa interfaz externa está configurada
para obtener su dirección IP a través de PPPoE o DHCP.
Una dirección IP no utilizada en la red secundaria para asignar a la interfaz del dispositivo Firebox
o XTM
Una dirección IP no utilizada en la misma red que la interfaz externa del dispositivo Firebox o XTM
Configura los parámetros de velocidad y dúplex para las interfaces del dispositivo Firebox o XTM a la
configuración automática o manual. Le recomendamos que mantenga la velocidad del enlace configurada
para la negociación automática. Si utiliza la opción de configuración manual, debe asegurarse de que el
dispositivo al que se conecta el dispositivo Firebox o XTM también se configure manualmente con la
misma velocidad y los mismos parámetros que el dispositivo Firebox o XTM. Use la opción de
configuración manual solo cuando debe anular los parámetros de la interfaz automática del dispositivo
Firebox o XTM para operar con otros dispositivos en su red.
Cuando utiliza la configuración de gestión del tráfico para garantizar el ancho de banda a las políticas,
esta configuración garantiza que no se garantiza más ancho de banda de lo que realmente existe para una
interfaz. Esta configuración también le ayuda a asegurarse de que la suma de las configuraciones de
ancho de banda garantizado no llene el enlace de modo que no pueda pasar el tráfico no garantizado.
Crea diferentes clasificaciones de servicio para diferentes tipos de tráfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por la configuración definida para una política.
(Interfaces externas solamente) Controla el período de tiempo que el dispositivo Firebox o XTM reduce la
MTU para un túnel VPN IPSec cuando obtiene un paquete ICMP Request to Fragment de un enrutador
con una configuración de MTU inferior en Internet.
Utiliza direcciones de hardware (MAC) para controlar el acceso a una interfaz de dispositivo Firebox o
XTM.
Configuración de tarjeta de interfaz de red (NIC)
1. Seleccione Red > Interfaces.
6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Anular
dirección MAC y escriba la nueva dirección MAC.
Para obtener más información sobre las direcciones MAC, consulte la sección siguiente.
La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
La dirección MAC debe operar con:
o Una o más direcciones en la red externa.
o La dirección MAC de la red confiable para el dispositivo.
o La dirección MAC de la red opcional para el dispositivo.
La dirección MAC no se debe configurar en 000000000000 o ffffffffffff.
Si la casilla de verificación Anular dirección MAC no está seleccionada cuando se reinicia el dispositivo
Firebox o XTM, el dispositivo usa la dirección MAC predeterminada para la red externa.
Para disminuir los problemas con las direcciones MAC, el dispositivo Firebox o XTM se asegura de que la
dirección MAC que asigne a la interfaz externa sea única en su red. Si el dispositivo Firebox o XTM
encuentra un dispositivo que usa la misma dirección MAC, el dispositivo Firebox o XTM cambia de nuevo
a la dirección MAC estándar para la interfaz externa y comienza de nuevo.
Copiar:
Seleccione Copiar para aplicar la configuración del bit DF del fotograma original al paquete cifrado
IPSec. Si un marco no tiene los bits DF configurados, Fireware XTM no establece los bits DF y
fragmenta el paquete si es necesario. Si un marco está configurado para no fragmentarse, Fireware
XTM encapsula todo el marco y establece los bits DF del paquete cifrado para que coincida con el
marco original.
Conjunto:
Borrar:
Seleccione Borrar para dividir el cuadro en piezas que puedan caber en un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuración de bit original.
La configuración Unidad de transmisión máxima de ruta (PMTU) controla la cantidad de tiempo que el
dispositivo Firebox o XTM reduce la MTU para un túnel VPN IPSec cuando obtiene un paquete ICMP
Solicitud para fragmentar desde un enrutador con una configuración de MTU inferior en Internet.
Le recomendamos que mantenga la configuración predeterminada. Esto puede protegerlo de un
enrutador en Internet con una configuración MTU muy baja.