Guia de Usuario Firebox

Fireware XTM Web UI v11.
3 Guía del Usuario
Fireware XTM
Web UI
v11.3 Guía del Usuario
WatchGuard XTM Devices
Firebox X Peak e-Series
Firebox X Core e-Series
Firebox X Edge e-Series
Acerca de esta Guía del usuario
La Guía del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento de
producto importante. Para lanzamientos de productos menores, sólo se actualiza el sistema de Ayuda de la
interfaz de usuario web del Fireware XTM. El sistema de Ayuda también incluye ejemplos de
implementación específicos, basados en tareas que no están disponibles en la Guía del usuario.
Para acceder a la documentación del producto más reciente, consulte la Ayuda de la interfaz de usuario
web del Fireware XTM en el sitio web de WatchGuard en:
http://www.watchguard.com/help/documentation/.
La información de esta guía está sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos
utilizados en los ejemplos de este documento son ficticios, salvo indicación en contrario. Ninguna parte de
esta guía podrá reproducirse ni transmitirse en ninguna forma y por ningún medio, electrónico o mecánico,
para ningún propósito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.
Guía revisada: 15 de julio de 2010
Información sobre copyright, marcas comerciales y patentes

Copyright© 1998–2010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas o
nombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivos
dueños.
En la Guía de copyright y licencias podrá encontrar información completa sobre copyright, marcas
comerciales, patentes y licencias. Puede consultar este documento en el sitio web:
Nota Este producto es sólo para uso interno.
Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todo
en uno a un precio accesible, las cuales ofrecen protección en
profundidad y ayudan a satisfacer los requisitos de cumplimiento Dirección
reglamentarios. La línea WatchGuard XTM combina firewall, VPN,
505 Fifth Avenue South
GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de
Suite 500
spam, virus, malware e intrusiones. La nueva línea XCS ofrece
Seattle, WA 98104
seguridad para contenido web y correo electrónico combinada con
prevención de pérdida de datos. Las soluciones extensibles de Soporte
WatchGuard se adaptan para ofrecer seguridad en la medida justa, www.watchguard.com/support
desde pequeñas empresas hasta empresas con más de 10,000 EE. UU. y Canadá +877.232.3531
empleados. WatchGuard crea dispositivos de seguridad simples, Todos los demás países +1.206.521.3575
confiables y sólidos que incluyen rápida implementación,
Ventas
administración integral y herramientas para la presentación de
informes. Empresas del mundo entero confían en nuestras exclusivas EE. UU. y Canadá +1.800.734.9905
cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la Todos los demás países +1.206.613.0895
productividad.
Para obtener más información, comuníquese al 206.613.6600 o visite
www.watchguard.com.
ii Fireware XTM Web UI
Índice
Introducción a la seguridad de red 1
Acerca de redes y seguridad de red 1
Acerca de las conexiones a Internet 1
Acerca de los Protocolos 2
Acerca de las Direcciones IP 3
Direcciones privadas y puertas de enlace 3
Acerca de las máscaras de subred 3
Acerca de las Notación diagonal 3
Acerca del ingreso de Direcciones IP 4
estáticas y dinámicas Direcciones IP 4
Acerca de las DNS (sistema de domain name) 5
Acerca de firewall 6
Acerca de servicios y políticas 7
Acerca de puertos 8
El dispositivo WatchGuard y la red 8
Introducción a Fireware XTM 11
Introducción a Fireware XTM 11
Componentes de Fireware XTM 12
el WatchGuard System Manager 12
WatchGuard Server Center 13
Fireware XTM Web UI e interfaz de la línea de comandos 14
Fireware XTM con Actualización Pro 14
Servicio y soporte 17
Acerca de las Soporte de WatchGuard 17
LiveSecurity® Service 17
LiveSecurity® Service Gold 18
Expiración del servicio 19
Introducción 21
Antes de empezar 21
Verificar componentes básicos 21
Guía del Usuario iii

Obtener tecla de función del dispositivo WatchGuard 21
Recoger direcciones de red 22
Seleccione un modo configuración de firewall 23
Acerca del Quick Setup Wizard 24
Ejecutar el Web Setup Wizard 24
Conéctese al Fireware XTM Web UI 28
Conectarse a la Fireware XTM Web UI desde una red externa 29
Acerca del Fireware XTM Web UI 30
Seleccione el idioma de Fireware XTM Web UI 31
Limitaciones de la Fireware XTM Web UI 31
Concluya su instalación 32
Personalizar su política de seguridad 33
Acerca de las LiveSecurity Service 33
Temas adicionales de instalación 33
Conéctese a un Firebox con Firefox v3 33
Identificar sus configuraciones de red 35
Configure su equipo para conectarse a su dispositivo WatchGuard 37
Desactive el proxy de HTTP en el explorador 39
Información básica sobre configuración y administración 41
Acerca de las tareas básicas de configuración y administración 41
Hacer una copia de seguridad de la imagen de Firebox 41
Restaurar imagen de copia de seguridad de Firebox 42
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42
Acerca de la unidad USB 42
Guardar una imagen de respaldo en una unidad USB conectada 42
Restaurar una imagen de respaldo desde una unidad USB conectada 43
Restaurar automáticamente una imagen de respaldo desde un dispositivo USB 44
Estructura del directorio de la unidad USB 46
Guardar una imagen de respaldo en una unidad USB conectada a su de administración 46
Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva 48
Iniciar un dispositivo Firebox o XTM en modo seguro 48
iv Fireware XTM Web UI
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a las
configuraciones predeterminadas de fábrica 49
Ejecutar el Quick Setup Wizard 49
Acerca de las configuraciones predeterminadas de fábrica 49
Acerca de las teclas de función 51
Cuando compra una nueva función 51
Ver las funciones disponibles con la actual tecla de función 51
Obtener una tecla de función junto a LiveSecurity 52
Agregar una tecla de función a su Firebox 54
Reiniciar su Firebox 56
Reiniciar Firebox de modo local 57
Reiniciar Firebox de modo remoto 57
Activar NTP y agregar servidores NTP 57
Definir la zona horaria y las propiedades básicas del dispositivo 58
Acerca del SNMP 59
Sondeos y capturas SNMP 60
Acerca de las Bases de Información de Administración (MIBs) 60
Activar Sondeo de SNMP 61
Activar Capturas y estaciones de administración de SNMP 62
Acerca de las frases de contraseña, claves de cifrado y claves compartidas de WatchGuard 64
Crear una contraseña, una clave de cifrado o una clave compartida segura 64
Frases de contraseña de Firebox 64
Frases de contraseña de usuario 65
Frases de contraseña del servidor 65
Claves de cifrado y claves compartidas 66
Alterar frases de contraseña de Firebox 66
Defina las configuraciones globales del Firebox 67
Defina las configuraciones globales de administración de errores ICMP 68
Habilitar la comprobación TCP SYN 69
Definir las configuraciones globales de ajuste de tamaño máximo del segmento TCP 70
Activar o desactivar la administración de tráfico y QoS 70
Cambiar el puerto Web UI 70
Guía del Usuario v

Reinicio automático 70
Consola externa 71
Acerca de los servidores WatchGuard System Manager 71
Administrar un Firebox desde una ubicación remota 72
Configurar un Firebox como un dispositivo administrado 74
Editar la política WatchGuard 74
Configurar Dispositivo Administrado 76
Actualizar para una nueva versión del Fireware XTM 77
Instalar la actualización en su equipo administrado 77
Actualizar el Firebox 78
Descargue el archivo de configuración 78
Configuración de red 79
Acerca de las configuración de interfaz de red 79
Modos de red 79
Tipos de interfaz 80
Acerca de las interfaces de red en el Edge e-Series 81
Modo de enrutamiento combinado 82
Configurar una interfaz externa 82
Configurar el DHCP en modo de enrutamiento mixto 86
Página Acerca de Servicio DNS dinámico 88
Configurar DNS dinámico 88
Acerca de la configuración de red en modo directo 89
Utilizar modo directo para la configuración de la interfaz de red 90
Configurar host relacionados 90
Configurar DHCP en modo directo 91
Modo Bridge 94
Configuraciones de interfaz comunes 95
Desactivar una interfaz 96
Configurar retransmisión de DHCP 97
Restringir el tráfico de red mediante la dirección MAC 97
Agregar servidores WINS y Direcciones del servidor DNS 98
Configurar una secondary network 99
vi Fireware XTM Web UI
Acerca de la Configuraciones de interfaz 100
Configuración de tarjeta de interfaz de red (NIC) 101
Determinar No fragmentar bit IPSec 102
Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec 103
Usar vínculo de dirección MAC estático 103
Buscar la dirección MAC de una computadora 104
Acerca de los puentes LAN 105
Crear una configuración de puente de red. 105
Asignar una interfaz de red a un puente. 106
Acerca de 106
Agregue una ruta estática 107
Acerca de redes virtuales de área local (VLAN) 108
Requisitos y restricciones de la VLAN 108
Acerca de las etiquetado 109
Definir un nuevo (red de área local virtual) 109
Asignar interfaces a (red de área local virtual) 111
Ejemplos de configuración de red 112
Ejemplo: Configurar dos VLAN con la misma interfaz 112
Use Firebox X Edge con el bridge inalámbrico 3G Extend 115
WAN múltiple 119
Acerca de usar múltiples interfaces externas 119
Requisitos y condiciones de WAN múltiple 119
WAN múltiple y DNS 120
Acerca de las opciones de WAN múltiple 120
Orden de operación por turnos 120
Conmutación por error 121
Desbordamiento en la interfaz 121
Tabla de enrutamiento 122
Módem serie (solamente Firebox X Edge) 122
Configurar la opción de operación por turnos de WAN múltiple 122
Antes de empezar 122
Configurar interfaces 122
Guía del Usuario vii

Descubra cómo asignar pesos a interfaces 123
Configurar la opción de conmutación por error de WAN múltiple 124
Configurar WAN múltiple Opción de desbordamiento en la interfaz 125
Configurar WAN múltiple opción tabla de enrutamiento 126
Modo de tabla de enrutamiento y balance de carga 126
Acerca de la tabla de enrutamiento de Firebox 127
Cuando usar los métodos de WAN múltiple y enrutamiento 127
Conmutación por error de módem serie 128
Activar conmutación por error de módem serial 128
Configuraciones de la cuenta 129
Configuraciones de DNS 129
Configuración de marcado 130
Configuraciones avanzadas 131
Configuración de "Monitor de enlace" 131
Acerca de la configuración avanzada de WAN múltiple 132
Define una duración de Sticky Connection global 133
Definir acción de failback 133
Acerca del Estado de la interfaz de WAN 134
Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 134
Definir un host de monitor de enlace 134
Traducción de dirección de red (NAT) 137
Acerca de la Traducción de dirección de red (NAT) 137
Tipos de NAT 137
Acerca de la dinámica basada en políticas 138
Agregar firewall a entradas de NAT dinámicas 138
Configurar NAT dinámica basada en políticas 141
viii Fireware XTM Web UI

Acerca de las 1-to-1 NAT 142
Acerca de 1-to-1 NAT y VPN 143
Configurar el firewall 1-to-1 NAT 144
Configurar basado en políticas 1-to-1 NAT 147
Configurar el bucle invertido de NAT con NAT estática 148
Agregar una política para bucle invertido de NAT al servidor 148
Bucle invertido de NAT y 1-to-1 NAT 150
Acerca de la NAT estática 153
Configurar Balance de carga en el servidor 154
Ejemplos de NAT 157
Ejemplo de 1-to-1 NAT 157
Configuración inalámbrica 159
Acerca de la configuración inalámbrica 159
Acerca de las configuración del punto de acceso inalámbrico 160
Acerca de configuraciones 161
Activar/desactivar Broadcasts de SSID 163
Cambiar la SSID 163
Registro eventos de autenticación 163
Cambiar la umbral de fragmentación 163
Cambiar la Umbral de RTS 165
Acerca de configuraciones de seguridad 166
Definir inalámbricos método de autenticación 166
Definir nivel de cifrado 167
Habilitar conexiones inalámbricas a la red opcional o de confianza 167
Activar una red inalámbrica para invitados 170
Activar un hotspot inalámbrico 173
Establecer la configuración del tiempo de espera 174
Personalizar la pantalla de presentación del hotspot 174
Conéctese a un hotspot inalámbrico 176
Consulte Conexiones hotspot inalámbricas 177
Configurar la interfaz externa como interfaz inalámbrica 178
Guía del Usuario ix

Configurar la interfaz externa principal como interfaz inalámbrica 178
Configurar un túnel BOVPN para seguridad adicional 181
Acerca de configuraciones de radio en Firebox X Edge e-Series inalámbrico 181
Configurar la región operativa y el canal 182
Definir modo de operación inalámbrica 183
Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico WatchGuard

XTM 2 Series 183
El país se configura automáticamente 184
Seleccionar el modo de banda y el modo inalámbrico 185
Seleccionar el canal 186
Configurar la de red invitada inalámbrica en su computadora 186
Dynamic Routing 187
Acerca de dynamic routing 187
Acerca de archivos de configuración de demonio de enrutamiento. 187
Acerca del Protocolo de Información de Enrutamiento (RIP) 188
Comandos del Protocolo de Información de Enrutamiento (RIP) 188
Configurar el Firebox para usar RIP v1 190
Configurar el Firebox para usar RIP v2 191
Muestra de archivo de configuración del enrutamiento RIP 192
Acerca del Protocolo "Abrir Camino Más Curto Primero" (OSPF) 194
Comandos de OSPF 194
Tabla de Costo de Interfaz de OSPF 197
Configurar el Firebox para usar OSPF 198
Muestra de archivo de configuración del enrutamiento OSPF 199
Acerca del Border Gateway Protocol (BGP) 201
Comandos BGP 202
Configurar el Firebox para usar el BGP 204
Muestra de archivo de configuración del enrutamiento BGP 206
Autenticación 209
Acerca de la autenticación de usuario 209
Usuario pasos de autenticación 210
Administrar usuarios autenticados 211
x Fireware XTM Web UI
Use la autenticación para restringir el tráfico entrante 212
Use la autenticación a través de un Firebox de puerta de enlace 212
Definir valores de autenticación global 212
Definir tiempos de espera de autenticación 213
Permitir múltiples inicios de sesión concomitantes 214
Limitar sesiones de inicio 214
Direccionar usuarios automáticamente al portal de inicio de sesión 215
Usar una página de inicio predeterminada personalizada 216
Definir tiempos de espera de Sesión de Administración 216
Acerca de la política de Autenticación de WatchGuard (WG-Autoriz) 216
Acerca de Single Sign-On (SSO) 217
Configurar SSO 218
Instalar el agente de Single Sign-On (SSO) de WatchGuard 218
Instale el cliente de Single Sign-On (SSO) de WatchGuard 220
Activar Single Sign-On (SSO) 220
Tipos de servidores de autenticación 222
Acerca de la utilización de servidores de autenticación de terceros 222
Use un servidor de autenticación de resguardo 222
Configure su Firebox como servidor de autenticación 223
Tipos de autenticación de Firebox 223
Definir un nuevo usuario para autenticación en Firebox 225
Definir un nuevo grupo para autenticación de Firebox 227
Configurar autenticación de servidor RADIUS 227
Clave de autenticación 228
Los métodos de autenticación de RADIUS 228
Usar la autenticación por servidor RADIUS con su dispositivo WatchGuard 228
Como la autenticación del servidor RADIUS funciona 230
Configurado autenticación de servidor VASCO 233
Configurar autenticación SecurID 234
Configurar autenticación LDAP 236
Guía del Usuario xi

Acerca de las configuraciones opcionales de LDAP 238
Configurar autenticación en Active Directory 239
Sobre la configuración opcional del Active Directory 241
Encuentre su base de búsqueda del Active Directory 241
Alterar el puerto predeterminado de Active Directory Server 242
Usar las configuraciones opciones de Active Directory o de LDAP 243
Especificar Configuraciones opcionales de LDAP o Active Directory 243
Use una cuenta de usuario local para autenticación 247
Use los usuarios y grupos autorizados en políticas 248
Políticas 251
Acerca de políticas 251
Políticas de filtro de paquetes y proxy 251
Acerca de cómo agregar políticas a Firebox 252
Acerca de la página de políticas de Firewall o VPN móvil 253
Agregar políticas en la configuración 254
Agregar una política de la lista de plantillas 255
Desactivar o eliminar una política 256
Acerca de los alias 257
Miembros de alias 257
Crear un alias 258
Acerca de la precedencia de políticas 260
Orden de políticas automático 260
Especificidad de la política y protocolos 260
Reglas de tráfico 261
Acciones de firewall 261
Cronogramas 261
Nombres y tipos de políticas 262
Determinar precedencia manualmente 262
Crear Cronogramas para acciones de Firebox 262
Establecer un cronograma operativo 263
Acerca de las Políticas personalizadas 263
xii Fireware XTM Web UI

Cree o edite una plantilla de política personalizada. 264
Acerca de propiedades de políticas 265
Pestaña Política 266
Pestaña Propiedades 266
Pestaña Avanzada 266
Configuraciones de proxy 266
Definir reglas de acceso a una política 267
Configurar el enrutamiento basado en la política 269
Configurar un tiempo de espera inactivo personalizado 270
Determinar Administración de errores ICMP 271
Aplicar reglas NAT 271
Defina la duración de sticky connection para una política 272
Configuraciones de proxy 273
Acerca de las políticas de proxy y ALG 273
Configuración de proxy 273
Acerca de las configuraciones de Application Blocker 274
Configurar el Application Blocker 275
Acerca de Skype y el Application Blocker 276
Agregar una política de proxy a la configuración 277
Acerca de las acciones de proxy 279
Configurar la acción de proxy 279
Editar, eliminar o clonar acciones de proxy 279
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280
Acerca del DNS proxy 280
Proxy DNS : Contenido 281
Proxy DNS : Configuración 282
Página Acerca de Proxy FTP 284
Pestañas Configuración y Contenido 285
FTP DNS: Contenido 285
Guía del Usuario xiii

Proxy FTP : Configuración 286
Página Acerca de ALG H.323 287
ALG H.323: Contenido 289
ALG H.323: Configuración 291
Página Acerca de Proxy HTTP 292
Pestañas Configuración, Contenido y Application Blocker 294
Permitir actualizaciones de Windows a través del proxy HTTP 294
Proxy HTTP: Pestaña Contenido 295
Proxy HTTP: Pestaña Configuración 298
Proxy HTTP: Application Blocker 300
Página Acerca de Proxy HTTPS 301
Proxy de HTTPS: Contenido 302
Proxy HTTPS : Configuración 304
Página Acerca de Proxy POP3 305
Proxy POP3 : Contenido 307
Proxy POP3 : Configuración 308
Página Acerca de Proxy SIP 309
SIP ALG: Contenido 311
SIP ALG: Configuración 313
Página Acerca de Proxy SMTP 314
xiv Fireware XTM Web UI

Pestañas Configuración, Dirección y Contenido 315
Proxy SMTP : Dirección 315
Proxy SMTP : Contenido 316
Proxy SMTP : Configuración 318
Configure el proxy SMTP para colocar mensajes de correo electrónico en cuarentena 319
Página Acerca de Proxy de TCP-UDP 319
Proxy de TCP-UDP: Contenido 320
Proxy de TCP-UDP: Configuración 320
Administración de tráfico y QoS 323
Acerca de las Administración de tráfico y QoS 323
Activar administración de tráfico y QoS 323
Garantice ancho de banda 324
Restrinja el ancho de banda 325
Marcado QoS 325
Prioridad de tráfico 325
Configurar el ancho de banda de interfaz saliente 325
Configure los límites de la tasa de conexión 326
Acerca de las Marcado QoS 327
Marcado QoS para interfaces y políticas 327
Marcado QoS y tráfico IPSec 327
Marcado: tipos y valores 328
Activar marcado QoS para una interfaz 329
Activar el marcado QoS o configuraciones de priorización para una política 330
Control de tráfico y definiciones de políticas 332
Definir un Acción de administración de tráfico 332
Guía del Usuario xv

Agregar una Acción de administración de tráfico a una política 334
Default Threat Protection 335
Acerca de la Default Threat Protection 335
Acerca de las opciones de administración predeterminada de paquetes 335
Acerca de los ataques de suplantación de paquetes 337
Acerca de los Ataques de ruta de origen de IP IP 337
Acerca de las pruebas de espacio de dirección y espacio del puerto 338
Acerca de los ataques de congestión del servidor 340
Acerca de los paquetes no controlados 342
Acerca de ataques de negación de servicio distribuidos 343
Acerca de los sitios bloqueados 343
Sitios permanentemente bloqueados 344
Lista de Sitios de bloqueo automático/Sitios temporalmente bloqueados 344
Ver y editar los sitios en la lista de Sitios Bloqueados 344
Bloquear un sitio permanentemente 344
Crear Excepciones sitios bloqueados 345
Bloquear sitios temporalmente con configuración de políticas 346
Cambiar la duración de los sitios que son bloqueados automáticamente 347
Acerca de los puertos bloqueados 347
Puertos bloqueados predeterminados 348
Bloquear un puerto 349
Registro y Notificación 351
Acerca de la generación de registros y archivos de registro 351
Log Servers 351
Syslog de estado del sistema 352
Generación de registros y notificación en aplicaciones y servidores 352
Acerca de las mensajes de registro 352
Tipos de mensajes de registro 352
Enviar mensajes de registro al WatchGuard Log Server 353
Agregar, editar o alterar la prioridad de Log Servers 354
Enviar información de registro a un host de Syslog 355
Configurar Registros 356
xvi Fireware XTM Web UI

Defina el nivel de registro de diagnóstico 357
Configurar registros y notificación para una política 359
Determinar preferencias de registro y notificación 360
Use el Syslog para ver los datos de mensaje de registro 361
Ver, Ordenar y Filtrar datos de mensaje de registro 361
Actualizar datos de mensaje de registro 363
Monitorear su Firebox 365
Monitorear su Firebox 365
El Panel de control 365
Páginas Estado del sistema 367
Tabla ARP 368
Autenticaciones 369
Medidor de ancho de banda 370
Estado de sitios bloqueados 370
Agregar o editar sitios bloqueados temporalmente 371
Suma de comprobación 372
Conexiones 372
Lista de componentes 372
Uso de CPU 373
Concesiones de protocolo de configuración dinámica de host (DHCP) 373
Diagnósticos 374
Ejecutar un comando de diagnóstico básico 374
Utilizar argumentos de comandos 374
DNS dinámico 375
Tecla de función 376
Cuando compra una nueva función 376
Ver las funciones disponibles con la actual tecla de función 376
Interfaces 377
LiveSecurity 378
Memoria 379
Lista de acceso saliente 379
Procesos 379
Guía del Usuario xvii

Rutas 380
Syslog 381
Administración de tráfico 381
Estadísticas de VPN 382
Estadísticas inalámbricas 383
Conexiones hotspot inalámbricas 384
Certificates 385
Acerca de los certificados 385
Usar múltiples certificados para determinar la confianza 385
Cómo el Firebox usa certificados 386
CRLs y caducidad de certificados 386
Solicitudes de firmas y autoridades de certificación 387
Autoridades de Certificación confiadas por Firebox 387
Ver y administrar Certificados de Firebox 393
Crear una CSR con el OpenSSL 395
Usar OpenSSL para generar una CSR 395
Firme un certificado con Microsoft CA 396
Emitir el certificado 396
Descargar el certificado 396
Usar Certificados para el proxy de HTTPS 397
Proteger un servidor HTTPS privado 397
Examinar contenido de los servidores HTTPS externos 398
Exportar el certificado de inspección de contenido HTTPS 398
Importar los certificados en dispositivos clientes 399
Solucionar problemas con la inspección de contenido HTTPS 399
Use certificados autenticados para el túnel VPN Mobile con IPSec 399
Usar un certificado para autenticación del túnel BOVPN 400
Verificar el certificado con el FSM 401
Verificar los certificados de VPN con servidor de LDAP 401
Configure el certificado del servidor web para la autenticación de Firebox 402
Importar un certificado en un dispositivo cliente 404
Importar un certificado en formato PEM con el Windows XP 404
xviii Fireware XTM Web UI

Importar un certificado en formato PEM con el Windows Vista 404
Importar un certificado en formato PEM con Mozilla Firefox 3.x 405
Importar un certificado en formato PEM con el Mac OS X 10.5 405
Redes Privada Virtual (VPN) 407
Introducción a VPNs 407
Branch Office VPN (BOVPN) 407
Mobile VPN 408
Acerca de la VPNs de IPSec 408
Acerca de los algoritmos y protocolos de IPSec 408
Acerca de las negociaciones VPN de IPSec 410
Configuraciones de Fase 1 y Fase 2 412
Acerca de Mobile VPNs 413
Seleccione una Mobile VPN 413
Opciones de acceso a Internet para usuarios de Mobile VPN 415
Descripción de configuración de Mobile VPN 416
Túneles de BOVPN manuales 417
Lo que necesita para crear un BOVPN 417
Acerca de túneles BOVPN manuales 418
Lo que necesita para crear un VPN 418
Cómo crear un túnel BOVPN manual 419
Túneles de una dirección 419
Failover de VPN 419
Configuraciones de VPN Global 419
Estado del túnel BOVPN 420
Regenerar clave de túneles BOVPN 420
Muestra cuadro de información de dirección de VPN 420
Definir puertas de enlace 421
Definir extremos de puerta de enlace 424
Configurar modo y transformaciones (Configuraciones de la Fase 1) 426
Editar y eliminar puertas de enlace 430
Desactivar inicio automático de túnel 430
Si su Firebox está detrás de un dispositivo que hace NAT 430
Guía del Usuario xix

Establezca túneles entre los extremos de puertas de enlace 431
Definir un túnel 431
Agregar rutas para un túnel 434
Configuraciones de Fase 2 434
Agregar una Propuesta de Fase 2 436
Cambiar el orden de túneles 438
Acerca de las configuraciones de VPN Global 438
Activar puerto de transferencia IPSec 439
Activar TOS para IPSec 439
Activar servidor LDAP para verificación de certificado 440
Usar 1-to-1 NAT a través de un túnel BOVPN 440
1-to-1 NAT y VPNs 440
Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441
Alternativa al uso de NAT 441
Cómo configurar la VPN 441
Ejemplo 442
Configurar el túnel local 442
Configurar el túnel remoto 445
Definir una ruta para todo el tráfico hacia Internet 447
Configurar el túnel BOVPN en el Firebox remoto 447
Configurar el túnel BOVPN en el Firebox central 448
Agregar una entrada de NAT dinámica en el Firebox central 449
Activar enrutamiento de multidifusión a través de un túnel BOVPN 450
Activar un dispositivo WatchGuard para enviar tráfico de multidifusión a través de un túnel 451
Active el otro dispositivo WatchGuard para recibir tráfico de multidifusión a través de un túnel
453
Activar el enrutamiento de difusión a través de un túnel BOVPN 453
Activar el enrutamiento de difusión para el Firebox local 454
Configurar enrutamiento de difusión para el Firebox en el otro extremo del túnel 455
Configurar Failover de VPN 456
Definir múltiples pares de puertas de enlace 456
Vea Estadísticas de VPN 458
xx Fireware XTM Web UI
Regenerar clave de túneles BOVPN 458
Preguntas relacionadas 459
¿Por qué necesito una dirección externa estática? 459
¿Cómo obtengo una dirección IP externa estática? 459
¿Cómo soluciono problemas de la conexión? 459
¿Por qué el ping no está funcionando? 459
¿Cómo configuro más que el número de túneles VPN permitido en mi Edge? 460
Mejorar la disponibilidad del túnel BOVPN 460
Mobile VPN con PPTP 465
Acerca del Mobile VPN con PPTP 465
Requisitos de Mobile VPN con PPTP 465
Niveles de cifrado 466
Configurar Mobile VPN with PPTP 466
Autenticación 467
Configuraciones de cifrado 468
Agregar al conjunto de direcciones IP 468
Configuraciones de pestañas avanzadas 469
Configurar servidores WINS y DNS 470
Agregar nuevos usuarios al grupo de usuarios de PPTP 471
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 473
Configurar políticas para permitir el tráfico de Mobile VPN con PPTP 474
Permitir a los usuarios de PPTP acceder a una red de confianza 474
Usar otros grupos o usuarios en una política de PPTP 475
Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP 475
VPN de ruta predeterminada 475
Dividir VPN de túnel 476
Configuración de VPN de ruta predeterminada para Mobile VPN with PPTP 476
Configuración de VPN de túnel dividido para Mobile VPN with PPTP 476
Preparar computadoras cliente para PPTP 477
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de
servicio 477
Crear y conectar una Mobile VPN with PPTP para Windows Vista 478
Guía del Usuario xxi

Cree y conecte una Mobile VPN with PPTP para Windows XP 479
Cree y conecte una Mobile VPN with PPTP para Windows 2000 480
Realizar conexiones PPTP salientes desde detrás de un Firebox 480
Mobile VPN con IPSec 481
Acerca del Mobile VPN con IPSec 481
Configurar una conexión de Mobile VPN con IPSec 481
Requisitos del sistema 482
Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec 482
Acerca de archivos de configuración de cliente MobileVPN 483
Configurar el Firebox para Mobile VPN with IPSec 483
Agregar usuarios a un grupo de Mobile VPN de Firebox 491
Modificar un perfil de grupo existente de Mobile VPN con IPSec 493
Configurado servidores WINS y DNS. 505
Bloquear un perfil del usuario final 506
Archivos de configuración de Mobile VPN con IPSec 507
Configurar políticas para filtrar tráfico de Mobile VPN 507
Distribuir el software y los perfiles 508
Tópicos adicionales de Mobile VPN 509
Configurar Mobile VPN with IPSec para una dirección IP dinámica 510
Página Acerca de cliente Mobile VPN with IPSec 512
Requisitos del cliente 512
Instalar el software cliente de Mobile VPN con IPSec 512
Conecte y desconecte el cliente Mobile VPN 515
Vea los mensajes de registro del Mobile VPN 517
Proteger su equipo con el firewall de Mobile VPN 517
Instrucciones de usuario final para la instalación del cliente VPN Mobile con IPSec de
WatchGuard 526
Configuración del Mobile VPN para Windows Mobile 531
Los requisitos del cliente Mobile VPN WM Configurator y de IPSec de Windows Mobile 531
Instalar el software Mobile VPN WM Configurator 532
Seleccione un certificado e ingrese el PIN 533
Importar un perfil del usuario final 533
xxii Fireware XTM Web UI

Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 534
Cargar el perfil de usuario final en el dispositivo Windows Mobile 535
Conecte y desconecte el Cliente Mobile VPN para Windows Mobile 537
Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 540
Detener el WatchGuard Mobile VPN Service 540
Desinstalar el Configurator, Service y Monitor 541
Mobile VPN con SSL 543
Acerca del Mobile VPN con SSL 543
Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL 543
Realizar configuraciones de autenticación y conexión 544
Realice las configuraciones de Red y Conjunto de direcciones IP 544
Realizar configuraciones avanzadas para Mobile VPN with SSL 547
Configurar la autenticación de usuario para Mobile VPN with SSL 549
Configurar políticas para controlar el acceso de clientes de Mobile VPN con SSL 549
Elegir un puerto y protocolo para Mobile VPN with SSL 550
Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL 551
Determinación del nombre para Mobile VPN with SSL 552
Instalar y conectar el cliente de Mobile VPN con SSL 554
Requisitos de la computadora cliente 555
Descargar el software cliente 555
Desinstalar el software cliente 556
Conectarse a su red privada 556
Controles del cliente de Mobile VPN con SSL 557
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el
archivo de configuración 558
Desinstale el cliente de Mobile VPN con SSL. 559
WebBlocker 561
Acerca de las WebBlocker 561
Configurar un WebBlocker Server local 562
Activación de WebBlocker 562
Cree perfiles de WebBlocker 562
Guía del Usuario xxiii

Activar anulación local 566
Seleccione categorías para bloquear 566
Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS 567
Agregar excepciones de WebBlocker 568
Usar anulación local de WebBlocker 568
Acerca de las Categorías de WebBlocker 569
Consultar si un sitio está categorizado 570
Agregar, eliminar o cambiar una categoría 571
Acerca de las Excepciones de WebBlocker 572
Defina la acción para las sitios que no tienen coincidencias Excepciones 572
Componentes de las reglas de excepción 572
Excepciones con parte de una URL 572
Agregar WebBlocker Excepciones 573
Renovar suscripciones de seguridad 575
Acerca del vencimiento de los servicios de suscripción de WebBlocker 575
spamBlocker 577
Acerca de las spamBlocker 577
Requisitos de spamBlocker 579
Acciones, etiquetas y categorías de spamBlocker 581
Configurado spamBlocker 583
Acerca de las Excepciones de spamBlocker 587
Configurar acciones de Virus Outbreak Detection para una política 593
Configure spamBlocker para colocar mensajes de correo electrónico en cuarentena 595
Acerca de la utilización spamBlocker con servidores proxy múltiples 597
Configure los parámetros globales de spamBlocker 597
Utilice un servidor proxy HTTP para spamBlocker 599
Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de

calificación del spam 600
Active y configure los parámetros de la Virus Outbreak Detection (VOD) 601
Acerca de spamBlocker y los límites de escaneo de la VOD 602
Cree reglas para su lector de correo electrónico 602
Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook 603
xxiv Fireware XTM Web UI

Enviar un informe acerca de falsos positivos o falsos negativos 604
Utilice el registro RefID en lugar de un mensaje de texto 605
Buscar la categoría a la cual está asignado un mensaje 605
La Defensa de reputación activada 607
Acerca de la Defensa de reputación activada 607
Umbrales de reputación 607
Calificaciones de reputación 608
Comentario sobre la Defensa de reputación activada 608
Configurar la Defensa de reputación activada 608
Configurar la Defensa de reputación activada para una acción de proxy 609
Configurar los umbrales de reputación 610
Enviar los resultados de escaneo del Gateway Antivirus a WatchGuard 611
Gateway AntiVirus e Intrusion Prevention 613
Acerca de las Gateway AntiVirus y prevención de intrusiones 613
Instale y actualice el Gateway AntiVirus/IPS 614
Acerca del Gateway AntiVirus/la Intrusion Prevention y las políticas de proxy 614
Configurar el servicio del Gateway AntiVirus 615
Configure el servicio del Gateway AntiVirus 615
Configurar acciones del Gateway AntiVirus 616
Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena 619
Acerca de los límites de escaneo del Gateway AntiVirus 620
Actualice la configuración del Gateway AntiVirus/IPS 620
Si utiliza un cliente antivirus de terceros 621
Establezca la configuración de descompresión del Gateway AntiVirus 621
Configurar el servidor de actualización del Gateway AntiVirus/IPS 622
Ver estado de servicios de suscripción y actualizar firmas manualmente 623
Configurar el Intrusion Prevention Service 624
Configurar el Intrusion Prevention Service 625
Configurar acciones del IPS 627
Establezca la configuración del IPS 631
Guía del Usuario xxv

Configurado excepciones de firma 633
Quarantine Server 635
Página Acerca de Quarantine Server 635
Configure Firebox para que ponga correos electrónicos en cuarentena 636
Definir la ubicación del Quarantine Server en Firebox 636
xxvi Fireware XTM Web UI

1 Introducción a la seguridad de red
Acerca de redes y seguridad de red

Una red es un grupo de equipos y otros dispositivos que se conectan entre sí. Puede tratarse de dos equipos
en la misma habitación, decenas de equipos en una organización o muchos equipos en el mundo entero
conectados a través de Internet. Los equipos en la misma red pueden trabajar juntos y compartir datos.
Aunque las redes como Internet brindan acceso a una gran cantidad de información y oportunidades
comerciales, también pueden exponer la red a atacantes. Muchas personas creen que sus equipos no
guardan información importante o que un hacker no estará interesado en sus equipos. Se equivocan. Un
hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La información de su
organización, incluida la información personal acerca de usuarios, empleados o clientes, también es valiosa
para los hackers.
El dispositivo WatchGuard y la suscripción a LiveSecurity pueden ayudar a prevenir estos ataques. Una
buena política de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, también
pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para
que coincida con la política de seguridad y considerar las amenazas tanto internas como externas de la
organización.
Acerca de las conexiones a Internet

Los ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a través de
conexiones de red. La velocidad con la cual una conexión de red puede enviar datos se conoce como
ancho de banda: por ejemplo, 3 megabits por segundo (Mbps).
Una conexión a Internet de alta velocidad, como módem por cable o DSL (línea de suscriptor digital), se
conoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que las
conexiones telefónicas. El ancho de banda de una conexión telefónica es inferior a .1 Mbps, mientras que
una conexión de módem por cable puede ser de 5 Mbps o más.
Guía del Usuario 1

Introducción a la seguridad de red
Las velocidades típicas para los módem por cable en general son inferiores a las velocidades máximas,
porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de
banda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden volverse
lentas cuando más usuarios están en la red.
Las conexiones DSL proveen ancho de banda constante, pero en general son más lentas que las conexiones
de módem por cable. Además, el ancho de banda sólo es constante entre el hogar u oficina y la oficina
central de DSL. La oficina central de DSL no puede garantizar una buena conexión a un sitio web o red.
Cómo viaja la información en Internet

Los datos que se envían por Internet se dividen en unidades o paquetes. Cada paquete incluye la dirección
de Internet del destino. Los paquetes que componen una conexión pueden usar diferentes rutas a través
de Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar que
todos los paquetes lleguen a destino, se agrega información de dirección a los paquetes.
Acerca de los Protocolos

Un protocolo es un conjunto de reglas que permiten a los equipos conectarse a través de una red. Los
protocolos son la gramática del lenguaje que utilizan los equipos cuando se comunican a través de una red.
El protocolo estándar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es el
lenguaje común de los equipos en Internet.
Un protocolo también indica el modo en que los datos se envían a través de una red. Los protocolos
utilizados con más frecuencia son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagrama
de usuario). TCP/IP es el protocolo básico utilizado por los equipos que se conectan a Internet.
Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.
Para obtener más información sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la página 36.
2 Fireware XTM Web UI
Acerca de las Direcciones IP

Para realizar un envío postal común a una persona, se debe conocer su dirección. Para que un equipo en
Internet envíe datos a un equipo diferente, debe conocer la dirección de ese equipo. Una dirección de
equipo se conoce como dirección de protocolo de Internet (IP). Todos los dispositivos en Internet tienen
direcciones IP únicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.
Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados en
formato decimal y separados por puntos. Cada número entre los puntos debe estar en el rango de 0 a 255.
Algunos ejemplos de direcciones IP son:
n 206.253.208.100
n 4.2.2.2
n 10.0.4.1
Direcciones privadas y puertas de enlace

Muchas empresas crean redes privadas que tienen su propio espacio de dirección. Las direcciones 10.x.x.x
y 192.168.x.x están reservadas para direcciones IP privadas. Los equipos en Internet no pueden usar estas
direcciones. Si su equipo está en una red privada, se conecta a Internet a través de un dispositivo de puerta
de enlace que tiene una dirección IP pública.
En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario
e Internet. Después de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada
para todos los equipos conectados a sus interfaces de confianza u opcionales.
Acerca de las máscaras de subred

Debido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones más
pequeñas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Por
ejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50
pertenecen a la misma subred.
La subnet mask o máscara de red de una dirección IP de red es una serie de bits que enmascaran secciones
de la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para el host.
Una puede escribirse del mismo modo que una dirección IP o en notación diagonal o CIDR (enrutamiento
de interdominios sin clases).
Acerca de las Notación diagonal

Firebox utiliza notación diagonal para muchos fines, entre ellos la configuración de políticas. La notación
diagonal, conocida también como notación CIDR (enrutamiento de interdominios sin clases) , es un modo
compacto de mostrar o escribir una máscara de subred. Cuando se usa notación diagonal, se escribe la
dirección IP , una barra diagonal hacia adelante (/) y el número de máscara de subred.
Para encontrar el número de máscara de subred el usuario debe:
1. Convertir la representación decimal de la máscara de subred a una representación binaria.

2. Contar cada "1" en la máscara de subred. El total es el número de máscara de subred.
Guía del Usuario 3

Por ejemplo, el usuario desea escribir la dirección IP 192.168.42.23 con una máscara de subred de
255.255.255.0 en notación diagonal.
1. Convertir la máscara de subred a una representación binaria.

En este ejemplo, la representación binaria de 255.255.255.0 es:
11111111.11111111.11111111.00000000.
2. Contar cada "1" en la máscara de subred.
En este ejemplo, hay veinticuatro (24).
3. Escribir la dirección IP original, una barra diagonal hacia adelante (/) y luego el número del paso 2.
El resultado es 192.168.42.23/24.
La siguiente tabla muestra máscaras de red comunes y sus equivalentes en notación diagonal.
Máscara de red Equivalente diagonal
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Acerca del ingreso de Direcciones IP

Cuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de diálogo, se deben ingresar los
dígitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barra
espaciadora ni el mouse para colocar el cursor después de los decimales.
Por ejemplo si ingresa la dirección IP 172.16.1.10, no ingrese un espacio después de ingresar 16. No intente
colocar el cursor después del decimal subsiguiente para ingresar 1. Ingrese un decimal directamente después
de 16 y luego ingrese 1.10. Presione la tecla de barra inclinada (/) para desplazarse a la máscara de red.
estáticas y dinámicas Direcciones IP

Los ISP (proveedores de servicios de Internet) asignan una dirección IP a cada dispositivo en la red. La
dirección IP puede ser estática o dinámica.
Direcciones IP estáticas
Una dirección IP estática es una dirección IP que permanece siempre igual. Si tiene un servidor web, un
servidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puede
obtener una dirección IP estática de su ISP. Una dirección IP estática generalmente es más costosa que una
dirección IP dinámica. Algunos ISP no proveen direcciones IP estáticas. La dirección IP estática debe
configurarse en forma manual.
Direcciones IP dinámicas
Una dirección IP dinámica es una dirección IP que el ISP permite utilizar en forma temporal a un usuario. Si
una dirección dinámica no está en uso, puede ser asignada automáticamente a un dispositivo diferente. Las
direcciones IP dinámicas se asignan a través de DHCP o PPPoE.
Acerca de DHCP
El Protocolo de Configuración Dinámica de Host (DHCP) es un protocolo de Internet que los equipos en red
utilizan para obtener direcciones IP y otra información como la puerta de enlace predeterminada. Cuando
el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna
automáticamente una dirección IP. Podría ser la misma dirección IP que tenía anteriormente o podría ser
una nueva. Cuando se cierra una conexión a Internet que usa una dirección IP dinámica, el ISP puede
asignar esa dirección IP a un cliente diferente.
El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrás del dispositivo. Se
asigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a través del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega
algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexión de acceso
telefónico estándar. Este protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación y
seguridad de su infraestructura telefónica con productos DSL de módem y de módem por cable.
Acerca de las DNS (sistema de domain name)

Con frecuencia se puede encontrar la dirección de una persona desconocida en el directorio telefónico. En
Internet, el equivalente a un directorio telefónico es el DNS(sistema de domain name). El DNS es una red
de servidores que traducen direcciones IP numéricas en direcciones de Internet legibles y viceversa. El
DNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, como
www.example.com y encuentra la dirección IP equivalente, como 50.50.50.1. Los dispositivos de red
necesitan la dirección IP real para encontrar el sitio web, pero para los usuarios es mucho más fácil
ingresar y recordar los domain names que las direcciones IP.
Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a solicitudes de DNS. También se puede usar un servidor DNS en la red
externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Guía del Usuario 5

Acerca de firewall
Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la
red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el
firewall protege de Internet a los equipos de una red de confianza.
Los firewall usan políticas de acceso para identificar y filtrar diferentes tipos de información. También
pueden controlar qué políticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).
Por ejemplo, muchos firewall tienen políticas de seguridad de prueba que permiten sólo tipos de tráfico
específicos. Los usuarios pueden seleccionar la política más conveniente para ellos. Otros firewall, por
ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas políticas.
Para más informaciones, vea Acerca de servicios y políticas en la página 7 y Acerca de puertos en la página 8
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no
autorizados en Internet y examina el tráfico que ingresa a redes protegidas o sale de éstas. El firewall
rechaza el tráfico de red que no coincide con los criterios o políticas de seguridad.
En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a
menos que exista una regla específica para permitir la conexión. Para implementar este tipo de firewall, se
debe tener información detallada acerca de las aplicaciones de red requeridas para satisfacer las
necesidades de una organización. Otros firewall permiten todas las conexiones de red que no han sido
rechazadas explícitamente. Este tipo de firewall abierto es más fácil de implementar, pero no es tan seguro.
Acerca de servicios y políticas

El usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrónico, archivos o
comandos) desde una computadora a otra a través de una red o a una red diferente. Estos servicios utilizan
protocolos. Los servicios de Internet utilizados con frecuencia son:
n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).

n El correo electrónico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de
Oficina de Correos (POP3).
n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).
n Resolver un domain name a una dirección de Internet utiliza el Servicio de Domain Name (DNS).
n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).
Cuando se autoriza o se rechaza un servicio, se debe agregar una política a la configuración del dispositivo
WatchGuard. Cada política que se agrega también puede sumar un riesgo de seguridad. Para enviar y recibir
datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar
sólo las políticas necesarias para la empresa.
Como ejemplo del modo en que se utiliza una política, supongamos que el administrador de red de una
empresa desea activar una conexión de servicios de terminal de Windows al servidor web público de la
empresa en la interfaz opcional del Firebox. Periódicamente administra el servidor web con una conexión
Guía del Usuario 7

de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningún otro usuario de la red pueda
utilizar los servicios de terminal del Protocolo de Escritorio Remoto a través del Firebox. El administrador
de red debe agregar una política que permita conexiones RDP sólo desde la dirección IP de su propio
equipo de escritorio a la dirección IP del servidor web público.
Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente sólo agrega
conectividad saliente limitada. Si el usuario tiene más aplicaciones de software y tráfico de red para que
examine Firebox, debe:
n Configurar las políticas en Firebox para que transfieran en tráfico necesario.

n Definir las propiedades y hosts aprobados para cada política
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Acerca de puertos
Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexión, los puertos
también son números utilizados para asignar tráfico a un proceso particular en un equipo. En estos puertos,
también llamados puertos TCP y UDP los programas transmiten datos. Si una dirección IP es como la
dirección de una calle, un número de puerto es como un número de departamento o edificio dentro de
esa calle. Cuando un equipo envía tráfico a través de Internet a un servidor u otro equipo, utiliza una
dirección IP para identificar al servidor o equipo remoto y un número de puerto para identificar el proceso
en el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que deseamos ver una página web en particular. El explorador web intenta crear
una conexión en el puerto 80 (el puerto utilizado para tráfico HTTP) para cada elemento de la página web.
Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexión.
Muchos puertos se usan sólo para un tipo de tráfico, como el puerto 25 para SMTP (Protocolo simple de
transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otros
programas se les asignan números de puerto en forma dinámica para cada conexión. IANA (Internet
Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a
través de:
http://www.iana.org/assignments/port-numbers
La mayoría de las políticas que se agregan a la configuración del Firebox tienen un número de puerto entre
0 y 1024, pero los números de puerto posibles pueden ser entre 0 y 65535.
Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza el
protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se
pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para más informaciones, vea
Acerca de los puertos bloqueados en la página 347.
El dispositivo WatchGuard y la red

El dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo el
tráfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red,
también se puede configurar una interfaz de red opcional que esté separada de la red de confianza. Luego
se puede configurar el firewall en el dispositivo para detener todo el tráfico sospechoso de la red externa a
las redes de confianza y opcionales. Si se enruta todo el tráfico para los equipos de confianza combinada a
través de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar más
flexibilidad a la solución de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para los
usuarios remotos o para servidores públicos como un servidor web o un servidor de correo electrónico.
Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redes
informáticas o seguridad de red. La Web UI (interfaz de usuario basada en la web) de Fireware XTM provee
muchas herramientas de autoayuda para estos clientes. Los clientes con más experiencia pueden utilizar la
integración avanzada y las múltiples funciones de soporte WAN del Fireware Appliance Software XTM Pro
para conectar un dispositivo WatchGuard a una red de área ancha mayor. El dispositivo WatchGuard se
conecta a un módem por cable, DSL de módem o enrutador ISDN.
La Web UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desde
diferentes ubicaciones y en cualquier momento. Así se obtiene más tiempo y recursos para utilizar en otros
equipos de la empresa.
Guía del Usuario 9

Guía del Usuario 10

2 Introducción a Fireware XTM
Introducción a Fireware XTM

Fireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Firebox
en su red. La solución Fireware XTM incluye cuatro aplicaciones de software:
n WatchGuard System Manager (WSM)

n Fireware XTM Web UI
n Command Line Interface (CLI) de Fireware XTM
n WatchGuard Server Center
Posiblemente sea necesario utilizar más de una aplicación Fireware XTM para configurar la red de una
organización. Por ejemplo, si se tiene sólo un producto Firebox X Edge e-Series, la mayoría de las tareas de
configuración pueden realizarse con la Fireware XTM Web UI o la Command Line Interface de Fireware
XTM. Sin embargo, para funciones de administración y registro más avanzadas, se debe utilizar WatchGuard
Server Center. Si el usuario administra más de un dispositivo WatchGuard o si ha comprado Fireware XTM
con una actualización Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide
administrar y monitorear la configuración con la Fireware XTM Web UI , algunas funciones no pueden
configurarse.
Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la Fireware XTM Web
UI en la página 31.
Para obtener más información acerca de cómo conectarse a Firebox con el WatchGuard System Manager o
la Command Line Interface de Fireware XTM, consulte la Ayuda en línea o la Guía del usuario para esos
productos. Se puede visualizar y descargar la documentación más reciente para estos productos en la
página Documentación del producto de Fireware XTM:
http://www.watchguard.com/help/documentation/xtm.asp.
Nota Los términos Firebox y dispositivo WatchGuard que se encuentran a lo largo de

toda esta documentación se refieren a productos de WatchGuard que usan
Fireware XTM, como el dispositivo Firebox X Edge e-Series.

Componentes de Fireware XTM

Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,
seleccione el acceso directo desde el menú de Inicio. WatchGuard Server Center también puede iniciarse
desde un ícono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientas
que ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desde
WatchGuard System Manager (WSM).
el WatchGuard System Manager

WatchGuard System Manager (WSM) es la principal aplicación para la administración de red con Firebox.
WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usan
distintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan a
monitorear y controlar el tráfico de red.
Policy Manager
Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto
completo de filtrados de paquetes preconfigurados, políticas de proxy y puertas de enlace de la
capa de aplicación (ALG). El usuario también puede establecer un filtrado de paquetes
personalizado, una política de proxy o ALG en los cuales se configuran los puertos, los protocolos y
otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusión en la
red, como ataques de congestión del servidor SYN, ataques de suplantación de paquetes y sondeos
de espacio entre puertos o direcciones.
Firebox System Manager (FSM)
El Firebox System Manager provee una interfaz para monitorear todos los componentes del
dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su
configuración.
HostWatch
HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entre
diferentes interfaces de Firebox. HostWatch también muestra información acerca de usuarios,
conexiones, puertos y servicios.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo
de registro. Puede mostrar los datos de registro página por página, o buscar y exhibir por palabras
claves o campos de registro especificados.
Report Manager
El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers
para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes
WatchGuard disponibles para los dispositivos WatchGuard.
Administrador de CA
El Administrador de la autoridad de certificación (CA) muestra una lista completa de certificados de

seguridad instalados en el equipo de administración con Fireware XTM. Esta aplicación puede
utilizarse para importar, configurar y generar certificados para uso con túneles VPN y otros fines de
autenticación.
WatchGuard Server Center

WatchGuard Server Center es la aplicación donde se configuran y monitorean todos los servidores
WatchGuard.
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simple
función de arrastrar y soltar. Las funciones básicas del Management Server son:
n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo
de Internet (IPSec).
n Administración de la configuración del túnel VPN.
n Administración de múltiples dispositivos Firebox y Firebox X Edge.
Log Server
El Log Server reúne los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de
registro están cifrados cuando se envían al Log Server. El formato del mensaje de registro es XML
(texto sin formato). La información reunida de dispositivos de firewall incluye los siguientes
mensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a
categorías específicas de sitios web. Durante la configuración del Firebox, el administrador establece
las categorías de sitios web para permitir o bloquear.

Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la página 561.
Quarantine Server
El Quarantine Server reúne y aísla mensajes de correo electrónico que según la sospecha de
spamBlocker son spam o pueden tener un virus.
Para más informaciones, vea Página Acerca de Quarantine Server en la página 635.
Report Server
El Report Server periódicamente agrupa los datos reunidos por los Log Servers en los dispositivos
WatchGuard y luego genera informes en forma periódica. Una vez que los datos se encuentran en el
Report Server, se puede utilizar el Report Manager para generar y ver los informes.
Fireware XTM Web UI e interfaz de la línea de comandos

La Fireware XTM Web UI y la Command Line Interface son soluciones de administración alternativas que
pueden realizar la mayoría de las mismas tareas que WatchGuard System Manager y el Policy Manager .
Algunas opciones y funciones de configuración avanzada, como las configuraciones de FireCluster o política
de proxy, no están disponibles en la Fireware XTM Web UI o la Command Line Interface.
Para más informaciones, vea Acerca del Fireware XTM Web UI en la página 30.
Fireware XTM con Actualización Pro

La actualización Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,
como balance de carga en el servidor y túneles SSL VPN adicionales. Las funciones disponibles con una
actualización Pro dependen del tipo y el modelo de Firebox:
Core/Peak e-Series
Core e- Edge e- Edge e-Series
Función y XTM XTM 1050
Series Series (Pro)
(Pro)
FireCluster X
75 máx. (Core)
VLANs 75 máx. 200 máx. (Peak/XTM 20 máx. 50 máx.
1050)
Dynamic Routing (OSPF y BGP) X
Enrutamiento basado en la política X X
Balance de carga en el servidor X
Túneles SSL VPN máximos X X
Conmutación por error de WAN

X X X
múltiples
Balance de carga de WAN

X X
múltiples
Para adquirir Fireware XTM con una actualización Pro, comuníquese con su revendedor local.


3 Servicio y soporte
Acerca de las Soporte de WatchGuard

WatchGuard® sabe qué importante resulta el soporte cuando debe asegurar su red con recursos limitados.
Nuestros clientes requieren más conocimiento y asistencia en un mundo donde la seguridad es de
importancia crítica. LiveSecurity® Service le proporciona el respaldo que necesita, con una suscripción que
respalda su dispositivo WatchGuard desde el momento del registro.
LiveSecurity® Service
Su dispositivo WatchGuard incluye una suscripción al innovador LiveSecurity® Service, que se activa en línea
cuando registra el producto. En el momento de la activación, la suscripción de LiveSecurity® Service le
otorga acceso a un programa de soporte y mantenimiento sin comparación en la industria.
LiveSecurity® Service viene con los siguientes beneficios:
Garantía de hardware con reemplazo de hardware avanzado
Una suscripción activa de LiveSecurity extiende la garantía de hardware de un año incluida con cada
dispositivo WatchGuard. Su suscripción además ofrece el reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,
WatchGuard le enviará una unidad de reemplazo antes de que tenga que enviar el hardware
original.
Actualizaciones de software
Su suscripción de LiveSecurity® Service le proporciona acceso a las actualizaciones del software

actual y a las mejoras funcionales para sus productos WatchGuard.
Soporte técnico
Cuando necesita asistencia, nuestros equipos expertos están listos para ayudarlo:
n Representantes disponibles 12 horas al día, 5 días a la semana en su zona horaria local*

n Tiempo máximo de respuesta inicial focalizada de cuatro horas

Servicio y soporte
n Acceso a foros para usuarios en línea moderados por ingenieros generales de soporte
Recursos y alertas de soporte
Su suscripción de LiveSecurity® Service le brinda acceso a una variedad de videos instructivos de

producción profesional, cursos de capacitación interactivos en Internet y herramientas en línea
diseñadas específicamente para responder las preguntas que pueda tener acerca de la seguridad de
red en general o los aspectos técnicos de la instalación, la configuración y el mantenimiento de sus
productos WatchGuard.
Nuestro Equipo de respuesta rápida, un grupo dedicado de expertos en seguridad de red,

monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones de
LiveSecurity para indicarle de manera específica lo que debe hacer para encargarse de cada nueva
amenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo de
avisos y alertas que le envía LiveSecurity® Service.
LiveSecurity® Service Gold

LiveSecurity® Service Gold está disponible para las compañías que requieren disponibilidad las 24 horas.
Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos de
respuesta más rápidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold es
necesario en cada unidad de su organización para contar con una cobertura completa.
LiveSecurity®
Características del servicio LiveSecurity® Service
Service Gold
De lunes a viernes, de 6.00 a.

Horarios de soporte técnico las 24 horas
m. a 6.00 p. m.*
Número de incidentes de soporte

5 por año Ilimitada
(en línea o por teléfono)
Tiempo de respuesta inicial focalizada 4 horas 1 hora
Foro de soporte interactivo Sí Sí
Actualizaciones de software Sí Sí
Herramientas de autoayuda y capacitación en línea Sí Sí
Transmisiones de LiveSecurity Sí Sí
Asistencia de instalación Opcional Opcional
Paquete de soporte de tres incidentes Opcional N/A
Actualización de respuesta de prioridad

Opcional N/A
de una hora, para un solo incidente
Actualización para un solo incidente fuera del

Opcional N/A
horario de trabajo habitual
Servicio y soporte
* En la región del pacífico asiático, los horarios de soporte estándar son de lunes a viernes, de 9.00 a. m. a 9.00 p. m.
(GMT +8).
Expiración del servicio

Le recomendamos mantener su suscripción activa para asegurar su organización. Cuando su suscripción de
LiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones de
software periódicas, lo que puede poner su red en peligro. El daño a la red resulta mucho más costoso que
una renovación de la suscripción de LiveSecurity® Service. Si realiza la renovación dentro de 30 días, no se
le cobrará una tarifa de reingreso.

Servicio y soporte

4 Introducción
Antes de empezar
Antes de empezar el proceso de instalación, asegúrese de concluir las tareas descritas en las siguientes
secciones.
Nota En esas instrucciones de instalación, suponemos que su dispositivo WatchGuard

tenga una interfaz de confianza, una externa y una opcional configurada. Para
configurar interfaces adicionales en su dispositivo, use las herramientas y
procedimientos de configuración descritos en los tópicos Configuración de red y
Configuración.
Verificar componentes básicos

Asegurarse de que tiene esos ítems:
n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instalados

n Un dispositivo Firebox o XTM de WatchGuard
n Un cable serial (azul)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable cruzado de Ethernet (rojo)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable recto de Ethernet (verde)
n Cable de energía o adaptador de energía CA
Obtener tecla de función del dispositivo WatchGuard

Para habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio web
de LiveSecurity de WatchGuard y obtener su tecla de función. El Firebox tiene sólo una licencia de usuario
(licencia por puesto) hasta que aplica su tecla de función.

Introducción
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su
tecla de función en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de función
en el asistente, aún puede finalizarlo. Hasta que se agregue la tecla de función, sólo una conexión es
permitida a Internet.
También se obtiene una nueva tecla de función para cualquier producto o servicio opcional cuando los
compra. Después de registrar su dispositivo WatchGuard o cualquier nueva función, puede sincronizar su
tecla de función del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de
LiveSecurity de WatchGuard. Puede usar Fireware XTM Web UI en cualquier momento para obtener su
tecla de función.
Para saber cómo registrar su dispositivo WatchGuard y obtener una tecla de función, vea Obtener una tecla
de función junto a LiveSecurity en la página 52.
Recoger direcciones de red

Recomendamos que registre su información de red antes y después de configurar su dispositivo
WatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo en
funcionamiento. Para más información acerca de cómo identificar sus direcciones IP de red, vea Identificar
sus configuraciones de red en la página 35.
WatchGuard usa la notación diagonal para mostrar la Subnet Mask. Para más informaciones, vea Acerca de
las Notación diagonal en la página 3. Para más información acerca de las direcciones IP, vea Acerca de las
Direcciones IP en la página 3.
Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard
Red de Área Amplia _____._____._____._____ / ____
Puerta de enlace predeterminada _____._____._____._____
Red de área local _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Servidor(es) Público(s) (si corresponde) _____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para sus direcciones IP de red después de poner su dispositivo WatchGuard en
funcionamiento.
Interfaz externa
Conecta a la red externa (generalmente Internet) que no sea de confianza.
Interfaz de confianza
Conecta a la red interna o LAN (red de área local) privada que desea proteger.
Introducción
Interfaz opcional
Generalmente conecta a un área de confianza combinada de su red, tales como servidores en DMZ
(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.
Tabla 1: Direcciones IP de red con el dispositivo WatchGuard
Puerta de enlace predeterminada _____._____._____._____
Interfaz externa _____._____._____._____/ ____
Interfaz de confianza _____._____._____._____ / ____
Interfaz opcional _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Seleccione un modo configuración de firewall

Debe elegir cómo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick Setup
Wizard. La forma como conecta el dispositivo controla la configuración de la interfaz. Cuando conecta el
dispositivo, selecciona el modo de configuración — enrutado o directo — que mejor de adecue a su red
actual.
Muchas redes funcionan mejor con la configuración de enrutamiento combinado, pero recomendamos el
modo directo si:
n Ya asignó un gran número de direcciones IP estáticas y no desea alterar su configuración de red.

n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP
públicas con direcciones IP privadas.
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el
modo configuración del firewall.
Modo de enrutamiento combinado Modo directo
Todas las interfaces del dispositivo WatchGuard

Todas las interfaces del dispositivo WatchGuard
están en la misma red y tienen la misma dirección
están el redes diferentes.
IP.
Las interfaces de confianza y opcional deben estar

Los equipos en las interfaces de confianza u opcional
en redes diferentes. Cada interfaz tiene una
pueden tener una dirección IP pública.
dirección IP en su red.
Use la NAT (traducción de dirección de red)

estática para asignar direcciones públicas a La NAT no es necesaria porque los equipos con
direcciones privadas detrás de las interfaces de acceso público tienen direcciones IP.
confianza u opcionales.
Para más información acerca del modo directo, vea Acerca de la configuración de red en modo directo en
la página 89.

Introducción
Para más información acerca del modo de enrutamiento combinado, vea Modo de enrutamiento
combinado en la página 82.
El dispositivo WatchGuard también soporta un tercer modo configuración llamado modo puente. Ese modo
es usado con menos frecuencia. Para más información acerca del modo puente, vea Modo Bridge en la
página 94.
Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear su
configuración inicial. Cuando ejecuta el Web Setup Wizard, la configuración
firewall es automáticamente definida en modo de enrutamiento combinado.
Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en
modo de enrutamiento combinado o modo directo.
Ahora puede iniciar el Quick Setup Wizard. Para más informaciones, vea Acerca del Quick Setup Wizard en
la página 24.
Acerca del Quick Setup Wizard

Se puede usar la Quick Setup Wizard para crear una configuración básica para su dispositivo WatchGuard. El
dispositivo usa ese archivo de configuración básica cuando se inicia por primera vez. Eso permite que
funcione como un firewall básico. Puede usar ese mismo procedimiento a cualquier momento para
restablecer el dispositivo en una configuración básica nueva. Eso es útil para la recuperación del sistema.
Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen sólo las políticas básicas
(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene
más aplicaciones de software y tráfico de red para que el dispositivo busque, debe:
n Configurar las políticas en el dispositivo WatchGuard para dejar pasar el tráfico necesario
n Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Para instrucciones acerca de cómo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web
Setup Wizard en la página 24.
Ejecutar el Web Setup Wizard

Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el Fireware
XTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versión anterior del
software, debe actualizar para el Fireware XTM antes de usar esas instrucciones.
Vea las Notas de versión para las instrucciones de actualización para su modelo de
Firebox.
Puede usar el Web Setup Wizard para hacer una configuración básica en un dispositivo WatchGuard XTM o
Firebox X e-Series. El Web Setup Wizard automáticamente configura el Firebox en el modo de
enrutamiento combinado.
Introducción
Para usar el Web Setup Wizard, debe hacer una conexión de red directa hacia el dispositivo WatchGuard y
usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, él usa DHCP
para enviar una nueva dirección IP a su equipo.
Antes de iniciar el Web Setup Wizard, asegúrese de:
n Registrar su dispositivo WatchGuard con el LiveSecurity Service

n Almacenarunacopiade latecladefuncióndeldispositivoWatchGuardenunarchivodetextoensuequipo
Iniciar el Web Setup Wizard

1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo de
administración a la interfaz de confianza del Firebox.
n Para un dispositivo Firebox X Core, Peak e-Series, o XTM, la interfaz de confianza es la número 1
n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energía a la entrada de energía del dispositivo WatchGuard y a una fuente de
energía.
3. Inicie el Firebox en modo predeterminado de fábrica. En los modelos Core, Peak y XTM, eso se
conoce como modo seguro.
Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior
o nueva en la página 48.
4. Asegúrese de que su equipo esté configurado para aceptar una dirección IP asignada por DHCP.
Si su equipo usa Windows XP:

n En el menú Windows Inicio, seleccione Todos los programas > Panel de control > Conexiones
de red > Conexiones de área local.
n Haga clic en Propiedades.
n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.
n Asegúrese de que Obtener una dirección IP automáticamente esté seleccionado.
Para instrucciones más detalladas, vea Identificar sus configuraciones de red en la página 35.
5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuración
proxy HTTP en su explorador.
Para más informaciones, vea Desactive el proxy de HTTP en el explorador en la página 39.
6. Abra el explorador web e ingrese la dirección IP predeterminada de fábrica de interfaz 1.
Para un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, la dirección IP es:
https://10.0.1.1:8080 .
Para un Firebox X Edge, la dirección es: https://192.168.111.1:8080 .
Si usa el Internet Explorer, asegúrese de ingresar el https:// al principio de la dirección IP. Eso
establece una conexión HTTP segura entre su equipo de administración y el dispositivo WatchGuard.
El Web Setup Wizard se inicia automáticamente.
7. Registre las credenciales de cuenta del administrador:
Nombre de usuario: admin
Frase de contraseña: lecturaescritura
8. Complete las siguientes pantallas del asistente.

Introducción
El Web Setup Wizard incluye ese grupo de cuadros de diálogo. Algunos cuadros de diálogo aparecen
sólo si selecciona ciertos métodos de configuración:
Ingresar
Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione
admin. Para Frase de contraseña, use la frase: lecturaescritura.
Bienvenido
La primera pantalla le informa sobre el asistente.
Seleccione un tipo de configuración.
Seleccione si prefiere crear una nueva configuración o restaurar una configuración a partir de
una imagen de copia de seguridad guardada.
Acuerdo de licencia
Debe aceptar el acuerdo de licencia para continuar con el asistente.
Opciones de tecla de función, Retener tecla de función, Aplicar tecla de función
Si su Firebox todavía no tiene una tecla de función, el asistente provee opciones para que
descargue o importe una tecla de función. El asistente sólo puede descargar una tecla de
función si tiene una conexión a Internet. Si descargó una copia local de la tecla de función a su
equipo, puede pegarla en el asistente de configuración.
Si el Firebox no tiene una conexión a Internet mientras ejecuta el asistente y no se registró el

dispositivo ni descargó la tecla de función a su equipo antes de haber iniciado el asistente,
puede elegir no aplicar una tecla de función.
Advertencia
Si no aplica una tecla de función en el Web Setup Wizard, debe registrar el
dispositivo y aplicar la tecla de función en el Fireware XTM Web UI. La
funcionalidad del dispositivo es limitada hasta que se aplique una tecla de función.
Configurar la interfaz externa de su Firebox
Seleccione el método que su ISP usa para asignar su dirección IP. Las opciones son DHCP, PPPoE
o estática.
Configurar la interfaz externa para DHCP
Ingrese su identificación de DHCP, tal como su ISP la provee.
Configurar la interfaz externa para PPPoE
Ingrese su información de PPPoE, tal como su ISP la provee.
Configurar la interfaz externa con una dirección IP estática
Ingrese su dirección IP estática, tal como su ISP la provee.
Configurar los servidores DNS y WINS
Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice
Configurar la interfaz de confianza del Firebox
Introducción
Ingrese la dirección IP de la interfaz de confianza. Como opción, puede activar el servidor DHCP
para la interfaz de confianza.
Inalámbrico (Firebox X Edge e-Series inalámbrico solamente)
Define la región de funcionamiento, canal y modo inalámbrico. La lista de regiones de

funcionamiento inalámbrico que puede seleccionar puede ser diferente según donde haya
adquirido su Firebox.
Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series
inalámbrico en la página 181.
Crear frases de contraseña para su dispositivo
Ingrese una frase de contraseña para el estado (sólo lectura) y cuentas de administración
admin (lectura/escritura) en el Firebox.
Habilitar administración remota
Active la administración remota si desea administrar ese dispositivo desde la interfaz externa.
Agregue la información de contacto para su dispositivo
Puede ingresar un nombre de dispositivo, ubicación e información de contacto y guardar los

datos de administración para ese dispositivo. Por defecto, el nombre del dispositivo se
configura con el número de modelo de su Firebox. Recomendamos que elija un nombre único
que pueda usar para identificar fácilmente ese dispositivo, especialmente si usa administración
remota.
Configurar la zona horaria
Seleccione la zona horaria en la que el Firebox está ubicado.
El Quick Setup Wizard está concluido
Después de concluir el asistente, el dispositivo WatchGuard se reinicia.
Si deja el Web Setup Wizard ocioso por 15 minutos o más, debe volver al Paso 3 e iniciar nuevamente.
Nota Si cambia la dirección IP de la interfaz de confianza, debe cambiar su configuración

de red para asegurarse de que su dirección IP coincide con la subred de la red de
confianza antes de conectase al Firebox. Si usa DHCP, reinicie su equipo. Si usa
direcciones estáticas, vea Use una dirección IP estática en la página 38.
Después que el asistente se concluye

Después que completa todas las pantallas en el asistente, se hace una configuración básica del dispositivo
WatchGuard que incluye cuatro políticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) y
las direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar la
configuración para su dispositivo WatchGuard.
n Para más información acerca de como concluir la instalación de su dispositivo WatchGuard después
que se concluye el Web Setup Wizard, vea Concluya su instalación en la página 32.

Introducción
n Para más información acerca de cómo conectarse al Fireware XTM Web UI, vea Conéctese al
Fireware XTM Web UI en la página 28.
Si tiene problemas con el asistente

Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivo
WatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:
n El archivo del software de la aplicación Fireware XTM descargado del sitio web LiveSecurity podría
estar corrompido. Si la imagen del software está corrompida, en un dispositivo Firebox X Core, Peak
o XTM , este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez más.
n Si usa el Internet Explorer 6, limpie el caché del archivo en el explorador web e intente
nuevamente.
Para limpiar el caché, en el Internet Explorer seleccione Herramientas > Opciones de Internet >
Borrar archivos.
Conéctese al Fireware XTM Web UI

Para conectarse a la Fireware XTM Web UI , se utiliza un explorador web para ir a la dirección IP de la
interfaz opcional o de confianza del dispositivo WatchGuard a través del número de puerto correcto. Las
conexiones a la Web UI están siempre cifradas con HTTPS; el mismo cifrado de alta seguridad utilizado por
sitios web de bancos y compras. Se debe utilizar https cuando se ingresa la URL en la barra de dirección del
explorador, en lugar de http.
De manera predeterminada, el puerto utilizado para la Web UI es 8080. La URL para conectarse a la Web UI
en su explorador es:
https://<firebox-ip-address>:8080
Aquí, <firebox-ip-address> es la dirección IP asignada a la interfaz opcional o de confianza. Cuando se realiza

esta conexión, el explorador carga el aviso de inicio de sesión. La URL predeterminada para la interfaz de
confianza es diferente para el Edge que para los otros modelos de Firebox.
n La URL predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM es

https://10.0.1.1:8080 .
n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
El usuario puede cambiar la dirección IP de la red de confianza a una dirección IP diferente. Para más
informaciones, vea Configuraciones de interfaz comunes en la página 95.
Por ejemplo, para usar la URL predeterminada para conectarse a un Firebox X Edge:
1. Abra su explorador web.

2. En la barra de dirección o ubicación, ingrese https://192.168.111.1:8080 y presione Enter.
En el explorador aparece una notificación del certificado de seguridad.
Introducción
3. Cuando observe la advertencia del certificado, haga clic en Continuar a este sitio web (IE 7) o
Agregar excepción (Firefox 3).
Esta advertencia aparece porque el certificado que utiliza el dispositivo WatchGuard está firmado
por la autoridad de certificación de WatchGuard, que no figura en la lista de autoridades de
confianza de su explorador.
Nota Esta advertencia aparece cada vez que el usuario se conecta al dispositivo
WatchGuard a menos que se acepte el certificado en forma permanente o se
genere e importe un certificado para uso del dispositivo. Para más informaciones,
vea Acerca de los certificados en la página 385.
4. En la lista desplegable Nombre de usuario, seleccione el nombre de usuario.
5. En el campo Frase de contraseña, ingrese la frase de contraseña.
n Si elige el nombre de usuario administrador, ingrese la frase de contraseña de configuración

(de lectura-escritura).
n Si elige el nombre de usuario estado, ingrese la frase de contraseña de estado (de sólo lectura) .
Nota De manera predeterminada, la configuración de Firebox sólo permite conexiones a

la Fireware XTM Web UI desde las redes opcionales o de confianza. Para cambiar la
configuración para permitir conexiones a la Web UI desde la red externa, consulte
Conectarse a la Fireware XTM Web UI desde una red externa en la página 29.
Conectarse a la Fireware XTM Web UI desde una

red externa
La configuración del dispositivo Fireware XTM tiene una política llamada Web UI de WatchGuard. Esta
política controla qué interfaces de Firebox pueden conectarse a la Fireware XTM Web UI De manera
predeterminada, esta política sólo permite conexiones desde redes Cualquiera de confianza y Cualquiera
opcional. Si desea permitir el acceso a la Web UI desde la red externa, debe editar la política Web UI de
WatchGuard y agregar Cualquiera externa a la lista Desde.
Fireware XTM Web UI :
1. Seleccione Firewall > Políticas de Firewall.

2. Haga doble clic en la política Web UI de WatchGuard para editarla.
3. Haga clic en la pestaña Política.
4. En la sección Desde, haga clic en Agregar.

Introducción
5. Seleccione Cualquiera externa.

6. Haga clic en OK.
7. Haga clic en Guardar.
Acerca del Fireware XTM Web UI

La Web UI del Fireware XTM permite monitorear y administrar cualquier dispositivo que utiliza Fireware
XTM versión 11 o posterior sin necesidad de instalar ningún otro software en su equipo. El único software
que necesita es un explorador que admita Adobe Flash.
Debido a que no es necesario instalar ningún software, se puede utilizar la Web UI desde cualquier equipo
que tenga conectividad TCP/IP y un explorador. Esto significa que el usuario puede administrar Firebox
desde un equipo que tenga Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
explorador compatible con Adobe Flash 9 y conectividad de red.
La Web UI es una herramienta de administración en tiempo real. Esto significa que cuando utiliza la Web UI
para realizar cambios en un dispositivo, los cambios realizados generalmente tienen efecto inmediato. La
Web UI no permite generar una lista de cambios a un archivo de configuración guardado localmente, para
enviar muchos cambios al dispositivo de una sola vez en un momento posterior. Esto difiere del Policy
Manager de Fireware XTM, lo cual es una herramienta de configuración fuera de línea. Los cambios
realizados a un archivo de configuración guardado localmente utilizando el Policy Manager sólo tienen
efecto después de que se guarda la configuración en el dispositivo.
Nota Se debe completar el Quick Setup Wizard para poder ver la Fireware XTM Web UI .
Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.
También se debe utilizar una cuenta con privilegios de acceso administrativos
totales para ver y cambiar las páginas de configuración.
En el lado izquierdo de la Fireware XTM Web UI se encuentra la navigation bar del menú principal que se
utiliza para seleccionar un grupo de páginas de configuración.
El elemento superior en la navigation bar es el Panel de control, que permite regresar a la página Panel de
control de Fireware XTM , la cual se ve en cuanto el usuario se conecta a la Fireware XTM Web UI.
Introducción
Todos los demás elementos de la navigation bar contienen elementos de menú secundarios que se usan
para configurar las propiedades de esa función.
n Para visualizar estos elementos de menú secundarios, haga clic en el nombre del elemento de
menú. Por ejemplo, si hace clic en Autenticación, aparecen estos elementos de menú secundarios:
Servidores, Configuración, Usuarios y grupos, Certificado de servidor web y Single Sign-On.
n Para ocultar los elementos de menú secundarios, haga clic nuevamente en el elemento de menú de
nivel superior.
Para mostrar los elementos de menú que se amplían o en los que se hace clic, la documentación utiliza el
símbolo de flecha derecha (>). Los nombres de menús aparecen en negrita. Por ejemplo, el comando para
abrir la página Configuración de autenticación aparece en el texto como Configuración de >Autenticación.
Seleccione el idioma de Fireware XTM Web UI

Fireware XTM Web UI admite cinco idiomas. El nombre del idioma seleccionado actualmente se muestra
en la parte superior de cada página.
Para cambiar a un idioma diferente:
1. Haga clic en el nombre del idioma.

Aparecerá una lista desplegable de idiomas.
2. Seleccione el idioma de la lista.

Fireware XTM Web UI utiliza el idioma seleccionado.
Limitaciones de la Fireware XTM Web UI

Se puede utilizar la Fireware XTM Web UI, WatchGuard System Manager y la Command Line Interface (CLI)
de Fireware XTM para configurar y monitorear el dispositivo Fireware XTM. Cuando el usuario desea
modificar el archivo de configuración de un dispositivo, puede aplicar cualquiera de estos programas. Sin
embargo, hay varios cambios de configuración del dispositivo que no pueden realizarse con la Fireware
XTM Web UI.
Algunas de las tareas que puede completar en el Policy Manager, pero no con la Web UI incluyen:
n Ver o configurar opciones de proxy avanzadas.

n La vista avanzada de tipos de contenido proxy no está disponible.
n Algunas otras opciones de configuración proxy no están disponibles (varían según el proxy).
n Editar reglas de NAT estática (sólo se pueden agregar y eliminar)

Introducción
n Exportar un certificado o ver detalles acerca de un certificado (sólo se pueden importar

certificados).
n Activar la generación de registro de diagnóstico o cambiar los niveles de registro de diagnóstico.
n Cambiar la generación de registro de opciones de manejo predeterminado de paquetes.
n Activar o desactivar la notificación de eventos de VPN para sucursales.
n Agregar o quitar entradas ARP estáticas en la tabla ARP del dispositivo.
n Obtener el archivo de configuración de Mobile VPN with SSL en forma manual.
n Obtener la configuración de cliente usuario final de Mobile VPN with IPSec cifrada (.wgx) (sólo se
puede obtener el archivo .ini equivalente, pero sin cifrar)
n Editar el nombre de una política.
n Agregar una dirección personalizada a una política.
n Utilizar un nombre de host (Búsqueda de DNS) para agregar una dirección IP a una política
n Utilizar administraciónbasadaenroles(tambiénconocidacomocontroldeaccesobasadoenrolesoRBAC).
n Ver o cambiar la configuración de un dispositivo que es miembro de un FireCluster.
El grupo de aplicaciones incorporadas en WatchGuard System Manager incluye muchas otras herramientas
para monitoreo e informes. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco están disponibles en la Web UI.
Para utilizar algunas funciones de Fireware XTM relacionadas con servidores WatchGuard, es necesario
instalar WatchGuard Server Center. No es necesario utilizar WatchGuard System Manager para instalar
WatchGuard Server Center. Los siguientes servidores WatchGuard pueden configurarse utilizando
WatchGuard Server Center:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para aprender cómo configurar funciones no admitidas en la Web UI o cómo utilizar WatchGuard Server
Center, consulte la Ayuda de Fireware XTM WatchGuard System Manager v11 en
http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Para conocer más acerca de la CLI, consulte la Referencia de Command Line Interface de WatchGuard en
http://www.watchguard.com/help/documentation.
Concluya su instalación
Despuésde concluir el WebSetup Wizard, debe concluir lainstalación de su dispositivoWatchGuard ensu red.
1. Ponga el dispositivo WatchGuard en su ubicación física permanente.

2. Asegúrese de que la puerta de enlace del equipo de administración y el resto de la red de confianza
sea la dirección IP de la interfaz de confianza de su dispositivo WatchGuard.
3. Para conectarse a su dispositivo WatchGuard con la interfaz del usuario web de Fireware XTM, abra
un explorador web e ingrese:
https//[dirección IP de la interfaz de confianza del dispositivo
WatchGuard]:8080 .
n El URL para un dispositivo Firebox X Core, Peak o XTM es https://10.0.1.1:8080 .

n El URL predeterminado para un Firebox X Edge es https://192.168.111.1:8080 .
Para obtener más información, consulte Conéctese al Fireware XTM Web UI en la página 28.
Introducción
4. Si usa una configuración enrutada, asegúrese de alterar la puerta de enlace puerta de enlace
predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la
dirección IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.
5. Personalice su configuración según sea necesario para fines de seguridad de su empresa.
Para más información, vea la siguiente sección Personalizar su política de seguridad.
Personalizar su política de seguridad

Su política de seguridad controla quién puede entrar y salir de su red y a qué parte de su red se puede
entrar. El archivo de configuración de su dispositivo WatchGuard administra las políticas de seguridad.
Cuando haya concluido el Quick Setup Wizard, el archivo de configuración creado sólo era una
configuración básica. Se puede modificar esa configuración para que esté de acuerdo con su política de
seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar políticas de proxy y
filtrado de paquetes para definir qué puede entrar y salir de su red. Cada política puede tener efectos
diferentes sobre su red. Las políticas que aumentan su seguridad de red pueden disminuir el acceso a ella.
A su vez, las políticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.
Para más informaciones acerca de políticas, vea Acerca de políticas en la página 251.
Para una nueva instalación, recomendamos que use solo políticas de filtrado de paquetes hasta que todos
sus sistemas estén funcionando correctamente. Según sea necesario, puede agregar políticas de proxy.
Acerca de las LiveSecurity Service

Su dispositivo WatchGuard incluye una suscripción al LiveSecurity Service. Su suscripción:
n Asegura de que tenga la protección de red más reciente con las actualizaciones de software
también más recientes
n Provee soluciones a sus problemas con recursos completos de soporte técnico
n Previene interrupciones de servicio con mensajes y ayuda de configuración para los problemas de
seguridad más recientes
n Ayuda a aprender más acerca de seguridad de red a través de recursos de capacitación
n Extiende su seguridad de red con software y otras funciones
n Extiende la garantía de su hardware con sustitución avanzada
Para más información acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la
página 17.
Temas adicionales de instalación

Conéctese a un Firebox con Firefox v3
Los exploradores web usan certificados para asegurar que el dispositivo del otro lado de una conexión
HTTPS sea el dispositivo que se espera. Los usuarios ven un aviso cuando el certificado es autofirmado o

Introducción
cuando hay discrepancia entre la dirección IP o nombre del host solicitado y la dirección IP o nombre de
host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para
configurar su red rápidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador
web, aparece un mensaje de aviso Error en la conexión segura.
Para evitar ese mensaje de error, recomendamos que agregue un certificado válido firmado por una CA
(autoridad de certificación) para su configuración. Ese certificado de CA también puede ser usado para
mejorar la seguridad de la autenticación por VPN. Para obtener más informaciones sobre el uso de
certificados con los dispositivos Firebox, vea Acerca de los certificados en la página 385.
Si continúa a usar el certificado autofirmado predeterminado, puede agregar una excepción para Firebox
en cada equipo cliente. Las versiones actuales de la mayoría de los exploradores web ofrecen un enlace en
el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexión. Si su empresa usa
Mozilla Firefox v3, los usuarios pueden agregar una excepción de certificado permanente antes de
conectarse al Firebox.
Las acciones que requieren una excepción incluyen:
n Acerca de la autenticación de usuario

n Instalar y conectar el cliente de Mobile VPN con SSL
n Ejecutar el Web Setup Wizard
n Conéctese al Fireware XTM Web UI
Las URLs que suelen requerir una excepción incluyen:

https://dirección IP o nombre de host de una interfaz Firebox:8080
https://dirección IP o nombre de host de una interfaz Firebox:4100
https://dirección IP o nome de host de Firebox:4100/sslvpn.html
Agregar una excepción de certificado al Mozilla Firefox v3

Si agrega una excepción en el Firefox v3 para el Firebox Certificate, el mensaje de aviso no aparece en las
conexiones siguientes. Debe agregar una excepción separada para cada dirección IP, nombre de host y
puerto usado para conectarse al Firebox. Por ejemplo, una excepción que usa un nombre de host que no
funciona adecuadamente si se conecta con una dirección IP. Del mismo modo, una excepción que
especifica un puerto 4100 no se aplica a una conexión que no tiene un puerto especificado.
Nota Una excepción de certificado no deja su equipo menos seguro. Todo el tráfico de
red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo
seguro con SSL.
Hay dos métodos para agregar una excepción. Debe poder enviar tráfico al Firebox para agregar una
excepción.
n Haga clic en el enlace en el mensaje de aviso Error en la conexión segura.

n Use el Administrador de Certificados del Firefox v3 para agregar excepciones.
En el mensaje de aviso Error en la conexión segura:
1. Haga clic en O puede agregar una excepción.

2. Haga clic en Agregar excepción.
Aparece el cuadro de diálogo "Agregar Excepción de Seguridad".
Introducción
3. Haga clic en Obtener Certificado.

4. Seleccione la casilla de verificación Almacenar esa excepción permanentemente.
5. Haga clic en Confirmar Excepción de Seguridad.
Para agregar múltiples excepciones:
1. En Firefox, seleccione Herramientas > Opciones.

Aparece el cuadro de diálogo "Opciones".
2. Seleccione Avanzado.
3. Haga clic en la pestaña Cifrado y después haga clic en Visualizar certificados.
Abre el cuadro de diálogo Administrador de Certificados.
4. Haga clic en la pestaña Servidores, y después en Agregar excepción.
5. En el cuadro de texto Ubicación, ingrese la URL para conectarse al Firebox. Las URLs más comunes
están listadas arriba.
6. Cuando aparece la información del certificado en el área Estado del Certificado, haga clic en
Confirmar Excepción de Seguridad.
7. Haga clic en OK. Para agregar más excepciones, repita los Pasos 4-6.
Identificar sus configuraciones de red

Para configurar su dispositivo WatchGuard, debe saber cierta información acerca de su red. Puede usar esa
sección para aprender a identificar sus configuraciones de red.
Para una descripción de lo básico de red, vea Acerca de redes y seguridad de red en la página 1.
Requisitos de direcciones de red

Antes de empezar la instalación, debe saber cómo su equipo obtiene una dirección IP. Su Proveedor de
servicios de Internet (ISP) o administrador de red corporativa puede proveerle esa información. Use el
mismo método para conectar el dispositivo WatchGuard a Internet que usa para su equipo. Por ejemplo, si
conecta su equipo directamente a Internet con una conexión de banda ancha, puede poner el dispositivo
WatchGuard entre su equipo e Internet y usar la configuración de red de su equipo para configurar la
interfaz externa del dispositivo WatchGuard.
Puede usar una dirección IP estática, DHCP o PPPoE para configurar la interfaz externa del dispositivo
WatchGuard. Para obtener más información acerca de las direcciones de red, vea Configurar una interfaz
externa en la página 82.
Su equipo debe tener un explorador web. El explorador web es usado para configurar y administrar el
dispositivo WatchGuard. Su equipo debe tener una dirección IP en la misma red que el dispositivo
WatchGuard.
En la configuración predeterminada de fábrica, el dispositivo WatchGuard asigna una dirección IP a su

equipo con DHCP (siglas para Protocolo de configuración de host dinámico). Puede configurar su equipo

Introducción
para que use DHCP y después puede conectarse al dispositivo para administrarlo. También puede otorgar
una dirección IP estática a su equipo que esté en la misma red que la dirección IP de confianza del
dispositivo WatchGuard. Para más informaciones, vea Configure su equipo para conectarse a su dispositivo
WatchGuard en la página 37.
Buscar las propiedades TCP/IP

Para conocer las propiedades de la red, el usuario debe observar las propiedades TCP/IP de su equipo o de
cualquier otro equipo de la red. Debe contar con la siguiente información para instalar el dispositivo
WatchGuard:
n Dirección IP
n Máscara de subred
n Puerta de enlace predeterminada
n Dirección IP estática o dinámica del equipo
n Direcciones IP principales y secundarias de los servidores DNS
Nota Si el ISP asigna al equipo del usuario una dirección IP que empieza con 10, 192.168
ó 172.16 a 172.31, entonces el ISP utiliza NAT (Traducción de dirección de red) y su
dirección IP es privada. Recomendamos obtener una dirección IP pública para la
dirección IP externa de Firebox. Si el usuario tiene una dirección IP privada, puede
tener problemas con algunas funciones como la conexión a red privada virtual.
Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones
de las secciones siguientes.
Buscar las propiedades TCP/IP en Microsoft Windows Vista
1. Seleccione Inicio> Programas> Accesorios> Ventana de comandos.

Aparece el cuadro de diálogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.
Buscar las propiedades TCP/IP en Microsoft Windows 2000, Windows 2003 y

Windows XP
1. Seleccione Inicio> Todos los programas> Accesorios> Ventana de comandos.

Buscar las propiedades TCP/IP en Microsoft Windows NT
1. Seleccione Inicio> Programas> Ventana de comandos.

Introducción
Buscar las propiedades TCP/IP en Macintosh OS 9
1. Seleccione el Menú Apple> Paneles de control> TCP/IP.

Aparece el cuadro de diálogo TCP/IP.
Buscar las propiedades TCP/IP en Macintosh OS X 10.5
1. Seleccione el Menú Apple> Preferencias del sistema o seleccione el ícono desde el dock.
Aparece el cuadro de diálogo Preferencias del sistema.
2. Haga clic en el ícono Red.
Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que se observan para el adaptador de red.
Buscar las propiedades TCP/IP en otros sistemas operativos (Unix, Linux)
1. Lea la guía del sistema operativo para encontrar las configuraciones TCP/IP.
Buscar Configuraciones de PPPoE

Muchos ISPs usan el Protocolo Punto a Punto por Ethernet (PPPoE) porque es fácil usar con la
infraestructura de marcado. Si su ISP usa PPPoE para asignar direcciones IP, debe obtener esa información:
n Nombre de inicio de sesión

n Dominio (opcional)
n Contraseña
Configure su equipo para conectarse a su dispositivo

WatchGuard
Antes que pueda usar el Web Setup Wizard, debe configurar su equipo para conectar su dispositivo
WatchGuard. Puede configurar su tarjeta de interfaz de red para usar una dirección IP estática o usar DHCP
para obtener una dirección IP automáticamente.
Usar DHCP
Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cómo configurar su equipo para usar el DHCP.
Para configurar un equipo con Windows XP para usar DHCP:
1. Seleccione Inicio > Panel de control.

Aparece la ventana "Panel de control".
2. Haga doble clic en Conexiones de red.

Introducción
3. Haga doble clic en Conexión de área local.

Aparece la ventana de "Estado de conexión de área local".
4. Haga clic en Propiedades.
Aparece la ventana de "Propiedades de conexión de área local".
5. Haga doble clic en Protocolo de internet (TCP/IP).
Aparece el cuadro de diálogo "Protocolo de internet (TCP/IP)".
6. Seleccione Obtener dirección IP automáticamente y Obtener dirección de servidor DNS
automáticamente.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP).
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
9. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su equipo está listo para conectarse al dispositivo WatchGuard.
10. Cuando el dispositivo WatchGuard esté listo, abra un explorador web.
11. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar.
12. Si aparece una advertencia de certificado, acéptelo.
Se inicia el Quick Setup Wizard.
Nota La dirección IP para el Firebox X Edge es https://192.168.111.1/ .

La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivo
WatchGuard XTM es https://10.0.1.1/ .
13. Ejecutar el Web Setup Wizard.
Use una dirección IP estática

Si su equipo no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones acerca de cómo configurar su equipo para usar lea dirección IP estática. Debe seleccionar una
dirección IP en la misma subred como la red de confianza.
Para configurar un equipo con Windows XP para usar una dirección IP estática:
1. Seleccione Inicio > Panel de control.

2. Haga doble clic en Conexiones de red.
3. Haga doble clic en Conexión de área local.
Aparece la ventana de "Estado de conexión de área local".
Aparece la ventana de "Propiedades de conexión de área local".
5. Haga doble clic en Protocolo de internet (TCP/IP).
6. Seleccione Usar la siguiente dirección IP.
7. En el campo dirección IP, ingrese una dirección IP en la misma red que la interfaz de confianza de
Firebox.
Recomendamos esas direcciones:
n Firebox X Edge — 192.168.111.2 para

n Firebox X Core o Peak, o dispositivo WatchGuard XTM — 10.0.1.2
La red de interfaz de confianza predeterminada para un Firebox X Edge es 192.168.111.0.
La red de interfaz de confianza predeterminada para un Firebox X Core o Peak, o dispositivo WatchGuard
XTM es 10.0.1.0.
Introducción
8. En el campo Subnet Mask, ingrese 255.255.255.0 .

9. En el campo Puerta de enlace predeterminada, ingrese la dirección IP de la interfaz de confianza
del dispositivo WatchGuard.
La dirección de la interfaz de confianza predeterminada del Edge es 192.168.111.1.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Protocolo de Internet (TCP/IP).
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
12. Cerrar las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su equipo está listo para conectarse al dispositivo WatchGuard.
13. Cuando el dispositivo WatchGuard esté listo, abra un explorador web.
14. En la barra de direcciones, ingrese la dirección IP de su dispositivo WatchGuard y presione Entrar.

15. Si aparece una advertencia de certificado, acéptelo.
Se inicia el Quick Setup Wizard.
Nota La dirección IP para el Firebox X Edge es https://192.168.111.1/ .

La dirección IP predeterminada para un Firebox X Core o Peak, o dispositivo
WatchGuard XTM es https://10.0.1.1/ .
16. Ejecutar el Web Setup Wizard.
Desactive el proxy de HTTP en el explorador

Muchos exploradores web están configurados para usar un servidor proxy HTTP para aumentar la velocidad
de descarga de las páginas web. Para administrar o configurar el Firebox con la interfaz de administración
web, su explorador debe conectase directamente con el dispositivo. Si usa un servidor proxy de HTTP, debe
desactivar temporalmente la configuración de proxy HTTP en su explorador. Puede activar la configuración
del servidor proxy HTTP en su explorador nuevamente después que configure el Firebox.
Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si está usando un
explorador diferente, use el sistema de Ayuda del explorador para encontrar la información necesaria.
Muchos exploradores automáticamente desactivan la función de proxy del HTTP.
Desactivar el proxy HTTP en Internet Explorer 6.x o 7.x

1. Abra el Internet Explorer.
2. Seleccione Herramientas > Opciones de Internet.
Aparece el cuadro de diálogo de "Opciones de Internet".
3. Haga clic en la pestaña Conexiones.
4. Haga clic en Configuración de LAN.
Aparece el cuadro de diálogo "Configuración de red de área local (LAN)".
5. Limpie la casilla de verificación Usar un servidor proxy para su LAN.
6. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de red de área local (LAN).
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.
Desactivar el proxy HTTP en Firefox 2.x

1. Abra el Firefox.
2. Seleccione Herramientas > Opciones.

Introducción
3. Haga clic en el icono Avanzado.

4. Haga clic en la pestaña Red. Haga clic en Configuraciones.
5. Haga clic en Configuraciones de conexión.
Aparece el cuadro de diálogo "Configuraciones de conexión".
6. Asegúrese de que la opción Conexión directa a Internet esté seleccionada.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de conexión.
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones.
Desactivar el proxy HTTP en Safari 2.0

1. Abra el Safari.
2. Seleccione Preferencias.
Aparece el cuadro de diálogo de "Preferencias" del Safari.
4. Haga clic en el botón Cambiar configuración.
Aparece el cuadro de diálogo "Preferencias del Sistema".
5. Limpie la casilla de verificación Proxy web (HTTP).
6. Haga clic en Aplicar ahora.
5 Información básica sobre
configuración y administración
Acerca de las tareas básicas de configuración y

administración
Después que su dispositivo WatchGuard esté instalado en su red y configurado con un archivo de
configuración básica, puede comenzar a añadir configuraciones personalizadas. Los tópicos en esta sección
lo ayuda a concluir esas tareas básicas de administración y mantenimiento.
Hacer una copia de seguridad de la imagen de

Firebox
Una imagen de copia de seguridad de Firebox es una copia cifrada y guardada de una imagen de disco flash
del disco flash de Firebox. Eso incluye el software del dispositivo Firebox, archivo de configuración, licencias
y certificados. Puede guardar una imagen de copia de seguridad en su de administración o en un directorio
en su red. La imagen de copia de seguridad para un Firebox X Edge no incluye el software del dispositivo
Firebox.
Recomendamos que realice archivos de copia de seguridad de la imagen de Firebox periódicamente.

También recomendamos que cree una imagen de copia de seguridad del Firebox antes de hacer cambios
significativos en la configuración de su Firebox, o antes de actualizar su Firebox o el software del dispositivo.
1. Seleccione Imagen de copia de seguridad >de Sistema.

2. Ingrese y confirme una clave de cifrado. Esa es la clave utilizada para cifrar el archivo de copia de
seguridad. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia de
seguridad.
3. Haga clic en Copia de seguridad.
4. Seleccione una ubicación para guardar el archivo de imagen de copia de seguridad e ingrese un
nombre de archivo.
La imagen de copia de seguridad está guardada en la ubicación especificada.

Información básica sobre configuración y administración
Restaurar imagen de copia de seguridad de

Firebox
1. Seleccione Sistema > Restaurar Imagen.
2. Haga clic en Restaurar imagen.
3. Haga clic en Examinar.
4. Seleccione el archivo de imagen de copia de seguridad guardado. Haga clic en Abrir.
5. Haga clic en Restaurar.
6. Ingrese la clave de cifrado usada cuando creó la imagen de copia de seguridad.
Firebox restaura la imagen de copia de seguridad. Eso reinicia y usa la imagen de copia de seguridad.
Espere dos minutos antes de conectarse al Firebox nuevamente.
Si no logra restaurar la imagen de Firebox con éxito, puede restablecer el Firebox. Dependiendo del
modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de
fábrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuración.
Para más informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva
en la página 48.
Utilice una unidad USB para realizar copias de

respaldo y restaurar el sistema
Una imagen de respaldo de un dispositivo WatchGuard XTM es una copia cifrada y guardada de la imagen
del disco de la unidad flash desde el dispositivo XTM. El archivo de imagen de respaldo incluye el sistema
operativo del dispositivo XTM, el archivo de configuración, la tecla de función y los certificados.
En el caso de los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una
unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTM para llevar a cabo los
procedimientos de copia de respaldo y restauración. Cuando guarda una imagen de respaldo del sistema en
una unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido con mayor rapidez.
Nota No puede utilizar esta función en un dispositivo e-Series, porque los dispositivos e-
Series no tienen puerto USB.
Acerca de la unidad USB

La unidad USB debe ser formateada con el sistema de archivos FAT o FAT32. Si la unidad USB tiene más de
una partición, Fireware XTM sólo utiliza la primera partición. Cada imagen de respaldo del sistema puede
ser incluso de 30 MB de tamaño. Le recomendamos utilizar una unidad USB lo suficientemente grande para
almacenar varias imágenes de respaldo.
Guardar una imagen de respaldo en una unidad USB conectada

Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.
1. Seleccione Sistema > Unidad USB.

Aparecerá la página Copia de respaldo/Restaurar a unidad USB.
2. En la sección Nueva imagen de respaldo, ingrese un Nombre de archivo para la imagen de

respaldo.
3. Ingrese y confirme una Encryption key. Esa es la clave utilizada para cifrar el archivo de respaldo. Si
pierde u olvida la encryption key, no puede restaurar el archivo de respaldo.
4. Haga clic en Guardar en unidad USB.
La imagen guardada aparece en la lista de Imágenes de respaldo del dispositivo disponibles después de que se
terminó de guardar.
Restaurar una imagen de respaldo desde una unidad USB

conectada
Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.

Aparecerá la página Copia de respaldo/Restaurar a unidad USB.
2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo a

restaurar.
3. Haga clic en Restaurar la imagen seleccionada.

4. Ingrese la Encryption key usada cuando creó la imagen de respaldo.

5. Haga clic en Restaurar.
El dispositivo XTM restaura la imagen de respaldo. Eso reinicia y usa la imagen de copia de seguridad.
Restaurar automáticamente una imagen de respaldo desde un

dispositivo USB
Si se conecta una unidad USB (dispositivo de almacenamiento) a un dispositivo WatchGuard XTM en modo
de recuperación, el dispositivo puede restaurar automáticamente la imagen previamente respaldada en la
unidad USB. Para utilizar la función de restauración automática, primero debe seleccionar una imagen de
respaldo en la unidad USB como la que desea utilizar para el proceso de restauración. Debe utilizar
Fireware XTM Web UI, Firebox System Manager o la Command Line Interface de Fireware XTM para
seleccionar esa imagen de respaldo.
Puede utilizar la misma imagen de respaldo para más de un dispositivo, si todos los dispositivos pertenecen
a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo
guardada en un XTM 530 como la imagen de respaldo de cualquier otro dispositivo XTM 5 Series.
Seleccione la imagen de respaldo que desea restaurar automáticamente

Aparecerá la página Copia de respaldo/Restaurar a unidad USB. Los archivos de imagen de respaldo guardados
aparecen en una lista en la parte superior de la página.
2. Desde la lista Imágenes de respaldo disponibles, seleccione un archivo de imagen de respaldo.

3. Haga clic en Utilizar la imagen seleccionada para la restauración automática.
4. Ingrese la Encryption key usada para crear la imagen de respaldo. Haga clic en Aceptar
El dispositivo XTM guarda una copia de la imagen de respaldo seleccionada en la unidad USB.
Si había guardado una imagen de restauración automática anterior, el archivo auto-restore.fxi es

reemplazado por una copia de la imagen de respaldo seleccionada.
Advertencia
Si su dispositivo XTM ha utilizado una versión del sistema operativo Fireware XTM
anterior a la v11.3, debe actualizar la imagen de software del modo de
recuperación en el dispositivo a la v11.3 de la función de restauración automática
a operar. Vea las Notas de versión de Fireware XTM 11.3 para obtener
instrucciones de actualización.
Restaurar la imagen de respaldo de un dispositivo XTM 5 Series, 8

Series o XTM 1050
1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB del
dispositivo XTM.
2. Apague el dispositivo XTM.
3. Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.
4. Mantenga el botón presionado hasta que aparezca "Iniciando modo de recuperación" en la pantalla
LCD.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automática después de reiniciarse.
Si la unidad USB no contiene una imagen de restauración automática válida para esta familia de modelos de
dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperación. Si vuelve a
reiniciar el dispositivo, éste utilizará su configuración actual. Cuando el dispositivo está en modo de
recuperación, puede utilizar el WSM Quick Setup Wizard para crear una nueva configuración básica.
Para obtener más información acerca WSM Quick Setup Wizard, vea Ejecutar el Quick Setup Wizard del WSM.
Restaurar la imagen de respaldo de un dispositivo XTM 2 Series

1. Conecte la unidad USB que contiene la imagen de restauración automática a un puerto USB del
dispositivo XTM 2 Series.
2. Desconecte la fuente de energía.
3. Presione y sostenga el botón Restablecer en la parte trasera del dispositivo.
4. Conecte el suministro de energía mientras sigue presionando el botón Restablecer.
5. Después de 10 segundos, suelte el botón Restablecer.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automática después de reiniciarse.
Si la unidad USB no contiene una imagen de restauración automática válida para 2 Series, la restauración
automática fallará y el dispositivo no se reiniciará. Si el proceso de restauración automática no resulta
exitoso, debe desconectar y volver a conectar la fuente de alimentación para iniciar el dispositivo 2 Series
con las configuraciones predeterminadas de fábrica.
Para obtener información sobre las configuraciones predeterminadas de fábrica, vea Acerca de las
configuraciones predeterminadas de fábrica.

Estructura del directorio de la unidad USB

Cuando guarda una imagen de respaldo en una unidad USB, el archivo se guarda en un directorio en la
unidad USB con el mismo nombre del número de serie de su dispositivo XTM. Esto significa que puede
almacenar imágenes de respaldo para más de un dispositivo XTM en la misma unidad USB. Cuando restaura
una unidad de respaldo, el software recupera automáticamente la lista de imágenes de respaldo
almacenada en el directorio asociado con ese dispositivo.
En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza
con el número de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Las imágenes de respaldo de un dispositivo se guardan en el directorio \sn\flash-images . La imagen de

respaldo guardada en el directorio de imágenes flash contiene el sistema operativo de Fireware XTM, la
configuración del dispositivo, las teclas de función y los certificados. Los subdirectorios \configs ,
\feature-keys y \certs no se utilizan para ninguna operación de copia de respaldo y restauración desde
una unidad USB. Puede utilizarlos para almacenar teclas de función, archivos de configuración y certificados
adicionales para cada dispositivo.
También hay un directorio en el nivel de raíz de la estructura del directorio que se utiliza para almacenar la
imagen de respaldo de restauración automática designada.
\auto-restore\
Cuando designa una imagen de respaldo para utilizarla para la restauración automática, una copia de la
imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de
archivo auto-restore.fxi . Sólo puede tener una imagen de restauración automática guardada en cada
unidad USB. Puede utilizar la misma imagen de respaldo de restauración automática para más de un
dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,
puede utilizar una imagen de restauración automática guardada en un XTM 530 como la imagen de
restauración automática de cualquier otro dispositivo XTM 5 Series.
Debe utilizar el comando Sistema > Unidad USB para crear una imagen de restauración automática. Si copia
y renombra una imagen de respaldo manualmente y la almacena en este directorio, el proceso de
restauración automática no funciona correctamente.
Guardar una imagen de respaldo en una unidad USB conectada

a su de administración
Puede usar Fireware XTM Web UI para guardar una imagen de respaldo en una unidad o un dispositivo de
almacenamiento USB conectado a su de administración. Si guarda los archivos de configuración para
múltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a cualquiera de esos
dispositivos XTM para su recuperación.
Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardarán automáticamente en el
directorio adecuado de la unidad USB. Si utiliza el comando Sistema > Imagen de respaldo , o si utiliza
Windows u otro sistema operativo para copiar manualmente los archivos de configuración al dispositivo
USB, debe crear manualmente el número de serie correcto y los directorios de imágenes flash para cada
dispositivo (si todavía no existen).
Antes de empezar
Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por
la función de respaldo y restauración USB. Si no guarda la imagen de respaldo en la ubicación correcta, es
posible que el dispositivo no la encuentre cuando le conecte la unidad USB.
Guardar la imagen de respaldo

Para guardar una imagen de respaldo en una unidad USB conectada a su de administración, use los pasos
que se describen en Hacer una copia de seguridad de la imagen de Firebox. Cuando selecciona la ubicación
en donde desea guardar el archivo, seleccione la letra correspondiente a la unidad USB conectada a su
computadora. Si desea que la imagen de respaldo que guarda sea reconocida por el dispositivo XTM cuando
conecte la unidad, asegúrese de guardar la copia de respaldo en el directorio \flash-images bajo el
directorio nombrado con el número de serie de su dispositivo XTM.
Por ejemplo, si el número de serie de su dispositivo XTM es 70A10003C0A3D , guarde el archivo de la

imagen de respaldo en esta ubicación de la unidad USB:
\70A10003C0A3D\flash-images\
Designar una imagen de respaldo para la restauración automática

Para designar una imagen de respaldo para el uso por parte de la función de restauración automática, debe
conectar la unidad USB al dispositivo y designar la imagen de respaldo que desea utilizar para la
restauración automática como se describe en Utilice una unidad USB para realizar copias de respaldo y
restaurar el sistema. Si guarda una imagen de respaldo manualmente en el directorio de restauración
automática, el proceso de restauración automática no funciona correctamente.

Restablecer un dispositivo Firebox o XTM a una

configuración anterior o nueva
Si su dispositivo Firebox o XTM tiene un problema de configuración grave, puede restablecer el dispositivo a
su configuración predeterminada de fábrica. Por ejemplo, si no sabe la contraseña de configuración o si un
corte de suministro eléctrico causa daños al sistema operativo de Fireware XTM, puede usar el Quick Setup
Wizard para conformar su configuración nuevamente o restaurar una configuración guardada.
Para una descripción de las configuraciones predeterminadas de fábrica, vea Acerca de las configuraciones
predeterminadas de fábrica en la página 49.
Nota Si tiene un dispositivo WatchGuard XTM, también puede utilizar el modo seguro
para restaurar automáticamente una imagen de respaldo del sistema desde un
dispositivo de almacenamiento USB. Para más informaciones, vea Restaurar
automáticamente una imagen de respaldo desde un dispositivo USB.
Iniciar un dispositivo Firebox o XTM en modo seguro

Para restaurar las configuraciones predeterminadas de fábrica para un dispositivo Firebox X Core e-Series,
Peak e-Series, WatchGuard XTM 5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox o
XTM en modo seguro.
1. Apague el dispositivo Firebox o XTM.

2. Presione el botón con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo
Firebox o XTM.
3. Mantenga presionado el botón de la flecha hacia abajo hasta que aparezca el mensaje de inicio del
dispositivo en la pantalla LCD:
n En un dispositivo Firebox X Core e-Series o Peak e-Series, aparece WatchGuard

Technologies en la pantalla LCD.
n En un dispositivo WatchGuard XTM, aparece Iniciando modo seguro... en la pantalla.
Cuando el dispositivo está en modo seguro, la pantalla muestra el número del modelo seguido de la
palabra "seguro".
Cuando inicia un dispositivo en modo seguro:
n El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas de

fábrica.
n No se quita la tecla de función actual. Si ejecuta el Quick Setup Wizard para crear una nueva
configuración, el asistente usa la tecla de función previamente importada.
n Su configuración actual sólo se elimina cuando guarda una nueva configuración. Si reinicia el
dispositivo Firebox o XTM antes de guardar una nueva configuración, el dispositivo volverá a utilizar
su configuración actual.
Restablecer un dispositivo Firebox X Edge e-Series o

WatchGuard XTM 2 Series a las configuraciones
predeterminadas de fábrica
Cuando reinicia un dispositivo Firebox X Edge e-Series o XTM 2 Series, las configuraciones originales son
reemplazadas por las configuraciones predeterminadas de fábrica. Para restablecer el dispositivo a las
configuraciones predeterminadas de fábrica:

2. Presione y sostenga el botón Restaurar en la parte trasera del dispositivo.
3. Conecte el suministro de energía mientras sigue presionando el botón Restaurar.
4. Siga presionando el botón Restaurar hasta que el indicador amarillo Attn se mantenga encendido.
Eso muestra que el dispositivo restauró con éxito las configuraciones predeterminadas de fábrica.
En un Firebox X Edge e-Series, ese proceso puede llevar 45 segundos o más. En un dispositivo 2 Series, ese
proceso puede llevar 75 segundos o más.
5. Suelte el botón Restaurar.
Nota Debe iniciar el dispositivo nuevamente antes de conectarlo. Si no lo hace, cuando

intente conectar el dispositivo, aparecerá una página web con este mensaje: Su
dispositivo se está ejecutando a partir de una copia de respaldo del firmware.
También podrá ver ese mensaje si el botón Restaurar queda fijo en la posición de
presionado. Si sigue viendo ese mensaje, revise el botón Restaurar y reinicie el
dispositivo.

7. Conecte la fuente de energía nuevamente.
Se enciende el Indicador de Energía y su dispositivo es restablecido.
Ejecutar el Quick Setup Wizard

Después de restaurar las configuraciones predeterminadas de fábrica, puede usar el Quick Setup Wizard
para crear una configuración básica o restaurar una imagen respaldo guardada.
Para más informaciones, vea Acerca del Quick Setup Wizard en la página 24.
Acerca de las configuraciones predeterminadas

de fábrica
El término configuraciones predeterminadas de fábrica se refiere a la configuración que está en el
dispositivo WatchGuard cuando lo recibe, antes de realizar cualquier cambio. También puede restablecer
las configuraciones predeterminadas de fábrica en el Firebox, tal como se describe en Restablecer un
dispositivo Firebox o XTM a una configuración anterior o nueva en la página 48.
Las propiedades de configuración y red predeterminadas para el dispositivo WatchGuard son:

Red de confianza (Firebox X Edge e-Series)
La dirección IP predeterminada para la red de confianza es 192.168.111.1. La Subnet Mask para la

red de confianza es 255.255.255.0.
La dirección IP predeterminada para el Fireware XTM Web UI es https://192.168.111.1:8080.
Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de
DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.
Red de confianza (Firebox X Core y Peak e-Series y dispositivos WatchGuard XTM)
La dirección IP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de
confianza es 255.255.255.0.
El puerto y la dirección IP predeterminada para el Fireware XTM Web UI es https://10.0.1.1:8080.
Firebox está configurado para asignar direcciones IP a equipos en la red de confianza a través de
DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..
Red externa
Firebox está configurado para obtener una dirección IP con DHCP.
Red opcional
La red opcional está desactivada.
Configuraciones de firewall
Todas las políticas entrantes son negadas. La política saliente permite todo el tráfico saliente. Se
niegan las solicitudes de ping recibidas en la red externa.
Seguridad del sistema
Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado
(acceso sólo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define
las frases de contraseña de estado y configuración. Después de concluir el Quick Setup Wizard,
puede iniciar sesión en el Fireware XTM Web UI sea con la cuenta de administrador admin o estado.
Para tener acceso completo de administrador, inicie sesión con el nombre de usuario de admin e
ingrese la frase de contraseña de configuración. Para acceso de sólo lectura, inicie sesión con el
nombre de usuario de estado e ingrese la frase de contraseña de sólo lectura.
Por defecto, Firebox está configurado para administración local desde la red de confianza
solamente. Los cambios adicionales de configuración deben ser realizados para permitir la
administración desde la red externa.
Opciones de actualización
Para habilitar las opciones de actualización, como WebBlocker, spamBlocker y Gateway AV/IPS,
debe pegar o importar la tecla de función que habita esas funciones en la página de configuración o
usar el comando Obtener Tecla de Función para activar las opciones de actualización. Si inicia el
Firebox en modo seguro, no es necesario importar la tecla de función nuevamente.
Acerca de las teclas de función

La tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad de
su dispositivo.
Cuando compra una nueva función

Cuando compra una nueva función para su dispositivo WatchGuard, debe:
n Obtener una tecla de función junto a LiveSecurity

n Agregar una tecla de función a su Firebox
Ver las funciones disponibles con la actual tecla de función

Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Para ver las funciones
disponibles con esa tecla de función:
1. Conéctese al Fireware XTM Web UI.

2. Seleccione Sistema > Tecla de Función.
Aparece la página "Tecla de Función".

La sección Funciones incluye:
n Una lista de funciones disponibles

n Si la función está activada o no
n Valor asignado a la función, tal como número de interfaces VLAN permitidas
n Fecha de caducidad de la función
n Estado actual de caducidad, tal como cuántos días faltan para que la función caduque
n El número máximo de direcciones IP permitidas de acceso saliente (sólo para dispositivos Firebox X
Edge XTM)
Obtener una tecla de función junto a LiveSecurity

Antes de activar una nueva función, o remover un servicio de suscripción, debe tener un certificado de
license key de WatchGuard que no esté registrado aún en el sitio web de LiveSecurity. Cuando activa la
License Key, puede obtener una tecla de función que habilita la función activada en el dispositivo
WatchGuard. También puede retener una tecla de función existente posteriormente.
Activar la license key para una función

Para activar una license key y obtener una tecla de función para la función activada:
1. Abra un explorador web y vaya a http://www.watchguard.com/activate.

Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.
2. Ingrese su nombre de usuario y contraseña de LiveSecurity.
Aparece la página Activar Productos.
3. Ingrese un número de serie o license key para el producto, tal como aparece en su certificado
impreso. Asegúrese de incluir todos los guiones.
Use el número de serie para registrar un nuevo dispositivo WatchGuard y la license key para
registrar las funciones de complementos.
4. Haga clic en Continuar.

Aparece la página Elija el producto para actualizar.
5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar.
Si agregó un nombre del dispositivo cuando registró su dispositivo WatchGuard, ese nombre
aparece en la lista.
6. Haga clic en Activar.
Aparece la página "Retener tecla de función".
7. Copie la tecla de función completa en un archivo de texto y guárdelo en su PC.

8. Haga clic en Finalizar.
Obtener una tecla de función actual

Puede registrarse en el sitio web de LiveSecurity para obtener una tecla de función actual o puede usar
Fireware XTM Web UIpara retener una tecla de función actual y agregarla directamente a su dispositivo
WatchGuard.
Cuando va al sitio web de LiveSecurity para retener su tecla de función, puede elegir entre descargar una o
más teclas de función en un archivo comprimido. Si selecciona múltiples dispositivos, el archivo
comprimido contiene un archivo de tecla de función para cada dispositivo.
Para retener una tecla de función actual del sitio web de Live Security:
1. Abra un explorador web y vaya a http://www.watchguard.com/archive/manageproducts.asp.

Si todavía no ha iniciado sesión en LiveSecurity, aparece la página de Inicio de Sesión de LiveSecurity.
2. Ingrese su nombre de usuario y contraseña de LiveSecurity.
Aparece la página "Administrar Productos".
3. Seleccione Teclas de Función.
Aparece la página "Retener Tecla de Función", con una lista desplegable para seleccionar un producto.
4. En la lista desplegable, seleccione su dispositivo WatchGuard.
5. Haga clic en Obtener Tecla.
Aparece una lista de todos sus dispositivos registrados. Aparece una marca de verificación al lado del
dispositivo seleccionado.
6. Seleccione Mostrar teclas de función en la pantalla.
7. Haga clic en Obtener Tecla.
Aparece la página "Retener tecla de función".
8. Copie la tecla de función en un archivo de texto y guárdelo en su equipo.
Para usar el Fireware XTM Web UI para retener la tecla de función actual:

Aparece el Panel de Control del Fireware XTM Web UI .
2. Seleccione Sistema> Tecla de Función .
Aparece la página Resumen de Tecla de Función.

3. Haga clic en Obtener Tecla de Función.

Su tecla de función es descargada a partir de LiveSecurity y es automáticamente actualizada en su dispositivo
WatchGuard.
Agregar una tecla de función a su Firebox

Si adquiere una nueva opción o actualiza su dispositivo WatchGuard, puede agregar una nueva tecla de
función para activar las nuevas funciones. Antes de instalar la nueva tecla de función, debe remover
completamente la antigua.
1. Seleccione Sistema > Tecla de función.

Aparece la página Tecla de función de Firebox.
Las funciones que están disponibles con esa tecla de función aparecenen esa página. Esa página
también incluye:
n Si la función está activada o no
n Un valor asignado a la función, tal como número de interfaces VLAN permitidas
n La fecha de caducidad de la función
n El tiempo que falta para que la función caduque
2. Haga clic en Remover para remover la tecla de función actual.

Página de cuadro de diálogo Todas las informaciones sobre teclas de función están limpias de.
3. Haga clic en Actualizar.
Importar Tecla de Función de Firebox página aparece.

4. Copiar el texto del archivo de la tecla de función y pegar en el cuadro de texto.

5. Haga clic Guardar.
La página "Tecla de función" reaparece con la información de la nueva tecla de función.
Remover una tecla de función

1. Seleccione Sistema > Tecla de función.
Aparece la página Tecla de función de Firebox.
2. Haga clic en Eliminar.
Todas las informaciones sobre teclas de función están limpias en página.
Reiniciar su Firebox
Puede usar el Fireware XTM Web UI para reiniciar su Firebox desde un equipo en la red de confianza. Si
permite el acceso externo, también puede reiniciar el Firebox desde un equipo en Internet. Puede
determinar la hora del día en la cual su Firebox se reinicia automáticamente.
Reiniciar Firebox de modo local

Para reiniciar Firebox de modo local, puede usar el Fireware XTM Web UI o puede desconectar y conectar
nuevamente el dispositivo.
Reiniciar desde el Fireware XTM Web UI
Para reiniciar el Firebox desde el Fireware XTM Web UI, debe iniciar sesión con acceso de lectura-escritura.
1. Seleccione Panel de Control> Sistema.

2. En la sección Información del dispositivo, haga clic en Reiniciar.
Desconecte y vuelva a conectar
En el Firebox X Edge:
1. Desconecte el Firebox X Edge del suministro de energía.

2. Espere un mínimo de 10 segundos.
3. Conecte la fuente de energía nuevamente.
En el Firebox X Core o Peak, o en el dispositivo WatchGuard XTM :
1. Use el conmutador de energía para apagar el dispositivo.

2. Espere un mínimo de 10 segundos.
3. Encienda el dispositivo.
Reiniciar Firebox de modo remoto

Antes de conectarse a su Firebox para administrar o reiniciarlo desde un equipo remoto externo al Firebox,
primero debe configurar el Firebox para permitir la administración desde la red externa.
Para más informaciones, vea Administrar un Firebox desde una ubicación remota en la página 72.
Para iniciar el Firebox de forma remota a partir del Fireware XTM Web UI:
1. Seleccione Panel de Control> Sistema.

2. En la sección Información del dispositivo, haga clic en Reiniciar.
Activar NTP y agregar servidores NTP

El Protocolo de Horario de Red (NTP, en las siglas en inglés) sincroniza el horario del reloj en toda una red.
Su Firebox puede usar el NTP para obtener el horario correcto automáticamente desde los servidores NTP
en Internet. Como el Firebox usa el horario del reloj de su sistema para cada mensaje de registro que
genera, el horario debe estar ajustado correctamente. Se puede alterar el servidor NTP que Firebox utiliza.
También puede agregar más servidores NTP o borrar los existentes, o puede ajustar el horario
manualmente.
Para usar NTP, la configuración de su Firebox debe permitir DNS. El DNS es permitido en la configuración
predeterminada por la política Saliente. También debe configurar los servidores DNS para la interfaz
externa antes de configurar el NTP.

Para obtener más información acerca de esas direcciones, vea Agregar direcciones de servidor DNS y WINS.
1. Seleccionar Sistema > NTP.

Aparece el cuadro de diálogo Configuración de NTP.
2. Seleccione Activar NTP Server .

3. Para agregar un servidor NTP, seleccione IP de host oNombre de host (buscar) en la lista
desplegable Elegir tipo, después ingrese la dirección IP o nombre del host del servidor NTP que
desea usar en el cuadro de texto al lado.
Se puede configurar hasta tres servidores NTP
4. Para borrar un servidor, seleccione la entrada del servidor y haga clic en Remover.
Definir la zona horaria y las propiedades básicas

del dispositivo
Cuando ejecuta el Web Setup Wizard, se define la zona horaria y otras propiedades básicas del dispositivo.
Para alterar las propiedades básicas del dispositivo:

2. Seleccione Sistema > Sistema.
Aparece la Configuración del dispositivo.
3. Configurar esas opciones:
modelo de Firebox
Modelo y modelo de Firebox, tal como determinado por el Quick Setup Wizard.Si agrega una
nueva tecla de función al Firebox con una actualización de modelo, el modelo de Firebox en la
configuración del dispositivo es automáticamente actualizado.
Nombre
El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que
aparecerá en sus informes y archivos de registro. De lo contrario, los informes y archivos de
registro usan la dirección IP del la interfaz externa de Firebox. Muchos clientes usan un domain
name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el
sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para
configurar los certificados y túneles VPN.
Ubicación, Contacto
Ingrese cualquier información que podría ser útil para identificar y hacer el mantenimiento del
Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa
información allí.
Zona horaria
Seleccione la zona horaria para la ubicación física del Firebox. La configuración de zona horaria
controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el
LogViewer, Informes WatchGuard y WebBlocker.
Acerca del SNMP

El SNMP (siglas en inglés para Protocolo de Administración de Red Simple) es usado para monitorear
dispositivos en su red. El SNMP utiliza bases de información de administración (MIB) para definir cuáles
informaciones y eventos son monitoreados. Debe configurar una aplicación de software separada, a
menudo denominada visor de eventos o explorador MIB, para recoger y administrar datos de SNMP.

Hay dos tipos de MIBs: estándar y empresarial. Las MIBs estándares son definiciones de eventos de
hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar información
acerca de eventos específicos a un fabricante determinado. Su Firebox soporta ocho MIBs estándares: IP-
MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. También
soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.
Sondeos y capturas SNMP

Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. El Firebox reporta
datos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, el
número de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red en el Firebox.
Una captura SNMP es una notificación de evento que su Firebox envía a un sistema de administración de
SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor que sea exceda su
umbral predefinido. Su Firebox puede enviar una captura para cualquier política en el Policy Manager.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su
Firebox no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el administrador
de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía ningún tipo de
acuse de recibo al recibir la captura.
Acerca de las Bases de Información de Administración (MIBs)

Fireware XTM soporta dos tipos de Bases de Información de Administración (MIBs):
MIBs Estándares
Las MIBs estándares son definiciones de eventos de hardware y red usadas por diversos dispositivos.
Su dispositivo WatchGuard soporta ocho MIBs estándares:
n IP-MIB
n IF-MIB
n TCP-MIB
n UDP-MIB
n SNMPv2-MIB
n SNMPv2-SMI
n RFC1213-MIB
n RFC1155 SMI-MIB
Esas MIBs incluyen datos acerca de la información de red estándar, tal como direcciones IP y
configuración de interfaz de red.
MIBs Empresariales
Las MIBs empresariales son usados para dar información acerca de eventos específicos a un
fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:
n WATCHGUARD-PRODUCTS-MIB
n WATCHGUARD-SYSTEM-CONFIG-MIB
n UCD-SNMP-MIB
Esas MIBs incluyen datos más específicos acerca del hardware del dispositivo.
Al instalar el WatchGuard System Manager, las MIBs son instaladas en:
\My Documents\My WatchGuard\Shared WatchGuard\SNMP
Activar Sondeo de SNMP

Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. Su Firebox reporta
datos al servidor SNMP, tal como conteo de tráfico de cada interfaz, tiempo de actividad del dispositivo, el
número de paquetes TCP recibidos y enviados, y la última alteración de cada interfaz de red.
1. Seleccione Sistema >SNMP.

Aparece la página SNMP.
2. Para activar el SNMP, en la lista desplegable Versión, seleccione v1, v2c, o v3.
3. Si seleccionó la v1 o v2c para la versión del SNMP, ingrese la Cadena de comunidad que el servidor
SNMP usa cuando se contacta con el Firebox. La cadena de comunidad es como un ID de usuario y
contraseña que permite el acceso a las estadísticas de un dispositivo.
Si seleccionó la v3 para la versión del SNMP, ingrese el Nombre del usuario que el servidor SNMP
usa cuando se contacta con el Firebox.
4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación,
seleccione MD5 o SHA e ingrese la Contraseña de autenticación dos veces.

5. Si su servidor SNMP usa cifrado, en la lista desplegable Protocolo de Privacidad, seleccione DES e
ingrese la Contraseña de cifrado dos veces.
Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.
1. Seleccione Firewall >Políticas de Firewall.

2. Haga clic en Agregar.
3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar.
Aparece la página "Configuración de Política".
4. Abajo del cuadro De, haga clic en Agregar.
Aparece la ventana Agregar miembro.
5. En la lista desplegable Insertar miembro, seleccione IP del host.
6. Ingrese la dirección IP de su servidor SNMP en el cuadro de texto al lado. Haga clic en OK.
7. Remueva la entrada Cualquiera de Confianza de la lista De.
8. Abajo del cuadro Para, haga clic en Agregar.
9. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.
10. Remueva la entrada Cualquiera Externo de la lista Para.
Activar Capturas y estaciones de administración de SNMP

Una captura SNMP es una notificación de evento que el dispositivo WatchGuard envía a un sistema de
administración de SNMP. La captura identifica cuando ocurre una condición específica, tal como un valor
que sea exceda su umbral predefinido. Su dispositivo WatchGuard puede enviar una captura para cualquier
política.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor envía una respuesta. Si su
dispositivo WatchGuard no obtiene una respuesta, él envía la solicitud de informe nuevamente hasta que el
administrador de SNMP envíe una respuesta. Se envía una captura sólo una vez, y el receptor no envía
ningún tipo de acuse de recibo al recibir la captura.
Una solicitud de informe es más confiable que una captura porque su dispositivo WatchGuard sabe si la
solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son
guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de
informe más de una vez, los reintentos aumentan el tráfico. Recomendamos que considere si vale la pena
usar la memoria del enrutador para cada notificación de SNMP y aumentar el tráfico de red.
Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 sólo soporta
capturas, pero no solicitudes de informe.
Configurar Estaciones de Administración de SNMP

1. Seleccione Sistema > SNMP.
Aparece la página SNMP.
2. En la lista desplegable Capturas de SNMP, seleccione la versión de la captura o informe que desea
usar.
SNMPv1 sólo soporta capturas, pero no solicitudes de informe.
3. En el cuadro de texto Estaciones de Administración deSNMP , ingrese la dirección IP de su servidor
SNMP. Haga clic en Agregar.
4. Para remover un servidor de la lista, seleccione la entrada y haga clic en Remover.
Agregar una política de SNMP

Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una política de SNMP.

3. Expanda la categoría Filtrados de paquetes y seleccione SNMP. Haga clic en Agregar política.
4. En el cuadro de texto Nombre, ingrese un nombre para la política.
5. Seleccione la casilla de verificación Activar.
7. En la lista desplegable Tipo de miembro , seleccione el IP del host.

8. En el cuadro de texto al lado, inserte la dirección IP de su servidor SNMP y después haga clic en
Aceptar.
9. Remueva la entrada Cualquiera de Confianza de la lista De.
10. En la sección Hasta, haga clic en Agregar.
11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en OK.
12. Remueva la entrada Cualquiera Externo de la lista Para.
Enviar una captura SNMP para una política

Su Firebox puede enviar una captura SNMP cuando el tráfico es filtrado por una política. Debe tener al
menos una estación de administración de SNMP configurada para activar las capturas SNMP.

2. Haga doble clic en una política.
O seleccione una política y haga clic en Editar.
3. Haga clic en la pestaña Propiedades.
4. En la sección Registro, seleccione la casilla de verificación Enviar Captura SNMP.
Acerca de las frases de contraseña, claves de

cifrado y claves compartidas de WatchGuard
Como parte de la solución de seguridad de su red, utilice contraseñas, claves de cifrado y claves
compartidas. Este tema incluye información sobre la mayoría de las contraseñas, claves de cifrado y claves
compartidas que usted utiliza para los productos WatchGuard. No incluye información sobre contraseñas o
frases de contraseña de terceros. En los procedimientos relacionados también se incluye información
sobre las restricciones para las contraseñas, las claves de cifrado y las claves compartidas.
Crear una contraseña, una clave de cifrado o una clave

compartida segura
Para crear una contraseña, una clave de cifrado o una clave compartida segura, se recomienda:
n utilice una combinación de caracteres ASCII en minúscula y en mayúscula, números y caracteres

especiales (por ejemplo, Im4e@tiN9);
n no utilice una palabra de los diccionarios estándar, incluso si la utiliza en una secuencia diferente o
en un idioma diferente; y
n no utilice un nombre. Resulta fácil para un atacante encontrar un nombre de empresa, un nombre
de familia o el nombre de alguien famoso.
Como medida de seguridad adicional, se recomienda cambiar las contraseñas, las claves de cifrado y las
claves compartidas a intervalos regulares.
Frases de contraseña de Firebox

Un Firebox utiliza dos frases de contraseña:
Frase de contraseña de estado
La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox. Cuando inicia
sesión con esta frase de contraseña, puede revisar su configuración, pero no puede guardar los
cambios en el Firebox. La frase de contraseña de estado está asociada al estado del nombre de
usuario.
Frase de contraseña de configuración
La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso
pleno al Firebox. Debe utilizar esta frase de contraseña para guardar los cambios de configuración
en el Firebox. Ésta es también la frase de contraseña que debe utilizar para cambiar sus frases de
contraseña de Firebox. La frase de contraseña de configuración está asociada al nombre de usuario
del administrador.
Cada una de estas frase de contraseña de Firebox debe tener al menos ocho caracteres.
Frases de contraseña de usuario

Puede crear nombres de usuario y frases de contraseña para utilizar con la autenticación de Firebox y la
administración basada en roles.
Frases de contraseñas de usuario para autenticación de Firebox
Una vez que configura esta frase de contraseña de usuario, los caracteres se enmascaran y la frase
de contraseña no vuelve a aparecer en texto simple. Si se pierde la frase de contraseña, debe
configurar una nueva frase de contraseña. El rango permitido para esta frase de contraseña es de
entre ocho y 32 caracteres.
Frases de contraseña de usuario para administración basada en roles
Una vez que configura esta frase de contraseña de usuario, no vuelve a aparecer en el cuadro de
diálogo Propiedades de usuario y de grupo. Si se pierde la frase de contraseña, debe configurar una
nueva frase de contraseña. Esta frase de contraseña debe tener al menos ocho caracteres.
Frases de contraseña del servidor

Frase de contraseña del administrador
La frase de contraseña del administrador se utiliza para controlar el acceso a WatchGuard Server
Center. También puede utilizar esta frase de contraseña cuando se conecta a su Management Server
desde WatchGuard System Manager (WSM). Esta frase de contraseña debe tener al menos ocho
caracteres. La frase de contraseña del administrador está relacionada con la admin del nombre de
usuario.
Secreto compartido del servidor de autenticación
El secreto compartido es la clave que Firebox y el servidor de autenticación utilizan para asegurar la
información de autenticación que se transfiere entre ellos. El secreto compartido distingue
mayúsculas de minúsculas y debe ser el mismo en Firebox que en el servidor de autenticación. Los
servidores RADIUS, SecurID y VASCO utilizan una clave compartida.

Claves de cifrado y claves compartidas

Encryption Key del Log Server
La clave de cifrado se utiliza para crear una conexión segura entre Firebox y los Log Servers, y para
evitar ataques “man-in-the-middle” (o de intrusos). El rango permitido para la clave de cifrado es de
8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o
invertidas (/ o \).
Respaldar/restablecer clave de cifrado
Ésta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuración de
Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccionó cuando
creó el archivo de respaldo de configuración. Si pierde o olvida la clave de cifrado, no puede
restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres
y no puede tener más de 15 caracteres.
Clave compartida VPN
La clave compartida es una contraseña utilizada por dos dispositivos para cifrar y descifrar los datos
que pasan a través del túnel. Los dos dispositivos usan la misma frase de contraseña. Si los
dispositivos no tienen la misma frase de contraseña, no pueden encriptar o descifrar los datos
correctamente.
Alterar frases de contraseña de Firebox

Firebox usa dos frases de contraseña:
Frase de contraseña de estado
La frase de contraseña o contraseña de sólo lectura que permite acceso al Firebox.
Frase de contraseña de configuración
La frase de contraseña o contraseña de sólo lectura que permite a un administrador tener acceso
pleno al Firebox.
Para obtener más información acerca de las frases de contraseña, vea Acerca de las frases de contraseña,
claves de cifrado y claves compartidas de WatchGuard en la página 64.
Para alterar las frases de contraseña:
1. Seleccione Sistema > Frase de contraseña.

Aparece la página Frase de contraseña.
2. Ingrese y confirme las frases de contraseña de nuevo estado (sólo lectura) y confirmación
(lectura/escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña de
configuración.
Defina las configuraciones globales del Firebox

En Fireware XTM Web UIse pueden seleccionar configuraciones que controlen las acciones de muchas
funciones de los dispositivos Firebox y XTM . Se configuran los parámetros básicos para:
n Administración de errores ICMP

n Comprobación TCP SYN
n Ajuste del tamaño máximo de TCP
n Administración de tráfico y QoS
n Puerto de interfaz del usuario web
Para modificar las configuraciones globales:
1. Seleccionar Sistema > Configuraciones globales.

Aparece el cuadro de diálogo Configuraciones globales.

2. Configure las diferentes categorías de las configuraciones globales como se describe en las
siguientes secciones.
Defina las configuraciones globales de administración de

errores ICMP
El Protocolo de mensajes de control de Internet (ICMP) controla errores en las conexiones. Se utiliza para
dos tipos de operaciones:
n Para informar a los host clientes acerca de condiciones de error.

n Para sondear una red a fin de encontrar características generales acerca de ésta.
El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los
parámetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se
resuelven problemas, pero también pueden reducir la seguridad porque exponen información acerca de la
red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,
pero esto también puede generar demoras del tiempo de espera para conexiones incompletas, lo cual
puede causar problemas en las aplicaciones.
Las configuraciones para la administración global de errores de ICMP son:
Se requiere fragmentación (PMTU)
Seleccione esta casilla de verificación para permitir los mensajes "Se requiere fragmentación" de
ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.
Tiempo excedido
Seleccione esta casilla de verificación para permitir mensajes de "Tiempo excedido" de ICMP. Un
enrutador en general envía estos mensajes cuando ocurre un bucle en la ruta.
No se puede alcanzar la red
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar la red" de
ICMP. Un enrutador en general envía estos mensajes cuando un enlace de red está roto.
No se puede alcanzar el host
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el host" de
ICMP. La red en general envía estos mensajes cuando no puede utilizar un host o servicio.
No se puede alcanzar el puerto
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el puerto" de
ICMP. Un host o firewall en general envía estos mensajes cuando un servicio de red no está
disponible o no está permitido.
No se puede alcanzar el protocolo
Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar el protocolo"
de ICMP.
Para anular estas configuraciones globales de ICMP para una política específica: Fireware XTM Web UI:

2. Haga doble clic en la política para editarla.
Aparece la página Configuración de políticas.
3. Seleccione la pestaña Avanzado.
3. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas.
4. Seleccione la casilla de verificación sólo para las configuraciones que desea activar.
Habilitar la comprobación TCP SYN

La comprobación TCP SYN garantiza que el protocolo de enlace de tres vías TCP se complete antes de que el
dispositivo Firebox o XTM permita una conexión de datos.

Definir las configuraciones globales de ajuste de tamaño

máximo del segmento TCP
El segmento TCP puede configurarse en un tamaño específico para una conexión que debe tener más
sobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configurado
correctamente, los usuarios no pueden obtener acceso a algunos sitios web. Las configuraciones globales
de ajuste de tamaño máximo del segmento TCP son:
Ajuste automático
El dispositivo Firebox o XTM examina todas las negociaciones de tamaño máximo del segmento
(MSS) y cambia el valor de MSS al correspondiente.
Sin ajustes
El dispositivo Firebox o XTM no cambia el valor de MSS.
Limitar a
El usuario configura un límite de ajuste del tamaño.
Activar o desactivar la administración de tráfico y QoS

Para los fines de prueba de rendimiento o depuración de la red, el usuario puede desactivar las funciones
de administración de tráfico y QoS.
Para activar estas funciones:
Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
Para desactivar estas funciones:
Desmarque la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
Cambiar el puerto Web UI

De manera predeterminada, la Fireware XTM Web UI utiliza el puerto 8080.
Para cambiar este puerto:
1. En el cuadro de texto Puerto Web UI , ingrese o seleccione un número de puerto diferente.

2. Utilice el nuevo puerto para conectarse a la Fireware XTM Web UI y pruebe la conexión con el
nuevo puerto.
Reinicio automático
Puede programar el dispositivo Firebox o XTM para que se reinicie automáticamente en el día y la hora
especificados.
Para programar un reinicio automático para el dispositivo:
1. Seleccione la casilla de verificación Programar horario para reiniciar.

2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los días o
seleccione un día de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del día (en formato
de 24 horas) en que desea que comience el reinicio.
Consola externa
Esta opción sólo está disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta
casilla de verificación para usar el puerto serie para conexiones de consola, como la CLI (interfaz de línea
de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutación por error de módem
cuando esta opción está seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuración.
Acerca de los servidores WatchGuard System

Manager
Cuando instala el software de WatchGuard System Manager, puede elegir instalar uno o más servidores
WatchGuard System Manager. También puede ejecutar el programa de instalación y seleccionar instalar un
solo servidor o más servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programa
de WatchGuard Server Center se instala automáticamente. WatchGuard Server Center es una aplicación
unificada que usted puede utilizar para establecer, configurar, guardar un archivo de respaldo y restablecer
todos los servidores WatchGuard System Manager.
Cuando utiliza Fireware XTM Web UI para administrar su Firebox o dispositivos XTM, también puede elegir
utilizar los servidores WatchGuard System Manager y WatchGuard Server Center. Para obtener más
información sobre WatchGuard System Manager, los servidores WatchGuard System Manager y
WatchGuard Server Center, consulte Ayuda de Fireware XTM WatchGuard System Manager v11.x y la Guía
de usuario de WatchGuard System Manager v11.x de Fireware XTM.
WatchGuard System Manager incluye cinco servidores:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para obtener más información sobre WatchGuard System Manager y los servidores WatchGuard, consulte
Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de usuario v11.x.
Cada servidor tiene una función específica:
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los
dispositivos firewall y crear túneles de red privada virtual (VPN) con sólo arrastrar y soltar. Las
funciones básicas del Management Server son:
n Autoridad de certificación para distribuir certificados para túneles de seguridad del protocolo
de Internet (IPSec).

n Administración de la configuración del túnel VPN.

n Administración de múltiples dispositivos Fireware XTM y Firebox
Para obtener más información acerca del Management Server, consulte Acerca del WatchGuard
Management Server la Ayuda de Fireware XTM WatchGuard System Manager v11.x o la Guía de
usuario v11.x..
Log Server
El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una
base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al Log Servers. El
formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el
Log Servers recopila incluyen mensajes de registro de tráfico, mensajes de registro de eventos,
alarmas y mensajes de diagnóstico.
Para obtener más información sobre los Log Servers, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Guía de usuario v11.x..
Report Server
El Report Server agrupa periódicamente los datos recopilados por sus Log Server desde sus
dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego
genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,
puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.
Para obtener más información acerca de cómo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.
Para obtener más información sobre el Report Server, consulte la Ayuda de Fireware XTM
WatchGuard System Manager v11.x o la Guía de usuario v11.x.
Quarantine Server
El Quarantine Server recopila y aísla mensajes de correo electrónico que spamBlocker identifica
como posible spam.
Para obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine
Server en la página 635.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categorías
especificadas de sitios web. Cuando configura Firebox, establece las categorías de sitio web que
desea permitir o bloquear.
Para obtener más información sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la página 561.
Administrar un Firebox desde una ubicación remota

Cuando configura un Firebox con el Quick Setup Wizard, se crea automáticamente una política llamada
política WatchGuard. Esa política permite conectarse y administrar el Firebox desde cualquier equipo en
redes de confianza u opcional. Si desea administrar el Firebox desde una ubicación remota (cualquier
ubicación externa al Firebox), debe alterar la política WatchGuard para permitir conexiones administrativas
desde la dirección IP de su ubicación remota.
La política WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.
Cuando permite las conexiones en la política WatchGuard, permite las conexiones a cada uno de esos
cuatro puertos.
Antes de modificar la política WatchGuard, recomendamos que considere conectarse al Firebox con una
VPN. Eso aumenta enormemente la seguridad de la conexión. Caso no sea posible, recomendamos que
permita el acceso desde la red externa sólo a determinados usuarios autorizados y al número de equipos
más pequeño posible. Por ejemplo, su configuración es más segura si permite conexiones desde un equipo
simple en vez de desde el alias "Cualquier-externo".

2. Haga doble clic en la política de WatchGuard.
O haga clic en la política WatchGuard y seleccione Editar.
Aparece la página de Configuración de Política.


Aparece el cuadro de diálogo "Agregar miembro".
4. Agregar la dirección del equipo externo que se conecta al Firebox: en la lista desplegable Tipo de
miembro, seleccione IP del host, y haga clic en Aceptar. Después, ingrese la dirección IP.
5. Si desea otorgar acceso a un usuario autorizado en la lista desplegable Tipo de miembro seleccione
Alias.
Para obtener información sobre cómo crear un alias, vea Crear un alias en la página 258.
Configurar un Firebox como un dispositivo

administrado
Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede conectarse a él por
cualquier otra razón, es posible configurar el Firebox como cliente administrado antes de añadirlo al
Management Server.
Editar la política WatchGuard

Aparece la página "Políticas de Firewall".
2. Haga doble clic en la política WatchGuard para abrirla.
Aparece el cuadro de diálogo de la página Configuración de Políticas para la política WatchGuard.
3. En las la lista desplegable Conexiones, asegúrese que Permitido esté seleccionado.

5. En el Tipo de miembro lista desplegable, seleccione el IP del host.
6. En el cuadro de texto ,Tipo inserte la dirección IP de la interfaz externa del Firebox de puerta de
enlace.
Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet,
ingrese la dirección IP estática del Management Server.
7. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro.
8. Asegúrese de que la sección Para incluya una entrada para Firebox o para Cualquiera.
Ahora puede agregar el dispositivo a la Management Server configuration. Cuando agrega ese Firebox a la
Management Server configuration, éste automáticamente se conecta a la dirección IP estática y configura el
Firebox como un cliente Firebox administrado.

Configurar Dispositivo Administrado

(Opcional) Si su Firebox tiene una dirección IP dinámica o si el Management Server no puede encontrar la
dirección IP del Firebox por algún motivo, es posible usar ese procedimiento para preparar su Firebox para
que sea administrado por el Management Server.
1. Seleccione Sistema > Dispositivos Administrados.

Aparece la página "Dispositivo Administrado".
2. Para configurar un Firebox como dispositivo administrado, seleccione la casilla Centralized

Management.
3. En el campo Nombre del dispositivo administrado, ingrese el nombre que desea dar al Firebox
cuando lo agrega a la Management Server configuration.
Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre usado al agregar el
dispositivo a la Management Server configuration.
4. En la ventana Dirección(es) IP del Management Server , seleccione la dirección IP del Management
Server caso tenga una dirección IP pública.
O seleccione la dirección IP pública del Firebox de puerta de enlace para el Management Server.
5. Para agregar una dirección, haga clic en Agregar.
El Firebox que protege el Management Server automáticamente monitorea todos los puertos
usados por el Management Server y envía cualquier conexión de esos puertos hacia el Management
Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente añade una política
WG-Mgmt-Server a su configuración para cuidar de esas conexiones. Si no usó el Management
Server Setup Wizard en el Management Server o si saltó el paso Firebox de Puerta de Enlace en el
asistente, debe añadir manualmente la política WG-Mgmt-Server a la configuración de su Firebox de
puerta de enlace.
6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.
El secreto compartido ingresado aquí debe coincidir con aquél ingresado al agregar el Firebox a la
Management Server configuration.
7. Copie el texto de su archivo de certificado CA del Management Server, y péguelo en el campo
Certificado de Management Server.
Cuando guarda la configuración en el Firebox, éste queda activado como dispositivo administrado. El
Firebox administrado intenta conectarse a la dirección IP del Management Server en el puerto TCP 4110.
Las conexiones de administración no son permitidas a partir del Management Server para este dispositivo
Firebox.
Ahora puede agregar el dispositivo a la Management Server configuration. Para obtener más información
acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.
También puede usar el WSM para configurar el modo de administración de su dispositivo. Para obtener más
información acerca de la Ayuda del WatchGuard System Manager o Guía del usuario.
Actualizar para una nueva versión del Fireware XTM

Periódicamente, el WatchGuard crea nuevas versiones Fireware XTM disponible a los usuarios de Firebox
con suscripciones activas del LiveSecurity. Para actualizar desde una versión del Fireware XTM hacia una
nueva versión de Fireware XTM, use los procedimientos en las siguientes secciones.
Instalar la actualización en su equipo administrado

1. Descargue el software actualizado de Fireware XTM en la sección de Descargas de Software del sitio
web de WatchGuard en http://www.watchguard.com.

2. Inicie el archivo descargado desde el sitio web de LiveSecurity y use el procedimiento en pantalla
para instalar el archivo de actualización del Fireware XTM en el directorio de instalación de
WatchGuard en su equipo de administración.
Por defecto, el archivo es instalado en una carpeta en:
C:\Program Files\Common Files\WatchGuard\resources\FirewareXTM\11.0
Actualizar el Firebox
1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia de
seguridad de su Firebox.
Para más informaciones, vea Hacer una copia de seguridad de la imagen de Firebox en la página 41.
2. Seleccione Sistema > Actualizar OS.
3. Ingrese el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización
desde el directorio en el que está instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.
El procedimiento de actualización puede llevar hasta 15 minutos y automáticamente reinicia el dispositivo

WatchGuard.
Si su dispositivo WatchGuard estuvo funcionando por algún tiempo antes de la actualización, puede ser
necesario reiniciar el dispositivo antes de iniciar la actualización, para que se limpie la memoria temporal.
Descargue el archivo de configuración

A partir del Fireware XTM Web UI, puede descargar la configuración de su dispositivo WatchGuard en un
archivo comprimido. Eso puede ser útil si desea abrir el mismo archivo de configuración en el Policy
Manager de Fireware XTM pero no logra conectarse al dispositivo desde el Policy Manager. Eso también
puede ser útil si desea enviar un archivo de configuración al representante de WatchGuard Technical
Support.
1. Seleccione Sistema >Configuración.

Aparece la página de descarga del Archivo de configuración.
2. Haga clic en Descargar archivo de configuración.
Aparece el cuadro de diálogo "Seleccionar ubicación para descarga".
3. Seleccione una ubicación para guardar el archivo de configuración.
El archivo de configuración es guardado en un archivo en formato comprimido (.gz). Antes que pueda usar
ese archivo con el Policy Manager de Fireware XTM, debe extraer el archivo zipeado hacia una carpeta en
su equipo.
Para obtener más información acerca del Policy Manager, vea la Ayuda del WatchGuard System Manager.
6 Configuración de red
Acerca de las configuración de interfaz de red

Un componente principal de la configuración del dispositivo WatchGuard es la configuración de las
direcciones IP de la interfaz de red. Cuando se ejecuta el Quick Setup Wizard, las interfaces externa y de
confianza se configuran de manera tal que el tráfico pueda circular desde dispositivos protegidos a una red
externa. Puede seguir los procedimientos en esta sección para cambiar la configuración después de
ejecutar el Quick Setup Wizard o para agregar otros componentes de su red a la configuración. Por
ejemplo, puede configurar una interfaz opcional para servidores públicos como un servidor web.
El dispositivo WatchGuard separa físicamente a las redes en la red de área local (LAN) de las que se
encuentran en la red de área ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar
paquetes desde las redes que protege a redes fuera de la organización. Para hacerlo, el dispositivo debe
conocer qué redes están conectadas en cada interfaz.
Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso de que
necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su problema con
rapidez.
Modos de red
El dispositivo WatchGuard admite varios modos de red:
Modo de enrutamiento combinado
En el modo de enrutamiento combinado, se puede configurar Firebox para que envíe tráfico de red
entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,
cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de
red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traducción de
dirección de red (NAT) para enviar información entre interfaces de red.

Configuración de red
Para obtener más información, consulte Acerca de la Traducción de dirección de red (NAT) en la
página 137.
Los requisitos para un modo de enrutamiento combinado son:
n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La
configuración mínima incluye a las interfaces externas y de confianza. También puede
configurar una o más interfaces opcionales.
n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una
dirección IP de esa red.
Modo directo
En una configuración directa, el dispositivo WatchGuard está configurado con la misma dirección IP
en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no
será necesario cambiar la configuración de ninguna computadora local. Esta configuración se
conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente.
Algunas funciones de red, como puentes y VLAN ( redes virtuales de área local) no están disponibles
en este modo.
Para la configuración directa se debe:
n Asignar una dirección IP externa al dispositivo WatchGuard.

n Utilizar una red lógica para todas las interfaces.
n No configurar multi-WAN en modo de operación por turnos o conmutación por error.
Para más informaciones, vea Acerca de la configuración de red en modo directo en la página 89.
Modo puente
El modo puente es una función que permite ubicar al dispositivo WatchGuard entre una red
existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta
función, el dispositivo WatchGuard procesa y reenvía todo el tráfico de red entrante a la gateway IP
address especificada. Cuando el tráfico llega a la puerta de enlace, parece haber sido enviado desde
el dispositivo original. En esta configuración, el dispositivo WatchGuard no puede realizar varias
funciones que requieren una dirección IP pública y única. Por ejemplo, no se puede configurar un
dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red
privada virtual).
Para más informaciones, vea Modo Bridge en la página 94.
Tipos de interfaz
Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:
Interfaces externas
Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la
organización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta Firebox
a Internet. Se puede configurar un máximo de cuatro (4) interfaces externas físicas.
Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de
servicios de Internet (ISP) para otorgar una dirección IP a su Firebox. Si no conoce el método, solicite
esta información a su ISP o administrador de red.
Interfaces de confianza
Las interfaces de confianza se conectan a la LAN (red de área local) privada o a la red interna de la
organización. Una interfaz de confianza en general provee conexiones a los empleados y recursos
internos seguros.
Interfaces opcionales
Las interfaces opcionales son entornos combinados-de confianza o DMZ que están separados de la
red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional
son los servidores web públicos, servidores FTP y servidores de correo electrónico.
Para obtener más información sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la
página 95.
Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTM para configurar la
conmutación por error con un módem externo en el puerto serie.
Para más informaciones, vea Conmutación por error de módem serie en la página 128.
Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notación diagonal para
indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0
como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene una subnet mask
de 255.255.0.0.
Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal en la
página 3.
Acerca de las interfaces de red en el Edge e-Series

Cuando utiliza Fireware XTM en un Firebox X Edge e-Series, los números de interfaz de red que aparecen
en la interfaz de usuario web (web UI) del Fireware XTM no coinciden con las etiquetas de interfaz de red
que aparecen debajo de las interfaces físicas en el dispositivo. Utilice la siguiente tabla para comprender
cómo los números de interfaz de la web UI se asignan a las interfaces físicas en el dispositivo.
Número de
Etiqueta de interfaz en el hardware de Firebox X Edge e-
interfaz en
Series
Fireware XTM
0 WAN 1
1 LAN 0, LAN 1, LAN 2
2 WAN 2
3 Op

Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de
tres interfaces que se conecta a una única interfaz de Firebox. En Fireware XTM, estas interfaces se
configuran juntas como Interfaz 1.
Modo de enrutamiento combinado

En el modo de enrutamiento combinado, Firebox puede configurarse para enviar tráfico de red entre
muchos tipos diferentes de interfaces de red física y virtual. El modo de enrutamiento combinado es el
modo de red predeterminado. Aunque la mayoría de las funciones de seguridad y red están disponibles en
este modo, debe verificar cuidadosamente la configuración de cada dispositivo conectado a Firebox para
asegurarse de que la red funcione correctamente.
Una configuración de red básica en el modo de enrutamiento combinado utiliza por lo menos dos
interfaces. Por ejemplo, puede conectar una interfaz externa a un módem por cable u otra conexión a
Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la
organización. En esa configuración básica, puede agregar una red opcional que protege a los servidores
pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o
configurar opciones de seguridad adicionales como restricciones de dirección MAC. También puede definir
el modo en que el tráfico de red se envía entre las interfaces.
Para comenzar con la configuración de interfaces en el modo de enrutamiento combinado, consulte

Configuraciones de interfaz comunes en la página 95.
En el modo de enrutamiento combinado es fácil olvidar las direcciones IP y puntos de conexión en la red ,
especialmente si se usan VLAN (redes virtuales de área local), secondary networks y otras funciones
avanzadas. Recomendamos registrar la información básica acerca de la configuración de red y VPN en caso
de que necesite contactar a soporte técnico. Esta información puede ayudar al técnico a resolver su
problema con rapidez.
Configurar una interfaz externa

Una interfaz externa se usa para conectar el dispositivo Firebox o XTM a una red fuera de la organización.
Con frecuencia, una interfaz externa es el método mediante el cual se conecta el dispositivo a Internet. Se
puede configurar un máximo de cuatro (4) interfaces externas físicas.
Cuando se configura una interfaz externa, se debe elegir el método que usa el proveedor de servicios de
Internet (ISP) para otorgar una dirección IP a su dispositivo. Si no conoce el método, solicite esta
información a su ISP o administrador de red.
Para obtener información acerca de los métodos utilizados para configurar y distribuir direcciones IP,
consulte estáticas y dinámicas Direcciones IP en la página 4.
Usar una dirección IP estática

1. Seleccione Interfaces de >red.
Aparece la página de Interfaces de red.
2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En la lista desplegable Modo configuración, seleccione IP estática.
4. En el cuadro de texto Dirección IP , ingrese la dirección IP de la interfaz.
5. En el cuadro de texto Puerta de enlace predeterminada , ingrese la dirección IP de la puerta de

enlace predeterminada.
Usar autenticación PPPoE

Si su ISP usa PPPoE, debe configurar la autenticación PPPoE antes de que el dispositivo pueda enviar tráfico
a través de la interfaz externa.

2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En la lista desplegable Modo configuración , seleccione PPPoE.
4. Seleccione una opción:
n Obtener una dirección IP automáticamente

n Usar esta dirección IP (proporcionada por el proveedor de servicios de Internet)
5. Si seleccionó Usar esta dirección IP, en el cuadro de texto adyacente, ingrese la dirección IP.
6. Ingrese el nombre de usuario y la contraseña. Vuelva a ingresar la contraseña.
Los ISP usan el formato de dirección de correo electrónico para nombres de usuario, como por ejemplo
user@example.com.
7. Haga clic en Configuración avanzada de PPPoE para configurar opciones de PPPoE adicionales.
El ISP puede informarle si debe cambiar los valores de tiempo de espera o LCP.

8. Si el ISP requiere la etiqueta de host único para paquetes de descubrimiento de PPPoE, seleccione
la casilla de verificación Utilizar etiqueta de host único en paquetes de descubrimiento de PPPoE.
9. Seleccionar cuándo el dispositivo se conecta al servidor PPPoE:
n Siempre activo: el dispositivo Firebox o XTM mantiene una conexión PPPoE constante. No es
necesario para el tráfico de red atravesar la interfaz externa.
Si selecciona esta opción, ingrese o seleccione un valor en el cuadro de texto Intervalo de

reintento de inicialización de PPPoE para establecer la cantidad de segundos en que PPPoE
intenta inicializarse antes de que ingrese en tiempo de espera.
n Marcar a demanda: el dispositivo Firebox o XTM se conecta al servidor PPPoE sólo cuando
recibe una solicitud de enviar tráfico a una dirección IP en la interfaz externa. Si el ISP
restablece la conexión en forma regular, seleccione esta opción.
Si selecciona esta opción, en el cuadro de texto Tiempo de espera inactivo , establezca la

cantidad de tiempo en que un cliente puede permanecer conectado cuando no se envía
tráfico. Si no selecciona esta opción, debe reiniciar Firebox en forma manual cada vez que se
restablece la conexión.
10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el número de solicitudes de eco
de LCP permitidas antes de que la conexión PPPoE se considere inactiva y se cierre.
11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de
tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.
12. Para configurar el dispositivo Firebox o XTM para que reinicie automáticamente la conexión PPPoE
en forma diaria o semanal, seleccione la casilla de verificación Programar tiempo para reinicio
automático.
13. En la lista desplegable Programar tiempo para reinicio automático, seleccione Diario para reiniciar
la conexión al mismo tiempo cada día o seleccione un día de la semana para un reinicio semanal.
Seleccione la hora y minutos del día (en formato de 24 horas) para reiniciar automáticamente la
conexión PPPoE.
14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.
Las opciones son el nombre del ISP o una clase de servicio que esté configurada en el servidor
PPPoE. En general, esta opción no se usa. Selecciónela sólo si hay más de un concentrador de
acceso o si sabe que debe utilizar un nombre de servicio específico.
15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador
de acceso PPPoE, conocido también como servidor PPPoE. En general, esta opción no se usa.
Seleccione esta opción sólo si sabe que hay más de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticación , ingrese o seleccione el número de veces que
el dispositivo Firebox o XTM puede intentar realizar una conexión.
El valor predeterminado es de tres (3) intentos de conexión.
17. En el cuadro de texto Tiempo de espera de autenticación , ingrese un valor para la cantidad de
tiempo entre los reintentos.
El valor predeterminado es 20 segundos entre cada intento de conexión.
18. Haga clic en Volver a las configuraciones principales de PPPoE.
19. Guarde su configuración.
Usar DHCP
1. En la lista desplegable Modo configuración , seleccione DHCP.
2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una dirección MAC,
ingrese esta información en el cuadro de texto Cliente .
3. Para especificar un nombre de hostpara identificación,ingréselo enel cuadrode textoNombre dehost .
4. Para asignar una dirección IP en forma manual a la interfaz externa, ingrésela en el cuadro de texto
Utilizar esta dirección IP .
Para configurar esta interfaz para que obtenga una dirección IP automáticamente, desmarque el
cuadro de texto Utilizar esta dirección IP.
5. Para cambiar el tiempo de concesión, seleccione la casilla de verificación Tiempo de concesión y
seleccione el valor deseado en la lista desplegable adyacente.
Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesión predeterminado de
un día; cada dirección es válida por un día.

Configurar el DHCP en modo de enrutamiento mixto

DHCP (protocolo de configuración dinámica de host) es un método para asignar direcciones IP en forma
automática a clientes de red. El dispositivo WatchGuard se puede configurar como servidor DHCP para las
redes que protege. Si tiene un servidor DHCP, recomendamos que continúe usando ese servidor para DHCP.
Si el dispositivo WatchGuard está configurado en modo directo, consulte Configurar DHCP en modo directo
en la página 91.
Nota No se puede configurar DHCP en ninguna interfaz en la cual esté activado

FireCluster.
Configurar DHCP
1. Seleccione Interfaces de> red.
2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.
3. En la lista desplegable Modo configuración, seleccione Usar servidor DHCP.
4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, ingrese una dirección
IP de inicio y una dirección IP de finalización desde la misma subnet, luego haga clic en Agregar.
El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.
Se puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el
primero al último. Las direcciones en cada grupo se asignan por número, de menor a mayor.
5. Para cambiar el tiempo de concesión predeterminado, seleccione una opción diferente en la lista
desplegable Tiempo de concesión.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.
Cuando el tiempo de concesión se está por agotar, el cliente envía datos al servidor DHCP para obtener una
nueva concesión.
6. De manera predeterminada, cuando el dispositivo WatchGuard está configurado como servidor
DHCP, revela la información del servidor DNS y WINS configurada en la pestaña Configuración de
red > WINS/DNS. Para especificar información diferente para que el dispositivo asigne cuando
revela las direcciones IP, haga clic en ,pestaña DNS/WINS..
n Ingrese un Domain name para cambiar el dominio DNS predeterminado.

n Para crear una nueva entrada del servidor DNS o WINS, haga clic en el botón Agregar
adyacente al tipo de servidor que desea, ingrese una dirección IP y haga clic en OK.
n Para cambiar la dirección IP del servidor seleccionado, haga clic en el botón Editar.
n Para eliminar al servidor seleccionado de la lista adyacente, haga clic en el botón Eliminar.
Configurar reservas de DHCP

Para reservar una dirección IP específica para un cliente:
1. Ingrese un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de la
tarjeta de red del cliente.

Página Acerca de Servicio DNS dinámico

Se puede registrar la dirección IP externa del dispositivo WatchGuard en el servicio del sistema de domain
name (DNS) dinámico DynDNS.org. Un servicio DNS dinámico garantiza que la dirección IP adjunta a su
domain name cambie cuando el ISP entregue una nueva dirección IP a su dispositivo. Esta función está
disponible en modo de enrutamiento combinado o modo de configuración de red directo.
Si se usa esta función, el dispositivo WatchGuard recibe la dirección IP de members.dyndns.org cuando se

inicia. Verifica que la dirección IP sea correcta cada vez que se reinicia y periódicamente cada veinte días. Si
se realizan cambios en la configuración DynDNS en el dispositivo WatchGuard o si se cambia la dirección IP
de la puerta de enlace predeterminada, actualiza DynDNS.com de inmediato.
Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, ingrese en
http://www.dyndns.com.
Nota WatchGuard no está asociado con DynDNS.com.
Configurar DNS dinámico

1. Seleccione Red >DNS dinámico.
Aparece la página de cliente de DNS dinámico.
2. Seleccione una interfaz de red y después haga clic en Configurar.
Aparece la página de configuración de DNS dinámico.
3. Seleccione la casilla de verificación Activar DNS dinámico.

4. Ingrese el nombre de usuario y contraseña.
5. En el cuadro de texto Confirmar, vuelva a ingresar la contraseña.
6. En el cuadro de texto Dominio, ingrese el dominio de la organización.
7. En la lista desplegable Tipo de servicio, seleccione el sistema que se usará para DNS dinámico:
n dyndns; envía actualizaciones para un nombre de host DNS dinámico. Use la opción dyndns
cuando no tenga control sobre la dirección IP (por ejemplo, no es estática y cambia en forma
regular).
n custom; envía actualizaciones para un nombre de host DNS personalizado. Las empresas que
pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opción.
Para acceder a una explicación de cada opción, consulte http://www.dyndns.com/services/.
8. En el campo Opciones, ingrese una o más de estas opciones:
n mx=mailexchanger& ; especifica un Mail eXchanger (MX) para usar con el nombre de host.
n backmx=YES|NO& ; solicita que el MX en el parámetro anterior esté configurado como MX de
copia de seguridad (incluye al host como MX con un valor de preferencia menor).
n wildcard=ON|OFF|NOCHG& ; activa o desactiva comodines para este host (ON [encendido] para
activar).
n offline=YES|NO ; establece al nombre de host en modo desconectado. Pueden enlazarse una
o más opciones con el signo &. Por ejemplo:
&mx=backup.kunstlerandsons.com&backmx=YES&wildcard=ON
Para obtener más información, consulte http://www.dyndns.com/developers/specs/syntax.html.

9. Haga clic en Enviar.
Acerca de la configuración de red en modo

directo
En una configuración directa, Firebox está configurado con la misma dirección IP en todas las interfaces. El
modo configuración directa distribuye el rango de dirección lógica de la red a lo largo de todas las
interfaces de red disponibles. Puede colocar Firebox entre el enrutador y la LAN y no será necesario
cambiar la configuración de ninguna computadora local. Esta configuración se conoce como modo directo
porque el dispositivo WatchGuard se coloca en una red previamente configurada.
En modo directo:
n Se debe asignar la misma dirección IP principal a todas las interfaces en Firebox (externa, de
confianza y opcional).
n Pueden asignarse secondary networks en cualquier interfaz.
n Lasmismas direccionesIP ypuertas de enlace predeterminadaspueden mantenerse para loshost enlas
redesde confianzay opcionales,y se puede agregar una direcciónde secondarynetwork ala interfaz
externaprincipal paraque Fireboxpueda enviar tráfico correctamente a loshost de estas redes.
n Los servidores públicos detrás de Firebox pueden continuar utilizando las direcciones IP públicas. La
traducción de dirección de red (NAT) no se utiliza para enrutar tráfico desde el exterior de la red
hacia los servidores públicos.
Las propiedades de una configuración directa son:

n Se debe asignar y utilizar una dirección IP estática en la interfaz externa.

n Se utiliza una red lógica para todas las interfaces.
n No se puede configurar más de una interfaz externa cuando el dispositivo WatchGuard está
configurado en modo directo. La funcionalidad multi-WAN se desactiva automáticamente.
En algunas ocasiones es necesario Limpiar caché de ARP de cada computadora protegida por Firebox, pero
esto no es frecuente.
Nota Si se mueve una dirección IP de una computadora que se encuentra detrás de una
interfaz a una computadora que se encuentra detrás de una interfaz diferente,
pueden transcurrir varios minutos antes de que el tráfico de red se envíe a la nueva
ubicación. Firebox debe actualizar su tabla de enrutamiento interna antes de que
este tráfico pueda circular. Los tipos de tráfico que se ven afectados incluyen
registro, SNMP y conexiones de administración de Firebox.
Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya
ha creado una configuración de red, puede usar el Policy Manager para cambiar al modo directo.
Para más informaciones, vea Ejecutar el Web Setup Wizard en la página 24.
Utilizar modo directo para la configuración de la interfaz de red

1. Seleccione Interfaces de > red.
Aparece el cuadro de diálogo Interfaces de red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo directo transparente.
3. En el campoDirección IP, ingrese la dirección IP que desea utilizar como dirección principal para
todas las interfaces de Firebox.
4. En el campo Puerta de enlace ingrese la dirección IP de la puerta de enlace. Esta dirección IP se
agrega automáticamente a la lista de hosts relacionados.
Configurar host relacionados

En una configuración directa o de puente, Firebox está configurado con la misma dirección IP en todas las
interfaces. Firebox automáticamente descubre nuevos dispositivos que se conectan a estas interfaces y
agrega cada nueva dirección MAC a su tabla de enrutamiento interna. Si desea configurar conexiones de
dispositivos en forma manual o si la función de asignación automática de host no funciona correctamente,
puede agregar una entrada de host relacionado. Una entrada de host relacionado crea una ruta estática
entre la dirección IP del host y una interfaz de red. Recomendamos desactivar la asignación automática de
host en interfaces para las que se crean entradas de host relacionados.

2. Configurar interfaces de red en modo directo o puente. Haga clic en Propiedades.
Aparece la página Propiedades del modo directo.
3. Desmarque la casilla de verificación para cualquier interfaz en la que desee agregar una entrada de
host relacionado.
4. En el cuadro de texto Host, ingrese la dirección IP del dispositivo para el cual desea construir una
ruta estática desde Firebox. Seleccione la Interfaz en la lista desplegable adyacente y luego haga clic
en Agregar. Repita este paso para agregar otros dispositivos.
Configurar DHCP en modo directo

Cuando se usa el modo directo para la configuración de red, de manera opcional se puede configurar a
Firebox como servidor DHCP para las redes que protege o convertir a Firebox en agente de retransmisión de
DHCP. Si tiene un servidor DHCP configurado, recomendamos que continúe usando ese servidor para DHCP.

Usar DHCP
De manera predeterminada, Firebox revela la información de configuración del servidor DNS/WINS cuando
está configurado como servidor DHCP. La información DNS/WINS de esta página puede configurarse para
anular la configuración global. Para obtener más información, consulte las instrucciones en Agregar
servidores WINS y Direcciones del servidor DNS en la página 98.

3. Seleccione la pestaña Configuración DHCP.
4. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP: en los
cuadros de texto IP de inicio e IP de finalización, ingrese un rango de direcciones IP que se
encuentren en la misma subnet que la dirección IP directa. Haga clic en Agregar.
Repita este paso para agregar más grupos de direcciones.
Se puede configurar un máximo de seis grupos de direcciones.
5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente,
en la sección Direcciones reservadas:
n Ingrese un Nombre de reserva para identificar la reserva.

n Ingrese la dirección IP reservada que desea reservar.
n Ingrese la Dirección MAC del dispositivo.
n Haga clic en Agregar.
Repita este paso para agregar más reservas de DHCP .
6. Si es necesario, Agregar servidores WINS y Direcciones del servidor DNS.
7. Para cambiar el tiempo de concesión DHCP , seleccione una opción diferente en la lista desplegable
Tiempo de concesión.
8. En la parte superior de la página, haga clic en Volver.
Utilizar retransmisión de DHCP

2. Seleccione cualquier interfaz de confianza u opcional y haga clic en Configurar.
O bien, haga doble clic en una interfaz de confianza u opcional.
Aparece la página Configuración de interfaz.
3. Junto al cuadro de texto Dirección IP, seleccione Utilizar retransmisión de DHCP.
4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta
estática al servidor DHCP, si es necesario.
5. Haga clic en Guardar. Haga clic en Guardar nuevamente.
Especificar la configuración DHCP para una sola interfaz
Puede especificar una configuración DHCP diferente para cada interfaz opcional o de confianza en su
configuración. Para modificar estas configuraciones:
1. Desplácese hasta la parte inferior del cuadro de diálogo Configuración de red.

2. Seleccione una interfaz.
3. Haga clic en Configurar.
4. Para utilizar la misma configuración de DHCP que estableció en el modo directo, seleccione Utilizar
configuración DHCP del sistema.
Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.
Para configurar diferentes opciones de DHCP para clientes en una secondary network, seleccione
Utilizar servidor DHCP para secondary network.
5. Para agregar grupos de direcciones IP , configurar el tiempo de concesión predeterminado y
administrar servidores DNS/WINS, complete los Pasos 3-6 de la sección Utilizar DHCP.
6. Haga clic en OK.

Modo Bridge
El modo Bridge es una función que le permite instalar su dispositivo Firebox o XTM entre una red existente
y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando se activa esta función, el dispositivo
Firebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de la puerta de enlace. Cuando el
tráfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el
dispositivo original.
Para utilizar el modo Bridge, debe especificar una dirección IP utilizada para administrar el dispositivo
Firebox o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones para el Gateway
Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos según sea necesario.
Debido a esto, asegúrese de asignar una dirección IP que pueda enrutarse por Internet.
Cuando utiliza el modo Bridge, el dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:
n WAN múltiple
n VLAN (redes virtuales de área local)
n Puentes de red
n Rutas estáticas
n FireCluster
n Secondary networks
n Servidor DHCP o retransmisión DHCP
n Conmutación por error de módem serial (Firebox X Edge únicamente)
n 1 a 1 NAT, dinámica o estática
n Enrutamiento dinámico (OSPF, BGP o RIP)
n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTM sea un extremo o puerta de enlace
n Algunas funciones proxy, incluido el Servidor de caché de Internet HTTP
Si ya ha configurado estas funciones o estos servicios, se desactivarán cuando cambie a modo Bridge. Para
utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de
enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.
Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de
red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe
cambiar a modo de enrutamiento combinado o directo y configurar la interfaz
como externa, opcional o de confianza y luego volver al modo Bridge. Las
funciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionan
correctamente en el modo Bridge.
Para activar el modo Bridge:

2. En la lista desplegable Configurar interfaces en, seleccione Modo Bridge.
3. Si se le indica que desactive las interfaces, haga clic en Sí para desactivar las interfaces o en No para
volver a la configuración anterior.
4. Ingrese la dirección IP del dispositivo Firebox o XTM en notación diagonal.
Para obtener más información sobre notación diagonal, consulte Acerca de las Notación diagonal
en la página 3.
5. Ingrese la dirección IP de puerta de enlace que recibe todo el tráfico de red desde el dispositivo.
Configuraciones de interfaz comunes

Con el modo de enrutamiento combinado, se puede configurar el dispositivo WatchGuard para que envíe
tráfico de red entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cada
interfaz debe configurarse por separado y es posible que deba cambiarse la configuración de red para cada
computadora o cliente protegido por el dispositivo WatchGuard.
Para configurar el modo de enrutamiento combinado en Firebox:
1. Seleccione Interfaces de> red.

Aparece el cuadro de diálogo Interfaces.
2. Seleccione la interfaz que desea configurar y después haga clic en Configurar. Las opciones
disponibles dependen del tipo de interfaz seleccionada.
Aparece el cuadro de diálogo de interfaz Configuración.

3. En el campo Nombre de la interfaz (alias), puede retener el nombre predeterminado o cambiarlo a

otro que refleje con más detalle su propia red y sus propias relaciones de confianza.
Asegúrese de que el nombre sea único entre los nombres de interfaz y también entre todos los
nombres de grupos MVPN y nombres de túnel. Puede usar este alias con otras funciones, como
políticas de proxy, para administrar el tráfico de red para esta interfaz.
4. (Opcional) Ingrese una descripción de la interfaz en el campo Descripción de interfaz.
5. En la lista desplegable Modo configuración, seleccione el tipo de interfaz. Puede seleccionar
Externa, De confianza, Opcional, Puente, Desactivada o VLAN. Algunos tipos de interfaz tienen
configuraciones adicionales.
n Para obtener más información acerca de cómo asignar una dirección IP a una interfaz externa,
consulte Configurar una interfaz externa en la página 82. Para configurar la dirección IP de una
interfaz de confianza u opcional, ingrese la dirección IP en notación diagonal.
n Para asignar direcciones IP en forma automática a clientes en una interfaz de confianza u
opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86 o
Configurar retransmisión de DHCP en la página 97.
n Para usar más de una dirección IP en una única interfaz de red física, consulte Configurar una
secondary network en la página 99.
n Para obtener más información acerca de configuraciones LAN, consulte Acerca de redes
virtuales de área local (VLAN) en la página 108.
n Para quitar una interfaz de su configuración, consulte Desactivar una interfaz en la página 96.
6. Configure la interfaz como se describe en uno de los temas anteriores.
Desactivar una interfaz

1. Seleccione Red > Configuración.
Aparece el cuadro de diálogo "Configuración de red".
2. Seleccione la interfaz que desea desactivar. Haga clic en Configurar.

Aparece el cuadro de diálogo Configuración de interfaz.
3. En la lista desplegable Tipo de interfaz, seleccione Desactivada. Haga clic en OK.
En el cuadro de diálogo Configuración de red, el tipo de interfaz ahora aparece como Desactivada.
Configurar retransmisión de DHCP

Una forma de obtener direcciones IP para las computadoras en las redes de confianza u opcional es usar
un servidor DHCP en una red diferente. Se puede usar la retransmisión DHCP para obtener direcciones IP
para las computadoras en la red de confianza u opcional. Con esta función, Firebox envía solicitudes DHCP a
un servidor en una red diferente.
Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,
debe configurar un túnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta función
opere correctamente.
Nota No se puede usar la retransmisión DHCP en ninguna interfaz en la cual esté

activado FireCluster.
Para configurar retransmisión DHCP :

2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.
3. En la lista desplegable debajo de la dirección IP de interfaz, seleccione Usar retransmisión DHCP.
4. Ingrese la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de Agregue una ruta
estática al servidor DHCP, si es necesario.
Restringir el tráfico de red mediante la dirección MAC

Puede usar una lista de direcciones MAC para administrar qué dispositivos tienen permitido enviar tráfico
en la interfaz de red especificada. Cuando se activa esta función, el dispositivo WatchGuard verifica la
dirección MAC de cada computadora o dispositivo que se conecta a la interfaz especificada. Si la dirección
MAC de ese dispositivo no figura en la lista de control de acceso MAC para esa interfaz, el dispositivo no
puede enviar tráfico.
Esta función es especialmente útil para prevenir cualquier acceso no autorizado a la red desde una
ubicación dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada
interfaz cuando se agrega a la red una nueva computadora autorizada.
Nota Si decide restringir el acceso mediante la dirección MAC, debe incluir la dirección
MAC de la computadora que usa para administrar el dispositivo WatchGuard.
Para activar el control de acceso MAC para una interfaz de red:


2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en
Configurar.
3. Seleccione la pestaña Control de acceso MAC.
4. Seleccione la casilla de verificación Restringir acceso mediante dirección MAC.

5. Ingrese la dirección MAC de la computadora o dispositivo para darle acceso a la interfaz específica.
6. (Opcional) Ingrese un Nombre para la computadora o dispositivo para identificarlo en la lista.
Repita los pasos 5 al 7 para agregar más computadoras o dispositivos a la lista de control de acceso MAC .
Agregar servidores WINS y Direcciones del servidor DNS

Los permisos para compartir Firebox Direcciones IP del servidor WINS (Windows Internet Name Server) y
Direcciones IP del servidor DNS (Sistema de domain name) para algunas funciones. Estas funciones incluyen
DHCP y Mobile VPN. Los servidores WINS y DNS deben estar accesibles desde la interfaz de confianza de
Firebox.
Esta información se utiliza para dos fines:
n El Firebox utiliza el servidor DNS para resolver nombres con las direcciones IP de las VPN de IPSec y
para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS funcionen
correctamente.
n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de
confianza o en las redes opcionales para resolver las consultas de DNS.
Asegúrese de utilizar sólo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar
que no se creen políticas con propiedades de configuración que impidan a los usuarios conectarse con el
servidor DNS.

2. Desplácese hasta la sección Servidores DNS y Servidores WINS.
3. En el cuadro de texto Servidor DNS o Servidor WINS, ingrese las direcciones principal y secundaria
para cada servidor WINS y DNS.
5. Repita los pasos 3 al 4 para especificar hasta tres servidores DNS.
6. (Opcional) En el cuadro de texto Domain name, ingrese un domain name para que un cliente DHCP
use con nombres no calificados como watchguard_mail.
Configurar una secondary network

Una secondary network es una red que comparte una de las mismas redes físicas que una de las interfaces
del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se realiza (o agrega) un alias IP a la
interfaz. Este alias IP es la puerta de enlace predeterminada para todas las computadoras en la secondary
network. La secondary network le indica al dispositivo Firebox o XTM que hay más de una red en la interfaz
del dispositivo Firebox o XTM.
Por ejemplo, si configura un dispositivo Firebox o XTM en modo Drop-in, le otorga a cada interfaz del
dispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto de
direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a
la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea
una ruta desde una dirección IP en la secondary network a la dirección IP de la interfaz del dispositivo
Firebox o XTM.
Si su dispositivo Firebox o XTM está configurado con una dirección IP estática, puede agregar una dirección
IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede
configurar NAT estática para más de un tipo de servidor igual. Por ejemplo, configure una secondary
network externa con una segunda dirección IP pública si tiene dos servidores SMTP públicos y desea
configurar una regla NAT estática para cada uno.

Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar
secondary networks con una configuración de red directa o enrutada. También puede agregar una
secondary network a una interfaz externa de un dispositivo Firebox o XTM si la interfaz externa está
configurada para obtener su dirección IP a través de PPPoE o DHCP.
Para definir una dirección IP secundaria, debe tener:
n Una dirección IP sin utilizar en la secondary network para asignársela a la interfaz del dispositivo
Firebox o XTM.
n Una dirección IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.
Para definir una dirección IP secundaria:

2. Seleccione la interfaz para la secondary network y haga clic en Configurar o haga doble clic en una
interfaz.
3. En la sección Redes secundarias, ingrese una dirección IP de host no asignada en notación diagonal
de la secondary network. Haga clic en Agregar. Repita este paso para agregar secondary networks
adicionales.
5. Haga clic en Guardar nuevamente.
Nota Asegúrese de agregar las direcciones de secondary network correctamente. El

dispositivo Firebox o XTM no indica si la dirección es correcta. Recomendamos no
crear una subnet como secondary network en una interfaz que forme parte de una
red más grande en una interfaz diferente. En tal caso, puede ocurrir spoofing y la
red no podrá funcionar correctamente.
Acerca de la Configuraciones de interfaz

Se pueden usar varias configuraciones avanzadas para las interfaces de Firebox:
Configuración de tarjeta de interfaz de red (NIC)
Establece la velocidad y los parámetros dobles para las interfaces de Firebox en configuración
automática o manual. Recomendamos mantener la velocidad de enlace configurada para
negociación automática. Si usa la opción de configuración manual, debe asegurarse de que el
dispositivo al que se conecta Firebox también esté manualmente configurado a la misma velocidad y
parámetros dobles que Firebox. Utilice la opción de configuración manual sólo cuando deba anular
los parámetros de interfaz automáticos de Firebox para operar con otros dispositivos en la red.

Configurar el ancho de banda de interfaz saliente
Cuando utiliza configuraciones de administración de tráfico para garantizar ancho de banda a las
políticas, esta configuración verifica que no se garantice más ancho de banda del que efectivamente
existe para una interfaz. Esta configuración ayuda a asegurar que la suma de configuraciones de
ancho de banda garantizado no complete el enlace de manera tal que el tráfico no garantizado no
pueda circular.
Activar marcado QoS para una interfaz
Crea diferentes clasificaciones de servicio para distintos tipos de tráfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por las configuraciones definidas para una política.
Determinar No fragmentar bit IPSec
Determina la configuración de No fragmentar (DF) bit para IPSec.
Configuración de la ruta de unidad de transmisión máxima (PMTU) para IPSec
(Interfaces externas únicamente) Controla la cantidad de tiempo en que Firebox disminuye la

unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP
de fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.
Usar vínculo de dirección MAC estático
Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de
Firebox.
Configuración de tarjeta de interfaz de red (NIC)

2. Seleccione la interfaz que configurar. Haga clic en Configurar.
3. Haga clic en Configuraciones generales avanzadas.
4. En la lista desplegable velocidad de enlace, seleccione Negociación automática si desea que el

dispositivo WatchGuard seleccione la mejor velocidad de red. También puede seleccionar una de las
velocidades doble medio o doble completo que usted sepa que son compatibles con el resto de su
equipo de red.
Negociación automática es la configuración predeterminada. Le recomendamos encarecidamente

que no cambie esta configuración a menos que soporte técnico le indique hacerlo. Si configura la
velocidad de enlace en forma manual y otros dispositivos de su red no admiten la velocidad
seleccionada, se puede generar un conflicto que no permita a la interfaz de Firebox reconectarse
después de una conmutación por error.

5. En el cuadro de texto Unidad Máxima de Transmisión (MTU) , seleccione el tamaño máximo del
paquete, en bytes, que pueden enviarse a través de la interfaz. Recomendamos utilizar el valor
predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamaño de paquete
diferente.
Puede configurar la MTU desde un mínimo de 68 a un máximo de 9000.
6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Cancelar
dirección MAC e ingrese la nueva dirección MAC.
Para obtener más información acerca de direcciones MAC, consulte la siguiente sección.
8. Haga clic en Guardar nuevamente.
Acerca de direcciones MAC

Algunos ISP utilizan una dirección MAC para identificar a las computadoras en su red. Cada dirección MAC
recibe una dirección IP estática. Si su ISP utiliza este método para identificar su computadora, entonces
debe cambiar la dirección MAC de la interfaz externa del dispositivo WatchGuard. Utilice la dirección MAC
del módem por cable, DSL de módem o enrutador que se conectaron directamente al ISP en su
configuración original.
La dirección MAC debe tener estas propiedades:
n La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
n La dirección MAC debe funcionar con:
o Una o más direcciones en la red externa.
o La dirección MAC de la red de confianza para el dispositivo.
o La dirección MAC de la red opcional para el dispositivo.
n La dirección MAC no debe estar configurada en 000000000000 o ffffffffffff.
Si la casilla de verificación Cancelar dirección MAC no está seleccionada cuando se reinicia el dispositivo
WatchGuard, el dispositivo utiliza la dirección MAC predeterminada para la red externa.
Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la dirección MAC
que usted asigna a la interfaz externa sea única en su red. Si el dispositivo WatchGuard encuentra un
dispositivo que usa la misma dirección MAC, vuelve a cambiar a la dirección MAC estándar para la interfaz
externa y se inicia nuevamente.
Determinar No fragmentar bit IPSec

Cuando configura la interfaz externa, seleccione una de las tres opciones para determinar la configuración
para la sección No fragmentar (DF) bit para IPSec.

Copiar
Seleccione Copiar para aplicar la configuración DF bit del marco original al paquete cifrado IPSec. Si
un marco no tiene configurado DF bit, Fireware XTM no configura DF bit y fragmenta el paquete si es
necesario. Si un marco está configurado para no ser fragmentado, Fireware XTM encapsula el marco
completo y configura DF bit del paquete cifrado para que coincida con el marco original.
Determinar
Seleccione Configurar si no desea que Firebox fragmente el marco independientemente de la

configuración de bit original. Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás
de un Firebox diferente, debe desmarcar esta casilla de verificación para activar la función de
puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una
ubicación cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para
que el Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una
política IPSec.
Limpiar
Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuración de bit original.
Configuración de la ruta de unidad de transmisión máxima

(PMTU) para IPSec
Esta configuración de interfaz avanzada se aplica a interfaces externas únicamente.
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la
unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe una solicitud de ICMP de
fragmentar un paquete desde un enrutador con una configuración de MTU más baja en Internet.
Recomendamos mantener la configuración predeterminada. Esto puede protegerlo de un enrutador en

Internet con una configuración de MTU muy baja.
Usar vínculo de dirección MAC estático

Es posible controlar el acceso a una interfaz en el dispositivo WatchGuard mediante la dirección (MAC) del
hardware de la computadora. Esta función puede proteger a la red de ataques de envenenamiento ARP, en
los cuales los piratas informáticos intentan cambiar la dirección MAC de sus computadoras para que
coincidan con un dispositivo real en la red del usuario. Para usar el vínculo de dirección MAC, se debe
asociar una dirección IP en la interfaz específica con una dirección MAC. Si esta función está activada, las
computadoras con una dirección MAC específica sólo pueden enviar y recibir información con la dirección
IP asociada.

También se puede utilizar esta función para restringir todo el tráfico de red a los dispositivos que coinciden
con las direcciones MAC e IP en esta lista. Esto es similar a la función de control de acceso MAC.
Para más informaciones, vea Restringir el tráfico de red mediante la dirección MAC en la página 97.
Nota Si decide restringir el acceso a la red mediante el vínculo de dirección MAC,

asegúrese de incluir la dirección MAC de la computadora que usa para
administrar el dispositivo WatchGuard.
Para establecer las configuraciones del vínculo de dirección MAC estático:
1. Seleccione Interfaces de > red. Seleccione una interfaz y después haga clic en Configurar.
2. Haga clic en Avanzado.
3. Ingrese un par de dirección IP y dirección MAC. Haga clic en Agregar. Repita este paso para agregar
otros pares.
4. Si desea que esta interfaz transmita sólo tráfico que coincida con una entrada en la lista vínculo de
dirección MAC/IP estático, seleccione la casilla de verificación Sólo permitir tráfico enviado desde
o hacia estas direcciones MAC/IP.
Si no desea bloquear tráfico que no coincide con una entrada de la lista, desmarque esta casilla de
verificación.
Buscar la dirección MAC de una computadora

La dirección MAC se conoce también como dirección de hardware o dirección Ethernet. Es un identificador
único, específico de la tarjeta de red en la computadora. La dirección MAC en general se muestra del
siguiente modo: XX-XX-XX-XX-XX-XX, en donde cada X es un dígito o letra de la A a la F. Para encontrar la
dirección MAC de una computadora en la red:
1. Desde la línea de comando de la computadora cuya dirección MAC desea averiguar, ingrese
ipconfig /all (Windows) o ifconfig (OS X o Linux).
2. Busque la entrada de "dirección física" de la computadora. Este valor es la dirección MAC o de
hardware de la computadora.

Acerca de los puentes LAN

Un puente de red establece una conexión entre interfaces de red física múltiples en el dispositivo
WatchGuard. Un puente puede usarse del mismo modo que una interfaz de red física normal. Por ejemplo,
se puede configurar DHCP para entregar direcciones IP a clientes en un puente o utilizarlo como alias en
políticas de firewall.
Para utilizar un puente debe:
1. Crear una configuración de puente de red..

2. Asignar una interfaz de red a un puente..
Si desea establecer un puente entre todo el tráfico de dos interfaces, recomendamos utilizar el modo
puente para la configuración de red.
Crear una configuración de puente de red.

Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red.
1. Seleccione Puente de> red.

Aparece la página Puente.
2. Haga clic en Nuevo.

3. En la pestaña Configuración de puente, ingrese un Nombre y una Descripción (opcional) para la

configuración de puente.
4. Seleccione una Zona de seguridad en la lista desplegable e ingrese una dirección IP en notación
diagonal para el puente.
El puente se agrega al alias de la zona de seguridad que especifica.
5. Para agregar interfaces de red, seleccione la casilla de verificación adyacente a cada interfaz de red
que desea agregar a la configuración del puente.
6. Para realizar la configuración DHCP , seleccione la pestaña DHCP . Seleccione Servidor DHCP o
Retransmisión DHCP en la lista desplegable Modo DHCP.
Para obtener más información sobre la configuración DHCP , consulte Configurar el DHCP en modo
de enrutamiento mixto en la página 86 o Configurar retransmisión de DHCP en la página 97.
7. Si desea agregar secondary networks a la configuración de puente, seleccione la pestaña
Secundaria.
Ingrese una dirección IP en notación diagonal y haga clic en Agregar.
Para obtener más información sobre secondary networks, consulte Configurar una secondary
network en la página 99.
Asignar una interfaz de red a un puente.

Para utilizar un puente, debe crear una configuración de puente y asignarla a una o más interfaces de red.
Puede crear la configuración de puente en el cuadro de diálogo Configuración de red , o cuando configura
una interfaz de red.
1. Seleccione Puente de> red.

Aparece la página Puente.
2. Seleccione una configuración de puente en la lista Configuración de puente, luego haga clic en
Configurar.
3. Seleccione la casilla de verifciación junto a cada interfaz de red que desea agregar al puente.
Acerca de
Una ruta es la secuencia de dispositivos a través de los cuales se envía el tráfico de red. Cada dispositivo en
esta secuencia, en general llamado enrutador, almacena información acerca de las redes a las que está
conectado en una tabla de enrutamiento. Esta información se utiliza para reenviar el tráfico de red al
siguiente enrutador en la ruta.
El dispositivo WatchGuard actualiza automáticamente su tabla de enrutamiento cuando se cambia la

configuración de interfaz de red, cuando falla una conexión de red física o cuando se reinicia. Para
actualizar la tabla de enrutamiento en otra oportunidad, debe usar el dynamic routing o agregar una ruta
estática. Las rutas estáticas pueden mejorar el rendimiento, pero si surge un cambio en la estructura de red
o si falla una conexión, el tráfico de red no puede llegar a destino. El dynamic routing garantiza que el
tráfico de red pueda llegar a destino, pero es más difícil de configurar.

Agregue una ruta estática

Un ruta es la secuencia de dispositivos a través de los cuales debe pasar el tráfico de red para llegar desde
el origen al destino. Un enrutador es el dispositivo en una ruta que encuentra un punto de red subsiguiente
a través del cual envía el tráfico de red a su destino. Cada enrutador está conectado a un mínimo de dos
redes. Un paquete puede atravesar un número de puntos de red con enrutadores antes de llegar a destino.
Se pueden crear rutas estáticas para enviar el tráfico a host o redes específicas. El enrutador puede
entonces enviar el tráfico desde la ruta especificada al destino correcto. Si tiene una red completa detrás
de un enrutador en la red local, agregue una ruta de red. Si no agrega una ruta a una red remota, todo el
tráfico a esa red se envía a la puerta de enlace predeterminada del Firebox.
Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de
red es una ruta a una red completa detrás de un enrutador ubicado en la red local. Utilice una ruta de host
si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija sólo a un host.
1. Seleccione Rutas de >red.

Aparece la página Rutas.
2. En la lista desplegable Tipo, seleccione IP de host o IP de red.
n Seleccione IP de red si tiene una red completa detrás de un enrutador en la red local.
n Seleccione IP de host si hay sólo un host detrás del enrutador o si desea que el tráfico se dirija
sólo a un host.
3. En el cuadro de texto Ruta hacia, ingrese la dirección IP de destino.
4. En el cuadro de texto Puerta de enlace, ingrese la dirección IP de la interfaz local del enrutador.
La dirección IP de la puerta de enlace debe ser una dirección IP administrada por el dispositivo
WatchGuard.

5. En el cuadro de texto Métrica, ingrese o seleccione una métrica para la ruta. Las rutas con las
métricas más bajas tienen mayor prioridad.
7. Para agregar otra ruta estática, repita los pasos 2 al 4.
Para eliminar una ruta estática, seleccione la dirección IP en la lista y haga clic en Eliminar.
Acerca de redes virtuales de área local (VLAN)

Una VLAN (red de área local virtual) 802.1Q es una colección de computadoras en una o varias LAN que se
agrupan en un solo dominio de broadcast independientemente de su ubicación física. Esto permite agrupar
dispositivos de acuerdo con patrones de tráfico en lugar de proximidad física. Los miembros de una VLAN
pueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN también pueden
usarse para dividir a un conmutador en múltiples segmentos. Por ejemplo, supongamos que su empresa
tiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Usted desea restringir a
los empleados contratados a un subconjunto de los recursos utilizados por los empleados de tiempo
completo. También desea utilizar una política de seguridad más restrictiva para los trabajadores
contratados. En este caso, se divide la interfaz en dos VLAN.
Las VLAN permiten dividir la red en grupos con una agrupación o estructura jerárquica lógica en lugar de
una física. Esto ayuda a liberar al personal de TI de las restricciones del diseño de red y la infraestructura de
cableado existentes. Las VLAN facilitan el diseño, la implementación y la administración de la red. Debido a
que las VLAN se basan en software, la red se puede adaptar de manera rápida y sencilla a incorporaciones,
reubicaciones y reorganizaciones.
Las VLAN utilizan puentes y conmutadores, entonces los broadcast son más eficientes porque se dirigen
sólo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el tráfico a través de
los enrutadores, lo cual implica una reducción en la latencia del enrutador. Firebox puede configurarse para
funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisión DHCP con un
servidor DHCP separado.
Requisitos y restricciones de la VLAN

n La implementación de VLAN de WatchGuard no es compatible con el protocolo de administración
de enlaces Spanning Tree (árbol de expansión).
n Si su Firebox está configurado para utilizar el modo de red directo, no puede utilizar VLAN.
n Una interfaz física puede ser miembro de una VLAN no etiquetado en sólo una VLAN. Por ejemplo,
si Externo-1 es un miembro no etiquetado de una VLAN denominada VLAN-1, no puede ser
miembro no etiquetado de una VLAN diferente al mismo tiempo. Además, las interfaces externas
pueden ser miembros de sólo una VLAN.
n La configuración de multi-WAN se aplica al tráfico VLAN . Sin embargo, puede ser más fácil administrar
el ancho de banda cuando se usan sólo interfaces físicas en una configuración multi-WAN .
n El modelo y la licencia de su dispositivo controlan el número de VLAN que puede crear.
Para consultar el número de VLAN que puede agregar a su configuración, seleccione Estado del
sistema> Licencia.
Identifique la fila denominada Número total de interfaces VLAN.

n Recomendamos no crear más de 10 VLAN que funcionen en interfaces externas por el

rendimiento.
n Todos los segmentos de red que desee agregar a una VLAN deben tener direcciones IP en la red VLAN.
Nota Si define VLAN, puede ignorar mensajes con el texto “802.1d unknown version”
(802.1d versión desconocida). Esto puede ocurrir porque la implementación de
VLAN de WatchGuard no es compatible con el protocolo de administración de
enlaces Spanning Tree (árbol de expansión).
Acerca de las etiquetado

Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces del
conmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red como
parte de una VLAN específica. Estas etiquetas, que agregan cuatro bytes extras al encabezado de Ethernet,
identifican al marco como perteneciente a una VLAN específica. El etiquetado se especifica con el estándar
IEEE 802.1Q.
La definición de VLAN incluye la disposición de marcos de datos etiquetados y no etiquetados. Debe

especificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada.
El dispositivo WatchGuard puede insertar etiquetas para paquetes que se envían a un conmutador
compatible con VLAN. Su dispositivo también puede eliminar etiquetas de paquetes que se envían a un
segmento de red que pertenece a una VLAN que no tiene conmutador.
Definir un nuevo (red de área local virtual)

Antes de crear una nueva VLAN, asegúrese de comprender los conceptos acerca de las VLAN y sus
restricciones, según se describe en Acerca de redes virtuales de área local (VLAN) en la página 108. Antes
de poder crear una configuración de VLAN , debe cambiar también por lo menos una interfaz para que sea
del tipo VLAN.
Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuración de VLAN. Se puede
cambiar la vista de esta tabla:
n Haga clic en el encabezado de columna para ordenar la tabla según los valores de esa columna.
n La tabla puede ordenarse de mayor a menor o de menor a mayor.
n Los valores en la columna Interfaz muestran las interfaces físicas que son miembros de esta VLAN.
n El número de interfaz en negrita es la interfaz que envía datos no etiquetados a esa VLAN.
Para crear una nueva VLAN:
1. Seleccione Red > VLAN.

Aparece la página VLAN .
2. Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones:
También puede configurar interfaces de red desde la tabla Interfaces.

3. Haga clic en Nueva.

Aparece la página Configuración de VLAN.
4. En el campo Nombre, ingrese un nombre para la VLAN.

5. (Opcional) En el campo Descripción, ingrese una descripción de la VLAN.
6. En el campo Identificación de VLAN ingrese o seleccione un valor para la VLAN.
7. En el campo Zona de seguridad, seleccione De confianza, Opcional o Externa.
Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por
ejemplo, las VLAN de tipo De confianza son administradas por políticas que usan el alias Cualquiera
de confianza como origen o destino.
8. En el campo Dirección IP ingrese la dirección de la puerta de enlace de la VLAN.
Usar DHCP en una VLAN
Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.
1. En la pestaña Red, seleccione Servidor DHCP en la lista desplegable Modo DHCP. para configurar el
Firebox como servidor DHCP para la red VLAN. Si es necesario, ingrese el domain name para
proporcionarlo a los clientes DHCP .
2. Para agregar un conjunto de direcciones IP, Ingrese la primera y la última dirección IP en el grupo.
Haga clic en Agregar.
Se puede configurar un máximo de seis grupos de direcciones.
3. Para reservar una dirección IP específica para un cliente, Ingrese la dirección IP, el nombre de
reserva y la dirección MAC del dispositivo. Haga clic en Agregar.

4. Para cambiar el tiempo de concesión predeterminado, seleccione un intervalo de tiempo diferente

en la lista desplegable que se encuentra en la parte superior de la página.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP.
Cuando el tiempo de concesión se está por agotar, el cliente envía una solicitud al servidor DHCP para obtener
una nueva concesión.
5. Para agregar servidores DNS o WINS a la configuración DHCP , ingrese la dirección del servidor en el
campo adyacente a la lista. Haga clic en Agregar.
6. Para borrar un servidor de la lista, seleccione la entrada y haga clic en Eliminar.
Usar Retransmisión de DHCP en una VLAN
1. En la pestaña Red, seleccione Retransmisión de DHCP en la lista desplegable Modo DHCP.

2. Ingrese la dirección IP del servidor DHCP. Asegúrese de agregar una ruta al servidor DHCP, si es
necesario.
Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de área local virtual).
Asignar interfaces a (red de área local virtual)

Cuando se crea una nueva VLAN, se especifica el tipo de datos que recibe de las interfaces de Firebox. Sin
embargo, también se puede convertir a una interfaz en miembro de una VLAN actualmente definida o
eliminar una interfaz de una VLAN. Se debe cambiar el tipo de interfaz a VLAN para poder usarla en una
configuración VLAN .

Aparece la página VLAN .
2. Haga clic en Nueva o seleccione una interfaz de VLAN y haga clic en Configurar.
3. En la lista Seleccionar una configuración de etiqueta VLAN para cada interfaz, haga clic en la
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione una opción en la lista
desplegable:
n Tráfico etiquetado: la interfaz envía y recibe tráfico etiquetado.

n Tráfico no etiquetado : la interfaz envía y recibe tráfico no etiquetado.
n Sin tráfico: se elimina la interfaz de esta configuración VLAN.

Ejemplos de configuración de red

Ejemplo: Configurar dos VLAN con la misma interfaz
Una interfaz de red en un dispositivo Firebox o XTM es miembro de más de una VLAN cuando el interruptor
que se conecta a esa interfaz transporta tráfico a más de una VLAN. Este ejemplo muestra cómo conectar un
interruptor configurado para dos VLAN diferentes a una sola interfaz en el dispositivo Firebox o XTM.
El diagrama subsiguiente muestra la configuración correspondiente para este ejemplo.
En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se
conecta a la interfaz 3 del dispositivo Firebox o XTM.
Las instrucciones subsiguientes le muestran cómo configurar estas VLAN:
Configurar la Interfaz 3 como una interfaz de VLAN

2. En el cuadro de texto Nombre de interfaz (Alias), ingrese vlan.
3. Seleccione la interfaz número 3. Haga clic en Configurar.

1. En la lista desplegable Tipo de interfaz, seleccione VLAN.

Defina las dos VLAN y asígnelas a la interfaz de VLAN

2. Haga clic en Nuevo.
3. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese
VLAN10 .
4. En el cuadro de texto Descripción, ingrese una descripción. Para este ejemplo, ingrese
Contabilidad .
5. En el cuadro de texto ID de VLAN, ingrese el número de VLAN configurado para la VLAN en el
interruptor. Para este ejemplo, ingrese 10 .
6. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo,
seleccione De confianza.
7. En el cuadro de texto Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo
Firebox o XTM en esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24 .
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista
desplegable.


10. Haga clic en Nuevo para agregar la segunda VLAN.
11. En el cuadro de texto Nombre (Alias), ingrese VLAN20 .
12. En el cuadro de texto Descripción, ingrese Ventas .
13. En el cuadro de texto ID de VLAN, ingrese 20 .
14. En la lista Zona de seguridad, seleccione Opcional.
15. En el campo Dirección IP, ingrese la dirección IP que desea utilizar para el dispositivo Firebox o XTM
en esta VLAN. Para este ejemplo, ingrese 192.168.20.1/24 .
columna Etiquetado/No etiquetado adyacente a una interfaz y seleccione Etiquetado en la lista
desplegable.
18. Ahora, ambas VLAN aparecen en la lista y están configuradas para utilizar la interfaz de VLAN
definida.

Use Firebox X Edge con el bridge inalámbrico 3G Extend

El bridge inalámbrico 3G Extend de WatchGuard añade conectividad celular 3G al dispositivo Firebox X Edge
o WatchGuard XTM 2 Series. Cuando se conecta la interfaz externa del dispositivo WatchGuard del bridge
inalámbrico 3G Extend de WatchGuard, las computadoras de la red pueden conectarse en forma
inalámbrica a Internet a través de la red celular 3G.
El 3G Extend tiene dos modelos basados en tecnología de Top Global y Cradlepoint.
Use el dispositivo 3G Extend/Top Global MB5000K

Siga estos pasos para usar el bridge inalámbrico 3G Extend con el dispositivo Firebox X Edge o XTM 2 Series.
1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con PPPoE.
Asegúrese de configurar el nombre de usuario PPPoE/contraseña en público/público. Para obtener
más información acerca de cómo configurar la interfaz externa para PPPoE, consulte Configurar una
interfaz externa en la página 82.
2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos
de banda ancha para obtener más información.
3. Prepare el bridge inalámbrico 3G Extend:
n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalámbrico 3G Extend.
n Conecte la energía eléctrica al bridge inalámbrico 3G Extend.
n Verifique que las luces LED estén activas.
4. Use un cable Ethernet para conectar el bridge inalámbrico 3G Extend a la interfaz externa del
dispositivo WatchGuard.

No es necesario cambiar ninguna configuración en el dispositivo 3G Extend antes de conectarlo al

dispositivo WatchGuard. En algunas ocasiones es necesario conectarse a la interfaz de administración web
del dispositivo 3G Extend. Para conectarse a la interfaz 3G Extend web, conecte la computadora
directamente al MB5000K con un cable Ethernet y asegúrese de que la computadora esté configurada para
obtener su dirección IP con DHCP. Abra el explorador web e ingrese http://172.16.0.1 . Conéctese con
un nombre de usuario/contraseña de público/público.
n Para operar correctamente con el dispositivo WatchGuard, el bridge inalámbrico 3G Extend debe
configurarse para ejecutarse en modo "Autoconexión". Todos los dispositivos 3G Extend/MB5000K
están preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el
dispositivo 3G Extend está configurado en modo Autoconexión, conéctese directamente al
dispositivo y seleccione Interfaces > Acceso a Internet. Seleccione la interfaz WAN#0. En el sección
Red, asegúrese de que el modo Conectar de la lista desplegable esté configurado en Auto.
n Si la tarjeta inalámbrica 3G funciona en la red celular GPRS , puede ser necesario agregar un inicio
de sesión de red y contraseña a la configuración del dispositivo 3G Extend. Para agregar un inicio de
sesión de red red y contraseña, conéctese al bridge inalámbrico 3G Extend y seleccione Servicios >
Bridge administrable.
n Para restablecer las configuraciones predeterminadas de fábrica en el MB5000K, conéctese al
bridge inalámbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fábrica.
Haga clic en Sí.
Por seguridad, recomendamos cambiar el nombre de usuario/contraseña PPPoE predeterminados de

público/público después de que la red esté en funcionamiento. Debe cambiar el nombre de usuario y la
contraseña en el dispositivo WatchGuard y en el bridge inalámbrico 3G Extend.
n Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo WatchGuard, consulte

Configurar una interfaz externa en la página 82.
n Para cambiar el nombre de usuario y la contraseña PPPoE en el dispositivo 3G Extend, conéctese al
dispositivo en ingrese en Servicios>Bridge administrable.
El dispositivo 3G Extend admite más de 50 tarjetas de módem y opciones de plan ISP. Para obtener
información detallada acerca del producto Top Global, incluida la Guía del usuario del MB5000, ingrese en
http://www.topglobaluse.com/support_mb5000.htm.
Use el dispositivo 3G Extend/Cradlepoint CBA250.

Siga estos pasos para usar el adaptador de banda ancha celular 3G Extend Cradlepoint con su dispositivo
WatchGuard Firebox X.
1. Siga las instrucciones en la Guía de inicio rápido del Cradlepoint CBA250 para configurar el
dispositivo Cradlepoint.
2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su dirección con DHCP. Para
aprender cómo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa
en la página 82.
3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.
4. Inicie (o reinicie) el dispositivo WatchGuard.
Cuando Firebox se inicia, recibe una dirección DHCP del dispositivo Cradlepoint. Después de que se asigna una
dirección IP , Firebox puede conectarse a Internet a través de la red de banda ancha celular.

El Cradlepoint admite un gran número de USB o dispositivos inalámbricos de banda ancha ExpressCard.
Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.


7 WAN múltiple
Acerca de usar múltiples interfaces externas

Puede usar su dispositivo Firebox WatchGuard para crear soporte redundante para la interfaz externa. Esa
es una opción útil si debe tener una conexión constante a Internet.
Con la función WAN múltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred
diferente. Eso permite conectar su Firebox a más de un Proveedor de servicios de Internet (ISP). Cuando
configura una segunda interfaz, la función de WAN múltiple es automáticamente activada.
Requisitos y condiciones de WAN múltiple

Debe tener una segunda conexión a Internet y más de una interfaz externa para usar la mayoría de las
opciones de configuración de WAN múltiple.
Las condiciones y requisitos para el uso de WAN múltiple incluyen:
n Si tiene una política configurada con un alias de interfaz externa individual en su configuración, debe
alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no
lo hace, puede ser que sus políticas de firewall nieguen algún tráfico.
n La configuración de WAN múltiple no se aplica al tráfico entrante. Cuando configura una política
para tráfico entrante, puede ignorar todas las configuraciones de WAN múltiple.
n Para anular la configuración de WAN múltiple en cualquier política individual, active el enrutamiento
basado en la política para la política en cuestión. Para más información acerca del enrutamiento
basado en la política, vea Configurar el enrutamiento basado en la política en la página 269.
n Asigne el Domain Name totalmente cualificado de su empresa a la dirección IP de interfaz externa
del orden más bajo. Si añade un dispositivo WatchGuard de WAN múltiple a la Management Server
configuration, debe usar la interfaz externa de orden más inferior para identificarlo cuando agrega
el dispositivo.
n Para usar WAN múltiple, debe usar el modo de enrutamiento combinado para la configuración de
red. Esa función no opera en las configuraciones de red de modo directo o puente.

WAN múltiple
n Para usar el método de desbordamiento en la interfaz, debe tener el Fireware XTM con una
actualización Pro. También debe tener una licencia Pro de Fireware XTM si usa el método de
operación por turnos y configura diferentes pesos para las interfaces externas del dispositivo
WatchGuard.
Puede usar una de las cuatro opciones de configuración de WAN múltiple para administrar su tráfico de red.
Para detalles de configuración y procedimientos, vea la sección para cada opción.
WAN múltiple y DNS

Asegúrese de que su servidor DNS puede ser contactado a través de cada una de las WAN. De lo contrario,
debe modificar sus políticas de DNS de modo tal que:
n La lista De incluya Firebox.

n La casilla de verificación Usar enrutamiento basado en la política esté seleccionada.
Si sólo una WAN puede alcanzar el servidor DNS, seleccione esa interfaz en la lista desplegable al
lado.
Si más de una WAN puede alcanzar el servidor DNS, seleccione una de ellas, seleccione
Conmutación por error, seleccione Configurar y seleccione todas las interfaces que pueden
alcanzar el servidor DNS. El orden es indiferente.
Nota Debe tener un Fireware XTM con una actualización Pro para usar la enrutamiento
basado en la política.
Acerca de las opciones de WAN múltiple

Cuando configura interfaces externas múltiples, tiene varias opciones para controlar cuál interfaz un paquete
saliente utiliza. Alguna de esas funciones requiere que tenga el Fireware XTM con actualización Pro.
Orden de operación por turnos

Cuando configura la WAN múltiple con el método de operación por turnos, el dispositivo WatchGuard
busca en su tabla de enrutamiento la información de dynamic routing o estático para cada conexión. Si no
se encuentra la ruta especificada, el dispositivo WatchGuard distribuye la carga de tráfico entre sus
interfaces externas. El dispositivo WatchGuard usa el promedio de tráfico enviado (TX) y recibido (RX) para
balancear la carga de tráfico por todas las interfaces externas especificadas en su configuración de
operación por turnos.
Si tiene un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su
configuración de operación por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada
interfaz tiene un peso 1. El peso se refiere a la proporción de carga que el dispositivo WatchGuard envía a
través de una interfaz. Si tiene un Fireware XTM Pro y asigna un peso de 2 a una interfaz determinada, se
duplica la parte de tráfico que pasará por esa interfaz, comparada a la interfaz con peso 1.
Por ejemplo, si tienen tres interfaces externas con 6M, 1.5M y .075 de ancho de banda y desea balancear el
tráfico en las tres interfaces, se podría usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware
intentará distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del tráfico total fluya por cada una de las
tres interfaces.

WAN múltiple
Para más informaciones, vea Configurar la opción de operación por turnos de WAN múltiple en la página 122.
Conmutación por error

Cuando usa el método de conmutación por error para enrutar el tráfico por las interfaces externas del
dispositivo WatchGuard, se selecciona una interfaz externa para que sea la principal. Las otras interfaces
externas son las de resguardo y se define el orden para que el dispositivo WatchGuard use las interfaces de
resguardo. El dispositivo WatchGuard monitorea la interfaz externa principal. Si se desconecta, el dispositivo
WatchGuard envía todo el tráfico a la siguiente interfaz externa en su configuración. Mientras el dispositivo
WatchGuard envía todo el tráfico a la interfaz de resguardo, sigue monitoreando la interfaz externa
principal. Cuando la interfaz principal esté activa nuevamente, el dispositivo WatchGuard inmediatamente
recomienza a enviar todas las nuevas conexiones por la interfaz externa principal.
Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; éstas pueden
conmutar por recuperación inmediatamente o continuar a usar la interfaz de resguardo hasta que la
conexión esté concluida. La conmutación por error de WAN múltiple y el FireCluster son configurados
separadamente. La conmutación por error de WAN múltiple provocada por una conexión con fallas hacia
un host de monitor de enlace no desencadena la conmutación por error del FireCluster. La conmutación
por error del FireCluster ocurre solamente cuando la interfaz física está desactivada o no responde. La
conmutación por error del FireCluster tiene precedencia sobre la conmutación por error de WAN múltiple.
Paramás informaciones,vea Configurar la opciónde conmutaciónpor error de WAN múltiple enla página124.
Desbordamiento en la interfaz
Cuando usa el método de configuración de WAN múltiple de desbordamiento en la interfaz, selecciona el
orden que desea que el dispositivo WatchGuard envíe tráfico por las interfaces externas y configura cada
interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el tráfico
por la primera interfaz externa en su lista de configuración de desbordamiento en la interfaz. Cuando el
tráfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a
enviar tráfico a la siguiente interfaz externa configurada en la lista de configuración de desbordamiento en
la interfaz.
Ese método de configuración de WAN múltiple permite que la cantidad de tráfico enviada por cada interfaz
WAN sea restringido a un límite de ancho de banda especificado. Para determinar el ancho de banda, el
dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el número
más alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades
de su red para la interfaz en cuestión y definir el valor de umbral según esas necesidades. Por ejemplo, si su
ISP es asimétrico y define el umbral de ancho de banda según una tasa alta de TX, el desbordamiento en la
interfaz no será desencadenado por una alta tasa de RX.
Si todas las interfaces WAN llegaron al límite de ancho de banda, el dispositivo WatchGuard usa el algoritmo
de enrutamiento ECMP (Protocolo de múltiples rutas de igual costo) para encontrar la mejor ruta.
Nota Es necesario tener el Fireware XTM con actualización Pro para usar ese método de
enrutamiento de WAN múltiple.
Para más informaciones, vea Configurar WAN múltiple Opción de desbordamiento en la interfaz en la
página 125.

WAN múltiple
Tabla de enrutamiento
Cuando selecciona la opción de tabla de enrutamiento para su configuración de WAN múltiple, el
dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los
procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta
específica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento
desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la
pestaña Estado del Firebox System Manager. La opción de tabla de enrutamiento es de WAN múltiple
predeterminada.
Si su dispositivo WatchGuard no encuentra una ruta especificada, él selecciona qué ruta usar según los
valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de múltiples
rutas de igual costo) especificado en:
http://www.ietf.org/rfc/rfc2992.txt
Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cuál salto siguiente (ruta) usar para
enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de tráfico actual.
Para más informaciones, vea Cuando usar los métodos de WAN múltiple y enrutamiento en la página 127.
Módem serie (solamente Firebox X Edge)

Si su organización tiene una cuenta de marcado con un ISP, puede conectar un módem externo al puerto
serie en su Edge y usar esa conexión para conmutación por error cuando todas las otras interfaces externas
estén inactivas.
Para más informaciones, vea Conmutación por error de módem serie en la página 128.
Configurar la opción de operación por turnos de

WAN múltiple
Antes de empezar
n Para usar la función de WAN múltiple, hay que tener más de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la página 82.
n Asegúrese que entiende los conceptos y requisitos para WAN múltiple y el método elegido, tal
como se describe en Acerca de usar múltiples interfaces externas en la página 119 y Acerca de las
opciones de WAN múltiple en la página 120.
Configurar interfaces
1. Seleccione Red > WAN múltiple.
2. En la lista desplegable de la sección Modo de WAN múltiple, seleccione Operación por turnos.

WAN múltiple
3. Si tiene un Fireware XTM con actualización Pro, puede modificar el peso asociado a cada interfaz.
Elija una interfaz, después ingrese o seleccione un nuevo valor en el campo Peso al lado. El valor
predeterminado es 1 para cada interfaz.
Para más información acerca del peso de interfaz, vea Descubra cómo asignar pesos a interfaces en
la página 123.
4. Para asignar una interfaz a la configuración de WAN múltiple, seleccione una interfaz y haga clic en
Configurar.
5. Seleccione la casilla de verificación Participar en WAN múltiple y haga clic en Aceptar.
6. Para concluir su configuración, debe añadir información del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la página 134.
Descubra cómo asignar pesos a interfaces

Si usa un Fireware XTM con actualización Pro, puede asignar un peso para cada interfaz usada en su
configuración de WAN múltiple de operación por turnos. Por defecto, cada interfaz tiene un peso de 1. El
peso se refiere a la proporción de carga que el Firebox envía a través de una interfaz.
Solo números enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son
permitidos. Para un balance de carga óptimo, puede ser necesario hacer cálculos para saber el peso en
número entero que asignar a cada interfaz. Use un multiplicador común, así se define la proporción relativa
de ancho de banda dada por cada conexión externa en números enteros.
Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5
Mbps, y un tercero tiene 769 Kpbs. Convierta la proporción en números enteros:
n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida
para las tres líneas. Sus tres líneas tienen la proporción de 6, 1,5 y 0,75 Mbps.
n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5
: 0,75] es la misma razón que [600 : 150 : 75]

WAN múltiple
n Encuentre el mayor divisor común de los tres números. En este caso, 75 es el número más alto que
divide igualmente los tres números, 600, 150 y 75.
n Divida cada uno de los números por el mayor divisor común.
Los resultados son 8, 2 y 1. Podría usar esos números como pesos en una configuración de WAN múltiple
de operación por turnos.
Configurar la opción de conmutación por error de

WAN múltiple
Antes de empezar
2. En la lista desplegable Modo de WAN Múltiple, seleccione Conmutación por error.
3. Seleccione una interfaz en la lista y haga clic Arriba o Abajo para definir el orden de la conmutación
por error. La primera interfaz de la lista es la principal.
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea
Acerca de la configuración avanzada de WAN múltiple en la página 132.

WAN múltiple
Configurar WAN múltiple Opción de

desbordamiento en la interfaz
Antes de empezar
n Para usar la función de WAN múltiple, debe tener más de una interfaz externa configurada. Si
2. En la lista desplegable Modo WAN múltiple, seleccione Desbordamiento en la interfaz.
3. En el campo Umbral para cada interfaz, ingrese o seleccione la cantidad de tráfico de red en
megabits por segundo (Mbps) que la interfaz debe cargar antes de enviar el tráfico a otras
interfaces.
4. Para definir el orden de la operación de interfaz, seleccione una interfaz en la tabla y haga clic en
Arriba y Abajo para cambiar el orden. Las interfaces son usadas desde la primera a la última en la lista.
5. Para concluir su configuración, debe añadir información, tal como se describe en Acerca del Estado
de la interfaz de WAN en la página 134.
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de
la configuración avanzada de WAN múltiple.

WAN múltiple
Configurar WAN múltiple opción tabla de

enrutamiento
Antes de empezar
n Debe elegir si el método de tabla de enrutamiento es un método de WAN múltiple correcto para
sus necesidades. Para más informaciones, vea Cuando usar los métodos de WAN múltiple y
enrutamiento en la página 127
Modo de tabla de enrutamiento y balance de carga

Es importante observar que la opción de tabla de enrutamiento no hace el balance de carga en las
conexiones a Internet. El Firebox lee su tabla de enrutamiento interna desde arriba hacia abajo. Las rutas
estáticas y dinámicas que especifican un destino aparecen en la parte superior de la tabla de enrutamiento
y tienen precedencia sobre las rutas predeterminadas. (Una ruta predetermina tiene destino 0.0.0.0/0.) Si
no hay una entrada estática o dinámica específica en la tabla de enrutamiento para un destino, el tráfico
hacia ese destino es enrutado entre las interfaces externas del Firebox usando los algoritmos de ECMP. Eso
puede resultar o no en la distribución equitativa de paquetes entre las múltiples interfaces externas.
2. En la lista desplegable Modo de WAN múltiple, seleccione Tabla de enrutamiento.
3. Para asignar interfaces a la configuración de WAN múltiple, seleccione una interfaz y haga clic en
Configurar.
4. Seleccione la casilla de verificación Participar de WAN múltiple . Haga clic en OK.

WAN múltiple
Para más información acerca de las opciones avanzadas de configuración de WAN múltiple, vea Acerca de
la configuración avanzada de WAN múltiple.
Acerca de la tabla de enrutamiento de Firebox

Cuando selecciona la opción de configuración de tabla de enrutamiento, es importante saber mirar la tabla
de enrutamiento que está en su Firebox.
En el Fireware XTM Web UI:
Seleccione Estado del sistema > Rutas.

Eso muestra la tabla de enrutamiento interna en su Firebox.
Las rutas en la tabla de enrutamiento interna en el Firebox incluyen:
n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y
BGP), si activa el dynamic routing.
n Las rutas de redes permanentes o rutas de host que se añaden.
n Las rutas que el Firebox crea automáticamente cuando lee la información de configuración de red.
Si su Firebox detecta que una interfaz externa está inactiva, él remueve las rutas estáticas o dinámicas que
usan esa interfaz. Eso es así si los hosts especificados en el Monitor de enlaces no responden y si un enlace
físico de Ethernet está inactivo.
Para más información acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca
del Estado de la interfaz de WAN en la página 134.
Cuando usar los métodos de WAN múltiple y enrutamiento

Si usa el dynamic routing, puede usar el método de configuración de WAN múltiple de tabla de
enrutamiento o de operación por turnos. Las rutas que usan una puerta de enlace en una red interna
(opcional o de confianza) no son afectadas por el método de WAN múltiple seleccionado.
Cuando usar el método de tabla de enrutamiento

El método de tabla de enrutamiento es una buena opción si:
n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al
dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las
ubicaciones externas.
n Debe tener acceso a un sitio externo o red externa a través de una ruta específica en una red
externa. Los ejemplos incluyen:
n Tener un circuito privado que usa un enrutador de frame relay en la red externa.
n Preferir que todo el tráfico a una ubicación externa siempre pase por una interfaz externa del
El método de tabla de enrutamiento es la forma más rápida de balancear carga de más de una ruta a
Internet. Después de activar esa opción, el algoritmo de ECMP administra todas las decisiones de conexión.
No son necesarias configuraciones adicionales en el dispositivo WatchGuard.

WAN múltiple
Cuando usar el método de operación por turnos

El balance de carga de tráfico a Internet usando ECMP se basa en conexiones, no en ancho de banda. Las
rutas configuradas estáticamente o aprendidas desde el dynamic routing son usadas antes que el algoritmo
de ECMP. Si tiene un Fireware XTM con una actualización Pro, la opción de operación por turnos ponderada
permite enviar más tráfico por una interfaz externa que otras opciones. Al mismo tiempo, el algoritmo de la
operación por turno distribuye el tráfico a cada interfaz externa basado en el ancho de banda, no en
conexiones. Eso le da más control sobre cuántos bytes de datos son enviados a través de cada ISP.
Conmutación por error de módem serie

(Este tópico se aplica solamente al Firebox X Edge y al XTM 2 Series.)
Puede configurar el Firebox X Edge o el XTM 2 Series para enviar tráfico a través de un módem serial
cuando no logra enviar tráfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP
(Proveedor de servicios de Internet) y un módem externo conectado al puerto serie (Edge) o puerto USB
(2 Series) para usar esa opción.
El Edge fue probado con esos módems:
n Módem fax serial Hayes 56K V.90

n Zoom FaxModem 56K modelo 2949
n Módem externo U.S. Robotics 5686
n Módem serial Creative Modem Blaster V.92
n MultiTech 56K Data/Fax Modem International
El 2 Series fue probado con esos módems:
n Zoom FaxModem 56K modelo 2949

n MultiTech 56K Data/Fax Modem International
n Módem Fax/Datos OMRON ME5614D2
n Módem fax serial Hayes 56K V.90
En el caso de un módem serial, use un adaptador USB a serial para conectar el módem al dispositivo XTM 2
Series.
Activar conmutación por error de módem serial

1. Seleccione Red > Módem.
Aparece la página Módem.
2. Seleccione la casilla Activar módem para conmutación por error cuando todas las interfaces
externas estén inactivas.

WAN múltiple
3. Completar la configuración Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las
siguientes secciones.
Configuraciones de la cuenta
1. Seleccione la pestaña Cuenta.
2. En el cuadro de texto Número de teléfono, ingrese el número de teléfono de su ISP.
3. Si tiene otro número para su ISP, en el cuadro de texto Número de teléfono alternativo, ingréselo.
4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.
5. Si inicia sesión en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese
el domain name.
Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contraseña de cuenta , ingrese la contraseña que utiliza para conectarse a su
cuenta de marcado.
7. Si tiene problemas con su conexión, seleccione la casilla de verificación Activar rastreo de
depuración de módem y PPP. Cuando esa opción está seleccionada, el Firebox envía registros
detallados para la función de conmutación por error del módem serial al archivo de registro del
evento.
Configuraciones de DNS
Si su ISP de marcado no ofrece información del servidor DNS, o si debe usar un servidor DNS diferente,
puede agregar manualmente las direcciones IP para que un servidor DNS use después que ocurre una
conmutación por error.
1. Seleccione la pestaña DNS.

Aparece la página "Configuraciones de DNS".

WAN múltiple
2. Seleccione la casilla de verificación Configurar manualmente las direcciones IP del servidor DNS.
3. En el cuadro de texto Servidor DNS principal , ingrese la dirección IP del servidor DNS principal.
4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la
dirección IP para el servidor secundario.
5. En el cuadro de texto MTU , para fines de compatibilidad, puede definir la Unidad Máxima de
Transmisión (MTU, en sus siglas en inglés) en un valor diferente. La mayoría de los usuarios
mantienen la configuración predeterminada.
Configuración de marcado
1. Seleccione la pestaña Marcado.
Aparece la página "Opciones de marcado".
2. En el cuadro de texto Tiempo de espera de marcado , ingrese o seleccione el número de segundos

antes que se agote el tiempo de espera si su módem no se conecta. El valor predeterminado es de
dos (2) minutos.
3. En el cuadro de texto Intentos de remarcado , ingrese o seleccione el número de veces que el
Firebox intenta remarcar si su módem no se conecta. El número predeterminado indica que se
espere tres (3) intentos de conexión.
4. En el cuadro de texto Tiempo de espera de inactividad , ingrese o seleccione el número de minutos
que esperar si el tráfico no pasa por el módem antes que se agote el tiempo de espera. El valor
predeterminado es de ningún tiempo de espera.
5. En la lista desplegable Volumen del parlante , seleccione el volumen del parlante de su módem.

WAN múltiple
Configuraciones avanzadas
Algunos ISPs requieren que se especifique una o más opciones de ppp para establecer conexión. En China,
por ejemplo, algunos ISPs requieren el uso de la opción de ppp de recibir-todos. La opción de recibir-todos
hace que el ppp acepte todos los caracteres de control del punto.
1. Seleccione la pestaña Avanzado.
2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar
más de una opción de PPP, separe cada opción con una coma.
Configuración de "Monitor de enlace"

Puede definir las opciones para probar una o más interfaces externas para una conexión activa. Cuando una
interfaz externa se vuelve activa nuevamente, el Firebox ya no envía tráfico a través del módem serial y usa,
en su lugar, la interfaz o las interfaces externas. Puede configurar el Monitor de enlace para enviar un ping a
un sitio o dispositivo en la interfaz externa, crear una conexión TCP con un sitio o número de puerto que
especifique, o ambos. También puede definir el intervalo de tiempo entre pruebas de conexión y
configurar el número de veces que una prueba debe fallar o tener éxito antes que una interfaz sea activada
o desactivada.
Para configurar el monitor de enlace para una interfaz:
1. Seleccione la pestaña Monitor de enlace.

Aparecen las opciones definidas de ping y conexión TCP para cada interfaz externa.
2. Para configurar una interfaz, selecciónela en la lista y haga clic en Configurar.

Aparece el cuadro de diálogo "Detalles de monitor de enlace".

WAN múltiple
3. Para enviar un ping a una ubicación o dispositivo en la red externa, seleccione la casilla Ping e
ingrese una dirección IP o nombre de host en el cuadro de texto al lado.
4. Para crear una conexión TCP a una ubicación o dispositivo en la red externa, seleccione la casilla TCP
e ingrese una dirección IP o nombre de host en el cuadro de texto al lado. También puede ingresar
o seleccionar un Número depuerto.
El número de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan éxito antes que una interfaz sea marcada como activa,
seleccione la casilla Ping y TCP deben tener éxito.
6. Para cambiar el intervalo de tiempo entre los intentos de conexión, en el cuadro de texto Probar
intervalo , ingrese o seleccione un número diferente.
La configuración predeterminada es de 15 segundos.
7. Para cambiar el número de fallas que marcan una interfaz como inactiva, en el cuadro de texto
Desactivar después de, ingrese o seleccione un número diferente.
8. Para cambiar el número de conexiones exitosas que marcan una interfaz como activa, en el cuadro
de texto Reactivar después de , ingrese o seleccione un número diferente.
9. Haga clic en OK.
Acerca de la configuración avanzada de WAN

múltiple
Puede configurar sticky connections, failback, y notificación de eventos de WAN múltiple. No todas las
opciones de configuración están disponibles para todas las opciones de configuración de WAN múltiple. Si
una configuración no se aplica a la opción de WAN múltiple seleccionada, esos campos no aparecen activos.
Para configurar WAN múltiple:

2. Haga clic en la pestaña Configuración avanzada.
3. Configure Duración de Sticky Connection y Failback para conexiones activas, tal como se describe
en las secciones siguientes.

WAN múltiple
Define una duración de Sticky Connection global

Una sticky connection es una conexión que sigue usando la misma interfaz de WAN por un período definido
de tiempo. Puede definir los parámetros de sticky connection si usa opciones de desbordamiento en la
interfaz o operación por turnos para WAN múltiple. La rapidez asegura que, si un paquete sale por una
interfaz externa, los futuros paquetes entre el par de direcciones IP de origen y de destino usan la misma
interfaz externa por un período determinado de tiempo. Por defecto, las sticky connections usan la misma
interfaz por 3 minutos.
Si una definición de política contiene una configuración de sticky connection, esa configuración es usada en
lugar de la configuración global.
Para cambiar la duración de sticky connection global para un protocolo o conjunto de protocolos:
1. En el cuadro de texto para el protocolo, ingrese o seleccione un número.

2. En la lista desplegable al lado, seleccione una duración.
Si define una duración de sticky connection en una política, puede anular la duración de sticky connection
global. Para más informaciones, vea Defina la duración de sticky connection para una política en la página 272.
Definir acción de failback

Puede definir la acción que desea que su dispositivo WatchGuard haga cuando ocurre un evento de
conmutación por error y la interfaz externa principal se vuelve activa nuevamente. Cuando eso se dá, todas
las nuevas conexiones inmediatamente conmutan por recuperación hacia la interfaz externa principal.
Seleccione el método deseado para las conexiones en proceso en el momento de la failback.
En la lista desplegable Failback para conexiones activas :
n Failback inmediata — Seleccione esta opción si desea que el dispositivo WatchGuard detenga
inmediatamente todas las conexiones existentes.

WAN múltiple
n Failback gradual — Seleccione esta opción si desea que el dispositivo WatchGuard siga usando la
interfaz de conmutación por error para conexiones existentes hasta que cada conexión esté
completa.
Esa configuración de failback también se aplica a cualquier configuración de enrutamiento basado en la

política que se define para usar interfaces externas de conmutación por error.
Acerca del Estado de la interfaz de WAN

Puede elegir el método y frecuencia con la que desea que el Firebox verifique el estado de cada interfaz de
WAN. Si no configura un método especificado para ser usado por Firebox, él envía un ping a la puerta de
enlace predeterminada de la interfaz para verificar el estado de la misma.
Tiempo necesario para que el Firebox actualice su tabla de

enrutamiento
Si un host de monitor de enlace no responde, puede llevar de 40 - 60 segundos para que el dispositivo
WatchGuard actualice su tabla de enrutamiento. Cuando el mismo host de monitor de enlace empieza a
responder nuevamente, puede llevar de 1 - 60 segundos para que su Firebox actualice su tabla de
enrutamiento.
El proceso de actualización es mucho más rápido cuando su Firebox detecta una desconexión física del
puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento
inmediatamente. Cuando su Firebox detecta que la conexión de Ethernet está activa nuevamente, él
actualiza su tabla de enrutamiento dentro de 20 segundos.
Definir un host de monitor de enlace

2. Seleccione la interfaz y haga clic en Configurar.
Aparece el cuadro de diálogo "Detalles de monitor de enlace".

WAN múltiple
3. Seleccione las casillas de verificación para cada método de monitor de enlace que desea que el
Firebox use para verificar el estado de cada interfaz externa:
n Ping — Agregue una dirección IP o domain name para que el Firebox envíe un ping para
verificar el estado de la interfaz.
n TCP — Agregue una dirección IP o domain name de un equipo con el que el Firebox puede
negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.
n Ping y TCP deben tener éxito — La interfaz es considerada inactiva excepto si tanto el ping
como la conexión TCP son concluidos con éxito.
Si una interfaz externa es miembro de una configuración de FireCluster, una conmutación por error
de WAN múltiple provocada por una falla de conexión hacia un host de monitor de enlace no
desencadena la conmutación por error del FireCluster. La conmutación por error del FireCluster
ocurre solamente cuando la interfaz física está desactivada o no responde. Si agrega un domain
name para que el Firebox envíe un ping y alguna de las interfaces externas tiene una dirección IP
estática, debe configurar un servidor DNS, tal como se describe en Agregar direcciones de servidor
DNS y WINS.
4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,
ingrese o seleccione una configuración de Probar después de.
La configuración predeterminada es de 15 segundos.
5. Para cambiar el número de fallas de pruebas consecutivas que debe ocurrir antes de una
conmutación por error, ingrese o seleccione una configuración de Desactivar después de.
La configuración predeterminada es de tres (3). Después del número de fallas seleccionado, el Firebox intenta
enviar el tráfico a través de la siguiente interfaz especificada en la lista de conmutación por error de WAN
múltiple.
6. Para cambiar el número de pruebas consecutivas exitosas a través de una interfaz antes que la
interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuración
de Reactivar después de.
7. Repita esos pasos para cada interfaz externa.

WAN múltiple

8 Traducción de dirección de red
(NAT)
Acerca de la Traducción de dirección de red (NAT)

La traducción de dirección de red (NAT) es un término utilizado para describir cualquiera de varias formas
de traducción de dirección IP y puerto. En su nivel más básico, NAT cambia la dirección IP de un paquete
de un valor a otro diferente.
El objetivo principal de NAT es aumentar el número de computadoras que pueden funcionar partiendo de
una única dirección IP públicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.
Cuando se usa NAT, la dirección IP de origen se cambia en todos los paquetes que se envían.
NAT se puede aplicar como configuración de firewall general o como una configuración en una política. Las
configuraciones de NAT firewall no se aplican a las políticas BOVPN.
Si tiene Fireware XTM con una actualización Pro, puede usar la función de Balance de carga en el servidor
como parte de una regla NAT estática. La función de balance de carga en el servidor está diseñada para
ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores
públicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede
determinar que el dispositivo WatchGuard controle el número de sesiones iniciadas en hasta diez
servidores para cada política de firewall que configure. El dispositivo WatchGuard controla la carga según el
número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de
banda que usa cada servidor.
Para obtener más información sobre el balance de carga en el servidor, consulte Configurar Balance de
carga en el servidor en la página 154.
Tipos de NAT
El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuración puede usar más de un tipo
de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el tráfico de firewall y otros tipos como
configuración en una política.

Traducción de dirección de red (NAT)
NAT dinámico
NAT dinámico también se conoce como enmascaramiento IP. El dispositivo WatchGuard puede
aplicar su dirección IP pública a los paquetes salientes para todas las conexiones o para servicios
específicos. Esto oculta a la red externa la dirección IP real de la computadora que es el origen del
paquete. NAT dinámica en general se usa para ocultar las direcciones IP de host internos cuando
tienen acceso a servicios públicos.
Para más informaciones, vea Acerca de la dinámica basada en políticas en la página 138.
NAT estática
NAT estática, conocida también como reenvío de puerto, se configura cuando se configuran las
políticas. NAT estática es una NAT de puerto-a-host. Un host envía un paquete desde la red externa a
un puerto en una interfaz externa. NAT estática cambia esta dirección IP a una dirección IP y puerto
detrás del firewall.
Para más informaciones, vea Acerca de la NAT estática en la página 153.
1-to-1 NAT
1-to-1 NAT crea una asignación entre direcciones IP en una red y direcciones IP en una red
diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan
acceso a los servidores internos públicos.
Para más informaciones, vea Acerca de las 1-to-1 NAT en la página 142.
Acerca de la dinámica basada en políticas

NAT dinámica es el tipo de NAT que se utiliza con más frecuencia. Cambia la dirección IP de origen de una
conexión saliente a la dirección IP pública de Firebox. Fuera de Firebox, se observa sólo la dirección IP de la
interfaz externa de Firebox en los paquetes salientes.
Muchas computadoras pueden conectarse a Internet desde una dirección IP pública. NAT dinámica ofrece
más seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con
NAT dinámica, todas las conexiones deben iniciarse desde detrás de Firebox. Los host maliciosos no pueden
iniciar conexiones a las computadoras detrás de Firebox cuando éste está configurado para NAT dinámica.
En la mayoría de las redes, la política de seguridad recomendada es aplicar NAT a todos los paquetes
salientes. Con Fireware, NAT dinámica está activada de manera predeterminada en el cuadro de diálogo
Red > NAT. También está activada de manera predeterminada en cada política que se crea. Puede anular la
configuración de firewall para NAT dinámica en las políticas individuales, como se describe en Aplicar
reglas NAT en la página 271.
Agregar firewall a entradas de NAT dinámicas

La configuración predeterminada de NAT dinámica activa NAT dinámica desde todas las direcciones IP
privadas hacia la red externa. Las entradas predeterminadas son:
n 192.168.0.0/16 – Cualquiera-externo

Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y
en general se usan para las direcciones IP en LAN. Para activar NAT dinámica para direcciones IP privadas
distintas de éstas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT
dinámicas en la secuencia en la que aparecen en la lista Entradas de NAT dinámica. Recomendamos colocar
las reglas en una secuencia que coincida con el volumen de tráfico al que se aplican las reglas.
1. Seleccione Red > NAT.

Aparece la página de configuración de NAT.
2. En la sección NAT dinámica , haga clic en Agregar.

Aparece la página de configuración de NAT dinámica.

3. En la sección Desde , haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
dirección a utilizar para especificar el origen de los paquetes salientes: IP de host, IP de red, Rango
de host o Alias.
4. En la sección Desde , debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de
host, la dirección IP de red o el rango de direcciones IP de host o seleccione un alias en la lista
desplegable.
Debe ingresar una dirección de red en notación diagonal.
Para obtener más información sobre alias del dispositivo WatchGuard incorporados, consulte Acerca
de los alias en la página 257.
5. En la sección Hasta, haga clic en la lista desplegable Tipo de miembro para seleccionar el tipo de
dirección a utilizar para especificar el destino de los paquetes salientes.
6. En la sección Hasta, debajo de la lista desplegable Tipo de miembro, ingrese la dirección IP de host,
la dirección IP de red o el rango de direcciones IP de host , o seleccione un alias en la lista
desplegable.
La nueva entrada aparece en la lista Entradas de NAT dinámica.
Eliminar una entrada NAT dinámica

No puede cambiar una entrada NAT dinámica existente. Si desea cambiar una entrada existente, debe
eliminar la entrada y agregar una nueva.
Para eliminar una entrada NAT dinámica:
1. Seleccione la entrada que desea eliminar.

Aparece un mensaje de advertencia.
3. Haga clic en Sí.

Reordenar entradas NAT dinámica

Para cambiar la secuencia de las entradas NAT dinámica:
1. Seleccione la entrada que desea cambiar.

2. Haga clic en Arriba o Abajo para desplazarla en la lista.
Configurar NAT dinámica basada en políticas

En NAT dinámica basada en políticas, Firebox asigna direcciones IP privadas a direcciones IP públicas. NAT
dinámica se activa en la configuración predeterminada de cada política. No es necesario activarla a menos
que la haya desactivado previamente.
Para que NAT dinámica basada en políticas funcione correctamente, utilice la pestaña Política del cuadro de
diálogo Editar propiedades de políticas para asegurarse de que la política esté configurada para permitir el
tráfico saliente sólo a través de una interfaz de Firebox.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.
1. Seleccione Firewall > Políticas de firewall.

Aparece la lista de políticas de firewall.
2. Seleccione una política y haga clic en Editar.
Aparece la página de Configuración de políticas.
3. Haga clic en la pestaña Avanzado.

4. Seleccione la casilla de verificación NAT dinámica.

5. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica
establecidas para el dispositivo WatchGuard.
Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.
Puede configurar una dirección IP de origen NAT dinámica para cualquier política que usa NAT
dinámica. Seleccione la casilla de verificación Establecer IP de origen.
Cuando selecciona una dirección IP de origen, cualquier tráfico que usa esta política muestra una
dirección específica de su rango de direcciones IP externas o públicas como el origen. Esto se utiliza
con más frecuencia para obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para
su dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con
la dirección IP de registro MX. Esta dirección de origen debe estar en la misma subnet que la
interfaz especificada para el tráfico saliente.
Recomendamos no utilizar la opción Establecer IP de origen si tiene más de una interfaz externa
configurada en su dispositivo WatchGuard.
Si no selecciona la casilla de verificación Establecer IP de origen, el dispositivo WatchGuard cambia
la dirección IP de origen para cada paquete a la dirección IP de la interfaz desde la cual se envía el
paquete.
Desactivar basado en políticas NAT dinámica

NAT dinámica se activa en la configuración predeterminada de cada política. Para desactivar NAT dinámica
para una política:

4. Para desactivar NAT para el tráfico controlado por esta política, desmarque la casilla de verificación
NAT dinámica .
Acerca de las 1-to-1 NAT

Cuando se activa 1-to-1 NAT, el dispositivo WatchGuard cambia las rutas de todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente. Una regla 1-to-1
NAT siempre tiene prioridad sobre NAT dinámica.
1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP
privadas que deben hacerse públicas. Se puede usar 1-to-1 NAT para asignar direcciones IP públicas a los
servidores internos. No es necesario cambiar la dirección IP de los servidores internos. Cuando se tiene un
grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrónico),1-to-1 NAT es
más fácil de configurar que NAT estática para el mismo grupo de servidores.
Para comprender cómo configurar 1-to-1 NAT, proponemos este ejemplo:

La empresa ABC tiene un grupo de cinco servidores de correo electrónico con direcciones privadas detrás
de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La empresa ABC selecciona cinco direcciones IP públicas de la misma dirección de red como interfaz
externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrónico
resuelvan.
Estas direcciones son:
50.1.1.1
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrónico. La regla 1-to-1
NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación
tiene el siguiente aspecto:
10.1.1.1 <--> 50.1.1.1

10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la
relación NAT entre el grupo de direcciones IP privadas y el grupo de direcciones públicas. 1-to-1 NAT
también funciona en tráfico enviado desde redes que protege el dispositivo WatchGuard.
Acerca de 1-to-1 NAT y VPN

Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direcciones
de red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un túnel VPN entre dos redes que usan
la misma dirección de red privada. Si el rango de dirección en la red remota es el mismo que en la red
local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT.
1-to-1 NAT se configura para un túnel VPN al configurar el túnel VPN y no en Red> NAT. página.

Configurar el firewall 1-to-1 NAT

1. Seleccione Red > NAT.
Aparece la página de configuración de NAT .
2. En la sección 1-to-1 NAT , haga clic en Agregar.

Aparece la página de configuración de 1-to-1 NAT.

3. En la lista desplegable Tipo de asignación, seleccione IP única (para asignar un host), Rango de IP
(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).
Si selecciona Rango de IP o Subnet IP, no incluya más de 256 direcciones IP en ese rango o subnet.
Para aplicar NAT a más de 256 direcciones IP , debe crear más de una regla.
4. Complete todos los campos en la sección Configuración.
Para obtener más información acerca de cómo usar estos campos, consulte la siguiente sección
Definir una regla de 1-to-1 NAT.
Después de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las políticas
correspondientes.
n Si su política administra tráfico saliente, agregue las direcciones IP de la base real a la sección Desde
de la configuración de políticas.
n Si su política administra tráfico entrante, agregue las direcciones IP de base NAT a la sección Hasta
de la configuración de políticas.
En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo
electrónico descritos en Acerca de las 1-to-1 NAT en la página 142, debemos configurar la política SMTP
para permitir el tráfico SMTP. Para completar esta configuración, debe cambiar la configuración de la
política para permitir el tráfico desde la red externa al rango de dirección IP 10.1.1.1-10.1.1.5.
1. Crear una nueva política o modificar una política existente.

2. Junto a la lista Desde, haga clic en Agregar.
3. Seleccione el alias Cualquiera-externo y haga clic en OK.
4. Junto a la lista Hasta, haga clic en Agregar.
5. Para agregar una dirección IP por vez, seleccione IP de host en la lista desplegable e ingrese la
dirección IP en el cuadro de texto adyacente y haga clic enOK.
6. Repita los pasos 3 al 4 para cada dirección IP en el rango de dirección NAT.
Para agregar varias direcciones IP a la vez, seleccione Rango de host en la lista desplegable. Ingrese
la primera y la última dirección IP del rango de base de NAT y haga clic en OK.

Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-
to-1 NAT, debe usar la dirección IP pública (base de NAT) de esa computadora. Si
esto es un problema, puede desactivar 1-to-1 NAT y usar NAT estática.
Definir una Regla de 1-to-1 NAT

En cada regla de 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. También debe
configurar:
Interfaz
El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-
to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se
aplica a la interfaz externa.
Base de NAT
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base de NAT es la primera dirección IP disponible en el rango de
direcciones hasta. La dirección IP base de NAT es la dirección a la que cambia la dirección IP de base
real cuando se aplica 1-to-1 NAT. No se puede usar la dirección IP de una interfaz Ethernet existente
como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.
Base real
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base real es la primera dirección IP disponible en el rango de direcciones
desde. Es la dirección IP asignada a la interfaz Ethernet física de la computadora a la cual se aplicará
la política de 1-to-1 NAT. Cuando los paquetes de una computadora con una dirección de base real
atraviesan la interfaz especificada, se aplica la acción 1 a 1. En nuestro ejemplo anterior, la base real
es 10.0.1.50.
Número de host para NAT (para rangos únicamente)
El número de direcciones IP en un rango al cual se aplica la regla de 1-to-1 NAT. La primera

dirección IP de base real se traduce a la primera dirección IP de base de NAT cuando se aplica 1-to-1
NAT. La segunda dirección IP de base real en el rango se traduce a la segunda dirección IP de base
de NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Número de host para
NAT. En el ejemplo anterior, el número de host al que se aplicará NAT es 5.
También puede usar 1-to-1 NAT cuando debe crear un túnel VPN entre dos redes que usan la misma
dirección de red privada. Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben
tener rangos de direcciones de red diferentes. Si el rango de dirección en la red remota es el mismo que
en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede
crear el túnel VPN y no cambiar las direcciones IP de un lado del túnel. 1-to-1 NAT se configura para un
túnel VPN al configurar el túnel VPN y no en el cuadro de diálogo Red> NAT.
Para observar un ejemplo de cómo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.

Configurar basado en políticas 1-to-1 NAT

En 1-to-1 NAT basada en políticas, su dispositivo WatchGuard usa los rangos de direcciones IP públicas y
privadas que se establecieron al configurar 1-to-1 NAT global, pero las reglas se aplican a una política
individual. 1-to-1 NAT se activa en la configuración predeterminada de cada política. Si el tráfico coincide
con 1-to-1 NAT y con las políticas de NAT dinámica, 1-to-1 NAT prevalece.
Activar 1-to-1 NAT basada en políticas

Debido a que 1-to-1 NAT basada en políticas está activada en forma predeterminada, no es necesaria
ninguna otra acción para activarla. Si previamente ha desactivado 1-to-1 NAT basada en políticas, seleccione
la casilla de verificación enPaso 4 del siguiente procedimiento para volver a activarla.
Desactivar 1-to-1 NAT basada en políticas

4. Desmarque la casilla de verificación 1-to-1 NAT para desactivar NAT para el tráfico controlado por
esta política.

Configurar el bucle invertido de NAT con NAT

estática
Fireware XTM incluye soporte para bucle invertido de NAT. El bucle invertido de NAT permite a un usuario
en las redes de confianza u opcionales obtener acceso a un servidor público que se encuentra en la misma
interfaz física de Firebox por medio de su dirección IP pública o domain name. Para conexiones de bucle
invertido de NAT, Firebox cambia la dirección IP de origen de la conexión para que sea la dirección IP de la
interfaz interna de Firebox (la dirección IP principal para la interfaz donde tanto el cliente como el servidor
se conectan a Firebox).
El siguiente ejemplo ayuda a comprender cómo configurar el bucle invertido de NAT cuando se usa NAT
estática:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT
estática para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios de
la red de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor público.
En este ejemplo suponemos:
n La interfaz de confianza está configurada con una dirección IP en la red 10.0.1.0/24.

n La interfaz de confianza también está configurada con una dirección IP secundaria en la red
192.168.2.0/24.
n El servidor HTTP está conectado físicamente a la red 10.0.1.0/24. La dirección de base real del
servidor HTTP se encuentra en la red de confianza.
Agregar una política para bucle invertido de NAT al servidor

En este ejemplo, para permitir a los usuarios de sus redes de confianza y opcional utilizar la dirección IP
pública o el domain name para acceder a un servidor público que se encuentra en la red de confianza, se
debe agregar una política HTTP que podría ser la siguiente:

La sección Hasta de la política contiene una ruta NAT estática desde la dirección IP pública del servidor
HTTP a la dirección IP real de ese servidor.
Para obtener más información acerca de NAT estática, consulte Acerca de la NAT estática en la página 153.
Si utiliza 1-to-1 NAT para enrutar tráfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-
to-1 NAT en la página 150.

Bucle invertido de NAT y 1-to-1 NAT

El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un
servidor público con su dirección IP pública o domain name si el servidor se encuentra en la misma interfaz
física de Firebox. Si utiliza 1-to-1 NAT para enrutar el tráfico a servidores en la red interna, siga estas
instrucciones para configurar el bucle invertido de NAT desde usuarios internos a esos servidores. Si no
utiliza 1-to-1 NAT, consulte Configurar el bucle invertido de NAT con NAT estática en la página 148.
Para comprender cómo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este
ejemplo:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla
1-to-1 NAT para asignar la dirección IP pública al servidor interno. La empresa desea permitir a los usuarios
de la interfaz de confianza el uso de la dirección IP pública o el domain name para acceder a este servidor
público.
En este ejemplo suponemos:
n Un servidor con la dirección IP pública 100.100.100.5 está asignado con una regla 1-to-1 NAT a un
host en la red interna.
En la sección de 1-to-1 NAT de la página de configuración de NAT , seleccione estas opciones:
Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5
n La interfaz de confianza está configurada con una red principal, 10.0.1.0/24.

n El servidor HTTP está conectado físicamente a la red en la interfaz de confianza. La dirección de base
real de ese host se encuentra en la interfaz de confianza.
n La interfaz de confianza también está configurada con una secondary network, 192.168.2.0/24.
En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de
confianza, es necesario:
1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese tráfico cuando las
computadoras internas obtienen acceso a la dirección IP pública 100.100.100.5 con una conexión

de bucle invertido de NAT.
Se debe agregar una asignación más de 1-to-1 NAT para aplicar al tráfico que se inicia en la interfaz
de confianza. La nueva asignación 1 a 1 es igual a la anterior, excepto que la Interfaz está
configurada en De confianza en lugar de Externa.
Después de agregar la segunda entrada 1-to-1 NAT, la sección de la pestaña 1-to-1 NAT cuadro de
diálogo Configuración de página muestra dos asignaciones de 1-to-1 NAT : una para Externa y una
para De confianza.
En la sección 1-to-1 NAT de la página de configuración de NAT, agregue estas dos entradas:
Interfaz — Externa, NAT Base — 100.100.100.5, Base real — 10.0.1.5

Interfaz — De confianza, NAT Base — 100.100.100.5, Base real — 10.0.1.5
2. Agregue una entrada NAT dinámica para cada red en la interfaz a la que está conectado el servidor.
El campo Desde para la entrada NAT dinámica es la dirección IP de red de la red desde la cual las
computadoras obtienen acceso a la dirección IP de 1-to-1 NAT con bucle invertido de NAT.
Elcampo Hasta para laentrada NATdinámica esla direcciónbase de NAT enla asignaciónde 1-to-1NAT.
En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios
de ambas redes obtener acceso al servidor HTTP con la dirección IP pública o nombre de host del
servidor. Se deben agregar dos entradas NAT dinámica.
En la sección NAT dinámica de la página de configuración de NAT , agregue:
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
3. Agregue una política para permitir a los usuarios en su red de confianza utilizar la dirección IP
pública o el domain name para obtener acceso al servidor público en la red de confianza. Para este
ejemplo:
De
Cualquiera de confianza

Para
100.100.100.5
La dirección IP pública a la que los usuarios desean conectarse es 100.100.100.5. Esta dirección IP
está configurada como dirección IP secundaria en la interfaz externa.
En la sección Hasta de la política, agregue 100.100.100.5.
Para obtener más información acerca de cómo configurar NAT estática, consulte Acerca de la NAT estática
en la página 153.
Para obtener más información acerca de cómo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1
NAT en la página 144.

Acerca de la NAT estática

NAT estática, conocida también como reenvío de puerto, es una NAT de puerto-a-host. Un host envía un
paquete desde la red externa a un puerto en una interfaz externa. NAT estática cambia la dirección IP de
destino a una dirección IP y puerto detrás del firewall. Si una aplicación de software utiliza más de un
puerto y los puertos se seleccionan en forma dinámica, se debe usar 1-to-1 NAT o verificar si un proxy en el
dispositivo WatchGuard administra este tipo de tráfico. NAT estática también funciona en el tráfico enviado
desde redes que protege el dispositivo WatchGuard.
Cuando se usa NAT estática, se utiliza una dirección IP externa de Firebox en lugar de la dirección IP de un
servidor público. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor público
no tenga una dirección IP pública. Por ejemplo, se puede ubicar el servidor de correo electrónico SMTP
detrás del dispositivo WatchGuard con una dirección IP privada y configurar NAT estática en su política
SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el tráfico
SMTP se envíe al servidor SMTP real detrás de Firebox.
2. Haga doble clic en una política para editarla.

3. En la lista desplegableConexiones están, seleccione Permitidas.
Para usar NAT estática, la política debe permitir el acceso del tráfico entrante.
4. Debajo de la lista Hasta, haga clic en Agregar.
Nota NAT estática sólo está disponible para políticas que usan un puerto específico, que
incluye TCP y UDP. Una política que utiliza un protocolo diferente no puede usar
NAT estática entrante. El botón NAT en el cuadro de diálogo Propiedades de esa
política no está disponible. También se puede usar NAT estática con la política
Cualquiera.
5. En el Miembro En la lista desplegable Tipo, seleccione NAT estática.
6. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea
utilizar en esta política.

Por ejemplo, puede usar NAT estática en esta política para paquetes recibidos en sólo una dirección
IP externa. O bien, puede usar NAT estática para paquetes recibidos en cualquier dirección IP
externa si selecciona el alias Cualquiera externo.
7. Ingrese la dirección IP interna. Es el destino en la red opcional o de confianza.
8. Si es necesario, seleccione la casilla de verificación Determinar puerto interno para un puerto
diferente . Esto activa la traducción de dirección de puerto (PAT).
Esta función permite cambiar el destino del paquete no sólo a un host interno específico sino
también a un puerto diferente. Si selecciona esta casilla de verificación, ingrese el número de
puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea
utilizar. En general, esta función no se utiliza.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar NAT estática.
La ruta de NAT estática aparece en la lista Miembros y Direcciones.
Configurar Balance de carga en el servidor

Nota Para usar la función de balance de carga en el servidor, debe contar con un
dispositivo Firebox X Core, Peak o WatchGuard XTM y Fireware XTM con
actualización Pro.
La función de balance de carga en el servidor en Fireware XTM está diseñada para ayudarle a aumentar la
escalabilidad y el rendimiento de una red de alto tráfico con múltiples servidores públicos. Con el balance
de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el número de sesiones
iniciadas en hasta diez servidores para cada política de firewall que configure. El dispositivo WatchGuard
controla la carga según el número de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide
ni compara el ancho de banda que usa cada servidor.
El balance de carga en el servidor se configura como parte de una regla NAT estática. El dispositivo
WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se
configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el
Operación por turnos
Si selecciona esta opción, el dispositivo WatchGuard distribuye las sesiones entrantes entre los
servidores que se especifican en la política en orden de operación por turnos. La primera conexión
se envía al primer servidor especificado en su política. La próxima conexión se envía al siguiente
servidor en su política y así sucesivamente.
Conexión menor
Si selecciona esta opción, el dispositivo WatchGuard envía cada nueva sesión al servidor en la lista
que actualmente tiene el número más bajo de conexiones abiertas al dispositivo. El dispositivo
WatchGuard no puede determinar cuántas conexiones abiertas tiene el servidor en otras interfaces.
Se pueden aplicar pesos a los servidores en la configuración del balance de carga en el servidor para
asegurarse de que los servidores con más capacidad reciban la carga más pesada. De manera

predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporción de carga que
el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en
número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación con un
servidor con un peso de 1.
Cuando se configura el balance de carga en el servidor, es importante saber:
n Se puede configurar el balance de carga en el servidor para cualquier política a la cual se puede
aplicar NAT estática.
n Si se aplica el balance de carga en el servidor a una política, no se puede configurar el enrutamiento
basado en políticas u otras reglas de NAT en la misma política.
n Cuando se aplica el balance de carga en el servidor a una política, se puede agregar un máximo de
10 servidores a la política.
n El dispositivo WatchGuard no modifica al remitente o la dirección IP de origen del tráfico enviado a
estos dispositivos. Mientras que el tráfico se envía directamente desde el dispositivo WatchGuard,
cada dispositivo que forma parte de la configuración de balance de carga en el servidor ve la
dirección IP de origen original del tráfico de red.
n Si se usa balance de carga en el servidor en una configuración de FireCluster activa/pasiva, no
ocurre la sincronización en tiempo real entre los miembros del cluster cuando ocurre un evento de
conmutación por error. Cuando la copia de seguridad principal pasiva se convierte en cluster
principal activo, envía conexiones a todos los servidores en la lista de balance de carga en el servidor
para ver cuáles servidores están disponibles. Entonces aplica el algoritmo de balance de carga del
servidor a todos los servidores disponibles.
Para configurar el balance de carga en el servidor:
1. Seleccione Firewall >Políticas de Firewall. Seleccione la política que dese modificar y haga clic en
Editar.
O bien, agregue una nueva política.
2. Debajo del campo Hasta, haga clic en Agregar.

Aparece el cuadro de diálogo Miembro dirección.
3. En la lista desplegable Tipo de miembro, seleccione Balance de carga en el servidor.

4. En la lista desplegable Dirección IP externa, seleccione la dirección IP externa o alias que desea
utilizar en esta política.
Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el
servidor para esta política a paquetes recibidos en sólo una dirección IP externa. O bien, se puede
determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes
recibidos en cualquier dirección IP externa si selecciona el alias Cualquiera externo.
5. En la lista desplegable Método, seleccione el algoritmo deseado para que use el dispositivo
WatchGuard para el balance de carga en el servidor: Operación por turnos o Conexión menor.
6. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta política.
Puede agregar un máximo de 10 servidores a una política. También puede agregar peso al servidor.
De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporción de
carga que el dispositivo WatchGuard envía a un servidor. Si se asigna un peso de 2 a un servidor, se
duplica en número de sesiones que el dispositivo WatchGuard envía a ese servidor, en comparación
con un servidor con un peso de 1.
7. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificación
Activar sticky connection y configure el período en los campos Activar sticky connection.
Una sticky connection es una conexión que continúa usando el mismo servidor durante un período
definido. Esta cohesión garantiza que todos los paquetes entre un par de direcciones de origen y de
destino se envíen al mismo servidor durante el período especificado.

Ejemplos de NAT
Ejemplo de 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTM cambia y enruta todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente.
Considere una situación en la que se tiene un grupo de servidores internos con direcciones IP privadas,
cada una de las cuales debe mostrar una dirección IP pública diferente al mundo exterior. Puede usar 1-to-
1 NAT para asignar direcciones IP públicas a los servidores internos y no tiene que cambiar las direcciones
IP de sus servidores internos. Para comprender cómo configurar 1-to-1 NAT, considere este ejemplo:
Una empresa tiene un grupo de tres servidores con direcciones privadas detrás de una interfaz opcional de
su Firebox. Las direcciones de estos servidores son:
10.0.2.11
10.0.2.12
10.0.2.13
El administrador selecciona tres direcciones IP públicas de la misma dirección de red como interfaz externa
de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:
50.50.50.11
50.50.50.12
50.50.50.13
Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una
relación estática, bidireccional entre los pares correspondientes de direcciones IP. La relación tiene el
siguiente aspecto:
10.0.2.11 <--> 50.50.50.11

10.0.2.12 <--> 50.50.50.12
10.0.2.13 <--> 50.50.50.13
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relación NAT entre el
grupo de direcciones IP privadas y el grupo de direcciones públicas.

Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.

9 Configuración inalámbrica
Acerca de la configuración inalámbrica

Cuando activa la función inalámbrica del dispositivo WatchGuard, puede configurar la interfaz externa para
utilizarla en forma inalámbrica o puede configurar el dispositivo WatchGuard como punto de acceso
inalámbrico para usuarios en las redes de confianza, opcionales o invitadas.
Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.
Para activar la función inalámbrica en su dispositivo WatchGuard:
1. Seleccione Red > Inalámbrica.

Aparece la página Inalámbrica.
2. En la página Inalámbrica, seleccione una opción de configuración inalámbrica:
Activar cliente inalámbrico como interfaz externa
Esta configuración le permite configurar la interfaz externa del dispositivo inalámbrico

WatchGuard a fin de conectarse con una red inalámbrica. Esto no resulta útil en áreas que
tienen una infraestructura de red limitada o nula.

Configuración inalámbrica
Para obtener información sobre cómo configurar la interfaz externa en modo inalámbrico,
consulte Configurar la interfaz externa como interfaz inalámbrica en la página 178.
Activar puntos de acceso inalámbricos
Esta configuración le permite configurar el dispositivo inalámbrico WatchGuard como un punto

de acceso para los usuarios en las redes de confianza, opcionales o invitadas.
Para más informaciones, vea Acerca de las configuración del punto de acceso inalámbrico en la
página 160.
3. En la sección Configuraciones de radio, seleccione sus configuraciones de radio inalámbrico.
Para más informaciones, vea Acerca de configuraciones de radio en Firebox X Edge e-Series
inalámbrico en la página 181 y Acerca de las configuraciones de radio inalámbrico en el dispositivo
inalámbrico WatchGuard XTM 2 Series en la página 183.
Acerca de las configuración del punto de acceso

inalámbrico
Cualquier dispositivo inalámbrico WatchGuard puede configurarse como punto de acceso inalámbrico con
tres zonas de seguridad diferentes. Puede activar otros dispositivos inalámbricos para conectar con el
dispositivo inalámbrico WatchGuard como parte de la red de confianza o parte de la red opcional. También
puede activar una red de servicios inalámbricos para invitados para los usuarios de dispositivos
WatchGuard. Las computadoras que se conectan con la red invitada se conectan a través del dispositivo
inalámbrico WatchGuard, pero no tienen acceso a las computadoras en las redes opcionales o de confianza.
Antes de activar el dispositivo inalámbrico WatchGuard como un punto de acceso inalámbrico, debe
examinar cuidadosamente los usuarios inalámbricos que se conectan con el dispositivo y determinar el
nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalámbrico que puede
habilitar:
Habilitar conexiones inalámbricas a una interfaz de confianza
Cuando habilita conexiones inalámbricas a través de una interfaz de confianza, los dispositivos
inalámbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, así
como acceso total a Internet según las reglas que usted configure para el acceso saliente en su
dispositivo WatchGuard. Si activa el acceso inalámbrico a través de una interfaz de confianza, se
recomienda especialmente que active y utilice la función de restricción de MAC para habilitar el
acceso a través del dispositivo WatchGuard sólo para los dispositivos que agregue a la lista de
direcciones MAC habilitadas.
Para obtener más información sobre cómo restringir el acceso a través de direcciones MAC,
consulte Usar vínculo de dirección MAC estático en la página 103.
Habilitar conexiones inalámbricas a una interfaz opcional
Cuando habilita conexiones inalámbricas a través de una interfaz opcional, esos dispositivos
inalámbricos tienen acceso total a todas las computadoras en la red opcional, así como acceso total a
Internet según las reglas que configure para el acceso saliente en su dispositivo WatchGuard.

Habilitar conexiones de invitados inalámbricos a través de la interfaz externa
Las computadoras que se conectan con la Wireless Guest Network se conectan a través del
dispositivo WatchGuard a Internet según las reglas que configure para el acceso saliente en su
dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o
de confianza.
Para obtener más información sobre cómo configurar una Wireless Guest Network, consulte Activar
una red inalámbrica para invitados en la página 170.
Antes de configurar el acceso a la red inalámbrica, consulte Antes de empezar en la página 161.
Para habilitar conexiones inalámbricas a su red opcional o de confianza, consulte Habilitar conexiones
inalámbricas a la red opcional o de confianza en la página 167.
Antes de empezar
Los dispositivos inalámbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas
por el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE). Al instalar un dispositivo inalámbrico
WatchGuard:
n Asegúrese de que el dispositivo inalámbrico se instale en un lugar a más de 20 centímetros de

distancia respecto de las personas. Éste es un requisito de la Comisión Federal de Comunicaciones
(FCC) para los transmisores de baja potencia.
n Es recomendable instalar el dispositivo inalámbrico lejos de otras antenas o transmisores para
disminuir las interferencias.
n El algoritmo predeterminado de autenticación inalámbrica que está configurado para cada zona de
seguridad inalámbrica no es el algoritmo de autenticación más seguro. Si los dispositivos
inalámbricos que se conectan a su dispositivo inalámbrico WatchGuard pueden funcionar
adecuadamente con WPA2, se recomienda incrementar el nivel de autenticación a WPA2.
n Un cliente inalámbrico que se conecta con el dispositivo WatchGuard desde la red opcional o de
confianza puede ser parte de cualquier túnel de red privada virtual (VPN) para sucursales donde el
componente de la red local de la configuración de la Fase 2 incluya direcciones IP de la red opcional
o de confianza. Para controlar el acceso al túnel VPN, puede forzar a los usuarios de dispositivos
WatchGuard para que se autentiquen.
Acerca de configuraciones
Cuando activa el acceso a la red opcional, de confianza o inalámbrica para invitados, algunas configuraciones
se definen del mismo modo para cada una de las tres zonas de seguridad. Éstas pueden configurarse con
distintos valores para cada zona.

Para obtener información sobre la configuración de SSID de broadcast y responder a las consultas sobre la
configuración del SSID, consulte Activar/desactivar Broadcasts de SSID en la página 163.
Para obtener información sobre cómo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la
página 163.
Para obtener información sobre la configuración Registrar eventos de autenticación, consulte Registro
eventos de autenticación en la página 163.
Para obtener información sobre el Umbral de fragmentación, consulte Cambiar la umbral de

fragmentación en la página 163.
Para obtener información sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la página 165.
Para obtener información sobre las configuraciones de Autenticación y de Cifrado, consulte Acerca de
configuraciones de seguridad en la página 166.

Activar/desactivar Broadcasts de SSID

Las computadoras con tarjetas de red inalámbrica envían solicitudes para ver si hay puntos de acceso
inalámbricos a los que pueden conectarse.
Para configurar una interfaz inalámbrica de dispositivo WatchGuard a fin de enviar y responder a estas
solicitudes, seleccione la casilla de verificación Broadcast de SSID y responder a consultas SSID. Por
razones de seguridad, active esta opción únicamente cuando se encuentre configurando computadoras en
su red a fin de conectar el dispositivo inalámbrico WatchGuard. Desactive esta opción una vez que todos sus
clientes estén configurados. Si utiliza la función de servicios inalámbricos para invitados, quizá deba habilitar
broadcasts de SSID en la operación estándar.
Cambiar la SSID
El SSID (Identificador de conjunto de servicios) es el nombre específico de su red inalámbrica. Para utilizar
la red inalámbrica desde la computadora de un cliente, la tarjeta de red inalámbrica en la computadora
debe tener el mismo SSID que la red inalámbrica WatchGuard a la cual se conecta la computadora.
El SO Fireware XTM asigna automáticamente un SSID a cada red inalámbrica. Este SSID utiliza un formato
que contiene el nombre de la interfaz, y los dígitos entre el quinto y el noveno del número de serie del
dispositivo inalámbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para
identificar específicamente su red inalámbrica.
Registro eventos de autenticación

Un evento de autenticación ocurre cuando una computadora inalámbrica intenta conectarse a la interfaz
inalámbrica de un dispositivo WatchGuard. Para incluir estos eventos en el archivo de registro, marque la
casilla de verificación Registrar eventos de autenticación.
Cambiar la umbral de fragmentación

Fireware XTM le permite configurar el tamaño máximo de marco que el dispositivo inalámbrico
WatchGuard puede enviar sin fragmentar el marco. Esto se denomina umbral de fragmentación. Por lo
general, esta configuración no se cambia. La configuración predeterminada es el tamaño máximo de marco
de 2346, lo que significa que nunca fragmentará los marcos que envíe a los clientes inalámbricos. Esto es lo
mejor para la mayoría de los entornos.
Cuándo cambiar el umbral de fragmentación predeterminado

Cuando dos dispositivos utilizan el mismo medio para transmitir paquetes exactamente al mismo tiempo,
ocurre una colisión. Los dos paquetes pueden corromperse y el resultado es un grupo de fragmentos de
datos que no se pueden leer. Si un paquete sufre una colisión, éste debe descartarse y volver a
transmitirse. Esto se suma a la sobrecarga de la red y puede reducir el rendimiento o la velocidad de ésta.

Hay más posibilidades de que los marcos más grandes choquen entre sí que los pequeños. Para reducir los
paquetes inalámbricos, debe disminuir el umbral de fragmentación en el dispositivo inalámbrico
WatchGuard. Si disminuye el tamaño máximo de los marcos, esto puede reducir la cantidad de
transmisiones de repetición ocasionadas por los choques y disminuir la sobrecarga ocasionada por las
transmisiones de repetición.
Los marcos más pequeños introducen más sobrecarga en la red. Esto ocurre particularmente en las redes
inalámbricas debido a que cada marco fragmentado enviado desde un dispositivo inalámbrico a otro
requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son
altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el
rendimiento de la red inalámbrica si disminuye el umbral de fragmentación. El tiempo que se ahorra al
reducir las transmisiones de repetición puede ser suficiente para compensar la sobrecarga adicional que
agregan los paquetes más pequeños. Esto puede dar como resultado una mayor velocidad.
Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentación, el rendimiento de la
red inalámbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega
sobrecarga del protocolo y la eficiencia del protocolo se reduce.
Si desea experimentar, comience con el máximo predeterminado 2346 y disminuya el umbral de a una
pequeña cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los
paquetes de la red en diferentes momentos del día. Compare el efecto que un umbral más pequeño
produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento
cuando los errores son moderadamente altos.
En general, se recomienda dejar esta configuración en su valor predeterminado de 2346.
Cambiar el umbral de fragmentación

1. Seleccione Red > inalámbrica.
2. Seleccione la red inalámbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso
2 o a Invitado inalámbrico, haga clic en Configurar.
Aparecen los ajustes de configuración automática para esa red inalámbrica.

3. Para cambiar el umbral de fragmentación, en el cuadro de texto Umbral de fragmentación ingrese

o seleccione un valor entre 256 y 2346.
4. Haga clic en Volver a la página principal.

Cambiar la Umbral de RTS

RTS/CTS (Solicitar envío/Borrar envío) ayuda a evitar problemas cuando los clientes inalámbricos pueden
recibir señales de más de un punto de acceso inalámbrico en el mismo canal. Este problema a veces se
conoce con el nombre de nodo oculto.
No se recomienda cambiar el umbral de RTS predeterminado. Cuando el umbral de RTS se configura al

valor predeterminado de 2346, RTS/CTS se desactiva.

Si debe cambiar el umbral de RTS, ajústelo en forma gradual. Redúzcalo de a una pequeña cantidad por vez.
Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es
positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir más latencia en
la red, ya que las solicitudes de envío se incrementan tanto que el medio compartido se reserva con más
frecuencia que la necesaria.
Acerca de configuraciones de seguridad

Los dispositivos inalámbricos WatchGuard utilizan tres normas de protocolo de seguridad para proteger su
red inalámbrica: WEP (privacidad equivalente por cable), WPA (Wi-Fi Protected Access ) y WPA2. Cada
norma de protocolo puede cifrar las transmisiones en la red de área local (LAN) entre las computadoras y
los puntos de acceso. También pueden impedir el acceso no autorizado al punto de acceso inalámbrico.
Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar
la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una
conexión inalámbrica.
Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de
LAN, tales como protección de contraseña, túneles VPN y autenticación de usuario.
Definir inalámbricos método de autenticación

Están disponibles cinco métodos de autenticación para los dispositivos inalámbricos WatchGuard. De ser
posible, se recomienda utilizar WPA2 porque es el más seguro. Los cinco métodos disponibles, desde el
menos seguro al más seguro, son:
Sistema abierto
La autenticación de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este
método se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).
Clave compartida
Enla autenticaciónde clave compartida, sólopueden conectarse aquellos clientesinalámbricos que

tenganla clave compartida. Laautenticación de clave compartidasólo puede utilizarse concifrado WEP.
Sólo WPA (PSK)
Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada
usuario inalámbrico la misma contraseña para autenticar el punto de acceso inalámbrico.
WPA/WPA2 (PSK)
Cuando selecciona la autenticación WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos
inalámbricos configurados para utilizar WPA o WPA2.
SÓLO WPA2 (PSK)
La autenticación WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es
el método de autenticación más seguro. No funciona con algunas tarjetas de red inalámbrica
anteriores.

Definir nivel de cifrado

En la lista desplegable Cifrado, seleccione el nivel de cifrado para las conexiones inalámbricas. Las
selecciones disponibles cambian cuando utiliza mecanismos de autenticación diferentes. El sistema
operativo de Fireware XTM crea automáticamente una encryption key (clave de cifrado) aleatoria cuando
ésta resulta necesaria. Puede utilizar esta clave o cambiarla por una distinta. Cada cliente inalámbrico debe
utilizar esta misma clave cuando se conecte al dispositivo Firebox o XTM.
Autenticación por sistema abierto y por Clave compartida

Las opciones de cifrado para la autenticación por sistema abierto y por clave compartida son WEP
hexadecimal de 64 bits, WEP ASCII de 40 bits, WEP hexadecimal de 128 bits y WEP ASCII de 128 bits. Si
selecciona la autenticación de sistema abierto, también puede seleccionar Sin cifrado.
1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No
todos los controladores de adaptadores inalámbricos admiten caracteres ASCII. Puede tener un
máximo de cuatro claves.
n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.
n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingresó más de una clave, en la lista desplegable Índice de claves, seleccione la clave que desea
utilizar de manera predeterminada.
El dispositivo Firebox o XTM inalámbrico sólo puede usar una encryption key por vez. Si seleccionó
una clave distinta de la primera clave en la lista, también debe configurar su cliente inalámbrico para
que utilice la misma clave.
Autenticación WPA y WPA2 PSK

Las opciones de cifrado para los métodos de autenticación de el acceso protegido Wi-Fi (WPA-PSK y WPA2-
PSK) son:
n TKIP — Sólo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opción no
está disponible para los modos inalámbricos que admiten 802.11n.
n AES — Sólo utilice AES (Estándar de cifrado avanzado) para el cifrado.
n TKIP o AES — Utilice TKIP o AES.
Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalámbrico Firebox o XTM
acepte conexiones de clientes inalámbricos configurados para utilizar cifrado TKIP o AES. En el caso de los
clientes inalámbricos 802.11n, le recomendamos que configure el cliente inalámbrico para utilizar el
cifrado AES.
Habilitar conexiones inalámbricas a la red

opcional o de confianza
Para habilitar conexiones inalámbricas a su red opcional o de confianza:


Aparece la página de configuración Inalámbrica.
2. Seleccione Activar puntos de acceso inalámbricos.

3. Junto al Punto de acceso 1 o al Punto de acceso 2, haga clic en Configurar.
Aparece el cuadro de diálogo Configuración del punto de acceso inalámbrico.

4. Seleccione la casilla de verificación Activar bridge inalámbrico a una interfaz opcional o de

confianza.
5. En la lista desplegable junto a Activar bridge inalámbrico a una interfaz opcional o de confianza,
seleccione una interfaz opcional o de confianza.
De confianza
Cualquier cliente inalámbrico en la red de confianza tiene acceso total a las computadoras en
las redes opcionales y de confianza, y acceso a Internet según lo definen las reglas de firewall
saliente en su dispositivo WatchGuard.
Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
Opcional
Cualquier cliente inalámbrico en la red opcional tiene acceso total a las computadoras en la red
opcional y acceso a Internet según lo definen las reglas de firewall saliente en su dispositivo
WatchGuard.
Si el cliente inalámbrico configura la dirección IP en su tarjeta de red inalámbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
6. Para configurar la interfaz inalámbrica para enviar y responder a las solicitudes de SSID, seleccione la
casilla de verificación Broadcast de SSID y responder a consultas SSID.
Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID
en la página 163.
7. Seleccione la casilla de verificación Registrar eventos de autenticación si desea que el dispositivo
WatchGuard envíe un mensaje de registro al archivo de registro cada vez que una computadora
inalámbrica intenta conectase con la interfaz.
Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.
8. Para requerir que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, seleccione la
casilla de verificación Requerir Mobile VPN cifrado con conexiones IPSec para clientes
inalámbricos.
Cuando selecciona esta casilla de verificación, los únicos paquetes que Firebox habilita a través de la
red inalámbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere
que los usuarios inalámbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la
seguridad para los clientes inalámbricos si no selecciona WPA o WPA2 como el método de
autenticación inalámbrica.
9. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su red opcional
inalámbrica o utilice el nombre predeterminado.
Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.
un valor: 256–2346. No se recomienda cambiar esta configuración.
Para obtener más información sobre esta configuración, consulte Cambiar la umbral de

11. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones
inalámbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalámbricos
de la red son compatibles con WPA2.
Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de
autenticación.
12. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexión
inalámbrica y agregue las claves o las contraseñas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opción de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para más informaciones, vea Definir nivel de cifrado en la página 167.

13. Guardar la configuración
Nota Si activa conexiones inalámbricas con la interfaz de confianza, se recomienda

restringir el acceso mediante una dirección MAC. Esto impide que los usuarios se
conecten con el dispositivo inalámbrico WatchGuard desde computadoras no
autorizadas que podrían contener virus o spyware. Haga clic en la pestaña Control
de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña
de la misma manera en que restringe el tráfico de red en una interfaz según se
describe en Restringir el tráfico de red mediante la dirección MAC en la página 97.
Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de
confianza, consulte Activar una red inalámbrica para invitados en la página 170.
Activar una red inalámbrica para invitados

Puede activar una Wireless Guest Network para proveer a un usuario invitado acceso inalámbrico a Internet
sin acceso a las computadoras en sus redes opcionales o de confianza.
Para configurar una Wireless Guest Network:

Aparece la página Configuración inalámbrica.
2. Seleccione Activar puntos de acceso inalámbricos.

3. Junto a Invitado inalámbrico, haga clic en Configurar.
Aparece el cuadro de diálogo Configuración de invitado inalámbrico.

4. Seleccione la casilla de verificación Activar Wireless Guest Network.
Se permiten conexiones inalámbricas a Internet a través del dispositivo WatchGuard según las reglas
que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen
acceso a las computadoras de su red opcional o de confianza.
5. En el cuadro de texto Dirección IP, ingrese la dirección IP privada que utilizará con la Wireless Guest
Network. La dirección IP que ingrese no debe estar en uso en una de sus interfaces de red.
6. En el cuadro de diálogo Máscara de subred, ingrese la máscara de subred. El valor correcto
generalmente es 255.255.255.0.
7. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo
inalámbrico intenta realizar una conexión, seleccione la casilla de verificación Activar servidor DHCP
en la Wireless Guest Network.
Para obtener más información sobre cómo establecer la configuración para el servidor DHCP,
consulte Configurar el DHCP en modo de enrutamiento mixto en la página 86.
8. Haga clic en la pestaña Inalámbrica para ver las configuraciones de seguridad para la Wireless Guest
Network.
Aparecen las configuraciones inalámbricas.

9. Seleccione la casilla de verificación SSID de broadcast y responder a consultas SSID para que su
nombre de Wireless Guest Network esté visible para los usuarios invitados.
Para obtener información sobre esta configuración, consulte Activar/desactivar Broadcasts de SSID
en la página 163.
10. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalámbrica
intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificación Registrar
eventos de autenticación.
Para más informaciones acerca de registros, vea Registro eventos de autenticación en la página 163.
11. Para permitir que los usuarios inalámbricos invitados se envíen tráfico entre sí, desmarque la casilla
de verificación Prohibir tráfico de red inalámbrica de cliente a cliente.
12. En el cuadro de texto Nombre de red (SSID), ingrese un nombre específico para su Wireless Guest
Network o utilice el nombre predeterminado.
Para obtener información sobre cómo cambiar el SSID, consulte Cambiar la SSID en la página 163.
un valor: 256–2346. No se recomienda cambiar esta configuración.
Para obtener más información sobre esta configuración, consulte Cambiar la umbral de
14. En la lista desplegable Autenticación, seleccione el tipo de autenticación para activar las conexiones a
la Wireless Guest Network. La configuración que elija dependerá del tipo de acceso a los invitados que
desee proveer y de si desea requerir que sus invitados ingresen una contraseña para utilizar la red.

Para obtener más información sobre esta configuración, consulte Definir inalámbricos método de
autenticación en la página 166.
Para más informaciones, vea Definir nivel de cifrado en la página 167.

16. Haga clic en Volver a la página principal.
También puede restringir el acceso a la red invitada mediante una dirección MAC . Haga clic en la pestaña
Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaña de la misma
manera en que restringe el tráfico de red en una interfaz según se describe en Restringir el tráfico de red
mediante la dirección MAC en la página 97.
Activar un hotspot inalámbrico

Puede configurar su red inalámbrica para invitados WatchGuard XTM 2 Series o Firebox X Edge e-Series
como un hotspot inalámbrico para brindarles acceso a Internet a sus visitas o a sus clientes. Cuando activa la
función de hotspot, tiene más control sobre las conexiones a su red inalámbrica para invitados.
Cuando configura su dispositivo como hotspot inalámbrico, usted puede personalizar:
n La pantalla de presentación que ven los usuarios cuando se conectan

n Términos y condiciones que los usuarios deben aceptar antes de poder navegar a un sitio web
n Duración máxima de la conexión continua de un usuario
Cuando activa la función de hotspot inalámbrico, se crea automáticamente la política Permitir usuarios de
hotspot. Esta política permite las conexiones desde la interfaz inalámbrica para invitados a sus interfaces
externas. Esto provee a los usuarios del hotspot inalámbrico un acceso inalámbrico a Internet sin acceso a
las computadoras en sus redes opcionales o de confianza.
Antes de configurar un hotspot inalámbrico, debe establecer la configuración de su red inalámbrica para
invitados como se describe en Activar una red inalámbrica para invitados.
Para configurar el hotspot inalámbrico:

2. Junto a Invitado inalámbrico, haga clic en Configurar.
3. En la página Inalámbrico, seleccione la pestaña Hotspot.
4. Marque la casilla de selección Activar hotspot.

Establecer la configuración del tiempo de espera

Puede establecer configuraciones de tiempo de espera para limitar la cantidad de tiempo que los usuarios
pueden utilizar su hotspot de manera continua. Cuando se vence el período de espera, el usuario es
desconectado. Cuando un usuario es desconectado, pierde toda conexión a Internet pero permanece
conectado a la red inalámbrica. Vuelve a aparecer la pantalla de presentación del hotspot y el usuario debe
volver a aceptar los Términos y condiciones antes de poder continuar utilizando el hotspot inalámbrico.
1. En el cuadro de texto Agotamiento de la sesión, especifique la cantidad máxima de tiempo durante

la cual un usuario puede permanecer continuamente conectado a su hotspot. Puede especificar la
unidad de tiempo mediante la lista desplegable adyacente. Si el Agotamiento de la sesión se
configura en 0 (el valor predeterminado), los usuarios inalámbricos invitados no son desconectados
después de un intervalo de tiempo especificado.
2. En el cuadro de texto Tiempo de espera inactivo, especifique la cantidad de tiempo que un usuario
debe permanecer inactivo para que expire la conexión. Puede especificar la unidad de tiempo
mediante la lista desplegable adyacente. Si el Tiempo de espera inactivo se configura en 0, los
usuarios no son desconectados si no envían ni reciben tráfico.
Personalizar la pantalla de presentación del hotspot

Cuando los usuarios se conectan a su hotspot, ven una pantalla de presentación, o un sitio web que deben
visitar antes de poder navegar a otros sitios web. Puede configurar el texto que aparece en esta página,
como también el aspecto de la página. También puede redirigir al usuario a una página web especificada
después que acepte los términos y condiciones.
Como mínimo, debe especificar el Título de la página y los Términos y condiciones para activar esta
función.
1. En el cuadro de texto Título de la página, ingrese el título que desea que aparezca en la página de
presentación del hotspot.

2. Para incluir un mensaje de bienvenida:
n Marque la casilla de selección Mensaje de bienvenida.

n En el cuadro de texto Mensaje de bienvenida, ingrese el mensaje que verán los usuarios
cuando se conecten al hotspot.
3. (Opcional) Para usar un logotipo personalizado en la pantalla de presentación:
n Marque la casilla de selección Utilizar un logotipo personalizado.

n Haga clic en Subir para cargar el archivo de su logotipo personalizado.
El archivo debe estar en un formato .jpg, .gif o .png. Le recomendamos que la imagen no sea
mayor de 90 x 50 (ancho x altura) píxeles o 50 kB.
3. En el cuadro de texto Términos y condiciones, ingrese o pegue el texto que desea que los usuarios
acepten antes de poder utilizar el hotspot. La longitud máxima es de 20.000 caracteres.
4. Para redirigir automáticamente a los usuarios a un sitio web después de que aceptan los Términos y
condiciones, en el cuadro de texto URL de redirección, ingrese la URL del sitio web.
5. Puede personalizar las fuentes y los colores de su página de bienvenida:
n Fuente: Seleccione la fuente en la lista desplegable Fuente. Si no especifica una fuente, la

página de bienvenida utiliza la fuente predeterminada del navegador para cada usuario.
n Tamaño: Seleccione el tamaño del texto en la lista desplegable Tamaño. El tamaño
predeterminado del texto es Mediano.

n Color del texto: Éste es el color para el texto en la pantalla de presentación del hotspot. El color
predeterminado es el #000000 (negro). El color configurado aparece en un recuadro
adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML
en el cuadro de texto Color del texto.
n Color de fondo: Éste es el color utilizado para el fondo de la pantalla de presentación del
hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un
recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el código de color HTML
en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentación.
Aparece una vista previa de la pantalla de presentación en una nueva ventana del navegador.
7. Cierre la ventana de vista previa del navegador.

8. Cuando termine de configurar su hotspot, haga clic en Regresar a la página principal.
9. Haga clic en Guardar para guardar la configuración.
Conéctese a un hotspot inalámbrico

Después de configurar su hotspot inalámbrico, puede conectarse a éste para ver su pantalla de
presentación.
1. Utilice un cliente inalámbrico para conectase a su red inalámbrica para invitados. Utilice el SSID y
cualquier otra configuración que haya establecido para la red inalámbrica para invitados.
2. Abra un explorador web. Navegue a cualquier sitio web.
Aparecerá la pantalla de presentación del hotspot inalámbrico en el navegador.

3. Marque la casilla de selección He leído y acepto los términos y condiciones.

4. Haga clic en Continuar.
El navegador muestra la URL original que solicitó. O bien, si el hotspot está configurado para redirigir
automáticamente el navegador a una URL, el navegador se dirigirá a ese sitio web.
El contenido y el aspecto de la pantalla de presentación del hotspot puede establecerse en la configuración

del hotspot para su red inalámbrica para invitados.
La URL de la pantalla de presentación del hotspot inalámbrico es:

https://<IP address of the wireless guest network>:4100/hotspot .
Consulte Conexiones hotspot inalámbricas

Cuando activa la función de hotspot inalámbrico, puede consultar información acerca de la cantidad de
clientes que están conectados. También puede desconectar clientes inalámbricos.
Para ver la lista de clientes hotspot inalámbricos conectados:
1. Conéctese a la Fireware XTM Web UI en su dispositivo inalámbrico.

2. Seleccione Estado del sistema > Hotspot inalámbrico.
Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.

Para desconectar a un cliente hotspot inalámbrico, desde la página Clientes hotspot inalámbricospage:
1. Seleccione un cliente hotspot inalámbrico conectado o varios.

2. Haga clic en Desconectar.
Configurar la interfaz externa como interfaz

inalámbrica
En áreas con infraestructura de red limitada o inexistente, se puede utilizar el dispositivo inalámbrico
WatchGuard para proporcionar acceso seguro a la red. Debe conectar físicamente los dispositivos de red al
dispositivo WatchGuard. Luego, configure la interfaz externa para que se conecte a un punto de acceso
inalámbrico que se conecta a una red más grande.
Nota Cuando la interfaz externa se configura con una conexión inalámbrica, el

dispositivo inalámbrico WatchGuard ya no puede usarse como punto de acceso
inalámbrico. Para proporcionar acceso inalámbrico a los usuarios, conecte un
dispositivo de punto de acceso inalámbrico al dispositivo inalámbrico
WatchGuard.
Configurar la interfaz externa principal como interfaz

inalámbrica
Aparece la página Configuración inalámbrica.

2. Seleccione Activar cliente inalámbrico como interfaz externa.

3. Haga clic en Configurar.
Aparece la configuración de interfaz externa.
4. En la lista desplegable Modo configuración, seleccione una opción:
Configuración manual
Para usar una dirección IP estática, seleccione esta opción. Ingrese la Dirección IP, Máscara de
subred y Puerta de enlace predeterminada.
Cliente DHCP
Para configurar la interfaz externa como cliente DHCP , seleccione esta opción. Ingrese la
configuración de DHCP.

Para obtener más información acerca de cómo configurar la interfaz externa para usar una
dirección IP estática o DHCP, consulte Configurar una interfaz externa en la página 82.
5. Haga clic en la pestaña Inalámbrico.
Aparece la configuración de cliente inalámbrico.
6. En el cuadro de texto Nombre de red (SSID), ingrese un nombre único para la red externa
inalámbrica.
7. En la lista desplegable Autenticación, seleccione el tipo de autenticación que desea activar para las
conexiones inalámbricas. Recomendamos utilizar WPA2 si los dispositivos inalámbricos de la red son
compatibles con WPA2.
Para obtener más información acerca de los métodos de autenticación inalámbrica, consulte Acerca
de configuraciones de seguridad en la página 166.

Configurar un túnel BOVPN para seguridad adicional

Para crear un puente inalámbrico y proporcionar más seguridad, agregue un túnel BOVPN entre el
dispositivo WatchGuard y la puerta de enlace externa. Se debe configurar el Modo agresivo en los
parámetros de Fase 1 de la configuración de BOVPN en ambos dispositivos.
Para obtener información acerca de cómo configurar un túnel BOVPN, consulte Acerca de túneles BOVPN
manuales en la página 418.
Acerca de configuraciones de radio en Firebox X

Edge e-Series inalámbrico
Los dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráfico
desde las computadoras con tarjetas de Ethernet inalámbrico. Varias configuraciones son específicas según
la selección del canal.
Para ver o cambiar las configuraciones de radio:

Las Configuraciones de radio aparecen en la parte inferior de esta página.

Configurar la región operativa y el canal

Cuando activa el modo inalámbrico, debe configurar la región operativa inalámbrica.
1. En la lista desplegable Región operativa, seleccione la región operativa que mejor describa la
ubicación de su dispositivo.
La lista de regiones operativas inalámbricas que puede seleccionar en su Firebox puede ser
diferente según dónde lo haya adquirido.
2. En la lista desplegable Canal, seleccione un canal o seleccione Automático.
Si configura el canal en Automático, el dispositivo inalámbrico WatchGuard selecciona

automáticamente el canal con la señal disponible más fuerte en su ubicación física.
Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalámbricos están
disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada región operativa
compatible en Firebox X Edge e-Series inalámbrico.
Europa,
Frecuencia Australia Medio República
Canal central América Asia &Nueva Oriente y Francia Israel Japón Taiwán Popular
(MHz) Zelanda África de China
(EMEA)
1 2412 Sí Sí Sí Sí -- -- Sí Sí Sí
2 2417 Sí Sí Sí Sí -- -- Sí Sí Sí
3 2422 Sí Sí Sí Sí -- Sí Sí Sí Sí
10 2457 Sí Sí Sí Sí Sí -- Sí Sí Sí
11 2462 Sí Sí Sí Sí Sí -- Sí Sí Sí
12 2467 -- -- Sí Sí Sí -- Sí -- Sí
13 2472 -- -- Sí Sí Sí -- Sí -- Sí
14 2484 -- -- -- -- -- -- Sí -- --

Definir modo de operación inalámbrica

La mayoría de las tarjetas inalámbricas pueden operar sólo en modo de 802.11b (hasta 11 MB/segundo) o
de 802.11g (54 MB/segundo). Para establecer el modo operativo para el dispositivo inalámbrico
WatchGuard, seleccione una opción en la lista desplegable Modo inalámbrico. Existen tres modos
inalámbricos:
802.11b solamente
Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que
estén sólo en el modo 802.11b.
802.11g solamente
Este modo limita el dispositivo inalámbrico WatchGuard para que se conecte con dispositivos que
estén sólo en el modo 802.11g.
802.11g y 802.11b
Éste es el modo predeterminado y la configuración recomendada. Este modo le permite al

dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11b u 802.11g. El dispositivo
WatchGuard funciona en el modo 802.11g solamente si todas las tarjetas inalámbricas que están
conectadas al dispositivo utilizan el modo 802.11g. Si alguno de los clientes 802.11b se conecta al
dispositivo, todas las conexiones automáticamente pasan al modo 802.11b.
Acerca de las configuraciones de radio

inalámbrico en el dispositivo inalámbrico
WatchGuard XTM 2 Series
Los dispositivos inalámbricos WatchGuard utilizan señales de radiofrecuencia para enviar y recibir tráfico
desde las computadoras con tarjetas de Ethernet inalámbrico. Las configuraciones de radio disponibles para
el dispositivo inalámbrico WatchGuard XTM 2 Series son distintas de las del dispositivo inalámbrico Firebox
X Edge e-Series.
Para ver o cambiar las configuraciones de radio:


Las Configuraciones de radio aparecen en la parte inferior de esta página.
El país se configura automáticamente

Debido a los requisitos normativos de las distintas partes del mundo, no se pueden utilizar todas las
configuraciones de radio inalámbrico en todos los países. Cada vez que enciende el dispositivo inalámbrico
XTM 2 Series, el dispositivo se contacta con un servidor WatchGuard para determinar el país y la
configuración de radio inalámbrico permitido para ese país. Para hacer esto, el dispositivo debe tener una
conexión a Internet. Una vez que se determina el país, puede establecer todas las configuraciones de radio
inalámbrico compatibles que puedan utilizarse en ese país.
En el cuadro de diálogo Configuración inalámbrica, la configuración de País muestra en qué país el

dispositivo detecta que se encuentra. No se puede cambiar la configuración de País. Las opciones
disponibles para las demás configuraciones de radio se basan en los requisitos normativos del país en donde
el dispositivo detecta que se encuentra.
Nota Si el dispositivo XTM 2 Series no puede conectarse con el servidor WatchGuard, no

se podrá saber cuál es el país. En este caso, sólo podrá seleccionar en el conjunto
limitado de configuraciones de radio inalámbrico permitidas en todos los países. El
dispositivo inalámbrico XTM 2 Series continúa intentando conectarse
periódicamente al servidor WatchGuard para determinar el país y las
configuraciones de radio inalámbrico permitidas.

Si el dispositivo 2 Series aún no tiene una región configurada o si la región no está actualizada, puede forzar
el dispositivo para actualizar la región de radio inalámbrico.
Para actualizar la región de radio inalámbrico:
1. Seleccione Estado del sistema > Estadísticas inalámbricas.

2. haga clic en Actualizar la información del país.
El dispositivo 2 Series se contacta con un servidor WatchGuard para determinar la región operativa actual.
Seleccionar el modo de banda y el modo inalámbrico

El dispositivo WatchGuard XTM 2 Series admite dos bandas inalámbricas diferentes: 2.4 GHz y 5 GHz. La
banda que selecciona y el país determinan los modos inalámbricos disponibles. Seleccione la Banda que
admite el modo inalámbrico que desea utilizar. Luego seleccione el modo en la lista desplegable Modo
inalámbrico.
La banda 2.4 GHz admite estos modos inalámbricos:

802.11n, 802.11g y 802.11b
Éste es el modo predeterminado en la banda 2.4 GHz y es la configuración recomendada. Este modo
le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u
802.11b.
802.11g y 802.11b
Este modo le permite al dispositivo inalámbrico WatchGuard conectarse con los dispositivos que
utilizan 802.11g u 802.11b.
SÓLO 802.11b
Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11b.
La banda 5 GHz admite estos modos inalámbricos:

802.11a y 802.11n
Éste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalámbrico
WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.
SÓLO 802.11a
Este modo le permite al dispositivo inalámbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11a.
Nota Si elige un modo inalámbrico que admite varias normas 802.11, el rendimiento
general puede disminuir considerablemente. Esto se debe en parte a la necesidad
de admitir protocolos de protección para la retrocompatibilidad cuando los

dispositivos que utilizan modos más lentos están conectados. Además, los
dispositivos más lentos tienden a dominar la velocidad porque puede llevar mucho
más tiempo enviar o recibir la misma cantidad de datos a los dispositivos que
utilizan un modo más lento.
La banda 5 GHz provee más rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los
dispositivos inalámbricos. Seleccione la banda y el modo según las tarjetas inalámbricas de los dispositivos
que se conectarán con el dispositivo inalámbrico WatchGuard.
Seleccionar el canal
Los canales disponibles dependen del país y del modo inalámbrico que seleccione. En forma
predeterminada, el Canal se configura en Automático. Cuando el canal se configura en Automático, el
dispositivo inalámbrico 2-Series selecciona automáticamente un canal silencioso de la lista disponible en la
banda que usted ha seleccionado. O puede seleccionar un canal específico de la lista desplegable Canal.
Configurar la de red invitada inalámbrica en su

computadora
Estas instrucciones son para el sistema operativo Windows XP con Service Pack 2. Para obtener
instrucciones de instalación para otros sistemas operativos, consulte la documentación o los archivos de
ayuda de su sistema operativo.
1. Seleccione Iniciar > Configuración >Panel de control > Conexiones de red.

Aparece el cuadro de diálogo Conexiones de red.
2. Haga clic con el botón derecho en Conexión de red inalámbrica y seleccione Propiedades.
Aparece el cuadro de diálogo Conexión de red inalámbrica.
3. Seleccione la pestaña Redes inalámbricas.
4. Debajo de Redes preferidas, haga clic en Agregar.
Aparece el cuadro de diálogo Propiedades de red inalámbrica.
5. Ingrese el SSID en el cuadro de diálogo Nombre de red (SSID).
6. Seleccione los métodos de autenticación de red y el cifrado de datos en las listas desplegables. Si es
necesario, desmarque la casilla de verificación La clave se provee en forma automática e ingrese la
clave de red dos veces.
7. Haga clic en OK para cerrar el cuadro de diálogo Propiedades de red inalámbrica.
8. Haga clic en Ver redes inalámbricas.
Todas las conexiones inalámbricas disponibles aparecen en el cuadro de texto Redes disponibles.
9. Seleccione el SSID de la red inalámbrica y haga clic en Conectar.
Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexión de red
inalámbrica y haga clic en Conectar nuevamente.
10. Configure la computadora inalámbrica para utilizar la configuración dinámica de host (DHCP).

10 Dynamic Routing
Acerca de dynamic routing

Un protocolo de enrutamiento es un lenguaje que un enrutador usa con otros enrutadores para compartir
información acerca del estado de las tablas de enrutamiento de red. Con el enrutamiento estático, las tablas
de enrutamiento son definidas y no cambian. Si un enrutador en un camino remoto falla, no se puede
enviar un paquete a su destino. El dynamic routing hace que las actualizaciones automáticas enruten tablas
a medida que cambia la configuración de una res.
Nota El soporte para algunos protocolos de dynamic routing está disponible sólo en el
Fireware XTM con actualización Pro. El dynamic routing no es soportado en el
Firebox X Edge E-Series.
El Fireware XTM soporta los protocolos RIP v1 y RIP v2. El Fireware XTM con actualización Pro soporta los
protocolos RIP v1, RIP v2, OSPF y BGP v4.
Acerca de archivos de configuración de demonio

de enrutamiento.
Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuración de dynamic routing para el demonio de enrutamiento elegido. Ese archivo de
configuración incluye informaciones como contraseña y nombre del archivo de registro. Para ver una
muestra de archivos de configuración para cada protocolo de enrutamiento, vea estos tópicos:
n Muestra de archivo de configuración del enrutamiento RIP

n Muestra de archivo de configuración del enrutamiento OSPF
n Muestra de archivo de configuración del enrutamiento BGP
Notas acerca de los archivos de configuración:
n Los caracteres "!" y "#" son puestos antes de los comentarios, que son líneas de texto en archivos de
configuración que explican la función de los comandos siguientes. Si el primer caracter de una línea

Dynamic Routing
es un caracter de comentario, entonces el resto de la línea será interpretado como un comentario.

n Puede usar la palabra "no" al principio de la línea para desactivar un comando. Por ejemplo: "no red
10.0.0.0/24 área 0.0.0.0" desactiva el área de backbone en la red especificada.
Acerca del Protocolo de Información de

Enrutamiento (RIP)
El Protocolo de Información de Enrutamiento (RIP, en sus siglas en inglés) es usado para administrar
información de enrutadores en una red autocontenida, tal como una LAN corporativa o una WAN privada.
Con el RIP, el host de puerta de enlace envía su tabla de enrutamiento al enrutador más cercano a cada 30
segundos. Ese enrutador envía el contenido de sus tablas de enrutamiento a los enrutadores vecinos.
El RIP es mejor para redes pequeñas. Eso es así porque la transmisión de la tabla de enrutamiento completa
a cada 30 segundos puede poner una carga grande de tráfico en la red y porque las tablas de RIP se limitan
a 15 saltos. El OSPF es una mejor opción para grandes redes.
Hay dos versiones del RIP. RIP v1 usa la difusión de UDP a través del puerto 520 para enviar actualizaciones
a las tablas de enrutamiento. RIP v2 usa la multidifusión para enviar actualizaciones de tabla de
enrutamiento.
Comandos del Protocolo de Información de Enrutamiento (RIP)

La tabla siguiente es un catálogo de comandos de enrutamiento soportados por RIP v1 y RIP v2 que pueden
ser usados para crear o modificar un archivo de configuración de enrutamiento. Si usa RIP v2, debe incluir
la Subnet Mask con cualquier comando que usa una dirección IP de red o el RIP v2 no funcionará. Las
secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.
Sección Comando Descripción
Defina una contraseña simple o una autenticación MD5 en una interfaz
interfaz eth[N] Comience sección para definir
Tipo de autenticación para interfaz
ip rip cadena autenticación

Definir contraseña de autenticación de rip
[CONTRASEÑA]
clave [CLAVE] Definir nombre de clave MD5
clave [ENTERO] Definir número de clave MD5
cadena-clave [CLAVE-AUT] Definir clave de autenticación de MD5
ip rip modo autenticación md5 Usar autenticación MD5
ip rip modo autenticación clave

Definir clave de autenticación de MD5
[CLAVE]
Configurar demonio de enrutamiento RIP
router rip Activar demonio de RIP

Dynamic Routing
Definir versión RIP en 1 o 2 (versión 2

versión [1/2]
predeterminada)
ip rip enviar versión [1/2] Definir RIP para enviar versión 1 ó 2
ip rip recibir versión [1/2] Definir RIP para recibir versión 1 ó 2
no ip split-horizon Desactivar split-horizon; activado por defecto
Configurar interfaces y redes
no red eth [N]
interfaz-pasiva eth[N]
interfaz-pasiva predeterminada
red [A.B.C.D/M]
vecino [A.B.C.D/M]
Distribuir rutas a puntos RIP e inyectar rutas OSPF o BGP a la tabla de enrutamiento RIP
información-predeterminada Compartir ruta de último recurso (ruta

originar predeterminada) con puntos RIP
redistribuir núcleo Redistribuir rutas estáticas de firewall a puntos RIP
redistribuir conectado Redistribuir rutas de todas las interfaces a puntos RIP
redistribuir mapa-ruta conectado Redistribuir rutas de todas las interfaces hacia puntos
[NOMBREMAPA] RIP, con un filtro de mapa de ruta (nombremapa)
redistribuir ospf Redistribuir rutas de OSPF a RIP
redistribuir mapa-ruta ospf Redistribuir rutas desde OSPF a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
redistribuir bgp Redistribuir rutas de BGP a RIP
redistribuir mapa-ruta bgp Redistribuir rutas desde BGP a RIP, con un filtro de
[NOMBREMAPA] mapa de ruta (nombremapa).
Configurar filtros de redistribución de rutas con mapas de ruta y listas de acceso
lista-acceso [PERMITIR|NEGAR] Crear una lista de acceso para permitir o negar la

[NOMBRELISTA] [A,B,C,D/M | redistribución de solo una dirección IP o todas las
CUALQUIERA] direcciones IP
ruta-mapa [NOMBREMAPA] Crear un mapa de ruta con un nombre y permitir

permitir [N] otorgando prioridad de N
coincidir dirección ip
[NOMBRELISTA]

Dynamic Routing
Configurar el Firebox para usar RIP v1

1. Seleccionar Red > Dynamic Routing.
Configuración de dynamic routing página .
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaña RIP.
4. Seleccione Activar .
5. Copie y pegue el texto del archivo de configuración del demonio de enrutamiento en la ventana.
Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la

página 187.
Permitir tráfico de RIP v1 a través del Firebox

Debe agregar y configurar una política para permitir difusiones de RIP desde en enrutador hacia la dirección
IP de difusión de red. También debe añadir la dirección IP de la interfaz de Firebox en el campo Para.

Dynamic Routing
1. Seleccione Firewall >Políticas de Firewall. Haga clic en Agregar.

Aparece la página "Seleccionar un tipo de política".
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.
3. En la página Configuración de política, configure la política para permitir el tráfico desde la dirección
de red o IP del enrutador que usa RIP hacia la interfaz Firebox que se conecta. También debe
agregar la dirección IP de difusión de red.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Después de configurar el enrutador, seleccione Estado del Sistema >Rutas y verifique si el Firebox
y el enrutador están enviando actualizaciones el uno al otro.
Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces
correctas.
Configurar el Firebox para usar RIP v2

3. Haga clic en la pestaña RIP.

Dynamic Routing
5. Copie y pegue el archivo de configuración del demonio de enrutamiento en la ventana.

Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en la

página 187.
Permitir tráfico de RIP v2 a través del Firebox

Debe añadir y configurar una política para permitir multidifusiones de RIP v2 de los enrutadores que tienen
RIP v2 activado, hacia la dirección reservada de multidifusión para RIP v2.

de red o IP del enrutador usando RIP hacia la dirección IP de multidifusión 224.0.0.9.
Entonces puede añadir la autenticación y restringir la política de RIP para analizar sólo las interfaces
correctas.
Muestra de archivo de configuración del enrutamiento RIP

Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un
archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo
de configuración para el demonio de enrutamiento de RIP. Si desea usar este archivo de configuración
como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas
o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las
necesidades de su empresa.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, según sea necesario.
!! SECCIÓN 1: Configurar claves de autenticación MD5.
! Definir el nombre de la clave de autenticación MD5 (CLAVE), el número de la
clave (1),
! y la cadena de la clave de autenticación (CLAVEAUT).
! clave CLAVE
! clave 1 ! cadena-clave CLAVEAUT
!! SECCIÓN 2: Configure las propiedades de interfaz.
! Definir autenticación para interfaz (eth1).
! interfaz eth1
!
! Definir la contraseña de autenticación simple de RIP (CLAVECOMPARTIDA).
! ip rip cadena de autenticación CLAVECOMPARTIDA
!
! Definir autenticación MD5 de RIP y clave MD5 (CLAVE).
! ip rip modo autenticación md5

Dynamic Routing
! ip rip clave autenticación CLAE

!
!! SECCIÓN 3: Configure propiedades globales del demonio de RIP.
! Activar demonio de RIP. Debe estar activado para todas las configuraciones de
RIP. router rip
!
! Definir versión RIP en 1; la predeterminada es la versión 2.
! versión 1
!
! Definir RIP para enviar o recibir versión 1; la predeterminada es la versión 2.
! ip rip enviar versión 1
! ip rip recibir versión 1
!
! Desactivar split-horizon para evitar bucles de enrutamiento. Predeterminado
está activado.
! no ip split-horizon
!! SECCIÓN 4: Configurar interfaces y redes.
! Desactivar enviar y recibir RIP en interfaz (eth0).
! no red eth0
!
! Definir RIP para sólo-recibir en interfaz (eth2).
! interfaz-pasiva eth2
!
! Definir RIP para sólo-recibir en todas las interfaces.
! interfaz-pasiva predeterminada
!
! Activar difusión (versión 1) o multidifusión (versión 2) de RIP en
! red (192.168.253.0/24). !red 192.168.253.0/24
!
! Definir actualizaciones de tabla de enrutamiento de unidifusión para vecino
(192.168.253.254).
! vecino 192.168.253.254
!! SECCIÓN 5: Redistribuir rutas de RIP para puntos e inyectar OSPF o BGP
!! rutas a tabla de enrutamiento RIP.
! Compartir ruta del último recurso (ruta predeterminada) de la tabla de
enrutamiento de núcleo
! con puntos RIP
! información-predeterminada originar
!
! Redistribuir rutas estáticas de firewall a puntos RIP.
! redistribuir núcleo
!
! Definir mapas de ruta (NOMBREMAPA) para restringir la redistribución de rutas
en Sección 6.
! Redistribuir rutas de todas las interfaces hacia puntos RIP o con un mapa de ruta
! filtro (NOMBREMAPA).
! redistribuir conectado
! redistribuir mapa-ruta conectado NOMBREMAPA
!
! Redistribuir rutas desde OSPF a RIP o con un filtro de mapa de ruta
(NOMBREMAPA).
! redistribuir ospf !redistribuir ospf mapa-ruta NOMBREMAPA
!

Dynamic Routing
! Redistribuir rutas desde BGP a RIP o con un filtro de mapa de ruta

(NOMBREMAPA).
! redistribuir bgp !redistribuir bgp mapa-ruta NOMBREMAPA
!! SECCIÓN 6: Configurar filtros de redistribución de rutas con mapas de ruta y
!! listas de acceso.
! Crear una lista de acceso para sólo permitir redistribución de 172.16.30.0/24.
! lista-acceso NOMBRELISTA permitir 172.16.30.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10.
! ruta-mapa [NOMBREMAPA] permitir 10
! coincidir dirección ip NOMBRELISTA
Acerca del Protocolo "Abrir Camino Más Curto

Primero" (OSPF)
Nota El soporte para ese protocolo está disponible sólo en el Fireware XTM con
actualización Pro.
El OSPF (Abrir camino más curto primero) es un protocolo de enrutador interior usado en grandes redes.
Con el OSPF, un enrutador que ve una alteración en su tabla de enrutamiento o que detecta un cambio en
la red inmediatamente envía una actualización de multidifusión a todos los otros enrutadores en la red.
OSPF es diferente del RIP porque:
n El OSPF envía sólo la parte de la tabla de enrutamiento que fue alterada en la transmisión. El RIP
envía la tabla de enrutamiento completa todas las veces.
n El OSPF envía una multidifusión sólo cuando su información fue alterada. El RIP envía una tabla de
enrutamiento a cada 30 segundos.
Además, observe lo siguiente acerca de OSPF:
n Si tiene más de un área de OSPF, una debe ser área 0.0.0.0 (el área del backbone).
n Todas las áreas deben ser adyacentes al área de backbone. Si no lo son, debe configurar un enlace
virtual al área de backbone.
Comandos de OSPF
Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento soportados por OSPF. Las
secciones deben aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.
También puede usar el texto de muestra encontrados en Muestra de archivo de configuración del
enrutamiento OSPF en la página 199.
Configurar interfaz
ip ospf clave-autenticación
Definir contraseña de autenticación de OSPF
[CONTRASEÑA]
interfaz eth[N] Iniciar sección para definir propiedades para

Dynamic Routing
interfaz
ip ospf clave-resumen-mensaje Definir clave e ID de clave de autenticación de

[CLAVE-ID] md5 [CLAVE] MD5
Definir costo de enlace para la interfaz (ver tabla

ip ospf costo [1-65535]
de Costo de Interfaz OSPF abajo)
Definir intervalo para enviar paquetes de hello; el

ip ospf hello-intervalo [1-65535]
predeterminado es de 10 segundos
Definir intervalo después del último hello de un

ip ospf intervalo-muerto [1-65535] vecino antes de declararlo inactivo; el
predeterminado es de 40 segundos.
Definir intervalo entre retransmisiones de

ip ospf intervalo-retransmitir [1-
anuncios de enlace-estado (LSA); el
65535]
predeterminado es de 5 segundos.
Definir tiempo requerido para enviar

ip ospf transmitir-retraso [1-3600] actualización de LSA; el predeterminado es de 1
segundo.
Definir prioridad de ruta; valor alto aumenta la

ip ospf prioridad [0-255] elegibilidad de volverse en enrutador asignado
(DR, en sus siglas en inglés)
Configurar Demonio de Enrutamiento de OSPF
enrutador ospf Activar demonio OSPF
definir ID de enrutador para OSPF manualmente;

ospf enrutador-id [A.B.C.D] enrutador determina su propio ID caso no esté
definido
Activar compatibilidad RFC 1583 (puede llevar a

compatibilidad ospf rfc 1583
bucles de ruta)
ospf abr-tipo Más información acerca de ese comando puede

[cisco|ibm|accesodirecto|estándar] ser encontrada en el archivo draft-ietf-abr-o5.txt
interfaz-pasiva eth[N] Desactivar anuncio de OSPF en interfaz eth[N]
ancho de banda de referencia de Definir costo global (vea tabla de costo de OSPF
costo-auto[0-429495] abajo); no use con el comando "ip ospf [COSTO]"
temporizadores spf [0- Definir cronograma de tiempo de retraso y

4294967295][0-4294967295] espera de OSPF
Activar OSPF en una Red
*La variable "área" puede ser ingresada en dos formatos:

Dynamic Routing
[W.X.Y.Z]; o como un número entero [Z].
Anunciar OSPF en la red

red [A.B.C.D/M] área [Z]
A.B.C.D/M para área 0.0.0.Z
Configurar propiedades para área de backbone u otras áreas
La variable "área" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un número entero [Z].
Crear área 0.0.0.Z y definir una red con clase para

área [Z] rango [A.B.C.D/M] el área (las configuraciones de máscara y red de
interfaz y rango deberían coincidir)
área [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para área 0.0.0.Z
área [Z] stub Definir área 0.0.0.Z como stub
área [Z] stub no-summary
Activar autenticación de contraseña simple para

área [Z] autenticación
área 0.0.0.Z
área [Z] resumen de mensaje de

Activar autenticación MD5 para área 0.0.0.Z
autenticación
Redistribuir rutas OSPF
información-predeterminada Compartir ruta de último recurso (ruta

originar predeterminada) con OSPF
Compartir ruta del último recurso (ruta

información-predeterminada
predeterminada) con OSPF, y añadir una métrica
originar métrica [0-16777214]
usada para generar la ruta predeterminada
información-predeterminada Compartir siempre la ruta de último recurso (ruta

originar siempre predeterminada)
información-predeterminada Compartir siempre ruta del último recurso (ruta

originar siempre métrica [0- predeterminada), y añadir una métrica usada para
16777214] generar la ruta predeterminada
redistribuir conectado Redistribuir rutas de todas las interfaces a OSPF
Redistribuir rutas de todas las interfaces a OSPF y

redistribuir métricas conectadas
una métrica usada para la acción
Configurar redistribución de rutas con Listas de Acceso

y Mapas de Ruta
lista-acceso [NOMBRELISTA] Crear una lista de acceso para permitir la

permiso [A.B.C.D/M] distribución a A.B.C.D/M

Dynamic Routing
listas-acceso [NOMBRELISTA] negar Restringir distribución de cualquier mapa de ruta

todos especificado arriba
ruta-mapa [NOMBREMAPA] Crear un mapa de ruta con el [NOMBREMAPA] de

permitir [N] nombre y permitir otorgando prioridad de [N]
coincidir dirección ip
[NOMBRELISTA]
Tabla de Costo de Interfaz de OSPF

El protocolo OSPF encuentra la ruta más eficiente entre dos puntos. Para eso, mira los factores como
velocidad de enlace de la interfaz, el número de salto entre puntos y otros indicadores. Por defecto, OSPF
usa la velocidad de enlace real de un dispositivo para calcular el costo total de una ruta. Puede definir el
costo de la interfaz manualmente para ayudar a maximizar la eficiencia si, por ejemplo, su firewall basado
en gigabytes está conectado a un enrutador de 100M. Use los números en esa tabla para definir
manualmente el costo de interfaz en un valor diferente del costo real de interfaz.
Tipo de Ancho de banda en Ancho de banda en Costo de Interfaz de

interfaz bits/segundo bytes/segundo OSPF
Ethernet 1G 128M 1
Ethernet 100M 12.5M 10
Ethernet 10M 1.25M 100
Módem 2M 256K 500
Módem 1M 128K 1000
Módem 500K 62.5K 2000
Módem 250K 31.25K 4000
Módem 125K 15625 8000
Módem 62500 7812 16000
Serial 115200 14400 10850
Serial 57600 7200 21700
Serial 38400 4800 32550
Serial 19200 2400 61120
Serial 9600 1200 65535

Dynamic Routing
Configurar el Firebox para usar OSPF

Configuración de dynamic routing páginaaparece.
3. Haga clic en la pestaña OSPF.
Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en

la página 187.
Para empezar, necesita sólo dos comandos en su archivo de configuración de OSPF. Esos dos
comandos, en ese orden, empiezan el proceso de OSPF:
router ospf
red <network IP address of the interface you want the process to listen on and distribute through
the protocol> área <area ID in x.x.x.x format, such as 0.0.0.0>

Dynamic Routing
Permitir tráfico de OSPF a través del Firebox

Debe añadir y configurar una política para permitir multidifusiones de OSPF de los enrutadores que tienen
OSPF activado, hacia la dirección reservada de multidifusión para OSPF.

de red o IP del enrutador usando OSPF hacia las direcciones IP 224.0.0.5 y 224.0.0.6.
Para más información acerca de cómo definir las direcciones de origen y destino para una política,
vea Definir reglas de acceso a una política en la página 267.
Entonces puede añadir la autenticación y restringir la política de OSPF para analizar sólo las
interfaces correctas.
Muestra de archivo de configuración del enrutamiento OSPF

Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario copiar y pegar un
archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de archivo
de configuración para el demonio de enrutamiento de OSPF. Si desea usar este archivo de configuración
como base para su propio archivo de configuración, copie el texto en una aplicación como el Bloc de Notas
o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para atender a las
necesidades de su empresa.
!! SECCIÓN 1: Configure las propiedades de interfaz.
! Definir propiedades para interfaz eth1.
! interfaz eth1
!
! Definir la contraseña de autenticación simple (CLAVECOMPARTIDA).
! ip ospf clave-autenticación CLAVECOMPARTIDA
!
! Definir el IP de clave de autenticación MD5 (10) y clave de autenticación MD5
(CLAVEAUT).
! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT
!
! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.
! para tabla de costo de enlace OSPF. ! ip ospf costo 1000
!
! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10
segundos.
! ip ospf intervalo-hello 5

Dynamic Routing
!
! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40
segundos.
! ip ospf intervalo-muerto 15
!
! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)
! en 10 segundos (1-65535); el predeterminado es 5 segundos.
! ip ospf intervalo-retransmitir 10
!
! Definir intervalo de actualización LSA en 3 segundos (1-3600); el
predeterminado es 1 segundo.
! ip ospf transmitir-retraso 3
!
! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en
! enrutador asignado (DR).
! ip ospf prioridad 255
!! SECCIÓN 2: Iniciar OSFP y definir propiedades de demonio.
! Activar demonio OSPF. Debe estar activado para todas las configuraciones
de OSPF.
! router ospf
!
! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el
firewall lo hará
! definir el propio ID basado en una dirección IP de interfaz.
! ospf router-id 100.100.100.20
!
! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de
enrutamiento).
! ospf rfc1583compatibilidad
!
! Definir tipo de enrutador de adyacencia de área (ABR) en cisco, ibm, acceso
directo o estándar.
! Más información acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.
! ospf abr-tipo cisco
!
! Desactivar anuncio de OSPF en interfaz eth0.
! interfaz pasiva eth0
!
! Definir costo global en 1000 (0-429495).
! ancho de banda de referencia de costo-auto 1000
!
! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener
! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores
spf 25 20
!! SECCIÓN 3: Definir propiedades de área y red. Definir áreas con notación
W.X.Y.Z
!! o Z.
! Anunciar OSPF en la red 192.168.253.0/24 para área 0.0.0.0.
! red 192.168.253.0/24 área 0.0.0.0
!
! Crear área 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)
! para el área (configuraciones de red de interfaz y rango deben coincidir).
! área 0.0.0.1 rango 172.16.254.0/24
!

Dynamic Routing
! Definir vecino de enlace virtual (172.16.254.1) para área 0.0.0.1.

! área 0.0.0.1 enlace-virtual 172.16.254.1
!
! Definir área 0.0.0.1 como stub en todos los enrutadores en área 0.0.0.1.
! área 0.0.0.1 stub
!
! área 0.0.0.2 stub sin-resumen
!
! Activar autenticación de contraseña simple para área 0.0.0.0.
! área 0.0.0.0 autenticación
!
! Activar autenticación MD5 para área 0.0.0.1.
! área 0.0.0.1 resumen-mensaje autenticación
!! SECCIÓN 4: Redistribuir rutas de OSPF
! Compartir ruta del último recurso (ruta predeterminada) de la tabla de
enrutamiento de núcleo
! con puntos OSPF.
! información-predeterminada originar
!
! Redistribuir rutas estáticas a OSPF.
! redistribuir núcleo
!
! Redistribuir rutas de todas las interfaces a OSPF.
! redistribuir conectado
! redistribuir mapa-ruta conectado
! ! Redistribuir rutas de RIP y BGP y OSPF.
! redistribuir rip !redistribuir bgp
!! SECCIÓN 5: Configurar filtros de redistribución de rutas con listas de acceso
!! y mapas de ruta.
! Crear una lista de acceso para sólo permitir redistribución de 10.0.2.0/24.
! lista-acceso NOMBRELISTA permitir 10.0.2.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando una
prioridad de 10 (1-199).
! coincidir dirección ip NOMBRELISTA
Acerca del Border Gateway Protocol (BGP)

Nota El soporte para ese protocolo está disponible sólo en Fireware XTM con una
actualización Pro en los dispositivos Core e-Series, Peak e-Series o XTM.
El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de
enrutadores para compartir información de enrutamiento. El BGP usa parámetros de ruta o atributos para
definir políticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que
divulgue más de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos
redundantes y puede aumentar su tiempo de actividad.

Dynamic Routing
Los hosts que usan BGP usan TCP para enviar información de tabla de enrutamiento actualizada cuando un
host encuentra una alteración. El Host envía sólo la parte de la tabla de enrutamiento que tiene la
alteración. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de
enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTM está definido
en 32 K.
El volumen de la red de área amplia (WAN) típica del cliente WatchGuard es más adecuado para el dynamic
routing de OSPF. Una WAN también puede usar el border gateway protocol externo (EBGP) cuando más de
una puerta de enlace hacia Internet esté disponible. EBGP le permite aprovechar al máximo la posible
redundancia con una red "multi-homed".
Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Debe obtener un
ASN junto a uno de los registros regionales en la tabla abajo. Después de que se le asigne su propio ASN,
debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.
Región Nombre del registro Sitio web
Norte América RIN www.arin.net
Europa RIPE NCC www.ripe.net
Asia-Pacífico APNIC www.apnic.net
América Latina LACNIC www.lacnic.net
África AfriNIC www.afrinic.net
Comandos BGP
Para crear o modificar un archivo de configuración de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catálogo de comandos de enrutamiento de BGP. Las secciones deben
aparecer en el archivo de configuración en el mismo orden que aparecen en esta tabla.
No use los parámetros de configuración de BGP que no reciba de su ISP.
Configurar daemon de enrutamiento de BGP
Activar el daemon BGP y definir número de sistema

bgp enrutado [ASN]
autónomo (ASN); eso es provisto por su ISP
Anunciar BGP en la red

red [A.B.C.D/M]
A.B.C.D/M
sin red [A.B.C.D/M] Desactivar anuncios de BGP en la re A.B.C.D/M
Definir propiedades de vecinos
vecino [A.B.C.D] remoto-como

Definir vecino como miembro de ASN remoto
[ASN]
Definir vecino en otra red usando "multi-hop" (multi-salto)

vecino [A.B.C.D] ebgp-multihop
de EBGP

Dynamic Routing
vecino [A.B.C.D] versión 4 o Definir versión de BGP (4, 4+, 4-) para comunicación con
posterior vecino; la predeterminada es la 4
vecino [A.B.C.D] actualizar- Definir la sesión BGP para que use una interfaz específica
fuente [PALABRA] para las conexiones TCP
vecino [A.B.C.D]
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
predeterminado-originar
Definir puerto TCP personalizado para comunicarse con

vecino [A.B.C.D] puerto 189
vecino BGP [A,B,C,D]
vecino [A.B.C.D] enviar-

Determinar punto enviar-comunidad
comunidad
Definir peso predeterminado para las rutas de vecino

vecino [A.B.C.D] peso 1000
[A.B.C.D]
vecino [A.B.C.D] máximo-prefijo Definir número máximo de prefijos permitidos a partir de

[NÚMERO] este vecino
Listas de comunidades
lista-comunidad ip [<1- Especificar comunidad para que acepte el número de

99>|<100-199>] permitir sistema autónomo y número de red separados por dos
AA:NN puntos
Filtrado de punto
vecino [A.B.C.D] distribuir-lista

[NOMBRELISTA] Definir distribución de lista y dirección para punto
[ENTRAR|SALIR]
vecino [A.B.C.D] prefijo-lista

Para aplicar una lista de prefijos para coincidir con los
[NOMBRELISTA]
anuncios entrantes o clientes para ese vecino
[ENTRAR|SALIR]
vecino [A.B.C.D] filtro-lista

Para coincidir una lista de acceso de camino de sistema
[NOMBRELISTA]
autónomo a rutas entrantes y salientes
[ENTRAR|SALIR]
vecino [A.B.C.D] ruta-mapa

[NOMBREMAPA] para aplicar un mapa de ruta a rutas entrantes o salientes
[ENTRAR|SALIR]
Redistribuir rutas a BGP
redistribuir núcleo Redistribuir rutas estáticas a BGP
redistribuir rip Redistribuir rutas RIP a BGP

Dynamic Routing
redistribuir ospf Redistribuir rutas OSPF a BGP
Reflexión de ruta
Para configurar el ID del cluster si el cluster de BGP tiene

bgp cluster-id A.B.C.D
más de un reflector de ruta
vecino [W.X.Y.Z] ruta-reflector- Para configurar el enrutador como reflector de ruta BGP y
cliente configurar el vecino especificado como su cliente
Listas de acceso y listas de prefijos IP
ip prefijo-listas PRELISTA
Definir lista de prefijos
permitir A.B.C.D/E
acceso-lista NOMBRE
Definir lista de acceso
[negar|permitir] A.B.C.D/E
ruta-mapa [NOMBREMAPA] En conjunción con los comandos "coincidir" y "definir", eso

permitir [N] define las condiciones y acciones para redistribuir rutas
coincidir dirección ip lista-

Coincide el acceso-lista especificado
prefijo [NOMBRELISTA]
definir comunidad [A:B] Definir el atributo de comunidad BGP
coincidir comunidad [N] Coincide la comunidad_lista especificada
Definir el valor de preferencia para la ruta de sistema

definir local-preferencia [N]
autónomo
Configurar el Firebox para usar el BGP

Para participar en un BGP con un ISP, debe tener un número de sistema autónomo (ASN). Para más
informaciones, vea Acerca del Border Gateway Protocol (BGP) en la página 201.

3. Haga clic en la pestaña BGP.

Dynamic Routing
Para más informaciones, vea Acerca de archivos de configuración de demonio de enrutamiento. en

la página 187.
Para empezar, necesita sólo tres comandos en su archivo de configuración de BGP. Esos tres
comandos, inicie el proceso de BGP, configurar una relación de punto con el ISP y cree una ruta para
una red hacia Internet. Debe usar los comandos en ese orden.
BGP de enrutador: Número del sistema autónomo de BGP provisto por su
red de ISP: dirección IP de red a la cual desea divulgar una ruta desde el vecino de Internet
: <IP address of neighboring BGP router> remoto-como <BGP autonomous number>
Permitir tráfico de BGP a través del Firebox

Debe añadir y configurar una política para permitir el tráfico de BGP hacia del Firebox desde las redes
aprobadas. Esas redes deben ser las mismas definidas en su archivo de configuración de BGP.

Dynamic Routing

2. En la lista de filtrados de paquetes, seleccione BGP. Haga clic en Agregar.
de red o IP del enrutador que usa BGP hacia la interfaz Firebox que se conecta. También debe
agregar la dirección IP de difusión de red.
Entonces puede añadir la autenticación y restringir la política de BGP para analizar sólo las interfaces
correctas.
Muestra de archivo de configuración del enrutamiento BGP

Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuración para el demonio de dynamic routing. Este tópico incluye una muestra de
archivo de configuración para el demonio de enrutamiento de BGP. Si desea usar este archivo de
configuración como base para su propio archivo de configuración, copie el texto en una aplicación como el
Bloc de Notas o Wordpad y guárdelo con un nuevo nombre. Puede entonces editar los parámetros para
atender a las necesidades de su empresa.
!! SECCIÓN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP
! Activar BGP y definir ASN local en 100 enrutador bgp 100
! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la sección 2
64.74.30.0/24
!! SECCIÓN 2: Propiedades de vecinos

! Definir vecino (64.74.30.1) como miembro de ASN remoto (200)
! vecino 64.74.30.1 remoto-como 200
! Definir vecino (208.146.43.1) en otra red usando "multi-hop" (multi-salto)
de EBGP
! vecino 208.146.43.1 remoto-como 300
! vecino 208.146.43.1 ebgp-multihop
! Definir versión de BGP (4, 4+, 4-) para comunicación con vecino; la
predeterminada es la 4
! vecino 64.74.30.1 versión 4+
! Anunciar ruta predeterminada para vecino BGP (64.74.30.1)
! vecino 64.74.30.1 predeterminada-originar
! Definir puerto TCP personalizado 189 para comunicarse con vecino BGP
(64.74.30.1). Puerto predeterminado es TCP 179
! vecino 64.74.30.1 puerto 189
! Determinar punto enviar-comunidad
! vecino 64.74.30.1 enviar-comunidad
! Definir peso predeterminado para las rutas de vecino (64.74.30.1)
! vecino 64.74.30.1 peso 1000
! Definir número máximo de prefijos permitidos a partir de este vecino

Dynamic Routing
no 64.74.30.1 NÚMERO máximo-prefijo
CIÓN 3: Definir listas de comunidades

! lista-comunidad ip 70 permitir 7000:80
CIÓN 4: Filtrado de anuncios

! Definir distribución de lista y dirección para punto
! vecino 64.74.30.1 distribuir-lista NOMBRELISTA [entrar|salir]
! Para aplicar una lista de prefijos para coincidir con los anuncios entrantes o
clientes para ese vecino
! vecino 64.74.30.1 prefijo-lista NOMBRELISTA [entrar|salir]
! Para coincidir una lista de acceso de camino de sistema autónomo a rutas
entrantes y salientes
! vecino 64.74.30.1 filtro-lista NOMBRELISTA [entrar|salir]
! para aplicar un mapa de ruta a rutas entrantes o salientes
! vecino 64.74.30.1 ruta-mapa NOMBREMAPA [entrar|salir]
CCIÓN 5: Redistribuir rutas a BGP

! Redistribuir rutas estáticas a BGP
! Redistribuir núcleo
! Redistribuir rutas RIP a BGP
! Redistribuir rip
! Redistribuir rutas OSPF a BGP
! Redistribuir ospf
CCIÓN 6: Reflexión de ruta
! Definir ID de clúster y firewall como un cliente de servidor de reflector de ruta
51.210.0.254
! bgp clúster-id A.B.C.D
! vecino 51.210.0.254 ruta-reflector-cliente
!! SECCIÓN 7: Listas de acceso y listas de prefijos IP

! Definir lista de prefijos
! ip prefijo-lista PRELISTA permitir 10.0.0.0/8
! Definir lista acceso!acceso-lista NOMBRE negar 64.74.30.128/25
! acceso-lista NOMBRE permitir 64.74.30.0/25
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10
! coincidir dirección ip prefijo-lista NOMBRELISTA
! definir comunidad 7000:80

Dynamic Routing

11 Autenticación
Acerca de la autenticación de usuario

La autenticación de usuario es un proceso que descubre si un usuario es quien se declaró ser y averigua los
privilegios asignados a dicho usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre de
usuario y una frase de contraseña. Cada cuenta de usuario está asociada a una dirección IP. Esa combinación
de nombre de usuario, frase de contraseña y dirección IP ayuda el administrador del dispositivo a
monitorear las conexiones a través del dispositivo. Con la autenticación, los usuarios pueden iniciar sesión
en la red desde cualquier equipo, pero acceder sólo a los protocolos y puertos de red a los cuales estén
autorizados. Firebox puede también mapear las conexiones que se inician desde una dirección IP
determinada y también transmitir el nombre de la sesión mientras el usuario está autenticado.
Puede crear políticas de firewall para dar acceso a recursos específicos de red a usuarios y grupos. Eso es
útil en los ambientes de red donde varios usuarios comparten un único equipo o dirección IP.
Puede configurar su Firebox como servidor de autenticación local o usar su servidor de Active Directory
Authentication, LDAP o RADIUS existente. Cuando usa la autenticación de Firebox por el puerto 4100, los
privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticación de
terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticación de
terceros están basados en la participación en un grupo.
La función de autenticación de usuario de WatchGuard permite que un nombre de usuario esté asociado a
una dirección IP específica para ayudarlo a autenticarse y rastrear conexiones de usuarios a través del
dispositivo. Con el dispositivo, la pregunta fundamental que cada conexión realiza es "¿debo permitir el
tráfico de la origen X hacia el destino Y?" Para que la función de autenticación de WatchGuard funcione
correctamente, la dirección IP del equipo del usuario no debe cambiar mientras el usuario esté autenticado
al dispositivo.
En gran parte de los ambientes, la relación entre una dirección IP y el equipo de usuario es bastante estable
como para ser usada para la autenticación. Los ambientes en los cuales la asociación entre el usuario y una
dirección IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas
desde un servidor de terminal, no suelen ser muy aptos para una utilización exitosa de la función de
autenticación de usuario.

Autenticación
WatchGuard soporta control de Autenticación, Cuentas y Acceso (AAA, en sus siglas en inglés) en los
productos de firewall, basado en el asociación estable entre la dirección IP y la personal.
La función de autenticación de usuario de WatchGuard también soporta la autenticación a un dominio de

Active Directory con Single Sign-On (SSO), así como otros servidores comunes de autenticación. Asimismo,
soporta configuraciones de inactividad y límites de duración de sesión. Esos controles restringen el período
de tiempo que una dirección IP puede transmitir tráfico a través de Firebox antes que los usuarios deban
proveer sus contraseñas nuevamente (reautenticarse).
Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de
espera de sesión y quiénes están autorizados a autenticarse, puede mejorar su control de autenticación,
cuentas y control de acceso.
Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de
autenticación.
Usuario pasos de autenticación

Un servidor HTTPS opera en el dispositivo WatchGuard para aceptar las solicitudes de autenticación.
Para autenticarse, un usuario debe conectarse a la página web del portal de autenticación en el dispositivo
WatchGuard.
1. Diríjase a:
https://[dirección IP de la interfaz del dispositivo]:4100/
o
https://[nombre del host del dispositivo]:4100
Aparece la página web de autenticación.
2. Ingrese un nombre de usuario y contraseña.
3. Seleccione el servidor de autenticación en la lista desplegable, si más de un tipo de autenticación
está configurado.
El dispositivo WatchGuard envía el nombre y contraseña al servidor de autenticación usando un PAP (Protocolo
de Autenticación de Contraseña, según sus siglas en inglés).
Cuando autenticado, el usuario está autorizado a usar los recursos aprobados de red.
Nota Como el Fireware XTM usa un certificado autofirmado por defecto para HTTPS, se
recibe una advertencia de seguridad de su explorador web cuando se autentica.
Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa
advertencia, puede usar un certificado externo o crear un certificado
personalizado que coincida con la dirección IP o domain name usado para la
autenticación.

Autenticación
Cerrar manualmente una sesión autenticada

Los usuarios no necesitan esperar que el tiempo de espera de la sesión se agote para cerrar sus sesiones
autenticadas. Pueden cerrar sus sesiones manualmente antes que se agote el tiempo de espera. La página
web de autenticación debe estar abierta para que el usuario cierre una sesión. Si está cerrada, el usuario
debe autenticarse nuevamente para desconectarse.
Para cerrar manualmente una sesión autenticada:
1. Diríjase a la página web del portal de Autenticación:
https://[dirección IP de la interfaz del dispositivo]:4100/

o
https://[nombre del host del dispositivo]:4100
2. Haga clic en Salir.
Nota Si la página web del portal de autenticación está configurada para redireccionar
automáticamente hacia otra página web, el portal lo redirecciona algunos
segundos después que lo abre. Asegúrese de salir antes que la página lo
redireccione.
Administrar usuarios autenticados

Puede usar Fireware XTM Web UI para ver una lista de todos los usuarios autenticados en su dispositivo
WatchGuard y cerrar sesiones para esos usuarios.
Ver usuarios autenticados

Para ver los usuarios autenticados en su dispositivo WatchGuard:

2. Seleccione Estado del sistema > Lista de autenticación.
Aparece una lista de todos los usuarios autenticados en el Firebox.
Cerrar una sesión de usuario

A partir de la navigation bar del Fireware XTM Web UI:
1. Seleccione Estado del sistema > Lista de autenticación.

Aparece una lista de todos los usuarios autenticados en el Firebox.
2. Seleccione uno o más nombres de usuario de la lista.

3. Haga clic con el botón derecho en el(los) nombre(s) de usuario y seleccione Usuario de
desconexión.

Autenticación
Use la autenticación para restringir el tráfico

entrante
Una función de la herramienta de autenticación es restringir el tráfico saliente. También puede ser usada
para restringir el tráfico de red entrante. Cuando tiene una cuenta en el dispositivo WatchGuard que tiene
una dirección IP externa pública, puede autenticarse al dispositivo desde un equipo externo al dispositivo.
Por ejemplo, puede insertar esa dirección en su explorador web: https://<IP address of
WatchGuard device external interface>:4100/ .
Después de autenticarse, puede usar las políticas configuradas para usted en el dispositivo.
Para permitir que un usuario remoto se autentique desde la red externa:

2. Seleccione la política Autenticación de WatchGuard y haga clic en Editar.
También puede hacer doble clic en la política. Esa política aparece después que se agrega un usuario
o grupo a una configuración de políticas.
3. En la lista desplegable Conexiones están, asegúrese de que Permitido esté seleccionado
4. Abajo de la ventana De, haga clic en Agregar.
Aparece el cuadro de diálogo "Agregar Dirección".
5. Seleccione Cualquiera de la lista y haga clic en Agregar.
6. Haga clic en OK.
En la ventana "De" aparece "Cualquiera".
7. Abajo del cuadro Para, haga clic en Agregar.
8. Seleccione Firebox en la lista y haga clic en Agregar.
9. Haga clic en OK.
Firebox aparece en la ventana "Para".
Use la autenticación a través de un Firebox de puerta de enlace

El Firebox de puerta de enlace es el dispositivo puesto en su red para proteger su Management Server
contra la Internet.
Para enviar una solicitud de autenticación a través de un Firebox de puerta de enlace a un dispositivo
diferente, debe tener una política que permita el tráfico de autenticación en el dispositivo de puerta de
enlace. Si se niega el tráfico de autenticación en el dispositivo de puerta de enlace, agregar la política de
WG-Autoriz. Esa política controla el tráfico en el puerto TCP 4100. Debe configurar la política para permitir
el tráfico hacia la dirección IP del dispositivo de destino.
Definir valores de autenticación global

Puede definir valores de autenticación global (tales como los valores de tiempo de espera y la página de
autenticación redirecciona).
Para configurar la autenticación:

Autenticación

2. Seleccione Configuración >de Autenticación.
Aparece la página "Configuración de Autenticación".
3. Configurar la autenticación tal como se describe en las secciones siguientes.

Definir tiempos de espera de autenticación

Puede definir el período de tiempo que los usuarios permanecen autenticados después de cerrar su última
conexión autenticada. Ese tiempo de espera es definido o en el cuadro de diálogo Configuraciones de
Autenticación, o enConfigurar usuario de Firebox página.
Para más informaciones sobre la configuración de autenticación de usuario y Configurar usuario de Firebox
página, vea Definir un nuevo usuario para autenticación en Firebox en la página 225.
Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores
también anulan los tiempos de espera de autenticación global.
Los valores de tiempos de espera de autenticación no se aplican a usuarios de Mobile VPN con PPTP.

Autenticación
Tiempo de espera de sesión
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir
conectado por el tiempo que desee.
Tiempo de espera inactivo
El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo
(sin transmitir cualquier tráfico a la red externa). Si define este campo en cero (0) segundos,
minutos, horas o días, la sesión no termina cuando está inactiva y el usuario puede seguir conectado
por el tiempo que desee.
Permitir múltiples inicios de sesión concomitantes

Puede permitir que más de un usuario se autentique con las mismas credenciales de usuario al mismo
tiempo en un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio.
Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del
primer usuario autenticado con las credenciales. Si no permitir esa función, el usuario no puede
autenticarse en el servidor de autenticación más de una vez al mismo tiempo.
1. Vaya a Configuración de Autenticación página.

2. Seleccione la casilla de verificación Permitir múltiples sesiones de autenticación de firewall de la
misma cuenta.
Para usuarios de Mobile VPN with IPSec y Mobile VPN with SSL, las sesiones de inicio simultáneas de la
misma cuenta siempre son compatibles, esté la casilla seleccionada o no. Esos usuarios deben iniciar sesión
desde diferentes direcciones IP para el inicio de sesión simultáneo, es decir, no pueden usar la misma
cuenta para iniciar sesión si están detrás de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP
no tienen esa restricción.
Limitar sesiones de inicio

En Configuración de Autenticación página, puede imponer un límite de sesión única autenticada por
usuario. Si selecciona esa opción, los usuarios no pueden iniciar sesión en un servidor de autenticación
desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intenta
autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando la sesión
siguiente es autenticada, o si la sesión siguiente es rechazada.
1. Seleccione Imponer a usuarios el límite de una única sesión de inicio.

2. De la lista desplegable, seleccione Rechazar intentos concomitantes de inicio de sesión cuando el
usuario ya está registrado o Cerrar primera sesión cuando el usuario inicia sesión por segunda vez.

Autenticación
Direccionarusuariosautomáticamenteal portal deiniciode

sesión
Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar usuarios
automáticamente que no están todavía autenticados al portal de autenticación o solicitarles que naveguen
manualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS.
Redireccionar usuarios automáticamente a la página de autenticación para que se autentiquen.
Al marcar esta casilla de verificación, todos los usuarios que todavía no están autenticados serán
redireccionados automáticamente al portal de inicio de sesión de autenticación cuando intenten
acceder a Internet. Si no seleccionar esa casilla de verificación, los usuarios no autenticados deben
navegar manualmente al portal de inicio de sesión de autenticación.
Para más información acerca de autenticación de usuario, vea Usuario pasos de autenticación en la
página 210.

Autenticación
Usar una página de inicio predeterminada personalizada

Al seleccionar la casilla de verificación Redireccionar usuarios automáticamente a la página de
autenticación para solicitar a los usuarios que se autentiquen antes de acceder a Internet, aparece el portal
de autenticación web de Firebox cuando un usuario abre un explorador web. Si desea que el explorador
vaya a una página diferente después que los usuarios inician la sesión con éxito, puede definir un
redireccionamiento.
En Configuración de Autenticación página:
1. Seleccione la casilla de verificación Enviar un redireccionamiento al explorador después de una

autenticación exitosa
2. En el cuadro de texto, ingrese el URL del sitio web al cual desea que los usuarios sean
redireccionados.
Definir tiempos de espera de Sesión de Administración

Use esos campos para definir el período de tiempo que un usuario registrado con privilegios de
lectura/escritura permanece autenticado antes que el dispositivo WatchGuard cierre la sesión.
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir
conectado por el tiempo que desee.
El período de tiempo máximo que el usuario puede permanecer autenticado cuando esté inactivo
(sin transmitir cualquier tráfico a la red externa). Si define ese campo en cero (0) segundos, minutos,
horas o días, la sesión no termina cuando el usuario está inactivo y puede seguir conectado por el
tiempo que desee.
Acerca de la política de Autenticación de

WatchGuard (WG-Autoriz)
La política de Autenticación de WatchGuard (WG-Autoriz) es adicionada automáticamente a la configuración
de su dispositivo WatchGuard. La primera política que agrega a la configuración de su dispositivo que tiene
un nombre de grupo o usuario en el campo De en la pestaña Política de la definición de políticas cre una
política WG-Autoriz. Esa política controla el acceso al puerto 4100 en el dispositivo. Los usuarios envían
solicitudes de autenticación al dispositivo a través de ese puerto. Por ejemplo, para autenticarse a un
dispositivo WatchGuard con una dirección IP de 10.10.10.10, ingrese https://10.10.10.10:4100 en la
barra de direcciones del explorador web.

Autenticación
Si desea enviar una solicitud de autenticación a través de un dispositivo de puerta de enlace hacia un
dispositivo diferente, puede ser necesario agregar la política WG-Autoriz manualmente. Si el tráfico de
autenticación es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la
política WG-Autoriz. Modifique esa política para permitir el tráfico hacia la dirección IP del dispositivo de
destino.
Para obtener más información sobre cuando modificar la política de autenticación de WatchGuard, vea Use
la autenticación para restringir el tráfico entrante en la página 212.
Acerca de Single Sign-On (SSO)

Cuando los usuarios inician la sesión en los equipos en su red, deben presentar un nombre de usuario y
contraseña. Si usa la autenticación en Active Directory en su Firebox para restringir el tráfico de red saliente
a usuarios o grupos determinados, ellos también deben iniciar sesión nuevamente cuando se autentican
manualmente al dispositivo para acceder a recursos de red, como la Internet. Puede usar Single Sign-On
(SSO) para permitir que usuarios en las redes de confianza o opcional se autentiquen automáticamente al
Firebox cuando inician sesión en sus equipos.
El SSO de WatchGuard es una solución en dos partes, que incluye el agente SSO y los servicios de cliente
SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El
software cliente SSO es opcional y está instalado en el equipo cliente de cada usuario.
El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quién está
registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones
anteriores a WSM 10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la
información recibida para autenticar un usuario en Single Sign-On.
Si el cliente SSO no está instalado, el agente SSO puede obtener más de una respuesta del equipo que
consulta. Eso puede ocurrir si más de un usuario inicia sesión en el mismo equipo, o debido a los accesos
por lotes o servicio que ocurren en el equipo. El agente SSO usa sólo la primera respuesta recibida del
equipo y reporta aquel usuario a Firebox como el usuario que está registrado. El dispositivo puede
comparar la información del usuario con todas las políticas definidas para aquel usuario y/o grupo de
usuarios de una sola vez. El agente SSO, por defecto, pone en caché esos datos por unos 10 minutos para
que no sea necesario generar una consulta para cada conexión.
Cuando el software cliente SSO está instalado, recibe un llamado del agente SSO y devuelve información
precisa sobre el usuario que está actualmente registrado en la estación de trabajo. El agente SSO no
establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque
recibe la información correcta sobre quién está registrado actualmente en un equipo y a cuáles grupos de
Active Directory el usuario pertenece, desde el cliente SSO.
Si trabaja en un ambiente donde más de una persona usa un equipo, recomendamos que instale el
software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe
prestar atención. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus
administrado de modo central) que hayan sido desplegados para que el inicio de sesión se hiciera con las
credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a

Autenticación
partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales
de usuarios individuales que inician sesión interactivamente. Además, todos los mensajes de registro
generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el
usuario individual.
Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde
los usuarios se registran a equipos con inicio de sesión por lote o de servicio.
Cuando más de un usuario está asociado a una dirección IP, los permisos de red
pueden no funcionar correctamente. Eso puede representar un riesgo de
seguridad.
Antes de empezar
n Debe tener un Active Directory Server configurado en una red de confianza u opcional.
n Su Firebox debe estar configurado para usar la Active Directory Authentication.
n Cada usuario debe tener una cuenta configurada en el Active Directory Server.
n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO) funcione
correctamente. Si los usuarios se registran a una cuenta que existe sólo en sus equipos locales, sus
credenciales no son verificadas y el Firebox no reconoce que están registrados.
n Si usa un software de firewall de terceros en sus equipos en red, asegúrese de que el puerto TCP
445 (Samba/Windows Network) esté abierto en cada cliente.
n Asegúrese de que la opción de compartir impresoras y archivos esté habilitada en todos los equipos
desde los cuales los usuarios se autentican con SSO.
n Asegúrese de que los puertos NetBIOS y SMS no estén bloqueados en todos los equipos desde los
cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el
puerto TCP 445.
n Asegúrese de que el puerto 4116 esté abierto en los equipos cliente.
n Asegúrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean
miembros del dominio con relaciones de confianza absoluta.
Configurar SSO
Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que también instale el cliente
SSO en los equipos de los usuarios. Aunque sólo pueda usar el SSO con el agente SSO, la seguridad y el
control de acceso aumentan cuando también se usa el cliente SSO.
Para configurar el SSO, siga esos pasos:
1. Instalar el agente de Single Sign-On (SSO) de WatchGuard.

2. Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional, pero recomendado).
3. Activar Single Sign-On (SSO).
Instalar el agente de Single Sign-On (SSO) de WatchGuard

Para usar Single Sign-On (SSO), debe instalar el agente SSO de WatchGuard. El agente SSO es un servicio que
recibe solicitudes de autenticación de Firebox y verifica el estado del usuario con el servidor de Active
Directory. El servicio es ejecutado con el nombre de WathGuard Authentication Gateway en el equipo en
el cual se instala el software agente SSO. Ese equipo debe tener instalado el Microsoft.NET Framework 2.0

Autenticación
o versión posterior.
Nota Para usar Single Sign-On en su Firebox, debe instalar el agente SSO en un equipo
dominio con dirección IP estática. Recomendamos que instale el agente SSO en su
controlador de dominio.
Descargar el software del agente SSO

1. Abrir un explorador web e ir a http://www.watchguard.com/.
2. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y número de modelo.
5. Descargue el software WatchGuard Authentication Gateway y guarde el archivo en una ubicación
adecuada.
Antes de instalar
El servicio del agente SSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.
Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente
SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:
n Agregar la cuenta al grupo Admin de Dominio.

n Convertir Admin de Dominio en un grupo principal.
n Permitir que el inicio de sesión en la cuenta como un servicio.
n Definir contraseña para que nunca caduque.
Instalar el servicio del agente SSO

1. Haga doble clic en WG-Authentication-Gateway.exe para iniciar el Asistente de Configuración del
Authentication Gateway.
En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada página y complete el asistente.
Para el nombre de usuario del dominio, ingrese el nombre de usuario en el formato:

dominio\nombre de usuario . No incluya la parte .com o .net del domain name. Por ejemplo, si el
dominio es mywatchguard.com y se use la cuenta de dominio ssoagente, inserte
mywatchguard\ssoagente .
También puede usar el formato UPN del nombre de usuario:
nombredeusuario@mywatchguard.com . Si usa el formato UPN del nombre de usuario, debe
incluir la parte .com o .net del domain name.
3. Para cerrar el asistente, haga clic en Finalizar.
Después que el asistente concluya, el servicio de WatchGuard Authentication Gateway inicia

automáticamente. Cada vez que el equipo se reinicia, el servicio inicia automáticamente.

Autenticación
Instale el cliente de Single Sign-On (SSO) de WatchGuard

Como parte de la solución de Single Sign-On (SSO) de WatchGuard, se puede instalar el cliente SSO de
WatchGuard. El cliente SSO es instalado como un servicio de Windows y ejecutado en la cuenta del Sistema
Local en una estación de trabajo para verificar las credenciales del usuario con sesión iniciada en aquel
equipo. Cuando un usuario intenta autenticarse, el agente SSO envía una solicitud de credenciales de
usuario al cliente SSO. Entonces, el cliente SSO devuelve las credenciales al usuario con sesión iniciada en la
estación de trabajo.
El cliente SSO analiza en el puerto 4116.
Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automáticamente en los
equipos de los usuarios cuando inician sesión en el dominio. Puede usar la Política de Grupo de Active
Directory para instalar el software automáticamente cuando los usuarios inicien sesión en su dominio. Para
obtener más información acerca del despliegue de instalación del software para los objetos de política de
grupo de Active Directory, vea la documentación de su sistema operativo.
Descargar el software cliente SSO

1. Use su explorador web para ir a http://www.watchguard.com/.
2. Iniciar sesión con su nombre de usuario y contraseña de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y número de modelo.
5. Descargue el software WatchGuard Authentication Client y guarde el archivo en una ubicación
adecuada.
Instale el servicio cliente SSO

1. Haga doble clic en WG-Authentication-Client.msi para iniciar el Asistente de Configuración de
Authentication Client.
En algunos sistemas operativos, puede ser necesario insertar una contraseña de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada página y complete el asistente.
Para ver cuáles unidades están disponibles para instalar el cliente y cuánto espacio está disponible
en cada una de las unidades, haga clic en Costo de Disco.
3. Para cerrar el asistente, haga clic en Cerrar.
El servicio WatchGuard Authentication Client inicia automáticamente cuando el asistente concluye e

inicia siempre que el equipo reinicia.
Activar Single Sign-On (SSO)

Antes de configurar el SSO, debe:
n Configurar su Active Directory Server

n Instalar el agente de Single Sign-On (SSO) de WatchGuard
n Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional)

Autenticación
Activar y configurar el SSO

Para activar y configurar el SSO desde Fireware XTM Web UI:
1. Seleccione Single Sign-On por > Autenticación.

Aparece la página "Single Sign-On por Autenticación".
2. Seleccione la casilla de verificación Activar Single Sign-On (SSO) con Active Directory.
3. En el cuadro de texto Dirección IP de Agente SSO , ingrese la dirección IP de su Agente SSO.
4. En el cuadro de texto Poner datos en caché por , ingrese o seleccione el período de tiempo que se
guardan los datos del agente SSO en caché.
5. En la lista Excepciones de SSO , agregar o remover las direcciones IP del host para las cuales no
desea que el dispositivo envíe consultas de SSO.
Para obtener más información sobre excepciones de SSO, vea la sección siguiente.
6. Haga clic Guardar para guardar los cambios.
Definir excepciones de SSO

Si su red incluye dispositivo con direcciones IP que no requieren autenticación, como servidores de red,
servidores de impresoras o equipos que no forman parte del dominio, recomendamos que agregue sus
direcciones IP a la lista de Excepciones de SSO. Cada vez que ocurre una conexión desde uno de esos
dispositivo y la dirección IP para el dispositivo no está en la lista de excepciones, el Firebox contacta al
agente SSO para intentar asociar la dirección IP al nombre de usuario. Eso lleva cerca de 10 segundos. Use
la lista de excepciones para evitar que se produzcan retrasos en cada conexión y que se reduzca el tráfico
de red innecesariamente.

Autenticación
Tipos de servidores de autenticación

El sistema operativo de Fireware XTM soporta seis métodos de autenticación:
n Configure su Firebox como servidor de autenticación

n Configurar autenticación de servidor RADIUS
n Configurado autenticación de servidor VASCO
n Configurar autenticación SecurID
n Configurar autenticación LDAP
n Configurar autenticación en Active Directory
Puede configurar uno o más tipos de servidor de autenticación para un dispositivo WatchGuard. Si usa más
de un tipo de servidor de autenticación, los usuarios deben seleccionar el tipo de servidor de autenticación
en una lista desplegable cuando se autentican.
Acerca de la utilización de servidores de autenticación de

terceros
Si usa un servidor de autenticación de terceros, no necesita mantener una base de datos separada en el
dispositivo WatchGuard. Se puede configurar un servidor externo, instalar el servidor de autenticación con
acceso al dispositivo y poner el servidor como resguardo del dispositivo, por seguridad. Se puede entonces
configurar el dispositivo para que reenvíe las solicitudes de autenticación de usuario a ese servidor. Si crea
un grupo de usuarios en el dispositivo que se autentica en un servidor externo, asegúrese de crear un
grupo en el servidor que tenga el mismo nombre que el grupo de usuarios en el dispositivo.
Para configurar un dispositivo WatchGuard para servidores de autenticación externos, vea:
n Configurar autenticación de servidor RADIUS

n Configurado autenticación de servidor VASCO
n Configurar autenticación SecurID
n Configurar autenticación LDAP
n Configurar autenticación en Active Directory
Use un servidor de autenticación de resguardo

Puede configurar un servidor de autenticación principal y de resguardo con cualquier tipo de autenticación
de terceros. Si el dispositivo WatchGuard no puede conectarse al autenticación principal después de tres
intentos, el servidor principal queda marcado como inactivo y se genera un mensaje de alarma. El
dispositivo entonces se conecta con el servidor de autenticación de resguardo.
Si el dispositivo WatchGuard no puede conectarse al servidor de autenticación de resguardo, espera diez

minutos y luego intentar conectarse al servidor de autenticación principal nuevamente. El servidor inactivo
es marcado como activo después que se alcanza el intervalo de tiempo.

Autenticación
Configure su Firebox como servidor de

autenticación
Si no usa un servidor de autenticación externo, puede usar el Firebox como servidor de autenticación. Ese
procedimiento divide su empresa en grupos y usuarios para autenticación. Cuando asigne usuarios a grupos,
asegúrese de asociarlos por tarea e información que usan. Por ejemplo, puede tener un grupo para
contabilidad, un grupo de marketing y un grupo de investigación y desarrollo. También puede haber un
grupo de nuevos empleados con acceso a Internet más controlado.
Cuando se crea un grupo, se define el procedimiento de autenticación para los usuarios, el tipo de sistema
e información que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se
puede agregar o quitar usuarios de sus grupos.
El servidor de autenticación de Firebox está activado por defecto. No necesita activarlo antes de agregar
usuarios y grupos.
Tipos de autenticación de Firebox

Puede configurar el Firebox para autenticar usuarios para cuatro tipos diferentes de autenticación:
n Firewall autenticación
n de conexiones de Mobile VPN with PPTP
n Configurar el Firebox para Mobile VPN with IPSec
n Conexiones de Mobile VPN con SSL
Cuando la autenticación tiene éxito, el Firebox enlaza esos elementos:
n Nombre de usuario
n Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro
n Dirección IP del equipo usado para autenticarse
n Dirección IP virtual del equipo usado para conectarse a Mobile VPN
Firewall autenticación
Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica
con Firebox, sus credenciales y dirección IP del equipo son usadas para encontrar si alguna política se aplica
al tráfico que el equipo envía y recibe.
Para crear una cuenta de usuario de Firebox:
1. Definir un nuevo usuario para autenticación en Firebox.

2. Definir un nuevo grupo para autenticación de Firebox y poner el nuevo usuario en aquel grupo.
3. Cree una política que permita el tráfico sólo desde y hacia una lista de nombres o grupos de usuarios
Firebox.
Esa política se aplica sólo si se recibe o envía un paquete a la dirección IP del usuario autenticado.
Para autenticarse con una conexión HTTPS al Firebox a través del puerto 4100:
1. Abra un explorador web y diríjase a:

https://<IP address of a Firebox interface>:4100/

Autenticación
2. Ingrese el nombre de usuario y contraseña.

3. Seleccione Dominio en la lista desplegable.
Ese campo sólo aparece si puede elegir más de un dominio.
4. Haga clic en Ingresar.
Si las credenciales son válidas, el usuario será autenticado.
de conexiones de Mobile VPN with PPTP

Al activar Mobile VPN with PPTP en su Firebox, los usuarios incluidos en el grupo de Mobile VPN with PPTP
pueden usar la función de PPTP incluida en el sistema operativo del equipo para establecer una conexión
PPTP con el dispositivo.
Como el Firebox permite la conexión PPTP desde cualquier usuario Firebox que ofrezca las credenciales
correctas, es importante que se haga una política para sesiones de PPTP que incluya sólo usuarios que
desea autorizar el envío de tráfico a través de la sesión PPTP. También puede añadir un grupo o usuario
individual a una política que restrinja el acceso a los recursos detrás de Firebox. Firebox crea un grupo
preconfigurado denominado usuarios PPTP para esa finalidad.
Para configurar una conexión de Mobile VPN con PPTP:
1. En el Fireware XTM Web UI, seleccione VPN>Mobile VPN with PPTP.

2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP.
3. Asegúrese de que la casilla de verificación Usar autenticación RADIUS para autenticar usuarios de
Mobile VPN with PPTP no esté seleccionada. Si la casilla de verificación está seleccionada, el
servidor de autenticación RADIUS autentica la sesión PPTP. Si limpia esa casilla, Firebox autentica la
sesión PPTP.
Firebox averigua si el nombre de usuario y contraseña insertados por el usuario en el cuadro de
diálogo de la conexión de VPN coincide con las credenciales del usuario en la base de datos de
usuarios de Firebox que es miembro del grupo de usuarios PPTP.
Si las credenciales aportadas por el usuario coinciden con una cuenta en la base de datos de usuarios de
Firebox, el usuario es autenticado para una sesión PPTP.
4. Crear una política que permita el tráfico solo desde y hacia una lista de nombres o grupos de
usuarios Firebox.
El Firebox no observa esa política, a no ser que haya tráfico desde o hacia la dirección IP del usuario
autenticado.
Conexiones de Mobile VPN con IPSec

Al configurar su dispositivo WatchGuard para hospedar sesiones de Mobile VPN con IPSec, cree políticas en
su dispositivo y luego use el cliente de Mobile VPN con IPSec para permitir que sus usuarios accedan a su
red. Después de configurar el dispositivo WatchGuard, cada equipo cliente debe ser configurado con el
software cliente de Mobile VPN con IPSec.
Cuando el equipo del usuario está correctamente configurado, el usuario hace la configuración de Mobile
VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de
usuarios de Firebox, y si el usuario está en el grupo de Mobile VPN creado, la sesión de Mobile VPN es
autenticada.
Para configurar la autenticación para Mobile VPN with IPSec:

Autenticación
1. Configurar una conexión de Mobile VPN con IPSec.

2. Instalar el software cliente de Mobile VPN con IPSec.
Conexiones de Mobile VPN con SSL

Puede configurar el Firebox para hospedar sesiones de Mobile VPN con SSL. Cuando Firebox está
configurado con una conexión de Mobile VPN with SSL, los usuarios incluidos en el grupo de Mobile VPN
with SSL pueden instalar y usar el software cliente de Mobile VPN con SSL para establecer una conexión SSL.
Como el Firebox permite la conexión SSL desde cualquiera de sus usuarios que ofrezca las credenciales
correctas, es importante que se haga una política para sesiones de SSL que incluya sólo usuarios que desea
autorizar que envíen tráfico a través de la sesión SSL. También se puede agregar esos usuarios a un Grupo
de Usuarios de Firebox y crear una política que permita el tráfico sólo desde ese grupo. Firebox crea un
grupo preconfigurado denominado usuarios SSLVPN para esa finalidad.
Para configurar una conexión de Mobile VPN con SSL:
1. En el Fireware XTM Web UI, seleccione VPN> Mobile VPN with SSL.
Aparece la página "Configuración de Mobile VPN con SSL".
2. Configurar el dispositivo Firebox o XTM para Mobile VPN with SSL.
Definir un nuevo usuario para autenticación en Firebox

1. En el Fireware XTM Web UI, seleccione servidores de >autenticación.
Aparece la página "Servidores de autenticación".
2. En la pestaña Firebox de los Servidores de Autenticación página, haga clic en Agregar abajo de la
lista Usuarios.
Aparece el cuadro de diálogo "Configurar Usuario de Firebox".

Autenticación
3. Ingrese el Nombre y (opcional) una Descripción del nuevo usuario.

4. Ingrese y confirme la frase de contraseña que desea que la persona use para autenticarse.
Nota Al definir esa frase de contraseña, los caracteres están enmascarados y no

aparecen en el texto simple de nuevo. Si pierde la frase de contraseña, debe definir
una nueva.
5. En el campo Tiempo de espera de sesión, defina el período máximo de tiempo que el usuario
puede enviar tráfico a la red externa.
La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor
máximo es de 365 días.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras está inactivo (sin transmitir tráfico hacia la red externa).
La configuración mínima para este campo es de un (1) segundos, minutos, horas o días. El valor
máximo es de 365 días.
7. Para agregar un usuario a un Grupo de Autenticación de Firebox, seleccione el nombre de usuario
en la lista Disponible.
8. Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Puede entonces agregar más usuarios.
9. Para cerrar el cuadro de diálogo Configurar usuario de Firebox, haga clic en Aceptar.
Aparece la pestaña "Usuarios de Firebox" con un listado de los nuevos usuarios.

Autenticación
Definir un nuevo grupo para autenticación de Firebox

2. Seleccione la pestaña Firebox.
3. Haga clic en Agregar bajo de la lista Grupos.
Aparece el cuadro de diálogo "Configurar Grupo de Firebox".
4. Ingrese un nombre para el grupo.

5. (Opcional) Ingrese una descripción para el grupo.
6. Para agregar un usuario al grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en
para desplazar el nombre a la lista Miembro.
También puede hacer doble clic en el nombre de usuario en la lista "Disponible".
7. Después de agregar todos los usuarios necesarios al grupo, haga clic en Aceptar.
Ahora puede configurar políticas y autenticación con esos usuarios y grupos, tal como se describe en Use
los usuarios y grupos autorizados en políticas en la página 248.
Configurar autenticación de servidor RADIUS

RADIUS (Servicio de Usuario de Marcado por Autenticación Remota) autentica los usuarios locales y
remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos
central los datos de autenticación de los usuarios, servidores de acceso remoto, puertas de enlace de VPN y
otros recursos.
Para más información acerca de la autenticación por RADIUS, vea Como la autenticación del servidor
RADIUS funciona en la página 230.

Autenticación
Clave de autenticación
Los mensajes de autenticación hacia y desde el servidor RADIUS usan una clave de autenticación, no una
contraseña. Esa clave de autenticación, o shared secret, debe ser la misma en el cliente y servidor RADIUS.
Sin esa clave, no puede haber comunicación entre cliente y servidor.
Los métodos de autenticación de RADIUS

Para autenticación por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticación PAP
(siglas en inglés para Protocolo de Autenticación por Contraseña).
Para autenticación con PPTP, RADIUS soporta sólo MSCHAPv2 ( Protocolo de autenticación por desafío
mutuo de Microsoft versión 2).
Antes de empezar
Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticación RADIUS, es necesario
tener esta información:
n Servidor RADIUS principal — dirección IP y puerto RADIUS

n Servidor RADIUS secundario (opcional) — dirección IP y puerto RADIUS
n Secreto compartido — Contraseña que distingue mayúsculas de minúsculas, que sea igual en el
dispositivo WatchGuard y en el servidor RADIUS
n Métodos de autenticación — Defina su servidor RADIUS para permitir el método de autenticación
que su dispositivo WatchGuard utiliza: PAP o MS CHAP v2
Usar la autenticación por servidor RADIUS con su dispositivo

WatchGuard
Para usar la autenticación por servidor RADIUS con su dispositivo WatchGuard, debe:
n Agregar la dirección IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la
documentación de su proveedor RADIUS.
n Activar y especificar el servidor RADIUS en la configuración de su dispositivo WatchGuard.
n Agregar nombres de usuario o nombres de grupo RADIUS a sus políticas.
Para activar y especificar el(los) servidor(es) RADIUS en su configuración:
En Fireware XTM Web UI:
1. Seleccione Servidores >de autenticación.

2. Haga clic en la pestaña servidor RADIUS.

Autenticación
3. Para activar el servidor RADIUS y activar los campos en este cuadro de diálogo, seleccione la casilla
de verificación Activar servidor .
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS.
5. En el campo Puerto, asegúrese de que aparezca el número de puerto que RADIUS usa para
autenticación. El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguos
pueden usar puerto 1645.
6. En el frase de contraseña secreta , ingrese el secreto compartido entre el dispositivo WatchGuard y
el servidor RADIUS.
El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor RADIUS.
7. En el cuadro de texto ConfirmarFrase de contraseña, ingrese el secreto compartido nuevamente.
8. Ingrese o seleccione el valor de tiempo de espera.
El valor de tiempo de espera es el período de tiempo que el dispositivo WatchGuard espera la

respuesta del servidor de autenticación antes de intentar establecer una nueva conexión.
9. En el cuadro de texto Reintentos, inserte o seleccione el número de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticación (el tiempo de espera está especificado
arriba) antes de reportar una conexión fallida por un intento de autenticación.
10. En el cuadro de texto atributo Grupo, ingrese o seleccione un valor del atributo. El atributo Grupo
predeterminado es FilterID, que es el atributo 11 de RADIUS.

Autenticación
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de
usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de
autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste
queda marcado como inactivo. Este servidor no realizará intentos seguidos de autenticación hasta
que esté marcado como activo nuevamente.
12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaña Configuración del servidor
secundario y seleccione .Activar servidor RADIUS secundario .
13. Repetir los pasos 4 - 11 para agregar la información en los campos requeridos. Asegúrese de que el
secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.
Para más informaciones, vea Use un servidor de autenticación de resguardo en la página 222.
Como la autenticación del servidor RADIUS funciona

RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidor
de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación.
RADIUS es un protocolo cliente-servidor, en el cual Firebox es el cliente y el servidor RADIUS es el servidor.
(El cliente RADIUS a veces es denominado Servidor de Acceso a la Red, o NAS en sus siglas en inglés).
Cuando un usuario intenta autenticarse, Firebox envía un mensaje al servidor RADIUS. Si el servidor RADIUS
está configurado adecuadamente para que Firebox sea un cliente, RADIUS envía un mensaje de aceptar o
rechazar al Firebox (el Servidor de Acceso de Red).
Cuando Firebox usa el RADIUS para un intento de autenticación:
1. El usuario intenta autenticarse, sea a través de una conexión de HTTPS por el explorador al Firebox
por el puerto 4100 o a través de una conexión usando Mobile VPN with PPTP o IPSec. Firebox lee el
nombre de usuario y contraseña.
2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo envía al servidor RADIUS. Firebox
usa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en el
mensaje Acceso-Solicitar.
3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el
Firebox). Si el servidor RADIUS no está configurado para aceptar Firebox como cliente, el servidor
rechaza el mensaje Acceso-Solicitar y no retorna el mensaje.
4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido está correcto, el
servidor encuentra el método solicitado de autenticación en el mensaje Acceso-Solicitar.

Autenticación
5. Si el mensaje Acceso-Solicitar usa un método de autenticación permitido, el servidor RADIUS

obtiene las credenciales de usuarios en el mensaje y busca una coincidencia en una base de datos
de usuarios. Si el nombre de usuario y contraseña coinciden con una entrada de la base de datos, el
servidor RADIUS puede obtener información adicional acerca del usuario en la base de datos de
usuarios (tal como la aprobación de acceso remoto, membresía de grupo, horas de conexión, etc.)
6. El servidor RADIUS verifica si tiene una política de acceso o un perfil en su configuración que
coincida con todas las informaciones disponibles sobre el usuario. Caso exista tal política, el servidor
envía una respuesta.
7. Si falla cualquiera de las condiciones anteriores, o si el servidor RADIUS no tiene una política que
coincida, envía un mensaje de Acceso-Rechazar que muestra la falla de autenticación. La transacción
de RADIUS termina y el usuario tiene el acceso negado.
8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS envía un
mensaje Acceso-Aceptar a Firebox.
9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que envía. Si el secreto
compartido no coincide, Firebox rechaza la respuesta de RADIUS.
10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con
el atributo FilterID para poner el usuario en un grupo RADIUS.
11. El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensaje
Acceso-Aceptar. Firebox ignora gran parte de esa información, como los protocolos que el usuario
está permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de
espera de inactividad y otros atributos.
12. El único atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo
RADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para
incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a
un grupo RADIUS.
Para obtener más informaciones sobre grupos RADIUS, vea la siguiente sección.
Acerca de los grupos RADIUS

Al configurar la autenticación RADIUS, puede definir el número del atributo Grupo. Fireware XTM lee el
número del atributo Grupo en Fireware XTM Web UI para decir qué atributo RADIUS lleva la información
de grupo RADIUS. Fireware XTM reconoce sólo el atributo RADIUS número 11, FilterID, como atributo
Grupo. Al configurar el servidor de RADIUS, no altere el valor predeterminado en 11 del número del
atributo de Grupo.
Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese
valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su
configuración de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde
el Firebox pone el usuario.
Los grupos RADIUS que usa en Fireware XTM Web UI no son los mismos que los grupos Windows definidos
en su controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio.
Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por Firebox. Asegúrese de que la cadena de
texto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo
local o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombre
descriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.

Autenticación
Utilización práctica de grupos RADIUS

Si su organización tiene muchos usuarios que autenticar, puede facilitar la administración de sus políticas de
Firebox al configurar el RADIUS para que envíe el valor FilterID a muchos usuarios. Firebox pone a todos los
usuarios en un grupo lógico para que sea fácil administrar el acceso de los usuarios. Cuando crea una
política en Fireware XTM Web UI que permita que sólo usuarios autenticados accedan a un recurso de red,
se usa el nombre de grupo RADIUS en vez de agregar una lista de varios usuarios individuales.
Por ejemplo, cuando María se autentica, la cadena FilterID que RADIUS envía es Ventas, así que Firebox
pone a María en el grupo RADIUS de Ventaspor el tiempo que ella esté autenticada. Si los usuarios Juan y
Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes
Acceso-Aceptar para Juan y Alicia, entonces, María, Juan y Alicia están todos en el mismo grupo Ventas.
Puede crear una política en Fireware XTM Web UI que permita al grupo Ventas acceder a un recurso.
Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los
miembros de su organización de soporte interno. También puede crear una política diferente para permitir
que los usuarios de Soporte de TI accedan a recursos.
Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una política de HTTP filtrada.
También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puede
permitir que los usuarios de Soporte de TI accedan a Internet con la política de HTTP no filtrada, para que
puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de
usuario) en el campo De de un política para mostrar cuáles grupos (o cuáles usuarios) pueden usar la
política.
Valores de tiempo de espera y reintentos.

Ocurre una falla de autenticación cuando no se recibe respuesta del servidor RADIUS principal. Después de
tres intentos fallidos de autenticación, el Fireware XTM usa el servidor RADIUS secundario. Ese proceso se
denomina conmutación por error.
Nota Ese número de intentos de autenticación no es el mismo que el número de

reintentos. No es posible alterar el número de intentos de autenticación antes que
ocurra la conmutación por error.
Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox
espera el número de segundos definido en el cuadro Tiempo de espera y entonces envía otro Acceso-
Solicitar. Eso continúa por el número de veces indicado en el cuadro Reintento (o hasta que haya una
respuesta válida). Si no hay una respuesta válida del servidor RADIUS, o si el secreto compartido de RADIUS
no coincide, Fireware XTM lo considera un intento fallido de autenticación.
Después de tres intentos fallidos de autenticación, Fireware XTM usa el servidor RADIUS secundario para el
siguiente intento de autenticación. Si el servidor secundario tampoco logra contestar después de tres
intentos de autenticación, Fireware XTM espera diez minutos para que el administrador corrija el problema.
Después de diez minutos, Fireware XTM intenta usar el servidor RADIUS principal nuevamente.

Autenticación
Configurado autenticación de servidor VASCO

La autenticación por el servidor VASCO usa el software VACMAN Middleware para autenticar usuarios
remotos a una red empresarial a través de un ambiente de servidor web o RADIUS. VASCO también soporta
múltiples ambientes de servidor de autenticación. El sistema por token de contraseña única de VASCO
permite eliminar el enlace más débil de su infraestructura de seguridad - el uso de contraseñas estáticas.
Para usar la autenticación por servidor VASCO con su dispositivo WatchGuard, debe:
n Agregar la dirección IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se
describe en la documentación de su proveedor VASCO.
n Activar y especificar el VACMAN Middleware Server en la configuración de su dispositivo
WatchGuard.
n Agregar nombres de usuario y de grupo a las políticas en el Policy Manager.
La autenticación por servidor VASCO es configurada usando las configuraciones del servidor RADIUS. El
cuadro de diálogo Servidores de autenticación no tiene una pestaña separada para servidores VACMAN
Middleware Server.

2. Haga clic en la pestaña RADIUS.

Autenticación
3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de diálogo,
seleccione la casilla de verificación Servidor.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del VACMAN Middleware Server.
5. En el cuadro de texto Puerto, asegúrese de que apareza el número de puerto que VASCO usa para
autenticación. El número de puerto predeterminado es 1812.
6. En el cuadro de texto frase de contraseña secreta , inserte el secreto compartido entre el
dispositivo WatchGuard y el VACMAN Middleware Server.
El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo

WatchGuard y en el servidor.
7. En el cuadro de texto Confirmar , ingrese el secreto compartido nuevamente.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar
establecer una nueva conexión.
9. En el cuadro de texto Reintentos , ingrese o seleccione el número de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticación antes de reportar un error de conexión
por un intento de autenticación.
10. Ingrese o seleccione el valor del atributo Grupo. El atributo Grupo predeterminado es FilterID, que
es el atributo 11 de VASCO.
El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo de
usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de
autenticación de usuario que envía al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las políticas del
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duración.
queda marcado como inactivo. Intentos seguidos de autenticación, no intente conectarse a este
servidor hasta que esté marcado como activo nuevamente.
12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaña Configuraciones
de Servidor Secundario, y seleccione Activar servidor RADIUS secundario .
secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.
Configurar autenticación SecurID

Para usar autenticación por SecurID, debe configurar correctamente los servidores RADIUS, VASCO y
ACE/Server. Los usuarios también deben tener un token y un PIN (número de identificación personal) de
SecurID. Consulte la documentación de SecurID RSA para obtener más información.

Autenticación

2. Haga clic en la pestaña SecurID.
3. Seleccione Activar SecurID Server casilla de verificación para activar el servidor SecurID y activar los
campos en ese cuadro de diálogo.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor SecurID.
5. Haga clic en el campo Puerto para subir o bajar, hasta definir el número de puerto para usar en la
autenticación de SecurID.
El número predeterminado es 1812.
6. En el frases de contraseña cuadro de texto, ingrese el secreto compartido entre el dispositivo
WatchGuard y el servidor SecurID. El secreto compartido distingue mayúsculas de minúsculas, y
debe ser igual en el dispositivo WatchGuard y en el servidor SecurID.
7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el período de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticación antes de intentar
establecer una nueva conexión.
9. En el Reintentos , inserte o seleccione el número de veces que el dispositivo WatchGuard intenta
conectarse al servidor de autenticación antes de reportar una conexión fallida por un intento de
autenticación.
10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.
Recomendamos que no altere ese valor.

Autenticación
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de
usuarios. Cuando el servidor SecurID envía un mensaje al dispositivo WatchGuard al cual el usuario
está autenticado, también envía una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa información luego es utilizada para control de acceso.
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la
lista desplegable al lado para determinar la duración.
queda marcado como inactivo. Intentos seguidos de autenticación, no use este servidor hasta que
esté marcado como activo nuevamente, después que se alcance el valor del tiempo muerto.
12. Para agregar un servidor SecurID de resguardo, seleccione la pestaña Configuración del servidor
secundario y seleccione Activar un servidor SecurID secundario.Server .
secreto compartido sea el mismo en el servidor SecurID principal y de resguardo.
14. Haga clic en OKGuardar.
Configurar autenticación LDAP

Puede usar un servidor de autenticación por LDAP (Protocolo de Acceso Liviano al Directorio) para
autenticar los usuarios con el dispositivo WatchGuard. El LDAP es un protocolo abierto para usar servicios
de directorio online, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes de
configurar su dispositivo WatchGuard para la autenticación de LDAP, asegúrese de verificar la
documentación de su proveedor de LDAP para ver si su instalación soporta el atributo memberOf (o
equivalente).

2. Haga clic en la pestaña LDAP .

Autenticación
3. Seleccionar la casilla de verificación Activar LDAPServer para activar el servidor de LDAP y activar
los campos en ese cuadro de diálogo.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor de LDAP principal a la cual el
dispositivo WatchGuard debe contactarse para solicitudes de autenticación.
El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. También
puede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de un
túnel VPN.
5. En el cuadro de texto Puerto, seleccione el número del puerto TCP para ser usado por el dispositivo
WatchGuard para conectar con el servidor de LDAP. El número de puerto predeterminado es 389.
LDAP por TLS no está soportado.
6. En el cuadro de texto Base de búsqueda , ingrese las configuraciones de base de búsqueda.
El formato estándar es: ou=unidad organizacional,dc=primera parte del nombre de distinción del
servidor,dc=cualquier parte del nombre de distinción del servidor que aparece después del punto.
Se determina una base de búsqueda para imponer límites a los directorios en el servidor de
autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticación. Por ejemplo, si las cuentas de usuario están en una OU (unidad organizativa) a la que
se refiere como cuentas y el domain name es ejemplo.com, su base de búsqueda es:
ou=cuentas,dc=ejemplo,dc=com
7. En el cuadro de texto Cadena de grupo , ingrese el atributo de cadena de grupo.

Autenticación
Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos
servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es
member.
8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una
operación de búsqueda.
Puede usar cualquier DN de usuario con el privilegio de búsqueda en el LDAP/Active Directory,

como un Administrador. Algunos administradores crean un nuevo usuario que sólo tiene privilegios
de búsqueda para usar en ese campo.
9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)
para una operación de búsqueda.
10. En el cuadro de texto Atributo de inicio de sesión, en la lista desplegable, seleccione un atributo de
inicio de sesión de LDAP para ser usado para autenticación.
El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. El
atributo de inicio de sesión predeterminado es uid. Si usa uid, el campo DN de usuario buscando y
el campo Contraseña de Usuario buscando pueden estar vacíos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el período de tiempo a partir del cual
un servidor inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista
desplegable al lado para determinar la duración.
queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor
hasta que esté marcado como activo nuevamente.
12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaña Configuraciones de Servidor
de Resguardo, y seleccione Activar un servidor de LDAP secundario .
secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.
Acerca de las configuraciones opcionales de LDAP

El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en el
Fireware XTM Web UI. Se puede determinar esos parámetros para cada usuario individual.
Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.

Autenticación
Configurar autenticación en Active Directory

El Active Directory es una aplicación de Microsoft, basada en Windows, de una estructura de directorio de
LDAP. El Active Directory le permite expandir el concepto de jerarquía usado en el DNS hacia un nivel
organizativo. Mantiene la información y configuración de una organización en una base de datos central y
de fácil acceso.
Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el
dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active
Directory Server.
Antes de empezar, asegúrese de que sus usuarios puedan autenticarse con éxito en el Active Directory
Server.

2. Haga clic en la pestaña Active Directory.
3. Seleccione la casilla Activar Active Directory .

4. En el campo dirección IP, ingrese la dirección IP del Active Directory Server principal.

Autenticación
El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.
También es posible configurar el dispositivo para usar un Active Directory Server disponible a través
de un túnel VPN.
5. En el cuadro de texto Puerto , ingrese o seleccione el número de puerto de TCP a ser usado por el
dispositivo para conectarse al Active Directory Server. El número de puerto predeterminado es 389.
Si su Active Directory Server es un servidor de catálogo global, puede ser útil alterar el puerto
predeterminado. Para más informaciones, vea Alterar el puerto predeterminado de Active Directory
Server en la página 242.
6. En el cuadro de texto Base de búsqueda, inserte la ubicación en el directorio para empezar la
búsqueda.
El formato estándar para la configuración de base de búsqueda es: ou=<name of organizational

unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server
name that appears after the dot>.
Se determina una base de búsqueda para poner límites en los directorios en el servidor de
autenticación en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticación. Recomendamos que determine la base de búsqueda en la raíz del dominio. Eso
permite encontrar todos los usuarios y grupos a los que pertenecen los mismos.
Para más informaciones, vea Encuentre su base de búsqueda del Active Directory en la página 241.
7. En el cuadro de texto Cadena de Grupo, inserte la cadena de atributos usada para mantener la
información del grupo usuario en el Active Directory Server. Si no cambió su esquema de Active
Directory, la cadena de grupo siempre es memberOf .
8. En el cuadro de texto DN del usuario de búsqueda , inserte el Nombre de Distinción (DN) para una
operación de búsqueda.
No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesión de
sAMAccountName . Si altera el atributo del inicio de sesión, debe agregar un valor en el campoDN del
usuario de búsqueda para su configuración. Puede usar cualquier DN de usuario con el privilegio de
búsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario más
débil, sólo con un privilegio de búsqueda, suele ser suficiente.
9. En el cuadro de texto Contraseña de usuario de búsqueda , inserte el nombre de distinción (DN)
para una operación de búsqueda.
10. En el atributo de inicio de sesión lista desplegable, seleccione un atributo de inicio de sesión de
Active Directory para ser usado para autenticación.
El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del Active
Directory. El atributo de inicio de sesión predeterminado es sAMAccountName. Si usa el
sAMAccountName, el campoDN de usuario de búsqueda y el campo Contraseña de usuario de
búsqueda pueden estar vacíos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor
inactivo esté marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable
al lado para determinar la duración.
queda marcado como inactivo. Intentos seguidos de autenticación, no intente con este servidor
hasta que esté marcado como activo nuevamente.

Autenticación
12. Para agregar un Active Directory Server de resguardo, seleccione la pestaña Configuración de
servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.
secreto compartido sea el mismo en el Active Directory Server principal y de resguardo.
Sobre la configuración opcional del Active Directory

El Fireware XTM puede obtener información adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de dirección de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no está limitado a las configuraciones globales en el
Fireware XTM Web UI. Se puede determinar esos parámetros para cada usuario individual.
Para más informaciones, vea Usar las configuraciones opciones de Active Directory o de LDAP en la página 243.
Encuentre su base de búsqueda del Active Directory

Al configurar el dispositivo WatchGuard para autenticar usuarios con su Active Directory Server, se agrega
una base de búsqueda. La base de búsqueda es el lugar por donde la búsqueda empieza en la estructura
jerárquica del Active Directory para las entradas de cuenta de usuario. Eso puede ayudar a apurar el
procedimiento de autenticación.
Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de
todos los usuarios para los cuales desea configurar autenticación en el dispositivo WatchGuard.
En su Active Directory Server:
1. Seleccione Inicio> Herramientas administrativas >Usuarios y equipos de Active Directory.

2. En el árbol Usuarios y equipos de Active Directory, encuentre y seleccione su domain name.
3. Expanda el árbol para encontrar una ruta en la jerarquía de Active Directory.
Los componentes del domain name tienen el formato dc=componente de domain name, están
incluidos al final de la cadena de base de búsqueda y están separados por comas.
Para cada nivel del domain name, debe incluir un componente de domain name separado en su
base de búsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el
componente del domain name en su base de búsqueda es DC=prefijo,DC=ejemplo,DC=com .
Por ejemplo, si su domain name en el árbol se parece a este después de expandirlo:
La cadena de la base de búsqueda que agregar a la configuración de Firebox es:
DC=kunstlerandsons,DC=com
La cadena de búsqueda no distingue mayúsculas de minúsculas. Cuando ingresa su cadena de búsqueda,

puede usar letras mayúsculas o minúsculas.

Autenticación
Campos DN del usuario de búsqueda y Contraseña del usuario de

búsqueda
Debe rellenar estos campos sólo si seleccionó una opción para el Atributo de inicio de sesión que sea
diferente del valor predeterminado, sAMAccountName. La mayoría de las organizaciones que usa Active
Directory no lo cambia. Cuando deja ese campo en el valor predeterminado sAMAccountName, los
usuarios proveen sus nombres usuales de inicio de sesión en Active Directory como nombres de usuarios
para autenticar. Ese es el nombre que encuentra en el cuadro de texto Nombre de usuario para inicio de
sesión en la pestaña Cuenta, cuando edita la cuenta de usuario en Usuarios y equipos de Active Directory.
Si usa un valor diferente para Atributo de inicio de sesión, el usuario que intente autenticarse da un
formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de búsqueda a
la configuración de su Firebox.
Alterar el puerto predeterminado de Active Directory Server

Si su dispositivo WatchGuard está configurado para autenticar usuarios con servidor de Active Directory
Authentication (AD), él se conecta por defecto al Active Directory Server en el puerto LDAP estándar, que
es el puerto TCP 389. Si los servidores de Active Directory que agrega a su configuración del dispositivo
WatchGuard están configurados como servidores de catálogo global de Active Directory, puede solicitar al
dispositivo WatchGuard que use el puerto de catálogo global - puerto TCP 3268 - para conectarse al Active
Directory Server.
Un servidor de catálogo global es un controlador de dominio que almacena informaciones sobre todos los
objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que
referirse a controladores de dominio específicos que almacenan los datos solicitados. Si tiene sólo un
dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de
catálogo global.
Si el Active Directory Server principal o secundario usado en su configuración del dispositivo WatchGuard

también está configurado como un servidor de catálogo global, puede cambiar el puerto utilizado por el
dispositivo WatchGuard para conectarse al Active Directory Server para aumentar la velocidad de las
solicitudes de autenticación. No obstante, no recomendamos la creación de servidores de catálogo global
de Active Directory adicionales sólo para aumentar la velocidad de las solicitudes de autenticación. La
replicación que ocurre entre múltiples servidores de catálogo global puede usar bastante ancho de banda
de su red.
Configurar el Firebox para que use el puerto de catálogo global

2. Seleccione la pestaña Active Directory.
3. En el cuadro de texto Puerto, limpie los contenidos e inserte 3268.

Autenticación
Descubra si su Active Directory Server está configurado como servidor

de catálogo global
1. Seleccione Inicio> Herramientas administrativas >Sitios y servicios de Active Directory.
2. Expanda el árbol de sitios y encuentre el nombre de su Active Directory Server.
3. Haga clic con el botón derecho en Configuraciones NTDS para el Active Directory Server y
seleccione Propiedades.
Si la casilla de verificación Catálogo Global está seleccionada, el Active Directory Server está
configurado para ser un catálogo global.
Usar las configuraciones opciones de Active

Directory o de LDAP
Cuando el Fireware XTM contacta el servidor de directorio (Active Directory o LDAP) para buscar
información, puede obtener información adicional en la lista de atributos en la respuesta de búsqueda
enviada por el servidor. Eso le permite usar el servidor del directorio para asignar parámetros adicionales a
la sesión de usuario autenticado, tales como los tiempos de espera y asignaciones de dirección de Mobile
VPN. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, puede
definir esos parámetros para cada usuario individual, sin limitarse a las configuraciones globales en Fireware
XTM Web UI.
Antes de empezar
Para usar esas configuraciones opcionales es necesario:
n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
n Hacer que los nuevos atributos estén disponibles para la clase de objeto a la que pertenecen las
cuentas de usuario.
n Otorgar valores a los atributos para los objetos de usuario que deberían usarlos.
Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a sus

directorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes y
no se puede deshacerlas. Use el sitio web de Microsoft para obtener recursos para planear, probar e
implementar cambios a un esquema de Active Directory. Consulte la documentación de su proveedor de
LDAP antes de ampliar el esquema a otros directorios.
Especificar Configuraciones opcionales de LDAP o Active

Directory
Para especificar los atributos adicionales, Fireware XTM busca en la respuesta de búsqueda del servidor de
directorio:


Autenticación
2. Haga clic en la pestaña LDAP o en Active Directory y asegúrese de que el servidor está activado.

Autenticación
3. Haga clic en Configuraciones opcionales.

Aparecen las configuraciones opcionales del servidor página .

Autenticación
4. Ingrese los atributos que desea incluir en la búsqueda del directorio en los campos de cadenas.
Cadena de atributos de IP
Ese campo se aplica solamente a clientes de Mobile VPN.
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una dirección IP
virtual al cliente de Mobile VPN. Debe ser un atributo de valor único y una dirección IP en
formato decimal. La dirección IP debe estar dentro del grupo de direcciones IP virtuales que
son especificadas en la creación del Grupo de Mobile VPN.
Si Firebox no encuentra el atributo de IP en el resultado de búsqueda, o si no se especifica un

atributo en Fireware XTM Web UI, él asigna una dirección IP virtual al cliente de Mobile VPN a
partir del grupo de direcciones IP virtuales creadas con el Grupo de Mobile VPN.
Cadena de atributos de máscara de red
Ingrese el nombre del atributo para que Fireware XTM lo use para asignar una Subnet Mask a la
dirección IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor único y una Subnet
Mask en formato decimal.
El software de Mobile VPN asigna automáticamente una máscara de red si el Firebox no

encuentra el atributo de máscara de red en el resultado de búsqueda, o si no especifica uno en
Fireware XTM Web UI.
Cadena de atributos de DNS

Autenticación
Ingrese el nombre del atributo que Fireware XTM usa para asignar una o más direcciones de
DNS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso
puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con
puntos. Si Firebox no encuentra el atributo de DNS en el resultado de búsqueda, o si no se
especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS..
Cadena de atributos de WINS
Ingrese el nombre del atributo que Fireware XTM debería usar para asignar una o más
direcciones WINS al cliente de Mobile VPN para el período de duración de la sesión de Mobile
VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal
normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de búsqueda, o
si no se especifica un atributo en Fireware XTM Web UI, él usa las direcciones WINS insertadas
cuando Configurado servidores WINS y DNS..
Cadena de atributos de tiempo de concesión
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall.
Ingrese el nombre del atributo para que Fireware XTM use para controlar la duración máxima
que un usuario puede permanecer autenticado (tiempo de espera de sesión). Después de ese
período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Cadena de atributos de tiempo de espera inactivo
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticación por firewall.
Ingrese el nombre del atributo que Fireware XTM usa para controlar el período de tiempo que
un usuario puede permanecer autenticado cuando no se transmite tráfico hacia el Firebox
desde el usuario (tiempo de espera inactivo). Si no se envía tráfico al dispositivo por ese
período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor único. Fireware XTM interpreta el valor del atributo como un número decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.

Configuraciones de atributos guardadas.
Use una cuenta de usuario local para

autenticación
Cualquier usuario puede autenticarse como usuario de Firewall, usuario de PPTP, o usuario de Mobile VPN,
y abrir un túnel PPTP o Mobile VPN si el PPTP o Mobile VPN está activado en Firebox. No obstante, después
de la autenticación o de que un túnel haya sido establecido con éxito, los usuarios pueden enviar tráfico por
el túnel VPN sólo si el tráfico está permitido por una política en Firebox. Por ejemplo, un usuario sólo de

Autenticación
Mobile VPN puede enviar tráfico a través de un túnel de Mobile VPN. Aunque el usuario sólo de Mobile
VPN pueda autenticarse y abrir un túnel PPTP, no puede enviar el tráfico a través de ese túnel.
Si usa la autenticación por Active Directory y la membresía a un grupo para el usuario no coincide con la
política de Mobile VPN, encuentra un mensaje de error que dice que el Tráfico descifrado no coincide con
ninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con el
mismo nombre que su grupo de Mobile VPN.
Use los usuarios y grupos autorizados en políticas

Se puede especificar nombres de usuarios y grupos al crear políticas en Fireware XTM Web UI. Por
ejemplo, se pueden definir todas las políticas para que sólo autoricen conexiones para usuarios
autenticados. O puede limitar conexiones en una política para usuarios específicos.
El término usuarios y grupos autorizados se refiere a usuarios y grupos que están autorizados a acceder a
los recursos de red.
Definir usuarios y grupos para autenticación de Firebox

Si usa el Firebox como servidor de autenticación y desea definir usuarios y grupos que se autentican a
Firebox, vea Definir un nuevo usuario para autenticación en Firebox en la página 225 y Definir un nuevo
grupo para autenticación de Firebox en la página 227.
Definir usuarios y grupos para autenticación de terceros

1. Cree un grupo en su servidor de autenticación externo que contenga todas las cuentas de usuarios
en su sistema.
2. En el Fireware XTM Web UI, seleccione Usuarios y Grupos de > Autenticación.

Aparece el cuadro de diálogo "Usuarios y Grupos de Autenticación".

Autenticación
3. Ingrese un nombre de usuario o grupo creado en el servidor de autenticación.

4. (Opcional) Ingrese una descripción para el usuario o grupo.
5. Seleccione el botón de radio Grupo o Usuario.
6. En la lista desplegable Servidor Autoriz, seleccione su tipo de servidor de autenticación.
Las opciones disponibles incluyen Cualquiera, Firebox-DB, RADIUS (para autenticación a través de
un servidor RADIUS o VACMAN Middleware Server ), SecurID, LDAP, o Active Directory.
Agregar usuarios y grupos a las definiciones de política

Cualquier usuario o grupo que desee usar en las definiciones de políticas debe ser agregado como usuario
autorizado. Todos los usuarios y grupos creados para autenticación en Firebox y todos los usuarios de
Mobile VPN son automáticamente agregados a la lista de usuarios y grupos autorizados en el cuadro de
diálogo Usuarios y Grupos Autorizados. Puede agregar cualesquiera usuarios o grupos de servidores de
autenticación externos a la lista de usuarios y grupos autorizados siguiendo el procedimiento anterior.
Entonces estará listo para agregar usuarios y grupos a su configuración de política.
1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall.

2. Seleccione una política de la lista y haga clic en Editar.
O haga doble clic en una política.
3. En la pestaña política, abajo del cuadro De, haga clic en Agregar.

Autenticación
4. Haga clic en Agregar usuario.

Aparece el cuadro de diálogo "Agregar usuarios y grupos autorizados".
5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo está autorizado como
usuario de firewall, VPN SSL o PPTP.
Para más información sobre esos tipos de autenticación, vea Tipos de autenticación de Firebox en la
página 223.
6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.
7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en
Seleccionar.
Reaparece el cuadro de diálogo "Agregar dirección" con el usuario o grupo en el cuadro Miembros o
Direcciones Seleccionados.
Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de Política.
8. Si el usuario o grupo no aparece en la lista en el cuadro de diálogo Agregar Usuarios o Grupos
Autorizados, vea Definir un nuevo usuario para autenticación en Firebox en la página 225, Definir un
nuevo grupo para autenticación de Firebox en la página 227, o el procedimiento anterior Definir
usuarios y grupos para autenticación externa.
Después que se agrega un usuario o grupo a una configuración de políticas, Fireware XTM Web UI agrega
automáticamente una política de autenticación de WatchGuard a su configuración de Firebox. Use esa
política para controlar el acceso a la página web del portal de autenticación.
Para obtener instrucciones para editar esa política, vea Use la autenticación para restringir el tráfico
entrante en la página 212.

12 Políticas
Acerca de políticas
La política de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la
información que la recorre. El Firebox rechaza todos los paquetes que no están específicamente
permitidos. Cuando se agrega una política al archivo de configuración del Firebox, se agrega un conjunto de
reglas que indican al Firebox que debe permitir o rechazar tráfico en función de factores como el origen y
el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.
Como ejemplo del modo en que puede usarse una política, supongamos que el administrador de red de
una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El
administrador de red administra el servidor web con una conexión de Escritorio Remoto. Al mismo tiempo,
el administrador de red desea asegurarse de que ningún otro usuario de la red pueda utilizar el Escritorio
Remoto. Para crear esta configuración, el administrador de red agrega una política que permite conexiones
RDP sólo desde la dirección IP de su propio equipo de escritorio a la dirección IP del servidor web.
Una política también puede aportar al Firebox más instrucciones sobre cómo administrar el paquete. Por
ejemplo, el usuario puede definir configuraciones de registro y notificación que se aplican al tráfico o usar
NAT (Traducción de dirección de red) para cambiar la dirección IP de origen y el puerto del tráfico de red.
Políticas de filtro de paquetes y proxy

Firebox utiliza dos categorías de políticas para filtrar el tráfico de red: filtrado de paquetes y servidores
proxy. Un filtro de paquetes examina la IP y el encabezado de TCP/UDP del paquete. Si la información del
encabezado del paquete es legítima, entonces Firebox acepta el paquete. De lo contrario, Firebox lo
rechaza.
Un proxy examina tanto la información del encabezado como el contenido de cada paquete para
asegurarse de que las conexiones sean seguras. Esto también se denomina inspección profunda de
paquetes. Si la información del encabezado del paquete es legítima y el contenido del paquete no se
considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.

Políticas
Acerca de cómo agregar políticas a Firebox

Firebox incluye muchos filtrados de paquetes preconfigurados y proxies que se pueden agregar a la
configuración. Por ejemplo, si el usuario desea un filtro de paquete para todo el tráfico Telnet, agrega una
política Telnet predefinida que pueda modificar para la configuración de red. También puede definir una
política personalizada para la cual se configuran los puertos, protocolos y otros parámetros.
Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:
Saliente (TCP-UDP), FTP, ping y hasta dos políticas de administración de WatchGuard. Si el usuario tiene más
aplicaciones de software y tráfico de red para que examine Firebox, debe:
n Configurar las políticas en Firebox para que permitan la circulación del tráfico necesario.
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Recomendamos establecer límites en el acceso saliente cuando se configura Firebox.
Nota En toda la documentación, nos referimos a los filtrados de paquetes y proxies

como políticas. La información sobre políticas se refiere tanto a los filtrados de
paquetes como a proxies, salvo indicación en contrario.

Políticas
Acerca de la página de políticas de Firewall o VPN móvil

Las páginas de políticas de Firewall y políticas de Mobile VPN muestran las políticas incluidas en la
configuración actual de su dispositivo Firebox o XTM.
La siguiente información aparece para cada política:
Acción
La acción que toma la política para el tráfico que coincide con la definición de la política. El símbolo en
esta columna también indica si la política es una política de filtro de paquetes o una política de proxy.
n Marca de comprobación verde: política de filtro de paquetes; se permite el tráfico

n X roja: política de filtro de paquetes; se rechaza el tráfico
n Círculo con línea: política de filtro de paquetes y la acción para el tráfico no está configurada
n Escudo verde con marca de comprobación: política de proxy; el tráfico está permitido
n Escudo rojo con una X: política de proxy; se rechaza el tráfico
n Escudo gris: política de proxy; la acción para el tráfico no está configurada
Nombre de la política
Nombre de la política, como se define en el campo Nombre en la página Configuración de políticas.
Tipo de política
El protocolo que la política administra. Los servidores proxy incluyen el protocolo y "-proxy".
Tipo de tráfico
Tipo de tráfico que la política examina: firewall o VPN.

Políticas
Registro
Si está habilitada la generación de registros para la política.
Alarma
Si están configuradas las alarmas para la política.
De
Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de origen).
Para
Direcciones desde las cuales se aplica el tráfico para esta política (direcciones de destino).
PBR
Indica si la política utiliza enrutamiento basado en políticas. Si éste es el caso y no está habilitada la
conmutación por error, aparece el número de interfaz. Si el enrutamiento basado en la política y la
conmutación por error están habilitados, aparece una lista de números de interfaz, con la interfaz
principal en el primer lugar de la lista.
Para más información acerca del enrutamiento basado en políticas, vea Configurar el enrutamiento
basado en la política en la página 269.
Puerto
Protocolos y puertos utilizados por la política.
De manera predeterminada, la Fireware XTM Web UI clasifica a las políticas desde la más específica hasta la
más general. El orden determina cómo fluye el tráfico a través de las políticas. Si desea establecer el orden
de las políticas de manera manual, junto a El orden automático está activado, haga clic en Desactivar.
Para obtener más información sobre el orden de las políticas, consulte Acerca de la precedencia de
políticas.
Agregar políticas en la configuración

Para agregar una política de firewall o Mobile VPN:
1. Seleccione Firewall >Políticas de firewall o Firewall> Políticas de Mobile VPN.

Aparece la página Políticas que seleccionó el usuario.
3. Amplíe la lista de filtrados de paquetes y políticas para encontrar un protocolo o puerto.
4. Para políticas de firewall, seleccione una plantilla y haga clic en Agregar.
Para políticas de proxy, también se debe seleccionar la opción Cliente o Servidor en la lista
desplegable Acción de proxy.
Para políticas de Mobile VPN, primero seleccione un grupo de Mobile VPN al cual se aplique la
política, luego seleccione la plantilla y haga clic en Agregar.

Políticas
El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.
La definición predeterminada consiste en configuraciones que son apropiadas para la mayoría de las
instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales específicos o si se
desea incluir propiedades de política especiales como acciones de administración de tráfico y cronogramas
operativos.
Después de agregar una política a la configuración, se definen reglas para:
n Establecer orígenes y destinos de tráfico permitidos.

n Configurar reglas de filtrado.
n Activar o desactivar la política.
n Configurar propiedades como administración de tráfico, NAT y registro.
Para obtener más información sobre la configuración de políticas, consulte Acerca de propiedades de
políticas en la página 265.
Agregar una política de la lista de plantillas

El Firebox incluye una definición predeterminada para cada política incluida en la configuración del Firebox.
Las configuraciones de definiciones predeterminadas son apropiadas para la mayoría de las instalaciones.
Sin embargo, el usuario puede modificarlas para incluir propiedades de políticas especiales como acciones
de QoS y cronogramas operativos.
1. en la página Agregar política,amplíe las carpetas Filtrados de paquetes, Proxies o Personalizada.

Aparece una lista de plantillas para políticas de filtrados de paquetes o proxy.
2. Seleccione el tipo de política que desea crear. Haga clic en Agregar.
Aparece el cuadro de diálogo , página Configuración de políticas.

Políticas
3. Para cambiar el nombre de la política, ingrese un nuevo nombre en el campo Nombre.

4. Defina las reglas de acceso y otras configuraciones para la política.
Para obtener más información sobre propiedades de políticas, consulte Acerca de propiedades de políticas
en la página 265.
Desactivar o eliminar una política

Para desactivar una política:

Políticas
1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN .

2. Seleccione la política y haga clic en Editar.
3. Desmarque la casilla de verificación Activar.
Eliminar una política

Según cambie la política de seguridad, en ocasiones es necesario eliminar una política.
Para borrar una política:
1. Seleccione Firewall > Políticas de firewall o Firewall> Políticas de Mobile VPN .

2. Seleccione la política y haga clic en Eliminar. Los cambios en la configuración se guardan
automáticamente.
Acerca de los alias

Un alias es un acceso directo que identifica a un grupo de hosts, redes o interfaces. Cuando se usa un alias,
es fácil crear una política de seguridad porque el Firebox permite utilizar alias cuando se crean políticas.
Los alias predeterminados en Fireware XTM Web UI incluyen:
n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De
confianza o Externa.
n Firebox: un alias para todas las interfaces del Firebox.
n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces
de confianza y cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y
cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y
cualquier red a la que se puede obtener acceso a través de estas interfaces.
n Cualquiera BOVPN: un alias para cualquier túnel BOVPN (IPSec).
Cuando se utiliza el asistente de la política BOVPN para crear una política para permitir el tráfico a
través de un túnel BOVPN, el asistente automáticamente crea alias .in y .out para los túneles
entrantes y salientes.
Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticación de
usuario. Con la autenticación de usuario, se puede monitorear una conexión con un nombre y no como una
dirección IP. La persona se autentica con un nombre de usuario y una contraseña para obtener acceso a los
protocolos de Internet.
Para más información acerca de autenticación de usuario, vea Acerca de la autenticación de usuario en la
página 209.
Miembros de alias
Puede agregarse estos objetos a un alias:
n IP de host
n IP de red

Políticas
n Un rango de direcciones IP de host

n Nombre de DNS para un host
n Dirección de túnel: definida por un usuario o grupo, dirección y nombre del túnel.
n Dirección personalizada: definida por un usuario o grupo, dirección e interfaz del Firebox.
n Otro alias
n Un usuario o grupo autorizado
Crear un alias
Para crear un alias para utilizar con las políticas de seguridad:
1. Seleccione Alias de> firewall.

Los alias página .

Agregar alias página aparece.

Políticas
3. En el cuadro de texto Nombre de alias ingrese un nombre único para identificar al alias.
Este nombre aparece en listas cuando se configura una política de seguridad.
4. En el campo Descripción, ingrese una descripción del alias.
Agregar una dirección, rango de dirección, nombre de DNS, usuario,

grupo u otro alias al alias
1. En el cuadro de diálogo Agregar alias, haga clic en Agregar miembro.
2. En el En la lista desplegable Tipo de miembro seleccione el tipo de miembro que desea agregar.
3. Ingrese la dirección o el nombre en el cuadro Tipo cuadro de textoo seleccione el usuario o grupo..
4. Haga clic en OK.
El nuevo miembro aparece en la sección Miembros de alias de Agregar alias. página.
5. Para agregar más miembros, repita los pasos 1al 4.
Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar miembro.

Políticas
Acerca de la precedencia de políticas

La precedencia es la secuencia en la cual el dispositivo Firebox o XTM examina el tráfico de red y aplica una
regla de política. El dispositivo Firebox o XTM automáticamente ordena las políticas desde la más detallada a
la más general. Compara la información en el paquete con la lista de reglas en la primera política. La
primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel de
detalle en dos políticas es equivalente, una política de proxy siempre tiene prioridad sobre una Política de
filtrado de paquetes.
Orden de políticas automático

El dispositivo Firebox o XTM automáticamente otorga la precedencia más alta a las políticas más específicas
y la más baja a las menos específicas. El dispositivo Firebox o XTM examina la especificidad de los criterios
subsiguientes en este orden. Si no puede determinar la precedencia con el primer criterio, pasa al siguiente
y así sucesivamente.
1. Especificidad de la política
2. Protocolos configurados para el tipo de política
3. Reglas de tráfico del campo Hasta
4. Reglas de tráfico del campo Desde
5. Acción de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las políticas
6. Cronogramas aplicados a las políticas
7. Secuencia alfanumérica basada en el tipo de política
8. Secuencia alfanumérica basada en el nombre de la política
Las secciones subsiguientes incluyen más detalles acerca de lo que hace el dispositivo Firebox o XTM dentro
de estos ocho pasos.
Especificidad de la política y protocolos

El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar dos políticas hasta que
determina que las políticas son equivalentes o que una es más detallada que la otra.
1. Una política "Cualquier política" siempre tiene la precedencia más baja.

2. Verificación del número de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La política con el
menor número tiene mayor precedencia.
3. Verificación del número de puertos únicos para los protocolos TCP y UDP. La política con el menor
número tiene mayor precedencia.
4. Suma la cantidad de puertos TCP y UDP únicos. La política con el menor número tiene mayor
precedencia.
5. Calificación de los protocolos según el valor del protocolo IP. La política con la menor calificación
tiene mayor precedencia.
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara la especificidad de la

política y los protocolos, examina las reglas de tráfico.

Políticas
Reglas de tráfico
El dispositivo Firebox o XTM utiliza estos criterios en secuencia para comparar la regla de tráfico más
general de una política con la regla de tráfico más general de una segunda política. Asigna mayor
precedencia a la política con la regla de tráfico más detallada.
1. Rango de direcciones IP de la
2. dirección de host (menor al de la subnet con la que se compara)
3. Rango de direcciones IP de la
4. subnet (mayor al de la subnet con la que se compara)
5. Nombre de usuario de autenticación
6. Grupo de autenticación
7. Interfaz, dispositivo Firebox o XTM
8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional
9. Cualquier
Por ejemplo, compare estas dos políticas:
(HTTP-1) Desde: De confianza, usuario1
(HTTP-2) Desde: 10.0.0.1, Cualquiera de confianza
De confianza es la entrada más general para HTTP-1. Cualquiera-De confianza es la entrada más general
para HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es la
regla de tráfico más detallada. Esto es correcto a pesar de que HTTP-2 incluye una dirección IP, porque el
dispositivo Firebox o XTM compara la regla de tráfico más general de una política con la regla de tráfico más
general de la segunda política para establecer la precedencia.
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las reglas de tráfico,
examina las acciones de firewall.
Acciones de firewall
El dispositivo Firebox o XTM compara las acciones de firewall de dos políticas para establecer la
precedencia. La precedencia de acciones de firewall de mayor a menor es:
1. Negada o Negada (enviar restablecer)

2. Política de proxy permitida
3. Política de filtrado de paquetes permitida
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara las acciones de
firewall, examina los cronogramas.
Cronogramas
El dispositivo Firebox o XTM compara los cronogramas de dos políticas para establecer la precedencia. La
precedencia de cronogramas de mayor a menor es:
1. Siempre desactivado
2. A veces activo
3. Siempre activo

Políticas
Si el dispositivo Firebox o XTM no puede establecer la precedencia cuando compara los cronogramas,
examina los nombres y tipos de políticas.
Nombres y tipos de políticas

Si las dos políticas no coinciden en ningún otro criterio de precedencia, el dispositivo Firebox o XTM ordena
las políticas en secuencia alfanumérica. Primero, utiliza el tipo de política. Luego, utiliza el nombre de la
política. Dado que dos políticas no pueden ser del mismo tipo y tener el mismo nombre, éste es el último
criterio de precedencia.
Determinar precedencia manualmente

Para cambiar al modo de orden manual y cambiar la precedencia de la política, debe desactivar el modo de
orden automático:

2. Junto a El modo de orden automático está activado, haga clic en Desactivar.
Aparece un mensaje de configuración.
3. Haga clic en Sí para confirmar que desea cambiar al modo de orden manual.
4. Para cambiar el orden de una política, selecciónela y arrástrela a la nueva ubicación.
O bien, seleccione una política y haga clic en Subir o Bajar para subirla o bajarla en la lista.
5. Haga clic en Guardar para guardar los cambios en el orden de la política.
Crear Cronogramas para acciones de Firebox

Un cronograma es un conjunto de horarios en los cuales una función está activada o desactivada. El
cronograma debe utilizarse si el usuario desea que una política o acción de WebBlocker se active o
desactive automáticamente en los horarios especificados. El cronograma creado puede aplicarse a más de
una política o acción de WebBlocker si desea que esas políticas o acciones se activen en los mismos
horarios.
Por ejemplo, una organización desea restringir ciertos tipos de tráfico de red durante el horario comercial
normal. El administrador de red podría crear un cronograma que se active en los días laborables y
establecer cada política en la configuración para que use el mismo cronograma.
Para crear un cronograma:
1. Seleccione Firewall> Programación.
Aparece la página Programación.
2. Para crear un nuevo cronograma, haga clic en Agregar.
Para modificar un cronograma, haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese un nombre o una descripción para el cronograma. Este
nombre no puede modificarse después de guardar el cronograma.
4. Seleccione los horarios en los que desea que el cronograma funcione para cada día de la semana.

Políticas
Establecer un cronograma operativo

El usuario puede establecer un cronograma operativo para una política, para que ésta se ejecute en los
horarios especificados. Los cronogramas pueden ser compartidos por más de una política.
Para modificar el cronograma de una política:
1. Seleccione Firewall> Programación.
Aparece la página Programación.
2. En la lista Políticas de programación, seleccione el Nombre del cronograma de una política.

3. En la columna Cronograma, seleccione un cronograma de la lista desplegable.
Acerca de las Políticas personalizadas

Si el usuario necesita autorizar un protocolo que no está incluido de manera predeterminada como opción
de configuración del Firebox, debe definir una política de tráfico personalizada. Puede agregar una política
personalizada que use:
n Puertos TCP
n Puertos UDP
n Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica
un protocolo IP que no es TCP o UDP con el número de protocolo IP.

Políticas
Para crear una política personalizada, primero debe crear o editar una plantilla de política personalizada
que especifique los puertos y protocolos utilizados por políticas de ese tipo. Luego, crea una o más políticas
a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.
Cree o edite una plantilla de política personalizada.

1. Seleccione Firewall > Políticas de Firewall. Haga clic en el botón Agregar.
2. Haga clic en Personalizada o seleccione una plantilla de política personalizada y haga clic en Editar.
3. En el cuadro de texto Nombre, ingrese el nombre de la política personalizada. El nombre aparece

en el Policy Manager como el tipo de política. Un nombre único ayuda al usuario a encontrar la
política cuando desea modificarla o eliminarla. Este nombre no debe ser igual a ningún nombre de
la lista en el cuadro de diálogo Agregar política.
4. En el cuadro de texto Descripción, ingrese una descripción de la política.
Esto aparece en la sección Detalles al hacer clic en el nombre de la política en la lista de Filtros de usuarios.
5. Seleccione el tipo de política: Filtro de paquetes o Proxy.
6. Si seleccione Proxy, elija el protocolo de proxy en la lista desplegable adyacente.
7. Para agregar protocolos a esta política, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar protocolo.

Políticas
8. En la lista desplegable Tipo, seleccione Puerto independiente o Intervalo de puertos.

9. En la lista desplegable Protocolo, seleccione el protocolo para esta nueva política.
Si selecciona Puerto independiente, puede elegir TCP, UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP o
Cualquiera.
Si selecciona Intervalo de puertos, puede elegir TCP o UDP. Las opciones por debajo de la lista
desplegable cambian para cada protocolo.
Nota Fireware XTM no circula tráfico multicast IGMP a través de Firebox o entre
interfaces de Firebox. Circula tráfico multicast IGMP sólo entre una interfaz y
Firebox.
10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva política.
Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de
finalización.
La plantilla de la política se agrega a la carpeta Políticas personalizadas.
Ahora puede utilizar la plantilla de la política que creó para agregar una o más políticas personalizadas a su
configuración. Siga el mismo procedimiento que para una política predefinida.
Acerca de propiedades de políticas

Cada tipo de política tiene una definición predeterminada, que consiste en configuraciones que son
apropiadas para la mayoría de las organizaciones. Sin embargo, el usuario puede modificar configuraciones
de políticas según los fines particulares de su empresa o agregar otras configuraciones como administración
de tráfico y cronogramas operativos.
Las políticas de Mobile VPN se crean y funcionan del mismo modo que las políticas de firewall. Sin
embargo, se debe especificar un grupo de Mobile VPN al que se aplica la política.
En la parte superior de la página de configuración de la política, se puede cambiar el nombre de la política.

Si la política es una política de proxy, también puede cambiarse la acción de proxy. Para más informaciones,
vea Acerca de las acciones de proxy en la página 279.

Políticas
Para configurar las propiedades de una política, en la página Políticas de Firewall, haga doble clic en la
política para abrir la página Configuración de políticas. O bien, si acaba de agregar una política a la
configuración, aparece automáticamente la página Configuración de políticas.
Pestaña Política
Utilice la pestaña Política para definir información básica acerca de una política, como si permite o rechaza
tráfico y cuáles dispositivos administra. Las configuraciones de la pestaña Política pueden utilizarse para
crear reglas de acceso para una política o configurar el enrutamiento basado en la política, NAT estática o el
balance de carga en el servidor.
Para obtener más información sobre las opciones para esta pestaña, consulte los siguientes temas:
n Definir reglas de acceso a una política en la página 267

n Configurar el enrutamiento basado en la política en la página 269
n Acerca de la NAT estática en la página 153
n Configurar Balance de carga en el servidor en la página 154
Pestaña Propiedades
La pestaña Propiedades muestra el puerto y el protocolo al que se aplica la política, además de una
descripción de la política configurada. Las configuraciones en esta pestaña pueden utilizarse para definir las
preferencias de registro, notificaciones, bloque automático y tiempo de espera.
n Determinar preferencias de registro y notificación en la página 360

n Bloquear sitios temporalmente con configuración de políticas en la página 346
n Configurar un tiempo de espera inactivo personalizado en la página 270
Pestaña Avanzada
La pestaña Avanzada incluye configuraciones para NAT y Administración de tráfico (QoS), además de
opciones de WAN múltiples e ICMP.
n Establecer un cronograma operativo en la página 263

n Agregar una Acción de administración de tráfico a una política en la página 334
n Determinar Administración de errores ICMP en la página 271
n Aplicar reglas NAT en la página 271
n Activar el marcado QoS o configuraciones de priorización para una política en la página 330
n Defina la duración de sticky connection para una política en la página 272
Configuraciones de proxy
Cada política de proxy tiene configuraciones específicas de la conexión que pueden personalizarse. Para
conocer más acerca de las opciones para cada proxy, consulte el tema Acerca de para el protocolo
deseado.
Acerca del DNS proxy en la página 280 Página Acerca de Proxy POP3 en la página 305

Políticas
Página Acerca de Proxy FTP en la página

Página Acerca de Proxy SIP en la página 309
284
Página Acerca de ALG H.323 en la página
Página Acerca de Proxy SMTP en la página 314
287
Página Acerca de Proxy HTTP en la página
Página Acerca de Proxy de TCP-UDP en la página 319
292
Página Acerca de Proxy HTTPS en la página
301
Definir reglas de acceso a una política

La pestaña Política del cuadro de diálogo Configuración de políticas se usa para configurar las reglas de
acceso a una política determinada.
El campo Las conexiones están define si el tráfico que coincide con las reglas de la política está permitido o
negado. Para configurar el modo en que se administra el tráfico, utilice estas configuraciones:
Permitido
El Firebox permite el tráfico que usa esta política si coincide con las reglas establecidas en la política.
El usuario puede configurar la política para crear un mensaje de registro cuando el tráfico de red
coincide con la política.
Negado
Firebox rechaza todo el tráfico que coincide con las reglas de esta política y no envía una notificación
al dispositivo que envió el tráfico. El usuario puede configurar la política para crear un mensaje de
registro cuando un equipo intenta utilizar esta política. La política también puede agregar
automáticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexión
con esta política.
Para más informaciones, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
Negado (enviar restablecer)
El Firebox rechaza todo el tráfico que coincide con las reglas de esta política. El usuario puede
configurar la política para crear un mensaje de registro cuando un equipo intenta utilizar esta
política. La política también puede agregar automáticamente un equipo o red a la lista de Sitios
bloqueados si intenta establecer una conexión con esta política.
página 346.
Con esta opción, el Firebox envía un paquete para informar al dispositivo que envió el tráfico de red
que la sesión se rechazó y la conexión se cerró. El usuario puede configurar una política para
informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el
host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaución para asegurarse
de que la red funciona correctamente con otras redes.

Políticas
La pestaña Política también incluye:
n Una lista Desde (u origen) que especifica quién puede enviar (o no puede enviar) tráfico de red con
esta política.
n Una lista Hasta (o destino) que especifica a quién el Firebox puede enrutar tráfico si el tráfico
coincide (o no coincide) con las especificaciones de la política.
Por ejemplo, puede configurar un filtro de paquetes ping para permitir el tráfico de ping desde todos los
equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de
destino a conexiones a través del puerto o puertos que la política controla, la red puede volverse
vulnerable. Asegúrese de configurar las políticas con cuidado para evitar vulnerabilidades.
1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de
miembros Desde o Hasta.
Aparece el cuadro de diálogo Agregar miembro.
2. El contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta. Un miembro
puede ser un alias, usuario, grupo, dirección IP o rango de direcciones IP .
3. En la lista desplegable Tipo de miembro, especifique el tipo de miembro que desea agregar al
cuadro.
4. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada
de esta ventana.
5. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.
6. Haga clic en OK.

Políticas
El origen y el destino pueden ser una dirección IP de host, un rango de host, un nombre de host, una
dirección de red, un nombre de usuario, un alias, un túnel VPN o cualquier combinación de esos objetos.
Para obtener más información sobre los alias que aparecen como opciones en la lista Desde y Hasta,
consulte el tema Acerca de los alias en la página 257.
Para obtener más información acerca de cómo crear un nuevo alias, consulte Crear un alias en la página 258.
Configurar el enrutamiento basado en la política

Para enviar tráfico de red, un enrutador en general examina la dirección de destino en el paquete y
observa la tabla de enrutamiento para encontrar el destino del siguiente salto. En algunos casos, el usuario
desea enviar tráfico a una ruta diferente de la ruta predeterminada que se especifica en la tabla de
enrutamiento. Puede configurar una política con una interfaz externa específica para usar con todo el
tráfico saliente que coincida con esa política. Esta técnica se conoce como enrutamiento basado en la
política. El enrutamiento basado en la política tiene prioridad sobre otras configuraciones de WAN
múltiples.
El enrutamiento basado en la política puede usarse cuando hay más de una interfaz externa y Firebox se ha
configurado para WAN múltiples. Con el enrutamiento basado en la política, el usuario puede asegurarse de
que todo el tráfico para una política siempre atraviese la misma interfaz externa, aunque la configuración
de WAN múltiples esté definida para enviar tráfico en una configuración de operación por turnos. Por
ejemplo, si el usuario desea que el correo electrónico se enrute a través de una interfaz particular, puede
usar el enrutamiento basado en la política en la definición de proxy POP3 o SMTP.
Nota Para usar enrutamiento basado en la política, debe tener Fireware XTM con una
actualización Pro. También debe configurar por lo menos dos interfaces externas.
Enrutamiento basado en la política, conmutación por error y failback

Cuando se usa el enrutamiento basado en la política con conmutación por error de WAN múltiples, se
puede especificar si el tráfico que coincide con la política usa otra interfaz externa cuando ocurre la
conmutación por error. La configuración predeterminada es rechazar el tráfico hasta que la interfaz esté
disponible nuevamente.
Las configuraciones de failback (definidas en la pestaña WAN múltiples del cuadro de diálogo Configuración
de red) también se aplican al enrutamiento basado en la política. Si ocurre un evento de conmutación por
error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la
interfaz de conmutación por error o puede retornar a la interfaz original. Las nuevas conexiones se envían a
la interfaz original.
Restricciones en el enrutamiento basado en la política

n El enrutamiento basado en la política está disponible sólo si la WAN múltiple está activada. Si se
activa la WAN múltiple, el cuadro de diálogo Editar propiedades de políticas automáticamente
incluye campos para configurar el enrutamiento basado en la política.
n De manera predeterminada, el enrutamiento basado en la política no está activado.

Políticas
n El enrutamiento basado en la política no se aplica al tráfico IPSec ni al tráfico destinado a la red de

confianza u opcional (tráfico entrante).
Agregar enrutamiento basado en la política a una política

O haga doble clic en una política.
3. Seleccione la casilla de verificación Usar enrutamiento basado en la política.
4. Para especificar la interfaz para enviar tráfico saliente que coincida con la política, seleccione el
nombre de la interfaz en la lista desplegable adyacente. Asegúrese de que la interfaz seleccionada
sea miembro del alias o red definido en el campo Hasta de la política.
5. (Opcional) Configurar el enrutamiento basado en la política con conmutación por error de WAN
múltiples, como se describe a continuación. Si no selecciona Conmutación por error y la interfaz
definida para esta política pasa a estar inactiva, el tráfico se rechaza hasta que la interfaz vuelva a
estar disponible.
Configurar basado en políticas Enrutamiento con conmutación por error

El usuario puede configurar la interfaz especificada para esta política como interfaz principal y definir otras
interfaces externas como interfaces de resguardo para todo el tráfico que no es IPSec.
1. En la página Configuración de políticas, seleccione Usar conmutación por error.

2. En la lista adyacente, seleccione la casilla de verificación para cada interfaz que desea utilizar en la
configuración de la conmutación por error.
3. Haga clic en Subir y Bajar para definir el orden para conmutación por error.
La primera interfaz de la lista es la principal.
Configurar un tiempo de espera inactivo personalizado

El tiempo de espera inactivo es la cantidad de tiempo máximo que una conexión puede mantenerse activa
cuando no se envía tráfico. De manera predeterminada, el Firebox cierra las conexiones de red después de
300 segundos (6 minutos). Cuando se activa esta configuración para una política, el Firebox cierra la
conexión una vez transcurrido el lapso de tiempo especificado por el usuario.
1. En la página Configuración de políticas, seleccione la pestaña Propiedades.

2. Seleccione la casilla de verificación Especificar tiempo de espera inactivo personalizado.
3. En el campo adyacente, establezca el número de segundos antes del tiempo de espera.

Políticas
Determinar Administración de errores ICMP

Pueden establecerse las configuraciones de administración de errores de ICMP asociadas con una política.
Estas configuraciones anulan las configuraciones globales de administración de errores de ICMP.
Para cambiar las configuraciones de administración de errores de ICMP para la política actual:

2. Seleccione la casilla de verificación Utilizar administración de errores de ICMP basada en políticas.
3. Seleccione una o más casillas de verificación para anular las configuraciones de ICMP globales para
ese parámetro.
Para obtener más información sobre configuraciones de ICMP , consulte Defina las configuraciones
globales del Firebox en la página 67.
Aplicar reglas NAT

Se pueden aplicar reglas de traducción de dirección de red (NAT) a una política. Puede seleccionar 1-to-1
NAT o NAT dinámica.
1. En la página Configuración de políticas, seleccione la pestaña Avanzada.

2. Seleccione una de las opciones descritas en las siguientes secciones.
1-to-1 NAT
Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP públicas y privadas
configurados por el usuario, según se describe en Acerca de las 1-to-1 NAT en la página 142.
NAT dinámico
Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP públicas.
Todas las políticas tienen NAT dinámica activada de manera predeterminada.
Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinámica establecidas para
el dispositivo WatchGuard.
Seleccione Todo el tráfico en esta política si desea aplicar NAT a todo el tráfico en esta política.
En el campo Configurar IP de origen, puede seleccionar una dirección IP de origen NAT dinámica para
cualquier política que use NAT dinámica. De este modo se garantiza que cualquier tráfico que usa esta
política muestra una dirección específica de su rango de direcciones IP externas o públicas como el origen.
Esto resulta útil si se desea obligar al tráfico SMTP saliente a mostrar la dirección de registro MX para su
dominio cuando la dirección IP en la interfaz externa del dispositivo WatchGuard no coincide con la
dirección IP de registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinámica.

Políticas
Defina la duración de sticky connection para una política

La configuración de sticky connection para una política anula la configuración de sticky connection global. Se
deben activar WAN múltiples para utilizar esta función.
1. En la página Propiedades de políticas, seleccione la pestaña Avanzada.

2. Para usar la configuración de sticky connection de WAN múltiple global, desmarque la casilla de
verificación Anular configuración de sticky connection de WAN múltiple.
3. Para definir un valor de sticky connection personalizado para esta política, seleccione la casilla de
verificación Activar sticky connection.
4. En el cuadro de texto Activar sticky connection, ingrese la cantidad de tiempo en minutos para
mantener la conexión.

13 Configuraciones de proxy
Acerca de las políticas de proxy y ALG

Todas las políticas de WatchGuard son herramientas importantes para la seguridad de la red, ya sea se trate
de políticas de filtro de paquetes, políticas de proxy o puertas de enlace de la capa de aplicación (ALG). Un
filtro de paquetes examina el encabezado IP y TCP/UDP de cada paquete, un proxy monitorea y escanea
conexiones completas y una ALG proporciona administración de conexión transparente además de
funcionalidad del proxy. Las políticas de proxy y ALG examinan los comandos utilizados en la conexión para
asegurarse de que tengan la sintaxis y el orden correctos y usan la inspección de paquetes profunda para
garantizar que las conexiones sean seguras.
Una política de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y
examina la carga del paquete. Un proxy luego reescribe la información de la red y envía el paquete a su
destino, mientras que una ALG restablece la información de la red original y reenvía el paquete. Como
resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga
de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrónico) entrantes
para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de
script. Los atacantes con frecuencia usan estos métodos para enviar virus informáticos. Un proxy o ALG
puede imponer una política que prohíbe estos tipos de contenido, mientras el filtro de paquetes no puede
detectar el contenido no autorizado en la carga de datos del paquete.
Si el usuario ha adquirido y activado servicios de suscripción adicionales (Gateway AntiVirus, Intrusion

Prevention Service, spamBlocker, WebBlocker), los servidores proxy de WatchGuard pueden aplicar estos
servicios al tráfico de red.
Configuración de proxy
Al igual que los filtrados de paquetes, las políticas de proxy incluyen opciones comunes para administrar el
tráfico de red, incluidas las funciones de administración del tráfico y programación. Sin embargo, las
políticas de proxy también incluyen configuraciones que se relacionan con el protocolo de red específico.

Por ejemplo, puede configurar una política de proxy DNS para permitir sólo las solicitudes que coinciden
con la clase IN o configurar un proxy SMTP para denegar los mensajes de correo electrónico si los
encabezados no están definidos correctamente. Estas opciones pueden configurarse en las pestañas
General y Contenido de cada política de proxy.
Fireware XTM admite políticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,
HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener más información sobre una política de proxy,
consulte la sección para dicha política.
284
287
292
301
Acerca de las configuraciones de Application

Blocker
El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM
cuando una política de proxy TCP-UDP, HTTP o HTTPS detecta actividad de red de aplicaciones de
mensajería instantánea (IM) o punto a punto (P2P).
El Application Blocker identifica estas aplicaciones de IM:
n AIM (AOL Instant Messenger)

n ICQ
n IRC
n MSN Messenger
n Skype
n Yahoo! Messenger
Nota El Application Blocker no puede bloquear las sesiones de Skype que ya están
activas. Para más informaciones, vea Acerca de Skype y el Application Blocker.
El Application Blocker identifica estas aplicaciones P2P:
n BitTorrent
n Ed2k (eDonkey2000)
n Gnutella
n Kazaa
n Napster
n Winny
Nota No se requiere que el Intrusion Prevention service utilice la función del Application
Blocker.

Configurar el Application Blocker

En los servidores proxy HTTP y TCP-UDP, puede establecer estas configuraciones del Application Blocker:
Aplicaciones de IM
Seleccione la casilla de selección adyacente a una o más aplicaciones de IM. Luego, seleccione
Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de IM. Si
selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirán las aplicaciones que no haya marcado.
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones AIM, ICQ y Yahoo!
están seleccionadas. Como la acción está configurada para Eliminar, el proxy de TCP-UDP
permite el tráfico de IM de IRC, Skype y MSN.
Aplicaciones de P2P
Seleccione la casilla de selección adyacente a una o más aplicaciones de P2P. Luego, seleccione
Permitir o Eliminar en la lista desplegable Cuando se detecta una aplicación de P2P. Si
selecciona Permitir, se bloquearán las aplicaciones que no haya marcado. Si selecciona
Eliminar, se permitirán las aplicaciones que no haya marcado.
Por ejemplo, la captura de pantalla anterior muestra que las aplicaciones Kazaa, Ed2k, Napster y
Gnutella están seleccionadas. Como la acción está configurada para Eliminar, el proxy permite
cualquier otro tipo de tráfico P2P.
Para obtener información acerca de dónde establecer las configuraciones del Application Blocker en los
servidores proxy HTTP y TCP-UDP, consulte:
n Proxy de TCP-UDP: Contenido

n Proxy HTTP: Application Blocker

Acerca de Skype y el Application Blocker

Skype es una aplicación de red punto a punto (P2P) muy conocida que se usa para realizar llamadas de voz,
enviar mensajes o archivos de texto o participar en videoconferencias por Internet. El cliente de Skype usa
una combinación dinámica de puertos que incluye a los puertos salientes 80 y 443. El tráfico de Skype es
muy difícil de detectar y bloquear porque está cifrado y porque el cliente de Skype puede derivar muchos
firewalls de red.
El Application Blocker puede configurarse para bloquear el inicio de sesión de un usuario en la red de
Skype. Es importante comprender que el Application Blocker sólo puede bloquear el proceso inicio de
sesión en Skype. No puede bloquear el tráfico para un cliente de Skype que ya ha iniciado sesión y tiene
una conexión activa. Por ejemplo:
n Si un usuario remoto inicia sesión en Skype cuando el equipo no está conectado a la red y luego el
usuario se conecta a la red mientras el cliente de Skype aún está activo, el Application Blocker no
puede bloquear el tráfico de Skype hasta que el usuario cierre la sesión de la aplicación de Skype o
reinicie el equipo.
n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario
que ya esté conectado a la red de Skype no puede bloquearse hasta que cierre la sesión en Skype o
reinicie su equipo.
Cuando el Application Blocker bloquea un inicio de sesión en Skype, agrega las direcciones IP de los
servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es
"admin" y el Motivo es "manejo predeterminado de paquetes". Además, aparece un mensaje de registro
en Control de tráfico que muestra que el acceso al servidor de Skype fue denegado porque la dirección
está en la lista de Sitios bloqueados.
Nota Debido a que la lista de Sitios bloqueados bloquea el tráfico entre los servidores de
Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los
usuarios.
Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el período
especificado por el usuario en el cuadro de texto Duración de sitios bloqueados automáticamente en la
configuración de Sitios bloqueados. La duración predeterminada es 20 minutos. Si se bloquea Skype y luego
se cambia la configuración para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista
de Sitios bloqueados permanecerán bloqueadas hasta que venza el bloqueo o hasta quitarlas de la lista de
Sitios bloqueados en forma manual.
Para obtener más información acerca de la configuración Duración de sitios bloqueados

automáticamente, consulte Cambiar la duración de los sitios que son bloqueados automáticamente en la
página 347.
Bloquear inicios de sesión en Skype

Para bloquear inicios de sesión en Skype, se debe crear una configuración del Application Blocker y
seleccionar Skype como un tipo de aplicación a bloquear. Luego se debe aplicar la configuración a la política
de proxy TCP/UDP.

Para obtener más información acerca de cómo crear una configuración del Application Blocker, consulte
Acerca de las configuraciones de Application Blocker en la página 274.
Agregar una política de proxy a la configuración

Cuando se agrega una política de proxy o ALG (puerta de enlace de la capa de aplicación) a la configuración
del Fireware XTM, se especifican tipos de contenido que el dispositivo Firebox o XTM debe buscar a medida
que examina el tráfico de red. Si el contenido coincide (o no coincide) con los criterios definidos en la
definición de proxy o ALG, el tráfico se permite o deniega.
Pueden usarse las configuraciones predeterminadas de la política de proxy o ALG o pueden cambiarse estas
configuraciones para adaptarlas al tráfico de red de su organización. También pueden crearse políticas de
proxy o ALG adicionales para administrar diferentes partes de la red.
Es importante recordar que una política de proxy o ALG requiere más capacidad de procesamiento que un
filtro de paquetes. Si se agrega un gran número de políticas de proxy o ALG a la configuración, las
velocidades del tráfico de red podrían disminuir. Sin embargo, un proxy o ALG utiliza métodos que los filtros
de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada política de proxy incluye varias
configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y
rendimiento.
Puede usar Fireware XTM Web UI para agregar una política de proxy.

3. En la lista Seleccionar tipo de política, seleccione un filtro de paquetes, una política de proxy o ALG
(puerta de enlace de la capa de aplicación). Haga clic en Agregar.
Aparece la página Configuración de política.

Para obtener más información sobre las propiedades básicas de todas las políticas, consulte Acerca de
propiedades de políticas en la página 265.
Para obtener más información acerca de las configuraciones predeterminadas para una política de proxy o
ALG, consulte el tema "Acerca de" para el tipo de política agregada.
284
287


292
301
Acerca de las acciones de proxy

Una acción de proxy es un grupo específico de configuraciones, orígenes o destinos para un tipo de proxy.
Dado que la configuración puede incluir varias políticas de proxy del mismo tipo, cada política de proxy
utiliza una acción de proxy diferente. Cada política de proxy tiene acciones de proxy predefinidas o
predeterminadas para clientes y servidores. Por ejemplo, puede usarse una acción de proxy para paquetes
enviados a un servidor POP3 protegido por el dispositivo Firebox o XTM y una acción de proxy diferente
para aplicar a mensajes de correo electrónico recuperados por clientes POP3.
Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un
tipo de política de proxy específico. Sin embargo, puede asignarse sólo una acción de proxy a cada política
de proxy. Por ejemplo, una política POP3 está vinculada a una acción de proxy POP3-Cliente. Si desea crear
una acción de proxy POP3 para un servidor POP3 o una acción de proxy adicional para clientes POP3,
deben agregarse nuevas políticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy
Manager.
Configurar la acción de proxy

Para establecer la acción de proxy para una política de proxy antes de crear la política, seleccione una
plantilla de política de proxy y luego seleccione la acción deseada en la lista desplegable Acción de proxy.
Para cambiar una acción de proxy para una política de proxy existente, haga clic en el botón Cambiar en la
parte superior de la página, luego seleccione la acción deseada en la lista desplegable y haga clic en OK.
Editar, eliminar o clonar acciones de proxy

n Para editar una acción de proxy, modifique las configuraciones de una política de proxy que utilice
esa acción de proxy y guarde los cambios.
n Para eliminar una acción de proxy, ingrese en la página Firewall> Acciones de proxy. Seleccione la
acción de proxy que desea borrar y haga clic en Eliminar. Si elige una acción de proxy que está en
uso, debe modificar esa política de proxy para que use una acción de proxy diferente antes de
poder eliminar la acción de proxy.
n Para realizar una copia de una acción de proxy y guardarla con un nuevo nombre, ingrese en la
página Firewall> Acciones de proxy. Seleccione el proxy con las configuraciones que desea copiar y
haga clic en Clonar. Ingrese un nuevo nombre para la acción de proxy y haga clic en OK.
Para obtener más información sobre las configuraciones de acciones de proxy para cada proxy, consulte el
tema Acerca de para ese proxy.
284
287
Página Acerca de Proxy HTTP en la página Página Acerca de Proxy de TCP-UDP en la página 319

292
301
Acerca de acciones de proxy definidas por el usuario y

predefinidas Acciones de proxy
Fireware XTM tiene acciones de proxy servidor y cliente predefinidas para cada proxy. Estas acciones
predefinidas se configuran para equilibrar los requisitos de accesibilidad de una empresa típica con la
necesidad de proteger su capital de equipos contra ataques. Las configuraciones de acciones de proxy
predefinidas no pueden modificarse. Si desea realizar cambios en la configuración, debe clonar (copiar) la
definición existente y guardarla como una acción de proxy definida por el usuario. Los servicios de
suscripción, como el Gateway AntiVirus, no pueden configurarse para acciones de proxy predefinidas.
Por ejemplo, si desea modificar una configuración en la acción de proxy HTTP Cliente, debe guardarla con
un nombre diferente, como HTTP Cliente.1. Esto es necesario sólo cuando se realizan modificaciones en los
conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orígenes o destinos
permitidos o las configuraciones NAT para una política, no es necesario guardarlas con un nuevo nombre.
Acerca del DNS proxy

El Sistema de domain name (DNS) es un sistema de servidores en red que traducen direcciones IP
numéricas en direcciones de Internet legibles y jerárquicas, y viceversa. DNS permite a la red de equipos
comprender, por ejemplo, que se desea alcanzar el servidor en 200.253.208.100 cuando se ingresa un
domain name en el explorador, como www.watchguard.com. Con Fireware XTM, es posible controlar el
tráfico DNS mediante dos métodos: el filtro de paquetes DNS y la política de proxy DNS. El proxy DNS es útil
sólo si las solicitudes de DNS se enrutan a través de Firebox.
Cuando se crea un nuevo archivo de configuración, éste automáticamente incluye una política de filtrado
de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a
las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y
UDP 53 estándar. Dado que Saliente es un filtro de paquetes, no puede ofrecer protección contra troyanos
salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el
tráfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas
amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece
métodos adicionales de controlar los servicios disponibles a la comunidad de red.
Para agregar el proxy DNS a la configuración de Firebox, consulte Agregar una política de proxy a la
configuración en la página 277.
Pestaña Política
n Las conexiones DNS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o
Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política
de la definición de proxy). Vea Definir reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en la política: consulte Configurar el enrutamiento basado en la
política en la página 269.

n También puede configurarse NAT estática o el balance de carga en el servidor. Vea Acerca de la NAT
estática en la página 153 y Configurar Balance de carga en el servidor en la página 154.
n Para definir el registro para una política, haga clic en Registro y Determinar preferencias de registro
y notificación en la página 360.
n Si configura la lista desplegable Las conexiones están (en la pestaña Política) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios
temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de proxy:
n Establecer un cronograma operativo

n Agregar una Acción de administración de tráfico a una política
n Determinar Administración de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinámica están activadas de manera
predeterminada en todas las políticas).
n Activar el marcado QoS o configuraciones de priorización para una política
n Defina la duración de sticky connection para una política
Pestañas Configuración y Contenido

Las políticas de proxy de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales
relacionadas con el tipo de tráfico de red que controla el proxy. Para modificar estas configuraciones, edite
una política de proxy y seleccione la pestaña Configuración o Contenido.
n Proxy DNS : Configuración

n Proxy DNS : Contenido
Proxy DNS : Contenido

Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con el
protocolo DNS.
Para mejorar la seguridad de red y el rendimiento:
1. Edite o agregue la política DNS-Servidor proxy.

2. Haga clic en la pestaña Contenido.
3. Configure Tipos de consulta y Nombres de consulta.

Tipos de consulta
Esta lista muestra cada tipo de registro DNS y su valor. Para denegar solicitudes de registro DNS
de un tipo específico, desmarque la casilla de verificación adyacente.
Nombres de consulta
Para denegar solicitudes DNS por patrón, seleccione la casilla de verificación Denegar estos
nombres de consulta. Ingrese un nombre de host en el campo de texto adyacente y haga clic
en Agregar.
Para borrar una entrada de la lista Nombres de consulta, seleccione la entrada y haga clic en
Eliminar.
4. Para cambiar otras configuraciones de proxy, haga clic en una pestaña diferente.
Proxy DNS : Configuración

Cuando se agrega una política de proxy DNS, se pueden configurar opciones adicionales relacionadas con el
protocolo DNS.
1. Edite o agregue la política DNS-Servidor proxy.

2. Seleccione la pestaña Configuración.
3. Configurar las Reglas de detección de anomalías de protocolo.

Internet sin clasificar
La mayoría de las solicitudes DNS utilizan la clase IN o Internet. Muchos ataques, en cambio,
utilizan las clases CH (caos) o HS (Hesiod). Sin embargo, algunas configuraciones de red
requieren que estas clases funcionen correctamente. Por ejemplo, se puede usar el servicio de
nombres Hesiod para distribuir automáticamente información de usuarios y grupos a través de
una red con el sistema operativo Unix. La acción predeterminada es denegar estas solicitudes.
Seleccione una opción para solicitudes DNS que usan las clases CH o HS:
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente
durante un período determinado. Seleccione la opción apropiada en la lista desplegable
adyacente.
Consulta con formato erróneo
Un atacante pueden intentar enviar solicitudes DNS que no coinciden con los estándares del
protocolo para obtener el control de la red. Sin embargo, otras aplicaciones a veces pueden
enviar solicitudes con formato inadecuado que son necesarias para la organización.
Recomendamos utilizar la configuración predeterminada y denegar las solicitudes DNS con
formato inadecuado.
Seleccione una opción para solicitudes DNS con formato inadecuado:
n Permitir
n Denegar
n Descartar
n Bloquear: todas las solicitudes futuras de ese dispositivo se bloquean automáticamente
durante un período determinado. Seleccione la opción apropiada en la lista desplegable
adyacente.
Activar el registro para informes
Para enviar un mensaje de registro para cada solicitud de conexión administrada por el DNS-
Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear
informes precisos sobre el tráfico DNS Servidor proxy.

Página Acerca de Proxy FTP

El FTP (protocolo de transferencia de archivos) se usa para enviar archivos desde un equipo a otro diferente
a través de una red TCP/IP. El cliente FTP es generalmente un equipo. El servidor FTP puede ser un recurso
que mantiene archivos en la misma red o en una red diferente. El cliente FTP puede estar en uno de dos
modos para la transferencia de datos: activo o pasivo. En el modo activo, el servidor inicia una conexión con
el cliente en el puerto de origen 20. En el modo pasivo, el cliente utiliza un puerto previamente negociado
para conectarse al servidor. El proxy FTP monitorea y examina estas conexiones FTP entre los usuarios y los
servidores FTP a los que se conectan.
Con una política de proxy FTP es posible:
n Establecer la longitud máxima del nombre de usuario, la longitud de la contraseña, la longitud del
nombre de archivo y la longitud de la línea de comandos permitidas a través del proxy para ayudar a
proteger la red de ataques de fallas en la memoria intermedia.
n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.
El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando el FTP utiliza un puerto
que no es el puerto 20, el proxy TCP/UDP retransmite el tráfico al proxy FTP. Para obtener información
sobre el proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.
Para agregar el proxy FTP a la configuración de Firebox, consulte Agregar una política de proxy a la
Pestaña Política
La pestaña Política se utiliza para definir reglas de acceso y otras opciones.
n Las conexiones FTP-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas o
Negadas (enviar restablecer). Defina quién figura en la lista Desde y Hasta (en la pestaña Política de
la definición de proxy).
Para más informaciones, vea Definir reglas de acceso a una política.
n Usar el enrutamiento basado en la política: Configurar el enrutamiento basado en la política.
n También puede configurarse NAT estática o el balance de carga en el servidor.
Para obtener más información, consulte Acerca de la NAT estática en la página 153 o Configurar
Balance de carga en el servidor en la página 154.
n Si configura la lista desplegable Las conexiones de FTP Servidor proxy están (en la pestaña Política)
en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.
página 346.
autenticación, Configurar un tiempo de espera inactivo personalizado en la página 270.

Pestaña Avanzada


n Proxy FTP : Configuración

n FTP DNS: Contenido
FTP DNS: Contenido

El usuario puede controlar el tipo de archivos que el proxy FTP permite para cargas y descargas. Por
ejemplo, debido a que muchos hackers utilizan archivos ejecutables para implementar virus o gusanos en
un equipo, el usuario podría denegar solicitudes de archivos *.exe. O bien, si no dese permitir que los
usuarios carguen archivos de Windows Media a un servidor FTP, puede agregar *.wma a la definición de
proxy y especificar que estos archivos se rechazan. Utilice el asterisco (*) como carácter comodín.

1. Seleccione la pestaña Contenido.

2. En la sección Descargas, seleccione la casilla de verificación Denegar estos tipos de archivos si
desea limitar los tipos de archivos que un usuario puede descargar.
Esta casilla de verificación está seleccionada de manera predeterminada y restringe los tipos de archivos que
los usuarios pueden descargar a través del proxy FTP.
3. Si desea denegar archivos o tipos de archivos adicionales, ingrese un asterisco (*) y el nombre o
extensión del archivo y luego haga clic en Agregar.
4. En la sección Cargas, seleccione la casilla de verificación Denegar estos tipos de archivos si desea
limitar los tipos de archivos que un usuario puede descargar.
Si selecciona esta configuración, no se permitirán los archivos que coincidan con los patrones
mencionados.
5. Si desea denegar cualquier archivo o tipo de archivo adicional, ingrese un asterisco (*) y el nombre
o extensión del archivo y luego haga clic en Agregar.
Proxy FTP : Configuración

Cuando se agrega una política de proxy FTP , pueden configurarse opciones adicionales relacionadas con el
protocolo FTP.
1. Edite o agregue la política FTP Servidor proxy.

Longitud máxima de nombre de usuario
Defina el número máximo de caracteres que un usuario puede enviar en un nombre de

usuario. Cuando un usuario se conecta a un servidor FTP, debe proporcionar un nombre de
usuario para iniciar sesión. Los nombres de usuario muy extensos pueden ser signo de un
ataque de fallas en la memoria intermedia.
Extensión máxima de contraseña
Defina el número máximo de caracteres para contraseñas de usuarios. Cuando un usuario se

conecta a un servidor FTP, debe proporcionar una contraseña para iniciar sesión. Las
contraseñas muy extensas pueden ser signo de un ataque de fallas en la memoria intermedia.
Extensión máxima de nombre de archivo

Defina el número máximo de caracteres en un nombre de archivo, para solicitudes de carga y

descarga. Algunos sistemas de archivo no pueden identificar o usar archivos con nombres de
archivos muy largos.
Extensión máxima de línea de comandos
Defina el número máximo de caracteres que un usuario puede enviar en un comando FTP. Los
usuarios envían comandos a un servidor FTP para completar tareas con archivos. Los comandos
muy extensos pueden ser signo de un ataque de fallas en la memoria intermedia.
Cantidad máxima de inicios de sesión fallidos
Defina el número máximo de veces que un usuario puede intentar iniciar sesión antes de que
se denieguen las conexiones. Los múltiples intentos de inicio de sesión fallidos pueden ser
resultado de un atacante que utiliza ataques de diccionario para obtener acceso al servidor.
Para enviar un mensaje de registro para cada solicitud de conexión administrada por el FTP
Servidor proxy, seleccione esta casilla de verificación. Debe activar esta opción para crear
informes precisos sobre el tráfico FTP Servidor proxy.
4. Para bloquear automáticamente conexiones que no coinciden con la configuración en esa opción,
seleccione la casilla de verificación adyacente Bloqueo automático.
Página Acerca de ALG H.323

Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar una ALG (puerta de enlace de la capa
de aplicación) H.323 o SIP (Protocolo de inicio de sesión) para abrir los puertos necesarios para activar VoIP
a través del dispositivo WatchGuard. Una ALG se crea del mismo modo que una política de proxy y ofrece
opciones de configuración similares. Estas ALG se han creado para funcionar en un entorno NAT para
mantener la seguridad en equipos de conferencias con direcciones privadas protegidos por el dispositivo
WatchGuard.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un
estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como
teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qué ALG
agregar, consulte la documentación para los dispositivos o aplicaciones VoIP.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa mediante el uso de:
Conexiones punto a punto
En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,
éste puede enrutar el tráfico de llamada correctamente.

Conexiones hospedadas
Conexiones hospedadas por un sistema de gestión de llamadas (PBX)
Con H.323, el componente clave de la gestión de llamadas se conoce como gatekeeper. Un gatekeeper
gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el
dispositivo WatchGuard o en una ubicación externa. Por ejemplo, algunos proveedores VoIP hospedan un
gatekeeper en la red a la que el usuario debe conectarse antes de que éste pueda realizar una llamada
VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.
La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una ALG H.323, el dispositivo WatchGuard:
n Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados.

n Se asegura de que las conexiones VoIP usen protocolos H.323 estándar.
n Genera mensajes de registro con fines de auditoría.
Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar
puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP .
Pestaña Política
n Las conexiones ALG-H.323 están: especifica si las conexiones están Permitidas, Negadas o Negadas
(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña Política de la
definición de ALG).
Para más informaciones, vea Definir reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en la política : si desea utilizar el enrutamiento basado en la política en
la definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
Para más informaciones, vea Acerca de la NAT estática en la página 153 y Configurar Balance de
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.
página 346.
autenticación, Configurar un tiempo de espera inactivo personalizado.

Pestaña Avanzada
También puede usar estas opciones en la definición de proxy:


n ALG H.323: Configuración

n ALG H.323: Contenido
ALG H.323: Contenido

Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configurar
opciones adicionales relacionadas con el protocolo H.323.
1. Editar o agregar la política ALG H.323.

Codecs negados
Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión VoIP
H.323 que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión
automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un

codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario lograr que la solución VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista:
n En el cuadro de texto Codecs, ingrese el nombre del codec o el patrón de texto único.
No use caracteres comodín ni sintaxis de expresión regular. Los patrones de codec
distinguen mayúsculas de minúsculas.
Para eliminar un codec de la lista:
n Seleccione un codec en la lista.

n Haga clic en Eliminar.
Activar control de acceso para VoIP
Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté
activada, la ALG H.323 permite o restringe llamadas según las opciones configuradas.
Configuración predeterminada
n Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los
usuarios VoIP inicien llamadas de manera predeterminada.
n Seleccione la casilla de verificación Recibir llamadas VoIP para permitir que todos los
usuarios VoIP reciban llamadas de manera predeterminada.
n Seleccione la casilla de verificación adyacente Registro para crear un mensaje de
registro para cada conexión VoIP H.323 iniciada o recibida.

Niveles de acceso
Para crear una excepción a la configuración predeterminada especificada anteriormente:
n Ingrese un nombre de host, dirección IP o dirección de correo electrónico.

n Seleccione un nivel de acceso en la lista desplegable adyacente.
Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas
únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican sólo al tráfico VoIP H.323.
Si desea eliminar una excepción:
n Seleccione la excepción en la lista.

n Haga clic en Eliminar.
Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro
cuando cree la excepción.
ALG H.323: Configuración

Cuando se agrega una ALG (puerta de enlace de la capa de aplicación) H.323, se pueden configurar
opciones adicionales relacionadas con el protocolo H.323.
1. Editar o agregar la política ALG H.323.

Activar protección de cosecha de directorio.
Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar
información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por
defecto.
Sesiones máximas

Esta función para restringe el número máximo de sesiones de audio o video que pueden
crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de sesiones
máximas en una y participa en una llamada VoIP con audio y video, la segunda conexión se
descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro sesiones.
Firebox crea una entrada de registro cuando niega una sesión multimedia por encima de este
número.
Información del agente usuario
Para identificar el tráfico H.323 saliente como un cliente específico, ingrese una nueva cadena
de agente usuario en el cuadro de texto Reescribir agente usuario como.
Para eliminar el agente usuario falso, desmarque el cuadro de texto.
Tiempos de espera
Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor máximo es 3600 segundos (60 minutos). Para especificar un intervalo de
tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios
inactivos.
Seleccione esta casilla de verificación para enviar un mensaje de registro para cada solicitud de
conexión administrada por la ALG H.323. Esta opción es necesaria para que Informes
WatchGuard cree informes precisos sobre el tráfico H.323. Esa opción es activada por defecto.
Página Acerca de Proxy HTTP

El protocolo de transferencia de hipertexto (HTTP) es un protocolo de solicitud/respuesta entre clientes y
servidores. El cliente HTTP en general es un explorador web. El servidor HTTP es un recurso remoto que
almacena archivos HTML, imágenes y otro contenido. Cuando el cliente HTTP inicia una solicitud, establece
una conexión del TCP (Protocolo de control de transmisión) en el puerto 80. Un servidor HTTP escucha
solicitudes en el puerto 80. Cuando recibe la solicitud del cliente, el servidor responde con el archivo
solicitado, un mensaje de error o alguna otra información.
El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el tráfico web para identificar
contenido sospechoso que puede ser un virus u otro tipo de intrusión. También puede proteger de ataques
a su servidor HTTP.
Con un filtro de proxy HTTP, es posible:
n Ajuste los tiempos de espera y los límites de duración de las solicitudes y respuestas HTTP para
evitar el mal desempeño de la red, como también varios ataques.
n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web
bloqueado por el proxy HTTP.
n Filtrar tipos MIME de contenido web.

n Bloquear patrones de ruta y URL especificados.

n Negar cookies de sitios web especificados.
También se puede usar el proxy HTTP con la suscripción de seguridad WebBlocker. Para más información,
vea Acerca de las WebBlocker en la página 561.
El proxy TCP/UDP está disponible para protocolos en puertos no estándares. Cuando HTTP utiliza un puerto
que no es el puerto 80, el proxy TCP/UDP envía el tráfico al proxy HTTP. Para obtener información sobre el
proxy TCP/UDP, consulte Página Acerca de Proxy de TCP-UDP en la página 319.
Para agregar el proxy HTTP a la configuración del dispositivo Firebox o XTM, consulte Agregar una política
de proxy a la configuración en la página 277.
Pestaña Política
n Las conexiones HTTP Servidor proxy están E specifique si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas
Desde y Hasta (en la pestaña Política de la definición de proxy). Para más información, vea Definir
reglas de acceso a una política en la página 267.
n Usar el enrutamiento basado en políticas Para utilizar el enrutamiento basado en políticas en la
definición de proxy, consulte Configurar el enrutamiento basado en la política en la página 269.
Para más información, vea Acerca de la NAT estática en la página 153 y Configurar Balance de carga
en el servidor en la página 154.

n Para definir el registro para una política, haga clic en Generación de registros y Determinar
preferencias de registro y notificación .
(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.
Para más información, vea Bloquear sitios temporalmente con configuración de políticas en la
página 346.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o
XTM o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada

Pestañas Configuración, Contenido y Application Blocker

relacionadas con el tipo de tráfico de red que controla cada proxy. Para modificar estas configuraciones,
edite una política de proxy y seleccione la pestaña Configuración, Contenido o Application Blocker.
n Proxy HTTP: Pestaña Configuración

n Proxy HTTP: Pestaña Contenido
n Proxy HTTP: Application Blocker
Vea también
Permitir actualizaciones de Windows a través del proxy HTTP

Los servidores Windows Update identifican el contenido que entregan a un equipo como una transmisión
binaria genérica (como transmisión de octetos), la cual queda bloqueada por las reglas de proxy HTTP
predeterminadas. Para permitir actualizaciones de Windows a través del proxy HTTP, se debe editar el
conjunto de reglas de proxy HTTP Cliente para agregar excepciones de proxy HTTP para los servidores
Windows Update.
1. Asegúrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.
Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.
2. Seleccione la pestaña Configuración de la política de proxy HTTPS.

3. En el cuadro de texto a la izquierda del botón Agregar , ingrese o pegue cada uno de estos dominios
y haga clic en Agregar después de cada uno:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
Si aún no puede descargar actualizaciones de Windows

Si tiene más de una política de proxy HTTP, asegúrese de agregar las excepciones HTTP a la política y acción
de proxy correctas.
Microsoft no limita las actualizaciones sólo a estos dominios. Examine los registros de tráfico negado a un
dominio de propiedad de Microsoft. Busque el tráfico negado por el proxy HTTP. La línea de registro debe
incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista de excepciones de proxy HTTP y
luego vuelva a ejecutar Windows Update.
Proxy HTTP: Pestaña Contenido

Ciertos tipos de contenido que los usuarios solicitan a sitios web pueden ser una amenaza para la seguridad
de la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. Si la definición de
proxy predeterminada no satisface todas las necesidades de la empresa, se puede agregar, eliminar o
modificar la definición.
Para configurar restricciones para contenido HTTP :
1. Edite o agregue la política HTTP Servidor proxy.


3. Configure las opciones como se describe en las siguientes secciones.

Tipo de contenido
Cuando un servidor web envía tráfico HTTP, en general agrega un tipo MIME o tipo de contenido al
encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en
el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, debe agregar
imagen/jpg a la definición de proxy. También puede usar el asterisco (*) como comodín. Para permitir
cualquier formato de imagen, se agrega imagen/* .
Para obtener una lista de tipos MIME registrados y actualizados, ingrese en

http://www.iana.org/assignments/media-types.

1. Seleccione la casilla de verificación Permitir sólo los tipos de contenido seguro si desea limitar los
tipos de contenido permitidos a través a través del proxy. De manera predeterminada se incluye
una lista de tipos de MIME comunes.
2. Para agregar tipos de contenido comunes a la lista, en la lista Tipos de contenido predefinidos ,
seleccione el tipo de MIME y haga clic en <.
3. Para agregar otros tipos de contenido, en el cuadro de texto Tipos de contenido, ingrese un tipo de
contenido y haga clic en Agregar.
4. Para eliminar un tipo de contenido, selecciónelo en la lista Tipos de contenido y haga clic en
Eliminar.
No se pueden eliminar tipos de contenido predefinidos.
Patrones de nombre de archivo

Una URL (localizador uniforme de recursos) identifica un recurso en un servidor remoto e indica la
ubicación de la red en ese servidor. La ruta de URL es la cadena de información después del domain name
de nivel superior. Se puede usar el proxy HTTP para bloquear sitios web que contienen texto especificado
en la ruta de URL. Si la definición de proxy predeterminada no satisface todas las necesidades de la
empresa, se puede agregar, eliminar o modificar los patrones de ruta de URL. Utilice el asterisco (*) como
carácter comodín. Por ejemplo:
n Para bloquear todas las páginas que tienen el nombre de host www.prueba.com, ingrese el patrón:
www.prueba.com*
n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web, ingrese: *sexo*
n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web, ingrese: *.prueba
Para bloquear patrones de rutas de URL no seguros:
1. Para usar reglas de rutas de URL para filtrar el contenido del host, la ruta y los componentes de la
cadena de consulta de una URL, seleccione la casilla de verificación Denegar los patrones de nombres
de archivos no seguros.
El nombre especifica los nombres de archivos pero cualquier patrón que se ingresa se aplica a toda la ruta de URL .
2. Para agregar un nuevo patrón de ruta, ingrese la ruta y haga clic en Agregar.
3. Para eliminar un patrón de ruta, seleccione el patrón y haga clic en Eliminar.
Cookies
Las cookies HTTP son pequeños archivos de texto alfanumérico que los servidores web ponen en los
clientes web. Las cookies controlan la página en la que está un cliente web para permitir al servidor web
enviar más páginas en la secuencia correcta. Los servidores web también usan cookies para reunir
información acerca de un usuario final. Muchos sitios web usan cookies para autenticación y otras funciones
legítimas y no pueden funcionar correctamente sin cookies.
El proxy HTTP busca paquetes según el dominio asociado con la cookie. El dominio puede especificarse en
la cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Por
ejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrón: *.nosy-adware-
site.com . Si desea rechazar cookies de todos los subdominios en un sitio web, use el símbolo comodín (*)
antes y después del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,
como images.google.com y mail.google.com.
Para bloquear cookies de sitios:

1. Para bloquear cookies de un sitio en particular, seleccione la casilla de verificación Denegar las
cookies de estos sitios.
2. En el siguiente cuadro de texto, ingrese el domain name del sitio web o dominios parcial con
comodines.
Proxy HTTP: Pestaña Configuración

Para determinar los parámetros HTTP básicos:

3. Configure las opciones como se describe en las siguientes secciones.

Solicitudes HTTP
Tiempo de espera de conexión inactivo
Determina el tiempo que la conexión TCP de la sesión HTTP permanece abierta cuando no han
circulado paquetes a través de ella. Si ningún paquete atraviesa la conexión TCP durante el tiempo
especificado, la conexión TCP se cierra. Dado que toda sesión de TCP utiliza una pequeña cantidad
de memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTP
correctamente, esta opción se usa para controlar el rendimiento. En el campo adyacente, ingrese la
cantidad de minutos antes de que el proxy se desconecte.
Longitud máxima de URL
Define el número máximo de caracteres permitidos en una URL. En esta área del proxy, URL incluye
a todo lo que compone a la dirección web después del dominio de nivel superior. Esto incluye el
carácter diagonal pero no el nombre de host (www.miejemplo.com o miejemplo.com). Por ejemplo,
la URL www.miejemplo.com/productos cuenta diez caracteres para este límite porque /productos
tiene diez caracteres.
El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por un
equipo detrás de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a un
servidor web. La extensión mínima es de 15 bytes. Se recomienda mantener esta configuración
activada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes web
infectados en las redes que protege el proxy HTTP.
conexión administrada por el HTTP Servidor proxy. Esta opción es necesaria para que Informes
WatchGuard cree informes precisos sobre el tráfico HTTP.

Respuestas HTTP
Tiempo de espera
Controla durante cuánto tiempo el proxy HTTP espera que el servidor web envíe la página web.
Cuando un usuario hace clic en un hipervínculo o ingresa una URL en la barra de dirección del
explorador web, envía una solicitud HTTP a un servidor remoto para obtener el contenido. En la
mayoría de los exploradores, la barra de estado muestra, Contactando al sitio... o un mensaje
similar. Si el servidor remoto no responde, el cliente HTTP continúa enviando la solicitud hasta que
recibe una respuesta o hasta que la solicitud ingresa en tiempo de espera. Al mismo tiempo, el
proxy HTTP continúa controlando la conexión y usa recursos de red valiosos.
Extensión máxima de línea
Controla la extensión máxima permitida de una línea de caracteres en los encabezados de respuesta
HTTP. Defina este valor para proteger a sus equipos contra explotaciones por fallas en la memoria
intermedia. Dado que las URL para muchos sitios de comercio continúan aumentando la extensión
con el tiempo, es posible que en el futuro necesite ajustar este valor.
conexión administrada por el HTTP Servidor proxy. Debe activar esta opción para crear informes
precisos sobre el tráfico HTTP Servidor proxy.
Mensaje de negación
Cuando se niega el contenido, el dispositivo WatchGuard envía un deny message predeterminado que
reemplaza al contenido negado. El usuario puede escribir un nuevo deny message para reemplazar el deny
message predeterminado. Puede personalizar el deny message con HTML estándar. También puede usar
caracteres Unicode (UTF-8) en el mensaje de negación. La primera línea del deny message es un
componente del encabezado HTTP. Debe incluir una línea vacía entre la primera línea y el cuerpo del
mensaje.
El deny message de Firebox aparece en el explorador web cuando el usuario realiza una solicitud que el
proxy HTTP no permite. También recibe un deny message cuando la solicitud está permitida, pero el proxy
HTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo
.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si el
usuario intenta descargar una página web que tiene tipo de contenido desconocido y la política de proxy
está configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en el
explorador web. El deny message predeterminado puede verse en el campo Mensaje de negación. Para
cambiar este mensaje por otro personalizado, utilice estas variables:
%(transacción)%
Incluye Solicitud o Respuesta en el deny message para mostrar qué lado de la transacción causó la
negación del paquete.
%(motivo)%
Incluye el motivo por el que Firebox negó el contenido.

%(método)%
Incluye el método de solicitud de la solicitud negada.
%(Host de URL)%
Incluye el nombre de host del servidor de la URL negada. Si no se incluyó un nombre de host, se
incluye la dirección IP del servidor.
%(ruta de URL)%
Incluye el componente de la ruta del URL negado.
Excepciones de proxy HTTP

Para ciertos sitios web, se usan excepciones de proxy HTTP para derivar las reglas de proxy HTTP, pero no el
marco de proxy. El tráfico que coincide con las excepciones de proxy HTTP aún atraviesa la administración
de proxy estándar utilizada por el proxy HTTP. Sin embargo, cuando ocurre una coincidencia, algunas
configuraciones de proxy no se incluyen.
El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, si
bloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitio
www.ejemplo.com, puede agregar www.ejemplo.com como una excepción de proxy HTTP.
El usuario especifica la dirección IP o el domain name de los sitios que desea permitir. El domain name (o
host) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names también
pueden terminar en un código de país, como .de (Alemania) o .jp (Japón).
Para agregar un domain name, ingrese el patrón de URL sin el inicio http://. Por ejemplo, para permitir que
los usuarios visiten el sitio web de WatchGuard http://www.watchguard.com, ingrese
www.watchguard.com . Si desea permitir todos los subdominios que contienen watchguard.com, puede
usar el asterisco (*) como carácter comodín. Por ejemplo, para permitir que los usuarios visiten
watchguard.com, www.watchguard.com y support.watchguard.com, ingrese:
*.watchguard.com
1. En el cuadro de texto adyacente a Agregar, ingrese la dirección IP de host o el domain name del
sitio web que desea permitir.
Repita este proceso para cada host o domain name adicional que desea agregar.
3. Si desea que se grabe un mensaje de registro en el archivo de registro cada vez que ocurre una
transacción web en un sitio web en la lista de excepciones, seleccione la casilla de verificación
Registrar cada excepción de HTTP.
Proxy HTTP: Application Blocker

El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM cuando
una política de proxy HTTP detecta el tráfico de red de mensajería instantánea (IM) o punto a punto (P2P).
En la pestaña Application Blocker, seleccione los tipos de aplicación IM y P2P a detectar y sus acciones
asociadas.

Para obtener información acerca de estas configuraciones, consulte Acerca de las configuraciones de
Application Blocker en la página 274.
Página Acerca de Proxy HTTPS

HTTPS (Protocolo de transferencia de hipertexto sobre nivel de seguridad de la conexión, o HTTP sobre SSL)
es un protocolo de solicitud/respuesta entre clientes y servidores utilizado para comunicaciones y
transacciones seguras. El proxy HTTPS puede utilizarse para asegurar un servidor web protegido por Firebox
o para examinar el tráfico HTTPS solicitado por clientes en su red. De manera predeterminada, cuando el
cliente HTTPS inicia una solicitud, establece una conexión TCP (protocolo de control de transmisión) en el
puerto 443. La mayoría de los servidores HTTPS escuchan solicitudes en el puerto 443.
HTTPS es más seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de página
del usuario además de las páginas reenviadas por el servidor web. Debido a que el tráfico HTTPS está
cifrado, Firebox debe descifrarlo para poder examinarlo. Después de examinar el contenido, Firebox cifra
el tráfico con un certificado y lo envía al destino previsto.
El usuario puede exportar el certificado predeterminado creado por Firebox para esta función o importar
un certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el tráfico web solicitado por los
usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para
que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa el
proxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomienda
importar el certificado del servidor web existente por la misma razón.
Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar el
proxy TCP/UDP para retransmitir el tráfico al proxy HTTPS. Para obtener información sobre el proxy
TCP/UDP , consulte Página Acerca de Proxy de TCP-UDP en la página 319.
Pestaña Política
n Las conexiones HTTPS Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaña
Política de la definición de proxy). Para más informaciones, vea Definir reglas de acceso a una
n Usar el enrutamiento basado en la política : para utilizar el enrutamiento basado en la política en la
n También puede configurarse NAT estática o el balance de carga en el servidor
. Para obtener más información, consulte Acerca de la NAT estática en la página 153 y Configurar
Balance de carga en el servidor en la página 154.
y notificación .
(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para más informaciones,
vea Bloquear sitios temporalmente con configuración de políticas en la página 346.

Pestaña Avanzada


una política de proxy y seleccione la pestaña Configuración o Contenido. Para más información, vea:
n Proxy HTTPS : Configuración

n Proxy de HTTPS: Contenido
Proxy de HTTPS: Contenido
Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.
1. Edite o agregue la política HTTPS Servidor proxy.


Activar inspección profunda de contenido HTTPS
Cuando esta casilla de verificación está seleccionada, Firebox descifra el tráfico HTTPS, examina
el contenido y vuelve a cifrar el tráfico con un nuevo certificado. La política de proxy HTTP que
se elige en esta página examina el contenido.
Nota Si otro tipo de tráfico usa el puerto HTTPS, como el tráfico SSL VPN , se
recomienda evaluar esta opción con atención. El proxy de HTTPS intenta examinar
todo el tráfico en el puerto 443 de TCP de la misma manera. Para asegurarse de
que otras fuentes de tráfico funcionen correctamente, se recomienda agregar esas
fuentes a la lista de derivación. Para obtener más información consulte la siguiente
sección.
De manera predeterminada, Firebox genera automáticamente el certificado utilizado para

cifrar el tráfico. El usuario también puede cargar su propio certificado. Si el sitio web original o
el servidor web tienen un certificado no válido o con suscripción propia o si el certificado fue
firmado por una CA que Firebox no reconoce, aparece una advertencia del explorador acerca
del certificado. Los certificados que no pueden volverse a firmar correctamente aparecen
como emitidos por el Proxy HTTPS Fireware: Certificado no reconocido o simplemente
Certificado no válido.
Se recomienda importar el certificado que se usa, además de cualquier otro certificado

necesario para que el cliente confíe en ese certificado, en cada dispositivo cliente. Cuando un
cliente no confía automáticamente en el certificado utilizado para la función de inspección de
contenido, aparece una advertencia en el explorador y servicios como Windows Update no
funcionan correctamente.
Algunos programas, como algunos programas de mensajería instantánea o comunicación,

guardan copias privadas de certificados y no usan el almacenamiento de certificados del
sistema operativo. Si estos programas no tienen un método para importar certificados de CA
de confianza, es posible que no funcionen correctamente cuando se activa la inspección de
contenido.
Para más informaciones, vea Acerca de los certificados en la página 385 o Usar Certificados
para el proxy de HTTPS en la página 397.
Acción de proxy
Seleccione una política de proxy HTTP para que Firebox use cuando inspecciona contenido
HTTPS descifrado.
Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del

proxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si agrega
direcciones IP a la lista de derivación para la inspección de contenido, el tráfico de esos sitios
se filtra con las configuraciones de WebBlocker del proxy HTTPS.
Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la
página 561.
Usar OCSP para confirmar la validez de los certificados

Seleccione esta casilla de verificación para que Firebox automáticamente verifique las
revocaciones de certificados con OCSP (Protocolo de estado de certificado en línea). Cuando
esta función está activada, Firebox usa información en el certificado para contactar a un
servidor OCSP que mantiene un registro del estado del certificado. Si el servidor OCSP
responde que el certificado ha sido revocado, Firebox desactiva el certificado.
Si selecciona esta opción, puede ocurrir una demora de varios segundos mientras Firebox
solicita una respuesta del servidor OCSP . Firebox guarda entre 300 y 3000 respuestas de OCSP
para mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Firebox
determina el número de respuestas guardadas en el caché.
Tratar los certificados que no puedan ser confirmados como no válidos
Cuando esta opción está seleccionada y un respondedor OCSP no envía una respuesta a una
solicitud de estado de revocación, Firebox considera el certificado original como no válido o
revocado. Esta opción puede hacer que los certificados se consideren no válidos si hay un error
de enrutamiento o un problema con la conexión de red.
Lista de derivación
Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Para
agregar un sitio web o nombre de host, ingrese la dirección IP en el cuadro de texto y haga clic
en el botón Agregar.
Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del

proxy de HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si agrega
direcciones IP a la lista de derivación para la inspección de contenido, el tráfico de esos sitios
se filtra con las configuraciones de WebBlocker del proxy HTTPS.
Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la
página 561.
Proxy HTTPS : Configuración

Cuando se agrega una política de proxy HTTPS, se pueden configurar opciones adicionales relacionadas con
el protocolo HTTPS.

Seleccione esta casilla de verificación para cerrar conexiones HTTPS que no han enviado o
recibido tráfico durante el tiempo especificado. Para cambiar el límite de tiempo, ingrese o
seleccione un número en el cuadro de texto adyacente.
Nombres del certificado

El usuario puede permitir o negar el acceso a sitios web cuando el certificado coincide con un
patrón de esta lista desplegable. Esta función actúa aunque no se use la inspección de
contenido profunda para descifrar el tráfico de red HTTPS.
n Permitir: seleccione esta opción para permitir tráfico desde sitios que coinciden con los
patrones en la lista Nombres del certificado.
n Negar : seleccione esta opción para rechazar conexiones de sitios que coinciden y enviar
un deny message al sitio.
n Descartar : seleccione esta opción para rechazar conexiones sin un mensaje de
negación.
n Bloquear : seleccione esta opción para descartar conexiones y automáticamente agregar
el sitio a la lista Sitios bloqueados.
Para agregar un sitio web, ingrese el domain name (en general la URL) del certificado en el
cuadro de texto adyacente y haga clic en Agregar.
Para eliminar un sitio, selecciónelo y haga clic en Eliminar.
conexión administrada por el HTTPS Servidor proxy. Debe activar esta opción para crear
informes precisos sobre el tráfico HTTPS Servidor proxy.
Página Acerca de Proxy POP3

POP3 (Protocolo de Oficina de Correos v.3) es un protocolo que mueve mensajes de correo electrónico
desde un servidor de correo electrónico a un cliente de correo electrónico en una conexión TCP a través
del puerto 110. La mayoría de las cuentas de correo electrónico basadas en Internet usan POP3. Con POP3,
un cliente de correo electrónico contacta a un servidor de correo electrónico y verifica si tiene mensajes
de correo electrónico nuevos. Si encuentra un nuevo mensaje, descarga el mensaje de correo electrónico
al cliente de correo electrónico local. Después de que el cliente de correo electrónico recibe el mensaje, la
conexión se cierra.
Con un filtro de proxy POP3, es posible:
n Ajustar los límites de tiempo de espera y extensión de línea para asegurarse de que el proxy POP3
no use demasiados recursos de red y para impedir algunos tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrónico que se les envía.
n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME.
n Bloquear patrones de ruta y URL especificados.
Para agregar el proxy POP3 a la configuración de Firebox, consulte Agregar una política de proxy a la

Pestaña Política
n Las conexiones POP3-Servidor proxy están: especifica si las conexiones están Permitidas, Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.
página 346.
Pestaña Avanzada


n Proxy POP3 : Configuración

n Proxy POP3 : Contenido

Proxy POP3 : Contenido

Los encabezados de mensajes de correo electrónico incluyen un encabezado de tipo de contenido para
mostrar el tipo MIME del correo electrónico y de cualquier adjunto. El tipo de contenido o tipo MIME
informa al equipo los tipos de medios que contiene el mensaje. Ciertos tipos de contenido incluidos en el
mensaje de correo electrónico pueden ser una amenaza de seguridad para la red. Otros tipos de contenido
pueden disminuir la productividad de los usuarios.
1. Editar o agregar la política POP3 Servidor proxy.

Permitir sólo los tipos de contenido seguro
En la lista Tipos de contenido, el usuario puede configurar valores para el filtrado de contenido
y la acción a seguir para tipos de contenido que no coinciden con los criterios. Para la política
de proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para la
política de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imágenes JPEG, se
agrega imagen/jpg . También puede usar el asterisco (*) como comodín. Para permitir
cualquier formato de imagen, se agrega imagen/* a la lista.
Denegar los patrones de nombres de archivos no seguros

Este conjunto de reglas se usa en una acción de proxy POP3 servidor para poner límites en los
nombres de archivo para adjuntos de correo electrónico entrante. Este conjunto de reglas se
usa en una acción de proxy POP3 cliente para poner límites en los nombres de archivo para
adjuntos de correo electrónico saliente. El usuario puede agregar, eliminar o modificar reglas.
Proxy POP3 : Configuración

Cuando se agrega una política de proxy POP3, se pueden configurar opciones adicionales relacionadas con
el protocolo POP3.

Tiempo de espera
Utilice esta configuración para limitar la cantidad de minutos en los que el cliente de correo
electrónico intenta abrir una conexión con el servidor de correo electrónico antes de que la
conexión se cierre. Esto impide que el proxy use demasiados recursos de red cuando el
servidor POP3 está lento o no se puede alcanzar.
Longitud máxima de línea
Utilice esta configuración para impedir algunos tipos de ataques de fallas en la memoria
intermedia. Las extensiones de línea muy largas pueden causar fallas en la memoria intermedia
en algunos sistemas de correo electrónico. La mayoría de los clientes y sistemas de correo
electrónico envían líneas relativamente cortas, pero algunos sistemas de correo electrónico
web envían líneas muy extensas. Sin embargo, es poco probable que el usuario tenga que
cambiar esta configuración, a menos que evite el acceso a correo electrónico legítimo. La
configuración predeterminada es 1000 bytes.
Mensaje de negación
En el cuadro de texto Mensaje de negación, puede escribir un mensaje de texto sin cifrar
personalizado en HTML estándar que aparece en el correo electrónico del destinatario cuando
el proxy bloquea ese correo electrónico. Se pueden usar las siguientes variables:
n %(motivo)%: incluye el motivo por el que Firebox negó el contenido.

n %(tipo)%: incluye el tipo de contenido que se negó.
n %(nombre de archivo)%: incluye el nombre de archivo del contenido negado.
n %(virus)%: incluye el nombre o el estado de un virus. Sólo para usuarios de Gateway
AntiVirus.
n %(acción)%: incluye el nombre de la acción seguida; bloquear, extraer, etc.
n %(recuperación)%: incluye si se puede recuperar el adjunto.

conexión administrada por el POP3 Servidor proxy. Debe activar esta opción para crear
informes precisos sobre el tráfico POP3 Servidor proxy.
Página Acerca de Proxy SIP

Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar un SIP (Protocolo de inicio de sesión) o
una ALG (puerta de enlace de la capa de aplicación) H.323 para abrir los puertos necesarios para activar
VoIP a través de Firebox. Una ALG se crea del mismo modo que una política de proxy y ofrece opciones de
configuración similares. Estas ALG se han creado para funcionar en un entorno NAT para mantener la
seguridad en equipos de conferencias con direcciones privadas detrás de Firebox.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz más antiguos. SIP es un
estándar más nuevo que es más común en entornos hospedados, donde sólo dispositivos extremos como
teléfonos están hospedados en la ubicación de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar cuál ALG
necesita agregar, consulte la documentación para dispositivos o aplicaciones VoIP.
Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa con:
Conexiones punto a punto
En una conexión punto a punto, cada uno de los dos dispositivos conoce la dirección IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrás de Firebox,
éste puede enrutar el tráfico de llamada correctamente.
Conexiones hospedadas
Conexiones hospedadas por un sistema de gestión de llamadas (PBX)
En el SIP estándar, dos componentes clave de la gestión de llamadas son el Log Server SIP y el Proxy SIP.
Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestión de llamadas.
La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG de
WatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema de
gestión de llamadas externo a Firebox. En esta versión, no se admite SIP cuando el sistema de gestión de
llamadas está protegido por Firebox.
La coordinación del gran número de componentes de una instalación VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP . Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una SIP-ALG, Firebox:

n Responde automáticamente a aplicaciones VoIP y abre los puertos adecuados.

n Se asegura de que las conexiones VoIP usen protocolos SIP estándar.
n Genera mensajes de registro con fines de auditoría.
Muchos dispositivos y servidores VoIP utilizan NAT (traducción de dirección de red) para abrir y cerrar
puertos automáticamente. Las ALG H.323 y SIP también cumplen esta función. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP .
Para agregar la SIP ALG a la configuración de Firebox, consulte Agregar una política de proxy a la
Pestaña Política
n Las conexionesSIP-ALG están: especifica silas conexionesestán Permitidas,Negadas oNegadas
(enviar restablecer)y define el contenidode lalista Desdey Hasta (en lapestaña Política de la definición
de ALG).Para másinformaciones, veaDefinir reglasde accesoa unapolítica enla página267.
n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en la
definición de ALG, consulte Configurar el enrutamiento basado en la política en la página 269.
y notificación .
(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para más informaciones, vea
Bloquear sitios temporalmente con configuración de políticas en la página 346.
autenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada
Pueden usarse varias otras opciones en la definición de ALG:


Las ALG de WatchGuard tienen opciones de seguridad de red y rendimiento adicionales relacionadas con el
tipo de tráfico de red que controla la ALG. Para modificar estas configuraciones, edite una ALG y haga clic
en la pestaña Configuración o Contenido.

n SIP ALG: Configuración

n SIP ALG: Contenido
SIP ALG: Contenido

Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicación), se pueden configurar opciones
adicionales relacionadas con el protocolo SIP.
1. Editar o agregar la política SIP ALG.

Codecs negados
Utilice esta función para denegar uno o más codecs VoIP . Cuando se abre una conexión SIP
VoIP que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexión
automáticamente. Esta lista está vacía de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si
es necesario para que la solución VoIP funcione correctamente. Por ejemplo, pude optar por
denegar los codecs G.711 o G.726 porque usan más de 32 Kb/seg de ancho de banda o puede
optar por denegar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista, ingrese el nombre del codec o el patrón de texto único en el
cuadro de texto y haga clic en Agregar. No use caracteres comodín ni sintaxis de expresión
regular. Los patrones codec distinguen mayúsculas de minúsculas.
Para borrar un codec de la lista, selecciónelo y haga clic en Eliminar.

Activar control de acceso para VoIP
Seleccione esta casilla de verificación para activar la función de control de acceso. Cuando esté
activada, la SIP ALG permite o restringe llamadas según las opciones configuradas.
Configuración predeterminada
Seleccione la casilla de verificación Iniciar llamadas VoIP para permitir que todos los usuarios
VoIP inicien llamadas de manera predeterminada. Seleccione la casilla de verificación Recibir
llamadas VoIP para permitir que todos los usuarios VoIP reciban llamadas de manera
predeterminada. Seleccione la casilla de verificación adyacente Registro para crear un mensaje
de registro para cada conexión SIP VoIP iniciada o recibida.
Niveles de acceso
Para crear una excepción a la configuración predeterminada especificada anteriormente,

ingrese un nombre de host, una dirección IP o una dirección de correo electrónico. Seleccione
un nivel de acceso en la lista desplegable adyacente y luego haga clic en Agregar.
Se puede permitir que los usuarios inicien llamadas únicamente, reciban llamadas
únicamente, inicien y reciban llamadas o denegarles el acceso VoIP. Estas configuraciones se
aplican sólo al tráfico SIP VoIP.
Si desea eliminar una excepción, selecciónela en la lista y haga clic en Eliminar.
Las conexiones realizadas por usuarios que tienen una excepción de nivel de acceso se
registran de manera predeterminada. Si no desea registrar conexiones realizadas por un
usuario con una excepción de nivel de acceso, desmarque la casilla de verificación Registro
cuando cree la excepción.

SIP ALG: Configuración

Cuando se agrega una SIP ALG (puerta de enlace de la capa de aplicación), se pueden configurar opciones
adicionales relacionadas con el protocolo SIP.
1. Editar o agregar la política SIP ALG.

Activar normalización de encabezado
Seleccione esta casilla de verificación para negar encabezados SIP extremadamente largos o
malformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si es
necesario se puede desactivar esta opción para que la solución VoIP funcione correctamente.
Activar ocultación de topología
Esta función reescribe los encabezados de tráfico SIP para eliminar información de red privada,
como direcciones IP . Recomendamos mantener esta opción activada, salvo que tenga un
dispositivo de puerta de enlace VoIP actual que realice la ocultación de topología.
Activar protección de cosecha de directorio.
Seleccione esta casilla de verificación para asegurarse de que los atacantes no puedan robar
información de usuarios a gatekeepers VoIP protegidos por Firebox. Esa opción es activada por
defecto.
Sesiones máximas
Utilice esta función para restringir el número máximo de sesiones de audio o video que
pueden crearse con una única llamada VoIP . Por ejemplo, si el usuario define el número de
sesiones máximas en una y participa en una llamada VoIP con audio y video, la segunda
conexión se descarta. El valor predeterminado es dos sesiones y el valor máximo es cuatro
sesiones. Firebox crea una entrada de registro cuando niega una sesión multimedia por encima
de este número.

conexión administrada por la SIP ALG. Debe activar esta opción para crear informes precisos
sobre el tráfico SIP.
Información del agente usuario
Para identificar el tráfico SIP saliente como un cliente específico, ingrese una nueva cadena de
agente usuario en el cuadro de texto Reescribir agente usuario como. Para eliminar el agente
usuario falso, desmarque el cuadro de texto.
Canales de medios inactivos
Cuando no se envían datos durante un período determinado en un canal VoIP de audio, video
o datos, Firebox cierra esa conexión de red. El valor predeterminado es 180 segundos (tres
minutos) y el valor máximo es 600 segundos (diez minutos). Para especificar un intervalo de
tiempo diferente, ingrese el número en segundos en el cuadro de texto Canales de medios
inactivos.
Página Acerca de Proxy SMTP

SMTP (Protocolo simple de transferencia de correo) es un protocolo utilizado para enviar mensajes de
correo electrónico entre servidores de correo electrónico y también entre clientes de correo electrónico y
servidores de correo electrónico. En general utiliza una conexión TCP en el puerto 25. El proxy SMTP se
puede usar para controlar mensajes de correo electrónico y contenido de correo electrónico. El proxy
escanea los mensajes SMTP para un número de parámetros filtrados y los compara con las reglas en la
configuración de proxy.
Con un filtro de proxy SMTP, es posible:
n Ajustar los límites de tiempo de espera, tamaño máximo del correo electrónico y extensión de línea
para asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunos
tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrónico que intentan recibir.
n Filtrar contenido integrado en el mensaje de correo electrónico con tipos MIME y patrones de
nombre.
n Limitar las direcciones de correo electrónico a las que se pueden enviar mensajes de correo
electrónico y automáticamente bloquear mensajes de correo electrónico de remitentes específicos.
Para agregar el proxy SMTP a la configuración de Firebox, consulte Agregar una política de proxy a la
Pestaña Política
n Las conexiones SMPT Servidor proxy están: especifica si las conexiones están Permitidas, Negadas


n Usar el enrutamiento basado en la política: para utilizar el enrutamiento basado en la política en la
y notificación .
(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para más informaciones,
vea Bloquear sitios temporalmente con configuración de políticas en la página 346.
autenticación, consulte Configurar un tiempo de espera inactivo personalizado en la página 270.
Pestaña Avanzada

Pestañas Configuración, Dirección y Contenido

una política de proxy y seleccione la pestaña Configuración o Contenido. El proxy SMTP también incluye
una pestaña Dirección, donde pueden configurarse opciones para remitentes y destinatarios de mensajes
de correo electrónico.
n Proxy SMTP : Configuración

n Proxy SMTP : Dirección
n Proxy SMTP : Contenido
Proxy SMTP : Dirección

Cuando se agrega una política de proxy SMTP , pueden configurarse opciones adicionales relacionadas con
el protocolo SMTP.
Para limitar quiénes pueden enviar y recibir mensajes de correo electrónico:

1. Edite o agregue la política SMTP Servidor proxy.

2. Haga clic en la pestaña Dirección.
Bloquear el correo electrónico de emisores no seguros
Seleccione esta casilla de verificación para limitar quiénes pueden enviar mensajes de correo
electrónico a destinatarios en su red. Para agregar un remitente a la lista, ingrese la dirección
de correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El
asterisco (*) puede usarse como carácter comodín para hacer coincidir más de un remitente.
Limitar destinatarios de correo electrónico
Seleccione esta casilla de verificación para permitir que sólo usuarios especificados reciban
mensajes de correo electrónico. Para agregar un destinatario a la lista, ingrese la dirección de
correo electrónico en el cuadro de texto adyacente y haga clic en el botón Agregar. El asterisco
(*) puede usarse como carácter comodín para hacer coincidir más de un destinatario.
Proxy SMTP : Contenido

Cuando se agrega una política de proxy SMTP , pueden configurarse opciones adicionales relacionadas con
el protocolo SMTP. Ciertos tipos de contenido incluidos en el mensaje de correo electrónico pueden ser
una amenaza de seguridad para la red. Otros tipos de contenido pueden disminuir la productividad de los
usuarios. El conjunto de reglas para la acción de proxy SMTP entrante se usa para configurar valores para el
filtrado de contenido SMTP entrante. El conjunto de reglas para la acción de proxy SMTP saliente se usa
para configurar valores para el filtrado de contenido SMTP saliente. El proxy SMTP admite los siguientes
tipos de contenido de manera predeterminada: texto/*, imagen/*, multiparte/*, mensaje/*, aplicación/* y
aplicación/x-watchguard-bloqueado.


Permitir sólo los tipos de contenido seguro
Para permitir sólo los tipos MIME configurados en la lista Tipos de contenido, seleccione esta
casilla de verificación.
Para agregar un tipo de contenido predefinido a la lista Tipos de contenido, seleccione la

entrada y haga clic en < para copiar la entrada.
Para agregar un nuevo tipo de contenido, ingrese el tipo MIME en la lista adyacente y haga clic
en Agregar. El asterisco (*) puede usarse como carácter comodín para hacer coincidir más de
un tipo MIME al mismo tiempo.
Para eliminar un tipo de contenido, seleccione la entrada y haga clic en Eliminar. No pueden
eliminarse tipos de contenido en la lista Tipos de contenido predefinidos.
Denegar los patrones de nombres de archivos no seguros
Seleccione esta casilla de verificación para negar mensajes de correo electrónico con adjuntos
que tienen nombres de archivo que coinciden con un patrón en la lista adyacente.
Para agregar un patrón de nombre de archivo, ingrese el patrón de nombre de archivo en el

cuadro de texto adyacente y haga clic en Agregar. El asterisco (*) puede usarse como carácter
comodín para hacer coincidir más de un nombre de archivo al mismo tiempo.
Para eliminar un patrón de nombre de archivo, selecciónelo en la lista y haga clic en Eliminar.

Proxy SMTP : Configuración

Cuando agrega una política de proxy SMTP , puede configurar opciones adicionales relacionadas con el
protocolo DNS.

Tiempo de espera
El usuario puede establecer la cantidad de tiempo que una conexión SMTP entrante puede
estar inactiva antes de que la conexión se cierre. El valor predeterminado es 10 minutos.
Para cambiar este valor, ingrese o seleccione un número en el campo adyacente.
Tamaño máximo de correo electrónico
Utilice esta opción para configurar la extensión máxima de los mensajes SMTP entrantes. El
valor predeterminado es de 10.000.000 bytes o 10 MB.
Para permitir mensajes de cualquier tamaño, configure el valor en cero (0).
La codificación puede aumentar la extensión de los archivos incluso en un tercio. Por ejemplo,
para permitir mensajes de hasta 10 KB, debe configurar este campo en un mínimo de 1.334
bytes para asegurarse de recibir los mensajes de 10 KB .
Longitud máxima de línea
Puede configurar la extensión máxima de línea para las líneas de los mensajes SMTP. Las
extensiones de línea muy largas pueden causar fallas en la memoria intermedia en algunos
sistemas de correo electrónico. La mayoría de los clientes de correo electrónico envían
extensiones de línea cortas, pero algunos sistemas de correo electrónico Web envían líneas
muy largas.
La configuración predeterminada es de 1.000 bytes o 1 KB.
Para permitir extensiones de línea de cualquier tamaño, configure el valor en cero (0).
Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud de
conexión administrada mediante el proxy SMTP. Debe activar esta opción para crear informes
precisos acerca del tráfico proxy SMTP.

Configure el proxy SMTP para colocar mensajes de correo

electrónico en cuarentena
El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidad
completa para cualquier mensaje de correo electrónico con sospecha o certeza de ser spam o de contener
virus. Este depósito recibe mensajes de correo electrónico del proxy SMTP y filtrados por spamBlocker.
Para configurar el proxy SMTP para colocar mensajes de correo electrónico en cuarentena:
1. Agregue el proxy SMTP a su configuración y active spamBlocker en la definición de proxy.

O bien, active spamBlocker y selecciónelo para activarlo para el proxy SMTP.
2. Cuando se configuran las acciones que spamBlocker aplica para diferentes categorías de mensajes
de correo electrónico (como se describe en Configurado spamBlocker en la página 583),
asegúrese de seleccionar la acción Cuarentena para al menos una de las categorías. Cuando se
selecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho.
También se puede seleccionar la acción Cuarentena para mensajes de correo electrónico identificados por
la Virus Outbreak Detection como portadores de virus. Para más informaciones, vea Configurar acciones de
Virus Outbreak Detection para una política en la página 593.
Página Acerca de Proxy de TCP-UDP

El proxy de TCP-UDP se incluye para estos protocolos en puertos no estándar: HTTP, HTTPS, SIP y FTP. En el
caso de estos protocolos, el proxy de TCP-UDP retransmite el tráfico a los servidores proxy correctos para
los protocolos o le da la posibilidad de permitir o negar el tráfico. En el caso de otros protocolos, puede
seleccionar si desea permitir o negar el tráfico. También puede utilizar esta política de proxy para permitir o
negar el tráfico de red mediante IM (mensajería instantánea) y P2P (punto a punto) . El proxy de TCP-UDP
está pensado sólo para las conexiones salientes.
Para agregar el proxy de TCP-UDP a su configuración de Firebox, consulte Agregar una política de proxy a
la configuración en la página 277.
Pestaña Política
n Las conexiones del proxy de TCP-UDP están — Especifique si las conexiones están Permitidas,
Negadas o Negadas (enviar restablecer), y defina quién aparece en la lista De y A (en la pestaña
Política de la definición de proxy). Para obtener más información, consulte Definir reglas de acceso
a una política en la página 267.
y notificación .

n Si configuró la lista desplegable Las conexiones están (en la pestaña Política) como Negadas o
Negadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. Vea
Bloquear sitios temporalmente con configuración de políticas en la página 346.
n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuard
o el servidor de autenticación, Configurar un tiempo de espera inactivo personalizado.
Pestaña Avanzada


n Proxy de TCP-UDP: Configuración

n Proxy de TCP-UDP: Contenido
Proxy de TCP-UDP: Contenido

Puede utilizar la configuración del Application Blocker en la pestaña Contenido para definir las acciones que
realiza el dispositivo Firebox o XTM cuando una política de proxy TCP-UDP detecta tráfico de red de
mensajería instantánea (IM) o punto a punto (P2P).
En la pestaña Contenido, marque la casilla de selección para los tipos de aplicación IM y P2P que desea que
el proxy TCP-UDP detecte, como también la acción asociada.
Para más información, vea Acerca de las configuraciones de Application Blocker en la página 274.
Proxy de TCP-UDP: Configuración

Cuando agrega una política de proxy de TCP-UDP, puede configurar opciones adicionales relacionadas con
los protocolos de redes múltiples.
Para especificar las políticas de proxy que filtran distintos tipos de tráfico de red:


Acciones del servidor proxy para redirigir el tráfico
El proxy de TCP-UDP puede pasar el tráfico HTTP, HTTPS, SIP y FTP a políticas de proxy que ya
haya creado cuando este tráfico se envíe por puertos no estándar. En el caso de cada uno de
estos protocolos, en las listas desplegables adyacentes, seleccione la política de proxy que
desea para administrar este tráfico.
Si no desea que su Firebox utilice una política de proxy para filtrar un protocolo, seleccione
Permitir o Negar en la lista desplegable adyacente.
Nota Para asegurarse de que su Firebox funciona correctamente, no podrá seleccionar

Permitir para el protocolo FTP.
Seleccione esta casilla de verificación para enviar un mensaje de registro por cada solicitud de
conexión administrada mediante el proxy TCP-UDP. Debe activar esta opción para crear
informes precisos acerca del tráfico proxy TCP-UDP.


14 Administración de tráfico y QoS
Acerca de las Administración de tráfico y QoS

En una red amplia con muchas computadoras, el volumen de datos que se desplaza por el firewall puede
ser muy grande. Un administrador de red puede utilizar las acciones de Administración de tráfico y Calidad
de servicio (QoS) para evitar la pérdida de datos para importantes aplicaciones comerciales y para
asegurarse de que las aplicaciones críticas de la misión tengan prioridad sobre el resto del tráfico.
La administración de tráfico y la QoS proporcionan una cantidad de beneficios. Se puede:
n Garantizar o limitar el ancho de banda

n Controlar la velocidad a la cual Firebox envía paquetes a la red
n Priorizar cuándo enviar paquetes a la red
Para aplicar la administración de tráfico a las políticas, usted define una acción de administración de tráfico,
que es una colección de configuraciones que puede aplicar a una o más definiciones de la política. De esta
manera, no necesita ajustar la configuración de la administración de tráfico de manera independiente en
cada política. Puede definir acciones de administración de tráfico adicionales si desea aplicar diferentes
configuraciones a diferentes políticas.
Activar administración de tráfico y QoS

Por motivos de rendimiento, todas las funciones de administración de tráfico y QoS están desactivadas de
manera predeterminada. Debe activar estas funciones en la Configuración global antes de poder utilizarlas.
1. Seleccione Sistema > Configuración global.

Aparece la página de Configuración global.

Administración de tráfico y QoS
2. Seleccione la casilla de verificación Activar todas las funciones de administración de tráfico y QoS.
Garantice ancho de banda

Las reservas de ancho de banda pueden evitar los tiempos de espera de conexión. Una cola de
administración de tráfico con ancho de banda reservado y una prioridad baja puede proporcionar ancho de
banda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otras
colas de administración de tráfico pueden aprovechar el ancho de banda reservado sin utilizar cuando esté
disponible.
Por ejemplo, supongamos que la compañía tiene un servidor FTP en una red externa y desea garantizar que
el FTP siempre tenga por lo menos 200 kilobytes por segundo (KBps) mediante la interfaz externa. También
puede considerar la configuración de un ancho de banda mínimo para la interfaz de confianza para
asegurarse de que la conexión tenga un ancho de banda garantizado de extremo a extremo. Para hacer
esto, debería crear una acción de administración de tráfico que defina un mínimo de 200 KBps para el
tráfico FTP en la interfaz externa. Entonces, crearía una política FTP y aplicaría la acción de administración
de tráfico. Esto permitirá ejecutar el comando ftp put a 200 KBps. Si desea permitir la ejecución del
comando ftp get a 200 KBps, debe configurar el tráfico FTP en la interfaz de confianza para que también
tenga un mínimo de 200 KBps.

Como ejemplo adicional, supongamos que su compañía utiliza materiales multimedia (streaming media)
para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene
cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas
compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de
banda suficiente, puede aplicar una acción de administración de tráfico a la interfaz externa para el puerto
de materiales multimedia.
Restrinja el ancho de banda

La configuración de ancho de banda garantizado trabaja con el ajuste del Ancho de banda de interfaz
saliente configurado para cada interfaz externa para asegurarse de que no garantice más ancho de banda
del que realmente existe. Esta configuración también ayuda a asegurar que la suma de la configuración de
ancho de banda garantizado no llene el enlace de modo que el tráfico no garantizado no pueda pasar. Por
ejemplo, supongamos que el enlace es de 1 Mbps y usted intenta utilizar una acción de administración de
tráfico que garantiza 973 Kbps (0.95 Mbps) a la política FTP en ese enlace. Con esta configuración, el tráfico
FTP podría utilizar una cantidad tal del ancho de banda disponible que otros tipos de tráfico no podrían
utilizar la interfaz.
Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de tráfico de red saliente. Cuando
marca el tráfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para
este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera
adecuada mientras viaja de un punto a otro de la red.
Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el
marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado.
Prioridad de tráfico
Puede asignar diferentes niveles de prioridad a las políticas o al tráfico de una interfaz en particular. La
priorización del tráfico en el firewall le permite administrar cosas de clase de servicio (CoS) múltiples y
reservar la prioridad más alta para los datos en tiempo real o la transmisión de datos. Una política con alta
prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace
está congestionado; entonces, el tráfico debe competir por el ancho de banda.
Configurar el ancho de banda de interfaz saliente

Algunas funciones de administración de tráfico exigen que establezca un límite de ancho de banda para
cada interfaz de red. Por ejemplo, debe establecer la configuración de Ancho de banda de interfaz saliente
para utilizar el marcado QoS y la priorización.
Después de configurar este límite, Firebox completa las tareas de priorización básica sobre el tráfico de red
para evitar problemas de tráfico excesivo en la interfaz especificada. Además, aparece una advertencia en
Fireware XTM Web UI si asigna demasiado ancho de banda al crear o ajustar las acciones de administración
de tráfico.

Si no cambia la configuración de Ancho de banda de interfaz saliente en ninguna interfaz del valor
predeterminado en 0, está configurada para autonegociar la velocidad de enlace para esa interfaz.
1. Seleccione Administración de tráfico > por firewall.

Aparece la página de administración de tráfico.
2. Haga clic en la pestaña Interfaces.
3. En la columna Ancho de banda adyacente al nombre de la interfaz, ingrese la cantidad de ancho de

banda proporcionada por la red.
Utilice la velocidad de carga de su conexión a Internet en kilobits o megabits por segundo (Kbps o
Mbps).
Configure el ancho de banda de su interfaz LAN sobre la base de la velocidad de enlace mínima
admitida por su infraestructura LAN.
4. Para cambiar la unidad de la velocidad, seleccione una interfaz de la lista, luego haga clic en la
unidad de velocidad adyacente y seleccione una opción diferente en la lista desplegable.
Configure los límites de la tasa de conexión

Para mejorar la seguridad de red, puede crear un límite en una política de modo que sólo filtre una
cantidad específica de conexiones por segundo. Si se intentan realizar conexiones adicionales, el tráfico se
niega y se crea un mensaje de registro.
1. Seleccione Firewall > Políticas de firewall o Políticas > de Mobile VPN para firewall.

Aparecerá la página de Políticas.
2. Haga doble clic en una política o seleccione la política que desea configurar y haga clic en Editar.
4. Seleccione la casilla de verificación Tasa de conexión.
5. En el cuadro de texto adyacente, ingrese o seleccione el número de conexiones que puede
procesar esta política en un segundo.

Acerca de las Marcado QoS

Las redes actuales suelen constar de varios tipos de tráfico de red que compiten por el ancho de banda.
Todo el tráfico, ya sea de primordial importancia o carente de importancia, tiene la misma posibilidad de
llegar a destino de manera oportuna. El marcado de calidad del servicio (QoS) le brinda un tratamiento
preferencial al tráfico crítico, para asegurarse de que sea entregado de manera rápida y confiable.
La función de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.
Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio
para distintos tipos de tráfico de red. Cuando marca el tráfico, puede cambiar hasta seis bits en los campos
del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden
utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro
de la red.
Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase de
servicio) y marca de Differentiated Service Code Point (DSCP). Para obtener más información acerca de estos
tipos de marcado y los valores que puede configurar, consulte Marcado: tipos y valores en la página 328.
Antes de empezar
n Asegúrese de que su equipo de LAN soporte el marcado y la administración QoS. Es posible que
también deba asegurarse de que su ISP soporte el marcado QoS.
n El uso de procedimientos de QoS en una red requiere una planificación exhaustiva. Primero puede
identificar el ancho de banda teórico disponible y luego determinar qué aplicaciones de red son de
alta prioridad, especialmente sensibles a la latencia y la oscilación o ambas opciones.
Marcado QoS para interfaces y políticas

Puede activar el marcado QoS para una interfaz individual o una política individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz está marcado. Cuando define el
marcado QoS para una política, todo el tráfico que utiliza esa política también está marcado. El marcado QoS
para una política anula cualquier configuración de marcado QoS en una interfaz.
Por ejemplo, supongamos que su Firebox recibe tráfico con marcado QoS de una red de confianza y lo
envía a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el
tráfico a su equipo ejecutivo obtenga una prioridad más alta que el resto del tráfico de red de la interfaz de
confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,
agregue una política con configuración de marcado QoS para el tráfico a su equipo ejecutivo con un valor
más alto.
Marcado QoS y tráfico IPSec

Si desea aplicar el marcado QoS al tráfico IPsec, debe crear una política de firewall específica para la política
IPsec correspondiente y aplicarle el marcado QoS a esa política.
También puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado
en un encabezado IPSec.

Para preservar el marcado:
1. Seleccione VPN > Configuraciones Globales.

Aparece la página de configuración de VPN global.
2. Seleccione la casilla de verificación Activar TOS para IPSec.
Se preservan todas las marcas existentes cuando el paquete es encapsulado en un encabezado IPSec.
Para eliminar el marcado:

Aparece la página de configuración de VPN global.
2. Limpie la casilla de verificación Activar TOS para IPSec.
Se restablecen los bits de TOS y no se preserva el marcado.
Marcado: tipos y valores

Fireware XTM soporta dos tipos de marcado QoS: Marca de precedencia IP (también conocida como Clase
de servicio) y marca de Differentiated Service Code Point (DSCP). La marca de precedencia IP sólo afecta a
los tres primeros bits del octeto de tipo de servicio IP (TOS). La marca DSCP amplía el marcado a los seis
primeros bits del octeto de TOS IP. Ambos métodos le permiten preservar los bits en el encabezado, que
pueden haber sido marcados previamente por un dispositivo externo, o cambiarlos a un nuevo valor.
Los valores de DSCP se pueden expresar de forma numérica o mediante nombres de palabras clave
especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la
prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de
Fireware soporta tres tipos de comportamiento por salto:
Mejor esfuerzo
Mejor esfuerzo es el tipo de servicio predeterminado y se recomienda para el tráfico no crítico o no

realizado en tiempo real. Si no utiliza el marcado QoS, todo el tráfico recaerá dentro de esta clase.
Assured Forwarding (AF)
El Assured Forwarding se recomienda para el tráfico que requiere mejor confiabilidad que el
servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured
Forwarding (AF), el tráfico puede asignarse a tres clases: baja, media y alta.
Desvío urgente (EF)
Este tipo tiene la prioridad más alta. Generalmente se reserva para el tráfico crítico de la misión y en
tiempo real.
Los puntos de código del selector de clase (CSx) se definen como compatibles con las versiones anteriores
de los valores de precedencia IP. CS1 a CS7 son idénticos a los valores de precedencia IP 1 a 7.
La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP
correspondiente (que es igual al valor CS) y la descripción en palabras clave de PHB.

Valor de precedencia IP Descripción: Palabra clave del

Valor de DSCP
equivalente (valores CS) comportamiento por salto
0 Mejor esfuerzo (igual a la carencia de marcado)
8 1 Scavenger*
10 AF Clase 1 - Baja
12 AF Clase 1 - Media
14 AF Clase 1 - Alta
16 2
24 3
32 4
40 5
46 EF
48 6 Control de Internet
56 7 Control de red
* La clase Scavenger se utiliza para el tráfico de prioridad más baja (por ejemplo, para compartir medios o
utilizar aplicaciones de juegos). Este tráfico tiene una prioridad más baja que Mejor esfuerzo.
Para obtener más información acerca de los valores de DSCP consulte esta referencia: http://www.rfc-
editor.org/rfc/rfc2474.txt
Activar marcado QoS para una interfaz

Puede establecer el comportamiento de marcado predeterminado a medida que el tráfico sale de una
interfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una política.


2. Limpie la casilla de verificación Desactivar toda administración de tráfico. Haga clic en Guardar.
Es posible que desee desactivar estas funciones más tarde si realiza pruebas de rendimiento o depuración de red.
4. Seleccione la interfaz para la cual desea activar el marcado QoS. Haga clic en Configurar.
5. Haga clic en Avanzado.
6. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.

7. En la lista desplegable Método de marcado, seleccione el método de marcado:
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
8. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad más alta).
Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.
Para obtener más información acerca de estos valores, consulte Marcado: tipos y valores en la
página 328.
9. Seleccione la casilla de verificación Priorizar tráfico basado en el marcado QoS.
Activar el marcado QoS o configuraciones de priorización para

una política
Además de marcar el tráfico que abandona una interfaz de Firebox, también puede marcar el tráfico por
política. La acción de marcado que selecciona es aplicada a todo el tráfico que usa la política. Las políticas
múltiples que utilizan las mismas acciones de marcado no tienen efecto una sobre otra. Las interfaces de
Firebox también pueden tener su propia configuración de marcado QoS. Para utilizar el marcado QoS o la
configuración de priorización para una política, debe cancelar cualquier configuración de marcado QoS por
interfaz.
1. Seleccione Firewall > Políticas de firewall o Políticas> de Mobile VPN para firewall.

Aparecerá la página de Políticas.
2. Seleccione la política que desea cambiar. Haga clic en Editar.

4. Seleccione la casilla de verificación Cancelar configuraciones por interfaz para activar otros campos
de marcado QoS y priorización.
5. Complete la configuración como se describe en las secciones subsiguientes.
Configuración de marcado QoS

Para obtener más información acerca de los valores de marcado QoS, consulte Marcado: tipos y valores en
la página 328.
1. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.

2. En la lista desplegable Método de marcado, seleccione el método de marcado:
n Preservar: no cambiar el valor actual del bit. Firebox prioriza el tráfico sobre la base de este valor.
n Asignar: asignarle al bit un nuevo valor.
3. Si seleccionó Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccionó el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad más alta).
Si seleccionó el tipo de marcado DSCP, los valores son de 0 a 56.
4. En la lista desplegable Priorizar tráfico basado en, seleccione Marcado QoS.
Configuración de priorización
Se pueden utilizar muchos algoritmos para priorizar el tráfico de red. Fireware XTM utiliza un método de
cola de alto rendimiento según la clase basado en el algoritmo de marcado jerárquico de paquetes
(Hierarchical Token Bucket, HTB). La priorización en el Fireware XTM se aplica por política y es equivalente a
los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la
prioridad más alta. El nivel 5 comúnmente se utiliza para transmitir datos como VoIP o videoconferencias.
Reserve los niveles 6 y 7 para las políticas que permiten las conexiones de administración del sistema, para
asegurarse de que estén siempre disponibles y evitar la interferencia de otro tráfico de red de alta
prioridad. Utilice la tabla de niveles de prioridad como guía cuando asigne las prioridades.
1. En la lista desplegable Priorizar tráfico basado en, seleccione Valor personalizado.

2. En la lista desplegable Valor, seleccione un nivel de prioridad.

Niveles de prioridad
Le recomendamos asignar una prioridad superior a 5 sólo a las políticas administrativas de WatchGuard,
como la política WatchGuard, la política WG-Logging o la política WG-Mgmt-Server. El tráfico comercial de
alta prioridad deberá obtener una prioridad de 5 o menor.
Prioridad Descripción
0 Rutinaria (HTTP, FTP)
1 Prioridad
2 Inmediata (DNS)
3 Flash (Telnet, SSH, RDP)
4 Cancelar Flash
5 Crítica (VoIP)
6 Control de interconexión de redes (Configuración del enrutador remoto)
7 Control de red (Administración de firewall, enrutador e interruptor)
Control de tráfico y definiciones de políticas

Definir un Acción de administración de tráfico
Las acciones de administración de tráfico pueden imponer restricciones de ancho de banda y garantizar una
cantidad mínima de ancho de banda para una o más políticas. Cada acción de administración de tráfico
puede incluir configuraciones para interfaces múltiples. Por ejemplo, en una acción de administración de
tráfico utilizada con una política HTTP para una organización pequeña, puede configurar el ancho de banda
mínimo garantizado de una interfaz de confianza en 250 Kbps y el ancho de banda máximo en 1000 Kbps.
Esto limita las velocidades a las cuales los usuarios pueden descargar archivos, pero garantiza que una
pequeña cantidad del ancho de banda siempre esté disponible para el tráfico HTTP. Luego podrá configurar
el ancho de banda mínimo garantizado de una interfaz externa en 150 Kbps y el ancho de banda máximo en
300 Kbps para administrar las velocidades de carga al mismo tiempo.
Determine el ancho de banda disponible

Antes de comenzar, debe determinar el ancho de banda disponible de la interfaz utilizada para las políticas
que desea que tengan un ancho de banda garantizado. En el caso de las interfaces externas, puede
comunicarse con su ISP (Proveedor de servicios de Internet) para verificar el acuerdo de nivel de servicio
para el ancho de banda. A continuación puede utilizar una prueba de velocidad con herramientas en línea
para verificar este valor. Estas herramientas pueden producir valores diferentes según una cantidad de
variables. En el caso de otras interfaces, puede suponer que la velocidad de enlace en la interfaz Firebox es

el ancho de banda máximo teórico para esa red. También debe considerar tanto las necesidades de envío
como de recepción de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su
conexión a Internet es asimétrica, utilice el ancho de banda del enlace ascendente establecido por su ISP
como el valor de umbral.
Determine la suma de su ancho de banda

También debe determinar la suma del ancho de banda que desea garantizar para todas las políticas en una
interfaz determinada. Por ejemplo, en una interfaz externa de 1500 Kbps, es posible que desee reservar
600 Kbps para todo el ancho de banda garantizado y utilizar los 900 Kbps restantes para todo el otro tráfico.
Todas las políticas que utilizan una acción de administración de tráfico comparten su tasa de conexión y sus
configuraciones de ancho de banda. Cuando son creadas, las políticas pertenecen automáticamente a la
acción de administración de tráfico predeterminada, que no impone restricciones ni reservas. Si crea una
acción de administración de tráfico para configurar un ancho de banda máximo de 10 Mbps y se la aplica a
una política FTP y a una política HTTP, todas las conexiones manejadas por esas políticas deben compartir 10
Mbps. Si más tarde aplica la misma acción de administración de tráfico a una política SMTP, las tres políticas
deberán compartir 10 Mbps. Esto también se aplica a los límites de la tasa de conexión y al ancho de banda
mínimo garantizado. El ancho de banda garantizado sin utilizar reservado por una acción de administración
de tráfico puede ser utilizado por otras acciones.
Crear o modificar una acción de administración de tráfico

2. Haga clic en Agregar para crear una nueva acción de administración de tráfico.
O bien, seleccione una acción y haga clic en Configurar.
3. Ingrese un Nombre y una Descripción (opcional) para la acción. Utilizará el nombre de la acción para
hacer referencia a ésta cuando la asigne a una política.
4. En la lista desplegable, seleccione una interfaz. Ingrese el ancho de banda mínimo y máximo para
esa interfaz en los cuadros de texto adyacentes.

6. Repita los pasos 4 y 5 para agregar límites de tráfico a interfaces adicionales.

7. Para eliminar una interfaz de la acción de administración de tráfico, selecciónela y haga clic en
Eliminar.
Ahora puede aplicar esta acción de administración de tráfico a una o más políticas.
Agregar una Acción de administración de tráfico a una política

Después de Definir un Acción de administración de tráfico, puede agregarla a las definiciones de las
políticas. También puede agregar cualquier acción de administración de tráfico existente a las definiciones
de la política.

2. En la lista Políticas de administración de tráfico, seleccione una política.
3. En la columna adyacente, haga clic en la lista desplegable y seleccione una acción de administración
de tráfico.
4. Para configurar una acción para otras políticas, repita los pasos 2 al 3.
Nota Si tiene una configuración multi-WAN, los límites de ancho de banda se aplican de
manera independiente a cada interfaz.
Agregue una acción de administración de tráfico a las políticas múltiples

Cuando se agrega la misma acción de administración de tráfico a políticas múltiples, el ancho de banda
máximo y mínimo se aplican a cada interfaz de su configuración. Si dos políticas comparten una acción que
tiene un ancho de banda máximo de 100 kbps en una sola interfaz, entonces todo el tráfico de esa interfaz
que coincida con esas políticas estará limitado a 100 kbps en total.
Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos únicos,
es posible que necesite que todas las conexiones de alta prioridad compartan una acción de administración
de tráfico. Si tiene mucho ancho de banda libre, podría crear acciones de administración de tráfico
independientes para cada aplicación.

15 Default Threat Protection
Acerca de la Default Threat Protection

El OS del Fireware XTM de WatchGuard y las políticas creadas le dan el control rígido sobre el acceso a su
red. Un acceso rígido a políticas ayuda a mantener los hackers fuera de su red. Pero hay otros tipos de
ataques que una política rígida no puede derrotar. La configuración cuidadosa de las opciones de Default
Threat Protection para el dispositivo WatchGuard puede detener amenazas como los ataques de congestión
de SYN, ataques de suplantación de paquetes y sondeos de espacio de dirección y puerto.
Con la protección contra amenazas predeterminada, el firewall examina el origen y el destino de cada
paquete que recibe. Mira la dirección IP y el número de puerto y monitorea los paquetes en busca de
patrones que muestran si su red está en riesgo. Si existe algún riesgo, puede configurar el dispositivo
WatchGuard para bloquear automáticamente un posible ataque. Ese método proactivo de detección de
intrusión y prevención mantiene a los atacantes fuera de su red.
Para configurar la protección contra amenazas predeterminada, vea:
n Acerca de las opciones de administración predeterminada de paquetes

n Acerca de los sitios bloqueados
n Acerca de los puertos bloqueados
También puede adquirir una actualización para su dispositivo WatchGuard para usar Intrusion Prevention
basada en firmas. Para más informaciones, vea Acerca de las Gateway AntiVirus y prevención de intrusiones
en la página 613.
Acerca de las opciones de administración

predeterminada de paquetes
Cuando su dispositivo WatchGuard recibe un paquete, examina la fuente y el destino para éste. Busca la
dirección IP y el número del puerto. El dispositivo también monitorea paquetes en busca de patrones que
pueden mostrar si su red está en riesgo. Ese proceso se denomina administración predeterminada de
paquetes.

Default Threat Protection
La administración predeterminada de paquetes puede:
n Rechazar un paquete que podría ser un riesgo de seguridad, incluyendo paquetes que podrían ser
parte de un ataque de suplantación de paquetes o ataque de congestión del servidor SYN.
n Bloquear automáticamente todo el tráfico hacia y desde una dirección IP
n Agregar un evento al archivo de registro
n Enviar una captura SNMP al Management Server de SNMP
n Enviar una notificación de posibles riesgos de seguridad
La mayoría de las opciones de administración predeterminada de paquetes están activadas en la

configuración del dispositivo WatchGuard. Puede cambiar los umbrales en los cuales el dispositivo
WatchGuard toma medidas. También puede cambiar las opciones seleccionadas para la administración
predeterminada de paquetes.
1. En el Fireware XTM Web UI, seleccione Firewall > Administración predeterminada de paquetes.

Aparece la página "Administración predeterminada de paquetes".
2. Seleccione las casillas para los patrones de tráfico contra los cuales desea tomar medidas, tal como
se explicó en esos tópicos:
n Acerca de los ataques de suplantación de paquetes en la página 337

n Acerca de los Ataques de ruta de origen de IP IP en la página 337
n Acerca de las pruebas de espacio de dirección y espacio del puerto en la página 338
n Acerca de los ataques de congestión del servidor en la página 340
n Acerca de los paquetes no controlados en la página 342
n Acerca de ataques de negación de servicio distribuidos en la página 343

Acerca de los ataques de suplantación de paquetes

Un método que los atacantes usan para entrar en su red es crear una identidad electrónica falsa. Ese es un
método de suplantación de IP (spoofing) que los atacantes usan para enviar un paquete de TCP/IP con una
dirección IP diferente de la del equipo que la envió primero.
Cuando se activa un anti-suplantación (anti-spoofing), el dispositivo WatchGuard verifica si la dirección IP de

origen de un paquete es de una red en una interfaz determinada.
La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantación
de paquetes. Para alterar la configuración de esa función:
1. En el Fireware XTM Web UI, seleccione Firewall >Administración de paquetes predeterminada.

Aparece la página "Administración de paquetes predeterminada".
2. Seleccione o limpie la casilla de verificación Abandonar ataques de suplantación de paquetes.

Acerca de los Ataques de ruta de origen de IP IP

Para encontrar la ruta que los paquetes toman en su red, los atacantes usan ataques de ruta de origen de IP.
El atacante envía un paquete de IP y usa la respuesta de su red para obtener información acerca del sistema
operativo del equipo objetivo o del dispositivo de red.

La configuración predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta de
origen de IP. Para alterar la configuración de esa función:
1. En el Fireware XTM Web UI, seleccione Firewall>Administración de paquetes predeterminada.

2. Seleccione o limpie la casilla de verificación Abandonar ruta de origen de IP.

Acercadelaspruebasdeespaciodedirección yespaciodel puerto

Los atacantes suelen buscar puertos abiertos como puntos de partida para iniciar ataques de red. Un
sondeo de espacio entre puertos es un tráfico de TCP o UDP enviado a un rango de puertos. Esos puertos
pueden estar en secuencia o ser aleatorios, de 0 a 65535. Un sondeode espacio de dirección es un tráfico
de TCP o UDP enviado a un rango de direcciones de red. Los sondeos de espacio entre puertos examinan
un equipo para encontrar los servicios que usa. Los sondeos de espacio de dirección examinan una red para
ver cuáles dispositivos de red están en aquella red.
Para más información acerca de puertos, vea Acerca de puertos en la página 8.
Nota El dispositivo WatchGuard detecta sondeos de espacio de dirección y puerto sólo

en interfaces configuradas como tipo Externo.

Cómo el dispositivo WatchGuard identifica sondeos de red

Un sondeo de espacios de direcciones es identificado cuando un equipo en una red externa envía un
número especificado de paquetes a direcciones IP diferentes asignadas a interfaces externas del dispositivo
WatchGuard. Para identificar un sondeo de espacio entre puertos, su dispositivo WatchGuard cuenta el
número de paquetes enviados desde una dirección IP hacia las direcciones IP de interfaz externa. Las
direcciones pueden incluir la dirección IP de interfaz externa y cualquier dirección IP secundaria
configurada en la interfaz externa. Si el número de paquetes enviados a las direcciones IP diferentes o
destination ports en un segundo es superior al número seleccionado, la dirección IP de origen es agregada a
la lista de Sitios Bloqueados.
Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de dirección
están seleccionadas, todo el tráfico entrante en cualquier interfaz externa es examinado por el dispositivo
WatchGuard. No se puede desactivar esas funciones para direcciones IP específicas o por diferentes
períodos de tiempo.
Para proteger contra sondeos de espacio de dirección y de espacio entre

puertos
La configuración predeterminada del dispositivo WatchGuard bloquea sondeos de red. Puede alterar las
configuraciones de esa función y alterar el número máximo permitido de sondeos de dirección o puertos
por segundo para cada dirección IP de origen (el valor predeterminado es 50).


2. Seleccione o limpie las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de
espacios de dirección.
3. Para cada dirección IP de origen, haga clic en las flechas para seleccionar el número máximo de
sondeos de dirección o puerto permitidos por segundo. El valor predeterminado para cada uno es
de 10 por segundo. Eso significa que el origen es bloqueado si establece conexiones a 10 puertos o
hosts diferentes en un segundo.
Para bloquear atacantes más rápidamente, se puede definir en un valor mínimo el umbral de número
máximo permitido de sondeos de dirección o puerto por segundo. Si el número está definido en
demasiado bajo, el dispositivo WatchGuard también podrían negar tráfico legítimo de red. Es menos
probable que bloquee tráfico legítimo de red si usa un número más alto, pero el dispositivo WatchGuard
debe enviar paquetes de restablecer TCP para cada conexión que abandona. Eso consume ancho de banda
y recursos en el dispositivo WatchGuard y provee información al atacante acerca de su firewall.
Acerca de los ataques de congestión del servidor

En un ataque de congestión del servidor, los atacantes envían un volumen muy alto de tráfico a un sistema
para que no pueda examinar y termine permitiendo el tráfico de red. Por ejemplo, un ataque de
congestión del servidor ICMP ocurre cuando un sistema recibe muchos comandos ping de ICMP y debe
usar todos sus recursos para enviar comandos de respuestas. En dispositivo WatchGuard puede proteger
contra esos tipos de ataques de congestión:
n IPSec
n IKE
n Protocolo de control de mensajes en Internet (ICMP)
n SYN
n Protocolo de datagrama de usuario (UDP)
Los ataques de congestión también son conocidos como ataques de negación de servicio (DoS). La
configuración predeterminada del dispositivo WatchGuard busca bloquear ataques de congestión.
Para cambiar las configuraciones para esa función, o para cambiar el número máximo de conexiones
permitidas por segundo:
1. En el Fireware XTM Web UI, seleccione Firewall > Administración de paquetes predeterminada.


2. Seleccione o limpie las casillas de verificación Ataque de congestión del servidor.

3. Haga clic en las flechas para seleccionar el número máximo de paquetes permitidos por segundo
para cada dirección IP de origen.
Por ejemplo, si se define en 1000, el Firebox bloquea una fuente que reciba más de 1000 paquetes
por segundo desde aquella origen.
Acerca de la configuración del ataque de congestión del servidor de SYN

Para ataques de congestión de SYN, puede definir el umbral a partir del cual el dispositivo WatchGuard
informa un posible ataque de congestión del servidor de SYN, pero ningún paquete es abandonado si sólo se
recibe el número de paquetes seleccionado. Cuando se duplica el umbral seleccionado, todos los paquetes
de SYN son abandonados. En cualquier nivel entre el umbral seleccionado y el doble de ese nivel, si los
valores src_IP, dst_IP y total_extensión de un paquete son los mismos en el paquete anterior recibido,
entonces siempre es abandonado. De lo contrario, 25% de los nuevos paquetes recibidos son abandonados.
Por ejemplo, se define el umbral del ataque de congestión del servidor de SYN en 18 paquetes/seg. Cuando
el dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestión del servidor
de SYN, pero no abandona ningún paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el
25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o más, los últimos 18 o más
son abandonados.

Acerca de los paquetes no controlados

Un paquete no controlado es un paquete que no coincide con ninguna regla de política. El dispositivo
WatchGuard siempre niega los paquetes no controlados, pero puede cambiar la configuración del
dispositivo para proteger aún más su red.

2. Seleccione o limpie las casillas de verificación para estas opciones:
Bloquear automáticamente origen de paquetes no controlados
Seleccione para bloquear automáticamente el origen de los paquetes no controlados. El

dispositivo WatchGuard añade la dirección IP que envía el paquete a la lista de sitios
temporalmente bloqueados.
Enviar mensaje de error a los clientes cuyas conexiones estén desactivadas
Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando el
dispositivo WatchGuard recibe un paquete no controlado.

Acerca de ataques de negación de servicio distribuidos

Ataques de negación de servicio distribuidos (DDoS) son muy similares a ataques de congestión del
servidor. En un ataque DDoS, muchos clientes y servidores diferentes envían conexiones a un sólo sistema
informático para intentar congestionar el sistema. Cuando ocurre un ataque de DDoS, usuarios legítimos no
pueden usar el sistema objetivo.
La configuración predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiar
configuraciones para esa función y también el número máximo de conexiones permitidas por segundo.

2. Seleccione o limpie las casillas de verificación Cuota por cliente o Cuota por servidor.
3. Haga clic en las flechas para definir el número máximo de conexiones permitidas por segundo
desde una dirección IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o una
dirección IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Las
conexiones que exceden esa cuota son desechadas.
Acerca de los sitios bloqueados

Un sitio bloqueado es una dirección IP que no puede establecer una conexión a través del dispositivo
WatchGuard. Se solicita al dispositivo WatchGuard que bloquee sitios específicos que sabe o supone que

representan un riesgo de seguridad. Después de encontrar la fuente del tráfico sospechoso, puede
bloquear todas las conexiones desde esa dirección IP. También puede configurar el dispositivo WatchGuard
para enviar un mensaje de registro cada vez que la fuente intenta establecer conexión con su red. A partir
del archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques.
El Firebox niega todo el tráfico a partir de una dirección IP bloqueada. Puede definir dos tipos diferentes de
direcciones IP bloqueadas: permanente y bloqueo automático.
Sitios permanentemente bloqueados

El tráfico de red desde sitios permanentemente bloqueados siempre es negado. Esas direcciones IP son
almacenadas en la lista de Sitios Bloqueados y deben ser añadidas manualmente. Por ejemplo, puede añadir
una dirección IP que constantemente intenta explorar su red según la lista de Sitios Bloqueados para evitar
exploraciones de puertos desde aquel sitio.
Para bloquear un sitio, vea Bloquear un sitio permanentemente en la página 344.
Lista de Sitios de bloqueo automático/Sitios temporalmente

bloqueados
Los paquetes desde los sitios de bloqueo automático son negados por el período de tiempo especificado. El
Firebox usa las reglas de manejo de paquetes especificadas para cada política para determinar si bloquear o
no un sitio. Por ejemplo, si crea una política que niega todo el tráfico en un puerto 23 (Telnet), cualquier
dirección IP que intente enviar tráfico Telnet a través de ese puerto es automáticamente bloqueada por el
período de tiempo especificado.
Para bloquear automáticamente los sitios que envían tráfico negado, vea Bloquear sitios temporalmente con
configuración de políticas en la página 346.
También puede bloquear automáticamente sitios que sean fuente de paquetes que no coincidan con ninguna
regla de política. Para más informaciones, vea Acerca de los paquetes no controlados en la página 342.
Ver y editar los sitios en la lista de Sitios Bloqueados

Para ver una lista de todos los sitios actualmente en la lista de sitios bloqueados, seleccione Estado del
sistema > Sitios bloqueados.
Para más informaciones, vea Estado de sitios bloqueados en la página 370.
Bloquear un sitio permanentemente

1. En el Fireware XTM Web UI, seleccione Firewall >Sitios bloqueados.

2. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, una
dirección de red o rango de direcciones IP.
3. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar. Si debe bloquear un rango
de direcciones que incluya una o más direcciones IP asignadas al dispositivo WatchGuard, primero
debe añadir esas direcciones IP a la lista de excepciones de sitios bloqueados.
Para añadir excepciones, vea Crear Excepciones sitios bloqueados en la página 345.
Crear Excepciones sitios bloqueados

Cuando añade un sitio a la lista de Excepciones sitios bloqueados, el tráfico hacia ese sitio no es bloqueado
por la función de bloqueo automático.

2. Haga clic en la pestaña Excepciones sitios bloqueados.

3. En la lista desplegable Elegir tipo, seleccione si desea insertar una dirección IP de host, una
dirección de red o rango de direcciones IP.
4. Ingrese un valor en el cuadro de texto siguiente y haga clic en Agregar.
Bloquear sitios temporalmente con configuración de políticas

Puede usar la configuración de políticas para bloquear temporalmente sitios que intenten usar un servicio
negado. Las direcciones IP de los paquetes negados son agregadas a la lista de sitios bloqueados
temporalmente por 20 minutos (por defecto).
1. En el Fireware XTM Web UI, seleccione Firewall > Políticas de Firewall. Haga doble clic en una
política para editarla.
Aparece el cuadro de diálogo "Configuración de políticas".
2. En la pestaña Política, asegúrese de definir la lista desplegable Conexiones están en Negadas o

Negadas (enviar restablecer).
3. En la pestaña Propiedades, seleccione la casilla Automáticamente bloquear sitios que intenten
conectarse. Por defecto, las direcciones IP de los paquetes negados son agregadas a la lista de sitios
bloqueados temporalmente por 20 minutos.

Cambiar la duración de los sitios que son bloqueados

automáticamente
Nota Para ver una lista de direcciones IP que son bloqueadas automáticamente por el
dispositivo WatchGuard, seleccione Estado del sistema >Sitios bloqueados. Puede
usar la lista "Sitios temporalmente bloqueados" y sus mensajes de registro para
ayudarlo a decidir cuáles direcciones IP bloquear permanentemente.
Para activar la función de bloqueo automático:
En el Fireware XTM Web UI, seleccione Firewall > Administración de paquetes predeterminada.

Para más informaciones, vea Acerca de los paquetes no controlados en la página 342.
También puede usar la configuración de políticas para bloquear automáticamente sitios que intenten usar
un servicio negado. Para más informaciones, vea Bloquear sitios temporalmente con configuración de
políticas en la página 346.
Para definir el período de tiempo que los sitios son automáticamente bloqueados:
2. Seleccione la pestaña Bloqueoautomático.
3. Para alterar el período de tiempo que un sitio es bloqueado automáticamente, en el cuadro de texto
Duración para sitios de bloqueo automático, ingrese o seleccione el número de minutos para
bloquear un sitio. El tiempo predeterminado es de 20 minutos.
Acerca de los puertos bloqueados

Es posible bloquear los puertos que se sabe que pueden ser usados para atacar su red. Eso detiene
servicios de red externa específicos. Bloquear los puertos puede proteger sus servicios más sensibles.
Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de políticas. Para bloquear un
puerto, vea Bloquear un puerto en la página 349.

Puertos bloqueados predeterminados

En la configuración predeterminada, el dispositivo WatchGuard bloquea algunos destination ports. En
general no es necesario cambiar esa configuración predeterminada. Los paquetes TCP y UDP son
bloqueados para estos puertos:
X Window System (puertos 6000-6005)
La conexión cliente del X Window System (o X-Windows) no es cifrada y es peligroso usarla en

Internet.
X Font Server (puerto 7100)
Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes X
funcionan como un superusuario en algunos hosts.
NFS (puerto 2049)
El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan los
mismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad y
autenticación. Proveer NFS por Internet puede ser muy peligroso.
Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegúrese de el
NFS usa el puerto 2049 en todos sus sistemas.
rlogin, rsh, rcp (puertos 513, 514)
Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad y
muchos atacantes sondean esos servicios.
Servicio portmap RPC (puerto 111)
Los servicios RPC usan el puerto 111 para encontrar qué puertos un servidor RPC determinado
utiliza. Los servicios RPC son fáciles de atacar a través de Internet.
puerto 8000
Muchos proveedores usan ese puerto y muchos problemas de seguridad están relacionados a él.
puerto 1
El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar el
análisis de los puertos por esas herramientas.
puerto 0
Ese puerto siempre está bloqueado por el dispositivo WatchGuard. No se puede permitir el tráfico
en el puerto 0 a través del dispositivo.
Nota Si debe autorizar el tráfico a través de cualquiera de los puertos bloqueados

predeterminados para usar aplicaciones de software asociadas, recomendamos
que permita el tráfico sólo a través de un túnel VPN o use SSH (Secure Shell) en esos
puertos.

Bloquear un puerto
Nota Tenga mucho cuidado se bloquea números de puerto superiores a 1023. Los
clientes suelen usar esos números de puerto de origen.
1. En el Fireware XTM Web UI, seleccione Firewall > Puertos bloqueados.

2. Haga clic en las flechas del campo Puerto o ingrese el número de puerto para bloquear.
El nuevo número de puerto aparece en la lista de "Puertos bloqueados".
Bloquear direcciones IP que intenten usar puertos bloqueados

Puede configurar el dispositivo WatchGuard para bloquear automáticamente un equipo externo que
intente usar un puerto bloqueado. En el cuadro de diálogo Puertos bloqueados páginaseleccione la casilla
Bloquear automáticamente los sitios que intenten utilizar puertos bloqueados.


16 Registro y Notificación
Acerca de la generación de registros y archivos de

registro
Una función importante de la seguridad de red es recoger mensajes de sus sistemas de seguridad,
examinar esos registros con frecuencia y mantenerlos en un archivo para futuras consultas. El sistema de
mensaje de registro de WatchGuard crea archivos de registro con información acerca de seguridad
referente a eventos que se puede revisar para monitorear la actividad y seguridad de su red, identificar
riesgos de seguridad y solucionarlos.
Un archivo de registro es una lista de eventos, junto con la información acerca de esos eventos. Un evento
es una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando el
dispositivo niega un paquete. Su dispositivo Firebox o XTM también puede capturar información acerca de
eventos permitidos para darle una imagen más completa de la actividad en su red.
El sistema de mensaje de registro tiene varios complementos, que están descritos abajo.
Log Servers
Hay dos métodos para salvar los archivos de registro con el Fireware XTM Web UI:
WatchGuard Log Server
Ese es un componente del WatchGuard System Manager (WSM). Si tiene un Firebox III, Firebox X
Core o Firebox X Peak, Firebox X Edge con Fireware XTM o WatchGuard XTM 2 Series, 5 Series, 8
Series o 1050, puede configurar un Log Server principal para recoger mensajes de registro.
Syslog
Ésta es una interfaz de registro desarrollada para UNIX pero que también es utilizada en muchos
otros sistemas computarizados. Si utiliza un host de syslog, puede configurar su dispositivo Firebox o
XTM para que envíe mensajes de registro a su servidor de syslog. Para encontrar un servidor de
syslog compatible con su sistema operativo, ingrese una búsqueda en Internet para "syslog

Registro y Notificación
daemon".
Si su dispositivo Firebox o XTM está configurado para enviar archivos de registro a un WatchGuard Log
Server y la conexión falla, los archivos de registro no son recogidos. Es posible configurar su dispositivo para
también enviar mensajes de registro a un host de syslog que esté en la red de confianza local para prevenir
la pérdida de archivos de registro.
Para más información acerca del envío de mensajes de registro a un WatchGuard Log Server, vea Enviar
mensajes de registro al WatchGuard Log Server en la página 353.
Para más información acerca del envío de mensajes de registro a un host de syslog, vea Enviar información
de registro a un host de Syslog en la página 355.
Syslog de estado del sistema

La página Syslog de la Fireware XTM Web UI exhibe información de mensaje de registro en tiempo real que
incluye datos acerca de la mayoría de las actividades recientes en el dispositivo Firebox o XTM.
Para más informaciones, vea Use el Syslog para ver los datos de mensaje de registro en la página 361.
Generación de registros y notificación en aplicaciones y

servidores
El Log Server puede recibir mensajes de registro de su dispositivo Firebox o XTM o de un servidor
WatchGuard. Después de configurar su dispositivo Firebox o XTM y el Log Server, el dispositivo envía
mensajes de registro al Log Server. Puede activar la generación de registros en diversas aplicaciones y
políticas de WSM que haya definido para que su dispositivo Firebox o XTM controle el nivel de registros que
se ve. Si elige enviar mensajes de registro desde otro servidor WatchGuard al Log Server, primero debe
activar la generación de registros en aquel servidor.
Acerca de las mensajes de registro

Su dispositivo Firebox o XTM envía mensajes de registro al Log Server. También puede enviar mensajes de
registro a un servidor de syslog o guardar los registros localmente en el dispositivo Firebox o XTM. Se puede
elegir enviar los registros a una o a ambas ubicaciones.
Tipos de mensajes de registro

El Firebox envía varios tipos de mensajes de registro. El tipo aparece en el texto del mensaje. Los tipos de
mensajes de registro son:
n Tráfico
n Alarma
n Evento
n Depurar
n Estadística

Mensajes de registro de tráfico

El Firebox envía mensajes de registro de tráfico mientras aplica el filtrado de paquetes y reglas de proxy al
tráfico que pasa por el dispositivo.
Mensajes de registro de alarma

Los mensajes de registro de alarma son enviados cuando ocurre un evento que desencadena la ejecución
de un comando en Firebox. Cuando la condición de alarma coincide, el dispositivo envía un mensaje de
registro de Alarma al Log Server o servidor de syslog, y después realiza la acción especificada.
Hay ocho categorías de mensajes de registro de Alarma: Sistema, IPS, AV, Política, Proxy, Contador,
Negación de Servicio y Tráfico. El Firebox no envía más de 10 alarmas en 15 minutos para las mismas
condiciones.
Mensajes de registro de Evento

El Firebox envía mensajes de registro de eventos debido a la actividad del usuario. Las acciones que pueden
hacer que el Firebox envíe un mensaje de registro de eventos incluyen:
n Inicio y apagado del dispositivo

n Autenticación de VPN y dispositivo
n Inicio y apagado de proceso
n Problemas con los componentes de hardware del dispositivo
n Cualquier tarea realizada por el administrador del dispositivo
Mensajes de registro de depuración

Los mensajes de registro de depuración incluyen información de diagnóstico que puede usar para ayudar a
solucionar problemas. Hay 27 componentes de producto diferentes que pueden enviar mensajes de
registro de depuración.
Mensajes de registro de estadística

Los mensajes de registro de estadística incluyen información acerca del desempeño de Firebox. Por
defecto, el dispositivo envía mensajes de registro acerca de las estadísticas de desempeño de la interfaz
externa y ancho de banda de VPN a su archivo de registro. Puede usar esos registros para cambiar sus
configuraciones de Firebox, según sea necesario para mejorar el desempeño.
Enviar mensajes de registro al WatchGuard Log

Server
El El WatchGuard Log Server es un componente del WatchGuard System Manager. Si tiene el WatchGuard
System Manager, puede configurar el Log Server principal y de resguardo para recoger mensajes de
registro de sus dispositivos Firebox. Se define un Log Server como el principal (Prioridad 1) y otros Log
Servers como servidores de resguardo.

Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al siguiente Log Server en la
lista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede conectar, él intenta
conectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal no está disponible,
el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log Server principal a
cada 6 minutos. Eso no afecta la conexión de Firebox con el Log Server de resguardo hasta que el Log
Server principal esté disponible.
Para más información acerca de los WatchGuard Log Servers e instrucciones para configurar el Log Server
para que acepte mensajes de registro, vea el Guía del usuario del WatchGuard System Manager.
Agregar, editar o alterar la prioridad de Log Servers

Para enviar mensajes de registro de su Firebox al WatchGuard Log Server:
1. Seleccione Sistema > Registros.

Aparece la página Registro.
2. Para enviar mensajes de registro a uno o más WatchGuard Log Servers, seleccione la casilla de
verificación Enviar mensajes de registro a WatchGuard Log Servers.
3. En el campo Dirección de Log Server, ingrese la dirección IP del Log Server principal.
4. En el campo Encryption Key, ingrese la Log Server encryption key.
5. En el campo Confirmar, ingrese la clave de cifrado nuevamente.
La información para el Log Server aparece en la lista Log Server.
7. Repita los pasos 3 a 6 para agregar más Log Servers a la lista Servidor.

8. Para alterar la prioridad de un Log Server en la lista, seleccione una dirección IP en la lista y haga clic
en Arriba o Abajo.
El número de prioridad cambia a medida que la dirección IP sube o baja en la lista.
Enviar información de registro a un host de Syslog

Syslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos otros sistemas
informáticos. Es posible configurar el dispositivo WatchGuard para enviar información de registro a un
servidor syslog. Un dispositivo WatchGuard puede enviar mensajes de registro a un WatchGuard Log Server
o a un servidor syslog o a ambos a la vez. Los mensajes de registro syslog no son cifrados. Recomendamos
que no seleccione un host de syslog en la interfaz externa.
Para configurar el dispositivo WatchGuard para que envíe mensajes de registro a un host de syslog, debe
tener un host de syslog configurado, en funcionamiento y listo para recibir mensajes de registro.

2. Seleccione la pestaña Servidor Syslog.
3. Seleccione la casilla de verificación Activar salida Syslog para ese servidor.

4. En el campo Activar salida Syslog para ese servidor, ingrese la dirección IP del host de syslog.
5. En la sección Configuración, para seleccionar un recurso de syslog para cada tipo de mensaje de
registro, haga clic en las listas desplegables al lado.
Si selecciona NINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.

Para más información acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registro
en la página 352.
El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual
syslog envía un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, como
alarmas. Puede usar Local1–Local7 para asignar prioridades para otros tipos de mensajes de registro
(números inferiores tienen mayor prioridad). Vea su documentación de syslog para más
información acerca de los recursos de registro.
Nota Como el tráfico de syslog no es cifrado, los mensajes de syslog que son enviados a
través de Internet disminuyen la seguridad de la red de confianza. Es más seguro si
pone su host de syslog en su red de confianza.
Configurar Registros
Es posible elegir guardar los mensajes de registro en su Firebox y seleccionar las estadísticas de desempeño
que incluir en sus archivos de registro.

2. Haga clic en la pestaña Configuración.

3. Para almacenar mensajes de registro en su dispositivo WatchGuard, seleccione la casilla de

verificación Enviar mensaje de registro al almacenamiento interno de Firebox.
4. Para incluir estadísticas de desempeño en sus archivos de registro, seleccione la casilla de
verificación Insertar estadísticas de interfaz externa y ancho de banda VPN en el archivo de
registro.
5. Para enviar un mensaje de registro cuando el archivo de configuración de Firebox es alterado,
seleccione la casilla de verificación Enviar mensajes de registro cuando se altera la configuración
de este Firebox.
6. Para enviar mensajes de registro acerca del tráfico enviado por Firebox, seleccione la casilla de
verificación Activar registros de tráfico enviado por el propio Firebox.
Defina el nivel de registro de diagnóstico

De Fireware XTM Web UI puede seleccionar el nivel de registros de diagnóstico para ser grabado en su
archivo de registro. No recomendamos que seleccione el nivel de registros más alto excepto si un
representante del soporte técnico se lo solicite mientras se soluciona un problema. Cuando usa el nivel de
registro de diagnóstico más alto, el archivo de registro puede llenarse muy rápidamente y el desempeño
del dispositivo WatchGuard suele reducirse.
1. Seleccione Sistema > Registro de diagnóstico.

Aparece la página "Nivel de registro de diagnóstico".

2. Use la barra de desplazamiento para encontrar la categoría.

3. En la lista desplegable para la categoría, defina el nivel de detalles que incluir en el mensaje de
registro para la categoría:
n Apagado
n Error
n Advertencia
n Información
n Depurar
Cuando Apagado (el nivel más bajo) esté seleccionado, los mensajes de diagnóstico para esa
categoría están desactivados.

Configurar registros y notificación para una

política
2. Agregue o haga clic en una política.
Aparece la página de Configuración de Política.
3. Haga clic en la pestaña Propiedades.

4. En la sección Registros, defina los parámetros para que coincidan con su política de seguridad.
Para más información acerca de los campos en la sección Registros, vea Determinar preferencias de
registro y notificación en la página 360.
Determinar preferencias de registro y notificación

Las configuraciones para registro y notificación son similares en toda la configuración del Firebox. Para cada
lugar donde se definan las preferencias de registros y notificación, prácticamente todos los campos escritos
abajo están disponibles.
Enviar mensaje de registro
Cuando selecciona esa casilla de verificación, el Firebox envía un mensaje de registro cuando ocurre
un evento.
Puede seleccionar enviar mensajes de registro a un almacenamiento interno de Firebox,

WatchGuard Log Server o Servidor Syslog. Para obtener pasos detallados para seleccionar un destino
para sus mensajes de registro, vea Configurar Registros en la página 356.
Enviar captura SNMP
Cuando selecciona esa casilla de verificación, el Firebox envía una notificación de evento al sistema
de administración del SNMP. El Protocolo de Administración de Red Simple (SNMP, en sus siglas en
inglés) es un conjunto de herramientas usado para monitorear y administrar redes. Una captura
SNMP es una notificación de evento que el Firebox envía al sistema de administración de SNMP
cuando una condición especificada ocurre.
Nota Si selecciona la casilla Enviar captura SNMP y todavía no configuró el SNMP,

aparece un cuadro de diálogo que solicita que lo haga. Haga clic en Sí para ir al
cuadro de diálogo Configuración de SNMP. No puede enviar capturas SNMP si no
tiene el SNMP configurado.
Para más información acerca del SNMP, vea Acerca del SNMP en la página 59.
Para activar las capturas SNMP o solicitudes de informes, vea Activar Capturas y estaciones de
administración de SNMP en la página 62.

Enviar notificación
Cuando selecciona esa casilla, el Firebox envía una notificación cuando el evento especificado
ocurre. Por ejemplo, cuando una política permite un paquete.
Puede seleccionar cómo el Firebox envía la notificación:
n Correoelectrónico—ElLogServer envíaunmensajede correoelectrónicocuandoocurre elevento

n Ventana emergente — El Log Server abre un cuadro de diálogo cuando ocurre el evento.
Definir:
n Intervalo de lanzamiento — El tiempo mínimo (en minutos) entre diferentes
notificaciones. Ese parámetro evita que más de una notificación sea enviada en un
espacio corto de tiempo para el mismo evento.
n Repetir conteo — Esa configuración controla con qué frecuencia ocurre un evento.
Cuando el número de eventos alcanza el valor seleccionado, una notificación especial de
repetición se inicia. Esa notificación crea una entrada de registro repetida acerca de
aquella notificación especificada. La notificación empieza nuevamente después que
ocurre el número de eventos especificado en ese campo.
Por ejemplo, defina el Intervalo de lanzamiento en 5 minutos y el Repetir conteo en 4. Un sondeo

de espacio entre puertos se inicia a las 10:00 y sigue a cada minuto. Eso da inicio a los mecanismos
de registro y notificación.
Esas acciones ocurren en esos momentos:
n 10:00 — Sondeo de espacio entre puertos inicial (primer evento)

n 10:01 — Inicia primera notificación (un evento)
n 10:06 — Inicia segunda notificación (reporta cinco eventos)
n 10:11 — Inicia tercera notificación (reporta cinco eventos)
n 10:16 — Inicia cuarta notificación (reporta cinco eventos)
El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Eso
se definió en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es el
intervalo de tiempo que un evento debe continuar para que se inicie la repetición de notificación.
Use el Syslog para ver los datos de mensaje de

registro
Puede ver los datos de mensaje de registro en tiempo real en la página Syslog. Puede elegir ver sólo un tipo
de mensaje de registro o filtrar todos los mensajes de registro según detalles específicos. También puede
controlar la frecuencia con la que los datos del mensaje de registro se actualizan.
Cuando usa el campo Filtrar para especificar cuáles mensajes de registro aparecen, los resultados de
búsqueda por filtro incluyen todas las entradas que son coincidencias parciales para el filtro seleccionado.
Ver, Ordenar y Filtrar datos de mensaje de registro

Puede elegir ver sólo tipos específicos de mensajes de registro y aplicar filtros para refinar los datos que
aparecen en los mensajes de registro de Syslog.

1. Seleccione Estado del sistema > Syslog.

Aparece la página Syslog con una lista completa de mensajes de registro en tiempo real para todos los tipos de
mensajes.
2. Para ver sólo un tipo de mensaje de registro, en la lista desplegable Tipo de cuadro, seleccione un
tipo de mensaje:
n Tráfico
n Alarma
n Evento

n Depurar
n Estadística
3. Para ver todos los tipos de mensaje de registro nuevamente, en la lista desplegable Tipo de cuadro,
seleccione Todos.
4. Para ordenar los mensajes de registro por un tipo de dato, haga clic en el encabezado de la columna
para ver el tipo de dato en cuestión. Las columnas diferentes aparecen según el tipo de mensaje de
registro seleccionado en la lista desplegable Tipo de cuadro.
5. Para ver sólo mensajes de registro con un detalle de mensaje específico, en el cuadro de texto Filtro
, ingrese el detalle deseado.
La pantalla del Syslog se actualiza automáticamente para mostrar sólo los mensajes de registro que incluyen
en detalle especificado. Si ningún mensaje coincide con el filtro insertado, la página del Syslog queda en
blanco.
Por ejemplo, si sólo desea ver mensajes de registro del usuarioAdmin, ingrese IDusuario=Admin .
Los resultados incluyen mensajes de registro con el usuario Admin, Admins, Administrador y
cualquier otro nombre de usuario que incluya los caracteres Admin.
6. Para remover un filtro, limpie todos los detalles del cuadro de texto Filtro .
La pantalla de Syslog se actualiza automáticamente.
7. Para copiar los datos del mensaje de registro de la lista, seleccione uno o más ítems en la lista y haga
clic en Copiar.
Actualizar datos de mensaje de registro

n Para alterar la frecuencia con la cual se actualizan los datos de mensaje de registro en la pantalla,
defina Intervalo de actualización.
n Para desactivar temporalmente la opción de actualizar pantalla, haga clic en Pausar.
n Para activar la actualización de la pantalla nuevamente, haga clic en Reiniciar.


17 Monitorear su Firebox
Monitorear su Firebox
Para monitorear el estado y la actividad en el dispositivo Firebox o XTM, utilice las páginas de Panel de
control y Estado del sistema.
El Panel de control
El Panel de control incluye dos páginas: la página Sistema y la página Servicios de suscripción.
La página Sistema incluye una vista rápida del estado del dispositivo. Si tiene acceso a la configuración (de
lectura y escritura), puede reiniciar el dispositivo desde esta página. La página Sistema del panel de control
aparece automáticamente al conectarse a la Fireware XTM Web UI .
Para abrir la página Sistema desde otra página en la Web UI:
Seleccione Panel de Control> Sistema.

La página Sistema del Panel de control muestra:
n Información del dispositivo:

n Nombre del dispositivo
n Versión de software del sistema operativo de Fireware XTM
n Número de modelo del dispositivo
n Número de serie del dispositivo
n Tiempo de funcionamiento desde el último reinicio
n Información de la interfaz de red:
n Estado del enlace
n Alias: el nombre de la interfaz
n IP: la dirección IP asignada a la interfaz
n Puerta de enlace: la puerta de enlace de la interfaz

n Memoria y CPU : estadísticas de uso
Para consultar las estadísticas de un período más prolongado o para ver más detalles acerca de las
estadísticas en el Panel de control:
En la parte inferior de un elemento del Panel de control, haga clic en Zoom.

Aparece la página Estado del sistema, con más información y opciones.
También puede ver información acerca de las suscripciones al Gateway AntiVirus, el Intrusion Prevention
Service, WebBlocker y spamBlocker.
Seleccione Panel de control> Servicios de suscripción.

Aparece la página Servicios de suscripción.
La página Servicios de suscripción, muestra:
n Tráfico analizado, infectado y omitido, monitoreado por el Gateway AntiVirus.

n Tráfico analizado, detectado e impedido, monitoreado por el Intrusion Prevention Service.
n Versión de firma e información de actualización del Gateway AntiVirus y el Intrusion Prevention
Service.
n Tráfico y solicitudes HTTP rechazados por WebBlocker.
n Correo limpio, confirmado, masivo y sospechoso identificado por spamBlocker.
Para obtener más información acerca de actualizaciones de firma manuales, consulte Ver estado de
servicios de suscripción y actualizar firmas manualmente en la página 623.
Páginas Estado del sistema

Las páginas Estado del sistema incluyen una lista de categorías de monitoreo. En estas páginas se pueden
monitorear todos los componentes del dispositivo Firebox o XTM .

Las páginas Estado del sistema están configuradas para actualizarse automáticamente cada 30 segundos.
Para modificar estas configuraciones:
1. Para modificar el intervalo de actualización, haga clic y arrastre el triángulo en la barra deslizante
Intervalo de actualización.
2. Para detener las actualizaciones en forma temporal, haga clic en Pausa.
3. Para forzar una actualización inmediata, haga clic en Pausa y luego haga clic en Reiniciar.
Los números en el eje x de las tablas indican la cantidad de minutos atrás. Las tablas estadísticas en el Panel
de control muestran datos de los últimos 20 minutos.
Algunas páginas de Estado del sistema tienen la función Copiar.
Para copiar información de una lista:
1. Seleccione uno o más elementos de la lista.

2. Haga clic en Copiar.
3. Pegue los datos en otra aplicación.
Tabla ARP
Para ver la tabla ARP para Firebox:
Seleccione Estado del sistema> Tabla ARP.
La página Tabla ARP incluye dispositivos que han respondido a una solicitud ARP (Protocolo de resolución
de dirección) de Firebox:
Dirección IP
La dirección IP del equipo que responde a la solicitud ARP.
Tipo HW
El tipo de conexión de Ethernet que la dirección IP usa para conectarse.

Marcadores
Si la dirección de hardware de IP se resuelve, se marca como válida. De lo contrario, se marca como

no válida.
Nota Una dirección de hardware válida puede mostrarse brevemente como no válida
mientras Firebox espera una respuesta a la solicitud ARP.
Dirección HW
La dirección MAC de la tarjeta de interfaz de red que está asociada con la dirección IP.
Dispositivo
La interfaz de Firebox donde se encontró la dirección de hardware para esa dirección IP. El nombre
de núcleo Linux para la interfaz se muestra entre paréntesis.
Para obtener más información acerca de las páginas Estado del sistema, consulte Monitorear su Firebox en
la página 365.
Autenticaciones
Para ver la lista de usuarios autenticados para Firebox:
Seleccione Estado del sistema> Lista de autenticación.
La página Lista de autenticación incluye información acerca de cada usuario actualmente autenticado para
Firebox.
Usuario
El nombre del usuario autenticado.
Tipo
El tipo de usuario que se autenticó: usuario móvil o de firewall.
Dominio de autenticación
El servidor de autenticación que autenticó al usuario.
Hora de inicio
La cantidad de tiempo desde que el usuario se autenticó.
Última actividad
La cantidad de tiempo desde la última actividad del usuario.
Dirección IP
La dirección IP interna que utiliza el usuario; en el caso de usuarios móviles, esta dirección IP es la
dirección IP que Firebox les ha asignado.

De dirección
La dirección IP en el equipo a partir del cual el usuario se autentica. Para los usuarios móviles, esa
dirección IP es la misma que en el equipo utilizado para conectarse al Firebox. Para los usuarios de
firewall, la dirección IP y la Dirección De son las mismas.
Para ordenar la Lista de Autenticación:
Haga clic en el encabezado de la columna.
Para finalizar una sesión de usuario:
Haga clic en el nombre de usuario y seleccione Cerrar sesión de usuarios.
Para obtener más información acerca de la autenticación, consulte Acerca de la autenticación de usuario
en la página 209.
la página 365.
Medidor de ancho de banda

Esta página del Medidor de ancho de banda muestra las estadísticas de velocidad en tiempo real para todas
las interfaces de Firebox a través del tiempo. El eje Y (vertical) muestra la velocidad. El eje X (horizontal)
muestra la hora.
Para monitorear el uso de ancho de banda para interfaces de Firebox:
1. Seleccione Estado del sistema> Medidor de ancho de banda.

2. Para ver el valor de cada punto de datos, mueva el mouse sobre las líneas del gráfico.
la página 365.
Estado de sitios bloqueados

Para ver una lista de direcciones IP actualmente bloqueadas por Firebox:
Seleccione Estado del sistema> Sitios bloqueados.
La página Sitios bloqueados incluye una lista de direcciones IP que actualmente se encuentran el la lista de
Sitios bloqueados, el motivo por el que se agregaron a la lista y el tiempo de vencimiento (cuando se
elimina al sitio de la lista Sitios bloqueados).
La tabla incluye la siguiente información para cada sitio bloqueado:
IP
La dirección IP del sitio bloqueado.
Origen
El origen del sitio bloqueado. Los sitios agregados en la página Estado del sistema> Sitios
bloqueados se muestran como administración, mientras que los sitios agregados desde la página
Firewall> Sitios bloqueados se muestran como configuración.

Motivo
El motivo por el que se bloqueó el sitio.
Tiempo de espera
La cantidad de tiempo total de bloqueo del sitio.
Caducidad
La cantidad de tiempo que falta hasta que termine el período de tiempo de espera.
Nota Los sitios bloqueados que muestran un Motivo de IP estática bloqueada y

muestran un Tiempo de espera y Vencimiento de Nunca se vence están
bloqueados permanentemente. No se puede eliminar o editar un sitio bloqueado
permanentemente de esta página. Para agregar o quitar un sitio bloqueado
permanentemente, seleccione Firewall> Sitios bloqueados como se describe en
Bloquear un sitio permanentemente en la página 344.
Agregar o editar sitios bloqueados temporalmente

En la página Estado del sistema Sitios bloqueados, el usuario también puede agregar o quitar sitios
bloqueados temporalmente de la lista de sitios bloqueados y cambiar el vencimiento de esos sitios.
Para agregar un sitio bloqueado temporalmente a la lista de sitios bloqueados:

Aparece el cuadro de diálogo Agregar sitio bloqueado temporalmente.
2. Ingrese la dirección IP del sitio que desea bloquear.

3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cuánto tiempo desea que
este sitio permanezca en la lista de sitios bloqueados.
4. Haga clic en OK.
Para cambiar el vencimiento de un sitio bloqueado temporalmente:
1. En la Lista de conexiones, seleccione el sitio.

2. Haga clic en Cambiar vencimiento.
Aparece el cuadro de diálogo Editar sitio bloqueado temporalmente.
3. En el cuadro de texto y la lista desplegable Vence luego de, seleccione cuánto tiempo desea que
este sitio permanezca en la lista de sitios bloqueados.
4. Haga clic en OK.
Para quitar un sitio bloqueado temporalmente de la lista de sitios bloqueados:

1. Seleccione el sitio en la Lista de conexiones.

El sitio bloqueado se quita de la lista.
la página 365.
Suma de comprobación
Para ver la suma de comprobación de los archivos del OS (sistema operativo) instalado actualmente en
Firebox:
Seleccione Estado del sistema > Suma de comprobación.

Firebox calcula la suma de comprobación para el OS instalado. Firebox puede tardar algunos
minutos en completar el cálculo de la suma de comprobación. La suma de comprobación aparece
con la fecha y la hora en que se completó el cálculo de la suma de comprobación.
la página 365.
Conexiones
Para monitorear las conexiones a Firebox:
Seleccione Estado del sistema> Conexiones.
La página Conexiones incluye un número de conexiones que atraviesan a Firebox. El número actual de
conexiones para cada protocolo aparece en la columna Conexiones.
la página 365.
Lista de componentes
Para ver una lista de los componentes de software instalados en Firebox:
Seleccione Estado del sistema> Lista de componentes.
La página Componentes incluye una lista del software instalado en Firebox.
La lista de software incluye estos atributos:
n Nombre
n Versión
n Build
n Fecha
la página 365.

Uso de CPU
Para monitorear el uso de CPU en Firebox:
1. Seleccione Estado del sistema> Uso de CPU.

La página Uso de CPU contiene gráficos que muestran el uso de CPU y la carga promedio en un
período determinado.
3. Para seleccionar un período, haga clic en la lista desplegable Uso de CPU.
n El eje X indica el número de minutos atrás.

n La escala del eje Y es el porcentaje de capacidad de CPU utilizado.
En la página Panel de control aparece una versión más pequeña de este gráfico.
la página 365.
Concesiones de protocolo de configuración

dinámica de host (DHCP)
Para ver una lista de las concesiones de protocolo de configuración dinámica de host (DHCP) para Firebox:
Seleccione Estado del sistema> Concesiones de DHCP.
La página Concesiones de DHCP incluye al servidor DHCP y las concesiones utilizadas por Firebox, con las
reservas de DHCP .
Interfaz
La interfaz de Firebox a la que está conectado el cliente.
Dirección IP
La dirección IP de la concesión.
Host
El nombre de host. Si no hay un nombre de host disponible, este campo está vacío.
Dirección MAC
La dirección MAC asociada con la concesión.
Hora de inicio
El tiempo por el que el cliente solicitó la concesión.
Hora de finalización
La hora en que vence la concesión.
Tipo de hardware
El tipo de hardware.

la página 365.
Diagnósticos
Se puede utilizar la página Diagnósticos para hacer ping a una dirección IP o host, trazar la ruta a una
dirección IP o host, buscar información de DNS para el host o visualizar información acerca de los paquetes
transmitidos a través de la red (Depósito de protocolo de control de transmisión, TCP).
Seleccione Estado del sistema > Diagnósticos.
Ejecutar un comando de diagnóstico básico

1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:
n Ping
n Rastrear ruta
n Buscar DNS
n Volcado de TCP
Si selecciona ping, traceroute o dnslookup , aparece el campo Dirección.
Si selecciona tcpdump , aparece el campo Interfaz.
2. En el campo Dirección, ingrese una dirección IP o nombre de host.
O seleccione Interfaz en la lista desplegable.
3. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.
4. Para detener la tarea de diagnóstico, haga clic en Detener tarea.
Utilizar argumentos de comandos

1. En la lista desplegable Tarea, seleccione el comando que desea ejecutar:

n Ping
n Rastrear ruta
n Buscar DNS
n Volcado de TCP
2. Seleccione la casilla de verificación Opciones avanzadas.
El campo Argumentos está activado y el campo Dirección o Interfaz está desactivado.
3. En el campo Argumentos, ingrese los argumentos del comando.
Para ver los argumentos disponibles para un comando, deje el campo Argumentos en blanco.
4. Haga clic en Ejecutar tarea.
El resultado del comando aparece en la ventana Resultados y aparece el botón Detener tarea.
5. Para detener la tarea de diagnóstico, haga clic en Detener tarea.
la página 365.
DNS dinámico
Para ver la tabla de rutas de DNS dinámico:
Seleccione Estado del sistema> DNS dinámico.
La página DNS dinámico contiene la tabla de rutas DNS con la siguiente información:
Nombre
El nombre de la interfaz.
Usuario
El nombre de usuario de la cuenta de DNS dinámico.
Dominio
El dominio para el cual se provee el DNS dinámico.
Sistema
El tipo de servicio DNS dinámico.
Agregar
La dirección IP asociada al dominio.
IP
La dirección IP actual de la interfaz.
Último
La última vez que se actualizó el DNS.
Siguiente fecha
La próxima fecha programada para actualización del DNS .
Estado
El estado de DNS dinámico.

la página 365.
Tecla de función
La tecla de función es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opción o actualización y obtener una nueva tecla de función, aumenta la funcionalidad de
su dispositivo.
Cuando compra una nueva función

Cuando compra una nueva función para su dispositivo WatchGuard, debe:
n Obtener una tecla de función junto a LiveSecurity

n Agregar una tecla de función a su Firebox
Ver las funciones disponibles con la actual tecla de función

Su dispositivo WatchGuard siempre tiene una tecla de función activa actualmente. Se puede utilizar la
Fireware XTM Web UI para ver las funciones disponibles con esta tecla de función. También pueden
revisarse los detalles de la tecla de función actual.
Los detalles disponibles incluyen:
n Número de serie del dispositivo WatchGuard al cual esa tecla de función se aplica
n ID y nombre del dispositivo WatchGuard
n Modelo y número de versión de dispositivo
n Funciones disponibles
Para ver información acerca de las funciones con licencia para el dispositivo WatchGuard:
1. Seleccione Estado del sistema> Tecla de función.

Aparece la página Tecla de función, con información básica acerca de las funciones habilitadas por la tecla de
función para este dispositivo.

2. Para ver información para cada función, utilice la barra de desplazamiento en la pestaña Tecla de
función.
Aparece la siguiente información:
n Función: el nombre de la función con licencia.

n Valor: la función que la licencia habilita. Por ejemplo, una capacidad o número de usuarios.
n Vencimiento: fecha en la que vence la licencia.
n Tiempo restante: la cantidad de días hasta el vencimiento de la licencia.
3. Para ver los detalles de la tecla de función, haga clic en la pestaña Texto de la tecla de función.
Aparecen las funciones con licencia del dispositivo.
la página 365.
Interfaces
Para ver información sobre las interfaces de red de Firebox:
Seleccione Estado del sistema> Interfaces.

La página Interfaces incluye información para cada interfaz:
Estado del enlace
Si la interfaz está activa, aparece Activada . Si no está activa, aparece Desactivada .
Alias
El nombre de la interfaz.
Activado
Incluye información sobre si cada interfaz está activada.
Puerta de enlace
La puerta de enlace definida para cada interfaz.
IP
La dirección IP configurada para cada interfaz.
Dirección MAC
La dirección MAC para cada interfaz.
Nombre
El número de interfaz.
Máscara de red
Máscara de red para cada interfaz.
Zona
La zona de confianza para cada interfaz.
la página 365.
LiveSecurity
La Fireware XTM Web UI incluye una página con las notificaciones de alertas más recientes enviadas desde
LiveSecurity Service de WatchGuard. Las alertas de LiveSecurity proveen información que se aplica al
dispositivo, como las notificaciones acerca de las actualizaciones de software disponibles. Las notificaciones
de alertas se envían no más de una vez al día.
Para ver las alertas desde WatchGuard:
1. Seleccione Estado del sistema> LiveSecurity.

2. Haga clic en Actualizar para verificar las nuevas alertas.
la página 365.

Memoria
Para monitorear el uso de memoria en Firebox:
1. Seleccione Estado del sistema> Memoria.

Aparece un gráfico que muestra el uso de memoria de núcleo Linux a lo largo de un período.
3. Para seleccionar el período para el gráfico, haga clic en la lista desplegable Memoria.
n El eje X indica el número de minutos atrás.

n La escala del eje Y es la cantidad de memoria utilizada en megabytes.
En la página Panel de control también puede verse una versión más pequeña de este gráfico.
la página 365.
Lista de acceso saliente

(Esta función se aplica sólo a los dispositivos Firebox X Edge e-Series con Fireware XTM.)
La tecla de función para su dispositivo Firebox X Edge activa el dispositivo para que tenga un número
específico de direcciones IP con acceso de salida. La Web UI de Fireware XTM puede usarse para ver el
número máximo de direcciones IP que tienen permitido acceso saliente y las direcciones IP que
actualmente tienen acceso saliente. También puede remover las direcciones IP de la lista de acceso de
salida, que permite que otra dirección IP remplace aquélla removida. Eso ayuda si tiene un número
limitado de direcciones IP con acceso de salida. Fireware XTM limpia automáticamente todas las
direcciones IP de la Lista de acceso saliente una vez por hora.
La información acerca del número máximo de direcciones IP con acceso saliente también está disponible
en la tecla de función. Para más información, vea Acerca de las teclas de función en la página 51.
Nota Esta función se aplica solo a los dispositivos Firebox X Edge con Fireware XTM. Si
no tiene un dispositivo Firebox X Edge con Fireware XTM, esta página no aparece
en la Web UI.
Para ver la Lista de acceso de salida:
1. Seleccione Estado del sistema> Lista de acceso saliente.

Aparece la página Lista de acceso saliente.
2. Para quitar una o más direcciones IP de la lista, seleccione las direcciones y haga clic en Eliminar.
3. Para quitar todas las direcciones IP de la lista, haga clic en Borrar lista.
4. Para copiar la información de determinados elementos de la lista, seleccione los elementos y haga
clic en Copiar.
5. Para cambiar la frecuencia con la que se actualiza la información de la página, deslice el control
Intervalo de actualización.
6. Para detener temporalmente la actualización de información en la página, haga clic en Pausa.
Procesos
Para ver una lista de procesos que se ejecutan en Firebox:

Seleccione Estado del sistema> Procesos.
La página Procesos incluye información acerca de todos los procesos que se ejecutan en Firebox.
Identificador de procesos (PID)
La identificación del proceso es un número único que muestra cuándo se inició el proceso.
NOMBRE
El nombre del proceso.
ESTADO
El estado del proceso:
R: en ejecución
S: suspendido
D,Z: inactivo
RSS
El número total de kilobytes de memoria física que utiliza el proceso.
PARTE
El número total de kilobytes de memoria compartida que utiliza el proceso.
HORA
El tiempo que ha utilizado el proceso después de la última vez que se inició el dispositivo.
CPU
El porcentaje de tiempo de CPU que el proceso ha utilizado después del último reinicio del
dispositivo.
la página 365.
Rutas
Para ver la tabla de rutas para Firebox:
Seleccione Estado del sistema> Rutas.
La tabla de rutas incluye esta información acerca de cada ruta:
Destino
La red para la que fue creada la ruta.
Interfaz
La interfaz asociada a la ruta.
Puerta de enlace
La puerta de enlace que utiliza la red.

Marca
Las marcas establecidas para cada ruta.
Indicador
El indicador establecido para esta ruta en la tabla de enrutamiento.
Máscara
La máscara de red para la ruta.
la página 365.
Syslog
Se puede usar syslog para ver los datos de registro en el archivo de registro de Firebox.
Seleccione Estado del sistema>Syslog.

La página Syslog aparece con las entradas más recientes en el archivo de registro de Firebox.
Para obtener más información sobre cómo utilizar esta página, consulte Use el Syslog para ver los datos de
mensaje de registro en la página 361.
la página 365.
Administración de tráfico
Para ver las estadísticas de administración de tráfico:
Seleccione Estado del sistema> Administración de tráfico.

Aparecen las estadísticas asociadas con cada acción de administración de tráfico que se ha configurado.
La página Administración de tráfico incluye las siguientes estadísticas:
Acción de administración de tráfico (TM)
El nombre de la acción de administración de tráfico
Interfaz
La interfaz del dispositivo WatchGuard a la que se aplica la acción de tráfico.
Bytes (%)
El número total de bytes.
Bytes/segundo
Los bits por segundo actuales (estimador de velocidad).
Paquetes
El número total de paquetes.

Paquetes/segundo
Los paquetes por segundo actuales (estimador de velocidad).
Para obtener información acerca de la administración de tráfico, consulte Acerca de las Administración de
tráfico y QoS en la página 323.
la página 365.
Estadísticas de VPN
Para ver estadísticas acerca de túneles VPN :
1. Seleccione Estado del sistema> VPN Estadística.

Aparecen las estadísticas de tráfico para túneles Branch Office VPN (BOVPN) y Mobile VPN with IPSec.
Para cada túnel VPN, esta página incluye:
Nombre
Nombre del túnel.
Local
La dirección IP en el extremo local del túnel.
Remoto
La dirección IP en el extremo remoto del túnel.
Puerta de enlace
Los extremos de la puerta de enlace utilizados por este túnel.
Entrada de paquetes
El número de paquetes recibidos a través del túnel.
Entrada de bytes
El número de bytes recibidos a través del túnel.
Salida de paquetes
El número de paquetes enviados a través del túnel.
Salida de bytes
El número de bytes enviados a través del túnel.
Reingresos
El número de reingresos para el túnel.
2. Para forzar a un túnel BOVPN a reingresar, seleccione un túnel BOVPN y haga clic en el botón
Reingresar túnel BOVPN seleccionado.
Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.

3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar.
Recomendamos utilizar esta función cuando se resuelve un problema de VPN con un representante
de soporte técnico.
la página 365.
Estadísticas inalámbricas
Para ver estadísticas acerca de la red inalámbrica:
Seleccione Estado del sistema> Estadísticas inalámbricas.

Aparece un resumen de la configuración inalámbrica y algunas estadísticas acerca del tráfico inalámbrico.
El resumen incluye:
n Información de la configuración inalámbrica

n Estadísticas de la interfaz
n Claves
n Velocidades de bit
n Frecuencias
Si el dispositivo es un WatchGuard XTM 2 Series modelo inalámbrico, en esta página también se puede
actualizar la información del país inalámbrica para este dispositivo. Las opciones disponibles para la
configuración de radio inalámbrica se basan en los requisitos normativos del país en el cual el dispositivo
detecta que se encuentra.
Para actualizar la información de país inalámbrico:
haga clic en Actualizar la información del país.

El dispositivo 2 Series contacta el servidor WatchGuard para determinar la región actual de operación.
Para obtener más información acerca de las configuraciones de radio en el dispositivo WatchGuard XTM 2
Series, consulte Acerca de las configuraciones de radio inalámbrico en el dispositivo inalámbrico
WatchGuard XTM 2 Series.
la página 365.

Conexiones hotspot inalámbricas

Cuando activa la función de hotspot inalámbrico para su dispositivo inalámbrico WatchGuard XTM 2 Series o
Firebox X Edge e-Series, puede consultar información acerca de la cantidad de clientes que están
conectados. También puede desconectar clientes inalámbricos.
Para obtener más información acerca de cómo activar la función de hotspot inalámbrico, consulte Activar
un hotspot inalámbrico.
Para ver las conexiones hotspot inalámbricas:
1. Conéctese al Fireware XTM Web UI para su dispositivo inalámbrico.

2. Seleccione Estado del sistema > Hotspot inalámbrico.
Aparecerá la dirección IP y la dirección MAC para cada cliente inalámbrico conectado.
Para obtener más información acerca de cómo administrar las conexiones hotspot inalámbricas, consulte
Consulte Conexiones hotspot inalámbricas.

18 Certificates
Acerca de los certificados

Los certificados hacen coincidir la identidad de una persona u organización con un método para que otros
verifiquen la identidad y la seguridad de las comunicaciones. Usan un método de cifrado llamado par de
claves, o dos números relacionados matemáticamente llamados clave privada y la clave pública. Un
certificado incluye tanto una afirmación de identidad como una clave pública y es firmado por una clave
privada.
La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el
certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear
el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves
diferentes, el resultado es un certificado común. Los certificados con claves privadas que pueden ser
utilizados para firmar otros certificados son llamados Certificados CA (Autoridad de Certificación, en sus
siglas en inglés). Una autoridad de certificación es una organización o aplicación que firma o revoca los
certificados.
Si su organización tiene una configuración de PKI (infraestructura de clave pública) , usted mismo puede
firmar certificados como CA. La mayoría de las aplicaciones y dispositivos automáticamente aceptan
certificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, tal
como un certificado autofirmado, no son aceptados automáticamente por diversos servidores o programas
y no funcionan correctamente con algunas funciones del Fireware XTM.
Usar múltiples certificados para determinar la confianza

Se pueden usar diversos certificados juntos para crear una cadena de confianza. Por ejemplo, el certificado
CA al principio de la cadena es de una CA relevante y es usado para firmar otro certificado CA para una CA
más pequeña. Esa CA más pequeña puede, luego, firmar otro certificado CA usado por su organización.
Finalmente, su organización puede usar ese certificado CA para firmar otro certificado para ser usado con la
función de inspección de contenido proxy de HTTPS. No obstante, para usar ese certificado final en el
extremo de la cadena de confianza, primero se debe importar todos los certificados en la cadena de
confianza en el siguiente orden:

Certificates
1. Certificado CA de la CA relevante (como tipo "Otro")

2. Certificado CA de la CA más pequeño (como tipo "Otro")
3. Certificado CA de la organización (como tipo "Otro")
4. Certificado usado para reencriptar contenido proxy de HTTPS después de la inspección (como tipo
"Autoridad proxy de HTTPS")
También podría ser necesario importar todos esos certificados en cada dispositivo cliente para que el
último certificado también sea de confianza para los usuarios.
Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de
Firebox en la página 393.
Cómo el Firebox usa certificados

Su Firebox usa certificados para varios propósitos:
n Los datos de la sesión de administración está protegidos con un certificado.

n Los túneles BOVPN o Mobile VPN with IPSec puede usar certificados para autenticación.
n Cuando se habilita la inspección de contenido, el proxy de HTTPS usa un certificado para cifrar
nuevamente el tráfico HTTPS entrante después de ser descifrado para inspección.
n Puede usar un certificado con el proxy de HTTPS para proteger un servidor web en su red.
n Cuando un usuario se autentica con el Firebox para cualquier finalidad, tal como una anulación del
WebBlocker, la conexión queda protegida con un certificado.
Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesión de administración
e intentos de autenticación para el Fireware XTM Web UI y para la inspección de contenido proxy de HTTPS.
Para asegurar que el certificado usado para la inspección de contenido HTTPS sea único, su nombre incluye
el número de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados no
son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.
Hay tres opciones para remover ese alerta:
1. Puede importar certificados firmados por una CA en los cuales su organización confía, tal como un
PKI ya configurado para su organización, para ser usado con esas funciones. Recomendamos que use
esa opción si posible.
2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicación de su
organización.
3. Puede usar el certificado autofirmado predeterminado.
En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificados
autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos
con las herramientas de administración de red. Debe tener el WatchGuard System Manager instalado para
exportar certificados.
CRLs y caducidad de certificados

Cada certificado tiene una caducidad determinada cuando es creado. Cuando el certificado llega al fin de la
caducidad definida, se vence y ya no puede ser usado automáticamente. También puede remover los
certificados manualmente con el Firebox System Manager (FSM).

Certificates
A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una lista
actualizada de esos certificados revocados, llamada Lista de Revocación de Certificados (CRL, las siglas en
inglés), para verificar que los certificados usados por una autenticación de VPN son válidos. Si tiene el
WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System
Manager (FSM), o automáticamente con la información de un certificado. Cada certificado incluye un
número único usado para identificarlo. Si el número único en un certificado de servidor web, BOVPN o
Mobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado.
Cuando se activa la inspección de contenido en un proxy de HTTPS, el Firebox puede verificar el

respondedor de OCSP (Protocolo de estado del certificado online) asociado a los certificados usados para
firmar el contenido de HTTPS. El respondedor de OCSP envía el estado de la revocación del certificado. El
Firebox acepta la respuesta del OCSP si ésta está firmada por un certificado en el cual Firebox confía. Si la
respuesta del OCSP no está firmada por un certificado en el que Firebox confía, o si el respondedor del
OCSP no envía una respuesta, entonces se puede configurar el Firebox para que acepte o rechace el
certificado original.
Para más informaciones acerca de las opciones de OCSP, vea Proxy de HTTPS: Contenido en la página 302.
Solicitudes de firmas y autoridades de certificación

Para crear un certificado autofirmado, se pone parte de un par de claves criptográficos en una solicitud de
firma de certificado (CSR) y envía la solicitud a una CA. Es importante usar un nuevo par de claves para cada
CSR creada. La CA emite un certificado después de recibir la CSR y verificar su identidad. Si tiene el software
del FSM o Management Server instalado, puede usar esos programas para crear una CSR para su Firebox.
También puede usar otras herramientas, tal como OpenSSL o el Microsoft CA Server que viene con la
mayoría de los sistemas operativos de Windows Server.
Si desea crear un certificado para ser usado con la funciones de inspección de contenido proxy de HTTPS,
debe ser un certificado CA que pueda firmar nuevamente otros certificados. Si crea una CSR con el Firebox
System Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA.
Si no tiene un PKI configurado en su organización recomendamos que elija una CA relevante para firmar las
CSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados,
éstos son automáticamente considerados de confianza por la mayoría de los usuarios. WatchGuard probó
los certificados firmados por VeriSign, Microsoft CA Server, Entrust y RSA KEON. También puede importar
certificados adicionales para que su Firebox confíe en otras CAs.
Para obtener una lista completa de las CAs automáticamente de confianza, vea Autoridades de Certificación
confiadas por Firebox en la página 387.
Crear una CSR con el OpenSSL
Autoridades de Certificación confiadas por Firebox

Por defecto, su Firebox confía en la mayoría de las autoridades de certificación (CAs) que los exploradores
web actuales. Recomendamos que importe certificados firmados por una CA en esa lista para el proxy de
HTTPS o Fireware XTM Web UI, para que los usuarios no vean los alertas de certificado en su explorador
web cuando usan esas funciones. Sin embargo, también se puede importar certificados de otras CAs para
que sus certificados sean de confianza.

Certificates
Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su disco
duro en:
C:\Documents and Settings\WatchGuard\wgauth\certs\README
Lista de Autoridades de Certificación

C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2,
OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust
Network
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification
Services Division, CN=Thawte Personal Premium CA/direcciónemail=personal-
premium@thawte.com
C=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion
Firmaprofesional CIF A62634068/direcciónEmail=ca@firmaprofesional.com
C=HU, ST=Hungría, L=Budapest, O=NetLock Halozatbiztonsagi Kft.,
OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) Tanusitvanykiado
C=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification,
CN=Thawte Timestamping CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- Sólo para uso autorizado, CN=VeriSign Class 4 Public Primary Certification
Authority - G3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA Root
C=DK, O=TDC Internet, OU=TDC Internet Root CA
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority -
G2, OU=(c) 1998 VeriSign, Inc. - Sólo para uso autorizado, OU=VeriSign Trust
Network
C=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells Fargo
Root Certificate Authority
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
CN=Test-Only Certificate
C=US, O=Entrust, Inc., OU=www.entrust.net/CPS está incluido como referencia,
OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA Root
C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO
Certification Authority
O=RSA Security Inc, OU=RSA Security 2048 V3
Services Division, CN=Thawte Personal Basic CA/direcciónEmail=personal-
basic@thawte.com
C=FI, O=Sonera, CN=Sonera Class1 CA
O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server
CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97
VeriSign
C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
C=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1
C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1
C=US, O=America Online Inc., CN=America Online Root Certification Authority 1
C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,
CN=NetLock Uzleti (Class B) Tanusitvanykiado
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN - DATACorp SGC
C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA

Certificates
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority

C=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2
C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Authority - G3
C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp
Global Certification Authority
C=PL, O=Unizeto Sp. z o.o., CN=Certum CA CA
C=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limita
responsabilidad.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure
Server Certification Authority
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy
Validation Authority,
CN=http://www.valicert.com//emailAddress=info@valicert.com
C=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
O=Digital Signature Trust Co., CN=DST Root CA X3
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 1
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Secure
Certificate Services
O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
https://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CA
O=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limita respons.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client Certification
Authority
C=US, O=SecureTrust Corporation, CN=Secure Global CA
C=US, O=Equifax, OU=Equifax Secure Certificate Authority
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA Implementation
C=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CA
C=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Premium Server CA/direcciónEmail=premium-
server@thawte.com
C=US, O=SecureTrust Corporation, CN=SecureTrust CA
OU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CA
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2
C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CA
C=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSL
Certification Authority/direcciónEmail=admin@startcom.org
C=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerce
Root
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - Entrust
Implementation
Authority - G5
C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Chained CAs Certification

Certificates
Authority, CN=IPS CA Chained CAs Certification Authority/direcciónEmail=ips@m

IPSail.ips.es
DC=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure Server
Authority
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3
C=TW, O=Government Root Certification Authority
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Trusted
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2
C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref.
limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Client
C=FR, O=Certplus, CN=Class 2 Primary CA
C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification
Authority
Services Division, CN=Thawte Personal Freemail CA/emailAddress=personal-
freemail@thawte.com
O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limita respons.),
OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority
(2048)
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA1 Certification
Authority, CN=IPS CA CLASEA1 Certification
Authority/direcciónEmail=ips@mail.ips.es
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 2
Network
C=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de uso en
https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation
SSL CA
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Global Chambersign Root
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 2 CA/direcciónEmail=certificate@trustcenter.de
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust
Global Root
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de utilización
en https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CA
C=US, O=GTE Corporation, CN=GTE CyberTrust Root
Authority - G3
OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
CN=NetLock Minositett Kozjegyzoi (Class QA)

Certificates
Tanusitvanykiado/direcciónEmail=info@netlock.hu
Authority - G3
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,
CN=DST RootCA X2/direcciónEmail=ca@digsigtrust.com
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE3 Certification
Authority, CN=IPS CA CLASE3 Certification Authority/direcciónEmail=ips@m
IPSail.ips.es
O=RSA Security Inc, OU=RSA Security 1024 V3
C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,
Inc. - Sólo para uso autorizado, CN=thawte Primary Root CA
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,
CN=DST RootCA X1/direcciónEmail=ca@digsigtrust.com
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Server CA/direcciónEmail=server-certs@thawte.com
Network
C=NL, O=DigiNotar, CN=DigiNotar Root CA CA/=info@diginotar.nl
C=US, O=America Online Inc., CN=America Online Root Certification Authority 2
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Timestamping Certification
Authority, CN=IPS CA Timestamping Certification
C=US, O=DigiCert Inc., CN=DigiCert Security Services CA
C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6
C=DK, O=TDC, CN=TDC OCES CA
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification
Authority, CN=IPS CA CLASEA3 Certification
OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrónico y
autenticación del cliente
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAA
CN=http://www.valicert.com//direcciónEmail=info@valicert.com
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE1 Certification
Authority, CN=IPS CA CLASE1 Certification
C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root
C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2
C=US, O=Digital Signature Trust Co., OU=DSTCA E2

Certificates
C=US, O=Digital Signature Trust Co., OU=DSTCA E1

C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc.,
OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure
Certification Authority/númeroSerie=07969287
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Chambers of Commerce Root
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root
CA
C=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM Root
CA/direcciónEmail=admin@digsigtrust.com
C=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA CA, OU=Certificaciones,
CN=IPS SERVIDORES/direcciónEmail=ips@mail.ips.es
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
C=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005
T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim
G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E.
Authority - G5
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 3 CA/direcciónEmail=certificate@trustcenter.de
CN=NetLock Expressz (Class C) Tanusitvanykiado
OU=http://www.usertrust.com, CN=UTN-USERFirst-Object
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification Authority
C=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA Root
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUST
Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi
Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Términos de utilización
en https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended
Validation SSL SGC CA
O=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. por ref. (limita respons.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server Certification
Authority
CN=Microsoft Internet Authority
CN=http://www.valicert.com//direcciónEmail=info@valicert.com
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External
CA Root
C=FI, O=Sonera, CN=Sonera Class2 CA

Certificates
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-Baltimore

Implementation
C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom
Ver y administrar Certificados de Firebox

Puede usar el Fireware XTM Web UI para ver y administrar sus certificados de Firebox. Eso incluye:
n Ver un listado de los certificados actuales de Firebox y sus propiedades

n Importar un certificado
n Seleccionar un certificado del servidor web para la autenticación de Firebox
n Seleccionar un certificado para ser usado con una VPN para Sucursales o VPN de usuario móvil
Nota Debe usar el Firebox System Manager (FSM) para crear solicitudes de firma de
certificado (CSRs), importar listas de revocación de certificado (CRLs), remover o
eliminar certificados.
Para obtener más información, vea el sistema de Ayuda del WatchGuard System
Manager.
Ver los certificados actuales

Para ver el listado actual de certificados:
1. Seleccione Sistema > Certificados.

Aparece la lista "Certificados", con todos los certificados y solicitudes de firma de certificado (CSRs).
La lista Certificados incluye:

n El estado y tipo del certificado.
n El algoritmo usado por el certificado.
n El nombre del sujeto o identificador del certificado.
Por defecto, los certificados CA de confianza no están incluidos en esta lista.
2. Para mostrar todos los certificados en CAs de confianza, seleccione la casilla Mostrar CAs de
confianza para proxy de HTTPS.
3. Para ocultar los certificados CA de confianza, limpie la casilla Mostrar CAs de confianza para proxy
de HTTPS.
Importar un certificado desde un archivo

Se puede importar un certificado desde el portapapeles de Windows o desde un archivo en su PC local. Los
certificados deben tener el formato PEM (base64). Antes de importar un certificado para ser usado con la
función de inspección de contenido proxy de HTTPS, debe importar cada certificado anterior en la cadena
de confianza con el tipo Otro. Eso configura el Firebox para que confíe en el certificado. Debe importar esos
certificados desde el primero hacia el último, o desde el más relevante hacia el menos relevante, para que
el Firebox pueda conectar los certificados en la cadena de confianza adecuadamente.
Para más informaciones, vea Acerca de los certificados en la página 385 y Usar Certificados para el proxy de
HTTPS en la página 397.

Certificates

Aparece la página "Certificados".
2. Haga clic en Importar.
3. Seleccione la opción que coincida con la función del certificado:
n Autoridad proxy de HTTPS (para inspección profunda de paquetes) - Seleccione esta opción si
el certificado es para una política de proxy de HTTPS que administra el tráfico web solicitado
por los usuarios en una red de confianza u opcional desde un servidor web en una red externa,
seleccione Un certificado importado con esa finalidad debe ser un certificado CA. Antes de
importar el certificado CA usado para reencriptar el tráfico con un proxy de HTTPS, asegúrese
de que el certificado CA usado para reencriptar firmar ese certificado haya sido importado con
la categoría Otro.
n Servidor proxy de HTTPS - Seleccione esta opción si el certificado es para una política de proxy
de HTTPS que administra el tráfico web solicitado por usuarios en una red externa desde un
servidor web protegido por el Firebox. Antes de importar el certificado CA usado para
reencriptar el tráfico desde el servidor web de HTTPS, asegúrese de que el certificado CA
utilizado para firmar ese certificado haya sido importado con la categoría Otro .
n CA de confianza para proxy de HTTPS - Seleccione esta opción para un certificado usado para
confiar en tráfico HTTPS que no sea reencriptado por el proxy de HTTPS. Por ejemplo, un
certificado raíz o de CA intermediario usado para firmar el certificado de un servidor web
externo.
n IPSec, Servidor web, Otro - Seleccione esta opción si el certificado es para autenticación u
otros propósitos, o si desea importar un certificado para crear una cadena de confianza para un
certificado que sea usado para reencriptar el tráfico de red con un proxy de HTTPS.
4. Copie y pegue los contenidos del certificado en el cuadro de texto grande. Si el certificado incluye
una clave privada, ingrese la contraseña para descifrar la clave.
5. Haga clic en Importar certificado.
Se agrega el certificado al Firebox.
Usar un certificado del servidor web para autenticación

Para usar un certificado de terceros para ese propósito, primero debe importar ese certificado. Vea el
procedimiento anterior para más información. Si usa un certificado personalizado firmado por el Firebox,
recomendamos que exporte el certificado y luego lo importe en cada dispositivo cliente que se conecta al
Firebox.
1. Seleccione Autenticación > Certificado de Servidor Web .

Aparece la página de Certificado del servidor web de autenticación.
2. Para usar un certificado de terceros importado, seleccione Certificado de terceros y seleccione el
certificado en la lista desplegable.
Haga clic en Guardar y no siga los otros pasos en este procedimiento.

Certificates
3. Para crear un nuevo certificado para la autenticación Firebox, seleccione Personalizar certificado
firmado por Firebox.
4. Ingrese un domain name o dirección IP de una interfaz en su Firebox en el cuadro de texto en la
parte inferior del cuadro de diálogo. Haga clic en Agregar. Cuando haya añadido todos los domain
names deseados, haga clic en Aceptar.
5. Ingrese el nombre común de su organización. Éste suele ser su domain name.
También puede ingresar un nombre de organización y un nombre de departamento de la
organización (ambos opcionales) para identificar la parte de su organización que creó el certificado.
Crear una CSR con el OpenSSL

Para crear un certificado, primero necesita crear una Solicitud de firma de certificado (CSR). Puede enviar
una CSR a una autoridad de certificación o usarla para un certificado autofirmado.
Usar OpenSSL para generar una CSR

El OpenSSL está instalado en la mayoría de las distribuciones de GNU/Linux. Para descargar el código fuente
o un archivo binario de Windows, vaya a http://www.openssl.org/ y siga las instrucciones de instalación
para su sistema operativo. Puede usar el OpenSSL para convertir certificados y solicitudes de firma de
certificado de un formato a otro. Para más información, vea la página principal de OpenSSL o la
documentación online.
1. Abra un terminal de command line interface.

2. Para generar un archivo de clave privada llamado privkey.pem en su directorio actual de trabajo,
ingrese:
openssl genrsa-out privkey.pem 1024
3. Ingrese:
openssl req -new -key privkey.pem -out request.csr
Este comando genera una CSR en el formato PEM en su directorio de trabajo actual.
4. Cuando le solicitan la información del atributo de nombre común x509, ingrese el domain name
completo (FQDN). Use otra información, según convenga.
5. Siga las instrucciones de su autoridad de certificación para enviar la CSR.
Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:
1. Abra un terminal de command line interface.

2. Ingrese:
openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert
Ese comando crea un certificado dentro de su directorio actual que caduca en 30 días con la clave privada y
la CSR creada en el procedimiento anterior.
Nota No se puede usar un certificado autofirmado para la autenticación de puerta de

enlace remota de VPN. Recomendamos que use certificados firmados por una
Autoridad de Certificación de confianza.

Certificates
Firme un certificado con Microsoft CA

Aunque pueda crear un certificado autofirmado con el Firebox System Manager u otras herramientas,
también se puede crear un certificado con el Microsoft Certificate Authority (CA).
Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificación (CA) antes
que sea usada para autenticación. Al crear un certificado con ese procedimiento, uno actúa como la CA y
firma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que envíe
su CSR a una CA ampliamente conocida. Los certificados raíces para esas organizaciones están inslados por
defecto en la mayoría de los exploradores de Internet y dispositivos WatchGuard, así no hace falta que uno
mismo distribuya los certificados raíces.
Se puede usar la mayoría de los sistemas operativos de Windows Server para completar una CSR y crear un
certificado. Las instrucciones siguientes son para el Windows Server 2003.
Enviar la solicitud de certificado

1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidor
donde esté instalada la Autoridad de Certificación, seguido de certsrv .
Por ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Solicitar un certificado.
3. Haga clic en el enlace Solicitud avanzada de certificado.
4. Haga clic en Enviar un certificado.
5. Pegue los contenidos de su archivo de CSR en el cuadro de texto Solicitud guardada.
6. Haga clic en OK.
7. Cierre su explorador web.
Emitir el certificado
1. Conéctese al servidor donde esté instalada la Autoridad de Certificación, si necesario.
2. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificación.
3. En el árbol Autoridad de certificación (Local), seleccione Su domain name> Solicitudes pendientes.
4. Seleccione la CSR en el panel de navegación derecho.
5. En el menu Acción, seleccione Todas las tareas > Emitir.
6. Cierre la ventana de Autoridad de Certificación.
Descargar el certificado
1. Abra su explorador web. En la ubicación o barra de dirección, ingrese la dirección IP del servidor
donde esté instalada la autoridad de certificación, seguido de certsrv.
Ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente.
3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada.
4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificación de base 64.
5. Haga clic en Descargar certificado para guardar el certificado en su disco duro.
La Autoridad de Certificación es distribuida como componente en el Windows Server 2003. Si la Autoridad

de Certificación no está instalada en la carpeta Herramientas Administrativas del Panel de Control siga las
instrucciones del fabricante para instalarla.

Certificates
Usar Certificados para el proxy de HTTPS

Muchos sitios web usan protocolos HTTP y HTTPS para enviar información a usuarios. Cuando el tráfico
HTTP puede ser fácilmente examinado, el tráfico HTTPS es cifrado. Para examinar el tráfico HTTPS solicitado
por un usuario en su red, se debe configurar su Firebox para que descifre la información y luego la cifre con
un certificado firmado por una CA confiada por todos los usuarios de la red.
Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmado
generado automáticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificado
cuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, o
si ese certificado está firmado por una CA (Autoridad de Certificación) que el Firebox no reconoce, éste
forma nuevamente el contenido como Fireware HTTPS Proxy: Certificado no reconocido o simplemente
Certificado inválido.
Esta sección incluye información acerca de cómo exportar un certificado desde el Firebox e importarlo en
un sistema con Microsoft Windows o Mac OS X para que funcione con el proxy de HTTPS. Para importar el
certificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentación de sus
fabricantes.
Proteger un servidor HTTPS privado

Para proteger un servidor de HTTPS en su red, primero debe importar el certificado CA usado para firmar
el certificado del servidor de HTTPS y, luego, importar el certificado del servidor de HTTPS con su clave
privada asociada. Si el certificado CA usado para firmar el certificado del servidor del HTTPS no es
automáticamente confiable, debe importar cada certificado de confianza en secuencia para que este
recurso funcione correctamente. Después de importar todos los certificados, configure el proxy de HTTPS.

Aparece la página "Seleccionar un tipo de política.
3.Expanda la categoría Proxies y seleccione HTTPS-proxy.
4.Haga clic en Agregar política.
5.Seleccione la pestaña Contenido.
6.Seleccione la casilla de verificación Activar inspección profunda de contenido HTTPS.
7.Elija la acción proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS.
8.Limpie las dos casillas de verificación para validación de OCSP.
9.En la Lista de derivación, ingrese las direcciones IP de los sitios web para los cuales no desea
inspeccionar el tráfico.
Para más informaciones, vea Ver y administrar certificados de FireboxVer y administrar Certificados de
Firebox en la página 393.

Certificates
Examinar contenido de los servidores HTTPS externos

Nota Si tiene otro tráfico que usa el puerto HTTPS, tal como el tráfico SSL VPN,
recomendamos que evalúe la función de inspección de contenido cuidadosamente.
El proxy de HTTPS intenta examinar todo el tráfico en el puerto 443 de TCP de la
misma manera. Para asegurar que otras fuentes de tráfico operan correctamente,
recomendamos que agregue esas direcciones IP a la lista de Derivación.
Para más informaciones, vea Proxy de HTTPS: Inspección de contenidoProxy de
HTTPS: Contenido en la página 302.
Si su organización ya tiene un PKI (Infraestructura de Clave Pública) configurado con una CA de confianza,
entonces puede importar un certificado en el Firebox que esté firmado por la CA de su organización. Si el
certificado CA no es automáticamente confiable, debe importar cada certificado previo en la cadena de
confianza para que ese recurso funcione correctamente. Para más informaciones, vea Ver y administrar
certificados de FireboxVer y administrar Certificados de Firebox en la página 393.
Antes de activar esa función, recomendamos que provea el(los) certificado(s) usado(s) para firmar el tráfico
HTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrónico
con las instrucciones, o usar el software de administración de red para instalar los certificados
automáticamente. También recomendamos que pruebe el proxy de HTTPS con un pequeño número de
usuarios para asegurarse de que funciona correctamente antes de aplicarlo al tráfico en una red grande.
Si su organización no tiene un PKI, debe copiar el certificado predeterminado o autofirmado personalizado

desde el Firebox hacia cada dispositivo cliente.

3. Expanda la categoría Proxies y seleccione HTTPS-proxy.
4. Haga clic en Agregar política.
5. Seleccione la pestaña Contenido.
6. Seleccione la casilla de verificación Activar inspección profunda de contenido HTTPS.
7. Elija la acción proxy de HTTPS que desea usar para inspeccionar el contenido de HTTPS.
8. Seleccione las opciones que desea para la validación del certificado OCSP.
9. En la Lista de derivación, ingrese las direcciones IP de los sitios web para los cuales no desea
inspeccionar el tráfico.
Cuando activa la inspección de contenido, las configuraciones de WebBlocker de la acción del proxy de
HTTP anulan las configuraciones de WebBlocker del proxy de HTTPS. Si añade direcciones IP a la lista de
Derivaciones, se filtra el tráfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS.
Para más información en la configuración del WebBlocker, vea Acerca de las WebBlocker en la página 561.
Exportar el certificado de inspección de contenido HTTPS

Ese procedimiento exporta un certificado de su Firebox en el formato PEM.

Certificates
1. Abra el Firebox System Manager y conéctese a su Firebox.

2. Seleccione Ver > Certificados.
3. Seleccione el certificado CA Autoridad proxy de HTTPS en la lista y haga clic en Exportar.
4. Ingrese un nombre y seleccione una ubicación para guardar el certificado localmente.
5. Copie el certificado guardado en el equipo cliente.
Si el certificado proxy de HTTPS usado para la inspección de contenido requiere otro certificado CA
intermediario o raíz antes que sea de confianza para los clientes de la red, también debe exportar esos
certificados. También puede copiar los certificados de la fuente original para distribución.
Si importó el certificado anteriormente en un cliente, puede exportar ese certificado directamente del
sistema operativo o tienda del certificado del explorador. En la mayoría de los casos, eso exporta el
certificado en el formato x.509. Los usuarios de Windows y Mac OS X pueden hacer doble clic en un
certificado de formato x.509 para importarlo.
Importar los certificados en dispositivos clientes

Para usar certificados instalados en el Firebox con los dispositivos clientes, debe exportar los certificados
con el FSM y luego importarlos en cada cliente.
Para más informaciones, vea Importar un certificado en un dispositivo cliente en la página 404.
Solucionar problemas con la inspección de contenido HTTPS

El Firebox suele crear mensajes de registro cuando hay un problema con un certificado usado para la
inspección de contenido de HTTPS. Recomendamos que verifique esos mensajes de registro para más
información.
Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegúrese de que fueron
importados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar el
contenido HTTPS, así como los certificados necesarios para confiar en el certificado del servidor web
original. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que las
conexiones tengan éxito.
Use certificados autenticados para el túnel VPN

Mobile con IPSec
Cuando se crea un túnel de Mobile VPN, la identidad de cada extremo debe ser verificada con una clave.
Esa clave puede ser o una frase de contraseña o una clave precompartida (PSK) conocida por ambos
extremos, o un certificado del Management Server. Su dispositivo WatchGuard debe ser un cliente
administrado para usar un certificado para la autenticación de Mobile VPN. Debe usar el WatchGuard
System Manager para configurar su dispositivo WatchGuard como un cliente administrado.
Para obtener más información acerca de la Ayuda del WatchGuard System Manager.
Para usar los certificados para un nuevo túnel de Mobile VPN con IPSec:
1. Seleccione VPN > Mobile VPN with IPSec.

3. Haga clic en la pestaña Túnel IPSec.

Certificates
4. En la sección Túnel IPSec, seleccione Usar un certificado.

5. En el cuadro de texto Dirección IP CA, ingrese la dirección IP de su Management Server.
6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente
de Mobile VPN with IPSec espera la respuesta de la autoridad de certificación antes de detener las
tentativas de conexión. Recomendamos que se mantenga el valor predeterminado.
7. Realice la configuración del grupo de Mobile VPN.
Para más informaciones, vea Configurar el Firebox para Mobile VPN with IPSec en la página 483.
Para cambiar un túnel de Mobile VPN existente para que use certificados para autenticación:

2. Seleccione grupo de Mobile VPN que desea cambiar. Haga clic en Editar.
4. En la sección Túnel IPSec, seleccione Usar un certificado.
5. En el cuadro de texto Dirección IP CA, ingrese la dirección IP de su Management Server.
6. En el cuadro de texto Tiempo de espera, ingrese o seleccione el tiempo en segundos que el cliente
de Mobile VPN with IPSec espera la respuesta de la autoridad de certificación antes de detener las
tentativas de conexión. Recomendamos que se mantenga el valor predeterminado.
Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:
n El perfil del usuario final (.wgx)

n El certificado del cliente (.p12)
n El certificado raíz de CA (.pem)
Copie todos los archivos en el mismo directorio. Cuando el usuario de Mobile VPN importa el archivo .wgx,
los certificados cliente y raíz en los archivos cacert.pem y .p12 son cargados automáticamente.
Paramás informacionesacerca de Mobile VPN con IPSec,vea Acercadel MobileVPN conIPSec enla página481.
Usar un certificado para autenticación del túnel

BOVPN
Cuando se crea un túnel BOVPN, el protocolo de IPSec verifica la identidad de cada extremo o con una
clave precompartida (PSK) o un certificado importado y almacenado en el Firebox.
Para usar un certificado para autenticación del túnel BOVPN:
1. Seleccione VPN >Branch Office VPN (BOVPN).
2. En la sección Puertas de enlace, haga clic enAgregar para crear nueva puerta de enlace.
O seleccione una puerta de enlace existente y haga clic en Editar.
3. Seleccione Utilizar Firebox Certificate de IPSec.
4. Seleccione el certificado que desea usar.
5. Defina otros parámetros, según sea necesario.
Si usa un certificado para autenticación de BOVPN:
n Primero debe importar el certificado.

Para más informaciones, vea Ver y administrar Certificados de Firebox en la página 393.

Certificates
n El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec.
n Asegúrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo
algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en el
cuadro en la página Puerta de enlace.
n Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificación en un
WatchGuard Management Server.
Verificar el certificado con el FSM

Aparece la página "Certificados".
2. En la columna Insertar, aparece la verificación de IPSec o IPSec/Web.
Verificar los certificados de VPN con servidor de LDAP

Puede usar un servidor de LDPA para verificar automáticamente certificados para la autenticación de VPN
si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de
terceros para usar esta función.

Aparece la página Configuraciones globales de VPN.
2. Seleccione la casilla Activar servidor de LDAP para verificación de certificado.

3. En el cuadro de texto Servidor, ingrese el nombre o dirección del servidor de LDAP.
4. (Opcional) Ingrese el número de Puerto.
Su Firebox verifica el CRL almacenado en el servidor de LDAP cuando se solicita la autenticación del túnel.

Certificates
Configure el certificado del servidor web para la

autenticación de Firebox
Cuando los usuarios se conectan a su dispositivo WatchGuard con un explorador web, suelen ver un alerta
de seguridad. Ese alerta aparece porque el certificado predeterminado no es de confianza o porque el
certificado no coincide con la dirección IP o domain name usado para la autenticación. Si tiene un Fireware
XTM con actualización Pro, puede usar un certificado autofirmado o de terceros que coincida con el IP o
domain name para autenticación de usuarios. Debe importar ese certificado en cada dispositivo o
explorador cliente para evitar los alertas de seguridad.
Para configurar el certificado del servidor web para la autenticación de Firebox:
1. Seleccione > Autenticación Certificado de autenticación web.

Certificates
2. Para usar el certificado predeterminado, seleccione Certificado predeterminado firmado por

Firebox y continúe hasta el último paso de ese procedimiento.
3. Para usar un certificado previamente importado, seleccione Certificado de terceros.
4. Seleccione un certificado en la lista desplegable al lado y siga hasta el último paso de ese
procedimiento.
Ese certificado debe ser reconocido como un certificado Web.

Certificates
5. Si desea crear un certificado personalizado, firmado por su Firebox, seleccione Certificado

personalizado firmado por su Firebox.
6. Ingrese el nombre común de su organización. Éste suele ser su domain name.
(Opcional) También puede ingresar un nombre de organización y un nombre de departamento de

la organización para identificar la parte de su organización que creó el certificado.
7. Para crear más nombres de sujetos o direcciones IP de interfaces para direcciones IP para las cuales
se usará el certificado, ingrese un Domain Name.
8. Haga clic en el botón Agregar al lado del cuadro de texto, para añadir cada entrada
9. Repita los pasos 7 a 8 para añadir más domain names.
Importar un certificado en un dispositivo cliente

Al configurar su Firebox para usar un certificado de terceros o personalizado para autenticación o
inspección de contenido HTTPS, debe importar ese certificado hacia cada cliente en su red para evitar los
alertas de seguridad. Eso también permite que servicios como Windows Update funcionen correctamente.
Nota Si normalmente usa el Fireware XTM Web UI, debe instalar el Firebox System
Manager antes de exportar los certificados.
Importar un certificado en formato PEM con el Windows XP

Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la
tienda de certificados Windows en el Microsoft Windows XP para acceder al certificado.
1. En el menú de Windows Inicio, seleccione Ejecutar.

2. Ingrese mmc y haga clic en Aceptar.
Aparece el Windows Management Console.
3. Seleccione Archivo >Agregar/Remover encaje.
5. Seleccione Certificados y después haga clic en Agregar.
6. Seleccione Cuenta del equipo y haga clic en Siguiente.
7. Haga clic en Finalizar, Cerrar o Aceptar para añadir el módulo de certificados.
8. En la ventana Raíz de Consola, haga clic en el icono de más (+) para expandir el árbol Certificados.
9. Expanda el objeto Autoridades de Certificación de raíz de confianza.
10. En el objeto Autoridades de certificación de raíz de confianza, haga clic con el botón derecho en
Certificados y seleccione Todas las tareas> Importar.
11. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de
Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.
12. Haga clic en Siguiente y después en Finalizar para concluir el asistente.
Importar un certificado en formato PEM con el Windows Vista

Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la
tienda de certificados Windows en el Microsoft Windows Vista para acceder al certificado.
1. En el menú Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presione
Entrar.
Si se le solicita que autentique como administrador, inserte su contraseña o confirme su acceso.

Certificates
2. Seleccione el objeto Autoridades de certificación de raíz de confianza.

3. En el menú Acción, seleccione Todas las tareas> Importar.
4. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de
Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.
5. Haga clic en Siguiente y después en Finalizar para concluir el asistente.
Importar un certificado en formato PEM con Mozilla Firefox 3.x

Mozilla Firefox usa una tienda de certificados privados en vez de una tienda de certificados de sistema
operativo. Si los clientes en su red usan el explorador Firefox, debe importar el certificado en la tienda de
certificados de Firefox aunque ya haya importado el certificado en el sistema operativo del host.
Cuando tiene más de un dispositivo Firebox que usa un certificado autofirmado para inspección de
contenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante,
los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox sólo
reconoce el primer certificado importado cuando más de un certificado tiene el mismo nombre.
Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CA
diferente, y luego distribuya esos certificados a cada cliente.
1. En el Firefox, seleccione Herramientas > Opciones.

3. Seleccione la pestaña Cifrado y después haga clic en Ver certificados.
Aparece el cuadro de diálogo "Administrador de Certificados".
4. Seleccione la pestaña Autoridades y después haga clic en Importar.
5. Examine para seleccionar el archivo de certificado y después haga clic en Abrir.
6. En el cuadro de diálogo Descargando certificado, seleccione la casilla Confiar en esta CA para
identificar los sitios web. Haga clic en OK.
7. Haga doble clic en Aceptar para cerrar los cuadros de diálogo Administrador de Certificados y
Opciones .
8. Reinicie el Mozilla Firefox.
Importar un certificado en formato PEM con el Mac OS X 10.5

Ese proceso permite que el Safari u otros programas o servicios usen la tienda de certificados de Mac OS X
para acceder al certificado.
1. Abra la aplicación Acceso a claves.

2. Seleccione la categoría Certificados.
3. Haga clic en el icono de más (+) en la barra de herramientas inferior y después encuentre y
seleccione el certificado.
4. Seleccione la clave Sistema y haga clic en Abrir. También puede seleccionar la clave "Sistema" y
arrastrar y soltar el archivo del certificado hacia la lista.
5. Haga clic con el botón derecho en el certificado y seleccione Obtener datos.
Aparece la ventana de datos del certificado.
6. Expanda la categoría Confianza.
7. En la lista desplegable Cuando esté usando este certificado, seleccione Confiar siempre.
8. Cerrar la ventana de datos del certificado.
9. Ingrese la contraseña del administrador para confirmar sus cambios.

Certificates

19 Redes Privada Virtual (VPN)
Introducción a VPNs
Para que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es la
Internet, puede crear una red privada virtual (VPN). También puede usar una VPN para establecer una
conexión segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedes
corporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticación
para identificar el emisor y el destinatario de los datos. Si la información de autenticación está correcta, los
datos son cifrados. Sólo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN.
Un túnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como túnel
porque se usa un protocolo de túnel, como IPSec, SSL o PPTP, para proteger el envío de paquetes de datos.
La puerta de enlace o PC que usa una VPN usa ese túnel para enviar paquetes de datos por la Internet
pública hacia direcciones IP privadas detrás de una puerta de enlace de VPN.
Branch Office VPN (BOVPN)

Una VPN para Sucursales (BOVPN) es una conexión cifrada entre dos dispositivos exclusivos de hardware.
Es usada con más frecuencia para asegurar la protección de comunicaciones entre redes en dos oficinas.
WatchGuard ofrece dos métodos para configurar una BOVPN:
BOVPN manual
Puede usar el Policy Manager o el Fireware XTM Web UI para configurar manualmente una BOVPN
entre dos dispositivos que soportan protocolos de VPN de IPSec.
Para más informaciones, vea Acerca de túneles BOVPN manuales en la página 418.
BOVPN administrada
Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dos
dispositivos WatchGuard.

Redes Privada Virtual (VPN)
Para obtener más información, vea el Guía del usuario del WatchGuard System Manager o el
sistema de ayuda online.
Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el túnel BOVPN.
Para obtener más información acerca de las VPNs de IPSec, vea Acerca de la VPNs de IPSec en la página 408.
Mobile VPN
Una Mobile VPN es una conexión cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio o
laptop. Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con
seguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs:
n Mobile VPN with IPSec

n Mobile VPN with PPTP
n Mobile VPN with SSL
Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la página 413.
Acerca de la VPNs de IPSec

La VPN para Sucursales de WatchGuard y el Mobile VPN with IPSec usan el conjunto de protocolo IPSec
para establecer VPNs entre dispositivos o usuarios móviles. Antes de configurar una VPN de IPSec,
principalmente si configura un túnel BOVPN manual, es útil comprender cómo las VPNs de IPSec
funcionan.
Para más información, vea:
n Acerca de los algoritmos y protocolos de IPSec

n Acerca de las negociaciones VPN de IPSec
n Configuraciones de Fase 1 y Fase 2
Acerca de los algoritmos y protocolos de IPSec

IPSec es un conjunto de servicios basado en criptografía y protocolos de seguridad que protegen la
comunicación entre dispositivos que envían tráfico por una red no confiable. Como el IPSec está construido
a partir de un conjunto de protocolos y algoritmos conocidos, se puede crear una VPN de IPSec entre su
dispositivo WatchGuard y muchos otros dispositivos que soportan esos protocolos estándares. Los
protocolos y algoritmos usados por IPSec son abordados en las siguientes secciones.
Algoritmos de cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser leídos por terceros mientras estén en
tránsito. El Fireware XTM soporta tres algoritmos de cifrado:
n DES (Estándar de Cifrado de Datos) — Usa una clave de cifrado con extensión de 56 bits. Ese es el
más débil de los tres algoritmos.
n 3DES(Triple-DES) —Un algoritmode cifradobasado enDES que usa DES paracifrar losdatos tresveces.
n AES (Estándar de Cifrado Avanzado) — El algoritmo de cifrado más fuerte que existe. Fireware XTM
puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.

Algoritmos de autenticación
Los algoritmos de autenticación verifican la integridad y autenticidad de los datos de un mensaje. El
Fireware XTM soporta dos algoritmos de autenticación:
n HMAC-SHA1 (Código de autenticación de mensaje hash — Secure Hash Algorithm 1) — SHA-1

produce un resumen de mensaje de 160 bits (20 bytes). Aunque sea más lento que el MD5, ese
archivo más grande es más fuerte contra los ataques de fuerza bruta.
n HMAC-MD5 (Código de autenticación de mensaje hash — Algoritmo 5 de resumen de mensaje) — El
MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace más rápido que SHA-1.
Protocolo IKE
Definido en RFC2409, IKE (siglas en inglés para intercambio de clave de Internet) es un protocolo usado
para configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen
secretos de sesión compartidos a partir de los cuales se derivan las claves para el cifrado de datos en túnel.
El IKE también es usado para autenticar los dos puntos de IPSec.
Algoritmo de intercambio de clave Diffie-Hellman

El algoritmo de intercambio de clave Diffie-Hellman (DH) es un método usado para que una clave de cifrado
compartida esté disponible a dos entidades sin el intercambio de la clave. La clave de cifrado para los dos
dispositivos es usada como una clave simétrica para encriptar datos. Solamente las dos partes involucradas
en el intercambio de clave DH pueden deducir la clave compartida, y la clave nunca es enviada por cable.
Un grupo de clave Diffie-Hellman es un grupo de números enteros usados para el intercambio de clave
Diffie-Hellman. Fireware XTM puede usar grupos DH 1, 2 y 5. Los números más altos del grupo ofrecen
seguridad más fuerte.
Para más informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.
AH
Definido en RFC 2402, el AH (Encabezado de autenticación) es un protocolo que puede usar en las
negociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega información de
autenticación al datagrama de IP. La mayoría de los túneles VPN no usan AH porque no ofrece cifrado.
ESP
Definido en RFC 2406, el ESP (Carga de seguridad de encapsulación) ofrece autenticación y cifrado de datos.
El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Añade verificaciones
de integridad para asegurar que los datos no sean alterados en tránsito y que vienen de una fuente
adecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es más
seguro que el AH. El Mobile VPN with IPSec siempre usa ESP.

Acerca de las negociaciones VPN de IPSec

Los dispositivos en ambos extremos de un túnel VPN de IPSec son puntos de IPSec. Cuando dos puntos de
IPSec quieren establecer una VPN entre sí, ellos intercambian una serie de mensajes acerca de cifrado y
autenticación, e intentan aceptar diversos parámetros diferentes. Ese proceso es conocido como
negociaciones de VPN. Un dispositivo en la secuencia de negociación es el iniciador mientras que el otro es
el respondedor.
Las negociaciones de VPN ocurren en dos fases distintas: Fase 1 y Fase 2.
Configuraciones
El principal propósito de la Fase 1 es configurar un canal cifrado seguro a través del cual los dos
puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con éxito, los puntos pasan rápidamente
hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2.
Fase 2
El propósito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de
parámetros que definen qué tráfico puede pasar por la VPN y cómo encriptar y autenticar el tráfico.
Ese acuerdo se llama Asociación de Seguridad.
Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del túnel.
Negociaciones de Fase 1
En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican y
negocian para encontrar un conjunto común de configuraciones de Fase 1 que usar. Cuando se concluyen
las negociaciones de Fase 1, los dos puntos tienen una Asociación de Seguridad (SA) de Fase 1. Esa SA es
válida sólo por un período de tiempo determinado. Después que la SA de Fase 1 caduca, si dos los puntos
deben concluir las negociaciones de Fase 2 nuevamente, también deben negociar la Fase 1 nuevamente.
Las negociaciones de Fase 1 incluyen estos pasos:
1. Los dispositivos intercambian credenciales.
Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puerta
de enlace deben usar el mismo método de credenciales. Si un punto usa una clave precompartida,
el otro punto también debe usar una y las claves deben coincidir. Si un punto usa un certificado, el
otro también debe usar un certificado.
2. Los dispositivos se identifican uno al otro.
Cada dispositivo ofrece un identificador de Fase 1, que puede ser una dirección IP, domain name,
información de dominio o nombre de X500. La configuración de VPN en cada punto contiene un
identificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir.
3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.

Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. El
dispositivo que inicia las negociaciones IKE (el iniciador) envía una propuesta de Modo Principal o
una propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no esté
configurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menos
intercambios de paquetes. El Modo Agresivo es menos seguro, pero más rápido que el Modo
Principal.
4. Los puntos concuerdan respecto a los parámetros de Fase 1.
n Si usar NAT Traversal

n Si enviar mensajes de IKE keep-alive (soportado entre dispositivos WatchGuard solamente)
n Si usar la Dead Peer Detection (RFC 3706)
5. Los puntos concuerdan respecto a las configuraciones de Transformación de Fase 1.
Las configuraciones de transformación incluyen un conjunto de parámetros de cifrado y

autenticación, y el período máximo de tiempo para la SA de Fase 1. Las configuraciones en la
transformación de Fase 1 deben coincidir exactamente con la transformación de Fase 1 en el punto
IKE, sino las negociaciones de IKE fallan.
Los ítemes que puede definir en la transformación son:
n Autenticación — El tipo de autenticación (SHA1 o MD5).
n Cifrado — El tipo de algoritmo de cifrado (DES, 3DES o AES).
n Duración de SA — El período de tiempo hasta que se caduque la Asociación de Seguridad (SA)
de Fase 1.
n Grupo de clave — El grupo de clave Diffie-Hellman.
Negociaciones de Fase 2
Después que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones de
Fase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA de
IPSec es un conjunto de especificaciones de tráfico que informan al dispositivo qué tráfico enviar por la
VPN y cómo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en un
conjunto de parámetros de comunicación. Cuando configura el túnel BOVPN en el Policy Manager o en el
Fireware XTM Web UI, especifica los parámetros de Fase 2.
Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define las
configuraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar la
puerta de enlace que usar para cada túnel.
Las negociaciones de Fase 2 incluyen estos pasos:
1. Los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2.
Las negociaciones de Fase 2 sólo pueden empezar después que se haya establecido la SA de Fase 1.
2. Los pares intercambian identificadores de Fase 2 (IDs).
Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cuáles
direcciones IP detrás del dispositivo local pueden enviar tráfico por la VPN y el otro indica cuáles
direcciones IP detrás del dispositivo remoto pueden enviar tráfico por la VPN. Eso también se
conoce como una ruta de túnel. Puede especificar los IDs de Fase 2 para el punto local y remoto
como una dirección IP de host, una dirección IP de red o un rango de direcciones IP.

3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS).
El PFS especifica cómo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos pares IKE
deben usar el PFS, sino la regeneración de claves de Fase 2 falla. El PFS garantiza que si una clave de
cifrado usada para proteger la transmisión de datos está comprometida, un atacante puede acceder
sólo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan con
usar el PFS, deben también concordar con el grupo de claves Diffie-Hellman que usar para el PFS.
4. Los puntos concuerdan con una propuesta de Fase 2.
La propuesta de Fase 2 incluye las direcciones IP que pueden enviar tráfico por el túnel, y un grupo
de parámetros de cifrado y autenticación. El Fireware XTM envía esos parámetros en una propuesta
de Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y con
qué frecuencia generar nuevas claves de cifrado de Fase 2.
Los ítems que puede definir en una propuesta de Fase 2 incluyen:
Tipo
Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado de
autenticación (AH) o Carga de seguridad de encapsulación (ESP). El ESP ofrece autenticación y
cifrado de los datos. El AH ofrece autenticación sin el cifrado. Recomendamos que seleccione
ESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP.
Autenticación
La autenticación asegura que la información recibida es exactamente la lista que la información

enviada. Puede usar el SHA o MD5 como algoritmo que los puntos usan para autenticar
mensajes IKE uno del otro. SHA1 es el más seguro.
Cifrado
El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es el
más seguro.
Forzar Caducidad de Clave
Para asegurarse de que las claves de cifrado de Fase 2 cambian periódicamente, siempre active
la caducidad de clave. Cuanto más tiempo una clave de cifrado de Fase 2 esté en uso, más datos
un atacante puede recoger para usar en un ataque contra la clave.
Configuraciones de Fase 1 y Fase 2

Se configura la Fase 1 y Fase 2 para cada VPN de IPSec configurada.
Branch Office VPN (BOVPN)

Para una Branch Office VPN (BOVPN) (BOVPN), se configura la Fase 1 cuando define una puerta de enlace
de Sucursal y configura la Fase 2 cuando define un túnel de Sucursal.
Para más información acerca del la configuración de Fase 1 y Fase 2 de BOVPN, vea:
n Definir puertas de enlace en la página 421

n Definir un túnel en la página 431

Mobile VPN with IPSec

En el caso del Mobile VPN con IPSec, se configura la Fase 1 y Fase 2 cuando agrega o edita una
configuración de Mobile VPN con IPSec.
Para más información, vea:
n Configurar el Firebox para Mobile VPN with IPSec

n Modificar un perfil de grupo existente de Mobile VPN con IPSec
Usar un certificado para autenticación de túnel VPN de IPSec

Cuando se crea un túnel IPSec, el protocolo de IPSec verifica la identidad de cada extremo o con una clave
precompartida (PSK) o un certificado importado y almacenado en el Firebox. Se configura el método de
autenticación de túnel en la configuración de Fase 1 de VPN.
Para más información acerca de cómo usar un certificado para autenticación de túnel, vea:
n Usar un certificado para autenticación del túnel BOVPN

n Use certificados autenticados para el túnel VPN Mobile con IPSec
Acerca de Mobile VPNs

Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con seguridad a la
red corporativa. El Fireware XTM soporta tres tipos de redes privadas virtuales de usuario remoto: Mobile
VPN with IPSec, Mobile VPN with PPTP y Mobile VPN with SSL.
Cuando una Mobile VPN, primero configura su Firebox y después configura los equipos de clientes
remotos. El Policy Manager o el Fireware XTM Web UI son usados para configurar cada usuario o grupo de
usuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz de
usuario web para crear un archivo de configuración de perfil de usuario final que incluya todas las
configuraciones necesarias para conectarse al Firebox. También puede configurar sus políticas para permitir
o negar tráfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos de
usuario de Firebox o en un servidor de autenticación externo.
Seleccione una Mobile VPN

El Fireware XTM soporta tres tipos de Mobile VPN. Cada tipo usa diferentes puertos, protocolos y
algoritmos de cifrado.
Mobile VPN with PPTP
n PPTP (Protocolo de túnel punto a punto) — Protege el túnel entre dos extremos

n Puerto 1723 TCP — Establece el túnel
n Protocolo 47 IP — Cifra los datos
n Algoritmos de cifrado — 40 bits ó 128 bits
n IPSec (Seguridad de protocolo de Internet) — Protege el túnel entre dos extremos

n Puerto 500 UDP (IKE) — Establece el túnel
n Puerto 4500 UDP (NAT Traversal) — Usado si el Firebox está configurado para NAT

n Protocolo 50 IP (ESP) o Protocolo 51 IP (AH) — Cifra los datos

n Algoritmos de cifrado — DES, 3DES o AES (128, 192 ó 256 bits)
Mobile VPN with SSL
n SSL (Secure Sockets Layer) — Protege el túnel entre dos extremos

n Puerto 443 TCP o Puerto 443 UDP — Establece el túnel y cifra los datos
n Algoritmos de cifrado — Blowfish, DES, 3DES o AES (128, 192 ó 256 bits)
Nota En el caso del Mobile VPN con SSL, puede elegir un puerto y protocolo diferentes.
Para más informaciones, vea Elegir un puerto y protocolo para Mobile VPN with
SSL en la página 550
El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias de
política de red. El Firebox puede administrar tres tipos de Mobile VPN simultáneamente. Un equipo cliente
puede ser configurado para usar uno o más métodos. Algunos de los aspectos que considerar cuando
seleccione qué tipo de Mobile VPN usar están descritos en las siguientes secciones.
Licencias y capacidad del túnel VPN

Cuando selecciona un tipo de túnel, asegúrese de considerar el número de túneles que su dispositivo
soporta y si puede adquirir una actualización para aumentar el número de túneles.
Mobile VPN Máximo de túneles VPN
Mobile VPN with

50 túneles
PPTP
n Los túneles máximos y básicos varía según el modelo del

Mobile VPN with dispositivo WatchGuard.
IPSec n Es necesaria la compra de licencia para activar el número máximo
de túneles.
n Los túneles máximos y básicos varían según el modelo del

Mobile VPN with n La actualización Pro para el Fireware XTM OS es necesaria para el
SSL máximo de túneles VPN de SSL.
n Para soportar más de un túnel VPN de SSL debe tener una
actualización Pro.
Para el número máximo y básico de túneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL,
vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.
Compatibilidad del servidor de autenticación

Cuando selecciona una solución de Mobile VPN, asegúrese de elegir una solución que soporte el tipo de
servidor de autenticación utilizado.

Vasco
Mobile RSA Active
Firebox RADIUS Vasco/ RADIUS Challenge LDAP
VPN SecurID Directory
Response
Mobile
VPN with Sí Sí No No No No No
PPTP
Mobile
VPN with Sí Sí Sí N/A Sí Sí Sí
IPSec
Mobile
VPN with Sí Sí Sí N/A Sí Sí Sí
SSL
Pasos de configuración del cliente y compatibilidad del sistema

operativo
Los pasos de configuración que el cliente debe seguir son diferentes para cada solución de Mobile VPN.
Cada solución de VPN también es compatible con sistemas operativos diferentes.
Mobile VPN with PPTP
No instale el software cliente de VPN de WatchGuard. Debe configurar manualmente la

configuración de red en cada equipo cliente para establecer una conexión de PPTP.
Compatible con: Windows XP y Windows Vista.
Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil del
usuario final. El cliente Mobile VPN con IPSec requiere más pasos para ser configurado que el
cliente Mobile VPN con SSL.
Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7
(32 bits y 64 bits).
Mobile VPN with SSL
Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuración.
Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows
7 (32 bits y 64 bits), Mac OS X 10.6 Snow Leopard y Mac OS X 10.5 Leopard
Opciones de acceso a Internet para usuarios de Mobile VPN

Para los tres tipos de Mobile VPN, tiene dos opciones de acceso a Internet para sus usuarios de Mobile VPN:

Forzar todo el tráfico de cliente a través del túnel (VPN de ruta predeterminada)
La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a
través del túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta a
Internet. Con esa configuración (conocida como VPN de ruta predeterminada), el dispositivo
WatchGuard puede examinar todo el tráfico y ofrecer mayor seguridad, aunque se use más
potencia de procesamiento y ancho de banda.
Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPN para PPTP, una
política de NAT dinámica debe incluir el tráfico saliente de la red remota. Eso permite que los
usuarios remotos naveguen en Internet cuando envían todo el tráfico al dispositivo WatchGuard.
Permitir acceso directo a Internet (dividir VPN de túnel)
Otra opción de configuración es activar el túnel dividido. Con esa opción, los usuarios pueden
navegar en Internet, pero el tráfico de Internet no es enviado a través del túnel VPN. El túnel
dividido mejora el desempeño de red, pero disminuye la seguridad debido a que las políticas
creadas no son aplicadas al tráfico de Internet. Si usa el túnel dividido, recomendamos que cada
equipo cliente tenga un firewall de software.
Para más información específica para cada tipo de Mobile VPN, vea:
n Opciones de acceso a Internet a través de un túnel de Mobile VPN con IPSec

n Opciones de acceso a Internet a través de un túnel de Mobile VPN con PPTP
n Opciones de acceso a Internet a través de un túnel de Mobile VPN con SSL
Descripción de configuración de Mobile VPN

Cuando configura una Mobile VPN, primero debe configurar el dispositivo WatchGuard y después los
equipos clientes. Independientemente del tipo de Mobile VPN elegido, debe concluir los mismos cinco
pasos de configuración. Los detalles para cada paso son diferentes según el tipo de VPN.
1. Activar la Mobile VPN en el Policy Manager.

2. Definir las configuraciones de VPN para el nuevo túnel.
3. Seleccionar y configurar el método de autenticación para los usuarios de Mobile VPN.
4. Definir políticas y recursos.
5. Configurar los equipos clientes.
n En el caso del Mobile VPN con IPSec y Mobile VPN con SSL, instale el software cliente y el
archivo de configuración.
n Para el Mobile VPN con PPTP, configure manualmente la conexión de PPTP en la configuración
de red del equipo cliente.
Para más información y pasos detallados para configurar cada tipo de Mobile VPN, vea:
n Acerca del Mobile VPN con IPSec

n Acerca del Mobile VPN con PPTP
n Acerca del Mobile VPN con SSL

20 Túneles de BOVPN manuales
Lo que necesita para crear un BOVPN

Antes de configurar una red Branch Office VPN (BOVPN) en su dispositivo WatchGuard, lea esos requisitos:
n Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo que
usa estándares IPSec. Debe activar la opción VPN en otro dispositivo si todavía no está activa.
n Debe tener una conexión de Internet.
n El ISP para cada dispositivo de VPN debe permitir el tráfico IPSec en sus redes.
Algunos ISPs no permiten la creación de túneles VPN en sus redes excepto si actualiza su servicio de
Internet para un nivel que soporte túneles VPN. Hable con un representante de cada ISP para
asegurarse de que esos puertos y protocolos están permitidos:
n Puerto UDP 500 (Intercambio de clave de red o IKE)
n Puerto UDP 4500 (NAT Traversal)
n Protocolo IP 50 (Carga de seguridad de encapsulación o ESP)
n Si en el otro extremo del túnel VPN hay un dispositivo WatchGuard y cada dispositivo es
administrado, puede usar la opción Managed VPN. La Managed VPN es más fácil de configurar que
la "Manual VPN". Para usar esa opción, debe obtener información junto al administrador del
dispositivo WatchGuard en el otro extremo del túnel VPN.
n Debe saber si la dirección IP asignada a la interfaz externa de su dispositivo WatchGuard es estática o
dinámica.
Para obtener más información acerca de las direcciones IP, vea Acerca de las Direcciones IP en la
página 3.
n Su modelo de dispositivo WatchGuard informa el número máximo de túneles VPN que puede crear.
Si su modelo de Firebox puede ser actualizado, puede adquirir la actualización del modelo que
aumente el número máximo de túneles VPN soportados.
n Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio de
Microsoft Windows o deben ser dominios de confianza. Esa es una cuestión de Microsoft
Networking, no una limitación de Firebox.

Túneles de BOVPN manuales
n Si desea usar los servidores DNS y WINS de la red en el otro extremo del túnel VPN, debe conocer
las dirección IP de esos servidores.
El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si éstos
obtienen sus direcciones IP de Firebox con DHCP.
n Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de la
VPN, puede ingresarlas en las configuraciones de DHCP en la configuración de la red de confianza.
Para más información acerca de cómo configurar el Firebox para distribuir las dirección IP con
DHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la página 86.
n Debe conocer la dirección de red de las redes privadas (de confianza) detrás de su Firebox y de la
red detrás del otro dispositivo de VPN, así como de sus máscaras de subred.
Nota Las direcciones IP privadas de los equipos detrás de su Firebox no pueden ser las
mismas que las direcciones IP de los equipos en el otro extremo del túnel VPN. Si su
red de confianza usa las mismas direcciones IP que la oficina hacia la cual se
establecerá un túnel VPN, entonces su red o la otra red debe cambiar los ajustes de
dirección IP para evitar conflictos de dirección IP.
Acerca de túneles BOVPN manuales

Una VPN (Red Privada Virtual) establece conexiones seguras entre equipos y redes en diferentes
ubicaciones. Cada conexión es conocida como un túnel. Cuando se crea un túnel VPN, las dos extremidades
del túnel autentican una a la otra. Los datos en el túnel son cifrados. Sólo el remitente y el destinatario del
tráfico pueden leerlos.
Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en inglés) permiten a las organizaciones
ofrecer conectividad segura y cifrada entre oficinas separadas geográficamente. Las redes y hosts en un
túnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas
comunicaciones suelen contener tipos de datos críticos intercambiados dentro de un firewall corporativo.
En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la
comunicación, reduce el costo de líneas exclusivas y mantiene la seguridad en cada extremidad.
Manual Los Túneles BOVPN son creados con el Fireware XTM Web UI, ofreciendo diversas opciones
adicionales de túneles. Otro tipo de túnel es un túnel BOVPN administrado, que es un túnel BOVPN que se
crea en el WatchGuard System Manager con el procedimiento de arrastrar y soltar, un asistente y el uso de
plantillas. Para más información acerca de ese tipo de túnel, vea el Guía del Usuario o el sistema de ayuda
online de WatchGuard System Manager.
Lo que necesita para crear un VPN

Además de los requisitos de VPN, debe tener esa información para crear un túnel Manual VPN:
n Debe saber si la dirección IP asignada al otro dispositivo VPN es estática o dinámica. Si el otro
dispositivo VPN tiene una dirección IP dinámica, su Firebox debe encontrar el otro dispositivo por el
domain name y el otro dispositivo debe usar DNS Dinámico.
n Se debe conocer la clave compartida (frase de contraseña) del túnel. La misma clave compartida
debe ser usada por cada dispositivo.
n Se debe conocer el método de cifrado usado en el túnel (D 3DESES, 3DES, AES 128 bits, AES 192 bits
o AES 256 bits). Los dos dispositivos de VPN deben usar el mismo método de cifrado.

n Se debe conocer el método de autenticación de cada extremo del túnel (MD5 o SHA-1). Los dos
dispositivos de VPN deben usar el mismo método de autenticación.
Para más informaciones, vea Lo que necesita para crear un BOVPN en la página 417.
Recomendamos que tome nota de su configuración de Firebox y la información relacionada para el otro
dispositivo. Vea Muestra cuadro de información de dirección de VPN en la página 420 para registrar esa
información.
Cómo crear un túnel BOVPN manual

El procedimiento básico para crear un túnel manual requiere estos pasos:
1. Definir puertasde enlace—puntos de conexión tantoen laextremidad localcomo enla remotadel túnel.
2. Establezca túneles entre los extremos de puertas de enlace— configure rutas para el túnel,
especifique cómo los dispositivos controlan la seguridad y cree una política para el túnel.
Algunas otras opciones pueden ser usadas para los túneles BOVPN están descritas en las secciones abajo.
Túneles de una dirección

Configurar NAT dinámica saliente a través de un túnel BOVPN si desea mantener el túnel VPN abierto sólo
en una dirección. Eso puede ser útil cuando establece un túnel para un sitio remoto donde todo el tráfico
de VPN viene desde una dirección IP pública.
Failover de VPN
Los túneles VPN automáticamente hacen la conmutación por error para la interfaz WAN de resguardo
durante la conmutación por error de WAN. Puede configurar túneles BOVPN para hacer conmutación por
error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso,
debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en la
página 456.
Configuraciones de VPN Global

Las configuraciones de VPN Global en su Firebox se aplican a todos los túneles BOVPN, túneles
administrados y túneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec

n Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS)
n Usar un servidor de LDAP para verificar los certificados
n Hacer que el Firebox envíe una notificación cuando un túnel BOVPN esté inactivo (sólo túneles
BOVPN).
Para cambiar esas configuraciones, en el Fireware XTM Web UI, seleccione VPN > Configuraciones
Globales. Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de
VPN Global en la página 438.

Estado del túnel BOVPN

Para ver el estado actual de los túneles BOVPN. En el Fireware XTM Web UI, seleccione Estado del sistema
> Estadísticas de VPN. Para más informaciones, vea Estadísticas de VPN en la página 382.
Regenerar clave de túneles BOVPN

Puede usar el Fireware Web UI para generar nuevas claves inmediatamente para los túneles BOVPN en vez
de esperar que caduquen. Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.
Muestra cuadro de información de dirección de

VPN
Asignado
Elemento Descripción
por
La dirección IP que identifica el dispositivo compatible con

IPSec en la Internet. ISP ISP
Dirección IP externa Ejemplo: ISP ISP

Sitio A: 207.168.55.2
Sitio B: 68.130.44.15
Dirección usada para identificar una red local. Esas son las
direcciones IP de los equipos en cada extremo que están
autorizados a enviar tráfico a través del túnel VPN.
Recomendamos que use una dirección de uno de los
rangos reservados:
10.0.0.0/8—255.0.0.0
172.16.0.0/12—255.240.0.0
Dirección de red 192.168.0.0/16—255.255.0.0

Usted
local Los números después de las barras diagonales indican las
máscaras de subred. /24 significa que la Subnet Mask para
la red de confianza es 255.255.255.0. Para más
información acerca de la notación diagonal, vea Acerca de
las Notación diagonal en la página 3.
Ejemplo:
Sitio A: 192.168.111.0/24
Sitio B: 192.168.222.0/24

Asignado
Elemento Descripción
por
La clave compartida es una frase de contraseña usada por

dos dispositivos compatibles con IPSec para cifrar y
descifrar los datos que pasan por el túnel VPN. Los dos
dispositivos usan la misma frase de contraseña. Si los
dispositivos no tienen la misma frase de contraseña, no
pueden encriptar o descifrar los datos correctamente.
Use una frase de contraseña que contenga números,

Clave compartida Usted
símbolos, letras en minúsculas y mayúsculas para mejor
seguridad. Por ejemplo, "Gu4c4mo!3" es mejor que
"guacamole".
Ejemplo:
Sitio A: OurSharedSecret
Sitio B: OurSharedSecret
DES usa cifrado de 56 bits. 3DES usa cifrado de 168 bits. El

cifrado AES está disponible en 128, 192 y 256 bits. AES de
256 bits es el cifrado más seguro. Los dos dispositivos
Método de cifrado deben usar el mismo método de cifrado. Usted
Ejemplo:
Sitio A: 3DES; Sitio B: 3DES
Los dos dispositivos deben usar el mismo método de

autenticación.
Autenticación Ejemplo: Usted

Sitio A: MD5 (o SHA-1)
Sitio B: MD5 (o SHA-1)
Definir puertas de enlace

Un puerta de enlace es un punto de conexión para uno o más túneles. Para crear un túnel, debe configurar
puertas de enlace tanto en el dispositivo extremo local como en el remoto. Para configurar esas puertas de
enlace, debe especificar:
n Método de credencial - claves precompartidas o un Firebox Certificate IPSec. Para más información
acerca de cómo usar certificados para autenticación BOVPN, vea Usar un certificado para
autenticación del túnel BOVPN en la página 400.
n Ubicación de los extremos de la puerta de enlace remota y local, sea por dirección IP o por
información de dominio.

n Las configuraciones la Fase 1 de la negociación de Intercambio de Claves de Internet (IKE). Esa fase
define la asociación de seguridad o protocolos y configuraciones que los extremos de la puerta de
enlace usarán para comunicarse, para proteger datos que son transmitidos en la negociación.
1. En el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.
Aparece la página de configuración de VPN de Sucursal, con la lista de Puertas de Enlace en el topo.
2. Para agregar una puerta de enlace, haga clic en Agregar al lado de la lista Puertas de enlace.
Aparece la página de configuraciones Puerta de enlace.

3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta
de enlace para este Firebox.
4. En lapágina Puerta de enlace, seleccione o Usar clave precompartida o Usar Firebox Certificate de
IPSec para identificar el procedimiento de autenticación utilizado por ese túnel.
Si seleccionó Usar clave precompartida
ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo
remoto. Esa clave compartida debe usar sólo caracteres ASCII estándares.
Si seleccionó Usar Firebox Certificate de IPSec
La tabla abajo del botón de radio muestra los certificados actuales en el Firebox. Seleccione el
certificado que usar para la puerta de enlace.
Para más informaciones, vea Usar un certificado para autenticación del túnel BOVPN en la página 400.
Ahora puede Definir extremos de puerta de enlace.

Definir extremos de puerta de enlace

Los extremos de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. Esa
información explica a su dispositivo WatchGuard cómo identificar y comunicarse con el dispositivo del
extremo remoto cuando negocia la BOVPN. También dice al dispositivo WatchGuard cómo identificarse al
extremo remoto al negociar la BOVPN.
Cualquier interfaz externa puede ser un gateway endpoint. Si tiene más de una interfaz externa, puede
configurar múltiples puertas de enlace para Configurar Failover de VPN.
Puerta de enlace local

En la sección Puerta de Enlace local, configure el ID de la puerta de enlace y la interfaz a la cual la BOVPN se
conecta en su dispositivo WatchGuard. Para el ID de la puerta de enlace, si tiene una dirección IP estática,
puede seleccionar Por dirección IP. Use Por información de dominio si tiene un dominio que envía a la
dirección IP la BOVPN que se conecte a su dispositivo WatchGuard.
1. En la sección Extremos de la puerta de enlace del cuadro de diálogo Puerta de enlace página, haga
clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de extremos de la nueva puerta de enlace.

2. Especifique el ID de la puerta de enlace.
n Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP de la
dirección IP de la interfaz de Firebox .
n Por domain name - Ingrese su domain name.
n Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el
formatoNombreUsuario@NombreDominio .
n Por nombre x500-Ingrese el nombre x500.
3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la dirección IP o
dominio que elige para el ID de puerta de enlace.
Puerta de enlace remota

En el área de Puerta de enlace remota, configure el ID y la dirección IP de la puerta de enlace para el
dispositivo del extremo remoto al que la BOVPN se conecta. La dirección IP de la puerta de enlace puede
ser o una dirección IP estática o una dirección IP dinámica. El ID de la puerta de enlace puede ser Por
domain name, por ID de usuario en dominio, o Por nombre x500. El administrador del dispositivo de
puerta de enlace remota puede determinar cuál usar.
1. Seleccione la dirección IP de la puerta de enlace remota.
n Dirección IP estática - Seleccione esta opción si el dispositivo remoto tiene una dirección IP
estática. Para dirección IP, ingrese la dirección IP o selecciónela en la lista desplegable.
n Dirección IP dinámica - Seleccione esta opción si el dispositivo remoto tiene una dirección IP
dinámica.
2. Seleccione el ID de la puerta de enlace.
n Por dirección IP - Seleccione el botón de radio Por dirección IP. Ingrese la dirección IP.
n Por domain name - Ingrese el domain name.
n Por ID de usuario en dominio - Ingrese el ID de usuario y dominio.
n Por nombre x500-Ingrese el nombre x500.
Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su dirección IP
externa, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio.
Defina el campo del nombre del punto en domain name totalmente cualificado del
extremo de la VPN remota. El Firebox usa la dirección IP y el domain name para
encontrar el extremo del VPN. Asegúrese de que el servidor DNS usado por Firebox
pueda identificar el nombre.
Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva puerta de
enlace. El Puerta de enlace página . Aparece el par de la puerta de enlace definido en la lista de extremos
de la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de la Fase 1) para
configurar la Fase 1 para esa puerta de enlace.

Configurar modo y transformaciones (Configuraciones de la

Fase 1)
La Fase 1 del establecimiento de conexión IPSec es donde los dos puntos forman un canal autenticado y
seguro que pueden usar para comunicarse. Eso es conocido como Asociación de Seguridad (SA) ISAKMP
Un intercambio de Fase 1 puede usar o el Modo Principal o el Modo Agresivo. El modo determina el tipo y
el número de intercambios de mensajes realizados durante esa fase.
Una transformación es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datos
de VPN. Durante la negociación IKE, los puntos hacen un acuerdo para usar determinada transformación.
Se puede definir un túnel para que ofrezca un punto más de un conjunto de transformación para
negociación. Para más informaciones, vea Agregar una transformación de Fase 1 en la página 428.
1. En de la página Puerta de enlace, seleccione la pestaña Configuraciones de Fase 1.

2. En la lista desplegable Modo, seleccione Principal, Agresivo o Recurso de emergencia principal.
Modo principal
Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total
de seis mensajes. Los dos primeros mensajes negocian la política, los dos siguientes
intercambian datos de Diffie-Hellman y los últimos dos autentican el intercambio Diffie-
Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo también le
permite usar transformaciones múltiples, tal como se describe en Agregar una transformación
de Fase 1 en la página 428.
Modo Agresivo
Ese modo es más rápido porque usa sólo tres mensajes, que intercambian Acerca de los grupos
Diffie-Hellman datos e identifican los dos extremos de la VPN. La identificación de los extremos
de la VPN hace el Modo Agresivo menos seguro.
Recurso de emergencia principal hacia modo agresivo
El Firebox intenta el intercambio con el Modo Principal. Si falla la negociación, utiliza el Modo
Agresivo.
3. Si desea crear un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás de un dispositivo
NAT, seleccione la casilla de verificación NAT Traversal. NAT Traversal o Encapsulación de UDP
permite que el tráfico llegue a los destinos correctos.
4. Para que el Firebox envíe mensajes a su par de IKE para mantener el túnel VPN abierto, seleccione
la casilla de verificación IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese el
número de segundos o use el control de valores para seleccionar el número de segundos que
desea.
Nota El IKE keep-alive sólo es utilizado por los dispositivos WatchGuard. No actívelo si el
extremo remoto es un dispositivo IPSec de terceros.
5. Para definir un número máximo de veces que el Firebox intenta enviar un mensaje de IKE keep-
alive antes de intentar negociar la Fase 1 nuevamente, inserte el número deseado en el cuadro
Máx. Fallas.
6. Use la casilla de verificación Dead Peer Detection para activar o desactivar la Dead Peer Detection
basada en tráfico. Cuando se activa la detección de punto puerto, Firebox se conecta a un punto sólo
si no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperando
que un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keep-
alive.
Si desea cambiar los valores predeterminados de Firebox, ingrese el período de tiempo (en
segundos) en el campo tiempo de espera inactivo de tráfico antes que el Firebox intente
conectarse al punto. En el campo Máx. de reintentos, ingrese el número de veces que Firebox
debería intentar conectarse antes que el punto sea considerado inactivo.
La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec.
Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.

Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para más
información acerca del failover de VPN, vea Configurar Failover de VPN en la
página 456
7. El Firebox contiene un conjunto de transformaciones que aparece en la lista Configuración de

transformaciones. Esa transformación especifica la autenticación de SHA-1, el cifrado de 3DES y el
Grupo 2 de Diffie-Hellman.
Se puede:
n Usar este conjunto de transformaciones predeterminadas.
n Remover ese conjunto de transformaciones y reemplazarlo por uno nuevo.
n Agregar una transformación adicional, tal como se explica en Agregar una
transformación de Fase 1 en la página 428.
Agregar una transformación de Fase 1

Se puede definir un túnel para ofrecer a un punto más de un conjunto de transformación para negociación.
Por ejemplo, un conjunto de transformaciones puede incluir SHA1-DES-DF1 ([método de autenticación]-
[método de cifrado]-[grupo de claves]) y una segunda transformación puede incluir MD5-3DES-DF2, con las
transformaciones SHA1-DES-DF1 definidas como el conjunto de prioridad más alta. Cuando se crea un túnel,
Firebox puede usar SHA1-DES-DF1 o MD5-3DES-DF2 para que coincida con el conjunto de transformaciones
del otro extremo de la VPN.
Puede incluir un máximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal en
las configuraciones de Fase 1 para usar transformaciones múltiples.
1. En la pestaña Configuraciones de Fase 1 de la página Puerta de enlace, encuentre el cuadro

Configuraciones de transformaciones en la parte inferior del cuadro de diálogo. Haga clic en
Agregar.
Aparece el cuadro de diálogo Configuraciones de transformación.
2. En la lista desplegable Autenticación, seleccione SHA1 o MD5 como tipo de autenticación.

3. En la lista desplegable Cifrado , seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES, o 3DES
como tipo de cifrado.
4. Para cambiar la duración de SA (asociación de seguridad), ingrese un número en el campo Duración
de SA y seleccione Hora o Minuto en la lista desplegable al lado.

5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El Fireware
XTM soporta grupos 1, 2 y 5.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuanto más alto el número del grupo, más fuerte la seguridad pero se
requiere más tiempo para hacer las claves. Para más informaciones, vea Acerca de los grupos Diffie-
Hellman en la página 429.
6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar una
transformación y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto de
transformaciones en la parte superior de la lista es usado primero.
7. Haga clic en OK.
Acerca de los grupos Diffie-Hellman

Los grupos Diffie-Hellman (DH) determinan la fuerza de la clave usada en el proceso de intercambio de claves.
Los miembros de grupos más altos son más seguros, pero se necesita más tiempo para computar la clave.
Los dispositivos WatchGuard soportan grupos Diffie-Hellman 1, 2 y 5:
n Grupo DH 1: Grupo de 768 bits

Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase
1 del proceso de negociación de IPSec. Cuando define un túnel BOVPN manual, se especifica el grupo
Diffie-Hellman como parte de la Fase 1 de la creación de una conexión IPSec. Es ahí donde los dos puntos
forman un canal seguro y autenticado que pueden usar para comunicar.
Los grupos DH y Perfect Forward Secrecy (PFS)
Además de la Fase 2, también se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexión
IPSec. La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), o cómo
los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-
Hellman en la Fase 2 sólo cuando selecciona el Perfect Forward Secrecy (PFS).
PFS vuelve las claves más seguras porque las nuevas claves no están hechas de las claves anteriores. Si una
clave está comprometida, las claves de la nueva sesión aún estarán seguras. Cuando especifica un PFS
durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.
El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.
Cómo elegir un grupo Diffie-Hellman
El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupo
ofrece seguridad básica y buen desempeño. Si la velocidad para la inicialización del túnel y la regeneración
de clave no es una preocupación, use el Grupo 2 o Grupo 5. La velocidad real inicialización y de
regeneración de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luego
decidir si el tiempo de desempeño más lento es un problema para su red. Si el desempeño no es aceptable,
cambie por un grupo DH inferior.

Análisis de desempeño
La siguiente tabla muestra el resultado de una aplicación de software que genera 2000 valores Diffie-
Hellman. Esos números son para un CPU Pentium 4 Intel 1.7GHz.
Nº de pares de Tiempo por par de

Grupo DH Tiempo necesario
claves clave
Grupo 1 2000 43 seg 21 ms
Grupo 2 2000 84 seg 42 ms
Grupo 5 2000 246 seg 123 ms
Editar y eliminar puertas de enlace

Para cambiar la definición de una puerta de enlace
1. Seleccione VPN > BOVPN.

2. Seleccione la puerta de enlace y haga clic en Editar.
Aparece la página de configuraciones de Puerta de enlace.
3. Realice los cambios y haga clic en Guardar.
Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover.
Desactivar inicio automático de túnel

Los túneles BOVPN son automáticamente creados cada vez que se inicia el dispositivo WatchGuard. Puede
querer cambiar ese comportamiento predeterminado. Una razón común para cambiarlo sería si el extremo
remoto usa un dispositivo de terceros que debe iniciar el túnel en vez del extremo local.
Para desactivar el inicio automático para túneles que usan una puerta de enlace

Aparece la página Configuración de VPN de Sucursal.
Aparece la página Puerta de enlace.
3. Limpie la casilla de verificación Iniciar túnel de Fase 1 cuando Firebox se inicia en la parte inferior
de la página.
Si su Firebox está detrás de un dispositivo que hace NAT

El Firebox puede usar NAT Traversal. Eso significa que puede establecer túneles VPN si su ISP hace NAT
(siglas en inglés para Traducción de Dirección de Red) o si la interfaz externa de su Firebox está conectada a
un dispositivo que hace NAT. Recomendamos que la interfaz externa de Firebox tenga una dirección IP
pública. Si eso no es posible, siga las instrucciones abajo.

Los dispositivos que no hacen NAT suelen tener algunas funciones básicas de firewall. Para establecer un
túnel VPN hacia su Firebox cuando el Firebox está instalado detrás de un dispositivo que hace NAT, el
dispositivo NAT debe dejar que pase el tráfico. Esos puertos y protocolos deben estar abiertos en el
dispositivo NAT:
n Puerto UDP 500 (IKE)

n Puerto UDP 4500 (NAT Traversal)
n Protocolo IP 50 (ESP)
Vea la documentación de su dispositivo NAT para obtener información acerca de cómo abrir esos puertos y
protocolos en el dispositivo NAT.
Si la interfaz externa de su Firebox tiene una dirección IP privada, no puede usar una dirección IP como tipo
de ID local en las configuraciones de Fase 1.
n Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública dinámica:
n Primero, defina el dispositivo en modo puente. Para más informaciones, vea Modo
Bridge en la página 94. En modo puente, el Firebox obtiene la dirección IP pública en su

interfaz externa. Consulte la documentación para su dispositivo NAT para más
información.
n Configure el DNS Dinámico en el Firebox. Para informaciones, vea Página Acerca de
Servicio DNS dinámico en la página 88. En las configuraciones de Fase 1 del Manual VPN,
defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS como el
ID local. El dispositivo remoto debe identificar su Firebox por domain name y debe usar
el domain name DynDNS asociado a su Firebox en su configuración de Fase 1.
n Si el dispositivo NAT al cual Firebox está conectado tiene una dirección IP pública estática:
n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo
de ID local en Domain Name. Ingrese la dirección IP pública asignada a la interfaz externa

del dispositivo NAT como ID local. El dispositivo remoto debe identificar su Firebox por
domain name y debe usar la misma dirección IP pública como domain name en su
configuración de Fase 1.
Establezca túneles entre los extremos de puertas

de enlace
Después de definir los extremos de la puerta de enlace, puede establecer túneles entre ellos. Para
establecer un túnel, debe:
n Definir un túnel
n Configuraciones de Fase 2 para la negociación de Intercambio de Claves de Internet (IKE). Esa fase
define las asociaciones de seguridad para el cifrado de paquetes de datos.
Definir un túnel
1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales.
Aparece la página VPN de Sucursal.

2. Haga clic en Agregar al lado de la lista Túneles.

Aparece el nuevo cuadro de diálogo Nuevo Túnel.

3. En el cuadro Nombre del túnel, ingrese un nombre para el túnel.

Asegúrese de que no haya nombres idénticos de túneles, de grupo de Mobile VPN y de interfaz.
4. En la lista Puerta de enlace, seleccione la puerta de enlace a ser usada por este túnel.
5. Si desea agregar el túnel a las políticas BOVPN-Allow.in y BOVPN-Allow.out, seleccione la casilla

Agregar este túnel a las políticas BOVPN-Allow. Esas políticas permiten todo el tráfico que coincida
con las rutas del túnel. Si desea restringir el tráfico a través del túnel, limpie esa casilla y crear
políticas personalizadas para tipos de tráfico que desea autorizar que pase a través del túnel
Ahora puede Agregar rutas para un túnel, Configuraciones de Fase 2o Activar enrutamiento de
multidifusión a través de un túnel BOVPN.
Editar y eliminar un túnel

Para alterar un túnel, seleccione VPN> Túneles para Sucursales seleccione VPN > BOVPN.
1. Seleccione el túnel y haga clic en Editar.

Aparece la página "Túnel".
2. Realice las alteraciones y haga clic en Guardar.
Para eliminar un túnel de la página BOVPN, seleccione el túnel y haga clic en Remover.

Agregar rutas para un túnel

1. En la pestaña Direcciones del cuadro de diálogo Túnel, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.
2. En la sección IP local, seleccione el tipo de dirección local en la lista desplegable Elegir tipo.
Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host,
dirección de red, un rango de direcciones IP de host o nombre DNS.
3. En la sección IP remoto, seleccione el tipo de dirección remota en la lista desplegable Elegir tipo.
Después, ingrese el valor en el cuadro de texto abajo. Puede ingresar una dirección IP de host,
dirección de red, un rango de direcciones IP de host o nombre DNS.
4. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina
cuál extremo del túnel VPN puede iniciar una conexión VPN a través del túnel.
5. Se puede usar la pestaña NAT para activar la 1-to-1 NAT y NAT dinámica para el túnel si los tipos de
dirección y el sentido del túnel seleccionado son compatibles. Para más informaciones, vea
Configurar NAT dinámica saliente a través de un túnel BOVPN y Usar 1-to-1 NAT a través de un
túnel BOVPN en la página 440.
6. Haga clic en OK.
Configuraciones de Fase 2
Las configuraciones de Fase 2 incluyen los ajustes para una asociación de seguridad (SA), que define cómo
los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la
información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los extremos. Los
parámetros en SA pueden incluir:

n Los algoritmos de cifrado y autenticación utilizados.

n Duración de SA (en segundos o número de bytes, o ambos).
n La dirección IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y
descifrado de IPSec en el otro lado de la VPN, no el PC por detrás que envía o recibe el tráfico).
n Las direcciones IP de origen y de destino del tráfico al cual la SA se aplica.
n Dirección del tráfico a la cual se aplica la SA (hay una SA para cada dirección de tráfico, entrante y
saliente).
1. En la página Túnel, haga clic en la pestaña Configuraciones de Fase 2.
2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccione
el grupo Diffie-Hellman.
El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves
hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está
comprometida después de una sesión, las claves de su nueva sesión quedan protegidas. Para más
informaciones, vea Acerca de los grupos Diffie-Hellman en la página 429.
3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esa
propuesta especifica el método de protección de datos de ESP, cifrado AES y autenticación SHA1.
Puede:
n Hacer clic en Agregar para agregar una propuesta predeterminada.
n Seleccione una propuesta diferente en la lista desplegable y haga clic en Agregar.
n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en
la página 436.

Si planea usar la función de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de
seguridad de encapsulación) como método de propuesta. El puerto de transferencia IPSec soporta ESP,
pero no AH. Para más información acerca del puerto de transferencia IPSec, vea Acerca de las
configuraciones de VPN Global en la página 438.
Agregar una Propuesta de Fase 2

Se puede definir un túnel para ofrecer a un punto más de una propuesta para Fase 3 de IKE. Por ejemplo,
se puede especificar ESP-3DES-SHA1 en un propuesta y ESP-DES-MD5 en la segunda propuesta. Cuando el
tráfico pasa por el túnel, la asociación de seguridad puede usar o el ESP-3DES-SHA1 o el ESP-DES-MD5 para
que coincida con las configuraciones de transformación en el punto.
Se puede incluir un máximo de nueve propuestas.
Para agregar una nueva propuesta, haga clic en la pestaña Configuraciones de Fase 2 en el página Túnel .
Agregar una propuesta existente

Se puede elegir entre seis propuestas preconfiguradas. Los nombres siguen el formato <Type>-
<Authentication>-<Encryption>. Para las seis, "Forzar caducidad de clave" está configurado en 8 horas ó
128.000 kilobytes.
Para usar una de las seis propuestas preconfiguradas:
1. En la página Túneles en la sección Propuestas IPSec, seleccione la propuesta que desea añadir.
Crear una nueva propuesta

1. En el Fireware XTM Web UI, seleccione VPN> VPN para Sucursales. En la sección Propuestas de
Fase 2, haga clic en Agregar.
Aparece la página "Propuesta de Fase 2".

2. En el campo Nombre, ingrese un nombre para la nueva propuesta.
En el cuadro de texto Descripción, ingrese una descripción que identifique esa propuesta (opcional).
3. En la lista desplegable Tipo, seleccione ESP o AH, como método de propuesta. Recomendamos que
use el ESP (Carga de seguridad de encapsulación). Las diferencias entre ESP y AH (Encabezado de
autenticación) son:
n El ESP es una autenticación con cifrado.

n El AH es sólo una autenticación. La autenticación de ESP no incluye la protección del
encabezado de IP, mientras que el AH sí lo incluye.
n El puerto de transferencia IPSec soporta ESP, pero no AH. Si planea usar la función de puerto
de transferencia de IPSec, debe especificar el ESP como el método de propuesta. Para más
información acerca del puerto de transferencia IPSec, vea Acerca de las configuraciones de
VPN Global en la página 438.
4. En la lista desplegable Autenticación, seleccione SHA1, MD5 o Ninguno como el método de
autenticación.
5. (Si seleccionó ESP en la lista desplegable Tipo) En la lista desplegable Cifrado, seleccione el método
de cifrado.
Las opciones son DES, 3DES y AES de 128, 192 o 256 bits, que aparecen en la lista en orden del más
simple y menos seguro al más complejo y más seguro.
6. Para que los extremos de la puerta de enlace generen e intercambien nuevas claves después que
pase un período de tiempo o cantidad de tráfico determinado, seleccione la casilla Forzar caducidad
de clave En los campos abajo, ingrese un período de tiempo y un número de bytes después de los
cuales una clave caduca.
Si "Forzar caducidad de clave" está desactivado, o si está activado y la hora y el número de kilobytes

están puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para el
punto. Si ésta también está desactivada o en cero, Firebox usa una hora predeterminada de
caducidad de clave de 8 horas.
El tiempo máximo antes de forzar la caducidad de clave es de un año.
Editar una propuesta

Sólo las propuestas definidas por usuario pueden ser editadas.
1. En el Fireware XTM Web UI, seleccione VPN> BOVPN.

2. En la sección Propuestas de Fase 2, seleccione una propuesta y haga clic en Editar.
3. Altere los campos tal como se describe en la sección Crear nueva propuesta de este tópico.
Cambiar el orden de túneles

El orden de los túneles VPN es especialmente importante cuando más de un túnel usa las mismas rutas o
cuando las rutas se solapan. Un túnel en posición superior en la lista de túneles en el cuadro de diálogo
Túneles IPSec para Sucursales tiene precedencia sobre el túnel de abajo, cuando el tráfico hace coincidir
las rutas de múltiples túneles.
Se puede cambiar el orden en el cual Firebox intenta las conexiones:

Aparece la página de configuración de BOVPN.
2. Seleccione un túnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.
Acerca de las configuraciones de VPN Global

Puede seleccionar configuraciones que se aplican a túneles BOVPN manuales, túneles BOVPN
administrados y túneles de Mobile VPN con IPSec.
1. En el Fireware XTM Web UI, seleccione VPN > Configuraciones globales.

Aparece la página Configuraciones globales de VPN.

2. Analice las configuraciones explicadas abajo para sus túneles VPN.
Activar puerto de transferencia IPSec

Para que un usuario haga conexiones de IPSec a un Firebox detrás de un Firebox diferente, debe mantener
la casilla de verificación Activar puerto de transferencia IPSec seleccionada. Por ejemplo, si los empleados
móviles están en el local del cliente que tiene un Firebox, pueden usar el IPSec para hacer conexiones
IPSec hacia su red. Para que el Firebox local permita correctamente la conexión de salida de IPSec, también
debe agregar una política de IPSec al Policy Manager.
Cuando crea una propuesta de Fase 2 y planea usar la función de puerto de transferencia IPSec, debe
especificar el ESP (Carga de seguridad de encapsulación) como método de propuesta. El puerto de
transferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticación). Para informaciones acerca de
cómo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la página 436.
Cuando activa el puerto de transferencia de IPSec, se agrega automáticamente una política llamada
WatchGuard IPSec al Policy Manager. La política permite el tráfico desde cualquier red de confianza u
opcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la política
WatchGuard IPSec es automáticamente eliminada.
Activar TOS para IPSec

El Tipo de Servicio (TOS) es un conjunto de señaladores de cuatro bits en el encabezado del IP que puede
solicitar a los dispositivos de enrutamiento que den más o menos prioridad a un datagrama de IP que a
otros. El Fireware le da la opción de permitir que los túneles IPSec limpien o mantengan las configuraciones
en paquetes que tengan señaladores TOS. Algunos ISPs desechan todos los paquetes que tengan
señaladores TOS.
Si no seleccionar la casilla de verificación Activar TOS para IPSec, todos os paquetes IPSec no tienen los
señaladores TOS. Si los señaladores TOS fueron definidos anteriormente, ellos son removidos cuando
Fireware encapsula el paquete en un encabezado IPSec.

Cuando está seleccionada la casilla de verificación Activar TOS para IPSec y el paquete original tiene
señaladores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si el
paquete original no tiene señaladores TOS definidos, Fireware no define el indicador TOS cuando encapsula
el paquete en un encabezado IPSec.
Analice la configuración de esta casilla de verificación si desea aplicar un marcado QoS al tráfico de IPSec. El
marcado QoS puede cambiar la configuración del señalador TOS. Para más informaciones sobre el marcado
QoS, vea Acerca de las Marcado QoS en la página 327.
Activar servidor LDAP para verificación de certificado

Al crear una puerta de enlace VPN, se especifica un método de credenciales para ser usado por los dos
extremos de la VPN cuando se crea el túnel. Si elige usar un Firebox Certificate de IPSec, puede identificar
un servidor de LDAP que valide el certificado. Ingrese la dirección IP para el servidor de LDAP. También
puede especificar un puerto si desea usar uno diferente del 389.
Esa configuración no se aplica a los túneles de Mobile VPN con IPSec.
Usar 1-to-1 NAT a través de un túnel BOVPN

Cuando crea un túnel VPN de sucursal entre dos redes que usan el mismo rango de direcciones IP privadas,
ocurre un conflicto de direcciones IP. Para crear un túnel sin ese conflicto, ambas redes deben aplicar la 1-
to-1 NAT a la VPN. La 1-to-1 NAT hace que las direcciones IP en sus equipos parezcan ser diferentes de las
verdaderas direcciones IP cuando el tráfico pasa por la VPN.
La 1-to-1 NAT asigna una o más direcciones IP en un rango a un segundo rango de dirección IP del mismo
tamaño. Cada dirección IP en el primer rango asigna a una dirección IP en el segundo rango. En este
documento, llamamos al primer rango de direcciones IP reales y al segundo rango direcciones IP
enmascaradas. Para más informaciones acerca de 1-to-1 NAT, vea Acerca de las 1-to-1 NAT en la página 142.
1-to-1 NAT y VPNs

Cuando usa 1-to-1 NAT a través de un túnel BOVPN:
n Cuando un equipo en su red envía tráfico a un equipo en la red remota, el Firebox cambia la
dirección IP de origen del tráfico para una dirección IP en el rango de IPs enmascaradas. La red
remota ve las direcciones IP enmascaras como el origen del tráfico.
n Cuando un equipo en la red remota envía tráfico a un equipo en su red a través de VPN, la oficina
remota envía el tráfico al rango de dirección de IP enmascarada. El Firebox cambia la dirección IP de
destino a la dirección correcta en el rango de dirección IP real y después envía el tráfico al destino
correcto.
La 1-to-1 NAT por una VPN sólo afecta el tráfico que pasa por esa VPN. Las reglas que ve en Fireware XTM
Web UIRed >NAT no afectan al tráfico que pasa por una VPN.

Otras razones por las cuales usar una 1-to-1 NAT por una VPN
Además de la situación anterior, también podría usar una 1-to-1 NAT por una VPN si la red a la cual desea
establecer un túnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas en
su red. Un dispositivo IPSec no puede enrutar tráfico a dos redes remotas diferentes cuando dos redes usan
las mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcan
tener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situación descrita al
principio de este tópico, necesita usar el NAT sólo en su lado de la VPN y no en ambos extremos.
Una situación similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambas
desean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPN
hacia su Firebox para solucionar el conflicto de direcciones IP.
Alternativa al uso de NAT

Si su oficina usa un rango de direcciones IP privadas común, tal como 192.168.0.x ó 192.168.1.x, es muy
probable que tendrá problema de conflictos con direcciones IP en el futuro. Esos rangos de direcciones IP
suelen ser usados por enrutadores de banda ancha u otros dispositivos electrónicos en pequeñas oficinas o
en casa. Debería considerar la posibilidad de cambiar hacia un rango de direcciones IP privadas menos
común, tal como 10.x.x.x ó 172.16.x.x.
Cómo configurar la VPN

1. Seleccione un rango de direcciones IP que sus equipos muestren como direcciones IP de origen
cuando el tráfico viene desde su red y va hacia la red remota a través de la BOVPN. Consulte el
administrador de red acerca de la otra red para seleccionar un rango de direcciones IP que no esté
en uso. No use ninguna dirección IP de:
n La red de confianza, opcional o externa conectada a su Firebox

n Una secondary network conectada a la interfaz externa, opcional o de confianza de su Firebox
n Una red enrutada configurada en su política Firebox (Red > Rutas)
n Redes a las cuales ya tiene un túnel BOVPN
n Grupos de direcciones IP virtuales de Mobile VPN
n Redes que pueden ser alcanzadas por el dispositivo IPSec a través de sus interfaces, rutas de
red o rutas de VPN
2. Definir puertas de enlace para los dispositivos Firebox local y remoto.
3. Establezca túneles entre los extremos de puertas de enlace. En el cuadro de diálogo Configuraciones
de Ruta de Túnel para cada Firebox, seleccione la casilla de verificación 1-to-1 NAT e ingrese su
rango de direcciones IP enmascaradas en el cuadro de texto al lado.
El número de direcciones IP en el cuadro de texto debe ser exactamente el mismo que el número de
direcciones IP en el cuadro de texto Local en el topo del cuadro de diálogo. Por ejemplo, si usa la
notación diagonal para indicar un subred, el valor después de la barra diagonal debe ser igual en
ambos cuadros de texto. Para más informaciones, vea Acerca de las Notación diagonal en la página 3.
No es necesario definir nada en las configuraciones Red> NAT en el Fireware XTM Web UI. Esas
configuraciones no afectan el tráfico de VPN.

Ejemplo
Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes de
confianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismas
direcciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NAT
a través de la VPN. El Sitio A envía tráfico al rango enmascarado del Sitio B y el tráfico sale de la subred local
del Sitio A. Además, el Sitio B envía tráfico al rango enmascarado que el Sitio A utiliza. Esa solución resuelve
el conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que:
n El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el tráfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
n El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el tráfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
Definir una puerta de enlace de Sucursal en cada Firebox
El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea una
puerta de enlace, ella aparece en la lista de puertas de enlace en Fireware XTM Web UI. Para ver a lista de
puertas de enlace en el Fireware XTM Web UI, seleccione VPN> VPN de Sucursal.
Configurar el túnel local

Aparece la página VPN de Sucursal.
2. En la sección Túnel de la página BOVPN, haga clic en Agregar.

Aparece la página de configuraciones Túnel.

3. Dar un nombre descriptivo al túnel. El ejemplo usa "TúnelPara_SitioB".

4. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace que señala el dispositivo
IPSec de la oficina remota. El ejemplo usa la puerta de enlace denominada "SitioB".
5. Examinar la pestaña Configuraciones de Fase 2. Asegúrese de que las configuraciones de Fase 2
coincidan con las que la oficina remota usa para Fase 2.
6. Haga clic en la pestaña Direcciones y haga clic en Agregar para agregar el par local-remota.

7. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En IP de red , ingrese
el rango de direcciones IP reales de los equipos locales que usan ese VPN. Este ejemplo usa
192.168.1.0/24.
8. En la sección Remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red ingrese el rango de direcciones IP privadas a las cuales los equipos locales envían tráfico.
En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equipos
del Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos locales
en Sitio A envían tráfico al rango de dirección IP enmascarado del Sitio B. Si la red remota no usa
NAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto.
9. Haga clic en la pestaña NAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas para esa oficina. Ese es el rango de direcciones IP que los equipos
protegidos por ese Firebox muestran como dirección IP de origen, cuando el tráfico viene de ese
Firebox y va hacia el otro extremo de la VPN. La casilla de verificación 1-to-1 NAT queda activada
después que inserta una dirección IP de host válida, una dirección IP de red válida o un rango de
direcciones IP de host válido en el cuadro de texto Local en la pestaña Direcciones.) El Sitio A usa
192.168.100.0/24 para su rango de direcciones IP enmascaradas.

10. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.
11. Guardar el archivo de configuración.
Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aquí. El dispositivo en el otro
extremo de la VPN debe configurar su VPN para aceptar tráfico desde su rango enmascarado.
Configurar el túnel remoto

1. Siga los pasos 1 - 6 en el procedimiento anterior para agregar el túnel en el Firebox remoto.
Asegúrese de hacer que las configuraciones de Fase 2 coincidan.
2. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red , , ingrese el rango de direcciones IP reales de los equipos locales que usan esa VPN. Este
ejemplo usa 192.168.1.0/24.
3. En la sección IP local , seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto
IP de red, ingrese el rango de direcciones IP privadas a las cuales los equipos remotos envían tráfico.
En nuestro ejemplo, el Sitio A hace una 1-to-1 NAT a través de esa VPN. Eso hace que los equipos en
Sitio A parezcan venir de su rango enmascarado, 192.168.100.0/24. Los equipos locales en Sitio B
envían tráfico al rango de dirección IP enmascarado del Sitio A.

4. Haga clic en la pestaña NAT. Seleccione la casilla de verificación 1-to-1 NAT e ingrese el rango de
direcciones IP enmascaradas de ese sitio. Ese es el rango de direcciones IP que los equipos de ese
Firebox muestran como dirección IP de origen, cuando el tráfico viene de ese Firebox y va al otro
extremo del VPN. El Sitio B usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.
5. Haga clic en OK. El Firebox agrega un nuevo túnel a las políticas BOVPN-Allow.out y BOVPN-Allow.in.

Definir una ruta para todo el tráfico hacia Internet

Cuando permite que los usuarios remotos accedan a Internet a través de un túnel VPN, la configuración
más segura es requerir que todo el tráfico de Internet sea enrutado a través de un túnel VPN hacia el
Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esa configuración (conocida
como ruta de concentrador o VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico y
ofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda en el Firebox.
Al usar una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la
red remota. Eso permite que usuarios remotos naveguen en Internet cuando envían todo el tráfico hacia el
Firebox.
Cuando defina una ruta predeterminada a través de un túnel BOVPN, se deben hacer tres cosas:
n Configurar una BOVPN en el Firebox remoto (cuyo tráfico desea enviar a través del túnel) para
enviar todo el tráfico desde su propia dirección de red hacia 0.0.0.0/0.
n Configurar una BOVPN en el Firebox central para permitir que el tráfico pase por él hacia el Firebox
remoto.
n Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la dirección de red del Firebox remoto.
Antes de empezar los procedimientos en este tópico, ya se debe haber creado una Branch Office VPN
(BOVPN) manual entre los Fireboxes central y remoto. Para más información acerca de cómo hacer eso,
vea Acerca de túneles BOVPN manuales en la página 418.
Configurar el túnel BOVPN en el Firebox remoto

1. Inicie sesión en el Web UI para el Firebox remoto.
2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del túnel hacia el Firebox
central y haga clic en Editar.

4. En IP local, en el cuadro de texto IP del host, ingrese la dirección de red de confianza del Firebox
remoto.
5. En IP remoto, seleccione IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de
host, ingrese 0.0.0.0/0 y haga clic en Aceptar.
6. Seleccione cualquier otro túnel hacia el Firebox central y haga clic en Remover.
7. Haga clic en Guardar para guardar el cambio de configuración.
Configurar el túnel BOVPN en el Firebox central

1. Inicie sesión en el Web UI para el Firebox central.
2. Seleccione VPN >Branch Office VPN (BOVPN). Encuentre el nombre del túnel hacia el Firebox
remoto y haga clic en Editar.
4. Haga clic en el botón al lado de la lista desplegable Local. Seleccione IP de red en la lista
desplegable Elegir tipo. Ingresar 0.0.0.0/0 para Valor y haga clic en Aceptar. En IP local, seleccione
IP de red en la lista desplegable Elegir tipo. En el cuadro de texto IP de host , ingrese 0.0.0.0/0.
5. En el cuadro Remoto, ingrese la dirección de red de confianza del Firebox remoto y haga clic en
AceptarEn IP remoto, ingrese la dirección de red de confianza del Firebox remoto y haga clic en
Aceptar
6. Seleccione cualquier otro túnel hacia el Firebox remoto y haga clic en Remover.
7. Haga clic en Aceptar y Guardar el archivo de configuración. Haga clic en Guardar para guardar el
cambio de configuración.

Agregar una entrada de NAT dinámica en el Firebox central

Para permitir que un equipo con dirección IP privada acceda a Internet a través del Firebox, se debe
configurar el Firebox central para que use NAT dinámica. Con la NAT dinámica, el Firebox reemplaza la
dirección IP privada incluida en un paquete enviado desde un PC protegido por Firebox con la dirección IP
pública del propio Firebox. Por defecto, la NAT dinámica está habilitada y activa para tres direcciones de red
privada aprobadas por RFC:
192.168.0.0/16 - Cualquiera-Externa
Cuando configura una ruta predeterminada a través de un túnel Branch Office VPN (BOVPN) hacia otro
Firebox, debe agregar una entrada de NAT dinámica para la subred detrás del Firebox remoto si sus
direcciones IP no se encuentran dentro de uno de los tres rangos de red privada.
1. En el Fireware XTM Web UI, seleccione Red> NAT.

Aparece la página NAT.

2. En la sección NAT Dinámica de la página NAT, haga clic en Agregar.

Aparece la página de configuración de NAT Dinámica.
3. En la sección De, seleccione IP de red en la lista desplegableTipo de miembro.

4. Inserte la dirección IP de red de la red detrás del Firebox remoto.
5. En la sección Para, seleccione Cualquiera-externo en la segunda lista desplegable.
Activar enrutamiento de multidifusión a través de

un túnel BOVPN
Puede activar un enrutamiento de multidifusión a través de un túnel BOVPN para suportar streams de
multidifusión de una dirección entre las redes protegidas por los dispositivos WatchGuard. Por ejemplo,
puede usar un enrutamiento de multidifusión a través de un túnel BOVPN para reproducir medios por
stream de un servidor de video por demanda (VOD) a los usuarios en la red en el otro extremo de un túnel
Branch Office VPN (BOVPN).
Advertencia
El enrutamiento de multidifusión a través de un túnel BOVPN sólo es soportado
entre dispositivos WatchGuard.
Cuando activa el enrutamiento de multidifusión a través de un túnel BOVPN, el túnel envía el tráfico de
multidifusión desde una única dirección IP en un lado del túnel a una dirección IP de grupo de
multidifusión. Se configura la multidifusión en el túnel para enviar el tráfico de multidifusión a esa dirección
IP de grupo de multidifusión a través del túnel.
Debe configurar la multidifusión en cada Firebox de modo diferente. Debe configurar el túnel en un Firebox
para enviar el tráfico de multidifusión a través del túnel y hacer las configuraciones del túnel en el otro
Firebox para recibir el tráfico de multidifusión. Puede configurar sólo una dirección IP de origen por túnel.

Al activar el enrutamiento de multidifusión a través de un túnel BOVPN, el dispositivo WatchGuard crea un

túnel GRE dentro del túnel VPN de IPSec entre las redes. El Firebox envía el tráfico de multidifusión a través
del túnel GRE. El túnel GRE requiere una dirección IP no utilizada en cada extremo del túnel. Debe
configurar direcciones IP auxiliares para cada extremo del túnel BOVPN.
Activar un dispositivo WatchGuard para enviar tráfico de

multidifusión a través de un túnel
En el Firebox desde el cual se envía el tráfico de multidifusión, edite la configuración de túnel para activar el
dispositivo para que envíe tráfico de multidifusión a través del túnel BOVPN.
2. Seleccione un túnel y haga clic en Editar.

3. De la página Túnel, haga clic en la pestaña Configuraciones de multidifusión.
4. Seleccione la casilla de verificación Activar enrutamiento de multidifusión a través del túnel

5. En el cuadro de texto IP de origen , ingrese la dirección IP del originador de tráfico.
6. En el cuadro de texto IP de grupo , ingrese la dirección IP de multidifusión para recibir el tráfico.

7. Seleccione el botón de radio Activar dispositivo para enviar tráfico de multidifusión.

8. En la lista desplegable Interfaz de entrada, seleccione la interfaz desde la cual se origina el tráfico
de multidifusión.
9. Haga clic en la pestaña Direcciones.
Aparecen las configuraciones Extremos de túnel de difusión/multidifusión en la parte inferior de la pestaña
Direcciones.
10. En la sección Direcciones auxiliares , ingrese las direcciones IP para cada extremo del túnel de
multidifusión. El Firebox usa esas direcciones como extremos de túnel GRE de
difusión/multidifusión dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en
cualquier dirección IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en
ninguna red conocida por Firebox.
n En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel.
n En el campo IP remoto, ingrese una dirección IP para ser usada por el extremo remoto del túnel.

Active el otro dispositivo WatchGuard para recibir tráfico de

multidifusión a través de un túnel
En el Firebox en la red en la cual desea recibir el tráfico de multidifusión, configure la multidifusión para
activar el dispositivo para que reciba tráfico de multidifusión a través del túnel.

3. De la página Túnel, haga clic en la pestaña Configuraciones de multidifusión.
4. Seleccione la casilla de verificación Activar enrutamiento de multidifusión a través del túnel
5. En el campo IP de origen , ingrese la dirección IP del originador de tráfico.
6. En el campo IP de grupo, ingrese la dirección IP de multidifusión para recibir el tráfico.
7. Seleccione el botón de radio Activar dispositivo para recibir tráfico de multidifusión.
8. Use las casillas de verificación para seleccionar cuáles interfaces reciben el tráfico de multidifusión.
9. Haga clic en la pestaña Direcciones.
Aparecen las configuraciones Extremos de túnel de difusión/multidifusión en la parte inferior de la pestaña
Direcciones.
10. En la sección Direcciones auxiliares, ingrese las direcciones IP opuestas insertadas en la
configuración del otro extremo del túnel.
n En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Firebox
en el otro extremo del túnel.
n En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Firebox
Activar el enrutamiento de difusión a través de un

túnel BOVPN
Nota El enrutamiento de difusión a través de un túnel BOVPN sólo es soportado entre
dispositivos WatchGuard.
Puede configurar su Firebox para que soporte enrutamiento de difusión limitado a través de un túnel
Branch Office VPN (BOVPN). Cuando activa el enrutamiento de difusión, el túnel soporta la difusión para
direcciones IP de difusión limitada, 255.255.255.255. El tráfico de difusión de subred no es enrutado por el
túnel. El enrutamiento de difusión soporta la difusión sólo de una red a otra a través de un túnel BOVPN.
El enrutamiento de difusión a través de un túnel BOVPN no soporta estos tipos de difusión:
n Difusión de Protocolo DHCP/Bootstrap (bootp)

n Difusión de NetBIOS
n Difusión de Bloqueo de Mensajes del Servidor (SMB)
Para un ejemplo que muestre cuáles difusiones pueden ser enrutadas a través de un túnel BOVPN, vea
Ejemplo: Enrutamiento de difusión a través de un túnel BOVPN.

Algunas aplicaciones de software requieren la posibilidad de hacer la difusión hacia otros dispositivos de
red para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman están en redes
conectadas por un túnel BOVPN, puede activar el enrutamiento de difusión a través del túnel para que la
aplicación pueda encontrar dispositivos en la red en el otro extremo del túnel.
Al activar el enrutamiento de difusión a través de un túnel BOVPN, el dispositivo WatchGuard crea un túnel

GRE dentro del túnel VPN de IPSec entre las redes. El Firebox envía el tráfico de difusión a través del túnel
GRE. El túnel GRE requiere una dirección IP no utilizada en cada extremo del túnel. Por lo tanto, debe
configurar direcciones IP auxiliares para cada extremo del túnel BOVPN.
Activar el enrutamiento de difusión para el Firebox local


3. De la página Túnel, seleccione la ruta de túnel y haga clic en Editar.
4. Haga clic en la casilla de verificación Activar enrutamiento de difusión por el túnel. Haga clic en OK.
Vuelva al cuadro de diálogo página Túnel. Aparecen Direcciones auxiliares en la parte inferior de la pestaña
Direcciones.

5. En la sección Direcciones auxiliares, ingrese las direcciones IP para cada extremo del túnel de
difusión. El Firebox usa esas direcciones como extremos de túnel GRE de difusión/multidifusión
dentro del túnel BOVPN de IPSec. Puede definir el IP local y el IP remoto en cualquier dirección IP
no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida
por Firebox.
n En el campo IP local, ingrese una dirección IP para ser usada por el extremo local del túnel.
n En el campo IP remoto, ingrese una dirección IP para ser usada por el extremo remoto del túnel.
Configurar enrutamiento de difusión para el Firebox en el otro

extremo del túnel
1. Repita los pasos 1-4 arriba para activar el enrutamiento de difusión para el Firebox en el otro
extremo del túnel.
2. En la sección Direcciones auxiliares, ingrese las direcciones opuestas insertadas en la configuración
del otro extremo del túnel.
n En el campo IP local, ingrese la dirección IP que insertó en el campo IP remoto para el Firebox

n En el campo IP remoto, ingrese la dirección IP que insertó en el campo IP Local para el Firebox
Configurar Failover de VPN

La conmutación por error (failover) es una función importante de redes que necesitan alta disponibilidad.
Cuando tiene una conmutación por error de WAN múltiple configurada, los túneles VPN automáticamente
hacen la conmutación por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puede
configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremo
principal queda no disponible.
Ocurre un failover de VPN cuando se da uno de esos dos eventos:
n Un enlace físico está inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los
dispositivos identificados en la configuración del monitor de enlace de WAN múltiple. Si en enlace
físico está inactivo, ocurre un failover de VPN.
n El Firebox detecta el par de VPN que no esté activo.
Cuando ocurre una conmutación por error, si el túnel usa el IKE keep-alive, éste continúa a enviar los
paquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia la
puerta de enlace de la VPN principal. Si el túnel usa Dead Peer Detection, la failback ocurre cuando se
recibe una respuesta de una puerta de enlace de la VPN principal.
Cuando ocurre un evento de conmutación por error, gran parte de las conexiones nuevas y existentes
hacen la conmutación por error automáticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta
de la VPN principal queda inactiva, la conexión de FTP continua en la ruta de la VPN de resguardo. No se ha
perdido la conexión, pero hay demora. Observe que sólo puede ocurrir un failover de VPN si:
n Los dispositivos Firebox en cada extremo del túnel tienen el Fireware v11.0 o posterior instalado.
n La conmutación por error de WAN múltiples está configurada, tal como se describe en Acerca de
usar múltiples interfaces externas en la página 119.
n Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya
configuró la conmutación por error de WAN múltiples, sus túneles VPN automáticamente harán la
conmutación por error hacia la interfaz de resguardo.
n Si la puerta de enlace está activada en las configuraciones de Fase 1 para la puerta de enlace de
sucursal en cada extremo del túnel.
El failover de VPN no ocurre para los túneles BOVPN con NAT dinámica habilitada como parte de su
configuración de túnel. Para los túneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesión de
BOVPN continua. Con los túneles de Mobile VPN, la sesión no continúa. Debe autenticar su cliente de
Mobile VPN nuevamente para hacer un nuevo túnel de Mobile VPN.
Definir múltiples pares de puertas de enlace

Para configurar túneles BOVPN manualmente para que hagan la conmutación por error hacia un extremo
de resguardo, se debe definir más de un conjunto de extremos local y remoto (pares de puertas de enlace)
para cada puerta de enlace. Para la funcionalidad completa de conmutación por error para una
configuración de VPN, debe definir pares de puerta de enlace para cada combinación de interfaces

externas en cada lado del túnel. Por ejemplo, suponga que su extremo local principal sea 23.23.1.1/24 con
un resguardo en 23.23.2.2/24. Su extremo remoto principal es el 50.50.1.1/24 con un resguardo en
50.50.2.1/24. Para un failover completo de VPN, necesitaría definir esos cuatro pares de puertas de enlace:
23.23.1.1 - 50.50.1.1
23.23.1.1 - 50.50.2.1
23.23.2.1 - 50.50.1.1
23.23.2.1 - 50.50.2.1
1. Seleccione VPN >VPN para sucursales . Haga clic en Agregar al lado de la listaPuertas de enlace
para agregar una nueva puerta de enlace. Asigne un nombre a la puerta de enlace y defina el
método de credenciales, tal como se describe en Definir puertas de enlace en la página 421.
2. En la sección Extremos de la Puerta de enlace la página de configuraciones Puerta de enlace., haga
clic en Agregar.
El Aparece el cuadro de diálogo "Configuraciones de extremos de puerta de enlace".
3. Especifique la ubicación de las puertas de enlace local y remota. Seleccione el nombre de la interfaz
externa que coincida con la dirección IP o domain name de puerta de enlace local que agregue.
Se puede agregar tanto una dirección IP como un ID de puerta de enlace para la puerta de enlace

remota. Eso puede ser necesario si la puerta de enlace remota está detrás de un dispositivo NAT y
requiera más información para autenticarse en la red detrás del dispositivo NAT.
4. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de extremos de la nueva
puerta de enlace.
El Aparece el cuadro de diálogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la lista
de extremos de la puerta de enlace.
5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregar
hasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar para
cambiar el orden en el cual Firebox intenta establecer conexiones.
Vea Estadísticas de VPN

Puede usar el Fireware XTM Web UI para monitorear el tráfico de la VPN de Firebox y solucionar los
problemas de configuración de la VPN.
1. Seleccione Estado del sistema> Estadísticas deVPN.

Aparece la página "Estadísticas de VPN".
2. Para forzar el túnel BOVPN a regenerar una clave, haga clic en el botón Regenerar clave para túnel
BOVPN seleccionado.
Para más informaciones, vea Regenerar clave de túneles BOVPN en la página 458.
3. Para ver información adicional para usar en la solución de problemas, haga clic en Depurar.
Para más informaciones, vea Estadísticas de VPN en la página 382.
Regenerar clave de túneles BOVPN

Los extremos de la puerta de enlace de los túneles BOVPN deben generar e intercambiar nuevas claves sea
después de un período de tiempo determinado o después que una cantidad de tráfico pase por el túnel. Si
desea generar nuevas claves inmediatamente antes que caduquen, puede regenerar nueva clave para un
túnel BOVPN para forzarlo a caducar inmediatamente. Eso puede ser útil cuando se está solucionando
problemas en el túnel.
Para regenerar clave para un túnel BOVPN:
1. Seleccione Estado del sistema> VPN Estadística.

Aparece la página Estadística de VPN.
2. En la tabla Túneles VPN para Sucursales, haga clic en un túnel para seleccionarlo.
3. Haga clic en Regenerar clave de túnel BOVPN seleccionado.

Preguntas relacionadas
¿Por qué necesito una dirección externa estática?
Para establecer una conexión de VPN, cada dispositivo debe conocer la dirección IP del otro dispositivo. Si
la dirección para un dispositivo es dinámica, la dirección IP puede cambiar. Si la dirección IP cambia, no se
pueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben como
encontrarse mutuamente.
Puede usar un DNS Dinámico si no puede obtener una dirección IP externa. Para más informaciones, vea
Página Acerca de Servicio DNS dinámico en la página 88.
¿Cómo obtengo una dirección IP externa estática?

Obtiene la dirección IP externa para su PC o red junto a su administrador de red o ISP. Muchos ISPs usan
direcciones IP dinámicas para facilitar la configuración de sus redes y la utilización por muchos usuarios. La
mayoría de los ISPs puede ofrecerle una dirección IP estática como una opción.
¿Cómo soluciono problemas de la conexión?

Si puede enviar un ping a la interfaz de confianza del Firebox remoto y a equipos en la red remota, el túnel
VPN está activo. Otra causa posible de otros problemas es la configuración del software de red o de las
aplicaciones de software.
¿Por qué el ping no está funcionando?

Si no puede enviar un ping a la dirección IP de interfaz local del Firebox remoto, siga estos pasos:
1. Envíe un ping a la dirección externa del Firebox remoto.
Por ejemplo, en el Sitio A, envíe un ping a la dirección IP del Sitio B. Si no recibe una respuesta,
asegúrese de que estén correctas las configuraciones de la red externa del Sitio B. El Sitio B debe ser
configurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones está
correctas, asegúrese que los equipos en el Sitio B tengan conexión a Internet. Si los equipos en el
Sitio B no logran conectarse, hable con su administrador de red o ISP.
2. Si puede enviar un ping a la dirección externa de cada Firebox, intente enviar un ping a la dirección
local en la red remota.
Desde un equipo en el Sitio A, envíe un ping a la dirección IP de la interfaz interna del Firebox
remoto. Si el túnel VPN está activo, el Firebox remoto retorna el ping. Si no recibe una respuesta,
asegúrese de que la configuración local esté correcta. Cerciórese de que los rangos de dirección de
DHCP local para las dos redes conectadas por el túnel VPN no usan direcciones IP similares. Las dos
redes conectadas por el túnel no deben usar las mismas direcciones IP.

¿Cómo configuro más que el número de túneles VPN permitido

en mi Edge?
El número de túneles VPN que pueden ser creados en su Firebox X Edge E-Series es determinado por el
modelo Edge que tiene. Puede adquirir la actualización de un modelo para su Edge para hacer más túneles
VPN junto a un revendedor o en el sitio web de WatchGuard:
http://www.watchguard.com/products/purchaseoptions.asp
Mejorar la disponibilidad del túnel BOVPN

Hay instalaciones de BOVPN en las cuales todas las configuraciones está correctas, pero las conexiones de
BOVPN no siempre funcionan correctamente. Puede usar la información abajo para ayudarlo a solucionar
los problemas de disponibilidad de túneles de BOVPN. Esos procedimientos no mejoran el desempeño
general de los túneles BOVPN.
Gran parte de los túneles BOVPN permanecen disponibles para el pasaje de tráfico en todos los momentos.
Los problemas suelen estar asociados a una o más de estas tres condiciones:
n Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, alta
fragmentación de paquetes y alta pérdida de paquetes pueden convertir una conexión en no
confiable. Esos factores tienen un impacto más fuerte en el tráfico de BOVPN que en otro tráfico
común, como HTTP y SMTP. Con el tráfico de BOVPN, los paquetes cifrados deben llegar a la
extremidad de destino, ser decodificados y luego rearmados antes que el tráfico no cifrado sea
enrutado a la dirección IP de destino.
n Un extremo no es un dispositivo WatchGuard o es uno más antiguo con un software de sistema
anterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos más antiguos
se hacen con el software más reciente disponible para dispositivos más antiguos. Con el software
más antiguo puede haber problemas que ya hayan sido arreglados en la versión más reciente del
software.
Como están basados en el estándar IPSec, los dispositivos WatchGuard son compatibles con la
mayoría de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no
son compatibles con IPSec debido a problemas de software o configuraciones con derechos de
autor.
n Si hay un volumen bajo de tráfico a través del túnel o si hay largos períodos de tiempo sin que pase
tráfico por el túnel, algunos extremos terminan la conexión de la VPN. Los dispositivos WatchGuard
que ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos de
terceros y dispositivos WatchGuard con versiones más antiguas del software WFS usan esa condición
como forma de cerrar los túneles que parecen estar muertos.
Es posible instalar el sistema operativo más reciente y el software de administración en todos los
dispositivos WatchGuard, pero todas las otras condiciones en esa lista están fuera de su control. Sin
embargo, puede tomar ciertas medidas para mejorar la disponibilidad del BOVPN.
Seleccionar IKE keep-alive o Dead Peer Detection, pero no ambas
Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un

túnel está desconectado. Cuando encuentran un túnel desconectado, inician una nueva negociación de
Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociación de Fase 1 que se
inicia puede hacer que el otro identifique el túnel como desconectado e inicie una segunda
negociación de Fase 1. Cada negociación de Fase 1 detiene todo el tráfico del túnel hasta que éste haya
sido negociado. Para mejorar la estabilidad del túnel, seleccione o IKE keep-alive o Dead Peer
Detection. No seleccione ambas.
Observe lo siguiente acerca de esas configuraciones:
La configuración de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar si
el extremo remoto es un dispositivo IPSec de terceros.
Cuando habilita IKE keep-alive, Firebox envía un mensaje a un dispositivo de puerta de enlace
remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con
qué frecuencia se envía un mensaje. Fallas máx. indica cuántas veces el dispositivo de puerta
de enlace remota puede presentar fallas al responder antes que Firebox intente renegociar la
conexión de Fase 1.
La Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Seleccione la
Dead Peer Detection si ambos dispositivos extremos la soportan.
Al activar la Dead Peer Detection, Firebox monitorea el tráfico de túnel para identificar si un
túnel está activo. Si no se activó el tráfico desde el punto remoto para el período de tiempo
insertado en tiempo de espera inactivo de tráfico, y un paquete está esperando para ser
enviado al punto, el Firebox envía una consulta. Si no hay respuestas después del número de
Máx. reintentos, Firebox renegocia la conexión de Fase 1. Para más informaciones acerca de la
Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.
Las configuraciones de IKE keep-alive y Dead Peer Detection forman parte de las configuraciones de
Fase 1.
1. En el Fireware XTM Web UI, seleccione VPN> BOVPN.

3. Haga clic en la pestaña Configuraciones de Fase 1.
Usar las configuraciones predeterminadas
Las configuraciones de BOVPN predeterminadas ofrecen la mejor combinación de seguridad y

velocidad. Use esas configuraciones predeterminadas siempre que posible. Si un dispositivo extremo
remoto no soporta una de las configuraciones predeterminadas de WatchGuard, configure el
dispositivo WatchGuard para que utilice la configuración predeterminada del extremo remoto. Esas
son las configuraciones predeterminadas para WSM 11.x:
Nota Si no se exhibe una configuración en las páginas de configuración de VPN>

BOVPN , no se puede cambiarla.
Configuraciones generales
Principal (Seleccionar Agresivo si uno de los dispositivos

Modo
posee una dirección IP externa dinámica).

Configuraciones generales
NAT Traversal Sí
Intervalo de keep-alive de NAT

20 segundos
Traversal
IKE keep-alive Desactivado
Intervalo de mensaje de IKE keep-

Ninguno
alive
Máx. Fallas de IKE keep-alive Ninguno
Dead Peer Detection (RFC3706) Activado
Tiempo de espera inactivo de tráfico

20 segundos
para Dead Peer Detection
Máx. de reintentos de Dead Peer

5
Detection
Configuraciones de transformación de FASE 1
Algoritmo de autenticación SHA-1
Algoritmo de cifrado 3DES
Caducidad de negociación o duración de SA (horas) 8
Caducidad de negociación o duración de SA (kilobytes) 0
Grupo Diffie-Hellman 2
Configuraciones de propuesta de FASE 2
Tipo ESP
Algoritmo de autenticación SHA-1
Algoritmo de cifrado AES (256 bit)
Forzar Caducidad de Clave Activar
Caducidad de Clave Fase 2 (horas) 8
Caducidad de Clave Fase 2 (kilobytes) 128000
Activar Perfect Forward Secrecy No
Grupo Diffie-Hellman Ninguno
Configurar Firebox para enviar tráfico de registro a través del túnel
Si no hay tráfico a través del túnel por un período de tiempo, un extremo puede decidir que el otro no

está disponible y no intenta renegociar el túnel VPN inmediatamente. Una forma de asegurar que el
tráfico no deje de pasar por el túnel es configurar el Firebox para que envíe registro de tráfico a través
del túnel. No necesita que un Log Server reciba y mantenga los registros de tráfico. En ese caso, se
configura intencionadamente el Firebox para enviar el tráfico de registro a un Log Server que no
existe. Eso crea un pequeño pero consistente volumen de tráfico enviado a través del túnel, lo que
puede ayudar a mantenerlo más estable.
Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox está configurado
para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede
usar ese método para enviar el tráfico por el túnel.
Debe elegir una dirección IP del Log Server a la cual enviar los datos de registro. Para elegir la
dirección IP, use estas directrices.
n La dirección IP del Log Server utilizada debe ser una dirección IP que esté incluida en las
configuraciones de ruta de túnel. Para más informaciones, vea Agregar rutas para un túnel en
la página 434.
n La dirección IP del Log Server no debería ser una dirección IP usada por un dispositivo real.
Los dos tipos de registro generan diferentes volúmenes de tráfico.
Registro de WatchGuard
No se envía ningún dato de registro hasta que Firebox se haya conectado al Log Server. Los
únicos tipos de tráfico enviados a través del túnel son intentos de conectase al Log Server,
enviados a cada tres minutos. Eso puede ser un volumen de tráfico suficiente para ayudar en la
estabilidad del túnel con un mínimo impacto en otro tráfico de BOVPN.
Registro de syslog
Los datos de registro son enviados inmediatamente a la dirección IP del servidor de syslog. El
volumen de datos de registro depende del tráfico que Firebox maneja. El registro de syslog
suele generar bastante tráfico para que siempre estén pasando paquetes por el túnel. El
volumen de tráfico puede a veces hacer que el tráfico normal de BOVPN quede más lento,
pero eso no es común.
Para mejorar la estabilidad y tener menor impacto sobre el tráfico de BOVPN, intente primero la
opción de Registro de WatchGuard. Si eso no mejora la estabilidad del túnel BOVPN, intente el registro
de syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivos
Firebox de WatchGuard y que ningún extremo está configurado para enviar datos de registro ni al
WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya está configurado para enviar datos
de registro que son recogidos por un servidor, no cambie esas configuraciones de registro.
Algunas de las opciones que puede intentar son:
n Configurar un extremo para enviar tráfico de registro WatchGuard a través del túnel.
n Configurar el otro extremo para enviar tráfico de registro de WatchGuard a través del túnel.
n Configurar ambos extremos para enviar tráfico de registro de WatchGuard a través del túnel.
n Configurar un extremo para enviar tráfico de registro de syslog a través del túnel.
n Configurar sólo el otro extremo para enviar tráfico de registro de syslog a través del túnel.
n Configurar ambos extremos para enviar tráfico de registro de syslog a través del túnel.
Enviar datos de registro de WatchGuard a través del túnel

1. En el Fireware XTM Web UI, seleccione Sistema > Registro.

2. Seleccione la casilla de verificación Activar registro WatchGuard para esos servidores.
3. En el campo Dirección de Log Server, ingrese la dirección IP seleccionada para el Log Server en
el campo Dirección IP del Log Server.
4. Ingrese una clave de cifrado en el campo Encryption Key y confírmela en el campo Confirmar.
El rango permitido para la clave de cifrado es de 8 a 32 caracteres. Puede usar todos los caracteres,
excepto los espacios o barras diagonales o invertidas (/ o \).
5. Haga clic en Agregar. Haga clic en Guardar.
Enviar datos de syslog a través del túnel
1. En el Fireware XTM Web UI, seleccione Sistema > Registro.

2. Haga clic en la pestaña Servidor de Syslog.
3. Seleccione la casilla de verificación Activar registro Syslog para esos servidores.
4. Ingrese la dirección IP elegida para el servidor de syslog en el campo al lado.

21 Mobile VPN con PPTP
Acerca del Mobile VPN con PPTP

La conexión a red privada virtual móvil (Mobile VPN) con protocolo de túnel punto a punto (PPTP) crea una
conexión segura entre un equipo remoto y los recursos de red detrás del dispositivo WatchGuard. Cada
dispositivo WatchGuard admite hasta 50 usuarios al mismo tiempo. Los usuarios de Mobile VPN con PPTP
pueden autenticarse en el dispositivo WatchGuard o en un servidor de autenticación RADIUS o VACMAN.
Para usar Mobile VPN con PPTP, debe configurar el dispositivo WatchGuard y las computadoras cliente
remotas.
Requisitos de Mobile VPN con PPTP

Antes de configurar el dispositivo WatchGuard para usar Mobile VPN with PPTP, asegúrese de tener esta
información:
n Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP.
Paratúneles de Mobile VPN con PPTP,el dispositivoWatchGuard ofrece a cadausuario remotouna
direcciónIP virtual.Estas direccionesIP nopueden ser direcciones que utilice lared detrásdel
dispositivoWatchGuard. Elprocedimiento másseguro paraasignar direccionesa usuariosde Mobile
VPN es instalar una secondarynetwork "marcadorade posición".Luego, seleccione una direcciónIP de
ese rango de red. Por ejemplo, cree una nuevasubnet comosecondary networken sured de confianza
10.10.0.0/24.Seleccione lasdirecciones IPen estasubnet parasu rangode direccionesPPTP.
n Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para las
direcciones IP.
n Los nombres de usuario y contraseñas de los usuarios autorizados a conectarse al dispositivo
WatchGuard con Mobile VPN with PPTP.

Mobile VPN con PPTP
Niveles de cifrado
Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128 bits o un cifrado de 40 bits. Las
versiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128 bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Firebox
siempre intenta utilizar cifrado de 128 bits en primer lugar. Puede configurarse para usar cifrado de 40 bits
si el cliente no puede usar una conexión cifrada de 128 bits.
Para obtener más información sobre cómo admitir el cifrado de 40 bits consulte Configurar Mobile VPN
with PPTP en la página 466.
Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuenta
LiveSecurity Service, envíe un mensaje de correo electrónico a supportid@watchguard.com e incluya toda
la información que se indica a continuación:
n Número de clave de LiveSecurity Service

n Fecha de compra del producto WatchGuard
n Nombre de su empresa
n Dirección de correo postal de la empresa
n Número de teléfono y nombre de contacto
n Dirección de correo electrónico
Si reside en los Estados Unidos y aún no utiliza WatchGuard System Manager (WSM) con cifrado de alta
seguridad, debe descargar el software de cifrado de alta seguridad de la página de Descargas de software
en el sitio web de LiveSecurity Service.
1. Abra un explorador web y visite www.watchguard.com.

2. Ingrese en su cuenta de LiveSecurity Service.
3. Haga clic en Soporte.
Aparece el Centro de Soporte de WatchGuard.
4. En la sección Administración de sus productos, haga clic en Descargas de software.
5. En la lista Seleccionar familia de productos, seleccione su dispositivo WatchGuard.
Aparece la página de Descargas de software.
6. Descargue WatchGuard System Manager con cifrado de alta seguridad.
Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debe
desinstalar de su computadora cualquier otra versión de WatchGuard System Manager.
Nota Para mantener la configuración actual del dispositivo WatchGuard, no use el

Quick Setup Wizard cuando instale el nuevo software. Abra el WatchGuard System
Manager, conéctese al dispositivo WatchGuard y guarde el archivo de
configuración. Las configuraciones con una versión de cifrado diferente son
compatibles.
Configurar Mobile VPN with PPTP

Para configurar el dispositivo WatchGuard para aceptar conexiones PPTP , primero debe activar y realizar
las configuraciones para Mobile VPN with PPTP.
1. Seleccione VPN > Mobile VPN with PPTP.

Mobile VPN con PPTP
2. Seleccione la casilla de verificación Activar Mobile VPN with PPTP.

Esto permite configurar a los usuarios remotos de PPTP y automáticamente crea una política de
PPTP de WatchGuard para permitir el tráfico de PPTP al dispositivo WatchGuard. Recomendamos no
modificar las propiedades predeterminadas de la política de PPTP de WatchGuard.
3. Realice las configuraciones de autenticación como se describe en las secciones siguientes.
Autenticación
Los usuarios de Mobile VPN con PPTP pueden autenticarse en la base de datos interna de Firebox o usar
autenticación extendida en un servidor RADIUS o VACMAN Middleware Server como alternativa a Firebox.
Las instrucciones para usar un VACMAN Middleware Server son idénticas a las instrucciones para usar un
servidor RADIUS.
Para usar la base de datos interna de Firebox, no seleccione la casilla de verificación Usar autenticación
RADIUS para usuarios de PPTP .
Para usar un servidor RADIUS o VACMAN Middleware para autenticación:

Mobile VPN con PPTP
1. Seleccione la casilla de verificación Usar autenticación RADIUS para usuarios de PPTP.

2. Configurar autenticación de servidor RADIUS o Configurado autenticación de servidor VASCO.
3. En el servidor RADIUS, cree un grupo de usuarios de PPTP y agregue nombres o grupos de usuarios
de PPTP.
Nota Para establecer la conexión de PPTP , el usuario debe ser miembro de un grupo
denominado PPTP-Users (usuarios de PPTP). Cuando el usuario ya está
autenticado, Firebox mantiene una lista de todos los grupos del que el usuario es
miembro. Use cualquiera de los grupos en una política para controlar el tráfico
para el usuario.
Configuraciones de cifrado
Las versiones nacionales estadounidenses de Windows XP tienen activado un cifrado de 128 bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows.
n Si desea solicitar el cifrado de 128 bits para todos los túneles PPTP, seleccione Solicitar cifrado de
128 bits.
Recomendamos utilizar cifrado de 128 bits para VPN.
n Para permitir que los túneles bajen el cifrado de 128 bits a 40 bits para conexiones menos
confiables, seleccione Permitir bajar cifrado de 128 bits a 40 bits.
Firebox siempre intenta utilizar cifrado de 128 bits en primer lugar. Se utiliza el cifrado de 40 bits si
el cliente no puede usar la conexión cifrada de 128 bits. En general, sólo los clientes fuera de los
Estados Unidos seleccionan esta casilla de verificación.
n Para permitir tráfico que no está cifrado a través de la VPN, seleccione No requiere cifrado.
Agregar al conjunto de direcciones IP

Mobile VPN with PPTP admite hasta 50 usuarios al mismo tiempo. Firebox otorga una dirección IP abierta a
cada usuario de Mobile VPN entrante dentro de un grupo de direcciones IP disponibles. Esto continúa hasta
que todas las direcciones están en uso. Después de que un usuario cierra una sesión, la dirección vuelve a
colocarse en el grupo disponible. El siguiente usuario que ingresa obtiene esta dirección.
Debe configurar dos o más direcciones IP para que PPTP funcione correctamente.
1. En la sección Conjunto de direcciones IP, en la lista desplegable Elegir tipo, seleccioneIP de host
(para una sola dirección IP) o Rango de host (para un rango de direcciones IP).
2. En el cuadro de texto IP de host, ingrese una dirección IP.

Si seleccionó Rango de host, la primera dirección IP del rango es Desde y la última dirección IP del

Mobile VPN con PPTP
rango es Hasta.
3. Haga clic en Agregar para agregar la dirección IP de host o el rango de host al conjunto de
direcciones IP.
Se pueden configurar hasta 50 direcciones IP.
Si selecciona IP de host, debe agregar por lo menos dos direcciones IP.
Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50 direcciones, Mobile
VPN with PPTP utiliza las primeras 50 direcciones del rango.
4. Repita los pasos 1al 3 para configurar todas las direcciones para usar con Mobile VPN with PPTP.
Configuraciones de pestañas avanzadas

1. En la página Mobile VPN with PPTP , haga clic en la pestaña Avanzada.
2. Realice la configuración de tiempo de espera y las configuraciones de Unidad máxima de
transmisión (MTU) y Unidad máxima de recepción (MRU) como se describe en las siguientes
secciones.
Recomendamos mantener las configuraciones predeterminadas.
Configuración de tiempo de espera
Puede definir dos configuraciones de tiempo de espera para túneles PPTP si usa autenticación RADIUS:
El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si configura
este campo en cero (0) segundos, minutos, horas o días, no se usa tiempo de espera de sesión y el
usuario puede permanecer conectado durante el tiempo que desee.

Mobile VPN con PPTP
El tiempo máximo que el usuario puede permanecer autenticado cuando está inactivo (sin tráfico
hacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas o
días, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempo
que desee.
Si no usa RADIUS para autenticación, el túnel PPTP usa la configuración de tiempo de espera especificada
por usted para cada usuario de Firebox. Para obtener más información acerca de la configuración de
usuario de Firebox, consulte Definir un nuevo usuario para autenticación en Firebox en la página 225.
Otras configuraciones
Los tamaños de la Unidad máxima de transmisión (MTU) o Unidad máxima de recepción (MRU) se envían al
cliente como parte de los parámetros de PPTP para usar durante la sesión de PPTP. No modifique los valores
de MTU o MRU a menos que esté seguro de que la modificación soluciona un problema en la configuración.
Los valores de MTU o MRU incorrectos ocasionan la falla del tráfico a través de la VPN with PPTP.
Para modificar los valores de MTU o MRU :
1. En la página Mobile VPN with PPTP , haga clic en la pestaña Avanzada.

2. En la sección Otras configuraciones, ingrese o seleccione los valores de la Unidad máxima de
transmisión (MTU) o Unidad máxima de recepción (MRU) .
Configurar servidores WINS y DNS

Los clientes de Mobile VPN con PPTP utilizan direcciones de servidor compartidas del Servicio Windows
Internet Naming (WINS) y el Sistema de domain name (DNS). El DNS cambia los nombres de host a
direcciones IP, mientras que WINS cambia los nombres de NetBIOS a direcciones IP. La interfaz de
confianza de Firebox debe tener acceso a estos servidores.

Aparece la página de Interfaces de red. Las configuraciones de WINS y DNS se encuentran en la parte inferior.

Mobile VPN con PPTP
2. En la sección Servidores DNS, ingrese un domain name para el servidor DNS.

3. En el cuadro de texto Servidor DNS, ingrese la dirección IP para el servidor DNS y haga clic en
Agregar.
Pueden agregarse hasta tres direcciones para servidores DNS.
4. En el cuadro de texto Servidores WINS, ingrese la dirección IP para un servidor WINS y haga clic en
Agregar.
Pueden agregarse hasta dos direcciones para servidores WINS.
Agregar nuevos usuarios al grupo de usuarios de

PPTP
Para crear un túnel VPN PPTP con Firebox, los usuarios móviles ingresan sus nombres de usuario y frases de
contraseña para autenticarse. Firebox utiliza esta información para autenticar al usuario.
Cuando activa PPTP en su configuración de Firebox, automáticamente se crea un grupo de usuarios

predeterminado. Este grupo de usuarios se denomina PPTP_Users (usuarios de PPTP). Este nombre de
grupo se muestra al crear un nuevo usuario o agregar nombres de usuario a las políticas.
Para más información acerca de grupos Firebox, vea Configure su Firebox como servidor de autenticación
en la página 223.

2. Haga clic en la pestaña Firebox .

Mobile VPN con PPTP
3. En la sección Usuarios, haga clic en Agregar.


Mobile VPN con PPTP
4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. Ingrese la frase de contraseña
nuevamente para confirmarla.
No se requiere una descripción. Recomendamos no cambiar los valores predeterminados para el tiempo de
espera de sesión y el tiempo de espera inactivo.
5. En la lista Disponible, seleccione Usuarios de PPTP y haga clic .
Usuarios de PPTP aparece en la lista de Miembros.
6. Haga clic en OK.
Configurarpolíticasparapermitirel tráficodeMobileVPNcon
PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en forma
predeterminada. Para permitir a usuarios remotos el acceso a recursos de red específicos, se deben
agregar nombres de usuarios o el grupo de usuarios de PPTP, como orígenes y destinos en las definiciones
de política individual.
Para más informaciones, vea Use los usuarios y grupos autorizados en políticas en la página 248.
Para usar WebBlocker para controlar el acceso de usuarios remotos, agregue usuarios de PPTP o el grupo
de usuarios de PPTP a una política de proxy que controle a WebBlocker.

Mobile VPN con PPTP
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo tráfico de Mobile VPN con PPTP no es de confianza.
Independientemente de las direcciones IP asignadas, se deben crear políticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Configurar políticas para permitir el tráfico de

Mobile VPN con PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a través de un Firebox en forma
predeterminada. Debe configurar las políticas para permitir que los usuarios de PPTP obtengan acceso a
recursos de red. Puede agregar políticas nuevas o editar las políticas existentes.
Nota Si se asignan direcciones desde una red de confianza a usuarios de PPTP, el tráfico
desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo tráfico de Mobile VPN con PPTP no es de confianza.
Independientemente de la dirección IP asignada, se deben crear políticas para
permitir a los usuarios de PPTP obtener acceso a los recursos de red.
Permitir a los usuarios de PPTP acceder a una red de confianza

En este ejemplo, se agrega la opción Cualquier política para permitir a todos los miembros del grupo de
usuarios de PPTP el acceso total a los recursos en todas las redes de confianza.
1. Seleccione Firewall > Políticas de Firewall. Haga clic en Agregar.

2. Amplíe la carpeta Filtrados de paquetes.
Aparece una lista de plantillas para filtrados de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar.
4. En el cuadro de texto Nombre, ingrese un nombre para la política.
Elija un nombre que le ayude a identificar esta política en su configuración.
5. En la pestaña Política, en la sección Desde , seleccione Cualquiera de confianza y haga clic en
Remover.
6. En la pestaña Política, en la sección Desde , haga clic en Agregar.
7. En la lista desplegable Tipo de miembro, seleccioneGrupo de PPTP.
8. Seleccione Usuarios de PPTP y haga clic en Seleccionar.
Después de Usuarios de PPTP aparece el nombre del método de autenticación entre paréntesis.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro.
10. En el área Hasta, haga clic en Agregar.
11. En la sección Miembros y direcciones seleccionados , seleccione Cualquiera externo y haga clic en
Remover.


Mobile VPN con PPTP
13. En la lista Miembros seleccionados, seleccione Cualquiera de confianza y haga clic en OK.
Para más informaciones acerca de políticas, vea Agregar políticas en la configuración en la página 254.
Usar otros grupos o usuarios en una política de PPTP

Los usuarios deben ser miembros del grupo Usuarios de PPTP para realizar una conexión PPTP. Cuando se
configura una política para otorgar acceso a los usuarios de PPTP a recursos de red, se puede usar el
nombre de usuario individual o cualquier otro grupo del que el usuario sea miembro.
Para seleccionar un usuario o grupo distinto de Usuarios de PPTP:

2. Haga doble clic en la política a la que desea agregar el usuario o grupo.
3. En la pestaña Política, en la sección Desde , haga clic en Agregar.
4. En la lista desplegable Tipo de miembro, seleccione Usuario de Firewall o Grupo de Firewall.
5. Seleccione el usuario o grupo que desea agregar y haga clic en OK.
Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios y
grupos autorizados en políticas en la página 248.
Opciones de acceso a Internet a través de un

túnel de Mobile VPN con PPTP
Puede permitir que usuarios remotos accedan a Internet a través de un túnel Mobile VPN. Esta opción
afecta su seguridad porque este tráfico de Internet no está filtrado ni cifrado. Tiene dos opciones de rutas
de túnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de túnel dividido.
VPN de ruta predeterminada

La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a través
del túnel VPN hacia el dispositivo WatchGuard. Después, el tráfico es enviado de vuelta a Internet. Con esta
configuración (conocida como VPN de ruta predeterminada), Firebox puede examinar todo el tráfico y
proporcionar mayor seguridad, aunque utiliza más capacidad de procesamiento y ancho de banda. Al usar
una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red
remota. Esto permite a los usuarios remotos navegar por Internet cuando envían todo el tráfico al
Nota Si usa los comandos "route print" o "ipconfig" después de iniciar un túnel Mobile
VPN en una computadora que tiene instalado Microsoft Windows, verá
información incorrecta de la puerta de enlace predeterminada. La información
correcta se encuentra en la pestaña Detalles del cuadro de diálogo Estado de la
conexión privada virtual.

Mobile VPN con PPTP
Dividir VPN de túnel

Otra opción de configuración es activar el túnel dividido. Esta configuración permite a los usuarios navegar
por Internet sin necesidad de enviar tráfico de Internet a través del túnel VPN . El túnel dividido mejora el
desempeño de red, pero disminuye la seguridad debido a que las políticas creadas no son aplicadas al
tráfico de Internet. Si usa el túnel dividido, recomendamos que cada equipo cliente tenga un firewall de
software.
Configuración de VPN de ruta predeterminada para Mobile VPN

with PPTP
En Windows Vista, XP y 2000, la configuración predeterminada para una conexión PPTP es default-route
(ruta predeterminada). Firebox debe estar configurado con NAT dinámica para recibir el tráfico desde un
usuario de PPTP. Cualquier política que administre tráfico hacia Internet desde detrás del dispositivo
WatchGuard debe estar configurada para permitir el tráfico del usuario de PPTP.
Cuando configura la VPN de ruta predeterminada:
n Asegúrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP estén
incluidas en la configuración de NAT dinámica en el dispositivo WatchGuard.
Desde el Administrador de la política, seleccione Red > NAT.
n Modifique la configuración de la política para permitir conexiones desde el grupo de usuarios de
PPTP a través de la interfaz externa.
Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTP
a la política de proxy que está configurada con WebBlocker activado.
Configuración deVPNdetúnel divididoparaMobileVPNwith

PPTP
En la computadora cliente, edite las propiedades de conexión de PPTP para que no envíen todo el tráfico a
través de la VPN.
1. Para Windows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con el
botón derecho en la conexión VPN.
2. Seleccione Propiedades.
Aparece el cuadro de diálogo de propiedades de VPN.
3. Seleccione la pestaña Red .
4. Seleccione Protocolo de Internet (TCP/IP) en el menú y haga clic en Propiedades.
5. En la pestaña General , haga clic en Avanzada.
Aparece el cuadro de diálogo Configuración avanzada de TCP/IP.
6. Windows XP y Windows 2000: en la pestaña General (XP y Windows 2000), desmarque la casilla de
verificación Usar puerta de enlace predeterminada en red remota.
Windows Vista: en la pestaña Configuración (XP y Windows 2000), desmarque la casilla de
verificación Usar puerta de enlace predeterminada en red remota.

Mobile VPN con PPTP
Preparar computadoras cliente para PPTP

Antes de poder usar las computadoras clientes como host remotos de Mobile VPN con PPTP, primero se
debe preparar el acceso a Internet en cada computadora. Luego, puede usar las instrucciones en las
siguientes secciones para:
n Instalar la versión necesaria del Acceso telefónico a redes de Microsoft y los paquetes de servicio
necesarios.
n Preparar el sistema operativo para conexiones de VPN.
n Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).
Preparar una computadora cliente con Windows NT o 2000:

Instalar MSDUN y los paquetes de servicio
A veces es necesario instalar estas opciones para la configuración correcta de Mobile VPN con PPTP en
Windows NT y 2000:
n Actualizaciones de MSDUN (Acceso telefónico a redes)

n Otras extensiones
n Paquetes de servicio
Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones:
Cifrado Plataforma Aplicación
Base Windows NT SP4 de 40 bits
Alta seguridad Windows NT SP4 de 128 bits
Base Windows 2000 SP2* de 40 bits
Alta seguridad Windows 2000 SP2* de 128 bits
El cifrado de 40 bits es la configuración predeterminada en Windows 2000. Si realiza la actualización desde

Windows 98 con cifrado de alta seguridad, Windows 2000 automáticamente establece el cifrado de alta
seguridad para la nueva instalación.
Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas de
Microsoft en:
http://www.microsoft.com/downloads/
Los pasos para configurar y establecer una conexión PPTP son diferentes para cada versión de Microsoft
Windows.
Para establecer una conexión PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN with
PPTP para Windows Vista en la página 478
Para establecer una conexión PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows XP en la página 479
Para establecer una conexión PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows 2000 en la página 480

Mobile VPN con PPTP
Crear y conectar una Mobile VPN with PPTP para Windows Vista
Crear una conexión PPTP
Para preparar una computadora cliente con Windows Vista, debe configurar la conexión PPTP en la
configuración de red.
1. Desde el menú Inicio de Windows, seleccione Configuración> Panel de control.

El menú Inicio en Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Haga clic en Red e Internet.
Aparece el Centro de redes y recursos compartidos.
3. En la columna de la izquierda, debajo de Tareas, haga clic en Conectarse a una red.
Se inicia el asistente de conexión nueva.
4. Seleccione Conectarse a un lugar de trabajo y haga clic en Siguiente.
Aparece el cuadro de diálogo Conectarse a un lugar de trabajo.
5. Seleccione No, crear una conexión nueva y haga clic en Siguiente.
Aparece el cuadro de diálogo Cómo desea conectarse.
6. Haga clic en Usar mi conexión a Internet (VPN).
Aparece el cuadro de diálogo Ingrese la dirección de Internet a la que se conectará.
7. Ingrese el nombre del host o la dirección IP de la interfaz externa de Firebox en el campo Dirección
de Internet.
8. Ingrese un nombre para la Mobile VPN (como "PPTP para Firebox") en el cuadro de texto Nombre
de destino.
9. Seleccione si desea que otras personas puedan usar esta conexión.
10. Seleccione la casilla de verificación No conectarse ahora; configurar para poder conectarse más
tarde para que la computadora cliente no intente conectarse en este momento.
11. Haga clic en Siguiente.
Aparece el cuadro de diálogo Ingrese su nombre de usuario y contraseña.
12. Ingrese el Nombre de usuario y la contraseña para este cliente.
13. Haga clic en Crear.
Aparece el cuadro de diálogo La conexión está lista para usar.
14. Para probar la conexión, haga clic en Conectarse ahora.
Establecer la conexión PPTP

Para conectar una computadora cliente con Windows Vista reemplace [nombre de la conexión] con el
nombre real que usó para configurar la conexión PPTP. El nombre de usuario y la contraseña se refiere a
uno de los usuarios que agregó al grupo de usuarios de PPTP. Para más informaciones, vea Agregar nuevos
usuarios al grupo de usuarios de PPTP en la página 471.
Asegúrese de tener una conexión activa a Internet antes de comenzar.
1. Haga clic en Inicio > Configuración > Conexiones de red > [nombre de la conexión]
El botón de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Ingrese el nombre de usuario y la contraseña para la conexión y haga clic en Conectar.
3. La primera vez que se conecta, debe seleccionar una ubicación de red. Seleccione Ubicación
pública.

Mobile VPN con PPTP
Cree y conecte una Mobile VPN with PPTP para Windows XP

Para preparar una computadora cliente con Windows XP, debe configurar la conexión PPTP en la
configuración de red.
Cree la Mobile VPN with PPTP

Desde el escritorio de Windows de la computadora cliente:
1. Desde el menú Inicio de Windows, seleccione Panel de control> Conexiones de red.

2. Haga clic en Crear una conexión nueva en el menú de la izquierda.
O bien, haga clic en Asistente de conexión nueva en la vista clásica de Windows.
Aparece el asistente de conexión nueva.
4. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
5. Seleccione Conexión de red privada virtual y haga clic en Siguiente.
6. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
7. Seleccione si Windows asegura que la red pública está conectada:
n Paraunaconexiónde bandaancha,seleccioneNomarcarla conexióninicial.
O
n Para una conexión por módem, seleccione Marcar automáticamente esta conexión inicial y
luego seleccione un nombre de conexión dentro de la lista desplegable.

Aparece la pantalla de Selección del Servidor VPN. El asistente incluye esta pantalla si usa Windows XP SP2. No
todos los usuarios de Windows XP ven esta pantalla.
9. Ingrese el nombre de host o la dirección IP de la interfaz externa de Firebox y haga clic en Siguiente.
Aparece la pantalla de Tarjeta inteligente.
10. Seleccione si usará la tarjeta inteligente con este perfil de conexión y haga clic enSiguiente.
Aparece la pantalla Disponibilidad de conexión.
11. Seleccione quién puede usar este perfil de conexión y haga clic en Siguiente.
12. Seleccione Agregar un acceso directo a esta conexión en mi escritorio.
Conectarse con la Mobile VPN with PPTP

1. Inicie la conexión a Internet a través de la red telefónica o directamente a través de una LAN o WAN.
2. Haga doble clic en el acceso directo a la conexión nueva en su escritorio.
O bien, seleccione Panel de control> Conexiones de red y seleccione su conexión nueva desde la
lista de red privada virtual.
3. Ingrese el nombre de usuario y la frase de contraseña para la conexión.
Para obtener más información acerca del nombre de usuario y la frase de contraseña, consulte
Agregar nuevos usuarios al grupo de usuarios de PPTP en la página 471.
4. Haga clic en Conectar.

Mobile VPN con PPTP
Cree y conecte una Mobile VPN with PPTP para Windows 2000
Parapreparar unhost remotocon Windows2000, debe configurar laconexión PPTPen laconfiguración de red.
Cree la Mobile VPN with PPTP

Desde el escritorio de Windows de la computadora cliente:
1. Desde el menú Inicio de Windows, seleccione Configuración> Conexiones de red> Crear una
conexión nueva.
Aparece el asistente de conexión nueva.
3. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
4. Haga clic en Conexión de red privada virtual.
5. Ingrese un nombre para la conexión nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
6. Seleccione no marcar (para conexión de banda ancha) o marcar esta conexión en forma automática
(para conexión con módem) y haga clic en Siguiente.
7. Ingrese el nombre de host o la dirección IP de la interfaz externa de Firebox y haga clic en Siguiente.
8. Seleccione Agregar acceso directo a esta conexión en mi escritorio y haga clic en Finalizar.
Conectarse con la Mobile VPN with PPTP

1. Inicie la conexión a Internet a través de la red telefónica o conéctese directamente a través de una
LAN o WAN.
2. Haga doble clic en el acceso directo a la conexión nueva en su escritorio.
O bien, seleccione Panel de control> Conexiones de red y seleccione su conexión nueva desde la
lista de red privada virtual.
3. Ingrese el nombre de usuario y la frase de contraseña para la conexión.
Para obtener más información acerca del nombre de usuario y la frase de contraseña, consulte
Agregar nuevos usuarios al grupo de usuarios de PPTP en la página 471.
Realizar conexiones PPTP salientes desde detrás

de un Firebox
Si es necesario, puede realizar una conexión PPTP a un Firebox desde detrás de un Firebox diferente. Por
ejemplo, uno de los usuarios remotos va a la oficina de un cliente que tiene un Firebox. El usuario puede
conectarse a su red con una conexión PPTP. Para que el Firebox local permita la conexión PPTP saliente en
forma correcta, agregue la política de PPTP y permita el tráfico desde la red en la que se encuentra el
usuario al alias Any-External (cualquiera externo).
Para agregar una política, consulte Agregar políticas en la configuración en la página 254.

22 Mobile VPN con IPSec
Acerca del Mobile VPN con IPSec

El Mobile VPN with IPSec es una aplicación de software cliente instalada en un equipo remoto. El cliente
hace una conexión segura desde el equipo remoto hacia su red protegida a través de una red desprotegida,
tal como la Internet. El cliente Mobile VPN usa la Seguridad de Protocolo de Internet (IPSec) para proteger
la conexión.
Esos tópicos incluyen instrucciones para ayudar a configurar un túnel Mobile VPN entre el cliente de
Mobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTM instalado.
Configurar una conexión de Mobile VPN con IPSec

Puede configurar el dispositivo WatchGuard para que funcione como un extremo para los túneles Mobile
VPN con IPSec.
En el Fireware XTM Web UI, seleccione , seleccione >VPN Mobile VPN con IPSec.
El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexión de
Mobile VPN con IPSec. Cuando agrega un grupo de Mobile VPN, se agrega una política Cualquiera a las
Políticas de Mobile VPN> de Firewall que permite que el tráfico pase hacia y desde el usuario autenticado
de Mobile VPN.
Haga clic en el botón Generar para crear un perfil de usuario final (archivo .wgx) que puede guardar.
El usuario debe tener ese archivo .wgx para configurar el equipo cliente de Mobile VPN. Si usa un
certificado para autenticación, también se generan los archivos .p12 y cacert.pem. Esos archivos pueden
ser encontrados en la misma ubicación que el perfil de usuario final de .wgx.
Para restringir el acceso del cliente Mobile VPN, elimine la política Cualquiera y añada políticas a Firewall
>Políticas de Mobile VPN que permitan el acceso a recursos.

Mobile VPN con IPSec
Cuando el dispositivo WatchGuard esté configurado, el equipo cliente debe ser configurado con el software
cliente Mobile VPN con IPSec. Para más información acerca de cómo instalar el software cliente Mobile
VPN con IPSec, vea Instalar el software cliente de Mobile VPN con IPSec en la página 512.
Cuando el equipo del usuario esté correctamente configurado, el usuario hace la configuración de Mobile
VPN. Si las credenciales usadas para la autenticación coinciden con una entrada en la base de datos de
usuarios del dispositivo WatchGuard, y si el usuario está en el grupo Mobile VPN creado, la sesión Mobile
VPN es autenticada.
Requisitos del sistema

Antes de configurar su dispositivo WatchGuard para Mobile VPN with IPSec, asegúrese de comprender los
requisitos del sistema para la computadora de administración de WatchGuard y la computadora del cliente
usuario móvil.
WatchGuard System Manager con cifrado de alta seguridad
Debido a que se aplican estrictas restricciones de exportación en el software de alto cifrado,

WatchGuard System Manager se ofrece con dos niveles de cifrado. Para generar un perfil de usuario
final para Mobile VPN with IPSec, debe asegurarse de configurar su dispositivo WatchGuard con el
WatchGuard System Manager con cifrado de alta seguridad. El estándar IPSec requiere un cifrado
mínimo de 56 bits. Para más informaciones, vea Instale el software WatchGuard System Manager.
Computadora del cliente usuario móvil
Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows
2000 Professional, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 -bits). Antes de
instalar el software cliente, asegúrese de que el equipo remoto no tenga un software cliente Mobile
User VPN de IPSec instalado. También debe desinstalar cualquier software de firewall de escritorio
(que no sea el software de firewall de Microsoft) de cada equipo remoto. Para más informaciones,
vea Requisitos del cliente en la página 512.
Nota Sólo necesita usar WatchGuard System Manager si desea distribuir el perfil de
usuario final como archivo cifrado (.wgx). Se recomienda esta acción. Puede usar
la Fireware XTM Web UI para configurar el Mobile VPN with IPSec y generar el
perfil de usuario final sin cifrar (.ini). Para obtener más información sobre los dos
tipos de archivos de configuración de perfil de usuario final, consulte Acerca de
archivos de configuración de cliente MobileVPN en la página 483.
Opciones de acceso a Internet a través de un túnel de Mobile

VPN con IPSec
Puede permitir que los usuarios remotos accedan a Internet a través de un túnel de Mobile VPN. Esa
opción afecta su seguridad porque el tráfico de Internet no es filtrado ni cifrado. Tiene dos opciones de
rutas de túnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de túnel dividido.

VPN de ruta predeterminada

La opción más segura es requerir que todo el tráfico de Internet del usuario remoto sea enrutado a través
del túnel VPN hacia el Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esa
configuración (conocida como VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico y
ofrecer mayor seguridad, aunque se use más potencia de procesamiento y ancho de banda. Al usar una
VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red remota.
Eso permite que usuarios remotos naveguen en Internet cuando envían todo el tráfico hacia el Firebox.
Para más información acerca de NAT dinámica, vea Agregar firewall a entradas de NAT dinámicas en la
página 138.
Dividir VPN de túnel

Otra opción de configuración es activar el túnel dividido. Esa configuración permite que los usuarios
naveguen por Internet normalmente. El túnel dividido disminuye la seguridad porque las políticas de
Firebox no son aplicadas al tráfico de Internet, pero el desempeño aumenta. Si usa el túnel dividido, sus
equipos clientes deberían tener un firewall de software.
Acerca de archivos de configuración de cliente MobileVPN

Con Mobile VPN with IPSec, el administrador de seguridad de red controla los perfiles del usuario final. El
Policy Manager es usado para crear el grupo de Mobile VPN con IPSec y crear un perfil de usuario final, con
la extensión .wgx o .imi. Los archivos .wgx e .ini contienen la clave compartida, identificación del usuario,
direcciones IP y configuraciones usadas para crear un túnel seguro entre el equipo remoto y el dispositivo
WatchGuard.
El archivo .wgx está cifrado con una frase de contraseña con ocho caracteres de extensión o más. Tanto el
administrador como el usuario remoto deben conocer esa frase de contraseña. Cuando usa el software
cliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contraseña es usada para
descifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administración de Línea.
El archivo de configuración .ini no está cifrado. Sólo debe ser usado si la configuración de Administración
de Línea fue alterada para algo diferente de Manual. Para más información, vea Administración de Línea
en la pestaña Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la página 493.
Puede crear o recrear el archivo .wgx e .ini en cualquier momento. Para más informaciones, vea Archivos
de configuración de Mobile VPN con IPSec en la página 507.
Si desea bloquear los perfiles para usuarios móviles, puede convertirlos en solo lectura. Para más
informaciones, vea Bloquear un perfil del usuario final en la página 506.
Configurar el Firebox para Mobile VPN with IPSec

Puede activar el Mobile VPN with IPSec para un grupo de usuarios creado, o puede crear un nuevo grupo
de usuarios. Los usuarios en el grupo pueden autenticarse sea en el Firebox o en un servidor de
autenticación de terceros incluido en su configuración del Firebox.

Configurar un grupo de Mobile VPN con IPSec

Aparece la página de "Mobile VPN with IPSec".

Aparece la página de "Configuración de VPN de Usuario Móvil con IPSec".

3. Ingrese un nombre de grupo en el cuadro de texto Nombre de grupo .

Puede ingresar el nombre de un grupo existente o el nombre de un nuevo grupo de Mobile VPN.
Asegúrese que el nombre es exclusivo entre los nombres de grupo de VPN, así como todos los
nombres de túneles VPN e interfaces.
4. Hacer esas configuraciones para editar el perfil del grupo:
Servidor de autenticación
Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
con la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO,
SecurID, LDAP o Active Directory Server. Asegúrese de que el método de autenticación elegido
está activado.
frases de contraseña
Ingrese una frase de contraseña para cifrar el perfil de Mobile VPN (archivo .wgx) que
dinstribuye en ese grupo. La clave compartida puede contener sólo caracteres ASCII
estándares. Si usa un certificado para autenticación, ese es el PIN para el certificado.
Confirmar

Ingrese la frase de contraseña nuevamente.
Dirección IP externa
Ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse.
Dirección IP de resguardo
Ingrese la dirección IP externa de resguardo a la cual los usuarios de Mobile VPN en ese grupo
pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una dirección IP de
resguardo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox.
Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de
espera si el servidor de autenticación no tiene sus propios valores de tiempo de espera. Si usa
el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el
campo de Duración de SA.
Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, haga
clic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valor
predeterminado es de 8 horas.

Se abre la página Túnel IPSec.

6. Configure:
Utilice la frase de contraseña del perfil del usuario final como clave precompartida
Seleccione esa opción para usar la frase de contraseña del perfil del usuario final como la clave
precompartida para la autenticación de túnel. Debe usar la misma clave compartida en el
dispositivo remoto. Esa clave compartida puede contener sólo caracteres ASCII estándares.
Usar un certificado
Seleccione esa opción para usar un certificado para autenticación de túnel.

Para más informaciones, vea Use certificados autenticados para el túnel VPN Mobile con IPSec
en la página 399.
Dirección IP de CA
Si usa un certificado, ingrese la dirección IP del Management Server que fue configurado como
autoridad de certificación.
Tiempo de espera
Si usa un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile VPN
with IPSec deja de intentar conectarse si no hay respuesta de la autoridad de certificación.
Recomendamos que se mantenga el valor predeterminado.

Seleccione los métodos de autenticación y cifrado para los túneles VPN. Esa configuración debe
ser la misma para ambos extremos de VPN. Para realizar configuraciones avanzadas, tal como
NAT Traversal o grupo de clave, haga clic en Avanzado y vea Definir configuraciones avanzadas
de Fase 1 en la página 501.
Las opciones de Cifrado están en la lista en orden del más simple y menos seguro al más
complejo y más seguro:
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bit)
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para cambiar otra configuración de propuestas, haga clic en Avanzado y vea Definir
configuraciones avanzadas Configuraciones de Fase 2 en la página 503.
7. Haga clic en la pestaña Recursos.

Aparece la página Recursos.

8. Configure:
Permitir todo el tráfico a través del túnel
Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN,
seleccione esa casilla de verificación.
Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través de
la VPN. Eso es más seguro, pero disminuye el desempeño de la red.
Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
más rápidamente.
Lista de Recursos Permitidos
Esa lista incluye los recursos a los cuales los usuarios en el grupo de autenticación de Mobile
VPN puede acceder en la red.
Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la dirección y haga clic en Agregar.

Para eliminar la dirección IP seleccionada o la dirección IP de red de la lista de recursos,

seleccione un recurso y haga clic en Remover.
Conjunto de direcciones IP virtuales
Esa lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN por
el túnel. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni por otro grupo
de Mobile VPN.
Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de red, ingrese la dirección y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP de
red y haga clic en Remover.

Aparece la página "Avanzado".
10. Configurar la Administración de Línea:
Modo de conexión
Manual — En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté
desactivado. Esa es la configuración predeterminada.
Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o
hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
Automático — En ese modo, el cliente intenta iniciar la conexión cuando su equipo envía
tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar
el túnel VPN automáticamente caso esté quede sin disponibilidad.
Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta que
se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel
VPN nuevamente hasta que se haga clic en Conectar.
Tiempo de espera de inactividad

Si el Modo de conexión está definido en Automático o Variable, el software cliente Mobile

VPN with IPSec no intenta renegociar la conexión de VPN hasta que no haya tráfico desde los
recursos de red disponibles a través del túnel por el período de tiempo insertado en Tiempo de
espera de inactividad.
Nota Las configuraciones predeterminadas de Administración de Línea son Manual y 0

segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el
software cliente.

La página Mobile VPN with IPSec se abre y el nuevo grupo IPSec aparece en la lista Grupos.
Los usuarios que son miembros del grupo creado no pueden conectarse hasta que importen el archivo de
configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo de
configuración y luego proveerlo a los usuarios finales.
Para generar los perfiles de usuario final para el grupo editado:

2. Haga clic en Generar.
Nota El Fireware XTM Web UI sólo puede generar el archivo de configuración .ini de
usuario móvil. Si desea generar el archivo .wgx, debe usar el Policy Manager.
Configurar el servidor de autenticación externo

Si crea un grupo de usuarios Mobile VPN que se autentica en un servidor externo, asegúrese de crear un
grupo en el servidor que tenga el mismo nombre que se añadió al asistente para el grupo Mobile VPN.
Si usa Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de
seguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPN
with IPSec.
Para RADIUS, VASCO o SecurID, asegúrese de que el servidor RADIUS envía un atributo Filtro-Id (atributo 11
de RADIUS) cuando un usuario se autentica con éxito, para informar al Firebox a qué grupo el usuario
pertenece. El valor del atributo Filter-Id debe coincidir con el nombre del grupo Mobile VPN como aparece
en las configuraciones del servidor de autenticación de Fireware XTM RADIUS. Todos los usuarios de Mobile
VPN que se autentiquen en el servidor deben pertenecer a ese grupo.
Agregar usuarios a un grupo de Mobile VPN de Firebox

Para abrir un túnel de Mobile VPN con el Firebox, los usuarios remotos ingresan su nombre de usuario y
contraseña para autenticarse. El software del WatchGuard System Manager usa esa información para
autenticar el usuario en el Firebox. Para autenticarse, los usuarios deben formar parte del grupo añadido en
el Asistente para agregar VPN de usuario móvil.
Para más información acerca de grupos Firebox, vea Tipos de autenticación de Firebox en la página 223.

Para añadir usuarios a un grupo caso use un servidor de autenticación de terceros, use las instrucciones en
la documentación de su proveedor.
Para añadir usuarios a un grupo caso use la autenticación de Firebox:

2. Seleccione la pestaña Firebox.

3. Para agregar un nuevo usuario, en la sección Usuarios, haga clic en Agregar.

4. Ingrese un Nombre y una Frase de contraseña para el nuevo usuario. La frase de contraseña debe
tener al menos 8 caracteres de extensión. Ingrese la frase de contraseña nuevamente para
confirmarla.
La descripción no es obligatoria. Recomendamos que no cambie los valores de Tiempo de espera de sesión y
Tiempo de espera inactivo.
5. En la sección Grupo de autenticación de Firebox , en la lista Disponible, seleccione el nombre de
grupo y haga clic en .
6. Haga clic en OK.
El cuadro de diálogo "Configurar Usuario de Firebox" se cierra. Aparece el nuevo usuario en la página
"Servidores de autenticación" en la lista Usuarios.
Modificar un perfil de grupo existente de Mobile VPN con IPSec

Después de crear un grupo de Mobile VPN con IPSec, puede editar el perfil en:
n Cambiar la clave compartida

n Agregar acceso a más hosts y redes
n Restringir acceso a un único destination port, puerto de origen o protocolo
n Cambiar las configuraciones de Fase 1 y Fase 2

Configurar un grupo de Mobile VPN con IPSec

2. Seleccione el grupo que desea editar y haga clic en Editar.

Aparece la página de "Configuración de VPN de Usuario Móvil con IPSec".

3. Configure esas opciones para editar el perfil del grupo:
Servidor de autenticación
Seleccione el autenticación que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory
Server. Asegúrese de que ese método de autenticación está activado.
frases de contraseña
Para cambiar la frase de contraseña que cifra el archivo .wgx, ingrese una nueva frase de
contraseña. La clave compartida puede contener sólo caracteres ASCII estándares. Si usa un
certificado para autenticación, ese es el PIN para el certificado.
Confirmar
Ingrese la nueva frase de contraseña nuevamente.
Principal

Ingrese la dirección IP externa principal o dominio al cual los usuarios de Mobile VPN en ese
grupo pueden conectarse.
Resguardo
Ingrese la dirección IP externa de resguardo o dominio al cual los usuarios de Mobile VPN en
ese grupo pueden conectarse. Esa dirección IP de resguardo es opcional. Si añade una
dirección IP de resguardo, asegúrese de que sea una dirección IP asignada a una interfaz
externa de Firebox.
Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar
activa.
Seleccione el tiempo en minutos antes que el Firebox cierre una sesión ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de
espera si el servidor de autenticación no emite valores específicos de tiempo de espera. Si usa
el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN
son siempre ignorados porque se definen los tiempos de espera para cada cuenta de usuario
de Firebox.
La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el
campo de Duración de SA .
Para definir ese valor, en el cuadro de diálogo Configuración de Mobile VPN con IPSec, haga
clic en la pestaña Túnel IPSec y haga clic en Avanzado para Configuración de Fase 1. El valor
predeterminado es de 8 horas.

5. Configure esas opciones para editar el IPSec:
Use la frase de contraseña del perfil de usuario final como la clave precompartida
Seleccione esa configuración para usar la frase de contraseña del perfil del usuario final como
la clave precompartida para la autenticación de túnel. La frase de contraseña es definida en la
pestaña General en la sección Frase de contraseña. Debe usar la misma clave compartida en el
dispositivo remoto y esa clave puede contener solamente caracteres ASCII estándares.
Usar un certificado
Seleccione esa opción para usar un certificado para autenticación de túnel.

Para más informaciones, vea Use certificados autenticados para el túnel VPN Mobile con IPSec
en la página 399.
Dirección IP de CA
Si elige usar un certificado, ingrese la dirección IP del Management Server que fue configurado
como autoridad de certificación.
Tiempo de espera
Si elige usar un certificado, ingrese el tiempo en segundos antes del cual el cliente de Mobile
VPN with IPSec deja de intentar conectarse a la autoridad de certificación que no responde.
Recomendamos que use la configuración predeterminada.

Seleccione los métodos de autenticación y cifrado para los túneles de Mobile VPN.
Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en
Avanzado y Definir configuraciones avanzadas de Fase 1.
Las opciones de Cifrado aparecen en la lista en orden del más simple y menos seguro al más
complejo y más seguro.
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bit)
Seleccione el PFS (Perfect Forward Secrecy) para activar el PFS y definir el grupo Diffie-
Hellman.
Para alterar otra configuración de propuesta, haga clic en Avanzado y Definir configuración
avanzada de Fase 2.
6. Haga clic en la pestaña Recursos.

7. Defina esas opciones para editar las configuraciones:
Permitir todo el tráfico a través del túnel
Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN,
seleccione esa casilla de verificación.
Si seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado a través de
la VPN. Eso es más seguro, pero el acceso al sitio web puede ser lento.
Si no seleccione esa casilla, el tráfico de Internet del usuario de Mobile VPN es enviado
directamente a Internet. Eso es menor seguro, pero los usuarios pueden navegar por Internet
más rápidamente.
Lista de Recursos Permitidos
Esa lista incluye los recursos de red que están disponibles a los usuarios en el grupo Mobile VPN.
Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, seleccione
IP del host o IP de red, ingrese la dirección y haga clic en Agregar.

Para eliminar la dirección IP o la dirección IP de red de la lista de recursos, seleccione un

recurso y haga clic en Remover.
Conjunto de direcciones IP virtuales
Las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el túnel
aparecen en esa lista. Esas direcciones no pueden ser usadas por ningún dispositivo de red ni
por otro grupo de Mobile VPN.
Para agregar una dirección IP o una dirección IP de red al conjunto de direcciones IP virtuales,
seleccione IP de host o IP de redo ingrese la dirección y haga clic en Agregar.
Para quitarla del conjunto de direcciones IP virtuales, seleccione un host o una dirección IP de
red y haga clic en Remover.
9. Configurar la Administración de Línea:
Modo de conexión
Manual — En ese modo, el cliente no intenta reiniciar el túnel VPN automáticamente caso esté
desactivado. Esa es la configuración predeterminada.
Para reiniciar el túnel VPN, debe hacer clic en Conectar en el Monitor de Conexión, o hacer
clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Automático — En ese modo, el cliente intenta iniciar la conexión cuando su equipo envía
tráfico a un destino que puede alcanzar a través de la VPN. El cliente también intenta reiniciar
el túnel VPN automáticamente caso esté quede sin disponibilidad.
Variable — En ese modo, el cliente intenta reiniciar el túnel VPN automáticamente hasta que
se haga clic en Desconectar. Después de desconectar, el cliente no intenta reiniciar el túnel
VPN nuevamente hasta que se haga clic en Conectar.
Tiempo de espera de inactividad
Si define el Modo de conexión en Automático o Variable, el software cliente Mobile VPN with
IPSec no intenta renegociar la conexión de VPN por el tiempo especificado.

Nota Las configuraciones predeterminadas de Administración de Línea son Manual y 0

segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el
software cliente.

Los usuarios finales que son miembros del grupo editado no pueden conectarse hasta que importen el
archivo de configuración correcto en el software cliente Mobile VPN con IPSec. Se debe generar el archivo
de configuración y luego proveerlo a los usuarios finales.
Para generar los perfiles de usuario final para el grupo editado:

2. Haga clic en Generar.
Definir configuraciones avanzadas de Fase 1

Puede definir las configuraciones avanzadas de Fase 1 para su perfil del usuario de Mobile VPN.
1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec.
2. En la sección Configuración de Fase 1, haga clic en Avanzado.
Aparece la "Configuración Avanzada de Fase 1".

3. Configurar las opciones para el grupo, tal como se describe en las siguientes secciones.
Recomendamos que use las configuraciones predeterminadas.
Opciones de Fase 1
Duración de SA
Seleccione una duración de SA (asociación de seguridad) y seleccione Hora o Minuto en la lista

desplegable. Cuando la SA caduca, se inicia una nueva negociación de Fase 1. Una duración más
corta de SA es más segura pero la negociación de SA puede producir errores en las conexiones
existentes.
Grupo de claves
Seleccione un grupo Diffie-Hellman. WatchGuard soporta grupos 1, 2 y 5.

Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuando más alto sean los números, más seguro, pero se usa más tiempo y
recursos en el equipo cliente y el Firebox debe generar las claves.

NAT Traversal
Seleccione esta casilla de verificación para establecer un túnel de Mobile VPN entre el Firebox y
otro dispositivo que esté detrás de un dispositivo NAT. La NAT Traversal, o la Encapsulación de UDP,
permite que el tráfico sea enrutado a los destinos correctos.
IKE keep-alive
Seleccione esta casilla de verificación solo si este grupo se conecta a un dispositivo WatchGuard más
antiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con Fireware v9.x o
inferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead Peer Detection. Para
esos dispositivos, seleccione esta casilla de verificación para activar el Firebox para que envíe
mensajes a su punto IKE para mantener el túnel VPN abierto. No seleccionar IKE keep-alive y
Detección de punto.
Intervalo de mensajes
Seleccione el número de segundos para el intervalo de mensajes de mantener conexión IKE.
Máx. de fallas
Estipule un número máximo de veces que el Firebox espera una respuesta de los mensajes de
mantener conexión IKE antes de terminar la conexión de VPN e iniciar nueva negociación de Fase 1.
Dead Peer Detection
Seleccione esta casilla de verificación para activar la Dead Peer Detection (DPD). Ambos extremos
deben soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y Edge v10.x o
superior soportan la DPD. No seleccionar IKE keep-alive y Detección de punto.
La DPD está basada en RFC 3706 y usa estándares de tráfico de IPSec para determinar si una
conexión está disponible antes que se envíe un paquete. Cuando selecciona la DPD, se envía un
mensaje al punto cuando no se recibió ningún tráfico del punto dentro del período de tiempo
seleccionado. Si la DPD determina que un punto no está disponible, no se hacen intentos adicionales
de conexión.
Tiempo de espera inactivo de tráfico
Defina el número de segundos que el Firebox espera antes de verificar si el otro dispositivo está
activo.
Cantidad máxima de reintentos
Defina el número máximo de veces que el Firebox intenta conectarse antes de determinar que el
punto no está disponible, terminar la conexión de VPN e iniciar nueva negociación de Fase 1.
Definir configuraciones avanzadas Configuraciones de Fase 2

Puede definir las configuraciones avanzadas de Fase 2 para su perfil del usuario de Mobile VPN.
1. En la página Editar Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec.
2. En la sección Configuración de Fase 2, haga clic en Avanzado.
Aparece la "Configuración Avanzada de Fase 2".

3. Configurar las opciones de Fase 2, tal como se describe en la siguiente sección.

Recomendamos que use las configuraciones predeterminadas.
Opciones de Fase 2
Tipo
Las dos opciones de método de propuesta son ESP o AH. Sólo el ESP es compatible actualmente.
Autenticación
Seleccione el método de autenticación: SHA1 o MD5.
Cifrado
Seleccione un método de cifrado. Las opciones están en la lista en orden del más simple y menos
seguro al más complejo y más seguro.
n DES
n 3DES
n AES(128 bits)
n AES (192 bits)
n AES (256 bits)

Forzar Caducidad de Clave
Para regenerar los extremos de puerta de enlace e intercambiar nuevas claves después de un
período de tiempo o después que pase una cantidad de tráfico por la puerta de enlace, seleccione
esa casilla de verificación.
En el campo Forzar caducidad de clave, seleccione la período de tiempo y número de kilobytes que
puede pasar antes que la clave caduque.
Si Forzar caducidad de Clave está desactivado, o si está activado y la hora y el número de kilobytes
está puestos en cero, el Firebox usa la hora de caducidad de la clave definida para el punto. Si ésta
también está desactivada o en cero, Firebox usa una hora predeterminada de caducidad de clave de
8 horas. El período máximo de tiempo que puede pasar antes que caduque una clave es un año.
Configurado servidores WINS y DNS.

Los clientes de Mobile VPN dependen de direcciones compartidas de servidores Windows Internet Name
Server (WINS) y Sistema de domain name (DNS). DNS traduce los nombres de host en direcciones IP. WINS
determina los nombres NetBIOS en direcciones IP. Estos servidores deben ser accesibles desde la interfaz
de confianza Firebox.
Asegúrese de utilizar sólo un servidor DNS interno. No utilice servidores DNS externos.


2. En el cuadro de texto Domain name, ingrese un domain name para el servidor DNS.
3. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores
WINS y DNS.
Bloquear un perfil del usuario final

Puede usar la configuración global para bloquear el perfil del usuario final para que los usuarios puedan ver
algunas configuraciones, pero no alterarlas, y ocultar otras configuraciones para que los usuarios no puedan
alterarlas. Recomendamos que bloquee todos los perfiles, para que los usuarios no puedan hacer
alteraciones en sus perfiles. Esa configuración es para los archivos de perfil del usuario final .wgx. No se
puede transformar los archivos .ini de perfil del usuario final en solo lectura.

2. Para dar a los usuarios móviles acceso de solo lectura a sus perfiles, seleccione la casilla
Transformar las políticas de seguridad en solo lectura en el cliente de Mobile VPN.

Nota Esa configuración se aplica solamente a archivos .wgx. Debe usar el Policy
Manager para generar archivos .wgx para sus usuarios.
Archivos de configuración de Mobile VPN con IPSec

Para configurar el cliente Mobile VPN con IPSec, se importa un archivo de configuración. El archivo de
configuración también se llama perfil del usuario final. Hay dos tipos de archivos de configuración.
.wgx
Los archivos .wgx son cifrados y pueden ser configurados para que el usuario final no pueda cambiar
las configuraciones en el software cliente Mobile VPN con IPSec. Un archivo .wgx no puede
configurar la Administración de Línea en el software cliente. Si define la Administración de Línea en
otro modo que no sea Manual, debe usar un archivo de configuración .ini.
Para más informaciones, vea Bloquear un perfil del usuario final.
.ini
El archivo .ini es usado solo si no se define la Administración de Línea en Manual. El archivo de

configuración .ini no está cifrado.
Para más información, vea Administración de Línea en la pestaña Avanzado Modificar un perfil de
grupo existente de Mobile VPN con IPSec.
Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en las
configuraciones de un grupo, debe generar el archivo de configuración para el grupo y proveerlo a los
usuarios finales.
Para usar el Fireware XTM Web UI para generar un perfil de usuario final para un grupo:
1. Seleccione VPN > Mobile VPN> IPSec.

2. Seleccione el grupo Mobile VPN y haga clic en Generar.
3. Seleccione una ubicación para guardar el archivo de configuración .ini.
Ahora puede distribuir el archivo de configuración a los usuarios finales.
Configurar políticas para filtrar tráfico de Mobile VPN

En una configuración predeterminada, los usuarios de Mobile VPN con IPSec tienen acceso completo a los
recursos de Firebox con la política Cualquiera. La política Cualquiera permite el tráfico en todos los puertos
y protocolos entre el usuario de Mobile VPN y los recursos de red disponibles a través del túnel Mobile
VPN. Para restringir el tráfico del usuario de la VPN por puerto y protocolo, puede eliminar la política

Cualquiera y remplazarla por políticas para restringir acceso.
Agregar una política individual

1. Seleccione Firewall> Políticas de Mobile VPN.
2. Debe seleccionar un grupo antes de añadir una política.
3. Agregar, editar y eliminar políticas, tal como se describe en Acerca de políticas en la página 251.
Distribuir el software y los perfiles

WathGuard recomienda que distribuya los perfiles del usuario final a través de correo electrónico cifrado u
otro método seguro. Cada equipo cliente debe tener:
n Paquete de instalación de software

El paquete de instalación WatchGuard Mobile VPN with IPSec está ubicado en el sitio web de
LiveSecurity Service en:https://www.watchguard.com/archive/softwarecenter.asp
Para descargar el software, debe registrarse en el sitio con su nombre de usuario y contraseña de
LiveSecurity Service.
n El perfil de usuario final
Ese archivo contiene el nombre del grupo, la clave compartida y las configuraciones que permiten
que un equipo remoto se conecte con seguridad por Internet a una red privada y protegida. El perfil
de usuario final tiene el nombre de archivo nombregrupo.wgx. La ubicación predeterminada del
archivo .wgx es:
C:\Documents and Settings\All Users\Shared WatchGuard \muvpn\<IP address of
Firebox>\<Mobile VPN with IPSec nombre grupo\wgx
n Dos archivos de certificado, si está autenticando con certificados

Esos son el archivo .p12, que es un archivo cifrado con el certificado, y el cacert.pem, que contiene
el certificado raíz (CA). Los archivos .p12 y cacert.pem pueden ser encontrados en la misma
ubicación que el .wgx del perfil de usuario final.
n Documentación del usuario
La documentación para ayudar el usuario remoto a instalar el cliente de Mobile VPN e importar el
archivo de configuración de Mobile VPN puede ser encontrada en los Acerca de archivos de
configuración de cliente MobileVPN tópicos.
n Frases de contraseña
Para importar el perfil de usuario final, el usuario debe ingresar una frase de contraseña. Esa clave
descifra el archivo e importa la política de seguridad en el cliente de Mobile VPN. La frase de
contraseña es definida cuando se crea el grupo Mobile VPN en el Policy Manager.
Para más información acerca de cómo cambiar la clave compartida, vea Modificar un perfil de grupo
existente de Mobile VPN con IPSec en la página 493.

Nota La frase de contraseña, nombre de usuario y contraseña del perfil de usuario final
son informaciones confidenciales. Por cuestiones de seguridad, recomendamos
que no ofrezca esa información por correo electrónico. Como el correo electrónico
no es seguro, un usuario no autorizado puede usar la información para obtener
acceso a su red interna. Ofrezca la información al usuario a través de un método
que no permita que personas no autorizadas la intercepten.
Tópicos adicionales de Mobile VPN

Esa sección describe los tópicos especiales para Mobile VPN with IPSec.
Estableciendo conexiones salientes de IPSec detrás de un Firebox

Un usuario puede tener que hacer conexiones de IPSec hacia un Firebox detrás de otro Firebox. Por
ejemplo, si un empleado móvil viaja al local del cliente que tiene un Firebox, él puede hacer conexiones de
IPSec hacia su red. Para que el Firebox local administre correctamente la conexión saliente de IPSec, debe
configurar una política de IPSec que incluya el filtro de paquetes de IPSec.
Para más información acerca de cómo activar políticas, vea Acerca de políticas en la página 251.
Como la política de IPSec activa un túnel para el servidor de IPSec y no realiza ninguna verificación de
seguridad en el firewall, agregue a esa política sólo los usuarios en los que confía.
Terminar conexiones de IPSec

Para detener completamente las conexiones de VPN, el Firebox debe ser reiniciado. Las conexiones
actuales no se detienen cuando quita la política de IPSec.
Configuraciones de VPN Global

Las configuraciones de VPN Global en su Firebox se aplican a todos los túneles BOVPN, túneles
administrados y túneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec.

n Limpie o mantennga las configuraciones de paquetes con conjunto de señaladores de Tipo de
Servicio (TOS).
n Usar un servidor de LDAP para verificar los certificados.
Para cambiar esa configuración, en el Fireware XTM Web UI, seleccione VPN > Configuraciones Globales..
Para más informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global
en la página 438.
Ver el número de licencias de Mobile VPN

Puede ver el número de licencias de Mobile VPN que están instaladas en la Tecla de Función.
1. En el Fireware XTM Web UI, seleccione Sistema > Tecla de función.

Aparece la página "Tecla de Función".

2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Función, y busque el número en la
columna Valor. Ese es el número máximo de usuarios de Mobile VPN que pueden conectarse al
mismo tiempo.
Adquirir licencias adicionales de Mobile VPN

El Mobile VPN with IPSec de WatchGuard es una función opcional. Cada dispositivo Firebox X incluye
algunas licencias de Mobile VPN. Es posible adquirir más licencias para Mobile VPN.
Las licencias están disponibles a través de su revendedor local o en el sitio web de WatchGuard:
http://www.watchguard.com/sales
Agregar teclas de función

Para más información acerca de cómo añadir teclas de función, vea Acerca de las teclas de función en la
página 51.
Mobile VPN y failover de VPN

Puede configurar túneles VPN para hacer conmutación por error a un extremo de resguardo si el extremo
principal queda no disponible. Para más información acerca del failover de VPN, vea Configurar Failover de
VPN en la página 456.
Si la conmutación por error (failover) de VPN está configura y ocurre una conmutación por error, las
sesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamente
para hacer un nuevo túnel de Mobile VPN.
Para configurar un failover de VPN para túneles de Mobile VPN:
1. En el Fireware XTM Web UI , seleccione VPN > Mobile VPN with IPSec.

Aparece la página de "Configuración de Mobile VPN con IPSec".
2. Seleccione un grupo de usuarios móviles en la lista y haga clic en Editar.

Aparece el cuadro de diálogo de "Editar Mobile VPN with IPSec".
3. Seleccione la pestaña General.
4. En la sección Direcciones IP de Firebox, ingrese la dirección IP de interfaz WAN de resguardo en el
campo Dirección IP de resguardo .
Puede especificar sólo una interfaz de resguardo hacia la cual los túneles conmutan por error,
aunque tenga interfaces WAN adicionales.
Configurar Mobile VPN with IPSec para una dirección IP

dinámica
Recomendamos que use o una dirección IP estática para un Firebox que sea un extremo de VPN o use DNS
dinámico. Para más información acerca del DNS dinámico, vea Página Acerca de Servicio DNS dinámico en
la página 88.

Si ninguna de esas opciones es posible y la dirección IP externa del Firebox cambia, debe otorgar un nuevo
archivo de configuración .wgx a los usuarios de IPSec remoto o pedirles que editen la configuración cliente
para que ésta incluya la nueva dirección IP siempre que la dirección IP cambie. De lo contrario, los usuarios
IPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuración o dirección IP.
Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Firebox
tiene una dirección IP dinámica y no puede usar un DNS dinámico.
Mantenga un registro de la dirección IP actual

Use ese procedimiento para encontrar la dirección IP actual de la interfaz externa de Firebox:
1. En el Fireware XTM Web UI, seleccione Estado del sistema> Interfaces.

2. Busque la interfaz con el alias Externo y busque la dirección IP en la columna IP . Esa es la dirección
IP externa del Firebox.
Esa es la dirección IP guardada en los archivos de configuración .wgx. Cuando los usuarios remotos dicen
que no pueden conectarse, verifique la dirección IP externa del Firebox para ver si la dirección IP cambió.
Configurar los equipos clientes Firebox e IPSec

El Firebox debe tener una dirección IP asignada a la interfaz externa antes que se descarguen los archivos
.wgx. Esa es la única diferencia de la configuración normal de los equipos clientes Firebox e IPSec.
Actualizar las configuración del cliente cuando cambia la dirección

Cuando la dirección IP externa del Firebox cambia, los equipos clientes de Mobile VPN con IPSec remoto no
pueden conectarse hasta que sean configurados con una nueva dirección IP. Se puede cambiar la dirección
IP de dos maneras.
n Otorgue un nuevo archivo de configuración .wgx a los usuarios remotos para que lo importen.
n Solicite a los usuarios remotos que editen manualmente la configuración del cliente IPSec. Para esa
opción, debe configurar el Firebox para que los usuarios remotos puedan editar la configuración.
Para más informaciones, vea Bloquear un perfil del usuario final en la página 506.
Para otorgar un nuevo archivo de configuración .wgx a los usuarios remotos:
1. En el Fireware XTM Web UI, seleccione VPN >Mobile VPN with IPSec.
2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar los
archivos .wgx.
3. Distribuya los archivos .wgx a los usuarios remotos.
4. Solicite que los usuarios remotos Importar el perfil de usuario final.
Para que los usuarios editen manualmente la configuración cliente:
1. Otorgue a los usuarios remotos la nueva dirección IP externa del Firebox y solicite que sigan los
próximos cinco pasos.
2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Mobile VPN Monitor.
3. Seleccione Configuración > Configuración de perfil.
4. Seleccione el perfil y haga clic en Configurar.

5. En la columna de la izquierda, seleccione Configuración general de IPSec.

6. Para Puerta de enlace, ingrese la nueva dirección IP externa del Firebox.
Página Acerca de cliente Mobile VPN with IPSec

El cliente Mobile VPN con IPSec de WatchGuard es instalado en un equipo cliente móvil, caso el usuario
viaje o trabaje desde su casa. El usuario se conecta con una conexión a Internet estándar y activa el cliente
Mobile VPN para acceder a los recursos protegidos de red.
El cliente Mobile VPN crea un túnel cifrado hacia sus redes de confianza y opcional, que están protegidas
por un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internas
y no comprometer su seguridad.
Requisitos del cliente

Antes de instalar el cliente, asegúrese que entiende esos requisitos y recomendaciones.
Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todavía no lo hizo, vea los
tópicos que describen cómo configurar su Firebox para usar Mobile VPN.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000,
Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits).
Antes de instalar el software cliente, asegúrese de que el equipo remoto no tenga un software
cliente Mobile User VPN de IPSec instalado. También debe desinstalar cualquier software de
firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto.
n Si el equipo cliente usa Windows XP, debe iniciar sesión usando una cuenta que tenga derechos de
administrador para instalar el software cliente Mobile VPN e importar el archivo de configuración
.wgx o .ini. Después que el cliente haya sido instalado y configurado, los derechos de administrador
no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, debe iniciar sesión usando una cuenta que tenga derechos
de administrador para instalar el software cliente Mobile VPN. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes de
instalar el software cliente Mobile VPN.
n Se obtiene la configuración de WINS y DNS para el cliente Mobile VPN en el perfil del cliente que
importa cuando configura su cliente Mobile VPN.
n Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no esté
explícitamente descrita en esta documentación.
Instalar el software cliente de Mobile VPN con IPSec

El proceso de instalación consiste de dos partes: instalar el software cliente en el equipo remoto e importar
el perfil de usuario final en el cliente. Antes de iniciar la instalación, asegúrese de tener los siguientes
componentes de instalación:
n El archivo de instalación de Mobile VPN

n Un perfil de usuario final, con una extensión de archivo .wgx o .ini

n frases de contraseña
n Un archivo cacert.pem y un .p12 (si usa certificados para autenticar)
n Nombre de usuario y contraseña
Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarla
durante los pasos finales del procedimiento de instalación.
Para instalar el cliente:
1. Copie el archivo de instalación de Mobile VPN en el equipo remoto y extraiga los contenidos del
archivo.
2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raíz en el equipo remoto
(cliente o usuario). No ejecute el software de instalación a partir de un CD u otra unidad externa.
Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raíz.
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN
Installation wizard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia.
Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones de
usuario final para la instalación del cliente VPN Mobile con IPSec de WatchGuard en la página 526.
Importar el perfil de usuario final

Cuando el equipo se reinicia, abre el cuadro de diálogo WatchGuard Mobile VPN Connection Monitor.
Cuando el software se inicia por primera vez después de instalarlo, encuentra este mensaje:
¡No hay perfil para el marcado de VPN! ¿Desea usar el asistente de configuración
para crear un perfil ahora?
Haga clic en No.
Para apagar la funcionalidad de inicio automático del Connection Monitor, seleccione Ver > Inicio
automático > No iniciar automáticamente.
Para importar un archivo .wgx o .ini de configuración de Mobile VPN:
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil.
Se inicia el Asistente de Importación de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgx
o .ini.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La
frase de contraseña distingue mayúsculas de minúsculas.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar.

9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseña

que usa para autenticar el túnel VPN.
Si mantiene esos campos vacíos, se solicita que inserte su nombre de usuario y contraseña siempre
que se conecte.
Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esa
información siempre que se conecte. No obstante, eso representa un riesgo de seguridad. También
puede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío.

El equipo ahora está listo para usar el Mobile VPN with IPSec.
Seleccione un certificado e ingrese el PIN

Si usa certificados para autenticación, debe seleccionar el certificado correcto para la conexión. Debe tener
un archivo cacert.pem y un .p12.
1. Seleccione Configuración> Certificados.

2. Haga doble clic en una configuración de certificado para abrirla.
3. En la pestaña Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable
Certificado.
4. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botón y examine la ubicación
del archivo .p12.
5. Haga clic en OK.
6. Seleccione Conexión > Insertar PIN.
7. Ingrese el PIN y haga clic en Aceptar.
El PIN es la frase de contraseña insertada para cifrar el archivo cuando esté ejecutando el "Add Mobile User
VPN Wizard".
Desinstalar el cliente Mobile VPN

Puede ser necesario desinstalar el cliente Mobile VPN. Recomendamos que use la herramienta de
Windows Agregar/Quitar programas para desinstalar el cliente Mobile VPN. Después que se instala el
software cliente Mobile VPN por primera vez, no es necesario desinstalarlo antes de aplicar una
actualización al software cliente.
Antes de iniciar, desconecte todos los túneles y cierre el Mobile VPN Connection Monitor. Desde el
escritorio de Windows:
1. Haga clic en Inicio > Configuración > Panel de control.

2. Haga doble clic en el icono de Agregar/Quitar Programas.
Aparece la ventana Agregar/Quitar Programas.
3. Seleccione WatchGuard Mobile VPN y haga clic en Alterar/Quitar.
Aparece la venta del Asistente InstallShield.
4. Haga clic en Quitar y después en Siguiente.
Aparece el cuadro de diálogo Confirmar eliminación de archivo.

5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esa
casilla de verificación al final de la desinstalación, la próxima vez que instala el software Mobile VPN,
la configuración de conexión de esa instalación será usada para la nueva instalación.
Conecte y desconecte el cliente Mobile VPN

El software cliente Mobile VPN con IPSec de WatchGuard establece una conexión segura por Internet
desde un equipo remoto hacia su red protegida. Para iniciar esa conexión, debe conectarse a Internet y
usar el cliente Mobile VPN para conectarse a la red protegida.
Establezca su conexión a Internet a través de una conexión de red de marcado o una conexión LAN. Luego,
use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botón
derecho en el icono en su barra de herramientas de Windows.
2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de Mobile
VPN al Firebox.
3. Haga clic en para conectarse.
Desconectar el cliente Mobile VPN

En el cuadro de diálogo Monitor de Mobile VPN, haga clic en para desconectar.
Controlar el comportamiento de conexión

Para cada perfil importado, puede controlar la acción que el software cliente Mobile VPN toma cuando el
túnel VPN deja de estar disponible por cualquier motivo. Puede hacer esas configuraciones en el dispositivo
WatchGuard y usar un archivo .ini para configurar el software cliente. Un archivo .wgx no cambia esas
configuraciones.

Para definir manualmente el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar
disponible:
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Perfiles.

2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administración de línea.
4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para ese
perfil.
n Manual — Cuando selecciona el modo de conexión manual, el cliente no intenta
reiniciar el túnel VPN automáticamente caso esté desactivado. Para reiniciar el túnel
VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión, o hacer clic con el
botón derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.

nAutomático — Cuando selecciona el modo de conexión automático, el cliente intenta

iniciar la conexión cuando su equipo envía tráfico a un destino que puede alcanzar a
través de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso
esté desactivado.
n Variable — Cuando selecciona el modo de conexión variable, el cliente intenta reiniciar
el túnel VPN automáticamente hasta que se haga clic en Desconectar. El cliente no

intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar.
5. Haga clic en OK.
Icono del cliente Mobile User VPN

El El icono de Mobile User VPN aparece en la bandeja de sistema del escritorio de Windows mostrando el
estado del firewall de escritorio, del firewall de enlace y de la red VPN. Puede hacer clic con el botón
derecho en el icono para conectar y desconectar el Mobile VPN y ver cuál perfil está en uso.
Vea los mensajes de registro del Mobile VPN

Puede usar el archivo de registro del cliente Mobile VPN para solucionar problemas con la conexión del
cliente VPN.
Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor de
Conexión.
Aparece el cuadro de diálogo "Libro de Registros".
Proteger su equipo con el firewall de Mobile VPN

El cliente Mobile VPN con IPSec de WatchGuard incluye dos componentes de firewall:

Firewall de enlace
El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, su
equipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlace
sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redes
conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.
Activar el firewall del enlace

Cuando el firewall de enlace está activado, el software cliente Mobile VPN desecha los paquetes enviados a
su equipo desde otros hosts. Sólo permite paquetes enviados a su equipo en respuesta a paquetes a su vez
enviados por su equipo. Por ejemplo, si envía una solicitud a un servidor HTTP a través de un túnel desde su
equipo, el tráfico de respuesta desde el servidor HTTP está permitido. Si un host intenta enviar una solicitud
HTTP a su equipo a través del túnel, ésta es negada.
Para activar el firewall de enlace:

2. Seleccione el perfil para el cual desea activar el firewall de enlace y seleccione Editar.
3. En el panel izquierdo, seleccione Firewall de enlace.
4. En la lista desplegable Inspección de estado, seleccione cuando conectado o siempre. Si selecciona

"cuando conectado", el firewall de enlace funciona solo cuando el túnel VPN está activo para este
perfil.
Si selecciona siempre, el firewall de enlace está siempre activo, esté el túnel VPN activo o no.
5. Haga clic en OK.

Página Acerca de firewall de escritorio

Cuando activa una regla en sus configuraciones de firewall, debe especificar a qué tipo de red la regla se
aplica. En el cliente Mobile VPN, hay tres tipos diferentes de redes:
Redes VPN
Redes definidas para el cliente en el perfil del cliente que importan.
Redes desconocidas
Cualquier rede no especificada en el firewall.
Redes conocidas
Cualquier red especificada en el firewall como conocida.
Para más información acerca de cómo activar un firewall de escritorio, vea Activar firewall de escritorio en
la página 519.
Activar firewall de escritorio

Para activar el firewall de escritorio completo:
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Firewall.

El firewall está desactivado por defecto.
2. Cuando activa el firewall, debe elegir entre dos modos de firewall:
n Configuración básica bloqueada — Cuando activa ese modo, el firewall niega todas las
conexiones hacia o desde su equipo, excepto si creó una regla para permitir la conexión.
n Configuración básica abierta — Cuando activa ese modo, el firewall permite todas las
conexiones, excepto si creó una regla para negar la conexión.

3. Haga clic en OK.
Después de activar el firewall de escritorio, puede configurar su firewall.
Para más información acerca de cómo definir redes conocidas y crear reglas de firewall, vea Definir redes
conocidas en la página 520 y Crear reglas de firewall en la página 521.
Definir redes conocidas

Puede generar un conjunto de reglas de firewall para redes conocidas específicas que usted defina. Por
ejemplo, si desea usar el cliente Mobile VPN en una red local en la cual desea que su equipo esté
disponible para otros equipos, puede añadir la dirección de red de esa LAN como red conocida. Eso hace
que las reglas de firewall para esa LAN sean diferentes de las reglas de firewall creadas para conexiones
hacia Internet y redes VPN remotas.
1. En el cuadro de diálogo Configuración de firewall, haga clic en la pestaña Redes conocidas.

2. Haga clic en Agregar para añadir una nueva red conocida.
La función de detección automática de Red Conocida no funciona correctamente en esta versión del
software cliente Mobile VPN con IPSec.

Crear reglas de firewall

Puede crear excepciones al modo de firewall definido en la activación del firewall en la pestaña Reglas de
firewall del cuadro de diálogo Configuración de firewall. Por ejemplo, si seleccionó Configuración básica
bloqueada al activar el firewall, entonces las reglas creadas aquí permiten el tráfico. Si seleccionó
Configuración básica abierta, las reglas creadas aquí niegan el tráfico. Las reglas de firewall pueden incluir
múltiples números de puerto desde un único protocolo.
Seleccione o limpie las casillas de verificación abajo Ver configuración para mostrar o ocultar categorías de
reglas de firewall. Algunas opciones no están disponibles en el Mobile VPN para la versión de Windows
Mobile del firewall de escritorio.
Para crear una regla, haga clic en Agregar. Use las cuatro pestañas en el cuadro de diálogo Entrada de regla
de firewall para definir el tráfico que desea controlar:
n Pestaña General
n Pestaña Local
n Pestaña Remoto
n Pestaña Aplicaciones

Pestaña General
Puede definir las propiedades básicas de sus reglas de firewall en la pestaña General del cuadro de diálogo
Entrada de regla de firewall.
Nombre de la regla
Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada
"navegación web" que incluya tráfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443
(HTTPS).
Estado
Para hacer que una regla esté inactiva, seleccione Desactivar. Las nuevas reglas son activas por
defecto.
Dirección
Para aplicar la regla al tráfico proveniente de su equipo, seleccione saliente. Para aplicar la regla al
tráfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el tráfico,
seleccione bidireccional.
Asignar regla a
Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla.
Protocolo
Use esa lista desplegable para seleccionar el tipo de tráfico de red que desea controlar.

Pestaña Local
Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en la
pestaña Local en el cuadro de diálogo Entrada de regla de firewall. Recomendamos que, en cualquier
regla, configure las Direcciones IP locales para activar el botón de radio Cualquier dirección IP. Si configura
una política entrante, puede añadir los puertos con los cuales controlar esa política en la configuración de
Puertos Locales. Si desea controlar más de un puerto a en la misma política, seleccione Varios puertos o
rangos. Haga clic en Nuevo para agregar cada puerto.
Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. La
dirección IP no debe estar definida en 0.0.0.0.

Pestaña Remoto
Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaña Remoto
del cuadro de diálogo Entrada de regla de firewall.
Por ejemplo, si su firewall está definido para que niegue todo el tráfico y desea crear una regla para
permitir conexiones POP3 salientes, agregue la dirección IP de su servidor POP3 como Explicitar dirección
IP en la sección Direcciones IP remotas. Después, en la sección Puertos remotos, especifique el puerto
110 como un Explicitar puerto para esa regla.
Si seleccione el botón de radio Explicitar dirección IP, asegúrese de que especifica una dirección IP. La
dirección IP no debe estar definida en 0.0.0.0.

Pestaña Aplicaciones
Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado.
1. En la pestaña Aplicaciones en el cuadro de diálogo "Entrada de regla de firewall", seleccione la

casilla Vincular regla a la aplicación abajo. Esa pestaña no está disponible en el Mobile VPN para la
versión de Windows Mobile del firewall de escritorio.

2. Haga clic en Seleccionar aplicación para examinar su equipo local en busca de una lista de
aplicaciones disponibles.
3. Haga clic en OK.
Instrucciones de usuario final para la instalación del cliente

VPN Mobile con IPSec de WatchGuard
Nota Esas instrucciones están escritas para usuarios finales del cliente Mobile VPN con
IPSec. Ellas informan a los usuarios finales que contacten a su administrador de
red para obtener instrucciones acerca de cómo instalar un firewall de escritorio o
configurar el firewall que forme parte del software cliente, y para obtener la
configuración para controlar el comportamiento de conexión caso no usen un
archivo .ini. Puede imprimir esas instrucciones o usarlas para crear un conjunto de
instrucciones para sus usuarios finales.
El cliente Mobile VPN con IPSec de WatchGuard crea una conexión cifrada entre su equipo y el Firebox con
una conexión a Internet estándar. El cliente Mobile VPN le permite tener acceso a recursos protegidos de
red desde cualquier ubicación remota con una conexión a Internet.
Antes de instalar el cliente, asegúrese de entender esos requisitos y recomendaciones:

n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000
Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits).
n Asegúrese de que el equipo no tenga ningún otro software cliente Mobile User VPN de IPSec
instalado.
n Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall de
Microsoft) de su equipo.
n Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importar
el archivo de configuración .wgx, debe iniciar sesión con una cuenta que tenga derechos de
administrador. Después que el cliente haya sido instalado y configurado, los derechos de
administrador no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, para instalar el software cliente Mobile VPN, debe iniciar
sesión usando una cuenta que tenga derechos de administrador. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse después que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estén instalados antes de
instalar el software cliente Mobile VPN.
n Recomendamos que no altere la configuración de ningún cliente Mobile VPN que no esté
explícitamente descrita en esta documentación.
Antes de iniciar la instalación, asegúrese de tener los siguientes componentes de instalación:
n Archivo de instalación del software Mobile VPN with IPSec

n Perfil de usuario final, con una extensión de archivo .wgx o .ini.
n Frase de contraseña (caso el perfil de usuario final sea un archivo .wgx o la conexión use certificados
para autenticación)
n Nombre de usuario y contraseña
n Archivo de certificado cacert.pem y .p12 (caso la conexión use certificados para autenticación)
Instale el software cliente

1. Copie el archivo .zip del Mobile VPN en el equipo remoto y extraiga los contenidos del archivo hacia
el directorio raíz en el equipo remoto (cliente o usuario). No ejecute el software de instalación a
partir de un CD u otra unidad externa.
2. Copie el perfil del usuario final (archivo .wgx o .ini) en el directorio raíz.
Si usa certificados para autenticarse, copie también los archivos cacert.pem e .p12 en el directorio raíz.
3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el Asistente de Instalación del
Mobile VPN de WatchGuard. Debe reiniciar su equipo cuando el asistente de instalación se reinicia.
4. Haga clic en la secuencia del asistente y acepte todas las configuraciones predeterminadas.
5. Reinicie su equipo cuando el asistente de instalación se concluye.
6. Cuando el equipo se reinicia, aparece el cuadro de diálogo WatchGuard Mobile VPN Connection
Monitor. Cuando el software se inicia por primera vez después de instalarlo, encuentra este
mensaje:
¡No hay perfil para el marcado de VPN!

¿Desea usar el asistente de configuración para crear un perfil ahora?
7. Haga clic en No.

8. Seleccione Ver >Inicio automático > No iniciar automáticamente para que el programa no se
ejecute automáticamente.

Después de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewall
que forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegúrese de configurarlo
para permitir que el tráfico establezca el túnel VPN y que fluya tráfico por ese túnel. Contacte su
administrador de red para obtener instrucciones.
Importar el perfil del usuario final

El archivo del perfil del usuario final configura el cliente Mobile VPN con los ajustes necesarios para crear
un túnel VPN.
Para importar un archivo .wgx o .ini de configuración de Mobile VPN:
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuración > Importar perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicación del archivo de configuración .wgx
o .ini.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contraseña. La
frase de contraseña distingue mayúsculas de minúsculas.
nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx para importar.
9. En la pantalla Autenticación, puede seleccionar si desea ingresar el nombre de usuario y contraseña
que usa para autenticar el túnel VPN.
Si mantiene esos campos vacíos, debe insertar su nombre de usuario y contraseña siempre que se
conecte.
Si inserta su nombre de usuario y contraseña, el Firebox los almacena y no hace falta inserir esa
información siempre que se conecte. No obstante, eso representa un riesgo de seguridad. También
puede ingresar sólo su nombre de usuario y mantener el campo contraseña vacío.
Seleccione un certificado e ingrese el frase de contraseña

Complete esa sección sólo si tiene un archivo cacert.pem y un .p12.

Certificado.
3. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botón y examine la ubicación
del archivo .p12.
4. Haga clic en OK.
6. Ingrese su frase de contraseña y haga clic en Aceptar.

Conecte y desconecte el cliente Mobile VPN

Conéctese a Internet a través de una conexión de red de marcado o una conexión LAN. Luego, use las
instrucciones abajo para seleccionar su perfil, conectarse y desconectarse.
Para seleccionar su perfil y conectarse al cliente Mobile VPN:
Aparece el cuadro de diálogo Mobile VPN de WatchGuard.
2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.
3. Haga clic en para conectarse.

El icono del cliente Mobile User VPN aparece en la bandeja de sistema de Windows cuando está conectado.
Para desconectar el cliente Mobile VPN:
1. Cuadro de diálogo Restaurar el Monitor de Mobile VPN.

2. Haga clic en para desconectarse.
Controlar comportamiento de conexión

El comportamiento de conexión controla la acción que el software cliente Mobile VPN toma cuando el
túnel VPN se vuelve no disponible por cualquier motivo. Por defecto, debe reconectar manualmente. No
se requiere que altere el comportamiento de conexión, pero puede seleccionar reconectar de forma
automática o variable. Contacte su administrador de red para obtener una sugerencia de configuración.
Nota Si importa un archivo .ini para configurar el software cliente, no altere ninguna
configuración de la Administración de Línea. El archivo .ini realiza esas
configuraciones.
Para definir el comportamiento del cliente Mobile VPN cuando el túnel VPN deja de estar disponible:


2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administración de línea.
4. Use la lista desplegable Modo de conexión para definir un comportamiento de conexión para ese
perfil.
o Manual — Cuando selecciona el modo de conexión manual, el cliente no intenta reiniciar el
túnel VPN automáticamente caso esté desactivado.
Para reiniciar el túnel VPN, debe hacer clic en el botón Conectar en el Monitor de Conexión,
o hacer clic con el botón derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.

o Automático — Cuando selecciona el modo de conexión automático, el cliente intenta iniciar

la conexión cuando su equipo envía tráfico a un destino que puede alcanzar a través de la
VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté desactivado.
o Variable — Cuando selecciona el modo de conexión variable, el cliente intenta reiniciar el
túnel VPN automáticamente hasta que se haga clic en Desconectar. Después de desconectar,
el cliente no intenta reiniciar el túnel VPN nuevamente hasta que se haga clic en Conectar.
5. Haga clic en OK.
Icono del cliente Mobile User VPN
El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de la
conexión de VPN. Puede hacer clic con el botón derecho en el icono para reconectar y desconectar el
Mobile VPN y para ver el perfil en uso.
Configuración del Mobile VPN para Windows

Mobile
El Mobile VPN de WatchGuard para Windows Mobile usa la conexión de datos en un dispositivo que ejecuta
el sistema operativo de Windows Mobile para establecer una conexión de VPN segura a redes protegidas
por un Firebox compatible con el Mobile VPN with IPSec. El Mobile VPN para Windows Mobile tiene dos
componentes:
n El WatchGuard Mobile VPN WM Configurator es ejecutado en un equipo que puede establecer

una conexión con el dispositivo Windows Mobile usando el Microsoft ActiveSync. El Configurator
configura y sube el software cliente al dispositivo Windows Mobile.
n El software cliente Mobile VPN de WatchGuard se ejecuta en el dispositivo Windows Mobile. El
WatchGuard Mobile VPN Service debe estar en ejecución para que se establezca una conexión de
VPN. El WatchGuard Mobile VPN Monitor permite seleccionar un perfil de usuario final cargado y
conectarse a la VPN.
El Mobile VPN para Windows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usados
para configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Firebox
para Mobile VPN with IPSec en la página 483.
Los requisitos del cliente Mobile VPN WM Configurator y de

IPSec de Windows Mobile
Antes de instalar el cliente, asegúrese que entiende esos requisitos y recomendaciones para trabajar con el
Mobile VPN with IPSec. Si todavía no lo hizo, vea los tópicos que describen cómo configurar su Firebox para
usar Mobile VPN.
Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario final
necesario para configurar el software cliente de Windows Mobile.
Los requisitos de sistema del Mobile VPN WM Configurator son:

Sistema Operativo (OS) Microsoft ActiveSync Versión
Windows 2000 4.5 o posterior
Windows XP (32 bits y 64 bits) 4.5 o posterior
Windows Vista 6.1
Los requisitos del dispositivo cliente de IPSec de Windows Mobile son:
n Windows Mobile 5.0

n Windows Mobile 6.0
Los dispositivos compatibles incluyen:
n Symbol MC70 (Windows Mobile 5 Premium Phone)

n T-Mobile Dash (Windows Mobile 6 Smartphone)
n Samsung Blackjack (Windows Mobile 5 Smartphone)
Nota Los dispositivos de esa lista fueron probados con el Mobile VPN de WatchGuard
para Windows Mobile. Para aprender si otros usuarios configuraron otro
dispositivo con éxito, verifique el Foro de Usuario WatchGuard, en
http://forum.watchguard.com/.
Para instalar el Mobile VPN WM Configurator de Windows Mobile en algunos sistemas operativos, debe
iniciar sesión en el equipo con una cuenta con derechos de administrador e importar el archivo de
configuración .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuración
al dispositivo Windows Mobile.
Instalar el software Mobile VPN WM Configurator

El software Mobile VPN WM Configurator debe ser instalado en un equipo que puede conectarse al
dispositivo Windows Mobile a través de ActiveSync. Antes de iniciar la instalación, asegúrese de tener estos
componentes de instalación:
n El archivo de instalación del Mobile VPN WM Configurator de WatchGuard

n Un perfil de usuario final, con una extensión de archivo .wgx
n Clave compartida
n Un archivo de certificado .p12 (si la VPN se conecta a un Firebox X Core o Peak y usa certificado
para autenticarse)
n Nombre de usuario y contraseña (si la VPN se conecta a un Firebox X Core o Peak y usa
Autenticación Extendida)
Nota Tome nota de la clave compartida y manténgala en un lugar seguro. Debe usarla
cuando importe el perfil de usuario final.
Para instalar el Configurator:
1. Copie el archivo .zip del Mobile VPN WM Configurafor en el equipo y extraiga los contenidos de
archivo.
2. Copie el perfil del usuario final (archivo .wgx) en el directorio raíz del equipo remoto.

3. Haga doble clic en el archivo .exe extraído en el Paso 1. Eso inicia el WatchGuard Mobile VPN WM
Installation Wizard.
4. Siga los pasos en el asistente. En el cuadro de diálogo Asistente InstallShield Concluido mantenga el
casilla de verificación Iniciar instalación de PDA seleccionado sólo si el dispositivo Windows Mobile
está actualmente conectado a través del ActiveSync.
Seleccione un certificado e ingrese el PIN

Si la VPN usa un certificado para autenticarse, debe:
1. Guardar el archivo .p12 en el directorio \certs\. La ubicación predeterminada es C:\Program

Files\WatchGuard\Mobile VPN WM\certs\ .
2. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN
WM para iniciar el Configurator.
Certificado.
5. Al lado del cuadro de textoNombre de archivo PKS#12, ingrese
%installdir%\certs\mycert.p12 . Reemplace mycert.p12 por el nombre de su archivo .p12.
Haga clic en OK.
7. Ingrese el PIN y haga clic en Aceptar.
El PIN es la clave compartida ingresada para cifrar el archivo en el Add Mobile User VPN Wizard.
Importar un perfil del usuario final

Para importar un archivo .wgx de configuración de Mobile VPN:
1. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN> WatchGuard Mobile VPN
2. Seleccione Configuración > Importar perfil.
3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicación del archivo de configuración
.wgx provisto por su administrador de red. Haga clic en Siguiente.
4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contraseña provista
por su administrador de red. La clave compartida distingue mayúsculas de minúsculas. Haga clic en
Siguiente.
nombre. Eso es útil si su administrador de red le ofrece un nuevo archivo .wgx y hace falta
importarlo nuevamente. Haga clic en Siguiente.
6. En la pantalla Autenticación, puede ingresar el el nombre de usuario y contraseña que usa para
autenticar el túnel VPN. Si inserta su nombre de usuario y contraseña aquí, el Firebox los almacena y
no hace falta ingresar esa información siempre que se conecte. No obstante, eso representa un
riesgo de seguridad. Puede ingresar sólo su nombre de usuario y mantener el campo contraseña
vacío. Eso minimiza la cantidad de datos necesarios para la conexión de VPN.
Si mantiene esos campos vacíos, debe ingresar su nombre de usuario y contraseña la primera vez
que se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estará automáticamente
llenado con el último nombre de usuario insertado.

Nota Si la contraseña que usa es la misma del Active Directory o del Servidor de LDAP y
elije almacenarla, la contraseña se vuelve inválida cuando cambia en el servidor de
autenticación.
Instale el software cliente del Windows Mobile en el

dispositivo Windows Mobile
Después de importar el perfil del usuario final hacia el Configurator, conecte el Configurator al dispositivo
Windows Mobile. El equipo y el dispositivo Windows Mobile deben tener una conexión de ActiveSync
cuando inicia el Configurator.
Nota Después que el software WatchGuard Mobile VPN esté instalado en su dispositivo
Windows Mobile, debe reiniciarlo.
1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.
2. Para iniciar el Configurator, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN>
WatchGuard Mobile VPN WM.
3. Si el software WatchGuard Mobile VPN WM todavía no fue instalado en el dispositivo Windows
Mobile, se abre el cuadro de diálogo Confirmación. Haga clic en Sí.

4. Se abre un cuadro de diálogo de Información. Haga clic en OK.
5. El software cliente WatchGuard Mobile VPN WM se ejecuta en el dispositivo Windows Mobile. Haga
clic en OK.
6. Reiniciar el dispositivo Windows Mobile.
Cargar el perfil de usuario final en el dispositivo Windows Mobile

Después que el software Windows Mobile esté instalado, puede cargar el perfil de usuario final en el
dispositivo Windows Mobile.
1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.

2. Seleccione Inicio > Todos los programas > WatchGuard Mobile VPN > WatchGuard Mobile VPN
3. En la lista desplegable Perfil, seleccione el perfil que desea cargar en el dispositivo Windows Mobile.

4. Haga clic en Cargar.

5. Cuando se termine de cargar, el área de estado del Configurator muestra ¡Carga realizada con éxito!

Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes de
cargar el certificado, el Configurator debe ser configurado para usar el certificado.
Para obtener más información, vea seleccionar un certificado e insertar el PIN.
Para cargar un certificado:
1. En el Configurator, seleccione Configuración > Cargar archivo PKS#12.

2. Examinar para encontrar archivo PKS#12 y seleccionarlo. Haga clic en Abrir.
Conecteydesconecteel ClienteMobileVPNparaWindows
Mobile
El software cliente WatchGuard Mobile VPN para Windows Mobile usa la conexión de datos del dispositivo
Windows Mobile para establecer una conexión segura a las redes protegidas por un Firebox. El dispositivo
Windows Mobile debe poder establecer una conexión de datos a Internet.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
Si el WatchGuard Mobile VPN Servive no está en ejecución, se abre un cuadro de diálogo. Haga clic
en Sí para iniciar servicio.

2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de la
lista desplegable en la parte superior del cuadro de diálogo de WatchGuard Mobile VPN.
3. Haga clic en Conectar e ingrese su nombre de usuario y contraseña. Haga clic en OK.

Nota Después de establecer la primera conexión VPN con éxito, el cliente guarda el
nombre de usuario y sólo solicita una contraseña. Para alterar el nombre de
usuario, haga clic en Aceptar con el área del contraseña limpia. Se abre un cuadro
de diálogo en el cual puede ingresar un nombre de usuario y contraseña
diferentes.
4. Aparece una línea amarilla con la palabra Conectando entre teléfono y equipo en el cuadro de
diálogo de WatchGuard Mobile VPN. La línea se pone verde cuando el túnel VPN esté listo.
Para desconectar el cliente Mobile VPN:
Monitor.
2. Haga clic en Desconectar. La línea verde cambia al amarillo.
Cuando no hay una línea entre el teléfono y el equipo, la VPN está desconectada.

Proteger su dispositivo Windows Mobile con el firewall de

Mobile VPN
El Mobile VPN de WatchGuard para Windows Mobile incluye dos componentes de firewall:
Firewall de enlace
El firewall de enlace no está activado por defecto. Cuando el firewall de enlace está activado, su
dispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegir
activar el firewall de enlace sólo cuando un túnel de Mobile VPN esté activo, manténgalo habilitado
todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile.
Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o
conocidas.
Para más informaciones, vea Activar el firewall del enlace en la página 518 y Activar firewall de escritorio en
la página 519.
Detener el WatchGuard Mobile VPN Service

El WatchGuard Mobile VPN Service debe estar en ejecución en el dispositivo Windows Mobile para usar el
WatchGuard Mobile VPN Monitor para crear túneles VPN. Cuando cierra el Monitor, el Service no se
detiene. Debe detener el servicio manualmente.
Service.

2. Se abre el cuadro de diálogo WatchGuard Mobile VPN. Haga clic en Sí para detener el servicio.
Desinstalar el Configurator, Service y Monitor

Para desinstalar el WatchGuard Mobile VPN para Windows Mobile, debe desinstalar el software de su PC
con Windows y de su dispositivo Windows Mobile.
Desinstalar el Configurator de su PC con Windows

1. En su PC con Windows, seleccione Inicio > Panel de control.
2. Haga doble clic en Agregar/Quitar Programas.
3. Haga clic en WatchGuard Mobile VPN WM y haga clic en Alterar/Quitar.
4. Haga clic en Sí para desinstalar la aplicación.
5. Haga clic en Aceptar cuando la desinstalación esté concluida.
Desinstale el WatchGuard Mobile VPN Service y Monitor de su

dispositivo Windows Mobile.
1. En su dispositivo Windows Mobile, seleccione Inicio > Configuración.
2. En Configuración, haga clic en la pestaña Sistema y doble clic en Quitar programas.

3. Seleccione WatchGuard Mobile VPN y haga clic en Quitar.

4. Se abre el cuadro de diálogo Quitar programa. Haga clic en Sí para quitar el software.
5. Un cuadro de diálogo pregunta si desea reiniciar el dispositivo ahora. Haga clic en Sí para reiniciar el
dispositivo. Haga clic en No para reiniciar más tarde. La deinstalación del programa no se termina
hasta que se reinicie el dispositivo.

23 Mobile VPN con SSL
Acerca del Mobile VPN con SSL

El cliente de Mobile VPN con SSL WatchGuard es una aplicación de software que está instalada en un
equipo remoto. El cliente hace una conexión segura desde el equipo remoto hacia su red protegida a través
de una red desprotegida, tal como la Internet. El cliente de Mobile VPN utiliza SSL (nivel de seguridad en las
conexiones) para asegurar la conexión.
Configurar el dispositivo Firebox o XTM para

Mobile VPN with SSL
De Fireware XTM Web UI, cuando se activa Mobile VPN con SSL, se crean un grupo de usuarios "SSLVPN-
Users" y una política "WatchGuard SSLVPN" para permitir conexiones VPN con SSL desde Internet a su
interfaz externa.

Mobile VPN con SSL
Realizar configuraciones de autenticación y conexión

1. Seleccione >VPN Mobile VPN with SSL.
Se abre la página Configuración de Mobile VPN con SSL.
2. Seleccione la casilla de selección Activar Mobile VPN with SSL de WatchGuard.

3. Seleccione un servidor de autenticación en la lista desplegable de Servidores de autenticación.
Puede autenticar usuarios con la base de datos interna del dispositivo Firebox o XTM (Firebox-DB) o
con un servidor RADIUS, VACMAN Middleware, SecurID, LDAP o de Active Directory.
Asegúrese de que el método de autenticación esté activado (seleccione Autenticación >Servidores
de autenticación). Para obtener más información, consulte Configurar autenticación de usuario para
Mobile VPN with SSL.
4. Si selecciona RADIUS o SecurID como servidor de autenticación, puede seleccionar la casilla de

verificación Forzar usuarios a autenticar después que se pierde una conexión para obligar a los
usuarios a autenticarse después de perder la conexión con Mobile VPN with SSL. Recomendamos
seleccionar esta casilla de selección si usa autenticación de dos factores con contraseña de un solo
uso, como SecurID o Vasco.
Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexión
automática puede fallar. El cliente de Mobile VPN con SSL automáticamente intenta reconectarse
después de perder la conexión con la contraseña de un solo uso que el usuario ingresó
originalmente, lo cual ya no es correcto.
5. En la lista desplegable Principal, seleccione o ingrese un domain name o una dirección IP pública.
Los clientes de Mobile VPN con SSL se conectan a esta dirección IP o domain name en forma
predeterminada.
6. Si su dispositivo Firebox o XTM tiene más de una conexión WAN, seleccione una dirección IP pública
diferente en la lista desplegable Copia de respaldo. Un cliente de Mobile VPN con SSL se conecta a
la dirección IP de copia de respaldo cuando no puede establecer una conexión con la dirección IP
principal.
Realice las configuraciones de Red y Conjunto de direcciones IP

En la sección Configuraciones de red y conjunto de direcciones IP, configure los recursos de red que los
clientes de Mobile VPN with SSL pueden usar.

Mobile VPN con SSL
1. Desde la lista desplegable en la sección Configuraciones de red y conjunto de direcciones IP,

seleccione el método que utilizará el dispositivo Firebox o XTM para enviar tráfico a través de los
túneles VPN.
n Seleccione Bridge de tráfico de VPN para el bridge del tráfico de VPN con SSL a una red que
especifique. Esta es la configuración predeterminada para Firebox X Edge. Cuando selecciona
esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se
conecta el tráfico de VPN con SSL.
n Seleccione Tráfico de VPN enrutado para enrutar el tráfico de VPN hacia redes y recursos
específicos. Esta es la configuración predeterminada para los dispositivos Firebox X Core o Peak
e-Series y WatchGuard XTM.
2. Seleccione o desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
n Seleccione Forzar todo el tráfico de cliente a través del túnel para enviar todo el tráfico de
red privada e Internet a través del túnel. Esta opción envía todo el tráfico externo a través de
las políticas del dispositivo Firebox o XTM que usted crea y ofrece una seguridad constante a los
usuarios móviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento en
el dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para el
usuario móvil. Para permitir a los clientes acceder a Internet cuando esta opción está
seleccionada, consulte Opciones de acceso a Internet a través de un túnel de Mobile VPN con
SSL en la página 551.

Mobile VPN con SSL
n Desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel para
enviar sólo la información de la red privada a través del túnel. Esta opción permite a los
usuarios una mejor velocidad de red al enrutar sólo el tráfico necesario a través del dispositivo
Firebox o XTM, pero el acceso a los recursos de Internet no está restringido por las políticas del
dispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL sólo a los
dispositivos especificados en su red privada, seleccione el botón de radioEspecificar recursos
autorizados. Ingrese la dirección IP del recurso de red en notación diagonal y haga clic en
Agregar.
3. Configurar las direcciones IP que el dispositivo Firebox o XTM asigna a las conexiones de los clientes
de Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no pueden
formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede
a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o
XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL.
Tráfico de VPN enrutado
Para el conjunto de direcciones IP virtuales, mantenga la configuración predeterminada de

192.168.113.0/24 o ingrese un rango diferente. Ingrese la dirección IP de la subnet en
notación diagonal. Las direcciones IP de esta subnet se asignan automáticamente a
conexiones cliente de Mobile VPN con SSL. No puede asignar una dirección IP a un usuario.
Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una
red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a través de
una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del dispositivo Firebox o XTM, o
utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP.
Bridge de tráfico de VPN
En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que desea
conectar. En los campos Inicio y Finalización, ingrese la primera y la última dirección IP en el
rango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio y
Finalización deben encontrarse en la misma subred que la interfaz puenteada.
Nota La opción Bridge a interfaz no conecta el tráfico de VPN con SSL a ninguna
secondary network en la interfaz seleccionada.
4. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.
Después de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticación de
usuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todo
cambio que realice se distribuye a los clientes en forma automática la próxima vez que se conectan
utilizando Mobile VPN with SSL.
Para obtener más información sobre el uso de notación diagonal, consulte Acerca de las Notación diagonal
en la página 3.

Mobile VPN con SSL
Realizar configuraciones avanzadas para Mobile VPN with SSL

1. Seleccione >VPN Mobile VPN with SSL.
Se abre la página Configuración de Mobile VPN con SSL.

Las opciones que puede configurar en esta pestaña incluyen:
Autenticación
Método de autenticación utilizado para establecer la conexión. Las opciones son MD5, SHA, SHA-1,
SHA-256 y SHA-512.
Cifrado
Algoritmo que se utiliza para cifrar el tráfico. Las opciones son Blowfish, DES, 3DES, AES (128 bits),
AES (192 bits) o AES (256 bits). Los algoritmos se muestran en orden del de menor seguridad al de
mayor seguridad, con la excepción de Blowfish, que usa una clave de 128 bits para cifrado de alta
seguridad.
Para un rendimiento óptimo con un alto nivel de cifrado, recomendamos seleccionar autenticación
MD5 con cifrado Blowfish.

Mobile VPN con SSL
Canal de datos
El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos después de establecer una
conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo
y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Éste es también el
protocolo y puerto estándar para tráfico HTTPS. La Mobile VPN with SSL puede compartir el puerto
443 con HTTPS.
Para más información, vea Elegir un puerto y protocolo para Mobile VPN with SSL en la página 550.
Canal de configuración
El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargar
archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de
configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del
canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP y
puede utilizar un puerto diferente al canal de datos.
Mantener conexión
Define la frecuencia con la que el dispositivo Firebox o XTM envía tráfico a través del túnel para
mantener la actividad del túnel cuando no se envía otro tráfico a través del túnel.
Tiempo de espera
Define durante cuánto tiempo el dispositivo Firebox o XTM espera una respuesta. Si no hay
respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a
conectarse.
Renegociar el canal de datos
Si una conexión Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada en
el cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear un
túnel nuevo. El valor mínimo es de 60 minutos.
Servidores DNS y WINS
Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que están
protegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usen
un servidor DNS o WINS detrás del dispositivo Firebox o XTM en lugar de los servidores asignados
por la red remota a la que están conectados, ingrese el domain name y las direcciones IP de los
servidores DNS y WINS en su red. Para obtener más información sobre DNS y WINS, consulte
Determinación del nombre para Mobile VPN with SSL en la página 552.
Restablecer valores predeterminados
Haga clic en la pestaña Avanzada para restablecer los valores predeterminados. Se elimina toda la
información de los servidores DNS y WINS en la pestaña Avanzada.

Mobile VPN con SSL
Configurar la autenticación de usuario para Mobile VPN with SSL

Para permitir a los usuarios autenticarse en el dispositivo Firebox o XTM y conectarse con Mobile VPN with
SSL, debe configurar la autenticación de usuario en el dispositivo Firebox o XTM. Puede configurar el
dispositivo Firebox o XTM como servidor de autenticación o usar un servidor de autenticación de terceros.
Cuando activa Mobile VPN with SSL, automáticamente se crea un grupo Usuarios-SSLVPN.
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPN
con SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupo
Usuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN.
Para más información, vea Configure su Firebox como servidor de autenticación en la página 223 y Acerca
de la utilización de servidores de autenticación de terceros en la página 222.
Configurar políticas para controlar el acceso de clientes de

Mobile VPN con SSL
Cuando se activa Mobile VPN with SSL, se agrega una política Permitir Usuarios-SSLVPN. No tiene
restricciones respecto del tráfico que permite desde clientes SSL a recursos de red protegidos por el
dispositivo Firebox o XTM. Para restringir el acceso de clientes de Mobile VPN con SSL, desactive la política
Permitir Usuarios-SSLVPN. Luego, agregue nuevas políticas a su configuración o agregue el grupo con
acceso Mobile VPN with SSL a la sección Desde de políticas existentes.
Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, el
tráfico desde el usuario de Mobile VPN con SSL no se considera de confianza. De
manera predeterminada, todo tráfico de Mobile VPN con SSL no es de confianza.
Independientemente de la dirección IP asignada, deben crearse políticas para
permitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.
Permitir a los usuarios de Mobile VPN con SSL el acceso a una red de
confianza
En este ejemplo, se utiliza Fireware XTM Web UI para agregar la opción Cualquier política para otorgar
acceso a los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza.
2. Amplíe la carpeta Filtros de paquetes.

Aparece una lista de plantillas para filtros de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar.
Aparece la página Configuración de políticas.
4. Ingrese un nombre para la política en el cuadro de texto Nombre. Elija un nombre que le ayude a
identificar esta política en su configuración.
5. En la pestaña Política, en la sección Desde , seleccione Cualquiera de confianza y haga clic en
Remover.
7. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.

Mobile VPN con SSL
8. Seleccione Usuarios-SSLVPN, y haga clic en OK..

Después de Usuarios-SSLVPN se encuentra el nombre del método de autenticación entre paréntesis.
9. Haga clic en OK para cerrar el cuadro de diálogo Agregar miembro .
10. En la sección Desde, seleccione Cualquiera externo y haga clic en Remover.
12. En el Seleccionar miembros seleccione Cualquiera de confianzay haga clic en OK..
13. Haga clic en Guardar para guardar los cambios en el dispositivo Firebox o XTM.
Para más información acerca de políticas, vea Agregar políticas en la configuración en la página 254.
Usar otros grupos o usuarios en una política de Mobile VPN con SSL
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexión de Mobile VPN
con SSL. Puede usar políticas con otros grupos para restringir acceso a recursos después de que el usuario
se conecta. Puede usar Fireware XTM Web UI para seleccionar un usuario o grupo distinto de Usuarios-
SSLVPN.

2. Haga doble clic en la política a la que desea agregar el usuario o grupo.
3. En la pestaña Política, haga clic en Agregar en el área Desde.
4. En la lista desplegable Tipo de miembro, seleccione Usuario de firewall o Grupo de firewall.
5. Seleccione el usuario o grupo que desea agregar y haga clic en OK.
Para obtener más información sobre cómo utilizar usuarios y grupos en políticas, consulte Use los usuarios y
grupos autorizados en políticas en la página 248.
Elegir un puerto y protocolo para Mobile VPN with SSL

El protocolo y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. Si intenta configurar
Firebox para usar un protocolo y puerto que ya está en uso, aparecerá un mensaje de error.
Las configuraciones de red comunes que requieren el uso de TCP 443 incluyen:
n Firebox protege a un servidor web que utiliza HTTPS.

n Firebox protege a un servidor Microsoft Exchange que tiene configurado Outlook Web Access.
Si tiene una dirección IP externa adicional que no acepta conexiones de puerto TCP 443 entrantes, puede
configurarla como dirección IP principal para Mobile VPN with SSL.
Nota El tráfico de Mobile VPN con SSL siempre se cifra utilizando SSL, aunque utilice un
puerto o protocolo diferente.
Cómo elegir un protocolo y puerto diferente

Si necesita cambiar el protocolo o puerto predeterminado para Mobile VPN with SSL, recomendamos
seleccionar un protocolo y puerto que no esté normalmente bloqueado. Algunas consideraciones
adicionales incluyen:

Mobile VPN con SSL
Seleccionar un protocolo y puerto común
Mobile VPN with PPTP y Mobile VPN con IPSec utilizan protocolos y puertos específicos que algunas
conexiones de Internet pública bloquean. De manera predeterminada, Mobile VPN with SSL
funciona en el protocolo y puerto utilizado para el tráfico de sitio web cifrado (HTTPS) para evitar el
bloqueo. Ésta es una de las principales ventajas de SSL VPN sobre otras opciones de Mobile VPN.
Recomendamos seleccionar el puerto TCP 80 (HTTP), el puerto TCP 53 o el puerto UDP 53 (DNS)
para mantener esta ventaja.
Casi todas las conexiones de Internet admiten estos puertos. Si el sitio de acceso utiliza filtrados de
paquetes, el tráfico de SSL debería pasar. Si el sitio de acceso utiliza servidores proxy, es probable
que el tráfico de SSL sea rechazado porque no cumple con los protocolos de comunicación estándar
HTTP o DNS.
UDP en comparación con TCP
Normalmente TCP funciona al igual que UDP, pero TCP puede ser mucho más lento si la conexión ya
es lenta o poco confiable. La latencia adicional surge por la verificación de error que forma parte del
protocolo TCP. Debido a que la mayoría del tráfico que pasa a través de un túnel VPN utiliza TCP, la
suma de la verificación de error de TCP a la conexión VPN es redundante. Con conexiones lentas y
poco confiables, los tiempos de espera de la verificación de error de TCP hacen que el tráfico de
VPN se envíe cada vez con mayor lentitud. Si esto sucede en forma repetida, el usuario percibe el
rendimiento deficiente de la conexión.
UDP es una buena opción si la mayoría del tráfico generado por los clientes de MVPN con SSL se
basa en TCP. Los protocolos HTTP, HTTPS, SMTP SMTP, POP3 y Microsoft Exchange utilizan TCP de
manera predeterminada. Si la mayoría del tráfico generado por los clientes de Mobile VPN con SSL
es UDP, recomendamos seleccionar TCP para el protocolo MVPN con SSL.
Opciones de acceso a Internet a través de un túnel de Mobile

VPN con SSL
Forzar todo el tráfico de cliente a través del túnel
Ésta es la opción más segura. Requiere que todo el tráfico de Internet de usuarios remotos se enrute a
través del túnel VPN a Firebox. Desde el Firebox, el tráfico luego es enviado de vuelta a Internet. Con esta
configuración (conocida también como VPN de ruta-predeterminada), Firebox puede examinar todo el
tráfico y proveer mayor seguridad. Sin embargo, esto requiere más capacidad de procesamiento y ancho
de banda de Firebox, lo cual puede afectar el rendimiento de la red si tiene un número grande de usuarios
de VPN. De manera predeterminada, una política denominada Permitir Usuarios-SSLVPN permite el acceso
a todos los recursos internos y a Internet.
Permitir acceso directo a Internet

Si selecciona Tráfico de VPN enrutado en la configuración de Mobile VPN con SSL y no se fuerza todo el
tráfico cliente a través del túnel, se deben configurar los recursos permitidos para los usuarios de SSL VPN.
Si selecciona Especificar recursos permitidos o Permitir acceso a redes conectadas a través de redes de
confianza, opcional y VLAN, sólo el tráfico a esos recursos se envía a través del túnel VPN. Todo el resto del

Mobile VPN con SSL
tráfico va directamente a Internet y a la red a la que está conectada el usuario SSL VPN remoto. Esta opción
puede afectar su seguridad porque cualquier tráfico enviado a Internet o a la red cliente remota no está
cifrado ni sujeto a las políticas configuradas en Firebox.
Utilizar el proxy HTTP para controlar el acceso a Internet para usuarios

de Mobile VPN con SSL
Si configura Mobile VPN with SSL para forzar todo el tráfico cliente a través del túnel, puede usar políticas
de proxy HTTP para restringir el acceso a Internet. La política Permitir Usuarios-SSLVPN predeterminada no
tiene restricciones en el tráfico que permite de clientes SSL a Internet. Para restringir el acceso a Internet,
puede utilizar la política de proxy HTTP que ya ha configurado o agregar una nueva política de proxy HTTP
para clientes SSL.
1. En Fireware XTM Web UI, seleccione Firewall >Políticas de firewall.

2. Haga doble clic en la política para abrir la página Configuración de políticas.
3. En la pestaña Política, haga clic en Agregar en el área Desde.
4. En la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.
5. Seleccione Usuarios-SSLVPN y haga clic en OK.
La política de proxy HTTP prevalece sobre la política Cualquiera. Puede dejar que la política Cualquiera
administre el tráfico que no sea HTTP o puede seguir estos mismos pasos con otra política para administrar
el tráfico desde los clientes SSL.
Para obtener más información sobre cómo configurar una política de proxy HTTP, consulte Página Acerca
de Proxy HTTP en la página 292.
Determinación del nombre para Mobile VPN with SSL

El objetivo de una conexión Mobile VPN es permitir a un usuario conectarse a recursos de red como si
estuviera conectado localmente. Con una conexión de red local, el tráfico NetBIOS en la red le permite
conectarse a dispositivos utilizando el nombre del dispositivo. No es necesario conocer la dirección IP de
cada dispositivo de red. Sin embargo, los túneles de Mobile VPN no pueden circular tráfico de difusión y
NetBIOS depende del tráfico de difusión para funcionar correctamente. Debe utilizarse un método
alternativo para la determinación de nombres.
Métodos de determinación de nombres a través de una conexión de

Mobile VPN con SSL
Debe elegir uno de estos dos métodos para la determinación de nombres:
WINS/DNS (Windows Internet Name Service/Sistema de domain name)
Un servidor WINS mantiene una base de datos de determinación de nombres NetBIOS para la red
local. DNS funciona de un modo similar. Si el dominio utiliza sólo el Active Directory , debe usar DNS
para la determinación de nombres.

Mobile VPN con SSL
Archivo LMHOSTS
Un archivo LMHOSTS es un archivo creado en forma manual que se instala en todas las
computadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombres
de recursos y sus direcciones IP asociadas.
Seleccione el mejor método para su red.

Debido a los requisitos de administración limitados y la información actualizada que provee, WINS/DNS es la
solución preferida para la determinación de nombres a través de un túnel MVPN. El servidor WINS escucha
a la red local en forma constante y actualiza su información. Si un recurso cambia su dirección IP o se agrega
un nuevo recurso, no debe realizarse ningún cambio en el cliente SSL. Cuando el cliente intenta obtener
acceso a un recurso por nombre, se envía una solicitud a los servidores WINS/DNS y se entrega la
información más actualizada.
Si aún no tiene un servidor WINS, el archivo LMHOSTS es una forma rápida de proporcionar la
determinación de nombres a clientes de Mobile VPN con SSL. Lamentablemente es un archivo estático y
debe editarlo en forma manual cada vez que se produzca un cambio. Además, los pares nombre de
recurso/dirección IP en el archivo LMHOSTS se aplican a todas las conexiones de red, no sólo a la conexión
de Mobile VPN con SSL.
Configurar WINS o DNS para determinación de nombres

Cada red es única en los recursos disponibles y las habilidades de los administradores. El mejor recurso para
aprender cómo configurar un servidor WINS es la documentación de su servidor, como el sitio web de
Microsoft. Cuando configure el servidor WINS o DNS, tenga en cuenta que:
n El servidor WINS debe configurarse para ser un cliente en sí.

n Su Firebox debe ser la puerta de enlace predeterminada de los servidores WINS y DNS.
n Debe asegurarse de que los recursos de red no tengan más de una dirección IP asignada a una sola
interfaz de red. NetBIOS sólo reconoce la primera dirección IP asignada a una NIC. Para obtener más
información, consulte http://support.microsoft.com/kb/q131641/.
Agregarservidores WINS y DNS a unaconfiguración de Mobile VPNcon SSL

1. Seleccione VPN > Mobile VPN with SSL.
Aparece la página de la pestaña Avanzada de Mobile VPN con SSL.
3. En el área Servidores WINS y DNS, ingrese las direcciones principal y secundaria para los servidores
WINS y DNS. También puede ingresar un sufijo de dominio en el cuadro de texto Domain name para
que un cliente use con nombres no calificados.
5. La próxima vez que una computadora cliente SSL se autentique en Firebox, la nueva configuración
se aplicará a la conexión.

Mobile VPN con SSL
ConfigurarunarchivoLMHOSTS paraproporcionardeterminaciónde
nombre
Cuando usa un archivo LMHOSTS para obtener determinación de nombres para sus clientes MUVPN, no se
requieren cambios en Firebox ni en el software cliente MUVPN. A continuación se muestran instrucciones
básicas para ayudarle a crear un archivo LMHOSTS. Para obtener más información sobre archivos LMHOSTS,
consulte http://support.microsoft.com/kb/q150800/.
Editar un archivo LMHOSTS

1. Busque un archivo LMHOSTS en la computadora cliente de MUVPN. El archivo LMHOSTS (a veces
denominado lmhosts.sam) generalmente se encuentra en:
C:\WINDOWS\system32\drivers\etc
2. Si encuentra un archivo LMHOSTS en esa ubicación, ábralo con un editor de texto como Notepad. Si
no puede encontrar un archivo LMHOSTS, cree un nuevo archivo en un editor de texto.
3. Para crear una entrada en el archivo LMHOSTS, ingrese la dirección IP de un recurso de red, cinco
espacios y luego el nombre del recurso. El nombre del recurso debe tener 15 caracteres o menos.
El aspecto debe ser similar a éste:
192.168.42.252 server_name
4. Si comenzó con un archivo LMHOSTS anterior, guarde el archivo con su nombre original. Si creó un
nuevo archivo en Notepad, guárdelo con el nombre lmhost en el directorio
C:\WINDOWS\system32\drivers\etc. También debe seleccionar el tipo "Todos los archivos" en el
cuadro de diálogo Guardar o Notepad añade ".txt" al nombre de archivo.
5. Reinicie la computadora cliente SSL para que el archivo LMHOSTS se active.
Instalar y conectar el cliente de Mobile VPN con SSL

El software de Mobile VPN con SSL permite a los usuarios conectarse, desconectarse, reunir más
información sobre la conexión y salir o dejar al cliente. El cliente de Mobile VPN con SSL agrega un ícono a
la bandeja del sistema en el sistema operativo Windows o un ícono en la barra de menú en Mac OS X.
Puede usar este ícono para controlar el software cliente.
Para usar Mobile VPN with SSL debe:
1. Verificar los requisitos del sistema.

2. Descargar el software cliente.
3. Instale el software cliente
4. Conectarse a su red privada.
Nota Si un usuario no puede conectarse al dispositivo WatchGuard o no puede

descargar el instalador desde el dispositivo WatchGuard, Se debe distribuir e
instalar en forma manual el software cliente de Mobile VPN con SSL y el archivo de
configuración.

Mobile VPN con SSL
Requisitos de la computadora cliente

Puede instalar el software cliente de Mobile VPN con SSL en computadoras con los siguientes sistemas
operativos:
n Microsoft Windows 7
n Microsoft Windows Vista
n Microsoft Windows XP
n Mac OS X 10.5 (Leopard)
Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tenga
derechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requieren
derechos de administrador para conectarse después de que el cliente de SSL ha sido instalado y
configurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores de
configuración de red para ejecutar el cliente de SSL.
Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizar
el cliente de SSL.
Descargar el software cliente

1. Conectarse a la siguiente dirección con un navegador de Internet:
https://<IP address of a Firebox interface>/sslvpn.html
or
https://<Host name of the Firebox>/sslvpn.html
2. Ingrese su nombre de usuario y contraseña para autenticarse en el dispositivo WatchGuard.
Aparece la página de descargas para clientes de VPN SSL .
3. Haga clic en el botón Descargar en el instalador que desea utilizar. Las opciones disponibles son dos:
Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg).
4. Guarde el archivo en su escritorio u otra carpeta que desee.

Mobile VPN con SSL
Nota También puede conectarse a Firebox en el puerto 4100 para descargar el software
cliente de VPN SSL.
Desinstalar el software cliente

Para Microsoft Windows:
1. Haga doble clic en WG-MVPN-SSL.exe.

Se inicia el Asistente de Configuración del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.
3. Si desea agregar un ícono de escritorio o un ícono de inicio rápido, seleccione la casilla de
verificación correspondiente a esta opción en el asistente. No es necesario un ícono de escritorio o
de inicio rápido.
4. Finalice y salga del asistente.
Para Mac OS X:
1. Haga doble clic en WG-MVPN-SSL.dmg.

En su escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
Se inicia el instalador del cliente.
3. Acepte las configuraciones predeterminadas en cada pantalla del instalador.
4. Finalice y salga del instalador.
Después de descargar e instalar el software cliente, el software cliente de Mobile VPN automáticamente se
conecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software cliente
verifica las actualizaciones de configuración.
Conectarse a su red privada

1. Utilice uno de los tres métodos siguientes para iniciar el software cliente:
o En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o Haga doble clic en el ícono de Mobile VPN con SSL en su escritorio.
o Haga clic en el ícono de Mobile VPN con SSL en la barra de herramientas del inicio rápido.
2. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contraseña del usuario.
El servidor es la dirección IP de la interfaz externa principal del dispositivo WatchGuard. Si configuró

Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo
Servidor ingrese la interfaz externa principal seguida de dos puntos y el número de puerto. Por
ejemplo, si Mobile VPN with SSL está configurada para usar el puerto 444 y la dirección IP externa
principal es 50.50.50.1., el Servidor es 50.50.50.1:444.
Para Mac OS X:

Mobile VPN con SSL
1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en la
aplicación Mobile VPN with SSL WatchGuard.
Aparece el ícono de Mobile VPN con SSL WatchGuard en la barra de menú.
2. Haga clic en el ícono en la barra de menú y seleccione Conectar.
3. Ingrese la información del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contraseña del usuario.
El servidor es la dirección IP de la interfaz externa principal del dispositivo WatchGuard. Si configuró

Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo
Servidor ingrese la interfaz externa principal seguida de dos puntos y el número de puerto. Por
ejemplo, si Mobile VPN with SSL está configurada para usar el puerto 444 y la dirección IP externa
principal es 50.50.50.1., el Servidor es 50.50.50.1:444.
El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesión. Mobile VPN with SSL no es
compatible con ningún servicio de Single Sign-On (SSO). Si la conexión entre el cliente SSL y el dispositivo
WatchGuard se pierde momentáneamente, el cliente SSL intenta restablecer la conexión.
Controles del cliente de Mobile VPN con SSL

Cuando se ejecuta el cliente de Mobile VPN con SSL, aparece el ícono de Mobile VPN con SSL WatchGuard
en la bandeja del sistema (Windows) o a la derecha de la barra de menú (Mac OS X). La lupa del ícono
muestra el estado de conexión de VPN.
n No se establece la conexión de VPN.

n Se ha establecido la conexión de VPN. Puede conectarse en forma segura con los recursos detrás
del dispositivo WatchGuard.
n El cliente está en proceso de conexión o desconexión.
Para ver la lista de controles del cliente, haga clic con el botón derecho en el ícono de Mobile VPN con SSL
en la bandeja del sistema (Windows) o haga clic en el ícono de Mobile VPN con SSL en la barra de menú
(Mac OS X). Puede seleccionar las siguientes acciones:
Conectar/Desconectar
Iniciar o detener la conexión SSL VPN.
Ver registros
Abrir el archivo de registro de conexión
Propiedades
Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows.
Ingrese un número de Nivel de registro para cambiar el nivel de detalle incluido en los registros.
Mac OS X: Muestra información detallada sobre la conexión SSL VPN. También puede establecer el
nivel de registro.
Acerca de las
Se abre el cuadro de diálogo de Mobile VPN WatchGuard con información acerca del software
cliente.

Mobile VPN con SSL
Salir (Windows o Mac OS X)
Desconéctese del dispositivo WatchGuard y apague al cliente.
Se debe distribuir e instalar en forma manual el software

cliente de Mobile VPN con SSL y el archivo de configuración
Si por algún motivo los usuarios no pueden descargar el software cliente desde Firebox, puede
proporcionarles el software cliente y el archivo de configuración en forma manual. Puede descargar el
software cliente de Mobile VPN con SSL desde la sección Descargas de software del sitio web de
WatchGuard LiveSecurity. Siga los pasos a continuación para obtener el archivo de configuración de VPN
SSL para distribuir.
Obtener el archivo de configuración desde Firebox

Debe configurar Firebox para usar Mobile VPN with SSL antes de utilizar este procedimiento.
Para obtener el archivo de configuración de Mobile VPN con SSL , debe instalar el WatchGuard System
Manager. Luego puede usar el Firebox System Manager para obtener el archivo. Para obtener más
información, consulte el capítulo Mobile VPN para SSL en la Ayuda o Guía del usuario del WatchGuard
System Manager.
Instale y configure el cliente SSL utilizando el software de instalación y

el archivo de configuración.
Debe tener dos archivos:
n Software de instalación del cliente Mobile VPN con SSL VPN

WG-MVPN-SSL.exe (Microsoft Windows) o WG-MVPN-SSL.dmg (Mac OS X)
n Archivo de configuración de Mobile VPN con SSL VPN
sslvpn_client.wgssl
1. Haga doble clic en WG-MVPN-SSL.exe.

Se inicia el Asistente de Configuración del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.
3. Si desea agregar un ícono de escritorio o un ícono de inicio rápido, seleccione la casilla de
verificación correspondiente a esa opción.
No es necesario un ícono de escritorio o de inicio rápido. El ícono de cliente se agrega al menú de Inicio de
Windows de manera predeterminada.
4. Finalice y salga del asistente.
5. Utilice uno de los tres métodos siguientes para iniciar el software cliente:
o En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o Haga doble clic en el ícono de cliente de Mobile VPN con SSL en el escritorio.
o Haga clic en el ícono de cliente de Mobile VPN con SSL en la barra de herramientas del inicio

Mobile VPN con SSL
6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Para Mac OS X:
1. Haga doble clic en WG-MVPN-SSL.dmg.

En el escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
3. Acepte la configuración predeterminada en el instalador.
4. Finalice y salga del instalador.
5. Inicie el software cliente. Abra una ventana del Buscador e ingrese en Aplicaciones > WatchGuard.
6. Haga doble clic en la aplicación Mobile VPN with SSL WatchGuard .
Aparece el logotipo de Mobile VPN con SSL WatchGuard en la barra de menú.
7. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Actualizar la configuración de una computadora que no puede

conectarse al dispositivo WatchGuard
Debe tener un archivo sslvpn-client.wgssl actualizado. Para recibir información sobre cómo obtener el
archivo sslvpn-client.wgssl, consulte Obtener el archivo de configuración desde Firebox.
1. Haga doble clic en sslvpn-client.wgssl.

Se inicia el cliente SSL.
2. Ingrese su nombre de usuario y contraseña. Haga clic en Conectar.
El SSL VPN se conecta con la nueva configuración.
Desinstale el cliente de Mobile VPN con SSL.

Puede usar la aplicación desinstalar para eliminar al cliente de Mobile VPN con SSL de una computadora.
Windows Vista y Windows XP

1. En el Menú Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL
> Desinstalar cliente de Mobile VPN con SSL.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
2. Haga clic en Sí para eliminar el cliente de Mobile VPN con SSL y todos sus componentes.
3. Cuando el programa haya terminado, haga clic en OK.
Mac OS X
1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard.
2. Haga doble clic en la aplicación Desinstalar WG SSL VPN para iniciar el programa de desinstalación.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
3. Haga clic en OK en el cuadro de diálogo Advertencia.
4. Haga clic en OK en el cuadro de diálogo Listo.
5. En una ventana del Buscador, ingrese en la carpeta Aplicaciones.
6. Arrastre la carpeta WatchGuard a la Papelera de reciclaje.

Mobile VPN con SSL

24 WebBlocker
Acerca de las WebBlocker

Si les otorga a los usuarios acceso ilimitado a los sitios web, es posible que su compañía sufra una pérdida de
productividad y una reducción en el ancho de banda. La navegación en Internet sin controles también
puede aumentar los riesgos de seguridad y las responsabilidades legales. La suscripción de seguridad de
WebBlocker le brinda el control de los sitios web que están disponibles para sus usuarios.
WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, una
compañía líder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivo
WatchGuard examina la base de datos de WebBlocker. Si el sitio web no está en la base de datos y no está
bloqueado, la página se abre. Si el sitio web está en la base de datos de WebBlocker y está bloqueado,
aparece una notificación y el sitio web no se muestra.
WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegación web. Si no configuró un
proxy HTTP o HTTPS, el proxy se configura y activa de manera automática cuando activa WebBlocker.
El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza para
filtrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge,
primero debe configurar un WebBlocker Server local en su estación de administración. Por defecto,
WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard.
El WebBlocker Server se instala como parte de la instalación de WatchGuard System Manager. Para
aprender a configurar un WebBlocker Server, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/fireware/11/es-ES/index.html.
Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker y
registrarla en el sitio web de LiveSecurity. Después de registrar la License Key, LiveSecurity le otorgará una
tecla de función.
Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en la
página 51.

WebBlocker
Configurar un WebBlocker Server local

Cuando utiliza WebBlocker en su Firebox, éste se conecta a un WebBlocker Server para comprobar si un
sitio web coincide con una categoría de WebBlocker.
Para utilizar WebBlocker en un Firebox Core o Peak, o en un dispositivo WatchGuard XTM, primero debe
configurar un WebBlocker Server en su red local. Para utilizar WebBlocker en un Firebox X Edge, no es
necesario que configure un servidor local de WebBlocker. De manera predeterminada, WebBlocker en
Firebox X Edge se conecta con un WebBlocker Server mantenido por WatchGuard.
Para instalar su WebBlocker Server propio, debe descargar e instalar el software WatchGuard System
Manager.
Para aprender a configurar un servidor local de WebBlocker, consulte la ayuda de WatchGuard System
Manager en http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Después de instalar un WebBlocker Server en una computadora de su red local, debe cambiar sus perfiles
de WebBlocker para utilizar su Servidor local de WebBlocker.
Para obtener instrucciones para cambiar sus perfiles de WebBlocker, consulte Activación de WebBlocker en
la página 562.
Activación de WebBlocker
Para utilizar WebBlocker, debe definir las acciones de WebBlocker por lo menos para un perfil de
WebBlocker, que especifica el WebBlocker Server a utilizar y las categorías de contenido a bloquear. Luego,
puede aplicar el perfil de WebBlocker a una política de proxy HTTP o HTTP.
Cuando un usuario intenta visitar un sitio web, Firebox le envía una solicitud al WebBlocker Server para
averiguar si el usuario puede acceder a ese sitio web sobre la base de la categoría del sitio. El resultado de
esta solicitud se guarda en una memoria caché. Puede cambiar el tamaño de esta memoria caché para
mejorar el rendimiento.
Antes de empezar
En el caso de todos los dispositivos WatchGuard a excepción de Firebox X Edge, debe instalar un servidor
WebBlocker local antes de poder configurar WebBlocker en Firebox.
Para más informaciones, vea Configurar un WebBlocker Server local en la página 562.
Cree perfiles de WebBlocker

1. Seleccione Servicios de suscripción > WebBlocker.
Aparece la página de WebBlocker.

WebBlocker
2. En la sección Perfiles de WebBlocker, haga clic en Nuevo.

Aparece la página Configuración de WebBlocker.

WebBlocker
3. En el cuadro de texto Nombre de perfil, ingrese un nombre para el perfil de WebBlocker.

4. En la sección Configuración de WebBlocker, establezca la configuración de agotamiento del tiempo
de espera del servidor:
Si no se puede establecer la comunicación con el servidor en
Ingrese la cantidad de segundos para intentar conectarse con el WebBlocker Server antes de
que se agote el tiempo de espera del dispositivo WatchGuard.
El tráfico está
Para permitir que el usuario vea el sitio web si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Permitido.
Para bloquear el sitio web para el usuario si el dispositivo WatchGuard no puede conectarse
con el WebBlocker Server, seleccione Negado.
Registrar sitios negados
Para enviar un mensaje al archivo de registro cuando WebBlocker niega el acceso a un sitio
porque el dispositivo WatchGuard no puede conectarse con el WebBlocker Server, marque la
casilla de verificación Registrar sitios negados.

WebBlocker
5. Para controlar si los usuarios de su red pueden acceder a los sitios web si WebBlocker está activado
pero expira la suscripción de seguridad de WebBlocker, en la lista desplegable Cuando la licencia de
WebBlocker expira, el acceso a todos los sitios está, seleccione una de estas opciones:
Negado
Seleccione esta opción para bloquear el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Permitido
Seleccione esta opción para permitir el acceso a todos los sitios web cuando la licencia del
WebBlocker expira.
Por defecto, la derivación de licencia está configurada para bloquear el acceso a todos los sitios web
si la suscripción de seguridad de WebBlocker expiró. Ésta es la opción más segura si debe bloquear a
sus usuarios de tipos de contenido específicos.
Para obtener información acerca de cómo renovar su suscripción de seguridad, consulte Renovar
suscripciones de seguridad en la página 575.
6. Para mejorar el rendimiento de WebBlocker, aumente el valor del Tamaño de caché.
7. En la sección Servidores WebBlocker, configure un WebBlocker Server.
Si su dispositivo WatchGuard es un Firebox X Edge, puede utilizar un WebBlocker Server albergado

por WatchGuard o un servidor WebBlocker local. Para utilizar el WebBlocker Server albergado por
WatchGuard, marque la casilla de verificación Utilizar WebBlocker Server albergado por
WatchGuard. Esta opción sólo está disponible si su dispositivo es un Firebox X Edge.
Para agregar una entrada para un WebBlocker Server local:
n En el cuadro de texto IP, ingrese la dirección IP de su WebBlocker Server.
n En el cuadro de texto Puerto, ingrese o seleccione el número de puerto. El número de puerto
predeterminado para el servidor WebBlocker es 5003.
n Para agregar al servidor WebBlocker a la lista, haga clic en Agregar.

WebBlocker
Puede agregar un segundo WebBlocker Server para utilizarlo como servidor de respaldo si Firebox
no puede conectarse con el servidor principal. Siga los mismos pasos para agregar un WebBlocker
Server de respaldo. El primer servidor de la lista es el servidor principal.
n Para desplazar un servidor hacia arriba o hacia abajo en la lista, haga clic en la dirección IP del
servidor y luego en Mover hacia arriba o en Mover hacia abajo.
n Para eliminar un servidor de la lista, selecciónelo y haga clic en Eliminar.
Activar anulación local

Cuando permite la anulación local de WebBlocker, al usuario que intente conectarse con un sitio negado
por WebBlocker se le solicitará que ingrese la contraseña de anulación. Cuando el usuario ingresa la
contraseña correcta, WebBlocker le permite acceder al sitio web de destino hasta que alcance el tiempo de
espera de inactividad o hasta que cierre sesión un usuario autenticado. Esta función se admite solamente
con las políticas de proxy HTTP. Para obtener más información acerca de la anulación local, consulte Usar
anulación local de WebBlocker en la página 568.
Para permitir que los usuarios eludan WebBlocker si tienen la frase de contraseña correcta:
1. En la sección Anulación local, marque la casilla de verificación Utilizar esta frase de contraseña y el
tiempo de espera de inactividad para permitir la anulación local de WebBlocker.
2. En el cuadro de texto Frase de contraseña, ingrese la frase de contraseña.
3. En el cuadro de texto Confirmar, vuelva a ingresar la misma contraseña.
4. (Opcional) Cambie el valor del Tiempo de espera de inactividad.
Seleccione categorías para bloquear

1. Haga clic en la pestaña Categorías.
Aparece la lista de categorías de WebBlocker.

WebBlocker
2. Marque las casillas de verificación adyacentes a las categorías de sitios web que desea bloquear en
este perfil de WebBlocker.
Para obtener más información acerca de las categorías de WebBlocker, consulte Acerca de las
Categorías de WebBlocker en la página 569.
3. Para crear un mensaje de registro cuando se niega un sitio web sobre la base de una categoría que
decidió bloquear, marque la casilla de verificación Registrar esta acción.
La política de WebBlocker se agrega a la lista.
Utiliceel perfil deWebBlockercon servidoresproxyHTTP yHTTPS

Puede utilizar el perfil de WebBlocker que creó con los servidores proxy HTTP y HTTPS.
En la página de WebBlocker:
1. En la sección Acciones de WebBlocker, en la lista Acciones HTTP y HTTPS, junto a cada acción de
proxy, haga clic en la lista desplegable y seleccione un perfil de WebBlocker.

WebBlocker
Agregar excepciones de WebBlocker

Si desea permitir o negar siempre el acceso a sitios web específicos, independientemente de la categoría
de WebBlocker, haga clic en la pestaña Excepciones. Puede agregar la URL o el patrón de URL de los sitios
que desea que WebBlocker permita o niegue siempre.
Para obtener más información acerca de cómo agregar excepciones de WebBlocker, consulte Agregar
WebBlocker Excepciones en la página 573.
Usar anulación local de WebBlocker

La anulación local de WebBlocker es una función que permite que un usuario ingrese una contraseña de
anulación para dirigirse a un sitio web que está bloqueado por una política de WebBlocker. Por ejemplo, en
una escuela, un maestro podría utilizar la contraseña de anulación para permitir que un estudiante acceda a
un sitio aprobado que está bloqueado por las categorías de contenido de WebBlocker.
Cuando un usuario intenta dirigirse a un sitio bloqueado por la política de WebBlocker, si está activada la
anulación local, el usuario ve un deny message en el navegador.

WebBlocker
Si el dispositivo WatchGuard utiliza un certificado autofirmado para la autenticación, es posible que el

usuario también vea una advertencia de certificado. Le recomendamos que instale un certificado de
confianza en Firebox con este fin, o importe el certificado autofirmado en el dispositivo de cada cliente.
Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulación y la contraseña de
anulación.
1. En el cuadro de texto Destino de anulación, ingrese la URL a la cual desea permitir el acceso. Por
defecto, el destino de anulación se configura como la URL que se bloqueó. Puede utilizar comodines
en el destino de anulación para otorgar acceso a más de un sitio o a más páginas de un mismo sitio.
Ejemplos de destinos de anulación que utilizan comodines:
*.amazon.com
permite acceder a todos los subdominios de amazon.com

*amazon.com
permite acceder a todos los domain names que terminan con amazon.com, como images-
amazon.com
www.amazon.com/books-used-books-textbooks/*
permite acceder solamente a las páginas que se encuentran en esa ruta
2. En el cuadro de texto Contraseña de anulación, ingrese la contraseña de anulación configurada en

el perfil de WebBlocker.
Después de que el usuario ingresa la contraseña de anulación correcta, Firebox le permite acceder al
destino de anulación hasta que un usuario autenticado cierre sesión o hasta que no haya tráfico a un sitio
con coincidencia durante la cantidad de tiempo especificada en el tiempo de espera de inactividad de
anulación local de WebBlocker. La anulación local se activa y el tiempo de espera de inactividad de la
anulación local se configura en el perfil de WebBlocker..
Para obtener más información acerca de cómo configurar la anulación local de WebBlocker, consulte
Activación de WebBlocker en la página 562.
Acerca de las Categorías de WebBlocker

La base de datos de WebBlocker contiene nueve grupos de categorías, con 54 categorías de sitios web.
Un sitio web se agrega a una categoría cuando los contenidos del sitio web coinciden con el criterio
correcto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categoría no
están incluidos. Por ejemplo, la categoría Drogas ilegales niega los sitios que indican cómo utilizar la
marihuana. No niegan los sitios que contienen información acerca del consumo histórico de marihuana.
SurfControl periódicamente agrega nuevas categorías de sitios web. Las nuevas categorías no aparecen en
la página de configuración de WebBlocker hasta que WatchGuard actualiza el software para agregar las
nuevas categorías.
Para bloquear los sitios que cumplen con los criterios para una nueva categoría de SurfControl que todavía
no forma parte de una actualización del software de WebBlocker, seleccione la categoría Otro.

WebBlocker
Para bloquear los sitios que no cumplen con los criterios para ninguna otra categoría, seleccione la
categoría Sin categorizar.
Consultar si un sitio está categorizado

Para ver si WebBlocker niega el acceso a un sitio web como parte de un bloque de categoría, diríjase a la
página Probar un sitio en el sitio web de SurfControl.
1. Abra un explorador web y diríjase a:

http://mtas2.surfcontrol.com/mtas/WatchGuardTest-a-Site_MTAS.asp.
Se abre la página Probar un sitio de WatchGuard.
2. Ingrese la URL o dirección IP del sitio que desea probar.

3. Haga clic en Probar sitio.
Aparece la página Resultados de Probar un sitio de WatchGuard.

WebBlocker
Agregar, eliminar o cambiar una categoría

Si recibe un mensaje que indica que la URL que ingresó no figura en la lista de SurfControl, puede enviarla
en la página Resultados de prueba.
1. En la página Resultados de prueba, haga clic en Enviar un sitio.

Aparece la página Enviar un sitio.
2. Seleccione si desea Agregar un sitio, Borrar un sitio o Cambiar la categoría.

3. Ingrese la URL del sitio.
4. Si desea solicitar que se cambie la categoría a la cual fue asignado un sitio, seleccione la nueva
categoría desde el menú desplegable.

WebBlocker
Acerca de las Excepciones de WebBlocker

WebBlocker podría negar un sitio web que es necesario para su negocio. Usted puede anular a WebBlocker
cuando define un sitio web que WebBlocker suele negar como una excepción para permitir que los
usuarios tengan acceso a éste. Por ejemplo, supongamos que los empleados de su compañía utilizan con
frecuencia sitios web que contienen información médica. Algunos de estos sitios web están prohibidos por
WebBlocker porque recaen en la categoría de educación sexual. Para anular a WebBlocker, especifique la
dirección IP domain name. También puede negar sitios que WebBlocker suele permitir
Las excepciones de WebBlocker se aplican solamente al tráfico HTTP. Si niega un sitio con WebBlocker, el
sitio no se agrega automáticamente a la lista de Sitios bloqueados.
Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la página 573.
Defina la acción para las sitios que no tienen coincidencias

Excepciones
En la sección Usar lista de categoría debajo de la lista de reglas de excepción, puede configurar la acción
que desea que ocurra si la URL no coincide con las excepciones que configura. Por defecto, el botón de
radio Use la lista de categoría de WebBlocker para determinar accesibilidad está seleccionado y
WebBlocker compara los sitios contra las categorías seleccionadas en la pestaña Categorías para
determinar la accesibilidad.
También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción sólo para
restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negar acceso al sitio web.
Registrar esta acción

Seleccione para enviar un mensaje al archivo de registro cuando Firebox niega una excepción de
WebBlocker.
Componentes de las reglas de excepción

Puede hacer que el dispositivo WatchGuard bloquee o permita una URL que contenga una coincidencia
exacta. Por lo general, es más conveniente que el dispositivo WatchGuard busque patrones de URL. Los
patrones de URL no incluyen "http://" al comienzo. Para generar coincidencias de rutas de URL en todos los
sitios web, el patrón debe contener “/*” como rastro.
Excepciones con parte de una URL

Puede crear excepciones de WebBlocker mediante el uso de cualquier parte de una URL. Puede configurar
un número de puerto, nombre de ruta o cadena que debe bloquearse para un sitio web en especial. Por
ejemplo, si es necesario bloquear sólo www.espaciocompartido.com/~dave porque contiene fotografías
inapropiadas, ingrese “www.espaciocompartido.com/~dave/*”. Esto permite que los usuarios puedan
navegar a www.espaciocompartido.com/~julia, que puede tener contenidos que desea que sus usuarios
puedan ver.
Para bloquear las URL que contengan la palabra “sexo” en la ruta, puede ingresar “*/*sexo*”. Para
bloquear las URL que contengan la palabra “sexo” en la ruta o en el nombre de host, ingrese “*sexo*”.

WebBlocker
Puede bloquear los puertos de una URL. Por ejemplo, observe la URL
http://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocolo
HTTP en el puerto TCP 8080 en lugar del método predeterminado que utiliza el puerto TCP 80. Puede
bloquear el puerto al generar la coincidencia *8080.
Agregar WebBlocker Excepciones

Puede agregar una excepción, que es una coincidencia exacta de una URL, o puede utilizar el símbolo
comodín "*" en la URL para que coincida con cualquier carácter. Por ejemplo, si agrega
"www.algunsitio.com" a la lista de Sitios permitidos y un usuario ingresa "www.algunsitio.com/noticias", la
solicitud resultará negada. Si agrega "www.algunsitio.com/*" a la lista de Sitios permitidos, WebBlocker
permite que las solicitudes se dirijan a todas las rutas de URL en el sitio web www.algunsitio.com.
Para agregar excepciones:
1. Desde la Fireware XTM Web UI, seleccione Servicios de suscripción > WebBlocker.
Aparece la página de WebBlocker.
2. En la sección Perfiles de WebBlocker, junto a la política de WebBlocker, haga clic en Configurar.
Aparecerá la configuración de la política de WebBlocker.
3. Haga clic en la pestaña Excepciones.

WebBlocker
4. En el cuadro de texto debajo de la lista Sitios permitidos, ingrese la URL exacta o el patrón de URL
de un sitio al cual desee permitir el acceso siempre. Haga clic en Agregar para agregarlo a la lista de
excepciones de Sitios permitidos.
5. En el cuadro de texto debajo de la lista Sitios negados, ingrese la URL exacta o el patrón de URL de
un sitio al cual desee negar el acceso siempre. Haga clic en Agregar para agregarlo a la lista de Sitios
negados.
Nota Cuando ingrese una excepción de URL, no incluya “http://” al comienzo. Puede
utilizar el símbolo comodín, *, para buscar coincidencia de cualquier carácter. Por
ejemplo, la excepción www.algunsitio.com/* generará coincidencias de todas las
rutas de URL en el sitio web www.algunsitio.com. Puede utilizar más de un
comodín en una excepción de URL.
6. En la sección Usar lista de categoría, puede configurar la acción que desea realizar si la URL no
coincide con las excepciones que configura. La configuración predeterminada es que el botón de

WebBlocker
radio Use la lista de categoría de WebBlocker para determinar accesibilidad esté seleccionado y
WebBlocker compare los sitios contra las categorías seleccionadas en la pestaña Categorías para
determinar la accesibilidad.
También puede elegir no utilizar las categorías en absoluto y en cambio, utilizar reglas de excepción
sólo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botón de radio Negar
acceso al sitio web.
Renovar suscripciones de seguridad

Los servicios de suscripción de WatchGuard (el Gateway AntiVirus, el Intrusion Prevention Service,
WebBlocker y spamBlocker) deben recibir actualizaciones periódicas para funcionar con eficiencia.
Para ver la fecha de vencimiento de sus servicios de suscripción, en la Web UI de Fireware XTM, seleccione
Sistema > Tecla de función. La columna Vencimiento muestra la fecha de vencimiento de la suscripción.
Cuando renueva la suscripción de seguridad, debe actualizar la tecla de función del dispositivo WatchGuard.
Para actualizar la tecla de función, desde la Web UI de Fireware XTM, seleccione Sistema > Tecla de
función.
Para obtener más información acerca de las teclas de función, consulte Acerca de las teclas de función en la
página 51.
Acerca del vencimiento de los servicios de

suscripción de WebBlocker
Si su sitio utiliza WebBlocker, debe renovar o desactivar su suscripción de WebBlocker cuando venza para
evitar una interrupción en la navegación web. WebBlocker tiene una configuración predeterminada que
bloquea todo el tráfico cuando se agota el tiempo de espera de las conexiones con el servidor. Cuando su
WebBlocker se vence, ya no se comunica con el servidor. Para Firebox, esto aparece como el agotamiento
del tiempo de espera del servidor. Todo el tráfico HTTP se bloquea a menos que esta configuración
predeterminada se cambie antes del vencimiento.
Para cambiar esta configuración, diríjase a la pestaña Configuración de la página de configuración de

WebBlocker y cambie la configuración de la sección Derivación de licencia a Permitida.

WebBlocker

25 spamBlocker
Acerca de las spamBlocker

Los correos electrónicos no deseados, también conocidos como spam, llenan una bandeja de entrada
promedio a una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada la
productividad del empleado y desperdicia recursos de red. La opción spamBlocker de WatchGuard utiliza
una tecnología de detección de patrones líder en la industria proporcionada por Commtouch para bloquear
el spam en su puerta de enlace de Internet y mantenerlo alejado de su Servidor de correo electrónico.
Los filtros de correo comerciales utilizan muchos métodos para detectar el spam. Las listas negras guardan
una lista de dominios que son utilizados por fuentes de spam conocidas y son relés abiertos para el spam.
Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo
electrónico. La detección de URL compara una lista de dominios utilizados por fuentes de spam conocidas
con el enlace publicitado en el cuerpo del mensaje de correo electrónico. No obstante, todos estos
procedimientos escanean cada mensaje de correo electrónico individual. Los atacantes pueden evitar
fácilmente esos algoritmos fijos. Pueden enmascarar la dirección del emisor para evitar una lista negra,
cambiar las palabras clave, integrar palabras en una imagen o utilizar múltiples idiomas. También pueden
crear una cadena de servidores proxy para camuflar la URL publicitada.
spamBlocker utiliza la solución Detección de patrones recurrentes (Recurrent-Pattern Detection, RPD)

creada por Commtouch para detectar estos ataques de spam difíciles de advertir. La RPD es un método
innovador que navega Internet para detectar los ataques de spam en tiempo real. La RPD detecta los
patrones del ataque, no sólo el patrón de mensajes de spam individuales. Como no utiliza el contenido ni el
encabezado de un mensaje, puede identificar el spam en cualquier idioma, formato o codificación. Para ver
un ejemplo de análisis de ataque de spam en tiempo real, visite el Monitor de ataques de Commtouch en:
http://www.commtouch.com/Site/ResearchLab/map.asp
spamBlocker además proporciona una función opcional de Virus Outbreak Detection. Para más
informaciones, vea Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601.
Para ver las estadísticas de la actividad actual de spamBlocker, seleccione Panel de instrumentos > Servicios
de suscripción.

spamBlocker

Requisitos de spamBlocker
Antes de activar spamBlocker, debe tener:
n Una tecla de función de spamBlocker: para obtener una tecla de función, comuníquese con su
revendedor de WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store
n Un servidor de correo electrónico POP3 o SMTP: spamBlocker trabaja con los servidores proxy
SMTP entrantes y POP3 de WatchGuard para escanear su correo electrónico. Si no configuró el
proxy POP3 o SMTP, estos se activarán cuando configure el servicio de spamBlocker. Si tiene más de
una política de proxy para POP3 o para SMTP, spamBlocker trabajará con todas.
n El DNS debe estar configurado en su Firebox: en la Fireware XTM Web UI, seleccione Red >
Interfaces. En la lista Servidores DNS, agregue las direcciones IP de los servidores DNS que su
dispositivo WatchGuard utiliza para resolver los nombres de host.
n Una conexión a Internet disponible

Acciones, etiquetas y categorías de spamBlocker
El dispositivo WatchGuard utiliza las acciones de spamBlocker para aplicar decisiones acerca de la entrega
de mensajes de correo electrónico. Cuando un mensaje es asignado a una categoría, se aplica la acción
relacionada. No se admiten todas las acciones cuando utiliza spamBlocker con el proxy POP3.
Permitir
Permitir que el mensaje de correo electrónico pase por Firebox.
Agregar etiqueta de asunto
Permitir que el mensaje de correo electrónico pase por Firebox pero insertar texto en la línea de
asunto del mensaje de correo electrónico para marcarlo como spam o posible spam. Puede
mantener las etiquetas predeterminadas o personalizarlas, como se describe en la sección de
etiquetas de spamBlocker a continuación. También puede crear reglas en su lector de correo
electrónico para clasificar el spam de manera automática, como se describe en Cree reglas para su
lector de correo electrónico en la página 602.
Poner en cuarentena (sólo SMTP)
Enviar el mensaje de correo electrónico al Quarantine Server. Tenga en cuenta que la opción Poner
en cuarentena está admitida sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite
esta opción.
Negar (sólo SMTP)
Evita que el mensaje de correo electrónico sea entregado al servidor de correo. Firebox envía este
mensaje SMTP 571 al servidor de correo electrónico enviante: Entrega no autorizada, mensaje
rechazado. La opción Negar se admite sólo si utiliza spamBlocker con el proxy SMTP. El proxy POP3
no admite esta opción.
Abandonar (sólo SMTP)
Abandonar la conexión inmediatamente. El dispositivo WatchGuard no le brinda ningún mensaje de

error al servidor enviante. La opción Abandonar está admitida sólo si utiliza spamBlocker con el
proxy SMTP. El proxy POP3 no admite esta opción.
Etiquetas de spamBlocker
Si selecciona la acción de spamBlocker para agregar una etiqueta a determinados mensajes de correo
electrónico, Firebox agrega una cadena de texto a la línea de asunto del mensaje. Puede utilizar las
etiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud máxima de la etiqueta es
de 30 caracteres.
Este ejemplo muestra la línea de sujeto de un mensaje de correo electrónico confirmado como spam. La
etiqueta que se agregó fue la predeterminada: ***SPAM***.
Asunto: ***SPAM*** Cotización gratuita de seguro automotor
Este ejemplo muestra una etiqueta personalizada: [SPAM]

Asunto: [SPAM] ¡Ha sido aprobado!

Categorías de spamBlocker
La solución Detección de patrones recurrentes (RPD) de Commtouch (RPD) clasifica los ataques de spam
por severidad en su base de datos Centro de detección anti-spam. spamBlocker consulta esta base de datos
y le asigna una categoría a cada mensaje de correo electrónico.
spamBlocker tiene tres categorías:
La categoría Spam confirmado incluye los mensajes de correo electrónico que vienen de emisores de
spam conocidos. Si utiliza spamBlocker con el proxy SMTP, le recomendamos que utilice la acción Negar
para este tipo de correo electrónico. Si utiliza spamBlocker con el proxy POP3, le recomendamos que
utilice la acción Agregar etiqueta de asunto para este tipo de correo electrónico.
La categoría Masivo incluye a los mensajes de correo electrónico que no provienen de emisores conocidos
pero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilice
la acción Agregar etiqueta de asunto para este tipo de correo electrónico, o bien, la acción Poner en
cuarentena si utiliza spamBlocker con el proxy SMTP.
La categoría Sospechoso incluye a los mensajes de correo electrónico que parecen poder asociarse con un
nuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrónico legítimos. Le
recomendamos que considere los mensajes de correo electrónico sospechosos como un falso positivo y en
consecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red.
También le recomendamos que utilice la acción Permitir para el correo electrónico sospechoso, o bien, la
acción Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.
Consulte la categoría de spamBlocker de un mensaje

Después de que spamBlocker categoriza un mensaje, agrega la categoría de spam al encabezado del
mensaje de correo electrónico completo como una calificación de spam.
Para encontrar la calificación de spam de un mensaje, abra el encabezado completo del mensaje de correo
electrónico.
Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de diálogo
Encabezados de Internet.
La calificación de spam aparece en esta línea:
X-WatchGuard-Spam_Score:
Por ejemplo:
X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus
El primer número en esta línea es la categoría de spam. Este número tiene uno de estos valores:
0 - limpio
1 - limpio
2 - sospechoso
3 - masivo
4 - spam

Si activa la Virus Outbreak Detection (VOD) en su configuración de spamBlocker, la calificación de spam en
el encabezado del mensaje de correo electrónico tendrá un número secundario, la categoría de VOD. Este
número tiene uno de estos valores:
0 - sin virus
1 - sin virus
2 - posible amenaza de virus
3 - alta amenaza de virus
Configurado spamBlocker
Para configurar spamBlocker para un proxy SMTP o POP3:
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > spamBlocker.

Aparece la página de configuración de spamBlocker, con una lista de las acciones de proxy SMTP y POP3 en su
dispositivo WatchGuard y una indicación de si spamBlocker está activado para cada una.
2. Seleccione la política que desea configurar y haga clic en Configurar.

Aparece la página de configuración de spamBlocker para esa política.

3. Seleccione la casilla de verificación Activar spamBlocker.
4. Configure las acciones que spamBlocker aplicará para cada categoría de correo electrónico en las
listas desplegables adyacentes a spam ConfirmadoMasivo y Sospechoso. Si selecciona Agregar
etiqueta de asunto para cualquier categoría, puede cambiar la etiqueta predeterminada que
aparece en el cuadro de texto a la derecha de la lista desplegable.
Para obtener más información acerca de las etiquetas de spamBlocker, consulte Acciones, etiquetas
y categorías de spamBlocker en la página 581.
5. Si desea enviar un mensaje de registro cada vez que spamBlocker realiza una acción, seleccione la
casilla de verificación Enviar un mensaje de registro de la acción que corresponde. Si no desea
grabar los mensajes de registro de una acción, desmarque esta casilla de verificación.
6. La lista desplegable Cuando el servidor de spamBlocker no está disponible especifique cómo debe
administrar el correo electrónico entrante el dispositivo WatchGuard cuando no se puede
comunicar con el servidor de spamBlocker. Le recomendamos que utilice la acción predeterminada
Permitido.
n Si configura esta opción como Negado para el proxy POP3 o SMTP, esto causará un conflicto
con Microsoft Outlook. Cuando Outlook inicia una conexión con el servidor de correo
electrónico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidor
de spamBlocker no está disponible, spamBlocker detiene la descarga de correos electrónicos.
Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrónicos y
spamBlocker detiene la descarga. Esto continúa hasta que el dispositivo WatchGuard logra
conectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiempos
de proxy o usted cancela la solicitud.

n Si configura esta opción como Negado con el proxy SMTP, el dispositivo WatchGuard envía este
mensaje SMTP 450 al servidor de correo electrónico enviante: “La casilla de correo no está
disponible por el momento”.
7. La casilla de verificación Enviar mensaje de registro para cada correo electrónico clasificado como
no spam especifica si se agrega un mensaje al archivo de registro si un mensaje de correo
electrónico es escaneado por spamBlocker pero no es designado como spam Confirmado, Masivo ni
Sospechoso. Seleccione esta casilla de verificación si desea agregar un mensaje al archivo de
registro en esta situación.
8. (Opcional) Agregue reglas de excepción a spamBlocker, como se describe en Acerca de las
Excepciones de spamBlocker en la página 587.
9. Configure las acciones de Virus Outbreak Detection, como se describe en Configurar acciones de
Virus Outbreak Detection para una política en la página 593.
Nota Si tiene algún firewall perimetral entre el dispositivo WatchGuard que utiliza
spamBlocker e Internet, éste no debe bloquear el tráfico HTTP. El protocolo HTTP se
utiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor de
spamBlocker.
Después de activar spamBlocker para una acción o política de proxy, puede definir la configuración global
de spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic en
Configuración para ver o modificar la configuración global de spamBlocker. Para más informaciones, vea
Configure los parámetros globales de spamBlocker en la página 597.

Acerca de las Excepciones de spamBlocker
Puede crear una lista de excepciones a las acciones generales de spamBlocker que se base en la dirección
del emisor o del destinatario. Por ejemplo, si desea permitir un boletín de noticias que spamBlocker
identifica como correo electrónico masivo, puede agregar a ese emisor a la lista de excepciones y utilizar la
acción Permitir independientemente de la categoría de spamBlocker a la cual esté asignado el emisor. O
bien, si desea aplicar una etiqueta a un emisor que spamBlocker designa como seguro, también puede
agregar eso a la lista de excepciones.
Asegúrese de utilizar la dirección real del emisor, que figura en el campo “Correo de” en el encabezado del
mensaje de correo electrónico, que posiblemente no coincida con la dirección del campo “De:” que ve en
la parte superior del mensaje de correo electrónico. Para obtener la dirección real para la excepción,
busque el encabezado completo del mensaje de correo electrónico (desde Microsoft Outlook, con el
mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las
direcciones del emisor y el destinatario están en estas líneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar la
información del encabezado. Cuanto más específicas sean las direcciones de su lista de excepciones, más
difícil será replicarlas.
Para agregar una regla de excepción, consulte Agregar spamBlocker reglas de excepciones en la página 589.
Para cambiar el orden de las reglas enumeradas en el cuadro de diálogo, consulte Cambiar el orden de las
Excepciones en la página 591.

Agregar spamBlocker reglas de excepciones
Después de activar spamBlocker, puede definir excepciones que permitan que los correos electrónicos de
emisores específicos deriven a spamBlocker.

Aparece la página de configuración de spamBlocker.
2. Seleccione una política de proxy y haga clic en Configurar. Haga clic en la pestaña Excepciones.
Aparece la página de configuración de spamBlocker y muestra la lista de excepciones de spamBlocker.
3. Desde la lista desplegable Acción, seleccione una acción de la regla: Permitir, Agregar etiqueta de
asunto, Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 sólo admite las
acciones Permitir y Agregar etiqueta de asunto en spamBlocker).
4. Ingrese un emisor, un destinatario o ambos. Puede ingresar la dirección de correo electrónico

completa o utilizar comodines.
Asegúrese de utilizar la dirección real del emisor. Puede encontrar esta dirección en el campo
“Correo de” en el encabezado del correo electrónico. Es posible que esta dirección no coincida con
la que aparece en el campo “De:” que ve en la parte superior del mensaje de correo electrónico.
Para obtener la dirección real para la excepción, busque el encabezado completo del mensaje de
correo electrónico (desde Microsoft Outlook, con el mensaje abierto, seleccione Ver > Opciones y
busque en el cuadro Encabezados de Internet). Las direcciones del emisor y el destinatario están
en estas líneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepción. Los emisores de spam pueden replicar

la información del encabezado. Cuanto más específicas sean las direcciones de su lista de
excepciones, más difícil será replicarlas.
La excepción se agrega en la parte inferior de la lista de excepciones.
6. Si desea enviar un mensaje de registro cada vez que un correo electrónico coincida con una de las
excepciones, haga clic en la casilla de verificaciónRegistrar excepciones.
Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic en
los botones Arriba y Abajo para Cambiar el orden de las Excepciones.

Cambiar el orden de las Excepciones
El orden de aparición de las reglas de excepciones de spamBlocker en el cuadro de diálogo refleja el orden
en que los mensajes de correo electrónico se comparan con las reglas. La política de proxy compara los
mensajes con la primera regla de la lista y continúa secuencialmente desde arriba hacia abajo. Cuando un
mensaje coincide con una regla, el dispositivo WatchGuard realiza la acción relacionada. No realiza ninguna
otra acción, incluso aunque el mensaje coincida con una o más reglas posteriores de la lista.
Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botón
Arriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.

Configurar acciones de Virus Outbreak Detection para una
política
La Virus Outbreak Detection (VOD) es una tecnología que utiliza el análisis del tráfico para identificar los
ataques de virus por correo electrónico en todo el mundo en pocos minutos y luego ofrece protección
contra esos virus. Suministrada por Commtouch, un líder de la industria en protección contra spam y virus
en correos electrónicos, la VOD está incorporada en el servicio de suscripción de spamBlocker. Después de
activar spamBlocker, puede configurar la Virus Outbreak Detection.
Para configurar las acciones de Virus Outbreak Detection:
2. Asegúrese de que la Virus Outbreak Detection esté activada:
n En spamBlocker página, haga clic en Configuración.

n En la página Configuración de spamBlocker, haga clic en la pestaña VOD.
n Seleccione la casilla de verificación Activar Virus Outbreak Detection (VOD).
Para más informaciones, vea Active y configure los parámetros de la Virus Outbreak Detection
(VOD) en la página 601.
n Haga clic en Guardar.
3. En spamBlocker página, seleccione una política de proxy y haga clic en Configurar. Haga clic en la
pestaña Virus Outbreak Detection.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar el
dispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrónico.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que debe
realizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correo
electrónico o un adjunto.
Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados

archivos cifrados o archivos que utilizan un tipo de compresión no admitido como los archivos Zip
protegidos por contraseña.
6. Seleccione las casillas de verificación Registrar esta acción para enviar un mensaje de registro
cuando se detecta un virus o cuando ocurre un error de escaneo.
El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar y
Bloquear. El proxy POP3 sólo admite las acciones Permitir, Bloquear y Eliminar.
Para obtener más información acerca de estas acciones, consulte Acciones, etiquetas y categorías de
spamBlocker en la página 581.

Configure spamBlocker para colocar mensajes de correo
Para configurar spamBlocker para que ponga correos electrónicos en cuarentena:
1. Cuando configura spamBlocker (como se describe en Configurado spamBlocker en la página 583),

debe asegurarse de activar spamBlocker para el proxy SMTP.
2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correo
electrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese de
seleccionar la acción Poner en cuarentena por lo menos para una de las categorías.
También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónico
identificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, vea
Configurar acciones de Virus Outbreak Detection para una política en la página 593.

Acerca de la utilización spamBlocker con servidores proxy
múltiples
Puede configurar más de una política de proxy SMTP o POP3 para utilizar spamBlocker. Esto le permite
crear reglas personalizadas para grupos diferentes dentro de una organización. Por ejemplo, puede
permitir todos los correos electrónicos para sus empleados administrativos y utilizar una etiqueta de spam
para el equipo de mercadeo.
Si desea utilizar más de una política de proxy con spamBlocker, su red debe utilizar una de estas
configuraciones:
n Cadapolíticadeproxydebeenviar loscorreoselectrónicosaunservidor decorreoelectrónicointerno

diferente.
o
n Debe configurar lasfuentesexternasque puedenenviar correoselectrónicosparacadapolíticade proxy.
Configure los parámetros globales de

spamBlocker
Puede usar configuración global de spamBlocker para optimizar spamBlocker para su propia instalación.
Como la mayoría de estos parámetros afectan la cantidad de memoria que utiliza spamBlocker en el
dispositivo WatchGuard, debe equilibrar el rendimiento de spamBlocker con las demás funciones de su
Nota Para realizar las configuraciones globales de spamBlocker, debe activar

spamBlocker por lo menos para una política de proxy.

2. Haga clic en Configuraciones.
Aparece la página de configuración de spamBlocker.

3. spamBlocker crea una conexión para cada mensaje que procesa. Esta conexión incluye información
acerca del mensaje que se utiliza para generar su calificación de spam. spamBlocker establece un
número máximo predeterminado de conexiones que pueden analizarse simultáneamente con
memoria intermedia según el modelo de su dispositivo WatchGuard. Puede utilizar el campo
Número máximo de conexiones para aumentar o reducir este valor. Si la cantidad de tráfico que
administran sus políticas de proxy es reducida, puede aumentar el número de conexiones admitidas
para spamBlocker sin afectar el rendimiento. Si tiene memoria disponible limitada en el dispositivo
WatchGuard, es posible que desee reducir el valor de este campo.
4. Utilice el campo Tamaño máximo de archivo para escanear para configurar la cantidad de bytes
que debe tener un mensaje de correo electrónico para que pase a escanearse en spamBlocker. Por
lo general, de 20 a 40 K resultan suficientes para que spamBlocker detecte el spam correctamente.
No obstante, si el spam a base de imágenes representa un problema para su organización, puede
aumentar el tamaño máximo del archivo para bloquear más mensajes de spam a base de imágenes.
Para obtener información sobre los límites de escaneo predeterminados y máximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los límites de escaneo de la
VOD en la página 602.

5. En el campo Tamaño de caché, ingrese el número de entradas que spamBlocker almacena
localmente para los mensajes que fueron categorizados como spam y masivos. Un caché local
puede mejorar el rendimiento porque no requiere tráfico de red a Commtouch. Por lo general, no
tiene que cambiar este valor.
Puede configurar el campo Tamaño de caché en 0 para que todos los correos electrónicos se
envíen a Commtouch. Normalmente, esto sólo se utiliza para detectar y solucionar problemas.
6. Desmarque la casilla de verificación Activado al lado de Patrones proactivos si desea desactivar la
función de Patrones proactivos del motor de CT de Commtouch. Esta función está activada de
manera automática. Utiliza una gran cantidad de memoria mientras se actualiza la base de datos
local. Si tiene recursos de memoria o procesador limitados, es posible que desee desactivar esta
función.
7. El cuadro de texto Anulación de cadena de conexión sólo se utiliza cuando debe detectar y
solucionar un problema de spamBlocker con un representante de soporte técnico. No cambie este
valor a menos que se le solicite que proporcione información de depuración adicional para un
problema de soporte técnico.
8. También puede definir varios parámetros opcionales más para spamBlocker:
n Active y configure los parámetros de la Virus Outbreak Detection (VOD)

n Utilice un servidor proxy HTTP para spamBlocker
n Agregar reenviadores de correo electrónico de confianza para mejorar la precisión de
calificación del spam
Utilice un servidor proxy HTTP para spamBlocker

Si spamBlocker debe utilizar un servidor proxy HTTP para conectarse con el servidor de CommTouch a
través de Internet, debe configurar el servidor proxy HTTP desde Configuraciones de spamBlocker página.
1. En el la página de spamBlocker, haga clic en Configuración.

2. Haga clic en la pestaña Servidor proxy HTTP.

3. En la pestaña Servidor proxy HTTP, seleccione la casilla de verificación Contactar el servidor de
spamBlocker usando un servidor proxy HTTP.
4. Utilice los otros campos de esta pestaña para configurar los parámetros del servidor proxy, que
incluyen la dirección del servidor proxy, el puerto que debe utilizar el dispositivo WatchGuard para
comunicarse con el servidor proxy y las credenciales de autenticación que debe utilizar el
dispositivo WatchGuard para las conexiones con el servidor proxy (si el servidor proxy las requiere).
Agregar reenviadores de correo electrónico de confianza para

mejorar la precisión de calificación del spam
Parte de la calificación de spam de un mensaje de correo electrónico se calcula mediante la dirección IP del
servidor desde el cual se recibió el mensaje. Si se utiliza un servicio de reenvío de correo electrónico, la
dirección IP del servidor reenviante se utiliza para calcular la calificación del spam. Como el servidor
reenviante no es el servidor de correo electrónico fuente inicial, es posible que la calificación del spam no
sea precisa.
Para mejorar la precisión de la calificación del spam, puede ingresar uno o más nombres de host o domain
names de servidores de correo electrónico en los cuales confíe para que reenvíen el correo electrónico a
su servidor de correo electrónico. Si utiliza un servidor SMTP, ingrese uno o más nombres de host o domain
names de los servidores de correo electrónico SMTP en los cuales confíe para que reenvíen los mensajes a
su servidor de correo electrónico. Si utiliza un servidor POP3, ingrese los domain names de proveedores
POP3 conocidos o comúnmente utilizados en los cuales confía para descargar sus mensajes por medio de
ellos.

Después de que agrega un reenviador de correo electrónico de confianza o varios, spamBlocker ignora al
reenviador de correos electrónicos de confianza en los encabezados de los mensajes de correo
electrónico. La calificación del spam se calcula utilizando la dirección IP del servidor de correo electrónico
fuente.
1. Desde la página Configuración de spamBlocker, haga clic en la pestaña Configuración.

2. Debajo de la lista Reenviadores de correo electrónico de confianza, ingrese un nombre de host o
de dominio en el cuadro de texto. Haga clic en Agregar.
Si agrega un domain name, asegúrese de agregar un punto al principio (.) del nombre, como en
.firebox.net.
3. (Opcional) Repita el paso 2 para agregar más reenviadores de correo electrónico de confianza.
Active y configure los parámetros de la Virus Outbreak

Detection (VOD)
La Virus Outbreak Detection (VOD) es una tecnología que identifica los ataques de virus por correo
electrónico de todo el mundo en minutos y luego ofrece protección contra esos virus. Ofrecida por
Commtouch, un líder de la industria en lo que respecta a protección contra virus y spam por correo
electrónico, VOD atrapa los virus incluso más rápido que los sistemas basados en firmas.
Para activar y configurar VOD:
1. Desde la página Configuración de spamBlocker, haga clic en la pestaña VOD.
2. Seleccione la casilla de verificación Activar Virus Outbreak Detection (VOD).

3. De modo predeterminado, VOD analiza los mensajes de correo electrónico entrantes hasta un límite
de tamaño predeterminado que resulta óptimo para el modelo de Firebox. Puede aumentar o
reducir este límite mediante las flechas adyacentes a Tamaño máximo de archivo VOD para
escanear.
modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los límites de escaneo de la
VOD en la página 602.
VOD utiliza el valor mayor de los tamaños de archivo máximos configurados para la VOD o el spamBlocker.
Si el valor global para spamBlocker del campo Tamaño máximo de archivo para escanear configurado en ,
pestaña Configuración es mayor que el valor de Tamaño máximo de archivo VOD para escanear, VOD
utilizará el valor global para spamBlocker. Para obtener información acerca de la configuración global de
spamBlocker, consulte Configure los parámetros globales de spamBlocker en la página 597.
En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlocker
realice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detection
para una política en la página 593.

Acerca de spamBlocker y los límites de escaneo de la VOD
spamBlocker escanea cada archivo hasta un conteo de kilobytes específico. Todos los bytes adicionales en el
archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionar
un efecto considerable en el rendimiento. Los límites de escaneo predeterminado y máximo son diferentes
para cada modelo de dispositivo WatchGuard.
Límites de escaneo del archivo por modelo de dispositivo WatchGuard,

en kilobytes
Modelo Mínimo Máximo Predeterminado
Firebox X Edge e-Series 1 40 40
Firebox X Core e-Series 1 2000 60
Firebox X Peak e-Series 1 2000 100
WatchGuard XTM XTM Serie 2 1 1000 60
WatchGuard XTM 5 Series 1 2000 100
WatchGuard XTM 8 Series 1 2000 100
WatchGuard XTM 1050 1 2000 100
Para obtener información acerca de cómo configurar el tamaño máximo del archivo a escanear mediante
spamBlocker y la VOD, consulte Configure los parámetros globales de spamBlocker en la página 597 y
Active y configure los parámetros de la Virus Outbreak Detection (VOD) en la página 601
Cree reglas para su lector de correo electrónico

Para utilizar la acción de Etiqueta en spamBlocker, lo mejor es que configure su lector de correo
electrónico para clasificar los mensajes. La mayoría de los lectores de correo electrónico, como Outlook,
Thunderbird y Mac Mail, le permiten configurar reglas que envían automáticamente los mensajes de correo
electrónico etiquetados a una subcarpeta. Algunos lectores de correo electrónico además permiten crear
una regla para eliminar los mensajes automáticamente.
Como puede utilizar una etiqueta diferente para cada categoría de spamBlocker, puede configurar una
regla diferente para cada categoría. Por ejemplo, puede configurar una regla para trasladar todos los
mensajes de correo electrónico que contengan la etiqueta ***MASIVO*** en la línea de asunto a una
subcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todos
los mensajes de correo electrónico que contengan la etiqueta ***SPAM*** en la línea de asunto.
Para obtener instrucciones acerca de cómo configurar el cliente de correo electrónico Microsoft Outlook,
consulte Enviar correos electrónicos spam o masivos a carpetas especiales en Outlook en la página 603.
Para obtener información acerca de cómo utilizar este procedimiento en otros tipos de clientes de correo
electrónico, consulte la documentación del usuario de esos productos.

Nota Si utiliza spamBlocker con el proxy SMTP, puede hacer que los correos electrónicos
spam se envíen al Quarantine Server. Para obtener más información sobre el
Quarantine Server, consulte Página Acerca de Quarantine Server en la página 635.
Enviar correos electrónicos spam o masivos a carpetas

especiales en Outlook
Este procedimiento le muestra los pasos para crear reglas para los correos electrónicos masivos y
sospechosos en Microsoft Outlook. Puede hacer que los correos electrónicos que contienen las etiquetas
“spam” o “masivo” se envíen directamente a carpetas especiales en Outlook. Cuando cree estas carpetas,
mantendrá los correos electrónicos que posiblemente sean spam fuera de sus carpetas habituales de
Outlook pero podrá acceder a ellos si fuera necesario.
Antes de comenzar, asegúrese de configurar spamBlocker para agregar una etiqueta a los correos
electrónicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas.
Los siguientes pasos describen cómo crear carpetas con las etiquetas predeterminadas.
1. En su bandeja de entrada de Outlook, seleccione Herramientas > Reglas y alertas.

2. Haga clic en Nueva regla para iniciar el asistente Reglas.
3. Seleccione Comenzar desde una regla en blanco.
4. Seleccione Comprobar los mensajes cuando llegan. Haga clic en Siguiente.
5. Seleccione la casilla de verificación de condición: con palabras específicas en el asunto. Luego, en
el panel inferior, edite la descripción de la regla haciendo clic en especificar.
6. En el cuadro de diálogo Buscar texto, ingrese la etiqueta de spam como ***SPAM*** . Si utiliza una
etiqueta personalizada, ingrésela aquí en lugar de la anterior.
7. Haga clic en Agregar y luego haga clic en OK.
9. El asistente le pregunta qué desea hacer con el mensaje. Seleccione la casilla de verificación
moverlo a la carpeta especificada. Luego, en el panel inferior, haga clic en especificada para
seleccionar la carpeta de destino.
10. En el cuadro de diálogo Elegir una carpeta, haga clic en Nueva.
11. En el campo de nombre de la carpeta, ingrese Spam . Haga clic en OK.
12. Haga clic en Siguiente dos veces.
13. Para completar la configuración de la regla, ingrese un nombre para su regla de spam y haga clic en
Terminar.
14. Haga clic en Aplicar.
Repita estos pasos para crear una regla para el correo electrónico masivo, utilizando la etiqueta correo
electrónico masivo. Puede enviar el correo electrónico masivo a la misma carpeta o crear una carpeta
independiente para el correo electrónico masivo.

Enviar un informe acerca de falsos positivos o
falsos negativos
Un mensaje de correo electrónico falso positivo es un mensaje legítimo que spamBlocker identifica
incorrectamente como spam. Un mensaje de correo electrónico falso negativo es un mensaje de spam que
spamBlocker no identifica correctamente como spam. Si encuentra un mensaje de correo electrónico falso
positivo o falso negativo, puede enviar un informe directamente a Commtouch. También puede enviar un
informe acerca de un falso positivo para un mensaje de correo electrónico masivo solicitado. Éste es un
mensaje que spamBlocker identifica como correo masivo cuando un usuario en realidad solicitó el mensaje
de correo electrónico.
Nota No envíe un informe acerca de un falso positivo cuando el correo electrónico fue
asignado a la categoría Sospechoso. Como ésta no es una categoría permanente,
Commtouch no investiga los informes de error de spam sospechoso.
Debe tener acceso al mensaje de correo electrónico para enviar un informe de falso positivo o falso
negativo a Commtouch. También debe conocer la categoría (Spam confirmado, Masivo) en la cual
spamBlocker colocó el mensaje de correo electrónico. Si no conoce la categoría, consulte la sección
"Buscar la categoría a la cual está asignado un mensaje" a continuación.
1. Guarde el mensaje de correo electrónico como un archivo .msg o .eml.

No puede reenviar el correo electrónico inicial porque Commtouch debe ver el encabezado del
correo electrónico. Si utiliza un software de correo electrónico como Microsoft Outlook o Mozilla
Thunderbird, puede arrastrar y soltar el mensaje de correo electrónico hasta una carpeta en el
escritorio de la computadora. Si utiliza un software de correo electrónico que no tiene la función de
arrastrar y soltar, debe seleccionar Archivo > Guardar como para guardar el mensaje de correo
electrónico en una carpeta.
2. Cree un mensaje de correo electrónico nuevo destinado a:
reportfp@blockspam.biz para los falsos positivos
reportfn@blockspam.biz para los falsos negativos
reportso@blockspam.biz para los correos electrónicos masivos solicitados que se detectan como
falsos positivos
3. Ingrese lo siguiente en la línea de asunto de su mensaje de correo electrónico:
Informe de FP <Your Company Name> <Date of submission> para los falsos positivos
Informe de FN <Your Company Name> <Date of submission> para los falsos negativos
Informe de FP <Your Company Name> <Date of submission> para los correos electrónicos
masivos solicitados que se detectan como falsos positivos
4. Adjunte el archivo .msg o .eml al mensaje de correo electrónico y envíelo.
Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos en
un archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip sólo se puede comprimir
un nivel para que Commtouch pueda analizarlo de manera automática.

Utilice el registro RefID en lugar de un mensaje de texto
Si desea enviarle un informe a Commtouch pero no puede enviar el mensaje de correo electrónico inicial
porque la información del mensaje es confidencial, puede utilizar el registro RefID desde el encabezado del
correo electrónico en su lugar. El registro RefID es el número de referencia de la transacción entre Firebox
y el Centro de detección de Commtouch.
spamBlocker le agrega un encabezado de X-WatchGuard-Spam-ID a cada correo electrónico. El encabezado

tiene este aspecto:
X-WatchGuard-Spam-ID: 0001.0A090202.43674BDF.0005-G-gg8BuArWNRyK9/VKO3E51A==
La larga secuencia de números y letras después de la parte X-WatchGuard-Spam-ID: del encabezado es
el registro RefID.
En lugar de adjuntar el correo electrónico inicial, coloque el registro de referencia en el cuerpo de su

mensaje de correo electrónico. Si tiene más de un mensaje de correo electrónico acerca del cual desea
enviar un informe, coloque cada registro RefID en una línea independiente.
Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook:
1. Abra el mensaje de correo electrónico en una ventana nueva o selecciónelo en Outlook.

2. Si abre el correo electrónico en una ventana independiente, seleccione Ver > Opciones.
Si resalta el correo electrónico en Outlook, haga clic con el botón derecho sobre el mensaje de
correo electrónico y seleccione Opciones.
Los encabezados aparecen en la parte inferior de la ventana Opciones de mensaje.
Para ver los encabezados de los correos electrónicos si utiliza Microsoft Outlook Express:
1. Abra el mensaje de correo electrónico en una ventana nueva o resáltelo en Outlook Express.
2. Si abre el correo electrónico en una ventana independiente, seleccione Archivo > Propiedades.
Si destaca el correo electrónico en Outlook Express, haga clic derecho sobre éste y seleccione
Propiedades.
3. Haga clic en la pestaña Detalles para ver los encabezados.
Para ver los encabezados de los correos electrónicos si utiliza Mozilla Thunderbird:
1. Abra los mensajes de correo electrónico en una ventana nueva.

2. Seleccione Ver > Encabezados > Todos.
Buscar la categoría a la cual está asignado un mensaje

Las etiquetas de los mensajes representan la única forma de saber a qué categoría está asignado un
mensaje. Cambie la acción a Agregar etiqueta de asunto y utilice una secuencia única de caracteres para
agregar al comienzo de la línea de asunto del correo electrónico. Para obtener más información acerca de
cómo utilizar las etiquetas de spamBlocker, consulte Acciones, etiquetas y categorías de spamBlocker en la
página 581.

34 La Defensa de reputación
activada
Acerca de la Defensa de reputación activada

En los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede utilizar la suscripción de
seguridad de Defensa de reputación activada (RED) para aumentar el desempeño y mejorar la seguridad de
su dispositivo XTM.
Nota La Defensa de reputación activada no se admite en los modelos Firebox X e-Series.
La RED de WatchGuard utiliza un servidor de reputación de WatchGuard basado en nube que asigna una
calificación de reputación entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED envía
la dirección web (o URL) solicitada al servidor de reputación de WatchGuard. El servidor de WatchGuard
responde con una calificación de reputación para esa URL. Sobre la base de la calificación de reputación y
de los umbrales configurados localmente, la RED determina si el dispositivo XTM debe eliminar el tráfico,
permitir el tráfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta el
rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputación buena o
mala reconocida.
Umbrales de reputación
Puede configurar dos umbrales de calificación de reputación:
n Umbral de reputación mala — Si la calificación de una URL supera el umbral de reputación Mala, el
proxy HTTP niega el acceso sin inspeccionar nada más.
n Umbral de reputación buena — Si la calificación de una URL es inferior al umbral de reputación
Buena y el Gateway AntiVirus está activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.
Si la calificación de una URL es igual o se encuentra entre los umbrales de reputación configurados y el
Gateway Antivirus está activado, el contenido es escaneado en busca de virus.

La Defensa de reputación activada
Calificaciones de reputación
La calificación de reputación de una URL se basa en los comentarios recolectados de dispositivos de todo el
mundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky y
AVG. La Defensa de reputación activada utiliza la inteligencia colectiva de la nube para mantener la
seguridad de la navegación por Internet y optimizar el rendimiento en la puerta de enlace.
Una calificación de reputación más cercana a 100 indica que es bastante probable que la URL contenga una
amenaza. Una calificación de reputación más cercana a 1 indica que es mucho menos probable que la URL
contenga una amenaza. Si el servidor de la RED no tiene una calificación previa para una dirección web
determinada, le asignará una calificación neutral de 50. La calificación de reputación cambia desde la
calificación predeterminada de 50 sobre la base de una cantidad de factores.
Estos factores pueden hacer que la calificación de reputación de una URL aumente, o se desplace hacia el 100:
n Resultados de escaneo negativos

n Resultados de escaneo negativos para un enlace remitido
Estos factores pueden hacer que la calificación de reputación de una URL disminuya, o se desplace hacia el 1:
n Múltiples escaneos limpios

n Escaneos limpios recientes
Las calificaciones de reputación pueden cambiar con el paso del tiempo. Para un mejor rendimiento, el
dispositivo XTM almacena las calificaciones de reputación de las direcciones web a las que se accedió
recientemente en una caché local.
Comentario sobre la Defensa de reputación activada

Si el Gateway AntiVirus está activado, puede elegir si desea enviar los resultados de los escaneos locales del
Gateway Antivirus al servidor de WatchGuard. También puede elegir si desea cargar los resultados de
escaneo del Gateway Antivirus en WatchGuard incluso si la Defensa de reputación activada no está activada
o no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor de
Defensa de reputación activada.
Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la
cobertura y precisión general de la Defensa de reputación activada.
Configurar la Defensa de reputación activada

Puede activar la Defensa de reputación activada (RED) para aumentar la seguridad y el rendimiento de las
políticas de proxy HTTP de su dispositivo XTM. No puede activar esta función en un dispositivo e-Series.
Antes de empezar
La Defensa de reputación activada es un servicio de suscripción. Antes de configurar la RED, debe Obtener
una tecla de función junto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en la
página 54.

Configurar la Defensa de reputación activada para una acción

de proxy
1. Seleccione Servicios de suscripción > Defensa de reputación activada.
Aparece la página de configuración de la Defensa de reputación activada, con una lista de acciones de proxy HTTP.
2. Seleccione una acción de proxy HTTP definida por el usuario y haga clic en Configurar. No puede
configurar la Defensa de reputación activada para las acciones de proxy predefinidas.
Aparece la configuración de la Defensa de reputación activada para esa acción de proxy.
3. Marque la casilla de selección Bloquear de inmediato las URL que tengan mala reputación para
bloquear el acceso a los sitios con calificaciones superiores al umbral de reputación Mala
configurado.

4. Marque la casilla de selección Derivar cualquier escaneo de virus configurado para las URL que
tengan buena reputación para hacer que el Gateway AntiVirus ignore los sitios que tengan una
calificación inferior al umbral de reputación Buena configurado.
5. Si desea activar una alarma para la acción, marque la casilla de selección Alarma para esa acción de
la RED. Si no desea utilizar la alarma, desmarque la casilla de selección Alarma para esa acción.
6. Si desea guardar los mensajes de registro de la acción, marque la casilla de selección Registro para
esa acción de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED,
limpie la casilla de selección Registro para esa acción.
Configurar los umbrales de reputación

Puede cambiar los umbrales de reputación en la configuración avanzada.
1. el cuadro de diálogo de configuración de la Defensa de reputación activada página, haga clic en

Avanzado.
Aparece el cuadro de diálogo Configuración Avanzada.
2. En el cuadro de texto Umbral de mala reputación, ingrese o seleccione la calificación de umbral

para la mala reputación.
El proxy puede bloquear el acceso a los sitios que tengan una reputación superior a este umbral.
3. En el cuadro de texto Umbral de buena reputación, ingrese o seleccione la calificación de umbral
para la buena reputación.
El proxy puede derivar el escaneo del Gateway AntiVirus para los sitios que tienen una calificación de
reputación inferior a este umbral.
4. Haga clic en Restaurar la configuración predeterminada si desea restablecer los umbrales de
reputación a los valores predeterminados.
5. Haga clic en Aceptar

Enviar los resultados de escaneo del Gateway

Antivirus a WatchGuard
Cuando activa la Defensa de reputación activada, la configuración predeterminada permite que su
dispositivo XTM envíe los resultados de los escaneos locales del Gateway AntiVirus a los servidores de
WatchGuard. Esta acción ayuda a mejorar los resultados de la Defensa de reputación activada para todos los
usuarios de Fireware XTM. Si tiene el Gateway AntiVirus, pero no tiene la Defensa de reputación activada,
aún así puede enviar los resultados de escaneo del Gateway AntiVirus a WatchGuard.
Para ver o cambiar la configuración de comentarios, seleccione Servicios de suscripción > Defensa de
reputación activada.
La casilla de selección Enviar resultados de escaneo cifrados a los servidores de WatchGuard para
mejorar la cobertura y precisión general controla el hecho de si el dispositivo XTM envía los resultados de
escaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de selección se marca de forma
predeterminada cuando configura la Defensa de reputación activada.
n Marque esta casilla de selección para enviar los resultados de escaneo del Gateway AntiVirus a
WatchGuard.
n Limpie esta casilla de selección si no desea enviar los resultados de escaneo del Gateway AntiVirus.
Le recomendamos que permita que el dispositivo XTM envíe los resultados de escaneo del antivirus a
WatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan a
mejorar la precisión de las calificaciones de reputación. Todo comentario enviado al servicio de Defensa de
reputación activada de WatchGuard será cifrado.


35 Gateway AntiVirus e Intrusion
Prevention
Acerca de las Gateway AntiVirus y prevención de

intrusiones
Los piratas informáticos pueden utilizar muchos métodos para atacar computadoras mediante Internet. Las
dos categorías principales de ataque son los virus y las intrusiones.
Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que se
autorreplican y colocan copias de sí mismos en otros códigos ejecutables o documentos de su
computadora. Cuando una computadora está infectada, el virus puede destruir archivos o registrar
pulsaciones.
Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidad
en una aplicación. Estos ataques son creados para dañar su red, obtener información importante o utilizar
sus computadoras para atacar otras redes.
Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/Intrusion
Prevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique y
evite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidores
proxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran las
características que hacen único a ese ataque de virus o intrusión. Estas características registradas se
conocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques de
intrusiones cuando son escaneados por el proxy.
Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos de
contenido configurados para ese proxy.
Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los
siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy

Gateway AntiVirus e Intrusion Prevention
HTTP: texto/*, imagen/*, audio/*, video/*, aplicación/javascript, aplicación/x-

javascript y aplicación/x-shockwave-flash. Los tipos de contenido aparecen en la
configuración de la acción de proxy del cliente HTTP para Edge, pero el Gateway
AntiVirus no escanea estos tipos de contenido.
El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm,
.lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME
(principalmente los mensajes de correo electrónico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash;
con soporte limitado).
Nota WatchGuard no puede garantizar que el Gateway AntiVirus/IPS pueda detener

todos los virus o todas las intrusiones o evitar los daños a sus sistemas o redes
causados por un ataque de virus o intrusiones.
Puede adquirir la actualización del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener más
información visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store o
comuníquese con su revendedor de WatchGuard.
Puede observar las estadísticas acerca de la actividad actual del Gateway AntiVirus y el servicio de Intrusion
Prevention en la página Panel de instrumentos > Servicios de suscripción, como se describe en Ver estado
de servicios de suscripción y actualizar firmas manualmente en la página 623.
Instale y actualice el Gateway AntiVirus/IPS

Para instalar el Gateway AntiVirus o el Intrusion Prevention Service, debe Obtener una tecla de función
junto a LiveSecurity en la página 52 y Agregar una tecla de función a su Firebox en la página 54.
En Internet, aparecen con frecuencia nuevos virus y métodos de intrusión. Para asegurarse de que el
Gateway AntiVirus/IPS le proporcione la mejor protección, debe actualizar las firmas con frecuencia. Puede
configurar el dispositivo WatchGuard para actualizar las firmas automáticamente desde WatchGuard, como
de describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. También
puede Ver estado de servicios de suscripción y actualizar firmas manualmente.
Acerca del Gateway AntiVirus/la Intrusion Prevention y las

políticas de proxy
El Gateway AntiVirus puede trabajar con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP de
Watchguard. La Intrusion Prevention puede trabajar con esos servidores proxy además de hacerlo con el
proxy DNS. Cuando activa el Gateway AntiVirus o la prevención de intrusiones, estos servidores proxy
examinan varios tipos de tráfico y realizan una acción especificada por usted, como abandonar la conexión
o bloquear el paquete y agregar su dirección de origen a la lista de Sitios bloqueados.
El Gateway AntiVirus y el IPS pueden escanear distintos tipos de tráfico conforme a con qué políticas de
proxy usted utiliza la característica:
n Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con métodos de
adjuntos de correo electrónico utilizados con frecuencia. También puede utilizar el Gateway
AntiVirus y el proxy SMTP para enviar correos electrónicos infectados con virus al Quarantine

Server. Para más informaciones, vea Página Acerca de Quarantine Server en la página 635 y
Configurado Gateway AntiVirus a colocar mensajes de correo electrónico en cuarentena en la
página 619.
n Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuarios
intentan descargar.
n Proxy de TCP-UDP: Este proxy escanea el tráfico en los puertos dinámicos. Reconoce el tráfico de
muchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxy
TCP-UDP luego envía el tráfico al proxy adecuado para escanearlo y detectar virus e intrusiones.
También puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajería instantánea (IM)
o punto a punto (P2P).
n Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados o
descargados.
n Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.
Cada proxy que utiliza el Gateway AntiVirus/IPS está configurado con opciones especiales para ese proxy.
Por ejemplo, las categorías de elementos que puede escanear son diferentes para cada proxy.
En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytes
especificado. El límite de escaneo predeterminado y los límites de escaneo máximos son diferentes para
cada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo de
kilobytes especificado. Esto permite que los archivos de gran tamaño pasen con un escaneo parcial.
Para obtener más información acerca de los límites de escaneo predeterminados y máximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus en la
página 620.
Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puede
activar las actualizaciones automáticas para el servidor del Gateway AntiVirus,
como se describe en Configurar el servidor de actualización del Gateway
AntiVirus/IPS en la página 622.
Configurar el servicio del Gateway AntiVirus

Puede configurar el Gateway AntiVirus para que trabaje con los servidores proxy SMTP, POP3, HTTP, FTP y
TCP-UDP de Watchguard.
Antes de activar el servicio del Gateway AntiVirus, debe:
1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor de
WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de función a su Firebox.
Configure el servicio del Gateway AntiVirus

1. Seleccione Servicios de suscripción > Gateway AntiVirus.
Aparece la página del Gateway AntiVirus.

2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración del
Gateway AntiVirus/IPS.
3. Para configurar acciones para una acción de proxy específica, seleccione una acción de proxy y haga
clic en Configurar. Para obtener información acerca de la configuración del Gateway AntiVirus,
consulte Configurar acciones del Gateway AntiVirus.
Configurar acciones del Gateway AntiVirus

Cuando activa el Gateway AntiVirus, debe configurar las medidas a tomar si se encuentra un virus o un
error en un mensaje de correo electrónico (mediante un servidor proxy SMTP o POP3), sitio web (proxy
HTTP) o archivo cargado o descargado (proxy FTP).
Las opciones para acciones de antivirus son:
Permitir
Permitir que el paquete se envíe al receptor, aunque el contenido incluya un virus.
Negar (sólo proxy FTP)
Niega el archivo y envía un mensaje de negación.

Bloquear (sólo servidores proxy SMTP y POP3)
Bloquear el adjunto. Es una buena opción para archivos que el dispositivo WatchGuard no puede
escanear. El usuario no puede abrir fácilmente un archivo bloqueado. Sólo el administrador puede
desbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente para
escanear el archivo y examinar el contenido del adjunto. Para aprender a desbloquear un archivo
bloqueado por el Gateway AntiVirus, consulte la ayuda de WatchGuard System Manager en
http://www.watchguard.com/help/docs/wsm/11/es-ES/Content/es-ES/services/gateway_av/av_
unlock_file_wsm.html.
Poner en cuarentena (sólo proxy SMTP)
Cuando utiliza el proxy SMTP con la suscripción de seguridad de spamBlocker, puede enviar los
mensajes de correo electrónico que contengan virus o posibles virus al Quarantine Server. Para
obtener más información sobre el Quarantine Server, consulte Página Acerca de Quarantine Server
en la página 635. Para obtener información sobre cómo configurar el Gateway AntiVirus para que
funcione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de
correo electrónico en cuarentena en la página 619.
Eliminar (sólo servidores proxy SMTP y POP3)
Elimina el adjunto y permite que se envíe el mensaje al destinatario.
Abandonar (no admitido en proxy POP3)
Descartar el paquete y descartar la conexión. No se envía información al origen del mensaje.
Bloquear (no admitido en proxy POP3)
Se bloquea el paquete y se agrega la dirección IP del remitente a la lista de sitios bloqueados.
Nota Si la configuración se define para permitir adjuntos, la configuración es menos

segura.
Configure las medidas del Gateway AntiVirus para una acción de proxy
1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > Gateway AntiVirus.
Aparece la página de configuración del Gateway AntiVirus.

2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuración del Gateway AntiVirus para las acciones de proxy predefinidas.
Aparece la configuración del Gateway AntiVirus para esa acción de proxy.

3. Seleccione la casilla de verificación Activar Gateway AntiVirus para activar el Gateway AntiVirus
para esta acción de proxy.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la acción que debe realizar el
dispositivo WatchGuard si se detecta un virus en un mensaje de correo electrónico, en un archivo o
en una página web. Consulte el comienzo de esta sección para obtener una descripción de las
acciones.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que debe
realizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntos
que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos
cifrados o archivos que utilizan un tipo de compresión no admitido por el Gateway AntiVirus como
los archivos Zip protegidos por contraseña. Consulte el comienzo de esta sección para obtener una
descripción de las acciones.
6. Si desea guardar los mensajes de registro de la acción, seleccione la casilla de verificación Registro
para la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta del
antivirus, desmarque la casilla de verificación Registro.
7. Si desea activar una alarma para la acción, seleccione la casilla de verificación Alarma para la
respuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma
para esa acción.
8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytes
adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos
muy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el límite de escaneo
de archivos en el campo Limitar el escaneo a primero
modelo de dispositivo WatchGuard, consulte Acerca de los límites de escaneo del Gateway AntiVirus
en la página 620.
Configure la notificación de alarma para las acciones del antivirus

Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al tráfico de
red.Si activa las alarmas para una acción del antivirus de proxy, también debe configurar el tipo de alarma
que desea utilizar en la política de proxy.
Para configurar el tipo de alarma que desea utilizar para una política de proxy:
1. Desde la Fireware XTM Web UI, seleccione Firewall > Políticas de firewall.
2. Haga doble clic sobre una política para editarla.
3. Haga clic en la pestaña Propiedades
4. Establezca la configuración de notificación como se describe en Determinar preferencias de registro
Configurado Gateway AntiVirus a colocar mensajes de correo

Para configurar el Gateway AntiVirus para que ponga correos electrónicos en cuarentena:

1. Cuando configura el Gateway AntiVirus (como se describe en Configurar acciones del Gateway
AntiVirus en la página 616), debe asegurarse de activar el Gateway AntiVirus para el proxy SMTP. El
proxy POP3 no admite el Quarantine Server.
2. Cuando configura las acciones que spamBlocker aplicará a las diferentes categorías de correo
electrónico (como se describe en Configurado spamBlocker en la página 583), asegúrese de
seleccionar la acción Poner en cuarentena por lo menos para una de las categorías. Cuando se
selecciona esta acción, se le solicita que configure el Quarantine Server si aún no lo ha hecho.
También puede seleccionar la acción Poner en cuarentena para los mensajes de correo electrónico
identificados por Virus Outbreak Detection como portadores de virus. Para más informaciones, vea
Configurar acciones de Virus Outbreak Detection para una política en la página 593.
Acerca de los límites de escaneo del Gateway AntiVirus

El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes específico. Todos los bytes adicionales
en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin
ocasionar un efecto considerable en el rendimiento. Los límites de escaneo predeterminado y máximo son
diferentes para cada modelo de dispositivo WatchGuard.
Límites de escaneo del archivo por modelo de dispositivo WatchGuard,

en kilobytes
Modelo Mínimo Máximo Predeterminado
Firebox X Edge e-Series 250 1024 250
Firebox X Core e-Series 250 20.480 1024
Firebox X Peak e-Series 250 30.720 1024
WatchGuard XTM XTM Serie 2 250 5120 512
WatchGuard XTM Serie 5 250 30.720 1024
WatchGuard XTM Serie 8 250 30.720 1024
WatchGuard XTM 1050 250 30.720 1024
Para obtener información acerca de cómo configurar el límite de escaneo, consulte Configurar acciones del
Gateway AntiVirus en la página 616.
Actualice la configuración del Gateway

AntiVirus/IPS
El dispositivo de WatchGuard tiene varias configuraciones para el motor del Gateway AntiVirus
independientemente de con qué proxy esté configurado para funcionar. Para más informaciones, vea
Establezca la configuración de descompresión del Gateway AntiVirus en la página 621.

Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Las firmas de
estos servicios no se actualizan automáticamente de manera predeterminada. Puede actualizar las firmas
de dos maneras:
n Configurar el servidor de actualización del Gateway AntiVirus/IPS para activar las actualizaciones
automáticas
n Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estado
de servicios de suscripción y actualizar firmas manualmente en la página 623.
Si utiliza un cliente antivirus de terceros

Si utiliza un servicio de antivirus de terceros en computadoras protegidas por su dispositivo WatchGuard,
podría tener problemas con las actualizaciones del servicio de terceros. Cuando el cliente de ese servicio
secundario intenta actualizar su base de datos de firmas en el puerto 80, el servicio de Gateway
AntiVirus/IPS de Watchguard, trabajando mediante el proxy HTTP, reconoce las firmas y las destruye antes
de que puedan descargarse al cliente. El servicio secundario no puede actualizar su base de datos. Para
evitar este problema, debe agregar Excepciones de proxy HTTP a la política que niega el tráfico de
actualización. Debe conocer el nombre de host de la base de datos de firmas del tercero. Luego, podrá
agregar ese nombre de host como una excepción permitida.
Establezca la configuración de descompresión del Gateway

AntiVirus
El Gateway AntiVirus puede escanear el interior de los archivos comprimidos si activa la descompresión en
la configuración del Gateway AntiVirus.
Aparece la página de configuración del Gateway AntiVirus.
Aparece la página Configuración global del Gateway AntiVirus.
3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificación Activar
descompresión. Seleccione o ingrese el número de niveles de descompresión que desea escanear.
Si activa la descompresión en un dispositivo Firebox X Core, Peak o WatchGuard XTM , le
recomendamos que mantenga la configuración predeterminada de los niveles de diagrama, a
menos que su organización deba utilizar un valor mayor. Si especifica un número mayor, es posible
que el dispositivo WatchGuard envíe el tráfico con demasiada lentitud. El Gateway AntiVirus admite
hasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valor
configurado en este campo, generará un error de escaneo para el contenido.
Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de
compresión que no admitimos como los archivos Zip protegidos por contraseña. Para configurar la
acción que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,

seleccione una acción para Cuando ocurre un error de escaneo en la categoría General de la
configuración de la política.
4. Haga clic en Restaurar la configuración predeterminada si desea restablecer la interfaz del usuario
a su configuración predeterminada.
Nota Le recomendamos no activar la descompresión en el dispositivo Firebox X Edge e-

Series porque esto puede reducir su rendimiento.
Configurar el servidor de actualización del Gateway

AntiVirus/IPS
El Gateway AntiVirus y el IPS utilizan el mismo servidor de actualización. Cuando configure el servidor de
actualización para el Gateway AntiVirus o para el IPS, la configuración se aplicará a ambos servicios.
O bien, seleccione Servicios de suscripción > IPS.
Aparece la página de configuración del Gateway AntiVirus o IPS.
3. Desde la lista desplegable Intervalo, ingrese el número de horas que debe transcurrir entre las
actualizaciones automáticas.
4. Las actualizaciones automáticas para el Gateway AntiVirus/IPS no están activadas de manera
predeterminada. Para activar las actualizaciones automáticas en el intervalo de actualización
seleccionado, haga clic en las casillas de verificación.

nSeleccione la casilla de verificación Firmas de prevención de intrusiones si desea que el

dispositivo WatchGuard descargue un nuevo juego de firmas IPS en el intervalo de
actualizaciones automáticas.
n Seleccione la casilla de verificación Firmas del Gateway AntiVirus si desea que el
dispositivo WatchGuard descargue un nuevo juego de firmas del Gateway AntiVirus en el

intervalo de actualizaciones automáticas.
5. No cambie la URL del servidor de actualizaciones para el Gateway AntiVirus o el IPS a menos que
WatchGuard le indique hacerlo. Si cambia la URL por accidente o incorrectamente, haga clic en
Restaurar para restablecer la configuración predeterminada.
Conéctese al servidor de actualizaciones mediante un servidor proxy HTTP

Si su dispositivo WatchGuard debe conectarse mediante un proxy HTTP para acceder al servidor de
actualizaciones del Gateway AntiVirus/IPS, debe agregar la información acerca del servidor proxy HTTP a la
configuración del Gateway AntiVirus/IPS.
1. Desde la página de configuración Gateway AntiVirus o IPS, haga clic en Configuración.
2. Seleccione la casilla de verificación Comunicarse con el servidor de actualizaciones del Gateway

AntiVirus/Intrusion Prevention mediante un servidor proxy HTTP.
3. Desde la lista desplegable Dirección del servidor, seleccione si desea identificar el servidor proxy
HTTP por nombre de host o dirección IP. Ingrese el nombre de host o la dirección IP en el campo
adjunto.
4. La mayoría de los servidores proxy HTTP reciben las solicitudes en el puerto 8080. Si su proxy HTTP
utiliza un puerto diferente, ingréselo en el campo Puerto del servidor.
5. Desde la lista desplegable Autenticación del servidor, seleccione el tipo de autenticación que utiliza
su servidor proxy HTTP. Seleccione Sin autenticación si su servidor proxy no requiere autorización.
Si su servidor proxy HTTP requiere autenticación NTLM o Básica, ingrese su nombre de usuario,
dominio de usuario y contraseña en los campos correctos.
Bloquee el acceso desde la red de confianza hacia el servidor de

actualización
Si no desea permitir que todos los usuarios de su red de confianza tengan acceso sin filtrar a la dirección IP
de la base de datos de firmas, puede utilizar un servidor interno en su red de confianza para recibir las
actualizaciones. Puede crear una nueva política de proxy HTTP con Excepciones de proxy HTTP o una
política de filtrado de paquetes HTTP que sólo permita el tráfico desde la dirección IP de su servidor interno
hacia la base de datos de firmas.
Ver estado de servicios de suscripción y actualizar firmas

manualmente
Los servicios de suscripción pueden configurarse para actualizar las firmas de manera automática, como se
describe en Configurar el servidor de actualización del Gateway AntiVirus/IPS en la página 622. También
puede actualizar las firmas de manera manual. Si las firmas del dispositivo WatchGuard no están
actualizadas, usted no está protegido de los últimos virus e intrusiones.

Para ver el estado del sistema de servicios de suscripción, desde la Fireware XTM Web UI, seleccione Panel
de instrumentos > Servicios de suscripción. La página de estado Servicios de suscripción muestra
estadísticas acerca de los servicios de suscripción. En esta página también puede ver información acerca de
la firma actualmente instalada y consultar si hay una nueva versión disponible.
Desde la página de estado Servicios de suscripción, haga clic en Actualizar para el servicio que desea
actualizar. El dispositivo WatchGuard descarga la actualización de firmas más reciente que se encuentre
disponible para el Gateway AntiVirus o el servicio de protección de intrusiones.
Para obtener más información acerca de los gráficos de esta página, consulte Monitorear su Firebox en la
página 365.
Configurar el Intrusion Prevention Service

El Intrusion Prevention Service (IPS) incluye un conjunto de firmas asociadas con comandos específicos o
texto que se encuentra en comandos, que podría ser perjudicial. El servicio de Intrusion Prevention trabaja
en forma conjunta con los servidores proxy SMTP, POP3, HTTP y FTP. Si no configuró estos servidores proxy,
se configurarán de manera automática cuando e el Gateway AntiVirus o IPS para ese protocolo.
Cuando el IPS bloquea una intrusión, el nombre de la intrusión aparece en el archivo de registro.
Para ver los datos del archivo de registro:
Seleccione Estado del sistema>Syslog.

Para encontrar las estadísticas generales del Gateway AntiVirus/IPS:
Seleccione Servicios de suscripción > Gateway AntiVirus.

O bien, seleccione Servicios de suscripción > IPS.
Para encontrar informes de tendencias del Gateway AntiVirus/IPS:
Seleccione Panel de instrumentos > Servicios de suscripción.
Antes de empezar
Antes de activar el Intrusion Prevention Service, debe:
1. Obtener una tecla de función del Gateway AntiVirus/IPS. Comuníquese con su revendedor de
WatchGuard o diríjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store.
2. Agregar una tecla de función a su Firebox.
Configurar el Intrusion Prevention Service

1. Seleccione Servicios de suscripción > IPS.
Aparece la página de configuración del IPS, con una lista de acciones de proxy.

2. Para actualizar la configuración global, haga clic en Configuración y Actualice la configuración del
Gateway AntiVirus/IPS.
3. Para configurar las acciones del Gateway AntiVirus para una acción de proxy específica, seleccione
una acción de proxy definida por el usuario y haga clic en Configurar.
No puede modificar la configuración del IPS para las acciones de proxy predefinidas.
Para obtener información acerca de la configuración del IPS, consulte Configurar acciones del IPS.

Configurar acciones del IPS
Puede utilizar la Web UI de Fireware XTM para configurar el IPS para una acción de proxy.

Aparece la página de configuración del IPS.
2. Seleccione una acción de proxy definida por el usuario y haga clic en Configurar. No puede
modificar la configuración del IPS para las acciones de proxy predefinidas.
Aparece la configuración del IPS para esa acción de proxy.

3. Para activar el IPS para esta acción de proxy, seleccione la casilla de verificación Activar la
prevención de intrusiones.
4. (sólo proxy TCP-UDP) Seleccione el Tipo de protección: Cliente o Servidor. Los puntos terminales
del cliente y el servidor tienen conjuntos de firmas diferentes.
Nota El IPS utiliza un conjunto de firmas diferente para proteger a los clientes que el que
utiliza para proteger a los servidores. El tipo de protección determina qué conjunto
de firmas utilizará el IPS con el proxy. En el caso de los servidores proxy DNS, FTP,
HTTP, SMTP y POP3, el tipo de protección se configura de manera automática. En
el caso del proxy TCP-UDP, puede configurar el tipo de protección como Cliente o
Servidor. Cliente es la opción predeterminada y suele ser la mejor opción.
5. (Sólo para servidores proxy HTTP y TCP-UDP) Para activar la protección contra el spyware,
seleccione la casilla de verificación Protección contra spyware.
En el caso del proxy TCP-UDP, sólo puede activar la protección contra spyware si seleccionó Cliente
como el tipo de protección. Cuando activa la protección contra spyware, el motor del IPS utiliza las
firmas de protección contra spyware del proyecto de fuente abierta denominado Emerging Threats
(Amenazas emergentes) además de las firmas del IPS.

Para obtener más información acerca del proyecto Emerging Threats, consulte
http://www.emergingthreats.net.
6. (Sólo proxy HTTP) Seleccione la casilla de verificación Escaneo del contenido del texto. Esto ofrece
una protección más potente pero puede reducir el rendimiento.
7. Para seleccionar las acciones que desea que el proxy realice para amenazas de diferentes niveles de
gravedad, en la lista Acción , seleccione una o más casillas de comprobación.
n AUTOBLOQUEAR: si el contenido coincide con una firma de un nivel de severidad igual o

superior al nivel de severidad de umbral que usted estableció, abandone la conexión y agregue
la dirección IP del emisor a la lista de sitios bloqueados. No puede seleccionar
AUTOBLOQUEAR para el proxy SMTP.
n ABANDONAR: si el contenido coincide con una firma de un nivel de severidad dentro del rango
de severidad que usted estableció, abandone la conexión. No se envía información al origen del
mensaje.
n PERMITIR (CON REGISTRO): permitir la transacción incluso si el contenido coincide con una
firma de un nivel de severidad dentro del rango de severidad que usted seleccionó. Las
transacciones que se realicen dentro de este rango de severidad se registrarán de manera
automática.
n PERMITIR (SIN REGISTRO): si configuró un valor que permite las amenazas sobre un nivel de
severidad mínima, las transacciones que alcancen un nivel de severidad inferior a ese número
se permitirán de manera automática y no serán registradas. Los números que aparecen en la
lista Severidad de amenaza para esta acción no pueden cambiarse.
Nota Si cambia el umbral de severidad mínimo para la acción PERMITIR (CON

REGISTRO) a un número superior a 1, todas las transacciones que coinciden con
una firma de amenaza de menor severidad se permitirán y no serán registradas.
8. Para configurar un nivel de severidad mínimo para las acciones de AUTOBLOQUEAR, ABANDONAR
o PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza, ingrese o seleccione el
número del umbral de severidad de amenaza para cada acción. Las amenazas de intrusos son
clasificadas en una escala de severidad creciente del 1 al 100. De manera predeterminada, todas las
amenazas se abandonan y los eventos se graban en el archivo de registro.
9. Para enviar un mensaje de registro por una acción de proxy, seleccione la casilla de verificación
Registro para la acción del IPS.
Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla de
verificación Registro.
8. Para activar una alarma para una acción de proxy, seleccione la casilla de verificación Alarma para la
acción del IPS.
Si no desea utilizar la alarma, desmarque la casilla de verificación Alarma para esa acción.

Establezca la configuración del IPS
Para establecer la configuración del IPS:

Aparece la página Configuración del IPS.
3. Haga clic en la pestaña Configuración y configure las actualizaciones automáticas de las Firmas de
Intrusion Prevention y el servidor de actualizaciones automáticas. Esta configuración se aplica tanto
al Gateway AntiVirus como al IPS.
Para obtener más información acerca de esta configuración, consulte Configurar el servidor de
actualización del Gateway AntiVirus/IPS en la página 622.
4. Haga clic en la pestaña Excepciones y cree excepciones a las firmas de prevención de intrusiones.
Para más informaciones, vea Configurado excepciones de firma en la página 633.


Configurado excepciones de firma
Cuando activa la característica del IPS en una política de proxy, ésta examina el tráfico para detectar
patrones de tráfico que coincidan con las firmas de intrusiones conocidas. Cuando ocurre una coincidencia
de firma del IPS, el dispositivo WatchGuard niega el contenido y se bloquea la intrusión. Si desea permitir el
tráfico bloqueado por la característica del IPS, puede buscar el número de identificación de la firma y
agregarla a la lista de excepciones del IPS.
Cada firma utilizada por el IPS tiene un número de ID único. Puede encontrar el número de ID de una firma
mediante la herramienta Firebox System Manager. Para obtener información acerca de cómo encontrar la
ID de una firma del IPS en el Firebox System Manager, consulte la ayuda de WatchGuard System Manager.
Agregue una excepción de firmas del IPS

1. Desde la Web UI de Fireware XTM, seleccione Servicios de suscripción > IPS.
Aparece la página de configuración del IPS.
Aparece la página Configuración del IPS.
3. Haga clic en la pestaña Excepciones.

Aparece la lista de excepciones del IPS.
4. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clic
en Agregar.

39 Quarantine Server
Página Acerca de Quarantine Server

El WatchGuard Quarantine Server ofrece un mecanismo seguro para poner en cuarentena cualquier
mensaje de correo electrónico que se sospeche o se sepa que es spam o contiene virus. El Quarantine
Server es un depósito para los mensajes de correo electrónico que el proxy SMTP decide poner en
cuarentena sobre la base del análisis de spamBlocker o del Gateway AntiVirus. El control granular le
permite configurar preferencias de eliminación de correos, asignación de almacenamiento y otros
parámetros.
Nota El proxy SMTP requiere un Quarantine Server si lo configura para poner en

cuarentena los correos electrónicos que spamBlocker clasifique como spam o si
configura el Gateway AntiVirus para poner en cuarentena los correos electrónicos
de una categoría específica.
El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Los
usuarios reciben notificaciones periódicas por correo electrónico del Quarantine Server cuando tienen
correos electrónicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace que
aparece en el mensaje de correo electrónico para dirigirse al sitio web del Quarantine Server. En el sitio
web del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrónico
sospechosos. Desde correo electrónico spam, el usuario puede liberar los mensajes de correo electrónico
que desee recibir en su bandeja de entrada y eliminar los demás mensajes. Los administradores pueden
configurar el Quarantine Server para eliminar automáticamente los futuros mensajes de un dominio o
emisor específico, o aquellos que contengan un texto específico en la línea de asunto.
El administrador puede ver estadísticas acerca de la actividad del Quarantine Server, como por ejemplo, la
cantidad de mensajes en cuarentena durante un intervalo de fechas específico y la cantidad de mensajes
que posiblemente sean spam.
El proxy SMTP agrega los mensajes a diferentes categorías sobre la base de los análisis realizados por
spamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para los
mensajes en cuarentena:

Quarantine Server
n Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente información para decidir con
seguridad.
n Spam confirmado: El mensaje es spam.
n Masivo: El mensaje fue enviado como correo electrónico masivo comercial.
n Virus: El mensaje contiene un virus.
n Posible virus: Es posible que el mensaje contenga un virus, pero no hay suficiente información para
decidir con seguridad.
Usted instala el Quarantine Server como parte de la instalación de WatchGuard System Manager.
Para aprender a configurar un Quarantine Server, consulte la Guía del usuario de WSM en
Configure Firebox para que ponga correos

electrónicos en cuarentena
Después de instalar y configurar el Quarantine Server, deberá actualizar la configuración de Firebox para
utilizar el Quarantine Server.
Esta acción requiere dos pasos:
1. Configurar la dirección IP del Quarantine Server como se describe en Definir la ubicación del
Quarantine Server en Firebox en la página 636.
2. Configurar las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP ponga
correos electrónicos en cuarentena.
Para más informaciones, vea Configure spamBlocker para colocar mensajes de correo electrónico en
cuarentena en la página 595, y Configurado Gateway AntiVirus a colocar mensajes de correo
electrónico en cuarentena en la página 619.
Definir la ubicación del Quarantine Server en

Firebox
Debe definir la ubicación del Quarantine Server en la configuración de Firebox. Firebox envía los mensajes
de correo electrónico que deben ponerse en cuarentena al Quarantine Server ubicado en esta dirección IP.
1. Desde la Web UI (interfaz de usuario) de Fireware XTM, seleccione Servicios de suscripción >
Quarantine Server.
Aparece la página de configuración del Quarantine Server.

Quarantine Server
2. Ingrese la dirección IP del Quarantine Server. Le recomendamos que no cambie el puerto del
Quarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support.

Quarantine Server

Guia de Usuario Firebox

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Guia de Usuario Firebox

Caricato da

Copyright:

Formati disponibili

Fireware XTM Web UI v11.

3 Guía del Usuario

Guía revisada: 15 de julio de 2010

Información sobre copyright, marcas comerciales y patentes

Nota Este producto es sólo para uso interno.

Acerca de redes y seguridad de red 1

Acerca de las conexiones a Internet 1

Acerca de los Protocolos 2

Acerca de las Direcciones IP 3

Direcciones privadas y puertas de enlace 3

Acerca de las máscaras de subred 3

Acerca de las Notación diagonal 3

Acerca del ingreso de Direcciones IP 4

estáticas y dinámicas Direcciones IP 4

Acerca de las DNS (sistema de domain name) 5

Acerca de servicios y políticas 7

El dispositivo WatchGuard y la red 8

Introducción a Fireware XTM 11

Introducción a Fireware XTM 11

Componentes de Fireware XTM 12

el WatchGuard System Manager 12

WatchGuard Server Center 13

Fireware XTM Web UI e interfaz de la línea de comandos 14

Fireware XTM con Actualización Pro 14

Acerca de las Soporte de WatchGuard 17

LiveSecurity® Service Gold 18

Expiración del servicio 19

Verificar componentes básicos 21

Guía del Usuario iii

Recoger direcciones de red 22

Seleccione un modo configuración de firewall 23

Acerca del Quick Setup Wizard 24

Ejecutar el Web Setup Wizard 24

Conéctese al Fireware XTM Web UI 28

Conectarse a la Fireware XTM Web UI desde una red externa 29

Acerca del Fireware XTM Web UI 30

Seleccione el idioma de Fireware XTM Web UI 31

Limitaciones de la Fireware XTM Web UI 31

Personalizar su política de seguridad 33

Acerca de las LiveSecurity Service 33

Temas adicionales de instalación 33

Conéctese a un Firebox con Firefox v3 33

Identificar sus configuraciones de red 35

Configure su equipo para conectarse a su dispositivo WatchGuard 37

Desactive el proxy de HTTP en el explorador 39

Información básica sobre configuración y administración 41

Acerca de las tareas básicas de configuración y administración 41

Hacer una copia de seguridad de la imagen de Firebox 41

Restaurar imagen de copia de seguridad de Firebox 42

Acerca de la unidad USB 42

Guardar una imagen de respaldo en una unidad USB conectada 42

Restaurar una imagen de respaldo desde una unidad USB conectada 43

Restaurar automáticamente una imagen de respaldo desde un dispositivo USB 44

Estructura del directorio de la unidad USB 46

Guardar una imagen de respaldo en una unidad USB conectada a su de administración 46

Restablecer un dispositivo Firebox o XTM a una configuración anterior o nueva 48

Iniciar un dispositivo Firebox o XTM en modo seguro 48

Ejecutar el Quick Setup Wizard 49

Acerca de las configuraciones predeterminadas de fábrica 49

Acerca de las teclas de función 51

Cuando compra una nueva función 51

Ver las funciones disponibles con la actual tecla de función 51

Obtener una tecla de función junto a LiveSecurity 52

Agregar una tecla de función a su Firebox 54