v11 3 WSM UserGuide (Es-419)

WatchGuard System Manager v11.
3 Gua del Usuario

Fireware XTM
WatchGuard System Manager
v11.3 Gua del Usuario
WatchGuard XTMDevices
Firebox XPeak e-Series
Firebox XCore e-Series
Firebox XEdge e-Series
ii WatchGuard System Manager
Acerca de esta Gua del usuario
La Gua del usuario del WatchGuard System Manager del Fireware XTMse actualiza con cada lanzamiento
de producto importante. Para lanzamientos de productos menores, slo se actualiza el sistema de Ayuda
del WatchGuard System Manager del Fireware XTM. El sistema de Ayuda tambin incluye ejemplos de
implementacin especficos, basados en tareas que no estn disponibles en la Gua del usuario.
Para acceder a la documentacin del producto ms reciente, consulte la Ayuda del WatchGuard System
Manager del Fireware XTMen el sitio web de WatchGuard en:
http://www.watchguard.com/help/documentation/.
La informacin de esta gua est sujeta a cambios sin previo aviso. Las empresas, los nombres y los datos
utilizados en los ejemplos de este documento son ficticios, salvo indicacin en contrario. Ninguna parte de
esta gua podr reproducirse ni transmitirse en ninguna forma y por ningn medio, electrnico o mecnico,
para ningn propsito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.
Gua revisada: 15 de julio de 2010
Informacin sobre copyright, marcas comerciales y patentes
Copyright 19982010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas o
nombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivos
dueos.
En la Gua de copyright y licencias podr encontrar informacin completa sobre copyright, marcas
comerciales, patentes y licencias. Puede consultar este documento en el sitio web:
http://www.watchguard.com/help/documentation/
Nota Este producto es slo para uso interno.
Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todo
en uno a un precio accesible, las cuales ofrecen proteccin en
profundidad y ayudan a satisfacer los requisitos de cumplimiento
reglamentarios. La lnea WatchGuard XTMcombina firewall, VPN,
GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red de
spam, virus, malware e intrusiones. La nueva lnea XCS ofrece
seguridad para contenido web y correo electrnico combinada con
prevencin de prdida de datos. Las soluciones extensibles de
WatchGuard se adaptan para ofrecer seguridad en la medida justa,
desde pequeas empresas hasta empresas con ms de 10,000
empleados. WatchGuard crea dispositivos de seguridad simples,
confiables y slidos que incluyen rpida implementacin,
administracin integral y herramientas para la presentacin de
informes. Empresas del mundo entero confan en nuestras exclusivas
cajas rojas para maximizar la seguridad sin sacrificar la eficiencia y la
productividad.
Para obtener ms informacin, comunquese al 206.613.6600 o visite
www.watchguard.com.
Direccin
505Fifth Avenue South
Suite 500
Seattle, WA98104
Soporte
www.watchguard.com/support
EE.UU. y Canad +877.232.3531
Todos los dems pases +1.206.521.3575
Ventas
EE.UU. y Canad +1.800.734.9905
Todos los dems pases +1.206.613.0895
Gua del Usuario iii
ndice
Introduccin a la seguridad de red 1
Acerca de redes y seguridad de red 1
Acerca de las conexiones a Internet 1
Acerca de los Protocolos 2
Acerca de las Direcciones IP 3
Direcciones privadas y puertas de enlace 3
Acerca de las mscaras de subred 3
Acerca de las Notacin diagonal 3
Acerca del ingreso de Direcciones IP 4
estticas y dinmicas Direcciones IP 4
Acerca de las DNS (sistema de domain name) 5
Acerca de firewall 6
Acerca de servicios y polticas 7
Acerca de puertos 8
Introduccin a Fireware XTM 9
Introduccin a Fireware XTM 9
Componentes de Fireware XTM 10
el WatchGuard System Manager 10
WatchGuard Server Center 11
Fireware XTMWeb UI e interfaz de la lnea de comandos 12
Fireware XTMcon Actualizacin Pro 12
Servicio y soporte 15
Acerca de las Soporte de WatchGuard 15
LiveSecurity Service 15
LiveSecurity Service Gold 16
Expiracin del servicio 17
Introduccin 19
Antes de empezar 19
Verificar componentes bsicos 19
Obtener tecla de funcin del dispositivo WatchGuard 19
Recoger direcciones de red 20
Seleccione un modo configuracin de firewall 21
Decidir dnde instalar el software del servidor 22
Instale el software WatchGuard System Manager 22
Haga una copia de seguridad de su configuracin anterior 23
Descargar WatchGuard System Manager 23
Acerca de niveles de cifrado de software 24
Acerca del Quick Setup Wizard 25
Ejecutar el Web Setup Wizard 25
Ejecutar el Quick Setup Wizard del WSM 29
Concluya su instalacin 31
Personalizar su poltica de seguridad 31
Acerca de las LiveSecurity Service 32
Iniciar el WatchGuard System Manager 32
Se conecte a un dispositivo WatchGuard 32
Comenzar aplicaciones de seguridad 34
Temas adicionales de instalacin 36
Instale el WSMy mantenga una versin ms antigua 36
Instalar Servidores de WatchGuard en equipos con firewalls de escritorio 36
Soporte de IP dinmico en la interfaz externa 36
Acerca de la conexin de cables del Firebox de Firebox 37
Conctese a un Firebox con Firefox v3 37
Desactive el proxy de HTTP en el explorador 39
Buscar las propiedades TCP/IP 40
Informacin bsica sobre configuracin y administracin 43
Acerca de las tareas bsicas de configuracin y administracin 43
Acerca de los archivos de configuracin 43
Abrir un archivo de configuracin 44
Crear un nuevo archivo de configuracin 46
Guardar el archivo de configuracin 46
Hacer una copia de seguridad de la imagen de Firebox 47
Restaurar imagen de copia de seguridad de Firebox 48
iv WatchGuard System Manager
Gua del Usuario v
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 49
Acerca de la unidad USB 49
Guardar una imagen de respaldo en una unidad USB conectada 49
Restaurar una imagen de respaldo desde una unidad USB conectada 50
Restaurar automticamente una imagen de respaldo desde un dispositivo USB 51
Estructura del directorio de la unidad USB 53
Guardar una imagen de respaldo en una unidad USB conectada a su equipo de administracin 53
Usar una configuracin existente para un nuevo modelo de Firebox 54
Configure un Firebox de reemplazo 56
Guardar la configuracin del Firebox original en un archivo 56
Obtener la tecla de funcin para el Firebox de reemplazo 57
Usar el Quick Setup Wizard para realizar las configuraciones bsicas 57
Actualizar la tecla de funcin en el archivo de configuracin del Firebox original y guardarla en el
nuevo Firebox 57
Restablecer un dispositivo Firebox o XTMa una configuracin anterior o nueva 58
Iniciar un dispositivo Firebox o XTMen modo seguro 58
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM2 Series a las
configuraciones predeterminadas de fbrica 59
Ejecutar el Quick Setup Wizard 59
Acerca de las configuraciones predeterminadas de fbrica 59
Acerca de las teclas de funcin 61
Cuando compra una nueva funcin 61
Ver las funciones disponibles con la actual tecla de funcin 61
Verificar conformidad con tecla de funcin 62
Obtener una tecla de funcin junto a LiveSecurity 63
Agregar una tecla de funcin a su Firebox 64
Vea los detalles de una tecla de funcin 66
Descargar un tecla de funcin 67
Activar NTP y agregar servidores NTP 68
Definir la zona horaria y las propiedades bsicas del dispositivo 68
Acerca del SNMP 70
Sondeos y capturas SNMP 70
Activar Sondeo de SNMP 70
Activar Capturas y estaciones de administracin de SNMP 72
Acerca de las Bases de Informacin de Administracin (MIBs) 74
Acerca de las frases de contrasea, claves de cifrado y claves compartidas de WatchGuard 75
Crear una contrasea, una clave de cifrado o una clave compartida segura 75
Frases de contrasea de Firebox 75
Frases de contrasea de usuario 76
Frases de contrasea del servidor 76
Claves de cifrado y claves compartidas 76
Alterar frases de contrasea de Firebox 77
Acerca de los alias 78
Miembros de alias 78
Crear un alias 78
Defina las configuraciones globales del Firebox 80
Defina las configuraciones globales de administracin de errores ICMP 81
Habilitar la comprobacin TCP SYN 83
Definir las configuraciones globales de ajuste de tamao mximo del segmento TCP 83
Activar o desactivar la administracin de trfico y QoS 83
Cambiar el puerto Web UI 83
Reinicio automtico 84
Consola externa 84
Administrar un Firebox desde una ubicacin remota 84
Ubicaciones de los archivos del WatchGuard System Manager 86
Ubicaciones de archivos creados por usuarios y aplicaciones 87
Actualizar para una nueva versin del Fireware XTM 88
Instalar la actualizacin en su equipo administrado 88
Actualizar el Firebox 89
Usar mltiples versiones del Policy Manager 89
Acerca de las opciones de actualizacin 90
Actualizaciones de Servicios de Suscripcin 90
Actualizaciones de dispositivos y software 90
Como aplicar una actualizacin 91
vi WatchGuard System Manager
Gua del Usuario vii
Renovar suscripciones de seguridad 91
Renueve las suscripciones desde Firebox System Manager 92
Configuracin de red 93
Acerca de las configuracin de interfaz de red 93
Modos de red 93
Tipos de interfaz 94
Acerca de las interfaces de red en el Edge e-Series 95
Modo de enrutamiento combinado 96
Configurar una interfaz externa 96
Configurar el DHCP en modo de enrutamiento mixto 100
Pgina Acerca de Servicio DNS dinmico 103
Usar DNS dinmico 103
Acerca de la configuracin de red en modo directo 104
Utilizar modo directo para la configuracin de la interfaz de red 105
Configurar host relacionados 106
Configurar DHCP en modo directo 107
Modo Bridge 110
Configuraciones de interfaz comunes 111
Desactivar una interfaz 113
Configurar retransmisin de DHCP 114
Restringir el trfico de red mediante la direccin MAC 114
Agregar servidores WINS y Direcciones del servidor DNS 115
Configurar una secondary network 116
Acerca de la Configuraciones de interfaz 117
Configuracin de tarjeta de interfaz de red (NIC) 118
Configurar el ancho de banda de interfaz saliente 119
Determinar No fragmentar bit IPSec 120
Configuracin de la ruta de unidad de transmisin mxima (PMTU) para IPSec 121
Usar vnculo de direccin MAC esttico 121
Buscar la direccin MAC de una computadora 122
Acerca de los puentes LAN 122
Crear una configuracin de puente de red. 122
Asignar una interfaz de red a un puente. 124
Acerca de 126
Agregue una ruta esttica 126
Acerca de redes virtuales de rea local (VLAN) 127
Requisitos y restricciones de la VLAN 127
Acerca de las etiquetado 128
Definir un nuevo (red de rea local virtual) 128
Asignar interfaces a (red de rea local virtual) 131
Ejemplos de configuracin de red 132
Ejemplo: Configurar dos VLAN con la misma interfaz 132
Use Firebox X Edge con el bridge inalmbrico 3G Extend 137
WAN mltiple 139
Acerca de usar mltiples interfaces externas 139
Requisitos y condiciones de WAN mltiple 139
WAN mltiple y DNS 140
WAN mltiple y FireCluster 140
Acerca de las opciones de WAN mltiple 140
Orden de operacin por turnos 140
Conmutacin por error 141
Desbordamiento en la interfaz 141
Tabla de enrutamiento 142
Mdem serie (solamente Firebox XEdge) 142
Configurar la opcin de operacin por turnos de WAN mltiple 143
Antes de empezar 143
Configurar interfaces 143
Descubra cmo asignar pesos a interfaces 145
Configurar la opcin de conmutacin por error de WAN mltiple 145
Configurar WAN mltiple Opcin de desbordamiento en la interfaz 146
viii WatchGuard System Manager
Gua del Usuario ix
Configurar WAN mltiple opcin tabla de enrutamiento 148
Modo de tabla de enrutamiento y balance de carga 148
Acerca de la tabla de enrutamiento de Firebox 149
Cuando usar los mtodos de WAN mltiple y enrutamiento 150
Conmutacin por error de mdem serie 151
Activar conmutacin por error de mdem serial 151
Configuraciones de la cuenta 152
Configuraciones de DNS 152
Configuracin de marcado 153
Configuraciones avanzadas 153
Configuracin de "Monitor de enlace" 154
Acerca de la configuracin avanzada de WAN mltiple 155
Acerca de las sticky connections 155
Define una duracin de sticky connection global 155
Definir accin de failback 156
Acerca del Estado de la interfaz de WAN 157
Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 157
Definir un host de monitor de enlace 158
Traduccin de direccin de red (NAT) 161
Acerca de la Traduccin de direccin de red (NAT) 161
Tipos de NAT 161
Acerca de la dinmica basada en polticas 162
Agregar firewall a entradas de NAT dinmicas 162
Configurar NAT dinmica basada en polticas 164
Acerca de las 1-to-1 NAT 166
Acerca de 1-to-1 NAT y VPN 167
Configurar el firewall 1-to-1 NAT 168
Configurar basado en polticas 1-to-1 NAT 170
Configurar el bucle invertido de NAT con NAT esttica 171
Agregar una poltica para bucle invertido de NAT al servidor 172
Bucle invertido de NAT y 1-to-1 NAT 173
Acerca de la NAT esttica 177
Configurar NAT esttica 178
Configurar Balance de carga en el servidor 179
Ejemplos de NAT 184
Ejemplo de 1-to-1 NAT 184
Configuracin inalmbrica 187
Acerca de la configuracin inalmbrica 187
Acerca de las configuracin del punto de acceso inalmbrico 188
Acerca de configuraciones 189
Activar/desactivar Broadcasts de SSID 190
Cambiar la SSID 191
Registro eventos de autenticacin 191
Cambiar la umbral de fragmentacin 191
Cambiar la Umbral de RTS 193
Acerca de configuraciones de seguridad 194
Definir inalmbricos mtodo de autenticacin 194
Definir nivel de cifrado 194
Habilitar conexiones inalmbricas a la red opcional o de confianza 195
Activar una red inalmbrica para invitados 198
Activar un hotspot inalmbrico 201
Establecer la configuracin del tiempo de espera 202
Personalizar la pantalla de presentacin del hotspot 202
Conctese a un hotspot inalmbrico 204
Consulte Conexiones hotspot inalmbricas 205
Configurar la interfaz externa como interfaz inalmbrica 206
Configurar la interfaz externa principal como interfaz inalmbrica 206
Configurar un tnel BOVPN para seguridad adicional 208
Acerca de configuraciones de radio en Firebox XEdge e-Series inalmbrico 209
Configurar la regin operativa y el canal 209
Definir modo de operacin inalmbrica 210
x WatchGuard System Manager
Gua del Usuario xi
Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico WatchGuard
XTM2 Series 211
El pas se configura automticamente 212
Seleccionar el modo de banda y el modo inalmbrico 213
Seleccionar el canal 214
Configurar la de red invitada inalmbrica en su computadora 214
Dynamic Routing 215
Acerca de dynamic routing 215
Acerca de archivos de configuracin de demonio de enrutamiento. 215
Acerca del Protocolo de Informacin de Enrutamiento (RIP) 216
Comandos del Protocolo de Informacin de Enrutamiento (RIP) 216
Configurar el Firebox para usar RIP v1 218
Configurar el Firebox para usar RIP v2 219
Muestra de archivo de configuracin del enrutamiento RIP 221
Acerca del Protocolo "Abrir Camino Ms Curto Primero" (OSPF) 223
Comandos de OSPF 223
Tabla de Costo de Interfaz de OSPF 226
Configurar el Firebox para usar OSPF 227
Muestra de archivo de configuracin del enrutamiento OSPF 229
Acerca del Border Gateway Protocol (BGP) 231
Comandos BGP 232
Configurar el Firebox para usar el BGP 234
Muestra de archivo de configuracin del enrutamiento BGP 236
FireCluster 239
Acerca del WatchGuard FireCluster 239
Estado del FireCluster 241
Acerca de la conmutacin por error de FireCluster 241
Eventos que desencadenan una conmutacin por error 241
Qu ocurre cuando sucede una conmutacin por error 243
Conmutacin por error y balance de carga del servidor del FireCluster 244
Monitorear el clster durante una conmutacin por error 244
Funciones no soportadas por FireCluster 244
Limitaciones de configuracin de red del FireCluster 244
Limitaciones de administracin de FireCluster 244
Acerca de la interfaz para direccinIP de administracin 245
Configurar la interfaz para direccin IP de administracin 245
Usar la interfaz para direccin IP de administracin para restaurar una imagen de copia de
seguridad 245
Usar la interfaz para direccin IP de administracin para actualizar desde una ubicacin externa
246
Configurar FireCluster 246
Requisitos y restricciones de FireCluster 246
Sincronizacin del clster y monitoreo del estado 247
Roles del dispositivo FireCluster 247
Pasos de la configuracin de FireCluster 248
Conectar el hardware de FireCluster 250
Requisitos de conmutador y enrutador para un FireCluster activo/activo 251
Usar el FireCluster Setup Wizard 257
Configurar el FireCluster manualmente 262
Encontrar las direcciones MAC de multidifusin para un clster activo/activo 268
ID de clster activo/pasivo y direccin MAC virtual 269
Monitorear y controlar miembros de FireCluster 270
Monitorear estado de miembros de FireCluster 271
Monitorear y controlar clster miembros 272
Descubra un miembro del clster 272
Forzar una conmutacin por error del clster principal 273
Reiniciar un clster miembro 274
Apagar un clster miembro 274
Conectarse a un miembro del cluster 275
Hacer que un miembro abandone un clster 276
Integrar un miembro a un clster 277
Remover o agregar un clster miembro 277
Agregar un nuevo dispositivo a un FireCluster 279
xii WatchGuard System Manager
Gua del Usuario xiii
Actualice la configuracin de FireCluster 279
Configurar notificacin y registro de FireCluster 279
Acerca de las teclas de funcin y el FireCluster 280
Ver las teclas de funcin y las Funciones de clster para un clster 281
Ver o actualizar la tecla de funcin para un clster miembro 282
Ver la tecla de funcin de FireCluster en el Firebox System Manager 283
Crear imagen de copia de seguridad de FireCluster 285
Recuperar una imagen de copia de seguridad de FireCluster 286
Hacer que el principal de resguardo abandone el clster 286
Restaurar la imagen de copia de seguridad en el principal de resguardo 286
Restaurar la imagen de copia de seguridad en el clster principal 286
Hacer que el principal de resguardo se reintegre al clster 287
Actualizar el Fireware XTMpara miembros del FireCluster 287
Desactivar FireCluster 288
Autenticacin 289
Acerca de la autenticacin de usuario 289
Usuario pasos de autenticacin 290
Administrar usuarios autenticados 291
Use la autenticacin para restringir el trfico entrante 292
Use la autenticacin a travs de un Firebox de puerta de enlace 293
Definir valores de autenticacin global 293
Definir tiempos de espera de autenticacin 294
Permitir mltiples inicios de sesin concomitantes 295
Limitar sesiones de inicio 295
Direccionar usuarios automticamente al portal de inicio de sesin 296
Usar una pgina de inicio predeterminada personalizada 297
Definir tiempos de espera de Sesin de Administracin 297
Activar Single Sign-On (SSO) 297
Acerca de la poltica de Autenticacin de WatchGuard (WG-Autoriz) 298
Acerca de Single Sign-On (SSO) 298
Configurar SSO 299
Instalar el agente de Single Sign-On (SSO) de WatchGuard 300
Instale el cliente de Single Sign-On (SSO) de WatchGuard 301
Activar Single Sign-On (SSO) 302
Tipos de servidores de autenticacin 304
Acerca de la utilizacin de servidores de autenticacin de terceros 304
Use un servidor de autenticacin de resguardo 305
Configure su Firebox como servidor de autenticacin 305
Tipos de autenticacin de Firebox 305
Definir un nuevo usuario para autenticacin en Firebox 308
Definir un nuevo grupo para autenticacin de Firebox 310
Configurar autenticacin de servidor RADIUS 310
Clave de autenticacin 311
Losmtodos de autenticacin de RADIUS 311
Usar la autenticacin por servidor RADIUS con su dispositivo WatchGuard 311
Como la autenticacin del servidor RADIUS funciona 313
Configurado autenticacin de servidor VASCO 316
Configurar autenticacin SecurID 317
Configurar autenticacin en Active Directory 319
Sobre la configuracin opcional del Active Directory 321
Encuentre su base de bsqueda del Active Directory 322
Alterar el puerto predeterminado de Active Directory Server 323
Configurar autenticacin LDAP 324
Acerca de las configuraciones opcionales de LDAP 326
Usar las configuraciones opciones de Active Directory o de LDAP 327
Especificar Configuraciones opcionales de LDAP o Active Directory 327
Use una cuenta de usuario local para autenticacin 330
Use los usuarios y grupos autorizados en polticas 331
Polticas 335
Acerca de polticas 335
Polticas de filtro de paquetes y proxy 335
xiv WatchGuard System Manager
Gua del Usuario xv
Acerca de cmo agregar polticas a Firebox 336
Acerca del Policy Manager 336
Abrir el Policy Manager 337
Cambiar la vista del Policy Manager 338
Cambiar colores utilizados para texto del Administrador de la poltica 340
Buscar una poltica por direccin, puerto o protocolo 341
Agregar polticas en la configuracin 342
Ver la lista de plantilla de polticas 343
Agregar una poltica de la lista de plantillas 344
Agregar ms de una poltica del mismo tipo 345
Ver detalles de plantilla y modificar plantillas de polticas 346
Desactivar o eliminar una poltica 346
Acerca de la precedencia de polticas 347
Orden de polticas automtico 347
Especificidad de la poltica y protocolos 348
Reglas de trfico 348
Acciones de firewall 349
Cronogramas 349
Nombres y tipos de polticas 349
Determinar precedencia manualmente 349
Crear Cronogramas para acciones de Firebox 349
Establecer un cronograma operativo 351
Acerca de las Polticas personalizadas 352
Cree o edite una plantilla de poltica personalizada. 352
Importar y exportar polticas personalizadas plantillas 354
Acerca de propiedades de polticas 354
Pestaa Poltica 355
Pestaa Propiedades 355
Pestaa Avanzada 355
Configuraciones de proxy 356
Definir reglas de acceso a una poltica 356
Configurar el enrutamiento basado en la poltica 359
Configurar un tiempo de espera inactivo personalizado 361
Determinar Administracin de errores ICMP 362
Aplicar reglas NAT 362
Defina la duracin de sticky connection para una poltica 363
Configuraciones de proxy 365
Acerca de las polticas de proxy y ALG 365
Configuracin de proxy 365
Proxy y AV alarmas 366
Acerca de las reglas y conjuntos de reglas 367
Acerca de las acciones de proxy 376
Utilizar tipos de contenido predefinidos 379
Acerca de las configuraciones de Application Blocker 379
Intrusion prevention en definiciones de proxy 383
Agregar una poltica de proxy a la configuracin 383
Acerca del DNS proxy 385
Proxy DNS: Configuraciones generales 387
Proxy DNS: OPCodes 387
Proxy DNS: Tipos de consulta 388
Proxy DNS: Nombres de consulta 390
Acerca de los registros de MX (Mail eXchange) 390
Pgina Acerca de Proxy FTP 392
Pestaa Poltica 393
Pestaa Avanzada 394
Proxy FTP: Configuraciones generales 394
Proxy FTP: Comandos 396
FTP DNS: Contenido 397
Proxy FTP: AntiVirus 398
Pgina Acerca de ALG H.323 398
ALG H.323: Configuraciones generales 400
ALG H.323: Control de acceso 402
ALG H.323: Codecs negados 403
xvi WatchGuard System Manager
Gua del Usuario xvii
Pgina Acerca de Proxy HTTP 404
Pestaa Poltica 405
Pestaa Avanzada 406
Solicitud de HTTP: Configuraciones generales 407
Solicitud de HTTP: Mtodos de solicitud 408
Solicitud de HTTP: Rutas de URL 410
Solicitud de HTTP: Campos de encabezado 411
Solicitud de HTTP: Autorizacin 411
Respuesta HTTP: Configuraciones generales 412
Respuesta HTTP: Campos de encabezado 413
Respuesta HTTP: Tipo de contenido 413
Respuesta HTTP: Cookies 415
Respuesta HTTP: Tipos de contenido del cuerpo 415
Proxy HTTP Excepciones 416
Proxy HTTP:WebBlocker 417
Proxy HTTP:Application Blocker 417
Proxy HTTP: AntiVirus 418
Proxy HTTP: Intrusion Prevention 418
Proxy HTTP: Mensaje de negacin 419
Permitir actualizaciones de Windows a travs del proxy HTTP 420
Use un servidor proxy de cach 421
Pgina Acerca de Proxy HTTPS 422
Pestaa Poltica 422
Pestaa Avanzada 423
Proxy de HTTPS: Inspeccin de contenido 423
Proxy de HTTPS: Nombres del certificado 426
Proxy HTTPS: WebBlocker 426
Proxy de HTTPS: Configuraciones generales 427
Pgina Acerca de Proxy POP3 428
Pestaa Poltica 428
Pestaa Avanzada 429
Proxy POP3: Configuraciones generales 430
Proxy POP3: Autenticacin 431
Proxy POP3: Tipo de contenido 432
Proxy POP3: Nombres de archivo 434
Proxy POP3: Encabezados 436
Proxy POP3: AntiVirus 437
Proxy POP3: Mensaje de negacin 438
Proxy POP3: spamBlocker 439
Pgina Acerca de Proxy SIP 440
SIP-ALG: Configuraciones generales 442
SIP-ALG: Control de acceso 444
SIP-ALG: Codecs negados 445
Pgina Acerca de Proxy SMTP 446
Pestaa Poltica 447
Pestaa Avanzada 448
Proxy SMTP: Configuraciones generales 448
Proxy SMTP: Reglas de saludos 451
Proxy SMTP: Configuraciones de ESMTP 452
Proxy SMTP: Autenticacin 453
Proxy SMTP: Tipo de contenido 454
Proxy SMTP: Nombres de archivo 455
Proxy SMTP: Correo de/Destin. para 456
Proxy SMTP: Encabezados 457
Proxy SMTP: AntiVirus 457
Proxy SMTP: Denegar mensaje 458
Proxy SMTP: spamBlocker 459
Configure el proxy SMTP para colocar mensajes de correo electrnico en cuarentena 460
Proteja al servidor SMTP de la retransmisin de mensajes de correo electrnico. 460
Pgina Acerca de Proxy de TCP-UDP 461
xviii WatchGuard System Manager
Gua del Usuario xix
Pestaa Poltica 461
Pestaa Avanzada 462
Proxy de TCP-UDP: Configuraciones generales 462
Proxyde TCP-UDP: Bloqueo de aplicaciones 463
Administracin de trfico y QoS 465
Acerca de las Administracin de trfico y QoS 465
Activar administracin de trfico y QoS 465
Garantice ancho de banda 466
Restrinja el ancho de banda 467
Marcado QoS 467
Prioridad de trfico 467
Configure los lmites de la tasa de conexin 467
Acerca de las Marcado QoS 468
Marcado QoSpara interfaces y polticas 469
Marcado QoS y trfico IPSec 469
Marcado: tipos y valores 469
Activar marcado QoS para una interfaz 471
Activar el marcado QoS o configuraciones de priorizacin para una poltica 472
Activar el Marcado QoS para un tnel BOVPN administrado 474
Control de trfico y definiciones de polticas 475
Definir un Accin de administracin de trfico 475
Agregar una Accin de administracin de trfico a una poltica 477
Agregar una accin de administracin de trfico a una poltica de firewall de BOVPN 478
Default Threat Protection 481
Acerca de la Default Threat Protection 481
Acerca de las opciones de administracin predeterminada de paquetes 481
Definir opciones de registros y notificacin 483
Acerca de los ataques de suplantacin de paquetes 483
Acerca de los Ataques de ruta de origen de IP IP 484
Acerca de las pruebas de espacio de direccin y espacio del puerto 485
Acerca de los ataques de congestin del servidor 487
Acerca de los paquetes no controlados 488
Acerca de ataques de negacin de servicio distribuidos 490
Acerca de los sitios bloqueados 490
Sitios permanentemente bloqueados 491
Lista de Sitios de bloqueo automtico/Sitios temporalmente bloqueados 491
Bloquear un sitio permanentemente 491
Crear Excepciones sitios bloqueados 493
Importar una lista de sitios bloqueados o excepciones sitios bloqueados 493
Bloquear sitios temporalmente con configuracin de polticas 494
Cambiar la duracin de los sitios que son bloqueados automticamente 494
Acerca de los puertos bloqueados 495
Puertos bloqueados predeterminados 495
Bloquear un puerto 496
Configuracin del servidor de WatchGuard 499
Acerca de los servidores WatchGuard System Manager 499
Configurar Servidores de WatchGuard System Manager 501
Iniciar el asistente 501
Configuraciones generales 502
Configuracin del Management Server 502
Configuracin del Log Server y del Report Server 502
Configuracin del Quarantine Server 503
Configuracin del WebBlocker Server 503
Revisar y finalizar 503
Sobre el Firebox de puerta de enlace 504
Buscar la license key del Management Server 505
Monitorear el estado de los servidores WatchGuard 505
Configurar su servidores WatchGuard 506
Abrir el WatchGuard Server Center 507
Detener e iniciar sus servidores WatchGuard 508
Instalar o configurar los servidores WatchGuard desde WatchGuard Server Center 508
xx WatchGuard System Manager
Gua del Usuario xxi
Salir o abrir la aplicacin WatchGuardServer Center 510
Configuracin y gestin del servidor de administracin 511
Acerca del WatchGuard Management Server 511
Instalar el Management Server 511
Configurar el Management Server 512
Configurar el Management Server 512
Definir configuraciones para el Management Server 512
Configurar la autoridad de certificacin en el Management Server 513
Actualizar el Management Server con una nueva direccin de puerta de enlace 515
Cambiar la direccin IP de un Management Server 517
Cambiar la frase de contrasea del administrador 521
Establecer ajustes de License Key, notificacin y configuracin 523
Activar y configurar autenticacin en Active Directory 524
Configurar Registros para el Management Server 526
Crear copia de seguridad o restaurar la Management Server configuration 527
Respaldar su configuracin 528
Restablecer su configuracin 528
Trasladar el Management Server WatchGuard a una nueva computadora 528
Guardar un archivo de respaldo, trasladar y restablecer su Management Server 529
Configurar otros servidores WatchGuard instalados 529
Utilizar WSMpara conectarse con Management Server 530
Desconectarse del Management Server 531
Importar o exportar una configuracin del Management Server 531
Exportar una configuracin 531
Importar una configuracin 532
Administrar dispositivos y VPN 533
Acerca del WatchGuard System Manager 533
Estado del dispositivo 533
Administracin de Dispositivos 534
Pgina Acerca de Administracin del Dispositivo 535
Vea informacin acerca de dispositivos administrados 536
Acerca de los modos de "Centralized Management" 537
Acerca del Modo Totalmente Administrado 538
Cambiar el modo Centralized Management para su Firebox administrado 538
Agregar dispositivos administrados al Management Server 541
Si conoce la direccin IP actual del dispositivo 543
Si no conoce la direccin IP del dispositivo 543
Determinar propiedades de administracin del dispositivo 544
Configuraciones de conexin 544
Preferencias de tnel IPSec 546
Informacin de contacto 547
Programar tareas para dispositivos administrados 548
Programar actualizacin del OS 549
Programar sincronizacin de teclas de funcin 551
Programar reinicio 552
Revisar, cancelar o eliminar las Tareas Programadas 556
Actualizar la configuracin para un dispositivo totalmente administrado 557
Licencias de Manage Server 559
Consultar la informacin de license key actual 559
Agregar o eliminar una License Key 559
Guardar o descartar sus cambios 560
Administrar informacin de contacto del cliente 560
Agregar un contacto al Management Server 560
Editar un contacto en la lista de contactos 560
Ver y administrar la lista de Report Servers monitoreados 561
Agregar un Report Server a la lista 562
Editar informacin para un Report Server 562
Eliminar un Report Server de la lista 563
Agregar y administrar tneles y recursos de VPN 563
Ver tneles VPN 563
Agregar un tnel VPN 563
Editar un tnel VPN 564
Remover un tnel VPN 564
Agregar un recurso de VPN 565
xxii WatchGuard System Manager
Gua del Usuario xxiii
Configurar un Firebox como un dispositivo administrado 565
Editar la poltica WatchGuard 565
Configurar Dispositivo Administrado 567
Configurar un Firebox III o Firebox X Core ejecutando el WFS como un dispositivo administrado 568
Acerca de los dispositivos Edge (v10.x y posterior) y SOHO como clientes administrados 570
Preparar un Firebox X Edge (v10.x y posterior) para equipo 570
Configurar un Firebox SOHO 6 como un dispositivo administrado 574
Iniciar el WatchGuard System Manager herramientas 575
Caducar la concesin para un dispositivo administrado 576
Configurado configuraciones de red (servicios Edge v10.x y anteriores solamente) 577
Acerca de la seccin "Plantilla de configuracin" 577
Actualizar o reiniciar un dispositivo o remover un dispositivo de la administracin 578
Actualizar un dispositivo 578
Reiniciar un dispositivo 579
Remover un dispositivo de la administracin 579
Crear y suscribirse a la configuracin del dispositivo Plantillas 579
Configurar una plantilla para un dispositivo administrado Edge 581
Configure una plantilla para otros dispositivos Fireware XTM. 582
Agregar una poltica predefinida a una plantilla de configuracin del dispositivo Edge 584
Agregar una poltica personalizada a una plantilla de Configuracin del dispositivo Edge 586
Clonar una plantilla de configuracin de dispositivos 588
Cambiar el nombre de una plantilla de configuracin de dispositivos 588
Suscribir dispositivos administrados a la Configuracin de dispositivos Plantillas 589
Administrar alias para los dispositivos Firebox X Edge 591
Cambiar el nombre de un alias 592
Definir alias en un dispositivo Firebox X Edge 593
Eliminar un dispositivo del modo totalmente administrado 595
Administracin basada en roles 597
Acerca de la administracin basada en roles 597
Roles y polticas de roles 597
Auditar rastros 598
Acerca de los roles predefinidos 598
Utilizar administracin basada en roles con un Management Server externo 601
Definir o eliminar usuarios o grupos 602
Utilizar WatchGuard System Manager para configurar usuarios o grupos 602
Utilice WatchGuard Server Center para configurar usuarios o grupos 603
Eliminar un usuario o un grupo 605
Definir roles y propiedades de roles 605
Definir roles en WatchGuard Server Center 605
Definir roles en WatchGuard System Manager 606
Configurar roles y polticas de roles 607
Eliminar un rol 608
Asignar roles a un usuario o grupo 608
Asignar roles en WatchGuard System Manager 608
Asignar roles en WatchGuard Server Center 610
Registro y Notificacin 613
Acerca de la generacin de registros y archivos de registro 613
Log Servers 613
LogViewer 614
Generacin de registros y notificacin en aplicaciones y servidores 614
Acerca de las mensajes de registro 614
Archivos de registro 615
Bases de datos 615
Desempeo y espacio en disco 615
Tipos de mensajes de registro 616
Niveles de mensaje de registro 617
Acerca de las notificaciones 618
Inicio Rpido Configurar registros para su red 618
Configurar un Log Server 621
Instalar el Log Server 621
Configurar sistema 622
Configurar el Log Server 622
Configurar base de datos y encryption key 623
xxiv WatchGuard System Manager
Gua del Usuario xxv
Configurar la base de datos 625
Configurar Notificacin 628
Configurar Registros 631
Mover el directorio de datos de registro 633
Iniciar y detener Log Server 635
Definir la configuracin de Registros para sus servidores WatchGuard 635
Configurar registros para un WatchGuard Log Server 636
Configurar registros para el Visor de Eventos de Windows 637
Guardar mensajes de registro en un archivo de registro 637
Definir hacia dnde el Firebox enva los mensajes de registro 638
Agregar un Log Server 639
Determinar Prioridad del Log Server 641
Configurar syslog 642
Configurar registro de estadstica de rendimiento 644
Defina el nivel de registro de diagnstico 646
Configurar registros y notificacin para una poltica 648
Determinar preferencias de registro y notificacin 649
Use scripts, utilitarios y software de terceros con el Log Server 651
Hacer copia de seguridad y restaurar base de datos del Log Server 651
Restaurar un archivo de registro de copia de seguridad 652
Importar un archivo de registro hacia un Log Server 653
Usar Crystal Reports con el Log Server 654
Usar LogViewer para ver los archivos de registro 655
Abrir el LogViewer 655
Conectarse a un dispositivo 656
Abrir registros para el Log Server principal 657
Determinar Preferencias de usuario de LogViewer 658
Detalles del mensaje de registro 660
Usar el Administrador de Bsqueda 663
Configuracin de parmetros de bsqueda 665
Filtrar mensajes de registro por tipo y tiempo o ejecutar una bsqueda de cadena 666
Usar el Log Excerpt para filtrar los resultados de bsqueda 668
Ejecutar tareas de diagnstico local 670
Importar y exportar datos al LogViewer 671
Enviar correo electrnico, imprimir o guardar mensajes de registro 671
Monitorear su Firebox 673
Acerca del Firebox System Manager (FSM) 673
Iniciar el Firebox System Manager 674
Desconectarse y reconectarse a un Firebox 674
Defina el intervalo de actualizacin y pause la exhibicin 675
Estado bsico de Firebox y de red (pestaa Panel delantero) 676
Advertencias y Notificaciones 676
Expandir y cerrar vistas de rbol 677
Exhibicin visual del trfico entre interfaces 678
Volumen de trfico, carga de procesador y estado bsico 679
Firebox estado 680
Mensajes de registro de Firebox (Control de trfico) 682
Ordenar y filtrar los mensajes de registro de Control de trfico 682
Alterar configuracin de Control de trfico 683
Copiar a otra aplicacin 686
Aprenda ms acerca de los mensajes de registro de trfico 686
Activar la notificacin para mensajes especficos 688
Exhibicin visual del uso del ancho de banda (pestaa Medidor de ancho de banda) 690
Configuracin para Cambiar medidor de ancho de banda 690
Cambiar la escala 691
Agregar y remover lneas 691
Alterar colores 692
Cambiar la apariencia de la interfaz 692
Exhibicin visual del uso de poltica (pestaa Monitor de Servicio) 692
Configuracin "Alterar Monitor de Servicio" 693
Cambiar la escala 694
Exhibir ancho de banda usado por una poltica 694
Agregar y remover lneas 695
Alterar colores 695
xxvi WatchGuard System Manager
Gua del Usuario xxvii
Cambiar cmo aparecen los nombres de polticas 695
Estadsticas de desempeo y Trfico (pestaa Informe de Estado) 695
Cambiar el Intervalo de actualizacin 698
Revisar informacin de Rastreo de Paquetes para solucionar problemas 698
Usuarios autenticados (Lista de autenticacin) 699
Usar la lista de acceso de salida 701
Conexiones hotspot inalmbricas 702
Ver o cambiar la lista de Sitios Bloqueados (pestaa Sitios bloqueados) 703
Alterar lista de sitios bloqueados 704
Sitios bloqueados y Control de trfico 705
Estadsticas de servicios de suscripcin (pestaa Servicios de suscripcin) 707
Estadsticas de Gateway AntiVirus 707
Estadstica del Intrusion Prevention Service 708
Estadsticas de spamBlocker 709
Defensa de reputacin activada 710
Acerca de las HostWatch 710
La ventana HostWatch 710
Resolucin de DNS y HostWatch 711
Abrir HostWatch 711
Pausar e iniciar la pantalla deHostWatch 711
Seleccionar conexiones e interfaces para monitorear 711
Filtrar contenido de la ventana de HostWatch 713
Alterar Propiedades visuales de HostWatch 714
Visitar o bloquear un sitio de HostWatch 715
Acerca del Performance Console 716
Iniciar Performance Console 716
Hacer grficos con el Performance Console 717
Tipos de contadores 717
Detener monitoreo o cerrar la ventana 718
Definir contadores de rendimiento 718
Agregar cuadros o cambiar intervalos de sondeo 721
Acerca de certificados y FSM 723
Registro de comunicacin 723
Usar el Firebox System Manager (FSM) 724
Sincronizar la hora del sistema 725
Reiniciar o apagar su Firebox 725
Limpiar cach de ARP 726
Ver y sincronizar teclas de funcin 726
Calcular la suma de comprobacin de Fireware XTM 729
Limpiar alarmas 729
Regenerar clave de tneles BOVPN 730
Controlar FireCluster 731
Actualizar la regin inalmbrica para un dispositivo XTM2 Series 731
Alterar frases de contrasea 731
Informes WatchGuard 733
Pgina Acerca de Report Server 733
Configure el Report Server 733
Iniciar o detener el Report Server 750
Acerca de WatchGuard Report Manager 750
Abrir el Report Manager 751
Configurar las opciones de informe 752
Predefinido lista de informes 756
Seleccionar parmetros de informe 759
Seleccione los informes que desea generar 762
Mostrar un informe 763
Ver los informes de uso de la web por parte de un cliente 764
Filtre los datos del informe 766
Seleccionar el formato de informe 770
Enviar un informe por correo electrnico, imprimirlo o guardarlo 771
Utilice la interfaz de programacin de aplicaciones de servicios web para recuperar datos de
registro e informes 772
Instalacin y documentacin 772
Certificates and the Certificate Authority 773
Acerca de los certificados 773
xxviii WatchGuard System Manager
Gua del Usuario xxix
Usar mltiples certificados para determinar la confianza 773
Cmo el Firebox usa certificados 774
CRLs y caducidad de certificados 774
Solicitudes de firmas y autoridades de certificacin 775
Autoridades de Certificacin confiadas por Firebox 776
Ver y administrar Certificados de Firebox 781
Ver y administrar los certificados del Management Server 785
Crear un certificado con el FSMo con el Management Server 787
Crear un certificado con FSM 787
Crear un certificado autofirmado con el CA Manager 790
Crear una CSR con el OpenSSL 790
Usar OpenSSL para generar una CSR 790
Firme un certificado con Microsoft CA 791
Emitir el certificado 792
Descargar el certificado 792
Usar certificados para autenticacin 792
Use certificados autenticados para el tnel VPN Mobile con IPSec 792
Usar un certificado para autenticacin del tnel BOVPN 794
Configure el certificado del servidor web para la autenticacin de Firebox 796
Usar Certificados para el proxy de HTTPS 798
Proteger un servidorHTTPS privado 798
Examinar contenido de los servidores HTTPS externos 799
Exportar el certificado de inspeccin de contenidoHTTPS 800
Importar los certificados en dispositivos clientes 800
Solucionar problemas con la inspeccin de contenidoHTTPS 800
Importar un certificado en un dispositivo cliente 800
Importar un certificado en formatoPEMcon el Windows XP 801
Importar un certificado en formatoPEMcon el Windows Vista 801
Importar un certificado en formatoPEMcon Mozilla Firefox 3.x 801
Importar un certificado en formatoPEMcon el Mac OSX10.5 802
Redes Privada Virtual (VPN) 803
Introduccin a VPNs 803
Branch Office VPN (BOVPN) 803
Mobile VPN 804
Acerca de la VPNs de IPSec 804
Acerca de los algoritmos y protocolos de IPSec 804
Acerca de las negociaciones VPN de IPSec 805
Configuraciones de Fase 1 y Fase 2 808
Acerca de Mobile VPNs 809
Seleccione una Mobile VPN 809
Opciones de acceso a Internet para usuarios de Mobile VPN 811
Descripcin de configuracin de Mobile VPN 812
Tneles BOVPN administrados 813
Acerca de los tneles BOVPN administrados 813
Cmo crear un tnel BOVPN administrado 813
Opciones de tneles 814
Failover de VPN 814
Configuraciones de VPN Global 814
Estado del tnel BOVPN 815
Regenerar clave de tneles BOVPN 815
Agregar recursos de VPN 815
Obtener los recursos actuales desde un dispositivo 815
Crear un nuevo recurso de VPN 816
Agregar una host o red 817
Agregue plantillas de poltica de firewall de VPN 817
Definir un cronograma para la plantilla de poltica 818
Usar el marcado QoS en una plantilla de poltica 819
Configurar la administracin de trfico en una plantilla de poltica 819
Agregar plantillas de seguridad 820
Establecer tneles administrados entre dispositivos 822
Editar la definicin de un tnel 823
Remover tneles y dispositivos 824
Remover un tnel 824
Remover un dispositivo 824
xxx WatchGuard System Manager
Gua del Usuario xxxi
Servicios de suscripcin y estado del tnel VPN 824
Estado del Tnel Mobile VPN 825
Estado de los Servicios de Suscripcin 825
Tneles de BOVPN manuales 827
Lo que necesita para crear un BOVPN 827
Acerca de tneles BOVPN manuales 828
Lo que necesita para crear un VPN 828
Cmo crear un tnel BOVPN manual 829
Personalizar polticas del tnel 829
Tneles de una direccin 829
Failover de VPN 829
Configuraciones de VPN Global 829
Estado del tnelBOVPN 830
Regenerar clave de tnelesBOVPN 830
Muestra cuadro de informacin de direccin de VPN 830
Definir puertas de enlace 832
Definir extremos de puerta de enlace 834
Configurar modo y transformaciones (Configuraciones de la Fase 1) 836
Editar y eliminar puertas de enlace 841
Desactivar inicio automtico de tnel 841
Si su Firebox est detrs de un dispositivo que hace NAT 841
Establezca tneles entre los extremos de puertas de enlace 842
Definir un tnel 842
Agregar rutas para un tnel 845
Configuraciones de Fase 2 846
Agregar una Propuesta de Fase 2 847
Cambiar el orden de tneles 849
Acerca de las configuraciones de VPN Global 850
Activar puerto de transferencia IPSec 850
Activar TOS para IPSec 851
Activar servidor LDAP para verificacin de certificado 851
Notificacin deBOVPN 851
Definir una poltica personalizada de tnel 851
Elija un nombre para las polticas 852
Seleccione el tipo de poltica 852
Seleccione los tneles BOVPN. 852
Crear un alias para los tneles 852
El Asistente de Polticas de BOVPN ha finalizado con xito. 852
Configurar NAT dinmica saliente a travs de un tnel BOVPN 852
Configure el extremo donde todo el trfico debe parecer venir de una nica direccin (Sitio A).
853
Configure el extremo que espera que todo trfico provenga desde una nica direccinIP (Sitio
B). 855
Usar 1-to-1 NAT a travs de un tnel BOVPN 857
1-to-1 NAT y VPNs 858
Otras razones por las cuales usar una 1-to-1 NAT por una VPN 858
Alternativa al uso de NAT 858
Cmo configurar la VPN 858
Ejemplo 859
Configurar el tnel local 860
Configurar el tnel remoto 862
Definir una ruta para todo el trfico hacia Internet 863
Configurar el tnel BOVPN en el Firebox remoto 864
Configurar el tnel BOVPN en el Firebox central 864
Agregar una entrada de NAT dinmica en el Firebox central 865
Activar enrutamiento de multidifusin a travs de un tnel BOVPN 866
Activar un dispositivo WatchGuard para enviar trfico de multidifusin a travs de un tnel 867
Active el otro dispositivo WatchGuard para recibir trfico de multidifusin a travs de un tnel
868
Activar el enrutamiento de difusin a travs de un tnel BOVPN 869
Activar el enrutamiento de difusin para el Firebox local 869
Configurar enrutamiento de difusin para el Firebox en el otro extremo del tnel 871
Conmutacin de tneles Branch Office VPN (BOVPN) 872
Configurar Failover de VPN 873
Definir mltiples pares de puertas de enlace 874
xxxii WatchGuard System Manager
Gua del Usuario xxxiii
Forzar una BOVPN de clave de tnel BOVPN 875
Para regenerar clave de un tnel BOVPN 876
Para regenerar claves de todos los tneles BOVPN 876
Preguntas relacionadas 876
Por qu necesito una direccin externa esttica? 876
Cmo obtengo una direccin IP externa esttica? 876
Cmo soluciono problemas de la conexin? 877
Por qu el ping no est funcionando? 877
Cmo configuro ms que el nmero de tneles VPN permitido en mi Edge? 877
Mejorar la disponibilidad del tnel BOVPN 877
Mobile VPN con PPTP 883
Acerca del Mobile VPN con PPTP 883
Requisitos de Mobile VPN con PPTP 883
Niveles de cifrado 884
Configurar Mobile VPN with PPTP 884
Autenticacin 885
Configurar el cifrado para tneles PPTP 886
MTU y MRU 886
Definir configuraciones de tiempo de espera para tneles PPTP 886
Agregar al conjunto de direcciones IP 887
Guardar los cambios 888
Configurar servidores WINS y DNS 888
Agregar nuevos usuarios al grupo de usuarios de PPTP 889
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP 891
VPN de ruta predeterminada 892
Dividir VPN de tnel 892
Configuracin de VPN de ruta predeterminada para Mobile VPN with PPTP 892
Configuracin de VPN de tnel dividido para Mobile VPN with PPTP 893
Configurar polticas para controlar el acceso del cliente Mobile VPN con PPTP 893
Permitir a los usuarios de PPTP acceder a una red de confianza 893
Usar otros grupos o usuarios en una poltica de PPTP 897
Preparar computadoras cliente para PPTP 898
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes de
servicio 898
Crear y conectar una Mobile VPN with PPTP para Windows Vista 899
Cree y conecte una Mobile VPN with PPTP para Windows XP 900
Cree y conecte una Mobile VPN with PPTP para Windows 2000 901
Realizar conexiones PPTP salientes desde detrs de un Firebox 902
Mobile VPN con IPSec 903
Acerca del Mobile VPN con IPSec 903
Configurar una conexin de Mobile VPN con IPSec 903
Requisitos del sistema 904
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec 904
Acerca de archivos de configuracin de cliente MobileVPN 905
Configurar el Firebox para Mobile VPN with IPSec 905
Agregar usuarios a un grupo de Mobile VPN de Firebox 911
Modificar un perfil de grupo existente de Mobile VPN con IPSec 913
Configurado servidores WINS y DNS 924
Bloquear un perfil del usuario final 925
Guardar el perfil en un Firebox 926
Archivos de configuracin de Mobile VPN con IPSec 926
Configurar polticas para filtrar trfico de Mobile VPN 927
Distribuir el software y los perfiles 928
Tpicos adicionales de Mobile VPN 929
Configurar Mobile VPN with IPSec para una direccin IP dinmica 930
Pgina Acerca de cliente Mobile VPNwith IPSec 931
Requisitos del cliente 932
Instalar el software cliente de Mobile VPN con IPSec 932
Conecte y desconecte el cliente Mobile VPN 934
Vea los mensajes de registro del Mobile VPN 937
Proteger su equipo con el firewall de Mobile VPN 937
Instrucciones de usuario final para la instalacin del cliente VPN Mobile con IPSec de
WatchGuard 946
Configuracin del Mobile VPN para Windows Mobile 951
xxxiv WatchGuard System Manager
Gua del Usuario xxxv
Los requisitos del cliente Mobile VPN WMConfigurator y de IPSec de Windows Mobile 951
Instalar el software Mobile VPN WMConfigurator 952
Seleccione un certificado e ingrese el PIN 953
Importar un perfil del usuario final 953
Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 954
Cargar el perfil de usuario final en el dispositivo Windows Mobile 955
Conecte y desconecte el Cliente Mobile VPN para Windows Mobile 957
Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 960
Detener el WatchGuard Mobile VPN Service 960
Desinstalar el Configurator, Service y Monitor 961
Mobile VPN con SSL 963
Acerca del Mobile VPN con SSL 963
Configurar el dispositivo Firebox o XTMpara Mobile VPN with SSL 963
Realizar configuraciones de autenticacin y conexin 964
Realice las configuraciones de Red y Conjunto de direcciones IP 965
Realizar configuraciones avanzadas para Mobile VPN with SSL 967
Configurar la autenticacin de usuario para Mobile VPN with SSL 969
Configurar polticas para controlar el acceso de clientes de Mobile VPN con SSL 969
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL 970
Determinacin del nombre para Mobile VPN with SSL 971
Instalar y conectar el cliente de Mobile VPN con SSL 973
Requisitos de la computadora cliente 974
Descargar el software cliente 974
Desinstalar el software cliente 975
Conectarse a su red privada 975
Controles del cliente de Mobile VPN con SSL 976
Se debe distribuir e instalar en forma manual el software cliente de Mobile VPN con SSL y el
archivo de configuracin 977
Desinstale el cliente de Mobile VPN con SSL. 978
WebBlocker 981
Acerca de las WebBlocker 981
Configurar el WebBlocker Server 982
Instale el software del WebBlocker Server 982
Administrar el WebBlocker Server 982
Descargar base de datos de WebBlocker 983
Mantener actualizada la base de datos de WebBlocker 984
Cambiar el puerto del WebBlocker Server 986
Copie la base de datos de WebBlocker de un WebBlocker Server a otro 987
Introduccin a WebBlocker 989
Active WebBlocker en el dispositivo WatchGuard 989
Configure las polticas de WebBlocker 989
Identificar los Servidores de WebBlocker 990
Seleccione categoras para bloquear 992
Utilice reglas de excepcin para restringir el acceso a sitios web 992
Configurado WebBlocker 993
Establecer la configuracin de WebBlocker para una poltica 993
Copiar configuraciones de WebBlocker de una poltica a otra 994
Agregar nuevos servidores de WebBlocker o cambiar el orden de los ya existentes 994
Acerca de las Categoras de WebBlocker 996
Alterar categoras a bloquear 996
Consultar si un sitio est categorizado 997
Agregar, eliminar o cambiar una categora 998
Definir configuraciones avanzadas Opciones de WebBlocker 999
Defina WebBlocker alarmas 1002
Acerca de las Excepciones de WebBlocker 1002
Defina la accin para las sitios que no tienen coincidencias Excepciones 1002
Componentes de las reglas de excepcin 1003
Excepciones con parte de una URL 1003
Agregar WebBlocker Excepciones 1003
Cambiar el orden de las reglas de excepciones 1006
Importar o exportar reglas de excepcin de spamBlocker 1007
Restringir usuarios a un conjunto especfico de sitios web 1009
Usar Acciones de WebBlocker en definiciones de proxy 1012
xxxvi WatchGuard System Manager
Gua del Usuario xxxvii
Definir acciones de WebBlocker adicionales 1012
Agregar acciones de WebBlocker a una poltica 1013
Programar acciones de WebBlocker 1014
Acerca del vencimiento de los servicios de suscripcin de WebBlocker 1014
Ejemplos 1015
Usar anulacin local de WebBlocker 1015
Usar un WebBlocker Server protegido por otro dispositivo de WatchGuard 1016
Configure las polticas de WebBlocker para grupos con la Autenticacin en Active Directory 1023
Configurar polticas de WebBlocker para grupos con autenticacin en Firebox 1038
spamBlocker 1055
Acerca de las spamBlocker 1055
Requisitos de spamBlocker 1056
Acciones, etiquetas y categoras de spamBlocker 1056
Activar spamBlocker 1058
Aplicar configuraciones de spamBlocker a sus polticas 1059
Crear polticas de proxy nuevas 1059
Configurado spamBlocker 1060
Acerca de las Excepciones de spamBlocker 1062
Configurar acciones de Virus Outbreak Detection para una poltica 1066
Configure spamBlocker para colocar mensajes de correo electrnico en cuarentena 1068
Acerca de la utilizacin spamBlocker con servidores proxy mltiples 1068
Configure los parmetros globales de spamBlocker 1069
Utilice un servidor proxy HTTP para spamBlocker 1070
Agregar reenviadores de correo electrnico de confianza para mejorar la precisin de
calificacin del spam 1071
Active y configure los parmetros de la Virus Outbreak Detection (VOD) 1073
Acerca de spamBlocker y los lmites de escaneo de la VOD 1073
Cree reglas para su lector de correo electrnico 1074
Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook 1075
Enviar un informe acerca de falsos positivos o falsos negativos 1075
Utilice el registro RefID en lugar de un mensaje de texto 1076
Buscar la categora a la cual est asignado un mensaje 1077
La Defensa de reputacin activada 1078
Acerca de la Defensa de reputacin activada 1078
Umbrales de reputacin 1078
Calificaciones de reputacin 1079
Comentario sobre la Defensa de reputacin activada 1079
Configurar la Defensa de reputacin activada 1079
Activar la Defensa de reputacin activada 1080
Configurar los umbrales de reputacin 1080
Configurar la notificacin de alarma para las acciones de la RED 1081
Enviar los resultados de escaneo del Gateway Antivirus a WatchGuard 1082
Gateway AntiVirus e Intrusion Prevention 1083
Acerca de las Gateway AntiVirus y prevencin de intrusiones 1083
Instale y actualice el Gateway AntiVirus/IPS 1084
Acerca del Gateway AntiVirus/la Intrusion Prevention y las polticas de proxy 1084
Activar Gateway AntiVirus 1085
Active el Gateway AntiVirus mediante un asistente desde el Policy Manager 1085
Activar Gateway AntiVirus desde las definiciones de proxy 1088
Configurar acciones del Gateway AntiVirus 1089
Configure las medidas del Gateway AntiVirus para una accin de proxy 1090
Configure la notificacin de alarma para las acciones del antivirus 1092
Desbloquee un archivo bloqueado por el Gateway AntiVirus 1093
Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena 1093
Acerca de los lmites de escaneo del Gateway AntiVirus 1094
Actualice la configuracin del Gateway AntiVirus/IPS 1094
Si utiliza un cliente antivirus de terceros 1095
Establezca la configuracin de descompresin del Gateway AntiVirus 1095
Configurar el servidor de actualizacin del Gateway AntiVirus/IPS 1096
Ver estado de servicios de suscripcin y actualizar firmas manualmente 1098
Activar Intrusion Prevention Service (IPS) 1100
Seleccionar las polticas de proxy que desea activar 1101
Crear polticas de proxy nuevas 1102
xxxviii WatchGuard System Manager
Gua del Usuario xxxix
Seleccione la configuracin avanzada de la prevencin de intrusiones 1102
Configurado Intrusion Prevention Service (IPS) 1103
Configurar acciones del IPS 1104
Configurado excepciones de firma 1107
Copiar la configuracin del IPS a otras polticas 1109
Activar y configurar el Servicio de Intrusion Prevention para TCP-UDP 1109
Quarantine Server 1111
Pgina Acerca de Quarantine Server 1111
Configurar el Quarantine Server 1112
Instalar el software del Quarantine Server 1112
Ejecute el WatchGuard Server Center Setup Wizard 1112
Establezca la configuracin del Quarantine Server 1113
Configure Firebox para que ponga correos electrnicos en cuarentena 1113
Configurar el Quarantine Server 1114
Determinar parmetros generales del servidor 1115
Cambie la configuracin de eliminacin y los dominios aceptados 1116
Alterar configuraciones de notificacin 1118
Configurar registros para el Quarantine Server 1120
Cambiar las reglas del Quarantine Server reglas 1121
Definir la ubicacin del Quarantine Server en Firebox 1122
Acerca del Quarantine Server Client 1123
Administrar los mensajes en cuarentena 1125
Administrar los usuarios del Quarantine Server 1127
Obtener estadsticas acerca de la actividad del Quarantine Server 1130
Ejemplos 1131
Configurar la notificacin de los usuarios con el Servidor Microsoft Exchange 2003 2007 1131
Gua del Usuario xl
Gua del Usuario 1
1
Introduccin a la seguridad de red
Acerca de redes y seguridad de red
Unared es un grupode equipos y otros dispositivos que se conectanentre s. Puede tratarse de dos equipos
enla mismahabitacin, decenas de equipos en unaorganizacin omuchos equipos en el mundo entero
conectados a travs de Internet. Los equipos en lamisma redpueden trabajar juntos y compartir datos.
Aunque las redes como Internet brindan acceso a una gran cantidad de informacin y oportunidades
comerciales, tambin pueden exponer la red a atacantes. Muchas personas creen que sus equipos no
guardan informacin importante o que un hacker no estar interesado en sus equipos. Se equivocan. Un
hacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La informacin de su
organizacin, incluida la informacin personal acerca de usuarios, empleados o clientes, tambin es valiosa
para los hackers.
El dispositivo WatchGuard y la suscripcin a LiveSecurity pueden ayudar a prevenir estos ataques. Una
buena poltica de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, tambin
pueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox para
que coincida con la poltica de seguridad y considerar las amenazas tanto internas como externas de la
organizacin.
Acerca de las conexiones a Internet
Los ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a travs de
conexiones de red. La velocidad con la cual una conexin de red puede enviar datos se conoce como
ancho de banda: por ejemplo, 3 megabits por segundo (Mbps).
Una conexin a Internet de alta velocidad, como mdem por cable o DSL (lnea de suscriptor digital), se
conoce como conexin de banda ancha. Las conexiones de banda ancha son mucho ms rpidas que las
conexiones telefnicas. El ancho de banda de una conexin telefnica es inferior a .1 Mbps, mientras que
una conexin de mdem por cable puede ser de 5 Mbps o ms.
Las velocidades tpicas para los mdem por cable en general son inferiores a las velocidades mximas,
porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho de
banda. Debido a este sistema de medio compartido, las conexiones de mdem por cable pueden volverse
lentas cuando ms usuarios estn en la red.
Las conexiones DSL proveen ancho de banda constante, pero en general son ms lentas que las conexiones
de mdem por cable. Adems, el ancho de banda slo es constante entre el hogar u oficina y la oficina
central de DSL. La oficina central de DSL no puede garantizar una buena conexin a un sitio web o red.
Cmo viaja la informacin en Internet
Los datos que se envan por Internet se dividen en unidades o paquetes. Cada paquete incluye la direccin
de Internet del destino. Los paquetes que componen una conexin pueden usar diferentes rutas a travs
de Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar que
todos los paquetes lleguen a destino, se agrega informacin de direccin a los paquetes.
Acerca de los Protocolos
Un protocolo es un conjunto de reglas que permiten a los equipos conectarse a travs de una red. Los
protocolos son la gramtica del lenguaje que utilizan los equipos cuando se comunican a travs de una red.
El protocolo estndar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es el
lenguaje comn de los equipos en Internet.
Un protocolo tambin indica el modo en que los datos se envan a travs de una red. Los protocolos
utilizados con ms frecuencia son TCP (Protocolo de control de transmisin) y UDP (Protocolo de datagrama
de usuario). TCP/IP es el protocolo bsico utilizado por los equipos que se conectan a Internet.
Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.
Para obtener ms informacin sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la pgina 40.
2 WatchGuard System Manager
Gua del Usuario 3
Acerca de las Direcciones IP
Para realizar un envo postal comn a una persona, se debe conocer su direccin. Para que un equipo en
Internet enve datos a un equipo diferente, debe conocer la direccin de ese equipo. Una direccin de
equipo se conoce como direccin de protocolo de Internet (IP). Todos los dispositivos en Internet tienen
direcciones IP nicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.
Una direccin IP consta de cuatro octetos (secuencias de nmeros binarios de 8 bits) expresados en
formato decimal y separados por puntos. Cada nmero entre los puntos debe estar en el rango de 0 a 255.
Algunos ejemplos de direcciones IP son:
n 206.253.208.100
n 4.2.2.2
n 10.0.4.1
Direcciones privadas y puertas de enlace
Muchas empresas crean redes privadas que tienen su propio espacio de direccin. Las direcciones 10.x.x.x
y 192.168.x.x estn reservadas para direcciones IPprivadas. Los equipos en Internet no pueden usar estas
direcciones. Si su equipo est en una red privada, se conecta a Internet a travs de un dispositivo de puerta
de enlace que tiene una direccin IP pblica.
En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuario
e Internet. Despus de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminada
para todos los equipos conectados a sus interfaces de confianza u opcionales.
Acerca de las mscaras de subred
Debido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones ms
pequeas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Por
ejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50
pertenecen a la misma subred.
La subnet mask o mscara de red de una direccin IP de red es una serie de bits que enmascaran secciones
de la direccin IP que identifican qu partes de la direccin IP son para la red y qu partes son para el host.
Una puede escribirse del mismo modo que una direccin IP o en notacin diagonal o CIDR (enrutamiento
de interdominios sin clases).
Acerca de las Notacin diagonal
Firebox utiliza notacin diagonal para muchos fines, entre ellos la configuracin de polticas. La notacin
diagonal, conocida tambin como notacin CIDR (enrutamiento de interdominios sin clases), es un modo
compacto de mostrar o escribir una mscara de subred. Cuando se usa notacin diagonal, se escribe la
direccin IP, una barra diagonal hacia adelante (/) y el nmero de mscara de subred.
Para encontrar el nmero de mscara de subred el usuario debe:
1. Convertir la representacin decimal de la mscara de subred a una representacin binaria.
2. Contar cada "1" en la mscara de subred. El total es el nmero de mscara de subred.
Por ejemplo, el usuario desea escribir la direccin IP 192.168.42.23 con una mscara de subred de
255.255.255.0 en notacin diagonal.
1. Convertir la mscara de subred a una representacin binaria.
En este ejemplo, la representacin binaria de 255.255.255.0 es:
11111111.11111111.11111111.00000000.
2. Contar cada "1" en la mscara de subred.
En este ejemplo, hay veinticuatro (24).
3. Escribir la direccin IP original, una barra diagonal hacia adelante (/) y luego el nmero del paso 2.
El resultado es 192.168.42.23/24.
La siguiente tabla muestra mscaras de red comunes y sus equivalentes en notacin diagonal.
Mscara de red Equivalente diagonal
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Acerca del ingreso de Direcciones IP
Cuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de dilogo, se deben ingresar los
dgitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barra
espaciadora ni el mouse para colocar el cursor despus de los decimales.
Por ejemplosi ingresaladireccinIP 172.16.1.10, noingrese unespaciodespus de ingresar 16. Nointente
colocar el cursor despus del decimal subsiguiente paraingresar 1. Ingrese undecimal directamente despus
de 16 y luegoingrese 1.10. Presione lateclade barrainclinada(/) paradesplazarse alamscarade red.
estticas y dinmicas Direcciones IP
Los ISP (proveedores de servicios de Internet) asignan una direccin IP a cada dispositivo en la red. La
direccin IP puede ser esttica o dinmica.
Gua del Usuario 5
Direcciones IP estticas
Una direccin IP esttica es una direccin IP que permanece siempre igual. Si tiene un servidor web, un
servidor FTP u otro recurso de Internet que debe tener una direccin que no puede cambiar, puede
obtener una direccin IP esttica de su ISP. Una direccin IP esttica generalmente es ms costosa que una
direccin IP dinmica. Algunos ISP no proveen direcciones IP estticas. La direccin IP esttica debe
configurarse en forma manual.
Direcciones IP dinmicas
Una direccin IP dinmica es una direccin IP que el ISP permite utilizar en forma temporal a un usuario. Si
una direccin dinmica no est en uso, puede ser asignada automticamente a un dispositivo diferente. Las
direcciones IP dinmicas se asignan a travs de DHCP o PPPoE.
Acerca de DHCP
El Protocolo de Configuracin Dinmica de Host (DHCP) es un protocolo de Internet que los equipos en red
utilizan para obtener direcciones IP y otra informacin como la puerta de enlace predeterminada. Cuando
el usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asigna
automticamente una direccin IP. Podra ser la misma direccin IP que tena anteriormente o podra ser
una nueva. Cuando se cierra una conexin a Internet que usa una direccin IP dinmica, el ISP puede
asignar esa direccin IP a un cliente diferente.
El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrs del dispositivo. Se
asigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a travs del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agrega
algunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexin de acceso
telefnico estndar. Este protocolo de red permite al ISP utilizar los sistemas de facturacin, autenticacin y
seguridad de su infraestructura telefnica con productos DSL de mdem y de mdem por cable.
Acerca de las DNS (sistema de domain name)
Con frecuencia se puede encontrar la direccin de una persona desconocida en el directorio telefnico. En
Internet, el equivalente a un directorio telefnico es el DNS(sistema de domain name). El DNS es una red
de servidores que traducen direcciones IP numricas en direcciones de Internet legibles y viceversa. El
DNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, como
www.example.com y encuentra la direccin IP equivalente, como 50.50.50.1. Los dispositivos de red
necesitan la direccin IP real para encontrar el sitio web, pero para los usuarios es mucho ms fcil
ingresar y recordar los domain names que las direcciones IP.
Un servidor DNS es un servidor que realiza esta traduccin. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a solicitudes de DNS. Tambin se puede usar un servidor DNS en la red
externa, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Acerca de firewall
Un dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de la
red externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que el
firewall protege de Internet a los equipos de una red de confianza.
Los firewall usan polticas de acceso para identificar y filtrar diferentes tipos de informacin. Tambin
pueden controlar qu polticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).
Por ejemplo, muchos firewall tienen polticas de seguridad de prueba que permiten slo tipos de trfico
especficos. Los usuarios pueden seleccionar la poltica ms conveniente para ellos. Otros firewall, por
ejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas polticas.
Para ms informaciones, vea Acerca de servicios y polticas en la pgina 7 y Acerca de puertos en la pgina 8
Gua del Usuario 7
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios no
autorizados en Internet y examina el trfico que ingresa a redes protegidas o sale de stas. El firewall
rechaza el trfico de red que no coincide con los criterios o polticas de seguridad.
En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas a
menos que exista una regla especfica para permitir la conexin. Para implementar este tipo de firewall, se
debe tener informacin detallada acerca de las aplicaciones de red requeridas para satisfacer las
necesidades de una organizacin. Otros firewall permiten todas las conexiones de red que no han sido
rechazadas explcitamente. Este tipo de firewall abierto es ms fcil de implementar, pero no es tan seguro.
Acerca de servicios y polticas
El usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrnico, archivos o
comandos) desde una computadora a otra a travs de una red o a una red diferente. Estos servicios utilizan
protocolos. Los servicios de Internet utilizados con frecuencia son:
n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).
n El correo electrnico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de
Oficina de Correos (POP3).
n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).
n Resolver un domain name a una direccin de Internet utiliza el Servicio de Domain Name (DNS).
n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).
Cuando se autoriza o se rechaza un servicio, se debe agregar una poltica a la configuracin del dispositivo
WatchGuard. Cada poltica que se agrega tambin puede sumar un riesgo de seguridad. Para enviar y recibir
datos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregar
slo las polticas necesarias para la empresa.
Como ejemplo del modo en que se utiliza una poltica, supongamos que el administrador de red de una
empresa desea activar una conexin de servicios de terminal de Windows al servidor web pblico de la
empresa en la interfaz opcional del Firebox. Peridicamente administra el servidor web con una conexin
de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningn otro usuario de la red pueda
utilizar los servicios de terminal del Protocolo de Escritorio Remoto a travs del Firebox. El administrador
de red debe agregar una poltica que permita conexiones RDP slo desde la direccin IP de su propio
equipo de escritorio a la direccin IP del servidor web pblico.
Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente slo agrega
conectividad saliente limitada. Si el usuario tiene ms aplicaciones de software y trfico de red para que
examine Firebox, debe:
n Configurar las polticas en Firebox para que transfieran en trfico necesario.
n Definir las propiedades y hosts aprobados para cada poltica
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Acerca de puertos
Aunque los equipos tienen puertos de hardware que se utilizan como puntos de conexin, los puertos
tambin son nmeros utilizados para asignar trfico a un proceso particular en un equipo. En estos puertos,
tambin llamados puertos TCP y UDP los programas transmiten datos. Si una direccin IP es como la
direccin de una calle, un nmero de puerto es como un nmero de departamento o edificio dentro de
esa calle. Cuando un equipo enva trfico a travs de Internet a un servidor u otro equipo, utiliza una
direccin IP para identificar al servidor o equipo remoto y un nmero de puerto para identificar el proceso
en el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que deseamos ver una pgina web en particular. El explorador web intenta crear
una conexin en el puerto 80 (el puerto utilizado para trfico HTTP) para cada elemento de la pgina web.
Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexin.
Muchos puertos se usan slo para un tipo de trfico, como el puerto 25 para SMTP (Protocolo simple de
transferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con nmeros asignados. A otros
programas se les asignan nmeros de puerto en forma dinmica para cada conexin. IANA (Internet
Assigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista a
travs de:
http://www.iana.org/assignments/port-numbers
La mayora de las polticas que se agregan a la configuracin del Firebox tienen un nmero de puerto entre
0 y 1024, pero los nmeros de puerto posibles pueden ser entre 0 y 65535.
Los puertos estn abiertos o cerrados. Si un puerto est abierto, el equipo acepta informacin y utiliza el
protocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, se
pueden bloquear los puertos utilizados por los hackers para atacar a la red. Para ms informaciones, vea
Acerca de los puertos bloqueados en la pgina 495.
Tambin se pueden bloquear los sondeos de espacio entre puertos: El trfico TCP o UDP que un host enva
a un rango de puertos para buscar informacin acerca de las redes y sus host. Para ms informaciones, vea
Acerca de las pruebas de espacio de direccin y espacio del puerto en la pgina 485.
Gua del Usuario 9
2
Introduccin a Fireware XTM
Fireware XTMle ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Firebox
en su red. La solucin Fireware XTMincluye cuatro aplicaciones de software:
n WatchGuard System Manager (WSM)
n Fireware XTMWeb UI
n Command Line Interface (CLI) de Fireware XTM
n WatchGuard Server Center
Posiblemente sea necesario utilizar ms de una aplicacin Fireware XTMpara configurar la red de una
organizacin. Por ejemplo, si se tiene slo un producto Firebox X Edge e-Series, la mayora de las tareas de
configuracin pueden realizarse con la Fireware XTMWeb UI o la Command Line Interface de Fireware
XTM. Sin embargo, para funciones de administracin y registro ms avanzadas, se debe utilizar WatchGuard
Server Center. Si el usuario administra ms de un dispositivo WatchGuard o si ha comprado Fireware XTM
con una actualizacin Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decide
administrar y monitorear la configuracin con la Fireware XTMWeb UI, algunas funciones no pueden
configurarse.
Para obtener ms informacin acerca de estas limitaciones, consulte la Ayuda de la Web UI de Fireware
XTMen:
http://www.watchguard.com/help/docs/webui/11/es-ES/index.html.
Para obtener ms informacin acerca de cmo conectarse a Firebox con Fireware XTMWeb UI o la
Command Line Interface de Fireware XTM, consulte la Ayuda en lnea o la Gua del usuario para esos
productos. Se puede visualizar y descargar la documentacin ms reciente para estos productos en la
pgina Documentacin del producto de Fireware XTM:
http://www.watchguard.com/help/documentation/xtm.asp.
Nota Los trminos Firebox y dispositivo WatchGuard que se encuentran a lo largo de
toda esta documentacin se refieren a productos de WatchGuard que usan
Fireware XTM, como el dispositivo Firebox X Edge e-Series.
Componentes de Fireware XTM
Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,
seleccione el acceso directo desde el men de Inicio. WatchGuard Server Center tambin puede iniciarse
desde un cono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientas
que ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desde
WatchGuard System Manager (WSM).
el WatchGuard System Manager
WatchGuard System Manager (WSM) es la principal aplicacin para la administracin de red con Firebox.
WSMse puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usan
distintas versiones de software. WSMincluye un conjunto integral de herramientas que ayudan a
monitorear y controlar el trfico de red.
Policy Manager
Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjunto
completo de filtrados de paquetes preconfigurados, polticas de proxy y puertas de enlace de la
capa de aplicacin (ALG). El usuario tambin puede establecer un filtrado de paquetes
personalizado, una poltica de proxy o ALG en los cuales se configuran los puertos, los protocolos y
otras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusin en la
red, como ataques de congestin del servidor SYN, ataques de suplantacin de paquetes y sondeos
de espacio entre puertos o direcciones.
Para ms informaciones, vea Acerca del Policy Manager en la pgina 336.
Firebox System Manager (FSM)
El Firebox System Manager provee una interfaz para monitorear todos los componentes del
dispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y su
configuracin.
Gua del Usuario 11
Para ms informaciones, vea Acerca del Firebox System Manager (FSM) en la pgina 673.
HostWatch
HostWatch es un monitor de conexin en tiempo real que muestra el trfico de red entre
diferentes interfaces de Firebox. HostWatch tambin muestra informacin acerca de usuarios,
conexiones, puertos y servicios.
Para ms informaciones, vea Acerca de las HostWatch en la pgina 710.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo
de registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabras
claves o campos de registro especificados.
Params informaciones,veaAcercadelageneracin deregistros yarchivos deregistro enlapgina613.
Report Manager
El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Servers
para todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los Informes
WatchGuard disponibles para los dispositivos WatchGuard.
Para ms informaciones, vea Acerca de WatchGuard Report Manager en la pgina 750.
Administrador de CA
El Administrador de la autoridad de certificacin (CA) muestra una lista completa de certificados de
seguridad instalados en el equipo de administracin con Fireware XTM. Esta aplicacin puede
utilizarse para importar, configurar y generar certificados para uso con tneles VPN y otros fines de
autenticacin.
WatchGuard Server Center
WatchGuard Server Center es la aplicacin donde se configuran y monitorean todos los servidores
WatchGuard.
Para obtener ms informacin acerca de WatchGuard Server Center, consulte Configurar Servidores de
WatchGuard System Manager en la pgina 501.
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrar
todos los dispositivos de firewall y crear tneles de red privada virtual (VPN) utilizando una simple
funcin de arrastrar y soltar. Las funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolo
de Internet (IPSec).
n Administracin de la configuracin del tnel VPN.
n Administracin de mltiples dispositivos Firebox y Firebox X Edge.
Para obtener ms informacin sobre el Management Server, consulte Acerca del WatchGuard
Management Server en la pgina 511.
Log Server
El Log Server rene los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes de
registro estn cifrados cuando se envan al Log Server. El formato del mensaje de registro es XML
(texto sin formato). La informacin reunida de dispositivos de firewall incluye los siguientes
mensajes de registro: trfico, evento, alarma, depuracin (diagnstico) y estadstica.
Para ms informaciones, vea Configurar un Log Server en la pgina 621.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios a
categoras especficas de sitios web. Durante la configuracin del Firebox, el administrador establece
las categoras de sitios web para permitir o bloquear.
Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
WebBlocker en la pgina 981.
Quarantine Server
El Quarantine Server rene y asla mensajes de correo electrnico que segn la sospecha de
spamBlocker son spam o pueden tener un virus.
Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 1111.
Report Server
El Report Server peridicamente agrupa los datos reunidos por los Log Servers en los dispositivos
WatchGuard y luego genera informes en forma peridica. Una vez que los datos se encuentran en el
Report Server, se puede utilizar el Report Manager para generar y ver los informes.
Para obtener ms informacin acerca de informes y el Report Server, consulte Pgina Acerca de
Report Server en la pgina 733.
Fireware XTM Web UI e interfaz de la lnea de comandos
La Fireware XTMWeb UI y la Command Line Interface son soluciones de administracin alternativas que
pueden realizar la mayora de las mismas tareas que WatchGuard System Manager y el Policy Manager .
Algunas opciones y funciones de configuracin avanzada, como las configuraciones de FireCluster o poltica
de proxy, no estn disponibles en la Fireware XTMWeb UI o la Command Line Interface.
Fireware XTMcon Actualizacin Pro
La actualizacin Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,
como balance de carga en el servidor y tneles SSL VPN adicionales. Las funciones disponibles con una
actualizacin Pro dependen del tipo y el modelo de Firebox:
Funcin
Core e-
Series
Core/Peak e-Series
y XTM XTM1050
(Pro)
Edge e-
Series
Edge e-Series
(Pro)
FireCluster X
Gua del Usuario 13
Funcin
Core e-
Series
Core/Peak e-Series
y XTM XTM1050
(Pro)
Edge e-
Series
Edge e-Series
(Pro)
VLANs 75 mx.
75 mx. (Core)
200 mx. (Peak/XTM
1050)
20 mx. 50 mx.
Dynamic Routing (OSPF y BGP) X
Enrutamiento basado en la poltica X X
Balance de carga en el servidor X
Tneles SSLVPN mximos X X
Conmutacin por error de WAN
mltiples
X X X
Balance de carga de WAN
mltiples
X X
Para adquirir Fireware XTMcon una actualizacin Pro, comunquese con su revendedor local.
Gua del Usuario 14
Gua del Usuario 15
3
Servicio y soporte
Acerca de las Soporte de WatchGuard
WatchGuard sabe qu importante resulta el soporte cuando debe asegurar su red con recursos limitados.
Nuestros clientes requieren ms conocimiento y asistencia en un mundo donde la seguridad es de
importancia crtica. LiveSecurity Service le proporciona el respaldo que necesita, con una suscripcin que
respalda su dispositivo WatchGuard desde el momento del registro.
LiveSecurity Service
Su dispositivo WatchGuard incluye una suscripcin al innovador LiveSecurity Service, que se activa en lnea
cuando registra el producto. En el momento de la activacin, la suscripcin de LiveSecurity Service le
otorga acceso a un programa de soporte y mantenimiento sin comparacin en la industria.
LiveSecurity Service viene con los siguientes beneficios:
Garanta de hardware con reemplazo de hardware avanzado
Una suscripcin activa de LiveSecurity extiende la garanta de hardware de un ao incluida con cada
dispositivo WatchGuard. Su suscripcin adems ofrece el reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,
WatchGuard le enviar una unidad de reemplazo antes de que tenga que enviar el hardware
original.
Actualizaciones de software
Su suscripcin de LiveSecurity Service le proporciona acceso a las actualizaciones del software
actual y a las mejoras funcionales para sus productos WatchGuard.
Soporte tcnico
Cuando necesita asistencia, nuestros equipos expertos estn listos para ayudarlo:
n Representantes disponibles 12 horas al da, 5 das a la semana en su zona horaria local*
n Tiempo mximo de respuesta inicial focalizada de cuatro horas
n Acceso a foros para usuarios en lnea moderados por ingenieros generales de soporte
Recursos y alertas de soporte
Su suscripcin de LiveSecurity Service le brinda acceso a una variedad de videos instructivos de
produccin profesional, cursos de capacitacin interactivos en Internet y herramientas en lnea
diseadas especficamente para responder las preguntas que pueda tener acerca de la seguridad de
red en general o los aspectos tcnicos de la instalacin, la configuracin y el mantenimiento de sus
productos WatchGuard.
Nuestro Equipo de respuesta rpida, un grupo dedicado de expertos en seguridad de red,
monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones de
LiveSecurity para indicarle de manera especfica lo que debe hacer para encargarse de cada nueva
amenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo de
avisos y alertas que le enva LiveSecurity Service.
LiveSecurity Service Gold
LiveSecurity Service Gold est disponible para las compaas que requieren disponibilidad las 24 horas.
Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos de
respuesta ms rpidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold es
necesario en cada unidad de su organizacin para contar con una cobertura completa.
Caractersticas del servicio LiveSecurity Service
LiveSecurity
Service Gold
Horarios de soporte tcnico
De lunes a viernes, de 6.00a.
m. a 6.00p.m.*
las 24 horas
Nmero de incidentes de soporte
(en lnea o por telfono)
5 por ao Ilimitada
Tiempo de respuesta inicial focalizada 4 horas 1 hora
Foro de soporte interactivo S S
Actualizaciones de software S S
Herramientas de autoayuda y capacitacin en lnea S S
Transmisiones de LiveSecurity S S
Asistencia de instalacin Opcional Opcional
Paquete de soporte de tres incidentes Opcional N/A
Actualizacin de respuesta de prioridad
de una hora, para un solo incidente
Opcional N/A
Actualizacin para un solo incidente fuera del
horario de trabajo habitual
Opcional N/A
Servicio y soporte
Servicio y soporte
Gua del Usuario 17
* En la regin del pacfico asitico, los horarios de soporte estndar son de lunes a viernes, de 9.00a.m. a 9.00p.m.
(GMT +8).
Expiracin del servicio
Le recomendamos mantener su suscripcin activa para asegurar su organizacin. Cuando su suscripcin de
LiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones de
software peridicas, lo que puede poner su red en peligro. El dao a la red resulta mucho ms costoso que
una renovacin de la suscripcin de LiveSecurity Service. Si realiza la renovacin dentro de 30 das, no se
le cobrar una tarifa de reingreso.
Servicio y soporte
Gua del Usuario 18
Gua del Usuario 19
4
Introduccin
Antes de empezar
Antes de empezar el proceso de instalacin, asegrese de concluir las tareas descritas en las siguientes
secciones.
Nota En esas instrucciones de instalacin, suponemos que su dispositivo WatchGuard
tenga una interfaz de confianza, una externa y una opcional configurada. Para
configurar interfaces adicionales en su dispositivo, use las herramientas y
procedimientos de configuracin descritos en los tpicos Configuracin de red y
Configuracin.
Verificar componentes bsicos
Asegurarse de que tiene esos tems:
n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instalados
n Un dispositivo Firebox o XTMde WatchGuard
n Un cable serial (azul)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable cruzado de Ethernet (rojo)
solamente modelos Firebox X Core, Peak y XTM de WatchGuard
n Un cable recto de Ethernet (verde)
n Cable de energa o adaptador de energa CA
Obtener tecla de funcin del dispositivo WatchGuard
Para habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio web
de LiveSecurity de WatchGuard y obtener su tecla de funcin. El Firebox tiene slo una licencia de usuario
(licencia por puesto) hasta que aplica su tecla de funcin.
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de su
tecla de funcin en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de funcin
en el asistente, an puede finalizarlo. Hasta que se agregue la tecla de funcin, slo una conexin es
permitida a Internet.
Tambin se obtiene una nueva tecla de funcin para cualquier producto o servicio opcional cuando los
compra. Despus de registrar su dispositivo WatchGuard o cualquier nueva funcin, puede sincronizar su
tecla de funcin del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio de
LiveSecurity de WatchGuard. Puede usar WatchGuard System Manager (WSM) en cualquier momento para
obtener su tecla de funcin.
Para saber cmo registrar su dispositivo WatchGuard y obtener una tecla de funcin, vea Obtener una tecla
de funcin junto a LiveSecurity en la pgina 63.
Recoger direcciones de red
Recomendamos que registre su informacin de red antes y despus de configurar su dispositivo
WatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo en
funcionamiento.
WatchGuard usa la notacin diagonal para mostrar la Subnet Mask. Para ms informaciones, vea Acerca de
las Notacin diagonal en la pgina 3. Para ms informacin acerca de las direcciones IP, vea Acerca de las
Direcciones IP en la pgina 3.
Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard
Red de rea Amplia _____._____._____._____ / ____
Puerta de enlace predeterminada _____._____._____._____
Red de rea local _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Servidor(es) Pblico(s) (si corresponde) _____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para sus direcciones IP de red despus de poner su dispositivo WatchGuard en
funcionamiento.
Interfaz externa
Conecta a la red externa (generalmente Internet) que no sea de confianza.
Interfaz de confianza
Conecta a la red interna o LAN (red de rea local) privada que desea proteger.
Introduccin
Introduccin
Gua del Usuario 21
Interfaz opcional
Generalmente conecta a un rea de confianza combinada de su red, tales como servidores en DMZ
(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.
Tabla 1: Direcciones IP de red con el dispositivo WatchGuard
Puerta de enlace predeterminada _____._____._____._____
Interfaz externa _____._____._____._____/ ____
Interfaz de confianza _____._____._____._____ / ____
Interfaz opcional _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Seleccione un modo configuracin de firewall
Debe elegir cmo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick Setup
Wizard. La forma como conecta el dispositivo controla la configuracin de la interfaz. Cuando conecta el
dispositivo, selecciona el modo de configuracin enrutado o directo que mejor de adecue a su red
actual.
Muchas redes funcionan mejor con la configuracin de enrutamiento combinado, pero recomendamos el
modo directo si:
n Ya asign un gran nmero de direcciones IP estticas y no desea alterar su configuracin de red.
n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP
pblicas con direcciones IP privadas.
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar el
modo configuracin del firewall.
Modo de enrutamiento combinado Modo directo
Todas las interfaces del dispositivo WatchGuard
estn el redes diferentes.
Todas las interfaces del dispositivo WatchGuard
estn en la misma red y tienen la misma direccin
IP.
Las interfaces de confianza y opcional deben estar
en redes diferentes. Cada interfaz tiene una
direccin IP en su red.
Los equipos en las interfaces de confianza u opcional
pueden tener una direccin IP pblica.
Use la NAT (traduccin de direccin de red)
esttica para asignar direcciones pblicas a
direcciones privadas detrs de las interfaces de
confianza u opcionales.
La NAT no es necesaria porque los equipos con
acceso pblico tienen direcciones IP.
Para ms informacin acerca del modo directo, vea Acerca de la configuracin de red en modo directo en
la pgina 104.
Para ms informacin acerca del modo de enrutamiento combinado, vea Modo de enrutamiento
combinado en la pgina 96.
El dispositivo WatchGuard tambin soporta un tercer modo configuracin llamado modo puente. Ese modo
es usado con menos frecuencia. Para ms informacin acerca del modo puente, vea Modo Bridge en la
pgina 110.
Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSMpara crear su
configuracin inicial. Cuando ejecuta el Web Setup Wizard, la configuracin
firewall es automticamente definida en modo de enrutamiento combinado.
Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo en
modo de enrutamiento combinado o modo directo.
Decidir dnde instalar el software del servidor
Cuando ejecuta el WatchGuard System Manager Installer, puede instalar el WatchGuard System Manager y
los servidores WatchGuard en el mismo equipo. Tambin puede usar el mismo procedimiento de
instalacin para instalar los servidores WatchGuard en diferentes equipos. Eso ayuda a distribuir la carga del
servidor y a ofrecer redundancia. Para asegurar que el Management Server funciona correctamente, debe
instalarlo en un equipo que tambin tenga el WSMinstalado. Para decidir si instalar el software del servidor,
debe examinar la capacidad de su equipo de administracin y seleccionar el mtodo de instalacin que
coincida con su ambiente.
Si instal el software del servidor en un equipo con firewall de escritorio activo diferente del Windows
Firewall, debe abrir los puertos necesarios para que los servidores se conecten a travs del firewall. Los
usuarios del Windows Firewall no tienen que alterar su configuracin de firewall de escritorio porque el
programa de instalacin abre los puertos necesarios a travs del Windows Firewall automticamente.
Para ms informaciones, vea Instalar Servidores de WatchGuard en equipos con firewalls de escritorio en la
pgina 36 .
Para iniciar el proceso de instalacin, Instale el software WatchGuard System Manager.
Instale el software WatchGuard System Manager
Puede instalar el software WatchGuard System Manager (WSM) en un equipo que se asigna como el equipo
de administracin. Puede usar herramientas en el equipo de administracin para obtener acceso a
informacin en el Firebox, tal como estado de tnel y conexin, estadstica de trfico y mensajes de
registro.
Seleccione un equipo con Windows en su red como el equipo de administracin e instale el software de
administracin. Para instalar el software WatchGuard System Manager, debe tener privilegios de
administrador en el equipo de administracin. Despus de la instalacin, puede operar con privilegios de
Power User del Windows XP o Windows 2003.
Puede instalar ms de una versin del WatchGuard System Manager en el mismo equipo de administracin.
No obstante, slo puede instalar una versin del software del servidor en un equipo a la vez. Por ejemplo,
no se puede tener dos Management Servers en el mismo equipo.
Introduccin
Introduccin
Gua del Usuario 23
Haga una copia de seguridad de su configuracin anterior
Si tiene una versin anterior del WatchGuard System Manager, haga una copia de seguridad de su
configuracin de poltica de seguridad antes de instalar una nueva versin. Para instrucciones acerca de
cmo hacer una copia de seguridad de su configuracin, vea Hacer una copia de seguridad de la imagen de
Firebox en la pgina 47.
Descargar WatchGuard System Manager
Puede descargar el software del WatchGuard System Manager ms reciente en cualquier momento en el
https://www.watchguard.com/archive/softwarecenter.asp. Debe iniciar sesin con sus credenciales de
usuario de LiveSecurity. Si es un nuevo usuario, antes de descargar el software de WSMdebe crear un
perfil del usuario y activar su producto en http://www.watchguard.com/activate.
El software de estacin de administracin est disponible en dos niveles de cifrado. Asegrese de
seleccionar el nivel de cifrado correcto. Para ms informaciones, vea Acerca de niveles de cifrado de
software en la pgina 24.
Nota Si instala uno de los servidores WSMen un equipo con firewall personal, diferente
del firewall de Microsoft Windows, debe abrir los puertos para que los servidores
se conecten a travs del firewall. Para permitir las conexiones al WebBlocker
Server, abra el puerto UDP 5003. No es necesario cambiar su configuracin si usa
el firewall de Microsoft Windows. Para ms informacin, vea Instalar Servidores
de WatchGuard en equipos con firewalls de escritorio en la pgina 36.
Para instalar el Management Server:
1. En el equipo de administracin, descargue el ltimo software de WatchGuard System Manager
(WSM).
2. En el mismo equipo, descargue el software ms reciente del dispositivo Fireware.
3. Ejecute el Instalador y use las instrucciones para concluir la instalacin.
El Instalador incluye una pgina Seleccionar componentes , en la cual se seleccionan los
componentes de software o actualizaciones que instalar.
Asegrese de seleccionar las casillas de verificacin slo para los componentes que desea instalar.
Algunos componentes del software requieren de una licencia diferente.
4. Ejecute el Quick Setup Wizard. Puede ejecutar ese asistente a partir de la web o como una
aplicacin de Windows.
n Para instrucciones acerca de cmo ejecutar el asistente a partir de la web, vea Ejecutar el Web
Setup Wizard en la pgina 25.
n Para instrucciones acerca de cmo ejecutar el asistente como aplicacin de Windows, vea
Ejecutar el Quick Setup Wizard del WSMen la pgina 29.
Acerca de niveles de cifrado de software
El software de estacin de administracin est disponible en esos dos niveles de cifrado:
Base
Soporta cifrado de 40 bits para tneles de Mobile VPNwith PPTP. No se puede crear un tnel VPN
de IPSec con ese nivel de cifrado.
Alta seguridad
Soporta cifrado de 40 bits y 128 bits para tneles de Mobile VPNwith PPTP. Tambin soporta DES de
56 bits y de 168 bits, y AES de 128 bits, 192 bits y 256 bits.
Para usar conexin a red privada virtual con IPSec, debe descargar el software de cifrado de alta seguridad.
Los lmites de exportacin de alta seguridad se aplican al software de cifrado de alta seguridad. Puede ser
que no est disponible para descarga en su regin.
Introduccin
Introduccin
Gua del Usuario 25
Acerca del Quick Setup Wizard
Se puede usar la Quick Setup Wizard para crear una configuracin bsica para su dispositivo WatchGuard. El
dispositivo usa ese archivo de configuracin bsica cuando se inicia por primera vez. Eso permite que
funcione como un firewall bsico. Puede usar ese mismo procedimiento a cualquier momento para
restablecer el dispositivo en una configuracin bsica nueva. Eso es til para la recuperacin del sistema.
Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen slo las polticas bsicas
(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tiene
ms aplicaciones de software y trfico de red para que el dispositivo busque, debe:
n Configurar las polticas en el dispositivo WatchGuard para dejar pasar el trfico necesario
n Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Puede ejecutar el Quick Setup Wizard a partir de un explorador web o como una aplicacin de Windows.
Para instrucciones acerca de cmo ejecutar el asistente a partir del explorador web, vea Ejecutar el Web
Setup Wizard en la pgina 25.
Para instrucciones acerca de cmo ejecutar el asistente como aplicacin de Windows, vea Ejecutar el Quick
Setup Wizard del WSMen la pgina 29.
Ejecutar el Web Setup Wizard
Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el Fireware
XTMv11.0 o posterior. Si su dispositivo WatchGuard usa una versin anterior del
software, debe actualizar para el Fireware XTM antes de usar esas instrucciones.
Vea las Notas de versin para las instrucciones de actualizacin para su modelo de
Firebox.
Puede usar el Web Setup Wizard para hacer una configuracin bsica en un dispositivo WatchGuard XTMo
Firebox X e-Series. El Web Setup Wizard automticamente configura el Firebox en el modo de
enrutamiento combinado.
Para usar el Web Setup Wizard, debe hacer una conexin de red directa hacia el dispositivo WatchGuard y
usar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, l usa DHCP
para enviar una nueva direccin IP a su equipo equipo.
Antes de iniciar el Web Setup Wizard, asegrese de:
n Registrar su dispositivo WatchGuard con el LiveSecurity Service
n Almacenar una copia de la tecla de funcin del dispositivo WatchGuard en un archivo de texto en su
equipo equipo
Iniciar el Web Setup Wizard
1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo de
administracin a la interfaz de confianza del Firebox.
n Paraun dispositivoFirebox X Core, Peak e-Series, o XTM, la interfaz de confianzaes lanmero 1
n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energa a la entrada de energa del dispositivo WatchGuard y a una fuente de
energa.
3. Inicie el Firebox en modo predeterminado de fbrica. En los modelos Core, Peak y XTM, eso se
conoce como modo seguro.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTMa una configuracin anterior
o nueva en la pgina 58.
4. Asegrese de que suequipoequipoest configuradoparaaceptar unadireccinIP asignadapor DHCP.
Si su equipo equipo usa Windows XP:
n En el men Windows Inicio, seleccione Todos los programas > Panel de control > Conexiones
de red > Conexiones de rea local.
n Haga clic en Propiedades.
n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.
n Asegrese de que Obtener una direccin IP automticamente est seleccionado.
5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuracin
proxy HTTP en su explorador.
Para ms informaciones, vea Desactive el proxy de HTTP en el explorador en la pgina 39.
6. Abra el explorador web e ingrese la direccin IP predeterminada de fbrica de interfaz 1.
Para un Firebox XCore o Peak, o un dispositivo WatchGuard XTM, la direccin IP es:
https://10.0.1.1:8080.
Para un Firebox XEdge, la direccin es: https://192.168.111.1:8080.
Si usa el Internet Explorer, asegrese de ingresar el https:// al principio de la direccin IP. Eso
establece una conexin HTTP segura entre su equipo de administracin y el dispositivo WatchGuard.
El Web Setup Wizard se inicia automticamente.
7. Registre las credenciales de cuenta del administrador:
Nombre de usuario:admin
Frase de contrasea: lecturaescritura
8. Complete las siguientes pantallas del asistente.
El Web Setup Wizard incluye ese grupo de cuadros de dilogo. Algunos cuadros de dilogo aparecen
slo si selecciona ciertos mtodos de configuracin:
Ingresar
Ingresar con las credenciales de cuenta del administrador. Para Nombre de usuario, seleccione
admin. Para Frase de contrasea, use la frase:lecturaescritura.
Bienvenido
La primera pantalla le informa sobre el asistente.
Seleccione un tipo de configuracin.
Seleccione si prefiere crear una nueva configuracin o restaurar una configuracin a partir de
una imagen de copia de seguridad guardada.
Acuerdo de licencia
Debe aceptar el acuerdo de licencia para continuar con el asistente.
Introduccin
Introduccin
Gua del Usuario 27
Opciones de tecla de funcin, Retener tecla de funcin, Aplicar tecla de funcin
Si su Firebox todava no tiene una tecla de funcin, el asistente provee opciones para que
descargue o importe una tecla de funcin. El asistente slo puede descargar una tecla de
funcin si tiene una conexin a Internet. Si descarg una copia local de la tecla de funcin a su
equipo, puede pegarla en el asistente de configuracin.
Si el Firebox no tiene una conexin a Internet mientras ejecuta el asistente y no se registr el
dispositivo ni descarg la tecla de funcin a su equipo antes de haber iniciado el asistente,
puede elegir no aplicar una tecla de funcin.
Advertencia Si no aplica una tecla de funcin en el Web Setup Wizard, debe registrar el
dispositivo y aplicar la tecla de funcin en el Fireware XTMWeb UI. La
funcionalidad del dispositivo es limitada hasta que se aplique una tecla de funcin.
Configurar la interfaz externa de su Firebox
Seleccione el mtodo que su ISP usa para asignar su direccin IP. Las opciones son DHCP, PPPoE
o esttica.
Configurar la interfaz externa para DHCP
Ingrese su identificacin de DHCP, tal como su ISP la provee.
Configurar la interfaz externa para PPPoE
Ingrese su informacin de PPPoE, tal como su ISP la provee.
Configurar la interfaz externa con una direccin IP esttica
Ingrese su direccin IP esttica, tal como su ISP la provee.
Configurar los servidores DNS y WINS
Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice
Configurar la interfaz de confianza del Firebox
Ingrese la direccin IP de la interfaz de confianza. Como opcin, puede activar el servidor DHCP
para la interfaz de confianza.
Inalmbrico (Firebox X Edge e-Series inalmbrico solamente)
Define la regin de funcionamiento, canal y modo inalmbrico. La lista de regiones de
funcionamiento inalmbrico que puede seleccionar puede ser diferente segn donde haya
adquirido su Firebox.
Para ms informaciones, vea Acerca de configuraciones de radio en Firebox XEdge e-Series
inalmbrico en la pgina 209.
Crear frases de contrasea para su dispositivo
Ingrese una frase de contrasea para el estado (slo lectura) y cuentas de administracin
admin (lectura/escritura) en el Firebox.
Habilitar administracin remota
Active la administracin remota si desea administrar ese dispositivo desde la interfaz externa.
Agregue la informacin de contacto para su dispositivo
Puede ingresar un nombre de dispositivo, ubicacin e informacin de contacto y guardar los
datos de administracin para ese dispositivo. Por defecto, el nombre del dispositivo se
configura con el nmero de modelo de su Firebox. Recomendamos que elija un nombre nico
que pueda usar para identificar fcilmente ese dispositivo, especialmente si usa administracin
remota.
Configurar la zona horaria
Seleccione la zona horaria en la que el Firebox est ubicado.
El Quick Setup Wizard est concluido
Despus de concluir el asistente, el dispositivo WatchGuard se reinicia.
Si deja el Web Setup Wizard ocioso por 15 minutos o ms, debe volver al Paso 3 e iniciar nuevamente.
Nota Si cambia la direccin IP de la interfaz de confianza, debe cambiar su
configuracin de red para asegurarse de que su direccin IP coincide con la subred
de la red de confianza antes de conectase al Firebox. Si usa DHCP, reinicie su
equipo.
Despus que el asistente se concluye
Despus que completa todas las pantallas en el asistente, se hace una configuracin bsica del dispositivo
WatchGuard que incluye cuatro polticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) y
las direcciones IP de interfaz especificadas. Puede usar Policy Manager para expandir o cambiar la
configuracin para su dispositivo WatchGuard.
n Para ms informacin acerca de como concluir la instalacin de su dispositivo WatchGuard despus
que se concluye el Web Setup Wizard, vea Concluya su instalacin en la pgina 31.
n Para informacin acerca de como iniciar el WatchGuard System Manager, vea Iniciar el WatchGuard
System Manager en la pgina 32.
Si tiene problemas con el asistente
Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTMen el dispositivo
WatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:
n El archivo del software de la aplicacin Fireware XTMdescargado del sitio web LiveSecurity podra
estar corrompido. Si la imagen del software est corrompida, en un dispositivo Firebox X Core, Peak
o XTM, este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez ms.
n Si usa el Internet Explorer 6, limpie el cach del archivo en el explorador web e intente
nuevamente.
Para limpiar el cach, en el Internet Explorer seleccione Herramientas > Opciones de Internet >
Borrar archivos.
Introduccin
Introduccin
Gua del Usuario 29
Ejecutar el Quick Setup Wizard del WSM
Nota Esas instrucciones son para el Quick Setup Wizard en un dispositivo Firebox o XTM
que usa el Fireware XTMv11.0 o posterior. Si su dispositivo usa una versin
anterior del software, debe actualizarse al Fireware XTMantes de usar esas
instrucciones. Consulte las Notas de lanzamiento incluidas con su dispositivo para
conocer las instrucciones de actualizacin.
El Quick Setup Wizard se ejecuta como una aplicacin Windows para ayudar a hacer un archivo de
configuracin bsico. Puede usar el Quick Setup Wizard con cualquier dispositivo Firebox X Core e-Series,
Firebox X Peak e-Series o WatchGuard XTM. Este archivo de configuracin bsico permite que su dispositivo
opere como un firewall bsico cuando lo inicia por primera vez. Despus de ejecutar el Quick Setup Wizard,
puede utilizar el Policy Manager para ampliar o cambiar la configuracin.
El Quick Setup Wizard usa un procedimiento de bsqueda de dispositivo para encontrar el modelo del
dispositivo Firebox o XTMque desea configurar. Ese procedimiento usa la UDP multicast. Los firewalls de
software (por ejemplo, el firewall en el Microsoft Windows XP SP2) pueden causar problemas con la
bsqueda de dispositivo.
Antes de empezar
Antes de iniciar el Quick Setup Wizard, asegrese de lo siguiente:
n Registrar su dispositivo Firebox o XTMcon el LiveSecurity Service.
n Almacenar una copia de su tecla de funcin en un archivo de texto en su equipo de administracin.
n Descargar los archivos de instalacin de WSMy Fireware XTMdesde el sitio web de LiveSecurity
Service hacia su equipo de administracin.
n Instalar el software WSMy Fireware XTMen su equipo de administracin.
n Configurar el equipo de administracin con una direccin IP esttica en la misma red que la interfaz
de confianza de su dispositivo.
O configurar el equipo de administracin para que acepte una direccin IP asignada por DHCP.
Iniciar el Quick Setup Wizard
1. Use el cable cruzado de Ethernet de color rojo que viene con su dispositivo Firebox o XTMpara
conectar el equipo de administracin a la interfaz de confianza del dispositivo.
n Para un dispositivo Firebox X Core e-Series, Firebox X Peak e-Series o XTM, la interfaz de
confianza es la nmero 1.
n Para un Firebox X Edge e-Series, la interfaz de confianza es la LAN0.
2. Desde el men de inicio de Windows, seleccioneTodos los programas> WatchGuard System
Manager 11.x > Quick Setup Wizard.
O desde WatchGuard System Manager, seleccione Herramientas > Quick Setup Wizard.
Se inicia el Quick Setup Wizard.
3. Complete el asistente para configurar su dispositivo Firebox o XTMcon una configuracin bsica. Los
pasos incluyen:
Identificar y buscar su dispositivo.
Seguir las instrucciones para la bsqueda del dispositivo. Es posible que necesite seleccionar el
modelo de su dispositivo Firebox o XTMo volver a conectar el cable cruzado de Ethernet.
Despus que el asistente descubre el dispositivo Firebox o XTM, se le da un nombre que
identifica ese dispositivo en el WatchGuard System Manager y en los archivos e informes de
registro.
Seleccione un procedimiento de configuracin
Seleccione si desea instalar el sistema operativo de Fireware XTMy crear una nueva
configuracin o si slo desea crear una nueva configuracin para su dispositivo Firebox o XTM.
Agregar una tecla de funcin
Siga las instrucciones para descargar la tecla de funcin desde el sitio web de LiveSecurity
Service o navegue hasta la ubicacin del archivo de la tecla de funcin que descarg con
anterioridad.
Configurar la interfaz externa
Puede configurar la interfaz externa con una direccin IP esttica o puede configurarla para
usar una direccin IP asignada con DHCP o PPPoE. Adems, debe agregar una direccin IP para
la puerta de enlace predeterminada del dispositivo Firebox o XTM. Esa es la direccin IP de su
ruta de puerta de enlace.
Configurar las interfaces externas
Seleccione las direcciones IP para usar para las interfaces de confianza y opcionales. Si desea
configurar el dispositivo Firebox o XTMen modo drop-in, tambin puede utilizar la direccin IP
de la interfaz externa para estas interfaces.
Para ms informacin acerca del modo drop-in, vea Acerca de la configuracin de red en modo
directo en la pgina 104.
Definir frases de contrasea
Debe crear dos frases de contrasea para las conexiones con el dispositivo Firebox o XTM: una
frase de contrasea de estado para conexiones de slo lectura y una contrasea de
configuracin para conexiones de lectura-escritura. Ambas frases de contrasea deben tener al
menos 8 caracteres de extensin y deben ser diferentes una de la otra.
4. Paracerrar el asistente, hagaclic enFinalizar.
El asistente guardala configuracinbsica enel dispositivoFirebox oXTM y en unarchivo de configuracin local.
Despus que el asistente finaliza
Si cambi la direccin IP de su equipo de administracin para ejecutar el Quick Setup Wizard, es posible
que deba volver a cambiar la direccin IP despus de completar el asistente. Tambin es posible que deba
esperar aproximadamente un minuto antes de que el dispositivo Firebox o XTMest listo, especialmente
con los modelos Firebox X Peak X5500e, X6500e, X8500e y X8500e-F.
Introduccin
Introduccin
Gua del Usuario 31
Despus de completar el asistente, el dispositivo Firebox o XTMutiliza una configuracin bsica que incluye
cinco polticas (TCP y UDP salientes, filtro de paquetes FTP, ping, WatchGuard y WatchGuard Web UI) y las
direcciones IP de las interfaces especificadas. Puede usar el Policy Manager para cambiar esta configuracin
bsica.
n Para ms informacin acerca de cmo concluir la instalacin de su dispositivo Firebox o XTM
despus que se concluye el Quick Setup Wizard, vea Concluya su instalacin en la pgina 31.
n Para informacin acerca de como iniciar WatchGuard System Manager, vea Iniciar el WatchGuard
Concluya su instalacin
Despus de concluir o el Web Setup Wizard o el Quick Setup Wizard del WSM, debe concluir la instalacin
de su dispositivo WatchGuard en su red.
1. Ponga el dispositivo WatchGuard en su ubicacin fsica permanente.
2. Asegrese de que la puerta de enlace del equipo de administracin y el resto de la red de confianza
sea la direccin IP de la interfaz de confianza de su dispositivo WatchGuard.
3. Para conectar el equipo de administracin a su dispositivo dispositivo WatchGuard, abra el
WatchGuard System Manager y seleccione Archivo > Conectar al dispositivo.
Nota Debe usar la frase de contrasea de estado (slo lectura) para conectarse al
dispositivo WatchGuard.
4. Si usa una configuracin enrutada, asegrese de alterar la puerta de enlace puerta de enlace
predeterminada en todos los equipos que se conectan a su dispositivo WatchGuard para que la
direccin IP coincida con la de la interfaz de confianza del dispositivo WatchGuard.
5. Personalice su configuracin segn sea necesario para fines de seguridad de su empresa.
Para ms informacin, vea la siguiente seccin Personalizar su poltica de seguridad.
6. Si instal uno o ms servidores WatchGuard, Configurar Servidores de WatchGuard System
Manager.
Nota Si instal el software del servidor WatchGuard en un equipo con firewall de
escritorio activo diferente del Windows Firewall, debe abrir los puertos necesarios
para que los servidores se conecten a travs del firewall. Los usuarios del Windows
Firewall no tienen que alterar su configuracin. Para ms informaciones, vea
Instalar Servidores de WatchGuard en equipos con firewalls de escritorio en la
pgina 36.
Personalizar su poltica de seguridad
Su poltica de seguridad controla quin puede entrar y salir de su red y a qu parte de su red se puede
entrar. El archivo de configuracin de su dispositivo WatchGuard administra las polticas de seguridad.
Cuando haya concluido el Quick Setup Wizard, el archivo de configuracin creado slo era una
configuracin bsica. Se puede modificar esa configuracin para que est de acuerdo con su poltica de
seguridad de su negocio y los requisitos de seguridad de su empresa. Puede agregar polticas de proxy y
filtrado de paquetes para definir qu puede entrar y salir de su red. Cada poltica puede tener efectos
diferentes sobre su red. Las polticas que aumentan su seguridad de red pueden disminuir el acceso a ella.
A su vez, las polticas que aumentan el acceso a su red pueden poner en riesgo la seguridad de la misma.
Para ms informaciones acerca de polticas, vea Acerca de polticas en la pgina 335.
Para una nueva instalacin, recomendamos que use solo polticas de filtrado de paquetes hasta que todos
sus sistemas estn funcionando correctamente. Segn sea necesario, puede agregar polticas de proxy.
Acerca de las LiveSecurity Service
Su dispositivo WatchGuard incluye una suscripcin al LiveSecurity Service. Su suscripcin:
n Asegura de que tenga la proteccin de red ms reciente con las actualizaciones de software
tambin ms recientes
n Provee soluciones a sus problemas con recursos completos de soporte tcnico
n Previene interrupciones de servicio con mensajes y ayuda de configuracin para los problemas de
seguridad ms recientes
n Ayuda a aprender ms acerca de seguridad de red a travs de recursos de capacitacin
n Extiende su seguridad de red con software y otras funciones
n Extiende la garanta de su hardware con sustitucin avanzada
Para ms informacin acerca del LiveSecurity Service, vea Acerca de las Soporte de WatchGuard en la
pgina 15.
Iniciar el WatchGuard System Manager
En el equipo en el que WatchGuard System Manager (WSM) est instalado:
Seleccione Inicio> Todos los programas > WatchGuard System Manager 11.x > WatchGuard
System Manager 11.x .
Reemplace el 11.x en la ruta del programa por la versin actual del WSM instalada.
Aparece WatchGuard System Manager.
Para ms informacin acerca de cmo usar el WatchGuard System Manager (WSM), vea Acerca del
Se conecte a un dispositivo WatchGuard
1. Iniciar el WatchGuard System Manager.
2. Haga clic en .
O seleccione Archivo>Conectar al dispositivo.
O haga clic con el botn derecho en cualquier lugar en la ventana del WSM(pestaa Estado del
dispositivo) y seleccione Conectar al dispositivo.
Aparece el cuadro de dilogo "Conectar a Firebox".
Introduccin
Introduccin
Gua del Usuario 33
3. En la lista desplegable Nombre/DireccinIP, ingrese el nombre o direccin IP de su dispositivo
WatchGuard.
En las siguientes conexiones, puede seleccionar el nombre del dispositivo WatchGuard o direccin
IP en la lista desplegable Nombre/direccinIP.
4. En el cuadro de texto Frase de contrasea, inserte la frase de contrasea de estado (slo lectura)
del dispositivo WatchGuard.
La frase de contrasea de estado es usada para monitorear el trfico y las condiciones del dispositivo
WatchGuard. Debe ingresar la frase de contrasea de configuracin cuando guarda una nueva
configuracin en el dispositivo.
5. (Opcional) Cambiar el valor en el campo Tiempo de espera. Ese valor define el tiempo (en
segundos) que la estacin de administracin analiza los datos del Firebox antes de enviar un mensaje
diciendo que no puede obtener datos del dispositivo.
Si tiene una red o conexin a Internet lenta hacia el dispositivo, puede aumentar el valor de tiempo
de espera. Al disminuir el valor se disminuye tambin el tiempo que debe esperar por un mensaje
de tiempo de espera si intenta conectarse a un Firebox que no est disponible.
6. Haga clic en Ingresar.
El dispositivo WatchGuard aparece en la ventana del WatchGuard System Manager.
Desconectarse de un dispositivo WatchGuard
1. Seleccione la pestaa Estado del dispositivo.
2. Seleccione el dispositivo.
3.
Haga clic en .
O seleccione Archivo >Desconectar.
O haga clic con el botn derecho y seleccione Desconectar.
Desconectarse de todos los dispositivos WatchGuard
Si est conectado a ms de un dispositivo WatchGuard, puede desconectarse de todos ellos a la vez.
1. Seleccione la pestaa Estado del dispositivo.
2. Seleccione Archivo >Desconectar todos.
O haga clic con el botn derecho y seleccione Desconectar todos.
Comenzar aplicaciones de seguridad
Puede iniciar esas herramientas desde el WatchGuard System Manager.
Policy Manager
El Policy Manager permite instalar, configurar y personalizar las polticas de seguridad de red para su
Para ms informacin acerca del Policy Manager, vea Acerca del Policy Manager en la pgina 336.
Para iniciar el Policy Manager:
Haga clic en .
O seleccione Herramientas > Policy Manager.
Firebox System Manager
El Firebox System Manager permite iniciar diversas herramientas de seguridad en una interfaz fcil de usar.
Tambin puede usar el Firebox System Manager para monitorear el trfico en tiempo real a travs del
firewall.
Para ms informacin acerca del Firebox System Manager, vea Acerca del Firebox System Manager (FSM)
en la pgina 673.
Para iniciar Firebox System Manager:
Haga clic en .
O seleccione Herramientas >Firebox System Manager.
HostWatch
El HostWatch muestra las conexiones a travs de un dispositivo WatchGuard desde la red de confianza hacia
la red externa, o desde y hacia otras interfaces o VLANs que elija. Muestra las conexiones actuales o puede
mostrar historial de conexiones desde un archivo de registro.
Para ms informaciones acerca del HostWatch, vea Acerca de las HostWatch en la pgina 710 .
Para iniciar el HostWatch:
Haga clic en .
O seleccione Herramientas >HostWatch.
LogViewer
El LogViewer muestra una vista esttica de un archivo de registro. Puede usar el LogViewer para:
n Aplicar un filtro por tipo de datos
n Buscar palabras y campos
n Imprimir y guardar en un archivo
Para ms informaciones acerca del LogViewer, vea Usar LogViewer para ver los archivos de registro en la
pgina 655.
Para iniciar el LogViewer:
Introduccin
Introduccin
Gua del Usuario 35
Haga clic en .
O seleccione Herramientas >Registros >LogViewer.
Report Manager
Los WatchGuard Reports son resmenes de datos que seleccion recoger desde los archivos de registro del
dispositivo WatchGuard. Puede usar el Report Manager para ver la informacin en sus WatchGuard Reports.
Para ms informacin acerca del Report Manager, vea Acerca de WatchGuard Report Manager en la pgina
750.
Para iniciar el Report Manager:
Haga clic en .
O seleccione Herramientas >Registros >Report Manager.
Quick Setup Wizard
Puede usar el Quick Setup Wizard para crear una configuracin bsica para su dispositivo WatchGuard. El
dispositivo WatchGuard usa ese archivo de configuracin bsica cuando se inicia por primera vez. Eso
permite que el dispositivo funcione como un firewall bsico. Puede usar ese mismo procedimiento
siempre que desee restablecer el dispositivo WatchGuard en una nueva configuracin bsica, por
cuestiones de recuperacin u otras.
Para ms informacin acerca del Quick Setup Wizard, vea Acerca del Quick Setup Wizard en la pgina 25.
Para iniciar el Quick Setup Wizard:
Haga clic en .
O seleccione Herramientas > Quick Setup Wizard.
CAManager
En el WatchGuard System Manager, la estacin de trabajo que est configurada como Management Server
tambin funciona como una autoridad de certificacin (CA): La CA otorga certificados a los clientes Firebox
administrados cuando contactan el Management Server para recibir actualizaciones de configuracin.
Antes de usar el Management Server como una CA, debe Configurar la autoridad de certificacin en el
Management Server.
Configurar o alterar los parmetros de la autoridad de certificacin:
Haga clic en .
O seleccione Herramientas> CAManager.
Temas adicionales de instalacin
Instale el WSM y mantenga una versin ms antigua
Puede instalar la versin actual del WSM(WatchGuard System Manager) y mantener la versin antigua, con
tanto que no instale dos versiones del software del servidor de WatchGuard (Management Server, Log
Server, Report Server, Quarantine Server y WebBlocker Server). Como slo puede tener una versin de los
servidores instalada, debe remover el software del servidor de la versin ms antigua del WSMo instalar la
versin nueva del WSM sin el software de servidor. Recomendamos que remueva la versin anterior del
software del servidor antes de instalar la versin actual del WSMjunto con el software del servidor actual.
Instalar Servidores de WatchGuard en equipos con firewalls de
escritorio
Los firewalls de escritorio pueden bloquear los puertos necesarios para el funcionamiento de los
componentes del servidor WatchGuard. Antes de instalar el Management Server, Log Server, Report
Server, Quarantine Server o WebBlocker Server en un equipo con un firewall de escritorio activo, puede
necesitar abrir los puertos necesarios en el firewall de escritorio. Los usuarios del Windows Firewall no
necesitan alterar su configuracin porque el programa de instalacin abre los puertos necesarios en el
Windows Firewall automticamente.
Esta tabla muestra los puertos que debe abrir en un firewall de escritorio.
Tipo de Servidor/Software del dispositivo Protocolo/Puerto
Management Server TCP 4109, TCP 4110, TCP 4 TCP 112, TCP 4113
Log Server con el Fireware Appliance Software TCP 4115
Log Server con el software del dispositivoWFS TCP 4107
WebBlocker Server TCP 5003, UDP 5003
Quarantine Server TCP 4119, TCP 4120
Report Server TCP 4122
Log Server TCP 4121
Soporte de IP dinmico en la interfaz externa
Si usa direcciones IP dinmicas, debe configurar su dispositivo WatchGuard en modo enrutado cuando usa
el Quick Setup Wizard.
Introduccin
Introduccin
Gua del Usuario 37
Si selecciona DHCP, su dispositivo WatchGuard se conecta al servidor DHCP controlado por su proveedor de
servicios de Internet (ISP) para obtener su direccin IP, puerta de enlace y mscara de red. Ese servidor
tambin provee informacin del servidor DNS a su dispositivo WatchGuard. Si no provee esa informacin,
debe agregarla manualmente para su configuracin. Si necesario, puede alterar las direcciones IP que su ISP
le provee.
Tambin puede usar PPPoE. Tal como con el DHCP, el dispositivo WatchGuard establece una conexin de
protocolo PPPoE hacia el servidor PPPoE de su ISP. Esa conexin automticamente configura su direccin
IP, puerta de enlace y mscara de red.
Si usa PPPoE en la interfaz externa, debe tener el nombre de usuario y contrasea PPP cuando configura su
red. Si su ISP provee un domain name, ingrese su nombre de usuario en el formato usuario@dominio
cuando usa el Quick Setup Wizard.
Es necesaria una direccin IP esttica para que el dispositivo WatchGuard use algunas funciones. Cuando
configura el dispositivo WatchGuard para recibir direcciones IP dinmicas, el dispositivo no puede usar esas
funciones:
n FireCluster
n Modo directo
n 1-to-1 NAT en la interfaz externa
n Mobile VPN with PPTP
Nota Si su ISP usa una conexin PPPoE para proveer una direccin IP esttica, el
dispositivo WatchGuard le permite activar la Mobile VPN with PPTP porque la
direccin IP es esttica.
Acerca de la conexin de cables del Firebox de Firebox
n Conecte el cable de energa a la entrada de energa de Firebox y a una fuente de energa.
n Use un cable recto de Ethernet (verde) para conectar su equipo de administracin a un
concentrador o conmutador.
n Use un cable recto de Ethernet diferente para conectar su Firebox al mismo concentrador o
conmutador.
n Use un cable cruzado rojo para conectar la interfaz de confianza de Firebox al puerto Ethernet del
equipo de administracin.
Conctese a un Firebox con Firefox v3
Los exploradores web usan certificados para asegurar que el dispositivo del otro lado de una conexin
HTTPS sea el dispositivo que se espera. Los usuarios ven un aviso cuando el certificado es autofirmado o
cuando hay discrepancia entre la direccin IP o nombre del host solicitado y la direccin IP o nombre de
host en el certificado. Por defecto, su Firebox usa un certificado autofirmado que se puede usar para
configurar su red rpidamente. No obstante, cuando los usuarios se conectan a Firebox con un explorador
web, aparece un mensaje de aviso Error en la conexin segura.
Para evitar ese mensaje de error, recomendamos que agregue un certificado vlido firmado por una CA
(autoridad de certificacin) para su configuracin. Ese certificado de CA tambin puede ser usado para
mejorar la seguridad de la autenticacin por VPN. Para obtener ms informaciones sobre el uso de
certificados con los dispositivos Firebox, vea Acerca de los certificados en la pgina 773.
Si contina a usar el certificado autofirmado predeterminado, puede agregar una excepcin para Firebox
en cada equipo cliente. Las versiones actuales de la mayora de los exploradores web ofrecen un enlace en
el mensaje de aviso en el cual el usuario puede hacer clic para autorizar la conexin. Si su empresa usa
Mozilla Firefox v3, los usuarios pueden agregar una excepcin de certificado permanente antes de
conectarse al Firebox.
Las acciones que requieren una excepcin incluyen:
n Acerca de la autenticacin de usuario
n Instalar y conectar el cliente de Mobile VPN con SSL
n Ejecutar el Web Setup Wizard
n Conctese al Fireware XTM Web UI
n Acerca de los dispositivos Edge (v10.x y posterior) y SOHO como clientes administrados
Las URLs que suelen requerir una excepcin incluyen:
https://direccin IP o nombre de host de una interfaz Firebox:8080
https://direccin IP o nombre de host de una interfaz Firebox:4100
https://direccin IP o nome de host de Firebox:4100/sslvpn.html
Agregar una excepcin de certificado al Mozilla Firefox v3
Si agrega una excepcin en el Firefox v3 para el Firebox Certificate, el mensaje de aviso no aparece en las
conexiones siguientes. Debe agregar una excepcin separada para cada direccin IP, nombre de host y
puerto usado para conectarse al Firebox. Por ejemplo, una excepcin que usa un nombre de host que no
funciona adecuadamente si se conecta con una direccin IP. Del mismo modo, una excepcin que
especifica un puerto 4100 no se aplica a una conexin que no tiene un puerto especificado.
Nota Una excepcin de certificado no deja su equipo menos seguro. Todo el trfico de
red entre su equipo y el dispositivo WatchGuard permanece cifrado de modo
seguro con SSL.
Hay dos mtodos para agregar una excepcin. Debe poder enviar trfico al Firebox para agregar una
excepcin.
n Haga clic en el enlace en el mensaje de aviso Error en la conexin segura.
n Use el Administrador de Certificados del Firefox v3 para agregar excepciones.
En el mensaje de aviso Error en la conexin segura:
1. Haga clic en O puede agregar una excepcin.
2. Haga clic en Agregar excepcin.
Aparece el cuadro de dilogo "Agregar Excepcin de Seguridad".
3. Haga clic en Obtener Certificado.
4. Seleccione la casilla de verificacin Almacenar esa excepcin permanentemente.
5. Haga clic en Confirmar Excepcin de Seguridad.
Para agregar mltiples excepciones:
Introduccin
Introduccin
Gua del Usuario 39
1. En Firefox, seleccione Herramientas > Opciones.
Aparece el cuadro de dilogo "Opciones".
2. Seleccione Avanzado.
3. Haga clic en la pestaa Cifrado y despus haga clic en Visualizar certificados.
Abre el cuadro de dilogo Administrador de Certificados.
4. Haga clic en la pestaa Servidores, y despus en Agregar excepcin.
5. En el cuadro de texto Ubicacin, ingrese la URL para conectarse al Firebox. Las URLs ms comunes
estn listadas arriba.
6. Cuando aparece la informacin del certificado en el rea Estado del Certificado, haga clic en
Confirmar Excepcin de Seguridad.
7. Haga clic en OK. Para agregar ms excepciones, repita los Pasos 4-6.
Desactive el proxy de HTTP en el explorador
Muchos exploradores web estn configurados para usar un servidor proxy HTTP para aumentar la velocidad
de descarga de las pginas web. Para administrar o configurar el Firebox con la interfaz de administracin
web, su explorador debe conectase directamente con el dispositivo. Si usa un servidor proxy de HTTP, debe
desactivar temporalmente la configuracin de proxy HTTP en su explorador. Puede activar la configuracin
del servidor proxy HTTP en su explorador nuevamente despus que configure el Firebox.
Use esas instrucciones para desactivar el proxy HTTP en Firefox, Safari o Internet Explorer. Si est usando un
explorador diferente, use el sistema de Ayuda del explorador para encontrar la informacin necesaria.
Muchos exploradores automticamente desactivan la funcin de proxy del HTTP.
Desactivar el proxy HTTP en Internet Explorer 6.x o 7.x
1. Abra el Internet Explorer.
2. Seleccione Herramientas > Opciones de Internet.
Aparece el cuadro de dilogo de "Opciones de Internet".
3. Haga clic en la pestaa Conexiones.
4. Haga clic en Configuracin de LAN.
Aparece el cuadro de dilogo "Configuracin de red de rea local (LAN)".
5. Limpie la casilla de verificacin Usar un servidor proxy para su LAN.
6. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de red de rea local (LAN).
7. Haga clic en Aceptar para cerrar el cuadro de dilogo Opciones de Internet.
Desactivar el proxy HTTP en Firefox 2.x
1. Abra el Firefox.
2. Seleccione Herramientas > Opciones.
3. Haga clic en el icono Avanzado.
4. Haga clic en la pestaa Red. Haga clic en Configuraciones.
5. Haga clic en Configuraciones de conexin.
Aparece el cuadro de dilogo "Configuraciones de conexin".
6. Asegrese de que la opcin Conexin directa a Internet est seleccionada.
7. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de conexin.
8. Haga clic en Aceptar para cerrar el cuadro de dilogo Opciones.
Desactivar el proxy HTTP en Safari 2.0
1. Abra el Safari.
2. Seleccione Preferencias.
Aparece el cuadro de dilogo de "Preferencias" del Safari.
4. Haga clic en el botn Cambiar configuracin.
Aparece el cuadro de dilogo "Preferencias del Sistema".
5. Limpie la casilla de verificacin Proxy web (HTTP).
6. Haga clic en Aplicar ahora.
Buscar las propiedades TCP/IP
Para conocer las propiedades de la red, el usuario debe observar las propiedades TCP/IP de su equipo o de
cualquier otro equipo de la red. Debe contar con la siguiente informacin para instalar el dispositivo
WatchGuard:
n Direccin IP
n Mscara de subred
n Puerta de enlace predeterminada
n Direccin IP esttica o dinmica del equipo
Nota Si el ISP asigna al equipo del usuario una direccin IP que empieza con 10, 192.168
172.16 a 172.31, entonces el ISP utiliza NAT (Traduccin de direccin de red) y su
direccin IP es privada. Recomendamos obtener una direccin IP pblica para la
direccin IP externa de Firebox. Si el usuario tiene una direccin IP privada, puede
tener problemas con algunas funciones como la conexin a red privada virtual.
Para buscar las propiedades TCP/IP para el sistema operativo del equipo, se deben seguir las instrucciones
de las secciones siguientes.
Buscar las propiedades TCP/IP en Microsoft Windows Vista
1. Seleccione Inicio> Programas> Accesorios> Ventana de comandos.
Aparece el cuadro de dilogo Ventana de comandos.
2. En la ventana de comandos, ingrese ipconfig /all y presione Enter.
3. Anote los valores que se observan para el adaptador de red principal.
Buscar las propiedades TCP/IP en Microsoft Windows 2000, Windows
2003 y Windows XP
1. Seleccione Inicio> Todos los programas> Accesorios> Ventana de comandos.
Introduccin
Introduccin
Gua del Usuario 41
Buscar las propiedades TCP/IP en Microsoft Windows NT
1. Seleccione Inicio> Programas> Ventana de comandos.
Buscar las propiedades TCP/IP en Macintosh OS 9
1. Seleccione el Men Apple> Paneles de control> TCP/IP.
Aparece el cuadro de dilogo TCP/IP.
Buscar las propiedades TCP/IP en Macintosh OS X 10.5
1. Seleccione el Men Apple> Preferencias del sistema o seleccione el cono desde el dock.
Aparece el cuadro de dilogo Preferencias del sistema.
2. Haga clic en el cono Red.
Aparece el cuadro Preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que se observan para el adaptador de red.
Buscar las propiedades TCP/IP en otros sistemas operativos (Unix,
Linux)
1. Lea la gua del sistema operativo para encontrar las configuraciones TCP/IP.
Introduccin
Gua del Usuario 42
Gua del Usuario 43
5
Informacin bsica sobre
configuracin y administracin
Acerca de las tareas bsicas de configuracin y
administracin
Despus que su dispositivo WatchGuard est instalado en su red y configurado con un archivo de
configuracin bsica, puede comenzar a aadir configuraciones personalizadas. Los tpicos en esta seccin
lo ayuda a concluir esas tareas bsicas de administracin y mantenimiento.
Acerca de los archivos de configuracin
Un Archivo de configuracin incluye todos los datos, opciones, direcciones IP y otras informaciones de
configuracin que conforman la poltica de seguridad de su dispositivo WatchGuard. Los archivos de
configuracin tiene extensin .xml.
El Policy Manager es una herramienta de software WatchGuard que permite hacer alteraciones y guardar
los archivos de configuracin. Puede usar el Policy Manager para examinar y alterar fcilmente su archivo
de configuracin.
Cuando usa el Policy Manager, puede:
n Abrir un archivo de configuracin , o el archivo de configuracin actualmente en utilizacin el en
dispositivo WatchGuard o un archivo de configuracin local (un archivo de configuracin guardado
en su disco duro)
n Crear un nuevo archivo de configuracin
n Guardar el archivo de configuracin
n Hacer alteraciones en los archivos de configuracin existentes
Abrir un archivo de configuracin
Los administradores de red suelen necesitar hacer alteraciones en sus polticas de seguridad de red. Quizs,
por ejemplo, su empresa haya adquirido una nueva aplicacin de software y debe abrir un puerto y un
protocolo a un servidor en una ubicacin externa. Su empresa puede haber adquirido un nuevo recurso
para su dispositivo WatchGuard o contratado un nuevo empleado que necesita acceso a los recursos de
red. Para todas esas tareas, y muchas ms, debe abrir su archivo de configuracin, usar el Policy Manager
para alterarlo y luego guardar el archivo de configuracin.
Abra el archivo de configuracin con el WatchGuard System Manager
1. En el escritorio del Windows, seleccione
Inicio> Todos los programas > WatchGuard System Manager 11.x > WatchGuard System Manager
11.x.
El WatchGuard System Manager 11.x es el nombre predeterminado de la carpeta para los iconos del
men de Inicio. No puede cambiar el nombre de esta carpeta cuando ejecuta el instalador, pero
puede cambiarlo a travs de la interfaz de usuario de Windows.
2. Haga clic en .
O seleccione Archivo>Conectarse al dispositivo.
Aparece el cuadro de dilogo Conectarse a Firebox.
3. En la lista desplegable Nombre/Direccin IP, ingrese o seleccione la direccin IP de la interfaz de
confianza de su dispositivo WatchGuard. Ingrese la frase de contrasea de estado (slo lectura). Haga
clic en OK.
El dispositivo aparece en la pestaa de "Estado del Dispositivo WatchGuard System Manager".
4. Seleccione el Firebox en la pestaa Estado del dispositivo. Haga clic en .
El Policy Manager se abre con el archivo de configuracin en uso en el dispositivo seleccionado. Los
cambios que realiza en la configuracin no tienen efecto hasta que guarde la configuracin en el
Informacin bsica sobre configuracin y administracin
Gua del Usuario 45
Abrir un archivo de configuracin local
Puede abrir archivos de configuracin que estn guardados en cualquier unidad local o cualquier unidad de
red a la cual su estacin de administracin pueda conectarse.
Si desea usar un archivo de configuracin existente para un Firebox en estado predeterminado de fbrica,
recomendamos que primero ejecute el Quick Setup Wizard para crear una configuracin bsica y despus
abra el archivo de configuracin existente.
1. En WatchGuard System Manager, haga clic en .
Aparece el cuadro de dilogo Policy Manager.
2. Seleccione Abrir archivo de configuracin y haga clic en Examinar.
3. Seleccione el archivo de configuracin.
4. Haga clic en Abrir.
Aparece el archivo de configuracin en el Policy Manager.
Abrir el archivo de configuracin con el Policy Manager.
1. Haga clic en Archivo> Abrir > Firebox.
Aparece el cuadro de dilogo Abrir Firebox.
2. En la lista desplegable Direccin o nombre de Firebox, seleccione un Firebox.
Tambin puede ingresar una direccin IP o nombre de host.
3. En el cuadro de texto Frase de contrasea de estado, ingrese la frase de contrasea de estado (slo
lectura).
Debe usar la frase de contrasea de configuracin para guardar la configuracin en el dispositivo
WatchGuard.
4. Haga clic en OK.
Aparece el archivo de configuracin en el Policy Manager.
Si no puede conectarse al Firebox, intente estos pasos:
n Si el cuadro de dilogo Conectarse a Firebox o Abrir Firebox aparece inmediatamente despus que
ingresa la frase de contrasea, asegrese de que el botn Bloquear Maysculas est desactivado
cuando insert la frase de contrasea correctamente. La frase de contrasea distingue maysculas
de minsculas.
n Si agota el tiempo de espera del cuadro de dilogo Conectarse a Firebox o Abrir Firebox, asegrese
de que tiene un enlace en una interfaz de confianza y en su equipo. Asegrese de haber ingresado
la direccin IP correcta para la interfaz de confianza de Firebox. Asegrese tambin de que la
direccin IP de su equipo est en la misma red que la interfaz de confianza de Firebox.
Crear un nuevo archivo de configuracin
El Quick Setup Wizard crea un archivo de configuracin bsica para su Firebox. Recomendamos que lo use
como la base para cada uno de sus archivos de configuracin. Tambin puede usar el Policy Manager para
crear un nuevo archivo de configuracin slo con las propiedades de la configuracin predeterminada.
Aparece el Policy Manager.
2. Seleccione Crear nuevo archivo de configuracin para.
3. En la lista desplegable de Firebox, seleccione un tipo de configuracin.
4. Haga clic en OK.
Aparece el cuadro de dilogo "Seleccionar modelo y nombre de Firebox".
5. En la lista desplegable Modelo, seleccione el modelo de su Firebox. Como determinados conjuntos
de funciones son exclusivos de modelos especficos, seleccione el mismo modelo que su dispositivo
de hardware.
6. En el cuadro de texto Nombre, ingrese el nombre para el Firebox y el archivo de configuracin.
Tambin es utilizado para identificar el Firebox si es administrado por un WatchGuard Management
Server y para registrar y reportar.
7. Haga clic en OK.
El Policy Manager crea una nueva configuracin con el nombre de archivo <name>.xml, en la cual <name>
es el nombre otorgado al Firebox.
Guardar el archivo de configuracin
Si crea un nuevo archivo de configuracin o altera el archivo de configuracin actual y desea que sus
cambios tengan efecto en el dispositivo WatchGuard, debe guardar el archivo de configuracin
directamente en el dispositivo WatchGuard.
Tambin puede guardar el archivo de configuracin en cualquier unidad local o cualquier unidad de red a la
cual su estacin de administracin pueda conectarse. Si planea hacer una o ms alteraciones grandes en su
archivo de configuracin, recomendamos que primero guarde una copia del antiguo archivo de
configuracin. Si tiene problemas con su nueva configuracin, puede restaurar la versin antigua.
Guardar una configuracin directamente en Firebox
Puede usar el Policy Manager para guardar su archivo de configuracin directamente en el Firebox.
1. Haga clic en Archivo > Guardar > En Firebox.
Aparece el cuadro de dilogo Guardar en Firebox.
Gua del Usuario 47
2. En la lista desplegable Direccin o nombre de Firebox, seleccione o ingrese una direccinIP o
nombre. Si usa un nombre, ste debe pasar por el DNS.
Cuando ingresa una direccin IP, ingrese todos los nmeros y puntos. No use la tecla TAB o la tecla
de flechas.
3. Ingrese la Frase de contrasea de configuracin de Firebox. Debe usar la frase de contrasea de
configuracin para guardar la configuracin en el Firebox.
4. Haga clic en OK.
Guardar una configuracin en una unidad local o de red
Puede usar el Policy Manager para guardar su archivo de configuracin en una unidad local o de red.
1. Haga clic en Archivo >Guardar > Como archivo.
Tambin puede usar el CTRL-S. Aparece un cuadro de dilogo estndar para guardar archivos del Windows.
2. Ingrese el nombre del archivo.
La ubicacin predeterminada es el directorio My Documents\My WatchGuard\configs. Tambin
puede salvar el archivo en cualquier otra carpeta a la cual pueda conectarse desde la estacin de
administracin. Para mejor seguridad, recomendamos que guarde los archivos en una carpeta
segura que ningn otro usuario pueda acceder.
3. Haga clic en Guardar.
El archivo de configuracin es guardado en el directorio especificado.
Hacer una copia de seguridad de la imagen de
Firebox
Una imagen de copia de seguridad de Firebox es una copia cifrada y guardada de una imagen de disco flash
del disco flash de Firebox. Eso incluye el software del dispositivo Firebox, archivo de configuracin, licencias
y certificados. Puede guardar una imagen de copia de seguridad en su equipo de administracin o en un
directorio en su red. La imagen de copia de seguridad para un Firebox XEdge no incluye el software del
dispositivo Firebox.
Recomendamos que realice archivos de copia de seguridad de la imagen de Firebox peridicamente.
Tambin recomendamos que cree una imagen de copia de seguridad del Firebox antes de hacer cambios
significativos en la configuracin de su Firebox, o antes de actualizar su Firebox o el software del dispositivo.
1. Seleccionar Archivo> Copia de seguridad.
Aparece el cuadro de dilogo "Copia de seguridad".
2. Ingrese la Frase de contrasea de configuracin de su Firebox.
Aparece la segunda parte del cuadro de dilogo de "Copia de seguridad".
3. Ingrese y confirme una clave de cifrado. Esa es la clave utilizada para cifrar el archivo de copia de
seguridad. Si pierde o olvida la clave de cifrado, no puede restaurar el archivo de copia de
seguridad.
4. Haga clic en Examinar para seleccionar el directorio en donde guardar el archivo de copia de
seguridad.
La ubicacin predeterminada para el archivo de copia de seguridad con la extensin ".fxi" es:
C:\Documents and Settings\All Users\Shared WatchGuard\backups\<Firebox IP
address>-<date>.<wsm_version>.fxi
5. Haga clic en OK.
Restaurar imagen de copia de seguridad de
Firebox
1. Seleccione Archivo > Restaurar.
Aparece el cuadro de dilogo "Restaurar".
2. Ingrese la frase de contrasea de configuracin de su Firebox. Haga clic en OK.
3. Ingrese la clave de cifrado usada cuando cre la imagen de copia de seguridad.
Firebox restaura la imagen de copia de seguridad. Eso reinicia y usa la imagen de copia de seguridad.
Gua del Usuario 49
Asegrese de esperar dos minutos antes de conectarse al Firebox nuevamente.
La ubicacin predeterminada para un archivo de copia de seguridad con una extensin .fxi es:
C:\Documents and Settings\\All Users\Shared WatchGuard\backups\<Firebox IP
address>-<date>.<wsm_version>.fxi
Si no logra restaurar la imagen de Firebox con xito, puede restablecer el Firebox. Dependiendo del
modelo de Firebox que tenga, puede restablecer el Firebox en sus configuraciones predeterminadas de
fbrica o ejecutar nuevamente el Quick Setup Wizard para crear una nueva configuracin.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTMa una configuracin anterior o nueva
en la pgina 58.
Utilice una unidad USB para realizar copias de
respaldo y restaurar el sistema
Una imagen de respaldo de un dispositivo WatchGuard XTMes una copia cifrada y guardada de la imagen
del disco de la unidad flash desde el dispositivo XTM. El archivo de imagen de respaldo incluye el sistema
operativo del dispositivo XTM, el archivo de configuracin, la tecla de funcin y los certificados.
En el caso de los dispositivos WatchGuard XTM2 Series, 5 Series, 8 Series o XTM1050, puede conectar una
unidad o un dispositivo de almacenamiento USB al puerto USB del dispositivo XTMpara llevar a cabo los
procedimientos de copia de respaldo y restauracin. Cuando guarda una imagen de respaldo del sistema en
una unidad USB conectada, puede restaurar su dispositivo XTMa un estado conocido con mayor rapidez.
Nota No puede utilizar esta funcin en un dispositivo e-Series, porque los dispositivos e-
Series no tienen puerto USB.
Acerca de la unidad USB
La unidad USB debe ser formateada con el sistema de archivos FAT o FAT32. Si la unidad USB tiene ms de
una particin, Fireware XTMslo utiliza la primera particin. Cada imagen de respaldo del sistema puede
ser incluso de 30MB de tamao. Le recomendamos utilizar una unidad USB lo suficientemente grande para
almacenar varias imgenes de respaldo.
Guardar una imagen de respaldo en una unidad USB conectada
Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.
1. Iniciar el Firebox System Manager.
2. Seleccione Herramientas > Unidad USB.
Aparecer el cuadro de dilogo Copia de respaldo/Restaurar a unidad USB.
3. En la seccin Nueva imagen de respaldo, ingrese un Nombre de archivo para la imagen de
respaldo.
O bien, puede utilizar el nombre de archivo predeterminado provisto.
4. Ingrese y confirme una Encryption key. Esa es la clave utilizada para cifrar el archivo de respaldo. Si
pierde u olvida la encryption key, no puede restaurar el archivo de respaldo.
5. Haga clic en Guardar en unidad USB.
La imagen guardada aparece en la lista de Imgenes de respaldo del dispositivo disponibles despus de que se
termin de guardar.
Restaurar una imagen de respaldo desde una unidad USB
conectada
Para realizar este procedimiento, debe conectar una unidad USB a su dispositivo XTM.
3. Desde la lista Imgenes de respaldo disponibles, seleccione un archivo de imagen de respaldo a
restaurar.
4. Haga clic en Restaurar la imagen seleccionada.
5. Ingrese la Encryption key usada cuando cre la imagen de respaldo.
6. Ingrese la contrasea de configuracin de su dispositivo XTM. Haga clic en Aceptar
7. Haga clic en Restaurar.
El dispositivo XTM restaura la imagen de respaldo. Eso reinicia y usa la imagen de copia de seguridad.
Gua del Usuario 51
Restaurar automticamente una imagen de respaldo desde un
dispositivo USB
Si se conecta una unidad USB (dispositivo de almacenamiento) a un dispositivo WatchGuard XTMen modo
de recuperacin, el dispositivo puede restaurar automticamente la imagen previamente respaldada en la
unidad USB. Para utilizar la funcin de restauracin automtica, primero debe seleccionar una imagen de
respaldo en la unidad USB como la que desea utilizar para el proceso de restauracin. Debe utilizar
Fireware XTMWeb UI, Firebox System Manager o la Command Line Interface de Fireware XTMpara
seleccionar esa imagen de respaldo.
Puede utilizar la misma imagen de respaldo para ms de un dispositivo, si todos los dispositivos pertenecen
a la misma familia de modelos de WatchGuard XTM. Por ejemplo, puede utilizar una imagen de respaldo
guardada en un XTM530 como la imagen de respaldo de cualquier otro dispositivo XTM5 Series.
Seleccione la imagen de respaldo que desea restaurar automticamente
3. Desde la lista Imgenes de respaldo disponibles, seleccione un archivo de imagen de respaldo.
4. Haga clic en Utilizar la imagen seleccionada para la restauracin automtica.
5. Ingrese la Encryption key usada para crear la imagen de respaldo. Haga clic en Aceptar
6. Ingrese la contrasea de configuracin de su dispositivo XTM. Haga clic en Aceptar
El dispositivo XTM guarda una copia de la imagen de respaldo seleccionada como la imagen de restauracin
automtica auto-restore.fxi. Esta imagen se guarda en el directorio de restauracin automtica de la unidad
USB y se cifra con una encryption key aleatoria que slo puede ser utilizada por el proceso de restauracin
automtica.
Si haba guardado una imagen de restauracin automtica anterior, el archivo auto-restore.fxi es
reemplazado por una copia de la imagen de respaldo seleccionada.
Advertencia Si su dispositivo XTMha utilizado una versin del sistema operativo Fireware XTM
anterior a la v11.3, debe actualizar la imagen de software del modo de
recuperacin en el dispositivo a la v11.3 de la funcin de restauracin automtica
a operar. Vea las Notas de versin de Fireware XTM11.3 para obtener
instrucciones de actualizacin.
Restaurar la imagen de respaldo de un dispositivo XTM 5 Series, 8
Series o XTM 1050
1. Conecte la unidad USB que contiene la imagen de restauracin automtica a un puerto USB del
dispositivo XTM.
2. Apague el dispositivo XTM.
3. Presione la flecha hacia arriba en el panel delantero del dispositivo mientras lo enciende.
4. Mantenga el botn presionado hasta que aparezca "Iniciando modo de recuperacin" en la pantalla
LCD.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automtica despus de reiniciarse.
Si la unidad USB no contiene una imagen de restauracin automtica vlida para esta familia de modelos de
dispositivos XTM, el dispositivo no se reinicia y, en cambio, se inicia en modo de recuperacin. Si vuelve a
reiniciar el dispositivo, ste utilizar su configuracin actual. Cuando el dispositivo est en modo de
recuperacin, puede utilizar el WSMQuick Setup Wizard para crear una nueva configuracin bsica.
Para obtener ms informacin acerca WSMQuick Setup Wizard, vea Ejecutar el Quick Setup Wizard del
WSMen la pgina 29.
Restaurar la imagen de respaldo de un dispositivo XTM 2 Series
1. Conecte la unidad USB que contiene la imagen de restauracin automtica a un puerto USB del
dispositivo XTM2 Series.
2. Desconecte la fuente de energa.
3. Presione y sostenga el botn Restablecer en la parte trasera del dispositivo.
4. Conecte el suministro de energa mientras sigue presionando el botn Restablecer.
5. Despus de 10 segundos, suelte el botn Restablecer.
El dispositivo restaura la imagen de respaldo de la unidad USB y utiliza la imagen restaurada de manera
automtica despus de reiniciarse.
Si la unidad USB no contiene una imagen de restauracin automtica vlida para 2 Series, la restauracin
automtica fallar y el dispositivo no se reiniciar. Si el proceso de restauracin automtica no resulta
exitoso, debe desconectar y volver a conectar la fuente de alimentacin para iniciar el dispositivo 2 Series
con las configuraciones predeterminadas de fbrica.
Para obtener informacin sobre las configuraciones predeterminadas de fbrica, vea Acerca de las
configuraciones predeterminadas de fbrica.
Gua del Usuario 53
Estructura del directorio de la unidad USB
Cuando guarda una imagen de respaldo en una unidad USB, el archivo se guarda en un directorio en la
unidad USB con el mismo nombre del nmero de serie de su dispositivo XTM. Esto significa que puede
almacenar imgenes de respaldo para ms de un dispositivo XTMen la misma unidad USB. Cuando restaura
una unidad de respaldo, el software recupera automticamente la lista de imgenes de respaldo
almacenada en el directorio asociado con ese dispositivo.
En cada dispositivo, la estructura del directorio en el dispositivo USB es la siguiente, donde sn se reemplaza
con el nmero de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Las imgenes de respaldo de un dispositivo se guardan en el directorio \sn\flash-images. La imagen de
respaldo guardada en el directorio de imgenes flash contiene el sistema operativo de Fireware XTM, la
configuracin del dispositivo, las teclas de funcin y los certificados. Los subdirectorios \configs,
\feature-keys y \certs no se utilizan para ninguna operacin de copia de respaldo y restauracin desde
una unidad USB. Puede utilizarlos para almacenar teclas de funcin, archivos de configuracin y certificados
adicionales para cada dispositivo.
Tambin hay un directorio en el nivel de raz de la estructura del directorio que se utiliza para almacenar la
imagen de respaldo de restauracin automtica designada.
\auto-restore\
Cuando designa una imagen de respaldo para utilizarla para la restauracin automtica, una copia de la
imagen de respaldo seleccionada se cifra y almacena en el directorio \auto-restore con el nombre de
archivo auto-restore.fxi. Slo puede tener una imagen de restauracin automtica guardada en cada
unidad USB. Puede utilizar la misma imagen de respaldo de restauracin automtica para ms de un
dispositivo, si ambos dispositivos pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo,
puede utilizar una imagen de restauracin automtica guardada en un XTM530 como la imagen de
restauracin automtica de cualquier otro dispositivo XTM5 Series.
Debe utilizar el comando Firebox System Manager Herramientas > Unidad USB para crear una imagen de
restauracin automtica. Si copia y renombra una imagen de respaldo manualmente y la almacena en este
directorio, el proceso de restauracin automtica no funciona correctamente.
Guardar una imagen de respaldo en una unidad USB conectada
a su equipo de administracin
Puede usar el Policy Manager para guardar una imagen de respaldo en una unidad o un dispositivo de
almacenamiento USB conectado a su equipo de administracin. Si guarda los archivos de configuracin para
mltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a cualquiera de esos
dispositivos XTMpara su recuperacin.
Si usa el comando Firebox System Manager Herramientas > Unidad USB para hacer esto, los archivos se
guardarn automticamente en el directorio adecuado de la unidad USB. Si utiliza el comando Policy
Manager Archivo > Respaldo , o si utiliza Windows u otro sistema operativo para copiar manualmente los
archivos de configuracin al dispositivo USB, debe crear manualmente el nmero de serie correcto y los
directorios de imgenes flash para cada dispositivo (si todava no existen).
Antes de empezar
Antes de empezar, es importante que comprenda la Estructura del directorio de la unidad USB utilizada por
la funcin de respaldo y restauracin USB. Si no guarda la imagen de respaldo en la ubicacin correcta, es
posible que el dispositivo no la encuentre cuando le conecte la unidad USB.
Guardar la imagen de respaldo
Para guardar una imagen de respaldo en una unidad USB conectada a su equipo de administracin, use los
pasos que se describen en Hacer una copia de seguridad de la imagen de Firebox. Cuando selecciona la
ubicacin en donde desea guardar el archivo, seleccione la letra correspondiente a la unidad USB
conectada a su computadora. Si desea que la imagen de respaldo que guarda sea reconocida por el
dispositivo XTMcuando conecte la unidad, asegrese de guardar la copia de respaldo en el directorio
\flash-images bajo el directorio nombrado con el nmero de serie de su dispositivo XTM.
Por ejemplo, si el nmero de serie de su dispositivo XTMes 70A10003C0A3D, guarde el archivo de la
imagen de respaldo en esta ubicacin de la unidad USB:
\70A10003C0A3D\flash-images\
Designar una imagen de respaldo para la restauracin automtica
Para designar una imagen de respaldo para el uso por parte de la funcin de restauracin automtica, debe
conectar la unidad USB al dispositivo y designar la imagen de respaldo que desea utilizar para la
restauracin automtica como se describe en Utilice una unidad USB para realizar copias de respaldo y
restaurar el sistema. Si guarda una imagen de respaldo manualmente en el directorio de restauracin
automtica, el proceso de restauracin automtica no funciona correctamente.
Usar una configuracin existente para un nuevo
modelo de Firebox
Cuando actualiza su modelo Firebox, puede continuar usando el mismo archivo de configuracin. Cuando
importa una nueva tecla de funcin, el Firebox puede automticamente alterar su archivo de configuracin
existente para que opere correctamente con un nuevo modelo de Firebox. Siga ese procedimiento si desea
usar cualquier configuracin existente para un nuevo Firebox:
1. Si todava no lo hizo, Obtener una tecla de funcin junto a LiveSecurity para su nuevo Firebox.
2. En su Firebox existente, Abrir el Policy Manager.
3. Seleccione Configurar >Teclas de Funcin.
Aparece el cuadro de dilogo "Tecla de funcin de Firebox".
Gua del Usuario 55
4. Haga clic en Remover para remover la tecla de funcin actual.
5. Haga clic en Importar.
Aparece el cuadro de dilogo" Importar tecla de funcin de Firebox.
6. Al obtener una tecla de funcin para su nuevo Firebox, usted copi la tecla de funcin completa en
un archivo de texto y lo guard en su equipo. Abra ese archivo y pegue el contenido del archivo de
la tecla de funcin para el nuevo Firebox en el cuadro de dilogo Importar tecla de funcin de
Firebox.
7. Haga clic en OK.
Las funciones y la informacin del modelo de la nueva tecla de funcin aparecen en el cuadro de dilogo "Tecla
de funcin de Firebox".
8. Haga clic en OK.
9. Si su nuevo modelo de Firebox tiene un nmero diferente de interfaces que el modelo antiguo de
Firebox, el Policy Manager exhibe un mensaje que avisa para que se verifique la configuracin de las
interfaces de red. Para revisar la configuracin de la interfaz de red, seleccione Red>Configuracin.
10. Seleccione Archivo> Guardar > En Firebox para guardar la configuracin en el nuevo Firebox.
Configure un Firebox de reemplazo
Si hay un error en el hardware de Firebox durante el perodo de la garanta, WatchGuard puede
reemplazarlo por una unidad del mismo modelo con un RMA (Acuerdo de Devolucin de Mercanca).
Cuando cambiar un Firebox por un reemplazo de RAM, la Atencin al Cliente de WatchGuard transfiere las
licencias del nmero de serie del Firebox original al nuevo nmero de serie de Firebox. Todas las funciones
con licencia para el Firebox original son transferidas al Firebox de reemplazo.
Siga los pasos en las secciones siguientes para configurar su nuevo Firebox para usar la configuracin de su
Firebox original.
Guardar la configuracin del Firebox original en un archivo
Para ese procedimiento, debe tener un archivo de configuracin guardado de su Firebox original. El archivo
de configuracin es guardado por defecto en el directorio My Documents\My WatchGuard\configs.
Gua del Usuario 57
Para obtener instrucciones acerca de cmo guardar la configuracin en un archivo local, vea Guardar el
archivo de configuracin en la pgina 46.
Obtener la tecla de funcin para el Firebox de reemplazo
Como su Firebox de reemplazo tiene un nmero de serie diferente, se debe obtener una nueva tecla de
funcin para l junto a la seccin de Soporte del sitio web de WatchGuard. El Firebox de reemplazo
aparece en su lista de productos activados con el mismo Nombre del Producto que el Firebox original, pero
con el nmero de serie del Firebox de reemplazo. Para instrucciones acerca de cmo obtener la tecla de
funcin, vea Obtener una tecla de funcin junto a LiveSecurity en la pgina 63.
Usar el Quick Setup Wizard para realizar las configuraciones
bsicas
Tal como ocurre con cualquier Firebox nuevo, debe usar el Quick Setup Wizard para crear una
configuracin bsica para el Firebox de reemplazo.El Quick Setup Wizard puede ser ejecutado desde la
web o desde una aplicacin Windows.
n Para ms informacin acerca de cmo ejecutar el asistente desde la web, vea Ejecutar el Web Setup
Wizard en la pgina 25.
n Para ms informacin acerca de cmo ejecutar el asistente desde una aplicacin Windows, vea
Ejecutar el Quick Setup Wizard del WSMen la pgina 29.
Actualizar la tecla de funcin en el archivo de configuracin del
Firebox original y guardarla en el nuevo Firebox
1. En el WatchGuard System Manager seleccione Herramientas > Policy Manager.
2. Seleccione Abrir archivo de configuracin.
3. Haga clic en Examinar y seleccione el archivo de configuracin guardado en el Firebox original.
4. Haga clic en Abrir. Haga clic en OK.
5. En el Policy Manager, seleccione Configurar > Teclas de Funcin.
6. Haga clic en Remover para remover la tecla de funcin original.
7. Haga clic en Importar para importar la nueva tecla de funcin.
8. Haga clic en Examinar para seleccionar el archivo de la tecla de funcin descargado desde el sitio
LiveSecurity.
O haga clic en Pegar para pegar el contenido de la tecla de funcin para la unidad de reemplazo.
9. Haga clic en Aceptar dos veces para cerrar los cuadros de dilogo Tecla de Funcin de Firebox.
10. Seleccione Archivo> Guardar > En Firebox para guardar la configuracin en el Firebox de
reemplazo.
La configuracin del Firebox de reemplazo ahora est concluida. El Firebox de reemplazo ahora usa todas
las polticas y configuraciones del Firebox original.
Restablecer un dispositivo Firebox o XTM a una
configuracin anterior o nueva
Si su dispositivo Firebox o XTMtiene un problema de configuracin grave, puede restablecer el dispositivo a
su configuracin predeterminada de fbrica. Por ejemplo, si no sabe la contrasea de configuracin o si un
corte de suministro elctrico causa daos al sistema operativo de Fireware XTM, puede usar el Quick Setup
Wizard para conformar su configuracin nuevamente o restaurar una configuracin guardada.
Para una descripcin de las configuraciones predeterminadas de fbrica, vea Acerca de las configuraciones
predeterminadas de fbrica en la pgina 59.
Nota Si tiene un dispositivo WatchGuard XTM, tambin puede utilizar el modo seguro
para restaurar automticamente una imagen de respaldo del sistema desde un
dispositivo de almacenamiento USB. Para ms informaciones, vea Restaurar
automticamente una imagen de respaldo desde un dispositivo USB.
Iniciar un dispositivo Firebox o XTM en modo seguro
Para restaurar las configuraciones predeterminadas de fbrica para un dispositivo Firebox X Core e-Series,
Peak e-Series, WatchGuard XTM5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox o
XTMen modo seguro.
1. Apague el dispositivo Firebox o XTM.
2. Presione el botn con la flecha hacia abajo en el panel delantero mientras enciende el dispositivo
Firebox o XTM.
3. Mantenga presionado el botn de la flecha hacia abajo hasta que aparezca el mensaje de inicio del
dispositivo en la pantalla LCD:
n En un dispositivo Firebox X Core e-Series o Peak e-Series, aparece WatchGuard
Technologies en la pantalla LCD.
n En un dispositivo WatchGuard XTM, aparece Iniciando modo seguro... en la pantalla.
Cuando el dispositivo est en modo seguro, la pantalla muestra el nmero del modelo seguido de la
palabra "seguro".
Cuando inicia un dispositivo en modo seguro:
n El dispositivo usa temporalmente las configuraciones de seguridad y de red predeterminadas de
fbrica.
n No se quita la tecla de funcin actual. Si ejecuta el Quick Setup Wizard para crear una nueva
configuracin, el asistente usa la tecla de funcin previamente importada.
n Su configuracin actual slo se elimina cuando guarda una nueva configuracin. Si reinicia el
dispositivo Firebox o XTMantes de guardar una nueva configuracin, el dispositivo volver a utilizar
su configuracin actual.
Gua del Usuario 59
Restablecer un dispositivo Firebox X Edge e-Series o
WatchGuard XTM 2 Series a las configuraciones
predeterminadas de fbrica
Cuando reinicia un dispositivo Firebox X Edge e-Series o XTM2 Series, las configuraciones originales son
reemplazadas por las configuraciones predeterminadas de fbrica. Para restablecer el dispositivo a las
configuraciones predeterminadas de fbrica:
2. Presione y sostenga el botn Restaurar en la parte trasera del dispositivo.
3. Conecte el suministro de energa mientras sigue presionando el botn Restaurar.
4. Siga presionando el botn Restaurar hasta que el indicador amarillo Attn se mantenga encendido.
Eso muestra que el dispositivo restaur con xito las configuraciones predeterminadas de fbrica.
En un Firebox X Edge e-Series, ese proceso puede llevar 45 segundos o ms. En un dispositivo 2 Series, ese
proceso puede llevar 75 segundos o ms.
5. Suelte el botn Restaurar.
Nota Debe iniciar el dispositivo nuevamente antes de conectarlo. Si no lo hace, cuando
intente conectar el dispositivo, aparecer una pgina web con este mensaje: Su
dispositivo se est ejecutando a partir de una copia de respaldo del firmware.
Tambin podr ver ese mensaje si el botn Restaurar queda fijo en la posicin de
presionado. Si sigue viendo ese mensaje, revise el botn Restaurar y reinicie el
dispositivo.
7. Conecte la fuente de energa nuevamente.
Se enciende el Indicador de Energa y su dispositivo es restablecido.
Ejecutar el Quick Setup Wizard
Despus de restaurar las configuraciones predeterminadas de fbrica, puede usar el Quick Setup Wizard
para crear una configuracin bsica o restaurar una imagen respaldo guardada.
Para ms informaciones, vea Acerca del Quick Setup Wizard en la pgina 25.
Acerca de las configuraciones predeterminadas
de fbrica
El trmino configuraciones predeterminadas de fbrica se refiere a la configuracin que est en el
dispositivo WatchGuard cuando lo recibe, antes de realizar cualquier cambio. Tambin puede restablecer
las configuraciones predeterminadas de fbrica en el Firebox, tal como se describe en Restablecer un
dispositivo Firebox o XTMa una configuracin anterior o nueva en la pgina 58.
Las propiedades de configuracin y red predeterminadas para el dispositivo WatchGuard son:
Red de confianza (Firebox XEdge e-Series)
La direccin IP predeterminada para la red de confianza es 192.168.111.1. La Subnet Mask para la
red de confianza es 255.255.255.0.
La direccinIP predeterminada para el Fireware XTMWeb UI es https://192.168.111.1:8080.
Firebox est configurado para asignar direcciones IP a equipos en la red de confianza a travs de
DHCP. Por defecto, esas direcciones IP pueden ir desde 192.168.111.2 a 192.168.111.254.
Red de confianza (Firebox XCore y Peak e-Series y dispositivos WatchGuard XTM)
La direccinIP predeterminada para la red de confianza es 10.0.1.1. La Subnet Mask para la red de
confianza es 255.255.255.0.
El puerto y la direccin IP predeterminada para el Fireware XTMWeb UI es https://10.0.1.1:8080.
Firebox est configurado para asignar direccionesIP a equipos en la red de confianza a travs de
DHCP. Por defecto, esas direcciones IP puede ir desde 10.0.1.2 a 10.0.1.254..
Red externa
Firebox est configurado para obtener una direccin IP con DHCP.
Red opcional
La red opcional est desactivada.
Configuraciones de firewall
Todas las polticas entrantes son negadas. La poltica saliente permite todo el trfico saliente. Se
niegan las solicitudes de ping recibidas en la red externa.
Seguridad del sistema
Firebox posee cuentas de administrador acopladas admin (acceso de lectura y escritura) y estado
(acceso slo lectura). La primera vez que configura el dispositivo con el Quick Setup Wizard, define
las frases de contrasea de estado y configuracin. Despus de concluir el Quick Setup Wizard,
puede iniciar sesin en el Fireware XTMWeb UI sea con la cuenta de administrador admino estado.
Para tener acceso completo de administrador, inicie sesin con el nombre de usuario de admin e
ingrese la frase de contrasea de configuracin. Para acceso de slo lectura, inicie sesin con el
nombre de usuario de estado e ingrese la frase de contrasea de slo lectura.
Por defecto, Firebox est configurado para administracin local desde la red de confianza
solamente. Los cambios adicionales de configuracin deben ser realizados para permitir la
administracin desde la red externa.
Opciones de actualizacin
Para habilitar las opciones de actualizacin, como WebBlocker, spamBlocker y Gateway AV/IPS,
debe pegar o importar la tecla de funcin que habita esas funciones en la pgina de configuracin o
usar el comando Obtener Tecla de Funcin para activar las opciones de actualizacin. Si inicia el
Firebox en modo seguro, no es necesario importar la tecla de funcin nuevamente.
Gua del Usuario 61
Acerca de las teclas de funcin
La tecla de funcin es una licencia que le permite utilizar diversas funciones en su dispositivo WatchGuard.
Al comprar una opcin o actualizacin y obtener una nueva tecla de funcin, aumenta la funcionalidad de
su dispositivo.
Cuando compra una nueva funcin
Cuando compra una nueva funcin para su dispositivo WatchGuard, debe:
n Obtener una tecla de funcin junto a LiveSecurity
n Agregar una tecla de funcin a su Firebox
Ver las funciones disponibles con la actual tecla de funcin
Su dispositivo WatchGuard siempre tiene una tecla de funcin activa actualmente. Para ver las funciones
disponibles con esa tecla de funcin:
1. Abrir el Policy Manager.
El cuadro de dilogo Tecla de Funcin de Firebox incluye:
n Una lista de funciones disponibles
n Si la funcin est activada o no
n Valor asignado a la funcin, tal como nmero de interfacesVLAN permitidas
n Fecha de caducidad de la funcin
n Estado actual de caducidad, tal como cuntos das faltan para que la funcin caduque
n El nmero mximo de direcciones IP permitidas de acceso saliente (slo para dispositivos Firebox X
Edge XTM)
n Versin del software al cual la tecla de funcin se aplica
Verificar conformidad con tecla de funcin
Para asegurarse de que todas las funciones en su Firebox estn activadas correctamente en su tecla de
funcin:
Gua del Usuario 63
2. Haga clic en .
Aparece el cuadro de dilogo "Conformidad con tecla de funcin". El campo "Descripcin" incluye una nota
para indicar si una funcin est en conformidad con la tecla de funcin o si ha caducado.
Para obtener una nueva tecla de funcin:
1. En el cuadro de dilogo Conformidad con tecla de funcin, haga clic en Agregar tecla de funcin.
2. Puede o Agregar una tecla de funcin a su Firebox o Descargar un tecla de funcin.
Obtener una tecla de funcin junto a LiveSecurity
Antes de activar una nueva funcin, o remover un servicio de suscripcin, debe tener un certificado de
license key de WatchGuard que no est registrado an en el sitio web de LiveSecurity. Cuando activa la
License Key, puede obtener una tecla de funcin que habilita la funcin activada en el dispositivo
WatchGuard. Tambin puede retener una tecla de funcin existente posteriormente.
Activar la license key para una funcin
Para activar una license key y obtener una tecla de funcin para la funcin activada:
1. Abra un explorador web y vaya a http://www.watchguard.com/activate.
Si todava no ha iniciado sesin en LiveSecurity, aparece la pgina de Inicio de Sesin de LiveSecurity.
2. Ingrese su nombre de usuario y contrasea de LiveSecurity.
Aparece la pgina Activar Productos.
3. Ingrese un nmero de serie o license key para el producto, tal como aparece en su certificado
impreso. Asegrese de incluir todos los guiones.
Use el nmero de serie para registrar un nuevo dispositivo WatchGuard y la license key para
registrar las funciones de complementos.
4. Haga clic en Continuar.
Aparece la pgina Elija el producto para actualizar.
5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar.
Si agreg un nombre del dispositivo cuando registr su dispositivo WatchGuard, ese nombre
aparece en la lista.
6. Haga clic en Activar.
Aparece la pgina "Retener tecla de funcin".
7. Copie la tecla de funcin completa en un archivo de texto y gurdelo en su PC.
8. Haga clic en Finalizar.
Obtener una tecla de funcin actual
Puede registrarse en el sitio web de LiveSecurity para obtener una tecla de funcin actual o puede usar
Firebox System Manager para retener una tecla de funcin actual y agregarla directamente a su dispositivo
WatchGuard.
Cuando va al sitio web de LiveSecurity para retener su tecla de funcin, puede elegir entre descargar una o
ms teclas de funcin en un archivo comprimido. Si selecciona mltiples dispositivos, el archivo
comprimido contiene un archivo de tecla de funcin para cada dispositivo.
Para retener una tecla de funcin actual del sitio web de Live Security:
1. Abra un explorador web y vaya a http://www.watchguard.com/archive/manageproducts.asp.
Si todava no ha iniciado sesin en LiveSecurity, aparece la pgina de Inicio de Sesin de LiveSecurity.
2. Ingrese su nombre de usuario y contrasea de LiveSecurity.
Aparece la pgina "Administrar Productos".
3. Seleccione Teclas de Funcin.
Aparece la pgina "Retener Tecla de Funcin", con una lista desplegable para seleccionar un producto.
4. En la lista desplegable, seleccione su dispositivo WatchGuard.
5. Haga clic en Obtener Tecla.
Aparece una lista de todos sus dispositivos registrados. Aparece una marca de verificacin al lado del
dispositivo seleccionado.
6. Seleccione Mostrar teclas de funcin en la pantalla.
7. Haga clic en Obtener Tecla.
Aparece la pgina "Retener tecla de funcin".
8. Copie la tecla de funcin en un archivo de texto y gurdelo en su equipo.
Para usar el Firebox System Manager (FSM) para retener la tecla de funcin actual:
2. Seleccione Herramientas > Sincronizar tecla de funcin.
Aparece el cuadro de dilogo "Sincronizar Tecla de Funcin".
3. Haga clic en S para sincronizar su tecla de funcin.
Firebox obtiene la tecla de funcin en el sitio web de LiveSecurity y la actualiza en su dispositivo WatchGuard.
Agregar una tecla de funcin a su Firebox
Si adquiere una nueva opcin o actualiza su dispositivo WatchGuard, puede agregar una nueva tecla de
funcin para activar las nuevas funciones. Antes de instalar la nueva tecla de funcin, debe remover
completamente la antigua.
1. En el Policy Manager, seleccione Configurar > Teclas de funcin.
Aparece el cuadro de dilogo "Teclas de funcin" de Firebox.
Las funciones que estn disponibles con esa tecla de funcin aparecen en ese cuadro de dilogo. Esa
cuadro de dilogo tambin incluye:
Gua del Usuario 65
n Un valor asignado a la funcin, tal como nmero de interfacesVLAN permitidas
n La fecha de caducidad de la funcin
n El tiempo que falta para que la funcin caduque
2. Haga clic en Remover para remover la tecla de funcin actual.
Pgina de cuadro de dilogo Todas las informaciones sobre teclas de funcin estn limpias de.
Importar Tecla de Funcin de Firebox cuadro de dilogo aparece.
4. Haga clic en Examinar para encontrar el archivo de la tecla de funcin.
O copie el texto del archivo de la tecla de funcin y hacer clic en Pegar para insertar en el cuadro de
texto.
5. Haga clic Aceptar.
El cuadro de dilogo "Importar una tecla de funcin de Firebox" se cierra y aparece la informacin de la nueva
tecla de funcin en el cuadro de dilogo "Tecla de funcin de Firebox".
6. Haga clic en OK.
En algunos casos, aparecen nuevos cuadros de dilogo y comandos de men para configurar la funcin en el
Policy Manager.
7. Guardar el archivo de configuracin.
La tecla de funcin no funciona en el Firebox hasta que el archivo de configuracin sea guardado en el
dispositivo.
Remover una tecla de funcin
1. En el Policy Manager, seleccione Configurar > Teclas de funcin.
Aparece el cuadro de dilogo "Teclas de funcin" de Firebox.
2. Haga clic en Eliminar.
Todas las informaciones sobre teclas de funcin estn limpias en cuadro de dilogo.
3. Haga clic en OK.
Vea los detalles de una tecla de funcin
En el Policy Manager, puede revisar los detalles de su actual tecla de funcin.
Los detalles disponibles incluyen:
n Nmero de serie del dispositivo WatchGuard al cual esa tecla de funcin se aplica
n ID y nombre del dispositivo WatchGuard
Gua del Usuario 67
n Modelo y nmero de versin de dispositivo
n Funciones disponibles
Para revisar los detalles de su tecla de funcin:
2. Haga clic en Detalles.
Aparece el cuadro de dilogo Detalles de Tecla de Funcin.
3. Use la barra de desplazamiento para revisar los detalles de su tecla de funcin.
Descargar un tecla de funcin
Puede descargar una copia de sus tecla de funcin actual del dispositivo WatchGuard a su equipo de
administracin.
Aparece el cuadro de dilogo Teclas de Funcin.
2. Haga clic en Descargar.
Aparece el cuadro de dilogo "Obtener Teclas de Funcin".
3. Ingrese la frase de contrasea de estado del dispositivo.
4. Haga clic en OK.
Si ya cre una cuenta de usuario de LiveSecurity, tambin puede usar el Firebox System Manager para
descargar una tecla de funcin actual.
2. Seleccione Herramientas > Sincronizar tecla de funcin.
El dispositivo WatchGuard establece contacto con el sitio web de LiveSecurity y descarga la tecla de funcin
actual a su dispositivo.
Activar NTP y agregar servidores NTP
El Protocolo de Horario de Red (NTP, en las siglas en ingls) sincroniza el horario del reloj en toda una red.
Su Firebox puede usar el NTP para obtener el horario correcto automticamente desde los servidores NTP
en Internet. Como el Firebox usa el horario del reloj de su sistema para cada mensaje de registro que
genera, el horario debe estar ajustado correctamente. Se puede alterar el servidor NTP que Firebox utiliza.
Tambin puede agregar ms servidoresNTP o borrar los existentes, o puede ajustar el horario
manualmente.
Para usar NTP, la configuracin de su Firebox debe permitir DNS. El DNS es permitido en la configuracin
predeterminada por la poltica Saliente. Tambin debe configurar los servidores DNS para la interfaz
externa antes de configurar el NTP.
Para obtener ms informacin acerca de esas direcciones, vea Agregar servidores WINS y Direcciones del
servidor DNS en la pgina 115.
1. Seleccionar Configurar > NTP.
Aparece el cuadro de dilogo Configuracin de NTP.
2. Seleccione Activar NTP .
3. Para agregar un servidorNTP, ingrese la direccin IP o nombre de host del servidor NTP que desea
usar en el cuadro de texto y haga clic en Agregar.
Se puede configurar hasta tres servidores NTP
4. Para borrar un servidor, seleccione la entrada del servidor en la lista Nombres/IPs de servidores
NTPy haga clic en Remover.
5. Haga clic en OK.
Definir la zona horaria y las propiedades bsicas
del dispositivo
Cuando ejecuta el Web Setup Wizard, se define la zona horaria y otras propiedades bsicas del dispositivo.
Para alterar las propiedades bsicas del dispositivo:
Gua del Usuario 69
1. Abra el Policy Manager.
2. Haga clic en Configurar > Sistema.
Aparece el cuadro de dilogo Configuracin del dispositivo.
3. Configurar esas opciones:
modelo de Firebox
Modelo y nmero del modelo de Firebox, tal como determinado por el Quick Setup Wizard.
Normalmente no necesita alterar esas configuraciones. Si agrega una nueva tecla de funcin al
Firebox con una actualizacin de modelo, el modelo de Firebox en la configuracin del
dispositivo es automticamente actualizado.
Nombre
El nombre descriptivo del Firebox. Puede otorgar a Firebox un nombre descriptivo que
aparecer en sus informes y archivos de registro. De lo contrario, los informes y archivos de
registro usan la direccin IP del la interfaz externa de Firebox. Muchos clientes usan un domain
name totalmente cualificado como nombre descriptivo, caso registren ese nombre en el
sistema DNS. Debe otorgar un nombre descriptivo al Firebox si usa el Management Server para
configurar los certificados y tneles VPN.
Ubicacin, Contacto
Ingrese cualquier informacin que podra ser til para identificar y hacer el mantenimiento del
Firebox. Esos campos son llenados por el Quick Setup Wizard, caso haya insertado esa
informacin all. Esa informacin aparece en la pestaa Panel delantero del Firebox System
Manager.
Zona horaria
Seleccione la zona horaria para la ubicacin fsica del Firebox. La configuracin de zona horaria
controla la fecha y hora que aparecen en el archivo de registro y en las herramientas como el
LogViewer, Informes WatchGuard y WebBlocker.
4. Haga clic en OK.
Acerca del SNMP
El SNMP (siglas en ingls para Protocolo de Administracin de Red Simple) es usado para monitorear
dispositivos en su red. El SNMP utiliza bases de informacin de administracin (MIB) para definir cules
informaciones y eventos son monitoreados. Debe configurar una aplicacin de software separada, a
menudo denominada visor de eventos o explorador MIB, para recoger y administrar datos de SNMP.
Hay dos tipos de MIBs: estndar y empresarial. Las MIBs estndares son definiciones de eventos de
hardware y red usadas por diversos dispositivos. Las MIBs empresariales son usados para dar informacin
acerca de eventos especficos a un fabricante determinado. Su Firebox soporta ocho MIBs estndares: IP-
MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. Tambin
soporta dos MIBs empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-MIB.
Sondeos y capturas SNMP
Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. El Firebox reporta
datos al servidor SNMP, tal como conteo de trfico de cada interfaz, tiempo de actividad del dispositivo, el
nmero de paquetes TCP recibidos y enviados, y la ltima alteracin de cada interfaz de red en el Firebox.
Una captura SNMP es una notificacin de evento que su Firebox enva a un sistema de administracin de
SNMP. La captura identifica cuando ocurre una condicin especfica, tal como un valor que sea exceda su
umbral predefinido. Su Firebox puede enviar una captura para cualquier poltica en el Policy Manager.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor enva una respuesta. Si su
Firebox no obtiene una respuesta, l enva la solicitud de informe nuevamente hasta que el administrador
de SNMP enve una respuesta. Se enva una captura slo una vez, y el receptor no enva ningn tipo de
acuse de recibo al recibir la captura.
Activar Sondeo de SNMP
Puede configurar su Firebox para aceptar sondeos de SNMP desde un servidor SNMP. Su Firebox reporta
datos al servidor SNMP, tal como conteo de trfico de cada interfaz, tiempo de actividad del dispositivo, el
nmero de paquetes TCP recibidos y enviados, y la ltima alteracin de cada interfaz de red.
1. Seleccione Configurar >SNMP.
Gua del Usuario 71
2. Seleccione la versin del SNMP que desea usar: v1/v2c o v3.
Si elige v1/v2c, ingrese la Cadena de comunidad que su dispositivo WatchGuard debe usar al
conectarse al servidor SNMP.
Si elige v3:
n Nombre de usuario Ingrese el nombre de usuario para la autenticacin y proteccin de
privacidad de SNMPv3.
n Protocolo de autenticacin Seleccione MD5 (Message Digest 5) o SHA (Secure Hash
Algorithm).
n Contrasea de autenticacin Ingrese y confirme la contrasea de autenticacin.
n Protocolo de Privacidad Seleccione DES (Estndar de Cifrado de Datos) para cifrar el trfico
o Ninguno para no cifrar el trfico por SNMP.
n Contrasea de Privacidad Ingrese y confirme una contrasea para cifrar mensajes salientes
o decodificar mensajes entrantes.
3. Haga clic en OK.
Para que su Firebox pueda recibir sondeos de SNMP, se debe agregar una poltica de SNMP. El Policy
Manager le solicita que agregue una poltica de SNMP automticamente.
En el cuadro de dilogo Propiedades de nueva poltica:
1. En la seccin Desde, haga clic en Agregar.
Aparece el cuadro de dilogo "Agregar Direccin".
2. Haga clic en Agregar otras.
Aparece el cuadro de dilogo "Agregar miembro".
3. En la lista desplegable Elegir tipo, seleccione IP del host.
4. En el campo Valor, ingrese la direccin IP del equipo servidor de SNMP.
5. Haga doble clic en Aceptar para cerrar los cuadros de dilogo Agregar miembro y Agregar
direccin.
Aparece la pestaa Poltica de la nueva poltica.
6. Abajo del cuadro Para, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar direccin.
7. En el campo Miembros disponibles, seleccione Firebox. Haga clic en Agregar.
Firebox aparece en el campo Miembros y direcciones seleccionados.
8. Haga doble clic en Aceptar para cerrar los cuadros de dilogo Agregar direccin y Propiedades de
nueva poltica.
9. Haga clic en Cerrar.
Activar Capturas y estaciones de administracin de SNMP
Una captura SNMP es una notificacin de evento que el dispositivo WatchGuard enva a un sistema de
administracin de SNMP. La captura identifica cuando ocurre una condicin especfica, tal como un valor
que sea exceda su umbral predefinido. Su dispositivo WatchGuard puede enviar una captura para cualquier
poltica.
Una solicitud de informe de SNMP es similar a una captura, pero el receptor enva una respuesta. Si su
dispositivo WatchGuard no obtiene una respuesta, l enva la solicitud de informe nuevamente hasta que el
administrador de SNMP enve una respuesta. Se enva una captura slo una vez, y el receptor no enva
ningn tipo de acuse de recibo al recibir la captura.
Una solicitud de informe es ms confiable que una captura porque su dispositivo WatchGuard sabe si la
solicitud de informe fue recibida. No obstante, las solicitudes de informe consumen muchos recursos. Son
guardadas en la memoria hasta que el remitente obtenga una respuesta. Si se debe enviar una solicitud de
informe ms de una vez, los reintentos aumentan el trfico. Recomendamos que considere si vale la pena
usar la memoria del enrutador para cada notificacin de SNMP y aumentar el trfico de red.
Para activar las solicitudes de informe de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 slo soporta
capturas, pero no solicitudes de informe.
Configurar Estaciones de Administracin de SNMP
1. Seleccione Configurar >SNMP.
Aparece la ventana Configuraciones de SNMP.
Gua del Usuario 73
2. En la lista desplegable Capturas de SNMP, seleccione la versin de la captura o informe que desea
usar.
SNMPv1 slo soporta capturas, pero no solicitudes de informe.
3. En el cuadro de texto Estaciones de Administracin de SNMP, ingrese la direccin IP de su estacin
de administracin de SNMP. Haga clic en Agregar.
Repita los pasos 2 a 3 para agregar ms estaciones de administracin de SNMP.
4. Haga clic en OK.
Agregar una poltica de SNMP
Para habilitar su Firebox para que pueda recibir sondeos de SNMP, se debe agregar una poltica de SNMP.
1.
Haga clic en .
O seleccione Editar > Agregar poltica.
Aparece el cuadro de dilogo Agregar polticas.
2. Expanda Filtrados de paquetes, seleccione SNMP y haga clic en Agregar.
Aparece el cuadro de dilogo Propiedades de Nueva Poltica.
5. En la lista desplegable Elegir tipo, seleccione IP del host.
6. En el campo Valor, ingrese la direccin IP del equipo servidor de SNMP.
7. Haga doble clic en Aceptar para cerrar los cuadros de dilogo Agregar miembro y Agregar
direccin.
Aparece la pestaa Poltica de la nueva poltica.
8. En la seccin Hasta, haga clic en Agregar.
9. En la seccin Miembros disponibles, seleccione Firebox. Haga clic en Agregar.
10. Haga clic en Aceptar en cada cuadro de dilogo para cerrarlo. Haga clic en Cerrar.
11. Guardar la configuracin
Enviar una captura SNMP para una poltica
Su Firebox puede enviar una captura SNMP cuando el trfico es filtrado por una poltica. Debe tener al
menos una estacin de administracinde SNMP configurada para activar las capturasSNMP.
1. Haga doble clic en la poltica SNMP.
En el cuadro de dilogo Editar Propiedades de Poltica.
2. Seleccione la pestaa Propiedades.
3. Haga clic en Registro.
Aparece el cuadro de dilogo Registro y Notificacin.
4. Seleccione la casilla de verificacin Enviar captura SNMP.
5. Haga clic en Aceptar para cerrar el cuadro de dilogo Registro y Notificacin.
6. Haga clic en Aceptar para cerrar el cuadro de dilogo Editar Propiedades de Poltica.
Acerca de las Bases de Informacin de Administracin (MIBs)
Fireware XTMsoporta dos tipos de Bases de Informacin de Administracin (MIBs):
MIBs Estndares
Las MIBs estndares son definiciones de eventos de hardware y red usadas por diversos dispositivos.
Su dispositivo WatchGuard soporta ocho MIBs estndares:
n IP-MIB
n IF-MIB
n TCP-MIB
n UDP-MIB
n SNMPv2-MIB
n SNMPv2-SMI
n RFC1213-MIB
n RFC1155 SMI-MIB
Esas MIBs incluyen datos acerca de la informacin de red estndar, tal como direcciones IP y
configuracin de interfaz de red.
MIBs Empresariales
Las MIBs empresariales son usados para dar informacin acerca de eventos especficos a un
fabricante determinado. Su Firebox soporta las siguientes MIBs empresariales:
n WATCHGUARD-PRODUCTS-MIB
n WATCHGUARD-SYSTEM-CONFIG-MIB
n UCD-SNMP-MIB
Esas MIBs incluyen datos ms especficos acerca del hardware del dispositivo.
Gua del Usuario 75
Al instalar el WatchGuard System Manager, las MIBs son instaladas en:
\My Documents\My WatchGuard\Shared WatchGuard\SNMP
Acerca de las frases de contrasea, claves de
cifrado y claves compartidas de WatchGuard
Como parte de la solucin de seguridad de su red, utilice contraseas, claves de cifrado y claves
compartidas. Este tema incluye informacin sobre la mayora de las contraseas, claves de cifrado y claves
compartidas que usted utiliza para los productos WatchGuard. No incluye informacin sobre contraseas o
frases de contrasea de terceros. En los procedimientos relacionados tambin se incluye informacin
sobre las restricciones para las contraseas, las claves de cifrado y las claves compartidas.
Crear una contrasea, una clave de cifrado o una clave
compartida segura
Para crear una contrasea, una clave de cifrado o una clave compartida segura, se recomienda:
n utilice una combinacin de caracteres ASCII en minscula y en mayscula, nmeros y caracteres
especiales (por ejemplo, Im4e@tiN9);
n no utilice una palabra de los diccionarios estndar, incluso si la utiliza en una secuencia diferente o
en un idioma diferente; y
n no utilice un nombre. Resulta fcil para un atacante encontrar un nombre de empresa, un nombre
de familia o el nombre de alguien famoso.
Como medida de seguridad adicional, se recomienda cambiar las contraseas, las claves de cifrado y las
claves compartidas a intervalos regulares.
Frases de contrasea de Firebox
Un Firebox utiliza dos frases de contrasea:
Frase de contrasea de estado
La frase de contrasea o contrasea de slo lectura que permite acceso al Firebox. Cuando inicia
sesin con esta frase de contrasea, puede revisar su configuracin, pero no puede guardar los
cambios en el Firebox. La frase de contrasea de estado est asociada al estado del nombre de
usuario.
Frase de contrasea de configuracin
La frase de contrasea o contrasea de slo lectura que permite a un administrador tener acceso
pleno al Firebox. Debe utilizar esta frase de contrasea para guardar los cambios de configuracin
en el Firebox. sta es tambin la frase de contrasea que debe utilizar para cambiar sus frases de
contrasea de Firebox. La frase de contrasea de configuracin est asociada al nombre de usuario
del administrador.
Cada una de estas frase de contrasea de Firebox debe tener al menos ocho caracteres.
Frases de contrasea de usuario
Puede crear nombres de usuario y frases de contrasea para utilizar con la autenticacin de Firebox y la
administracin basada en roles.
Frases de contraseas de usuario para autenticacin de Firebox
Una vez que configura esta frase de contrasea de usuario, los caracteres se enmascaran y la frase
de contrasea no vuelve a aparecer en texto simple. Si se pierde la frase de contrasea, debe
configurar una nueva frase de contrasea. El rango permitido para esta frase de contrasea es de
entre ocho y 32 caracteres.
Frases de contrasea de usuario para administracin basada en roles
Una vez que configura esta frase de contrasea de usuario, no vuelve a aparecer en el cuadro de
dilogo Propiedades de usuario y de grupo. Si se pierde la frase de contrasea, debe configurar una
nueva frase de contrasea. Esta frase de contrasea debe tener al menos ocho caracteres.
Frases de contrasea del servidor
Frase de contrasea del administrador
La frase de contrasea del administrador se utiliza para controlar el acceso a WatchGuard Server
Center. Tambin puede utilizar esta frase de contrasea cuando se conecta a su Management Server
desde WatchGuard System Manager (WSM). Esta frase de contrasea debe tener al menos ocho
caracteres. La frase de contrasea del administrador est relacionada con la admin del nombre de
usuario.
Secreto compartido del servidor de autenticacin
El secreto compartido es la clave que Firebox y el servidor de autenticacin utilizan para asegurar la
informacin de autenticacin que se transfiere entre ellos. El secreto compartido distingue
maysculas de minsculas y debe ser el mismo en Firebox que en el servidor de autenticacin. Los
servidores RADIUS, SecurID y VASCO utilizan una clave compartida.
Claves de cifrado y claves compartidas
Encryption Key del Log Server
La clave de cifrado se utiliza para crear una conexin segura entre Firebox y los Log Servers, y para
evitar ataques man-in-the-middle (o de intrusos). El rango permitido para la clave de cifrado es de
8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o
invertidas (/ o \).
Respaldar/restablecer clave de cifrado
sta es la clave de cifrado que usted crea para cifrar un archivo de respaldo de su configuracin de
Firebox. Al restablecer un archivo de respaldo, utilice la clave de cifrado que seleccion cuando
cre el archivo de respaldo de configuracin. Si pierde o olvida la clave de cifrado, no puede
restaurar el archivo de copia de seguridad. La clave de cifrado debe tener al menos ocho caracteres
y no puede tener ms de 15 caracteres.
Gua del Usuario 77
Clave compartida VPN
La clave compartida es una contrasea utilizada por dos dispositivos para cifrar y descifrar los datos
que pasan a travs del tnel. Los dos dispositivos usan la misma frase de contrasea. Si los
dispositivos no tienen la misma frase de contrasea, no pueden encriptar o descifrar los datos
correctamente.
Alterar frases de contrasea de Firebox
Firebox usa dos frases de contrasea:
Frase de contrasea de estado
La frase de contrasea o contrasea de slo lectura que permite acceso al Firebox.
Frase de contrasea de configuracin
La frase de contrasea o contrasea de slo lectura que permite a un administrador tener acceso
pleno al Firebox.
Para obtener ms informacin acerca de las frases de contrasea, vea Acerca de las frases de contrasea,
claves de cifrado y claves compartidas de WatchGuard en la pgina 75.
Para alterar las frases de contrasea:
1. Abra el archivo de configuracin de Firebox.
2. Haga clic en Archivo > Alterar frases de contrasea.
Aparece el cuadro de dilogo "Alterar frases de contrasea".
3. En la lista desplegable Direccin o nombre de Firebox, seleccione un Firebox o inserte una direccin
IP o nombre del Firebox.
4. En el cuadro de texto Frase de contrasea de configuracin, ingrese la frase de contrasea de
configuracin (lectura/escritura).
5. Ingrese y confirme las frases de contrasea de nuevo estado (slo lectura) y confirmacin
(lectura/escritura). La frase de contrasea de estado debe ser diferente de la frase de contrasea de
configuracin.
6. Haga clic en OK.
Acerca de los alias
Un alias es un acceso directo que identifica a un grupo de hosts, redes o interfaces. Cuando se usa un alias,
es fcil crear una poltica de seguridad porque el Firebox permite utilizar alias cuando se crean polticas.
Los alias predeterminados en Policy Manager incluyen:
n Cualquiera: cualquier alias de origen o destino correspondiente a interfaces del Firebox, como De
confianza o Externa.
n Firebox: un alias para todas las interfaces del Firebox.
n Cualquiera de confianza: un alias para todas las interfaces del Firebox configuradas como interfaces
de confianza y cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera externa: un alias para todas las interfaces del Firebox configuradas como externas y
cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera opcional: un alias para todas las interfaces del Firebox configuradas como opcionales y
cualquier red a la que se puede obtener acceso a travs de estas interfaces.
n Cualquiera BOVPN: un alias para cualquier tnel BOVPN (IPSec).
Cuando se utiliza el asistente de la poltica BOVPN para crear una poltica para permitir el trfico a
travs de un tnel BOVPN, el asistente automticamente crea alias .in y .out para los tneles
entrantes y salientes.
Los nombres de alias son diferentes de los nombres de usuario o grupo utilizados en la autenticacin de
usuario. Con la autenticacin de usuario, se puede monitorear una conexin con un nombre y no como una
direccin IP. La persona se autentica con un nombre de usuario y una contrasea para obtener acceso a los
protocolos de Internet.
Para ms informacin acerca de autenticacin de usuario, vea Acerca de la autenticacin de usuario en la
pgina 289.
Miembros de alias
Puede agregarse estos objetos a un alias:
n IP de host
n IP de red
n Un rango de direcciones IP de host
n Nombre de DNS para un host
n Direccin de tnel: definida por un usuario o grupo, direccin y nombre del tnel.
n Direccin personalizada: definida por un usuario o grupo, direccin e interfaz del Firebox.
n Otro alias
n Un usuario o grupo autorizado
Crear un alias
Para crear un alias para utilizar con las polticas de seguridad:
Gua del Usuario 79
1. Seleccione Configurar> alias.
Los alias cuadro de dilogo . Los alias predefinidos aparecen en azul y los alias definidos por el usuario
aparecen en negro.
2. Haga clic en Agregar.
Agregar alias cuadro de dilogo aparece.
3. En el cuadro de texto Nombre de alias ingrese un nombre nico para identificar al alias.
Este nombre aparece en listas cuando se configura una poltica de seguridad.
4. En el campo Descripcin, ingrese una descripcin del alias.
5. Haga clic en OK.
Agregar una direccin, rango de direccin, nombre de DNS, u otro alias
al alias
1. En el cuadro de dilogo Agregar alias, haga clic en Agregar.
2. En el Elija el botn seleccione el tipo de miembro que desea agregar.
3. Ingrese la direccin o el nombre en el cuadro Valor cuadro de texto.
4. Haga clic en OK.
El nuevo miembro aparece en la seccin Miembros de alias de Agregar alias. cuadro de dilogo.
5. Para agregar ms miembros, repita los pasos 1al 4.
6. Haga clic en OK.
Agregar un usuario o grupo autorizado al alias
1. En el cuadro de dilogo Agregar alias, haga clic en Usuario.
Aparece el cuadro de dilogo "Agregar usuarios o grupos autorizados".
2. En la lista desplegable de la izquierda Tipo, seleccione si el usuario o grupo que desea agregar est
autorizado como usuario de firewall, usuario PPTP o usuario SSL VPN.
3. En la lista desplegable de la derecha Tipo, seleccione Usuario para agregar un usuario o Grupo para
agregar un grupo.
4. Si el usuario o grupo aparece en la lista en la parte inferior del cuadro de dilogo Agregar usuarios o
grupos autorizados, seleccione el usuario o grupo y haga clic en Seleccionar.
Si el usuario o grupo no aparece en la lista, an no est definido como usuario o grupo autorizado.
Debe definirlo como usuario o grupo autorizado para poder agregarlo a un alias.
5. Repita los pasos 1al 4 para agregar ms miembros, segn sea necesario.
O bien, siga el procedimiento anterior para agregar una direccin, rango de direccin, nombre de
DNS u otro alias al alias.
6. Haga clic en OK.
Para obtener informacin sobre cmo definir un usuario o grupo autorizado, consulte:
n Definir un nuevo usuario para autenticacin en Firebox
n Definir un nuevo grupo para autenticacin de Firebox
n Use los usuarios y grupos autorizados en polticas
Para quitar una entrada de la lista de miembros, seleccione la entrada y haga clic en Eliminar .
Defina las configuraciones globales del Firebox
En Policy Manager se pueden seleccionar configuraciones que controlen las acciones de muchas funciones
de los dispositivos Firebox y XTM. Se configuran los parmetros bsicos para:
n Administracin de errores ICMP
n Comprobacin TCP SYN
n Ajuste del tamao mximo de TCP
n Administracin de trfico y QoS
n Puerto de interfaz del usuario web
Para modificar las configuraciones globales:
Gua del Usuario 81
1. Seleccionar Configuracin >Configuraciones globales.
Aparece el cuadro de dilogo Configuraciones globales.
2. Configure las diferentes categoras de las configuraciones globales como se describe en las
siguientes secciones.
3. Haga clic en OK.
4. Guarde el archivo de configuracin en su dispositivo.
Defina las configuraciones globales de administracin de
errores ICMP
El Protocolo de mensajes de control de Internet (ICMP) controla errores en las conexiones. Se utiliza para
dos tipos de operaciones:
n Para informar a los host clientes acerca de condiciones de error.
n Para sondear una red a fin de encontrar caractersticas generales acerca de sta.
El Firebox enva un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los
parmetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se
resuelven problemas, pero tambin pueden reducir la seguridad porque exponen informacin acerca de la
red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red,
pero esto tambin puede generar demoras del tiempo de espera para conexiones incompletas, lo cual
puede causar problemas en las aplicaciones.
Las configuraciones para la administracin global de errores de ICMP son:
Se requiere fragmentacin (PMTU)
Seleccione esta casilla de verificacin para permitir los mensajes "Se requiere fragmentacin" de
ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.
Tiempo excedido
Seleccione esta casilla de verificacin para permitir mensajes de "Tiempo excedido" de ICMP. Un
enrutador en general enva estos mensajes cuando ocurre un bucle en la ruta.
No se puede alcanzar la red
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar la red" de
ICMP. Un enrutador en general enva estos mensajes cuando un enlace de red est roto.
No se puede alcanzar el host
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el host" de
ICMP. La red en general enva estos mensajes cuando no puede utilizar un host o servicio.
No se puede alcanzar el puerto
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el puerto" de
ICMP. Un host o firewall en general enva estos mensajes cuando un servicio de red no est
disponible o no est permitido.
No se puede alcanzar el protocolo
Seleccione esta casilla de verificacin para permitir mensajes "No se puede alcanzar el protocolo"
de ICMP.
Para anular estas configuraciones globales de ICMP para una poltica especfica: Policy Manager:
1. En la pestaa Firewall, seleccione la poltica especfica.
2. Haga doble clic en la poltica para editarla.
Aparece el cuadro de dilogo Editar propiedades de polticas.
3. Seleccione la pestaa Avanzado.
4. En la lista desplegable Administracin de errores ICMP, seleccione Especificar configuracin.
5. Haga clic en Configuracin de ICMP.
Aparece el cuadro de dilogo Configuracin de administracin de errores ICMP.
6. Seleccione la casilla de verificacin slo para las configuraciones que desea activar.
Gua del Usuario 83
Habilitar la comprobacin TCP SYN
La comprobacin TCP SYN garantiza que el protocolo de enlace de tres vas TCP se complete antes de que el
dispositivo Firebox o XTM permita una conexin de datos.
Definir las configuraciones globales de ajuste de tamao
mximo del segmento TCP
El segmento TCP puede configurarse en un tamao especfico para una conexin que debe tener ms
sobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamao no est configurado
correctamente, los usuarios no pueden obtener acceso a algunos sitios web. Las configuraciones globales
de ajuste de tamao mximo del segmento TCP son:
Ajuste automtico
El dispositivo Firebox o XTM examina todas las negociaciones de tamao mximo del segmento
(MSS) y cambia el valor de MSS al correspondiente.
Sin ajustes
El dispositivo Firebox o XTM no cambia el valor de MSS.
Limitar a
El usuario configura un lmite de ajuste del tamao.
Activar o desactivar la administracin de trfico y QoS
Para los fines de prueba de rendimiento o depuracin de la red, el usuario puede desactivar las funciones
de administracin de trfico y QoS.
Para activar estas funciones:
Seleccione la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Para desactivar estas funciones:
Desmarque la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
Cambiar el puerto Web UI
De manera predeterminada, la Fireware XTMWeb UI utiliza el puerto 8080.
Para cambiar este puerto:
1. En el cuadro de texto Puerto Web UI , ingrese o seleccione un nmero de puerto diferente.
2. Utilice el nuevo puerto para conectarse a la Fireware XTMWeb UI y pruebe la conexin con el
nuevo puerto.
Reinicio automtico
Puede programar el dispositivo Firebox o XTMpara que se reinicie automticamente en el da y la hora
especificados.
Para programar un reinicio automtico para el dispositivo:
1. Seleccione la casilla de verificacin Programar horario para reiniciar.
2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los das o
seleccione un da de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del da (en formato
de 24 horas) en que desea que comience el reinicio.
Consola externa
Esta opcin slo est disponible para los dispositivos y configuraciones Firebox X Edge. Seleccione esta
casilla de verificacin para usar el puerto serie para conexiones de consola, como la CLI (interfaz de lnea
de comandos) del Fireware XTM. El puerto serie no puede usarse para conmutacin por error de mdem
cuando esta opcin est seleccionada y es necesario reiniciar el dispositivo para cambiar esta configuracin.
Administrar unFirebox desde unaubicacinremota
Cuando configura un Firebox con el Quick Setup Wizard, se crea automticamente una poltica llamada
poltica WatchGuard. Esa poltica permite conectarse y administrar el Firebox desde cualquier equipo en
redes de confianza u opcional. Si desea administrar el Firebox desde una ubicacin remota (cualquier
ubicacin externa al Firebox), debe alterar la poltica WatchGuard para permitir conexiones administrativas
desde la direccin IP de su ubicacin remota.
La poltica WatchGuard controla el acceso al Firebox en esos cuatro puertos TCP: 4103, 4105, 4117, 4118.
Cuando permite las conexiones en la poltica WatchGuard, permite las conexiones a cada uno de esos
cuatro puertos.
Antes de modificar la poltica WatchGuard, recomendamos que considere conectarse al Firebox con una
VPN. Eso aumenta enormemente la seguridad de la conexin. Caso no sea posible, recomendamos que
permita el acceso desde la red externa slo a determinados usuarios autorizados y al nmero de equipos
ms pequeo posible. Por ejemplo, su configuracin es ms segura si permite conexiones desde un equipo
simple en vez de desde el alias "Cualquier-externo".
1. Haga doble clic en la poltica WatchGuard.
O haga clic con el botn derecho en la poltica WatchGuard y seleccione Editar.
Aparece el cuadro de dilogo Editar Propiedades de Poltica.
Gua del Usuario 85
3. Agregar la direccin del equipo externo que se conecta al Firebox: haga clic en Agregar otros,
asegrese de que IP del host sea el tipo seleccionado e ingrese la direccin IP.
4. Si desea otorgar acceso a un usuario autorizado, en el cuadro de dilogo Agregar direccin, haga clic
en Agregar usuario.
Para obtener informacin sobre cmo crear un alias, vea Crear un alias en la pgina 78.
Ubicaciones de los archivos del WatchGuard
System Manager
La tabla abajo le da las ubicaciones donde se guardan los archivos de datos comunes en el software
WatchGuard System Manager. Dado que es posible configurar el sistema operativo (OS) Windows para que
ponga esos directorios en unidades de disco diferentes, debe conocer la ubicacin de esos archivos segn
la configuracin de Windows de su equipo. Tambin es posible guardar los archivos de registro en un
directorio diferente de otros archivos de instalacin. Si altera la ubicacin predeterminada de los archivos
de registro, esas ubicaciones predeterminadas no se aplican.
Si est usando una versin de OS que no sea en English, debe traducir los nombres de directorios (como
"Documentos y Configuracin" o "Archivos de Programa") para que coincidan con el idioma del OS que usa.
Tipo de archivo Ubicacin
Fecha creada por usuario (compartido)
C:\Documents and Settings\All Users\Shared WatchGuard
WatchGuard
Certificados
My Documents\My WatchGuard\certs\<IP Address of
Management Server>
Aplicaciones WatchGuard C:\Program Files\WatchGuard\wsm11.0
Bibliotecas de aplicaciones compartidas C:\Program Files\Common Files\WatchGuard\wsm11.0
Datos del Management Server C:\Documents and Settings\WatchGuard\wmserver
Datos del Quarantine Server C:\Documents and Settings\WatchGuard\wqserver
Datos de la autoridad de certificacin C:\Documents and Settings\WatchGuard\wgca
Datos del Report Server C:\Documents and Settings\WatchGuard\wrserver
Datos del Log Server C:\Documents and Settings\WatchGuard\wlogserver
Datos del WebBlocker Server C:\Documents and Settings\WatchGuard\wbserver
Imgenes de actualizaciones futuras del
producto
C:\Program Files\Common
Files\WatchGuard\resources\FirewareXTM\11.0
Archivos de ayuda (Fireware & WSM) C:\Program Files\WatchGuard\wsm11.0\help\fireware
Archivos de ayuda (WFS) C:\Program Files\WatchGuard\wsm11.0\help\wfs
Gua del Usuario 87
Ubicaciones de archivos creados por usuarios y aplicaciones
Esas tablas dan las ubicaciones predeterminadas donde las aplicaciones del software WatchGuard y los
servidores buscan sus archivos de datos o los archivos de datos creados por usuarios (como los archivos de
configuracin de Firebox, por ejemplo). En algunos casos, la ubicacin predeterminada cambia segn
donde la aplicacin de software abri el archivo de un tipo similar. En esos casos, la aplicacin de software
recuerda el ltimo lugar que el archivo fue ledo/escrito y busca primero en aquella ubicacin.
Policy Manager para Software del dispositivo de Fireware
Operacin Tipo de archivo Ubicacin predeterminada
Lectura/Escritura Copias de seguridad de Firebox
C:\Documents and Settings\All Users\Shared
WatchGuard\backups
Lectura
Imgenes de actualizaciones del
producto
C:\Program Files\Common
Files\WatchGuard\resources\FirewareXTM\11.0
Lectura Sitios bloqueados My Documents\My WatchGuard
Lectura Excepciones de sitios bloqueados My Documents\My WatchGuard
Lectura/Escritura
Archivos de configuracin de
Firebox
My Documents\My WatchGuard/configs
Lectura/Escritura Archivos de licencia de Firebox My Documents\My WatchGuard/configs
Lectura Importacin de licencia inicial My Documents\My WatchGuard
Escritura
Archivos de configuracin de cliente
Mobile VPN.wgx e ini
WatchGuard\muvpn
Software del dispositivo WFS
Operacin Tipo de archivo Ubicacin predeterminada
Lectura Notificacin de registro Directorio actual de funcionamiento
Lectura
Importacin de reglas de
spam
Directorio actual de funcionamiento
Escritura
Copias de seguridad
guardadas
WatchGuard\backups
Escritura MUVPN SPDs (.wgx)
WatchGuard\muvpn
Lectura
Importaciones de Sitios
Bloqueados
Directorio actual de funcionamiento
Lectura/Escritura
Imagen de copia de
seguridad
WatchGuard\ backups
Report Manager
Tipo de archivo Ubicacin predeterminada
Registro del informe
C:\Documents and Settings\<user name>\Application
Data\WatchGuard\wgreports
Archivos de informe
Data\WatchGuard\wgreports
LogViewer
Tipo de archivo Ubicacin predeterminada
Archivos de configuracin de
LogViewer
Data\WatchGuard\enhanced_logviewer
Archivos de registro de
depuracin de LogViewer
Data\WatchGuard\enhanced_logviewer
Archivos exportados de
LogViewer
C:\Documents and Settings\WatchGuard\logs
Archivos de registro guardados
de LogViewer
C:\Documents and Settings\WatchGuard\reports
Archivos de consulta de
bsqueda de LogViewer
Data\WatchGuard\enhanced_logviewer\searches
Actualizar para unanueva versindel Fireware XTM
Peridicamente, el WatchGuard crea nuevas versiones del software de la aplicacin de WatchGuard System
Manager (WSM) y Fireware XTMdisponible a los usuarios de Firebox con suscripciones activas del
LiveSecurity. Para actualizar desde una versin del WSMcon Fireware XTMhacia una nueva versin de
WSMcon Fireware XTM, use los procedimientos en las siguientes secciones.
Instalar la actualizacin en su equipo administrado
1. Descargar la actualizacin del Fireware XTMy el WatchGuard System Manager desde la seccin
Descargas de Software del sitio web de WatchGuard en http://www.watchguard.com.
2. Crear copia de seguridad del archivo de configuracin de su dispositivo WatchGuard actual y
archivos de Management Server configuration.
Para ms informacin acerca de como crear una imagen de copia de seguridad de la configuracin
de su dispositivo WatchGuard, vea Hacer una copia de seguridad de la imagen de Firebox en la
pgina 47.
Para crear una copia de seguridad de la Management Server configuration, vea Crear copia de
seguridad o restaurar la Management Server configuration en la pgina 527.
3. Use el "Agregar o Quitar Programas" del Windows para desinstalar su WatchGuard System Manager
existente y la instalacin del Fireware XTMde WatchGuard. Puede tener ms de una versin del
software de cliente WatchGuard System Manager instalada en su equipo de administracin, pero
slo una versin del software de servidor WatchGuard.
Gua del Usuario 89
Para ms informacin, vea Instale el WSMy mantenga una versin ms antigua en la pgina 36.
4. Iniciar el archivo o archivos descargados desde el sitio web de Live Security.
5. Use el procedimiento en pantalla para instalar el archivo de actualizacin del Fireware XTMen el
directorio de instalacin de WatchGuard en su equipo de administracin.
Actualizar el Firebox
1. Para guardar la actualizacin del Firebox, use el Policy Manager para abrir su archivo de
configuracin del dispositivo WatchGuard.
El WatchGuard System Manager detecta que el archivo de configuracin es para una versin ms antigua y
exhibe un cuadro de dilogo de actualizacin.
2. Haga clic en S para actualizar el archivo de configuracin. Use las instrucciones en pantalla para
convertir el archivo de configuracin hacia una versin ms reciente.
Nota El cuadro de dilogo de actualizacin parecer diferente si tiene mltiples
versiones del WatchGuard System Manager instaladas en su equipo de
administracin. Para ms informaciones, vea Usar mltiples versiones del Policy
Manager en la pgina 89.
Si no ve el cuadro de dilogo de actualizacin cuando abre el Policy Manager:
1. Seleccione Archivo > Actualizar.
2. Ingrese la frase de contrasea de configuracin.
Aparece el cuadro de dilogo "Actualizar Insertar ruta hacia imagen de actualizacin".
3. La ruta predeterminada es automticamente seleccionada. Si su ruta de instalacin es diferente,
haga clic en Examinar para cambiar la ruta hacia la imagen de actualizacin.
4. Haga clic en OK.
El procedimiento de actualizacin puede llevar hasta 15 minutos y automticamente reinicia el dispositivo
WatchGuard.
Si su dispositivo WatchGuard estuvo funcionando por algn tiempo antes de la actualizacin, puede ser
necesario reiniciar el dispositivo antes de iniciar la actualizacin, para que se limpie la memoria temporal.
Usar mltiples versiones del Policy Manager
En el WatchGuard System Manager v11, si abre un archivo de configuracin creado por una versin ms
antigua del Policy Manager, y si la versin ms antigua delWatchGuard System Manager tambin est
instalada en el equipo de administracin, aparece el cuadro de dilogo Actualizacin disponible. Puede
elegir iniciar la versin ms antigua del Policy Manager o actualizar el archivo de configuracin con una
versin ms nueva.
Si no desea que el WatchGuard System Manager exhiba ese cuadro de dilogo cuando abre un archivo de
configuracin ms antiguo, seleccione la casilla No mostrar ese mensaje nuevamente.
Para activar el cuadro de dilogo Actualizacin disponible, caso lo desactive:
1. En el WatchGuard System Manager, seleccione Editar > Opciones.
2. Seleccione la casilla Mostrar dilogo de actualizacin al iniciar el Policy Manager.
3. Haga clic en OK.
Acerca de las opciones de actualizacin
Puede agregar actualizaciones a su dispositivo WatchGuard para activar la capacidad, funciones y servicios
de suscripcin adicionales.
Para obtener una lista de opciones de actualizacin disponible, vea
www.watchguard.com/products/options.asp.
Actualizaciones de Servicios de Suscripcin
WebBlocker
La actualizacin del WebBlocker le permite controlar el acceso al contenido web.
Para ms informaciones, vea Acerca de las WebBlocker en la pgina 981.
spamBlocker
La actualizacin del spamBlocker le permite el filtrado de correo electrnico masivo y spam.
Para ms informaciones, vea Acerca de las spamBlocker en la pgina 1055.
Gateway AV/IPS IPS
La actualizacin del Gateway AV/IPS le permite bloquear virus y evitar los intentos de intrusin de
parte de hackers.
Para ms informaciones, vea Acerca de las Gateway AntiVirus y prevencin de intrusiones en la
pgina 1083.
Actualizaciones de dispositivos y software
Pro
La actualizacin Pro del Fireware XTMofrece varias funciones avanzadas para clientes
experimentados, tales como balance de carga en el servidor y tneles adicionales de SSLVPN. Las
funciones disponibles con la actualizacin Pro dependen del tipo y modelo de su Firebox.
Para ms informaciones, vea Fireware XTMcon Actualizacin Pro en la pgina 12.
Actualizaciones de modelos
Para algunos modelos de Firebox, puede adquirir una license key para actualizar el dispositivo con
un modelo ms liviano en la misma lnea de productos. La actualizacin de un modelo da a su
Firebox las mismas funciones que un modelo superior.
Para comparar las funciones y capacidades de diferentes modelos de Firebox, vaya a
http://www.watchguard WatchGuard.com/products/compare.asp.
Gua del Usuario 91
Como aplicar una actualizacin
Al adquirir una actualizacin, hay que registrarla en el sitio web de WatchGuard LiveSecurity. Despus, se
baja la tecla de funcin que habilita la actualizacin en su dispositivo WatchGuard.
Para ms informacin acerca de esas teclas de funcin, vea Acerca de las teclas de funcin en la pgina 61.
Renovar suscripciones de seguridad
Los servicios de suscripcin de WatchGuard (el Gateway AntiVirus, el Intrusion Prevention Service,
WebBlocker y spamBlocker) deben recibir actualizaciones peridicas para funcionar con eficiencia.
El dispositivo WatchGuard brinda recordatorios acerca de la renovacin de la suscripcin. Cuando guarda
los cambios a un archivo de configuracin, WatchGuard System Manager le indica el vencimiento de su
suscripcin 60 das antes, 30 das antes, 15 das antes y el da antes de la fecha de vencimiento.
Cuando las suscripciones se vencen, no puede guardar ningn cambio a la configuracin hasta que renueve
o desactive la suscripcin vencida.
1. Desde el Policy Manager , haga clic en Archivo > Guardar > A Firebox.
Ver un mensaje que le indica que debe actualizar la tecla de funcin.
2. Haga clic en OK.
Aparece el cuadro de dilogo Conformidad con tecla de funcin.
3. Seleccione la suscripcin vencida.
4. Si ya tiene la nueva tecla de funcin, haga clic en Agregar tecla de funcin. Pegue su nueva tecla de
funcin. No puede hacer clic derecho para pegar. Debe utilizar la combinacin CTRL+V o hacer clic
en Pegar.
Si todava no tiene su nueva tecla de funcin, debe hacer clic en Desactivar incluso si planea
renovarla ms tarde. No perder su configuracin si desactiva la suscripcin. Si renueva la
suscripcin ms adelante, puede reactivar la configuracin y guardarla en Firebox.
5. Haga clic en OK.
Renueve las suscripciones desde Firebox System Manager
Si una suscripcin est por vencer, aparece una advertencia en el panel delantero de Firebox System
Manager y podr ver un botn Renovar ahora en la esquina superior derecha de la ventana. Haga clic en
Renovar ahora para dirigirse al sitio web de LiveSecurity Service, donde podr renovar la suscripcin.
Gua del Usuario 93
6
Configuracin de red
Acerca de las configuracin de interfaz de red
Un componente principal de la configuracin del dispositivo WatchGuard es la configuracin de las
direcciones IP de la interfaz de red. Cuando se ejecuta el Quick Setup Wizard, las interfaces externa y de
confianza se configuran de manera tal que el trfico pueda circular desde dispositivos protegidos a una red
externa. Puede seguir los procedimientos en esta seccin para cambiar la configuracin despus de
ejecutar el Quick Setup Wizard o para agregar otros componentes de su red a la configuracin. Por
ejemplo, puede configurar una interfaz opcional para servidores pblicos como un servidor web.
El dispositivo WatchGuard separa fsicamente a las redes en la red de rea local (LAN) de las que se
encuentran en la red de rea ancha (WAN) como Internet. El dispositivo utiliza enrutamiento para enviar
paquetes desde las redes que protege a redes fuera de la organizacin. Para hacerlo, el dispositivo debe
conocer qu redes estn conectadas en cada interfaz.
Recomendamos registrar la informacin bsica acerca de la configuracin de red y VPN en caso de que
necesite contactar a soporte tcnico. Esta informacin puede ayudar al tcnico a resolver su problema con
rapidez.
Modos de red
El dispositivo WatchGuard admite varios modos de red:
Modo de enrutamiento combinado
En el modo de enrutamiento combinado, se puede configurar Firebox para que enve trfico de red
entre una amplia variedad de interfaces de red fsica y virtual. ste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo,
cada interfaz debe configurarse por separado y es posible que deba cambiarse la configuracin de
red para cada computadora o cliente protegido por Firebox. Firebox utiliza la traduccin de
direccin de red (NAT) para enviar informacin entre interfaces de red.
Para obtener ms informacin, consulte Acerca de la Traduccin de direccin de red (NAT) en la
pgina 161.
Los requisitos para un modo de enrutamiento combinado son:
n Todas las interfaces del dispositivo WatchGuard deben configurarse en diferentes subnet. La
configuracin mnima incluye a las interfaces externas y de confianza. Tambin puede
configurar una o ms interfaces opcionales.
n Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una
direccin IP de esa red.
Modo directo
En una configuracin directa, el dispositivo WatchGuard est configurado con la misma direccin IP
en todas las interfaces. Puede colocar el dispositivo WatchGuard entre el enrutador y la LAN y no
ser necesario cambiar la configuracin de ninguna computadora local. Esta configuracin se
conoce como modo directo porque el dispositivo WatchGuard se coloca en una red existente.
Algunas funciones de red, como puentes y VLAN ( redes virtuales de rea local) no estn disponibles
en este modo.
Para la configuracin directa se debe:
n Asignar una direccin IP externa al dispositivo WatchGuard.
n Utilizar una red lgica para todas las interfaces.
n No configurar multi-WAN en modo de operacin por turnos o conmutacin por error.
Para ms informaciones, vea Acerca de la configuracin de red en modo directo en la pgina 104.
Modo puente
El modo puente es una funcin que permite ubicar al dispositivo WatchGuard entre una red
existente y su puerta de enlace para filtrar o administrar el trfico de red. Cuando se activa esta
funcin, el dispositivo WatchGuard procesa y reenva todo el trfico de red entrante a la gateway IP
address especificada. Cuando el trfico llega a la puerta de enlace, parece haber sido enviado desde
el dispositivo original. En esta configuracin, el dispositivo WatchGuard no puede realizar varias
funciones que requieren una direccin IP pblica y nica. Por ejemplo, no se puede configurar un
dispositivo WatchGuard en modo puente para que funcione como extremo para una VPN (red
privada virtual).
Para ms informaciones, vea Modo Bridge en la pgina 110.
Tipos de interfaz
Se utilizan tres tipos de interfaz para configurar la red en enrutamiento combinado o modo directo:
Interfaces externas
Una interfaz externa se usa para conectar el dispositivo WatchGuard a una red fuera de la
organizacin. Con frecuencia, una interfaz externa es el mtodo mediante el cual se conecta Firebox
a Internet. Se puede configurar un mximo de cuatro (4) interfaces externas fsicas.
Configuracin de red
Configuracin de red
Gua del Usuario 95
Cuando se configura una interfaz externa, se debe elegir el mtodo que usa el proveedor de
servicios de Internet (ISP) para otorgar una direccin IP a su Firebox. Si no conoce el mtodo, solicite
esta informacin a su ISP o administrador de red.
Interfaces de confianza
Las interfaces de confianza se conectan a la LAN (red de rea local) privada o a la red interna de la
organizacin. Una interfaz de confianza en general provee conexiones a los empleados y recursos
internos seguros.
Interfaces opcionales
Las interfaces opcionales son entornos combinados-de confianza o DMZ que estn separados de la
red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional
son los servidores web pblicos, servidores FTP y servidores de correo electrnico.
Para obtener ms informacin sobre tipos de interfaz, consulte Configuraciones de interfaz comunes en la
pgina 111.
Si tiene un Firebox X Edge, puede utilizar la interfaz de usuario web de Firebox XTMpara configurar la
conmutacin por error con un mdem externo en el puerto serie.
Para ms informaciones, vea Conmutacin por error de mdem serie en la pgina 151.
Cuando se configuran las interfaces en el dispositivo WatchGuard, se debe utilizar notacin diagonal para
indicar la subnet mask. Por ejemplo, se ingresa el rango de red 192.168.0.0 subnet mask 255.255.255.0
como 192.168.0.0/24. Una interfaz de confianza con la direccin IP de 10.0.1.1/16 tiene una subnet mask
de 255.255.0.0.
Para obtener ms informacin sobre notacin diagonal, consulte Acerca de las Notacin diagonal en la
pgina 3.
Acerca de las interfaces de red en el Edge e-Series
Cuando utiliza Fireware XTMen un Firebox X Edge e-Series, los nmeros de interfaz de red que aparecen
en WatchGuard System Manager no coinciden con las etiquetas de interfaz de red impresas debajo de las
interfaces fsicas en el dispositivo. Utilice la siguiente tabla para comprender cmo los nmeros de interfaz
en WatchGuard System Manager se asignan a las interfaces fsicas en el dispositivo.
Nmero de
interfaz en
Fireware XTM
Etiqueta de interfaz en el hardware de Firebox X Edge e-
Series
0 WAN 1
1 LAN 0, LAN 1, LAN 2
2 WAN 2
3 Op
Las interfaces con etiqueta LAN 0, LAN 1 y LAN 2 pueden considerarse como un concentrador de red de
tres interfaces que se conecta a una nica interfaz de Firebox. En Fireware XTM, estas interfaces se
configuran juntas como Interfaz 1.
Modo de enrutamiento combinado
En el modo de enrutamiento combinado, Firebox puede configurarse para enviar trfico de red entre
muchos tipos diferentes de interfaces de red fsica y virtual. El modo de enrutamiento combinado es el
modo de red predeterminado. Aunque la mayora de las funciones de seguridad y red estn disponibles en
este modo, debe verificar cuidadosamente la configuracin de cada dispositivo conectado a Firebox para
asegurarse de que la red funcione correctamente.
Una configuracin de red bsica en el modo de enrutamiento combinado utiliza por lo menos dos
interfaces. Por ejemplo, puede conectar una interfaz externa a un mdem por cable u otra conexin a
Internet y una interfaz de confianza a un enrutador interno que conecta a miembros internos de la
organizacin. En esa configuracin bsica, puede agregar una red opcional que protege a los servidores
pero permite un mayor acceso desde redes externas, configurar VLAN y otras funciones avanzadas o
configurar opciones de seguridad adicionales como restricciones de direccin MAC. Tambin puede definir
el modo en que el trfico de red se enva entre las interfaces.
Para comenzar con la configuracin de interfaces en el modo de enrutamiento combinado, consulte
Configuraciones de interfaz comunes en la pgina 111.
En el modo de enrutamiento combinado es fcil olvidar las direcciones IP y puntos de conexin en la red ,
especialmente si se usan VLAN (redes virtuales de rea local), secondary networks y otras funciones
avanzadas. Recomendamos registrar la informacin bsica acerca de la configuracin de red y VPN en caso
de que necesite contactar a soporte tcnico. Esta informacin puede ayudar al tcnico a resolver su
problema con rapidez.
Configurar una interfaz externa
Una interfaz externa se usa para conectar el dispositivo Firebox o XTM a una red fuera de la organizacin.
Con frecuencia, una interfaz externa es el mtodo mediante el cual se conecta el dispositivo a Internet. Se
puede configurar un mximo de cuatro (4) interfaces externas fsicas.
Cuando se configura una interfaz externa, se debe elegir el mtodo que usa el proveedor de servicios de
Internet (ISP) para otorgar una direccin IP a su dispositivo. Si no conoce el mtodo, solicite esta
informacin a su ISP o administrador de red.
Para obtener informacin acerca de los mtodos utilizados para configurar y distribuir direcciones IP,
consulte estticas y dinmicas Direcciones IP en la pgina 4.
Usar una direccin IP esttica
1. Seleccione Red > Configuracin.
Aparece el cuadro de dilogo "Configuracin de red".
2. Seleccione una interfaz externa. Haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de interfaz.
3. Seleccione Usar IP esttica.
4. En el cuadro de texto Direccin IP , ingrese o seleccione la direccin IP de la interfaz.
Configuracin de red
Configuracin de red
Gua del Usuario 97
5. En el cuadro de texto Puerta de enlace predeterminada , ingrese o seleccione la direccin IP de la
puerta de enlace predeterminada.
6. Haga clic en OK.
Usar autenticacin PPPoE
Si su ISP usa PPPoE, debe configurar la autenticacin PPPoE antes de que el dispositivo pueda enviar trfico
a travs de la interfaz externa.
2. Seleccione una interfaz externa. Haga clic en Configurar.
3. En el cuadro de dilogo Configuracin de interfaz, seleccione Usar PPPoE.
4. Seleccione una opcin:
n Obtener una direccin IP automticamente
n Usar direccin IP (proporcionada por el proveedor de servicios de Internet)
5. Si seleccion Usar direccin IP en el cuadro de texto adyacente, ingrese o seleccione la direccin IP.
6. Ingrese el nombre de usuario y la contrasea. Vuelva a ingresar la contrasea.
Los ISP usan el formato de direccin de correo electrnico para nombres de usuario, como por ejemplo
user@example.com.
7. Haga clic en Propiedades avanzadas para configurar las opciones de PPPoE.
Aparece el cuadro de dilogo Propiedades de PPPoE. El ISP puede informarle si debe cambiar los valores de
tiempo de espera o LCP.
8. Si el ISP requiere la etiqueta de host nico para paquetes de descubrimiento de PPPoE, seleccione
la casilla de verificacin Utilizar etiqueta de host nico en paquetes de descubrimiento de PPPoE.
9. Seleccionar cundo el dispositivo se conecta al servidor PPPoE:
n Siempre activo: el dispositivo Firebox o XTMmantiene una conexin PPPoE constante. No es
necesario para el trfico de red atravesar la interfaz externa.
Si selecciona esta opcin, ingrese o seleccione un valor en el cuadro de texto Intervalo de
reintento de inicializacin de PPPoE para establecer la cantidad de segundos en que PPPoE
intenta inicializarse antes de que ingrese en tiempo de espera.
n Marcar a demanda: el dispositivo Firebox o XTMse conecta al servidor PPPoE slo cuando
recibe una solicitud de enviar trfico a una direccin IP en la interfaz externa. Si el ISP
restablece la conexin en forma regular, seleccione esta opcin.
Si selecciona esta opcin, en el cuadro de texto Tiempo de espera inactivo , establezca la
cantidad de tiempo en que un cliente puede permanecer conectado cuando no se enva
trfico. Si no selecciona esta opcin, debe reiniciar Firebox en forma manual cada vez que se
restablece la conexin.
10. En el cuadro de texto Falla en eco de LCP en , ingrese o seleccione el nmero de solicitudes de eco
de LCP permitidas antes de que la conexin PPPoE se considere inactiva y se cierre.
Configuracin de red
Configuracin de red
Gua del Usuario 99
11. En el cuadro de texto Tiempo de espera del eco de LCP en , ingrese o seleccione la cantidad de
tiempo, en segundos, en la que debe recibirse la respuesta a cada tiempo de espera del eco.
12. Para configurar el dispositivo Firebox o XTMpara que reinicie automticamente la conexin PPPoE
en forma diaria o semanal, seleccione la casilla de verificacin Programar tiempo para reinicio
automtico.
13. En la lista desplegable Programar tiempo para reinicio automtico, seleccione Diario para reiniciar
la conexin al mismo tiempo cada da o seleccione un da de la semana para un reinicio semanal.
Seleccione la hora y minutos del da (en formato de 24 horas) para reiniciar automticamente la
conexin PPPoE.
14. En el cuadro de texto Nombre del servicio , ingrese un nombre del servicio PPPoE.
Las opciones son el nombre del ISP o una clase de servicio que est configurada en el servidor
PPPoE. En general, esta opcin no se usa. Seleccinela slo si hay ms de un concentrador de
acceso o si sabe que debe utilizar un nombre de servicio especfico.
15. En el cuadro de texto Nombre del concentrador de acceso , ingrese el nombre de un concentrador
de acceso PPPoE, conocido tambin como servidor PPPoE. En general, esta opcin no se usa.
Seleccione esta opcin slo si sabe que hay ms de un concentrador de acceso.
16. En el cuadro de texto Reintentos de autenticacin , ingrese o seleccione el nmero de veces que
el dispositivo Firebox o XTMpuede intentar realizar una conexin.
El valor predeterminado es de tres (3) intentos de conexin.
17. En el cuadro de texto Tiempo de espera de autenticacin , ingrese un valor para la cantidad de
tiempo entre los reintentos.
El valor predeterminado es 20 segundos entre cada intento de conexin.
18. Haga clic en OK.
19. Guarde su configuracin.
Usar DHCP
1. En el cuadro de dilogo Configuracin de interfaz, seleccione Usar cliente DHCP.
2. Si el ISP o el servidor DHCO externo requiere un identificador de cliente, como una direccin MAC,
ingrese esta informacin en el cuadro de texto Cliente .
3. Para especificar un nombre de host para identificacin, ingrselo en el cuadro de texto Nombre de
host .
4. Para permitir que DHCP asigne una direccin IP al dispositivo Firebox o XTM, en la seccin IP de
host, seleccione Obtener IP automticamente.
Si desea asignar manualmente una direccin IP y utilizar DHCP para proporcionar esta direccin
asignada al dispositivo Firebox o XTM, seleccione Utilizar direccin IP e ingrese la direccin IP en el
cuadro de texto adyacente.
Las direcciones IP que asigna un servidor DHCP tienen un tiempo de concesin predeterminado de
un da, lo cual significa que la direccin es vlida por un da.
5. Para cambiar el tiempo de concesin, seleccione la casilla de verificacin Tiempo de concesin y
seleccione el valor en la lista desplegable adyacente.
Configurar el DHCP en modo de enrutamiento mixto
DHCP (protocolo de configuracin dinmicade host) es unmtodo paraasignar direcciones IP enforma
automticaa clientes de red. El dispositivoWatchGuard se puede configurar como servidor DHCP paralas
redes que protege. Si tiene un servidor DHCP, recomendamos que contine usando ese servidor paraDHCP.
Si el dispositivo WatchGuard est configurado en modo directo, consulte Configurar DHCP en modo directo
en la pgina 107.
Nota No se puede configurar DHCP en ninguna interfaz en la cual est activado
FireCluster.
Configurar DHCP
1. Seleccione Configuracin de >red.
2. Seleccione una interfaz de confianza u opcional. Haga clic en Configurar.
Para configurar DHCPpara una red invitada inalmbrica, seleccione Red >Inalmbrica y haga clic en
Configurar para la red invitada inalmbrica.
Configuracin de red
Configuracin de red
Gua del Usuario 101
3. Seleccione Usar servidor DHCP o para la red invitada inalmbrica, seleccione la casilla de
verificacin Activar servidor DHCP en red invitada inalmbrica.
4. Para agregar un grupo de direcciones IP para asignar usuarios en esta interfaz, En la seccin Grupo
de direcciones, haga clic en Agregar. Especifique las direcciones IP de inicio y finalizacin en la
misma subnet, luego haga clic en OK.
El grupo de direcciones debe pertenecer ya sea a la subnet IP principal o secundaria de la interfaz.
Se puede configurar un mximo de seis rangos de direcciones. Los grupos de direcciones se usan desde el
primero al ltimo. Las direcciones en cada grupo se asignan por nmero, de menor a mayor.
5. Para cambiar el tiempo de concesin predeterminado, seleccione una opcin diferente en la lista
desplegable Tiempo de concesin.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una direccin IP que recibe del servidor DHCP.
Cuando el tiempo de concesin se est por agotar, el cliente enva datos al servidor DHCP para obtener una
nueva concesin.
6. De manera predeterminada, cuando el dispositivo WatchGuard est configurado como servidor
DHCP, revela la informacin del servidor DNS y WINS configurada en la pestaa Configuracin de
red > WINS/DNS. Para especificar informacin diferente para que el dispositivo asigne cuando
revela las direcciones IP, haga clic en Configurar servidores DNS/WINS,.
n Ingrese un Domain name para cambiar el dominio DNS predeterminado.
n Para crear una nueva entrada del servidor DNS o WINS, haga clic en el botn Agregar
adyacente al tipo de servidor que desea, ingrese una direccin IP y haga clic en OK.
n Para cambiar la direccin IP del servidor seleccionado, haga clic en el botn Editar.
n Para eliminar al servidor seleccionado de la lista adyacente, haga clic en el botn Eliminar.
Configurar reservas de DHCP
Para reservar una direccin IP especfica para un cliente:
Configuracin de red
Configuracin de red
Gua del Usuario 103
1. Junto al campo Direcciones reservadas , haga clic en Agregar.
Para una red invitada inalmbrica, haga clic en Reservas de DHCP y luego haga clic en Agregar.
2. Ingrese un nombre para la reserva, la direccin IP que desea reservar y la direccin MAC de la
tarjeta de red del cliente.
3. Haga clic en OK.
Pgina Acerca de Servicio DNS dinmico
Se puede registrar la direccin IP externa del dispositivo WatchGuard en el servicio del sistema de domain
name (DNS) dinmico DynDNS.org. Un servicio DNS dinmico garantiza que la direccin IP adjunta a su
domain name cambie cuando el ISP entregue una nueva direccin IP a su dispositivo. Esta funcin est
disponible en modo de enrutamiento combinado o modo de configuracin de red directo.
Si se usa esta funcin, el dispositivo WatchGuard recibe la direccin IP de members.dyndns.org cuando se
inicia. Verifica que la direccin IP sea correcta cada vez que se reinicia y peridicamente cada veinte das. Si
se realizan cambios en la configuracin DynDNS en el dispositivo WatchGuard o si se cambia la direccin IP
de la puerta de enlace predeterminada, actualiza DynDNS.com de inmediato.
Para obtener ms informacin sobre el servicio DNS dinmico o para crear una cuenta DynDNS, ingrese en
http://www.dyndns.com.
Nota WatchGuard no est asociado con DynDNS.com.
Usar DNS dinmico
Se puede registrar la direccin IP externa del dispositivo WatchGuard en el servicio DNS (Sistema de
domain name) dinmico llamado Dynamic Network Services (DynDNS). Se trata de un servicio gratuito para
un mximo de cinco nombres de host. WatchGuard System Manager actualmente no admite otros
proveedores de DNS dinmico.
Un servicio DNS dinmico garantiza que la direccin IP adjunta a su domain name cambie cuando el ISP
entregue una nueva direccin IP a su dispositivo WatchGuard. El dispositivo verifica la direccin IP de
members.dyndns.org cuando se inicia. Verifica que la direccin IP sea correcta cada vez que se reinicia y
peridicamente cada veinte das. Si se realizan cambios en la configuracin DynDNS en el dispositivo
WatchGuard o si se cambia la direccin IP de la puerta de enlace predeterminada configurada en el
dispositivo, la configuracin en DynDNS.com se actualiza de inmediato.
Para obtener ms informacin sobre DNS dinmico, ingrese en http://www.dyndns.com.
Nota WatchGuardnoestasociadoconDynDNS.com.
1. Configurar una cuenta dynDNS. Ingrese en el sitio web de DynDNS y siga las instrucciones del sitio.
2. En el Policy Manager, seleccione Red > Configuracin.
3. Haga clic en la pestaa WIN/DNS.
4. Asegrese de tener por lo menos un servidor DNS definido. De lo contrario, siga el procedimiento
en Agregar servidores WINS y Direcciones del servidor DNS en la pgina 115.
5. Haga clic en la pestaa DNS dinmico.
6. Seleccione la interfaz externa para la que desea configurar DNS dinmico y haga clic en Configurar.
Aparece el cuadro de dilogo DNS dinmico por interfaz.
7. Para activar DNS dinmico, seleccione la casilla de verificacin Activar DNS dinmico.
8. Ingrese el nombre de usuario, la contrasea y el domain name que us para configurar la cuenta de
DNS dinmico.
9. En la lista desplegable Tipo de servicio, seleccione el sistema que se usar para esta actualizacin:
n dyndns; enva actualizaciones para un nombre de host DNS dinmico. Use esta opcin cuando
no tenga control sobre la direccin IP (por ejemplo, no es esttica y cambia en forma regular).
n custom; enva actualizaciones para un nombre de host DNS personalizado. Las empresas que
pagan para registrar sus dominios en dyndns.com utilizan con frecuencia esta opcin.
Para obtener ms informacin sobre cada opcin, consulte http://www.dyndns.com/services/.
10. En el campo Opciones, puede ingresar cualquiera de las siguientes opciones. Debe ingresar el
carcter "&" antes y despus de cada opcin que agrega. Si agrega ms de una opcin, debe
separarlas con el carcter "&".
Por ejemplo:
&backmx=NO&wildcard=ON&
mx=mailexchanger
backmx=YES|NO
wildcard=ON|OFF|NOCHG
offline=YES|NO
Para obtener ms informacin sobre las opciones, consulte
http://www.dyndns.com/developers/specs/syntax.html.
11. Use las flechas para establecer un intervalo de tiempo, en das, para forzar una actualizacin de la
direccin IP.
Acerca de la configuracin de red en modo
directo
En una configuracin directa, Firebox est configurado con la misma direccin IP en todas las interfaces. El
modo configuracin directa distribuye el rango de direccin lgica de la red a lo largo de todas las
interfaces de red disponibles. Puede colocar Firebox entre el enrutador y la LAN y no ser necesario
cambiar la configuracin de ninguna computadora local. Esta configuracin se conoce como modo directo
porque el dispositivo WatchGuard se coloca en una red previamente configurada.
Configuracin de red
Configuracin de red
Gua del Usuario 105
En modo directo:
n Se debe asignar la misma direccin IP principal a todas las interfaces en Firebox (externa, de
confianza y opcional).
n Pueden asignarse secondary networks en cualquier interfaz.
n Lasmismas direccionesIP ypuertas deenlace predeterminadaspuedenmantenerseparaloshost enlas
redesde confianzay opcionales,y sepuede agregarunadireccinde secondarynetwork alainterfaz
externaprincipal paraque Fireboxpuedaenviartrficocorrectamentealoshost deestas redes.
n Los servidores pblicos detrs de Firebox pueden continuar utilizando las direcciones IP pblicas. La
traduccin de direccin de red (NAT) no se utiliza para enrutar trfico desde el exterior de la red
hacia los servidores pblicos.
Las propiedades de una configuracin directa son:
n Se debe asignar y utilizar una direccin IP esttica en la interfaz externa.
n Se utiliza una red lgica para todas las interfaces.
n No se puede configurar ms de una interfaz externa cuando el dispositivo WatchGuard est
configurado en modo directo. La funcionalidad multi-WAN se desactiva automticamente.
En algunas ocasiones es necesario Limpiar cach de ARP de cada computadora protegida por Firebox, pero
esto no es frecuente.
Nota Si se mueve una direccin IP de una computadora que se encuentra detrs de una
interfaz a una computadora que se encuentra detrs de una interfaz diferente,
pueden transcurrir varios minutos antes de que el trfico de red se enve a la nueva
ubicacin. Firebox debe actualizar su tabla de enrutamiento interna antes de que
este trfico pueda circular. Los tipos de trfico que se ven afectados incluyen
registro, SNMP y conexiones de administracin de Firebox.
Las interfaces de red pueden configurarse en modo directo cuando se ejecuta el Quick Setup Wizard. Si ya
ha creado una configuracin de red, puede usar el Policy Manager para cambiar al modo directo.
Para ms informaciones, vea Ejecutar el Web Setup Wizard en la pgina 25.
Utilizar modo directo para la configuracin de la interfaz de red
1. Haga clic en .
O bien, seleccione Configuracin de >red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo directo.
3. En el campoDireccin IP, ingrese la direccin IP que desea utilizar como direccin principal para
todas las interfaces de Firebox.
4. En el campo Puerta de enlace ingrese la direccin IP de la puerta de enlace. Esta direccin IP se
agrega automticamente a la lista de hosts relacionados.
5. Haga clic en OK.
Configurar host relacionados
En una configuracin directa o de puente, Firebox est configurado con la misma direccin IP en todas las
interfaces. Firebox automticamente descubre nuevos dispositivos que se conectan a estas interfaces y
agrega cada nueva direccin MAC a su tabla de enrutamiento interna. Si desea configurar conexiones de
dispositivos en forma manual o si la funcin de asignacin automtica de host no funciona correctamente,
puede agregar una entrada de host relacionado. Una entrada de host relacionado crea una ruta esttica
entre la direccin IP del host y una interfaz de red. Recomendamos desactivar la asignacin automtica de
host en interfaces para las que se crean entradas de host relacionados.
1. Haga clic en .
2. Configure las interfaces de red en modo directo o puente y luego haga clic en Propiedades.
Aparece el cuadro de dilogo Propiedades del modo directo.
3. Desmarque la casilla de verificacin para cualquier interfaz en la que desee agregar una entrada de
host relacionado.
4. Haga clic en Agregar. Ingrese la direccin IP del dispositivo para el cual desea construir una ruta
esttica desde Firebox.
5. Haga clic en el rea de la columna Nombre de interfaz para seleccionar la interfaz para la entrada de
host relacionados.
Configuracin de red
Configuracin de red
Gua del Usuario 107
6. Haga clic en OK.
Configurar DHCP en modo directo
Cuando se usa el modo directo para la configuracin de red, puede utilizar el Policy Manager para
configurar a Firebox, de manera opcional, como servidor DHCP para las redes que protege o convertir a
Firebox en agente de retransmisin de DHCP. Si tiene un servidor DHCP configurado, recomendamos que
contine usando ese servidor para DHCP.
Usar DHCP
1. Haga clic en .
2. Seleccione Utilizar servidor DHCP.
3. Para agregar un grupo de direcciones desde el cual Firebox puede entregar direcciones IP, haga clic
en Agregar junto al cuadro Grupo de direcciones y especifique las direcciones de inicio y finalizacin
que se encuentren en la misma subnet que la direccin IP directa.
No incluya la direccin IP directa en el grupo de direcciones. Haga clic en OK.
Se puede configurar un mximo de seis rangos de direcciones.
4. Para reservar una direccin IP especfica de un grupo de direcciones para un dispositivo o cliente,
en la seccin Direcciones reservadas, haga clic en Agregar. Ingrese un nombre para identificar la
reserva, la direccin IP que desea reservar y la direccin MAC del dispositivo. Haga clic en OK.
5. En la lista desplegable Tiempo de concesin, seleccione la cantidad de tiempo mximo que un
cliente DHCP puede utilizar una direccin IP.
6. De manera predeterminada, el dispositivo WatchGuard revela la informacin del servidor
DNS/WINS configurado en la pestaa Configuracin de red> WINS/DNS cuando est configurado
como servidor DHCP. Para enviar informacin de un servidor DNS/WINS diferente a clientes DHCP,
haga clic en el botn Configurar servidores DNS/WINS.
7. Haga clic en OK.
Utilizar retransmisin de DHCP
1. Haga clic en .
2. Seleccione Usar retransmisin DHCP.
3. Ingrese la direccin IP del servidor DHCP en el campo relacionado. Asegrese de Agregue una ruta
esttica al servidor DHCP, si es necesario.
Configuracin de red
Configuracin de red
Gua del Usuario 109
4. Haga clic en OK.
Especificar la configuracin DHCP para una sola interfaz
Puede especificar una configuracin DHCP diferente para cada interfaz opcional o de confianza en su
configuracin.
1. Haga clic en .
2. Desplcese hasta la parte inferior del cuadro de dilogo Configuracin de red y seleccione una
interfaz.
3. Haga clic en Configurar.
4. Actualizar la configuracin DHCP:
n Para utilizar la misma configuracin de DHCP que estableci en el modo directo, seleccione
Utilizar configuracin DHCP del sistema.
n Para desactivar DHCP para clientes en esa interfaz de red, seleccione Desactivar DHCP.
n Para configurar diferentes opciones de DHCP para clientes en una secondary network,
seleccione Utilizar servidor DHCP para Secondary Network. Complete los Pasos 36 del
procedimiento Utilizar retransmisin de DHCP para agregar grupos de direccin IP, configurar
el tiempo de concesin predeterminado y administrar servidores DNS/WINS.
5. Haga clic en OK.
Modo Bridge
El modo Bridge es una funcin que le permite instalar su dispositivo Firebox o XTMentre una red existente
y su puerta de enlace para filtrar o administrar el trfico de red. Cuando se activa esta funcin, el dispositivo
Firebox o XTMprocesa y reenva todo el trfico de red a otros dispositivos de la puerta de enlace. Cuando el
trfico llega a la puerta de enlace desde el dispositivo Firebox o XTM, parece haber sido enviado desde el
dispositivo original.
Para utilizar el modo Bridge, debe especificar una direccin IP utilizada para administrar el dispositivo
Firebox o XTM. El dispositivo tambin utiliza esta direccinIP para obtener actualizaciones para elGateway
Antivirus/IPS y para generar rutas a servidores DNS, NTP o WebBlocker internos segn sea necesario.
Debido a esto, asegrese de asignar una direccinIP que pueda enrutarse por Internet.
Cuando utiliza el modo Bridge, el dispositivo Firebox o XTMno puede completar algunas funciones que
requieren que el dispositivo funcione como puerta de enlace. Estas funciones incluyen:
n WAN mltiple
n VLAN (redes virtuales de rea local)
n Puentes de red
n Rutas estticas
n FireCluster
n Secondary networks
n Servidor DHCP o retransmisin DHCP
n Conmutacin por error de mdem serial (Firebox X Edge nicamente)
n 1 a 1 NAT, dinmica o esttica
n Enrutamiento dinmico (OSPF, BGP o RIP)
n Cualquier tipo de VPN para la cual el dispositivo Firebox o XTMsea un extremo o puerta de enlace
n Algunas funciones proxy, incluido el Servidor de cach de Internet HTTP
Si ya ha configurado estas funciones o estos servicios, se desactivarn cuando cambie a modo Bridge. Para
utilizar estas funciones o servicios nuevamente, debe usar un modo de red diferente. Si vuelve al modo de
enrutamiento combinado o directo, es posible que deba configurar algunas funciones nuevamente.
Nota Cuando se activa el modo Bridge, se desactiva cualquier interfaz con un puente de
red o VLAN configurado previamente. Para utilizar esas interfaces, primero debe
cambiar a modo de enrutamiento combinado o directo y configurar la interfaz
como externa, opcional o de confianza y luego volver al modo Bridge. Las
funciones inalmbricas de los dispositivos inalmbricos Firebox o XTMfuncionan
correctamente en el modo Bridge.
Para activar el modo Bridge:
1. Haga clic en .
Aparece la ventana Configuracin de red.
2. En la lista desplegable Configurar interfaces en, seleccione Modo Bridge.
Configuracin de red
Configuracin de red
Gua del Usuario 111
3. Si se le indica que desactive las interfaces, haga clic en S para desactivar las interfaces o en No para
volver a la configuracin anterior.
4. Ingrese la direccin IP del dispositivo Firebox o XTMen notacin diagonal.
Para obtener ms informacin sobre notacin diagonal, consulte Acerca de las Notacin diagonal
en la pgina 3.
5. Ingrese la direccin IP de puerta de enlace que recibe todo el trfico de red desde el dispositivo.
6. Haga clic en Aceptar.
Configuraciones de interfaz comunes
Con el modo de enrutamiento combinado, se puede configurar el dispositivo WatchGuard para que enve
trfico de red entre una amplia variedad de interfaces de red fsica y virtual. ste es el modo de red
predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, cada
interfaz debe configurarse por separado y es posible que deba cambiarse la configuracin de red para cada
computadora o cliente protegido por el dispositivo WatchGuard.
Para configurar el modo de enrutamiento combinado en Firebox:
Aparece el cuadro de dilogo Configuracin de red.
2. Seleccione la interfaz que desea configurar y despus haga clic en Configurar. Las opciones
disponibles dependen del tipo de interfaz seleccionada.
Aparece el cuadro de dilogo Configuracin Configuracin.
3. En el campo Nombre de la interfaz (alias), puede retener el nombre predeterminado o cambiarlo a
otro que refleje con ms detalle su propia red y sus propias relaciones de confianza.
Asegrese de que el nombre sea nico entre los nombres de interfaz y tambin entre todos los
nombres de grupos MVPN y nombres de tnel. Puede usar este alias con otras funciones, como
polticas de proxy, para administrar el trfico de red para esta interfaz.
4. (Opcional) Ingrese una descripcin de la interfaz en el campo Descripcin de interfaz.
5. En el campo Tipo de interfaz, puede cambiar el valor predeterminado del tipo de interfaz. Algunos
tipos de interfaz tienen configuraciones adicionales.
Configuracin de red
Configuracin de red
Gua del Usuario 113
n Para obtener ms informacin acerca de cmo asignar una direccin IP a una interfaz externa,
consulte Configurar una interfaz externa en la pgina 96. Para configurar la direccin IP de una
interfaz de confianza u opcional, ingrese la direccin IP en notacin diagonal.
n Para asignar direcciones IP en forma automtica a clientes en una interfaz de confianza u
opcional, consulte Configurar el DHCP en modo de enrutamiento mixto en la pgina 100 o
Configurar retransmisin de DHCP en la pgina 114.
n Para usar ms de una direccin IP en una nica interfaz de red fsica, consulte Configurar una
secondary network en la pgina 116.
n Para obtener ms informacin acerca de configuraciones LAN, consulte Acerca de redes
virtuales de rea local (VLAN) en la pgina 127.
n Para quitar una interfaz de su configuracin, consulte Desactivar una interfaz en la pgina 113.
6. Configure la interfaz como se describe en uno de los temas anteriores.
7. Haga clic en OK.
Desactivar una interfaz
2. Seleccione la interfaz que desea desactivar. Haga clic en Configurar.
3. En la lista desplegable Tipo de interfaz, seleccione Desactivada. Haga clic en OK.
En el cuadro de dilogo Configuracin de red, el tipo de interfaz ahora aparece como Desactivada.
Configurar retransmisin de DHCP
Una forma de obtener direcciones IP para las computadoras en las redes de confianza u opcional es usar
un servidor DHCP en una red diferente. Se puede usar la retransmisin DHCP para obtener direcciones IP
para las computadoras en la red de confianza u opcional. Con esta funcin, Firebox enva solicitudes DHCP a
un servidor en una red diferente.
Si el servidor DHCP que desea utilizar no se encuentra en una red protegida por el dispositivo WatchGuard,
debe configurar un tnel VPN entre el dispositivo WatchGuard y el servidor DHCP para que esta funcin
opere correctamente.
Nota No se puede usar la retransmisin DHCP en ninguna interfaz en la cual est
activado FireCluster.
Para configurar retransmisin DHCP:
2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.
4. Ingrese la direccin IP del servidor DHCP en el campo relacionado. Asegrese de Agregue una ruta
esttica al servidor DHCP, si es necesario.
5. Haga clic en OK.
Restringir el trfico de red mediante la direccin MAC
Puede usar una lista de direcciones MAC para administrar qu dispositivos tienen permitido enviar trfico
en la interfaz de red especificada. Cuando se activa esta funcin, el dispositivo WatchGuard verifica la
direccin MAC de cada computadora o dispositivo que se conecta a la interfaz especificada. Si la direccin
MAC de ese dispositivo no figura en la lista de control de acceso MAC para esa interfaz, el dispositivo no
puede enviar trfico.
Esta funcin es especialmente til para prevenir cualquier acceso no autorizado a la red desde una
ubicacin dentro de su oficina. Sin embargo, se debe actualizar la lista de control de acceso MAC para cada
interfaz cuando se agrega a la red una nueva computadora autorizada.
Nota Si decide restringir el acceso mediante la direccin MAC, debe incluir la direccin
MAC de la computadora que usa para administrar el dispositivo WatchGuard.
Configuracin de red
Configuracin de red
Gua del Usuario 115
Para activar el control de acceso MAC para una interfaz de red:
2. Seleccione la interfaz en la que desea activar el control de acceso MAC y luego haga clic en
Configurar.
Aparece la ventana Configuracin de interfaz.
3. Seleccione la pestaa Control de acceso MAC.
4. Seleccione la casilla de verificacin Restringir acceso mediante direccin MAC.
Aparece la ventana Agregar una direccin MAC.
6. Ingrese la direccin MAC de la computadora o dispositivo para darle acceso a la interfaz especfica.
7. (Opcional)Ingrese un Nombre para la computadora o dispositivo para identificarlo en la lista.
8. Haga clic en OK.
Repita los pasos 5 al 8 para agregar ms computadoras o dispositivos a la lista de control de acceso MAC.
Agregar servidores WINS y Direcciones del servidor DNS
Algunas funciones de Firebox tienen direcciones IP compartidas del Direcciones IP del servidor WINS
(Windows Internet Name Server ) y direcciones IP del servidor DNS (Sistema de domain name). Estas
funciones incluyen DHCP y Mobile VPN. El acceso a estos servidores debe estar disponible desde la interfaz
de confianza del Firebox.
Esta informacin se utiliza para dos fines:
n Firebox utiliza el servidor DNS que se muestra aqu para resolver nombres con las direcciones IP de
las VPN de IPSec y para que las funciones spamBlocker, antivirus (AV) de puerta de enlace e IPS
operen correctamente.
n Los usuarios de Mobile VPN y los clientes DHCP utilizan las entradas de WINS y DNS en las redes de
confianza o en las redes opcionales para resolver las consultas de DNS.
Asegrese de utilizar slo un servidor WINS y DNS interno para DHCP y Mobile VPN. Esto ayuda a garantizar
que no se creen polticas con propiedades de configuracin que impidan a los usuarios conectarse con el
servidor DNS.
2. Seleccione la pestaa WINS/DNS.
Aparece la informacin en la pestaa WINS/DNS.
3. Ingrese las direcciones principal y secundaria de los servidores WINS y DNS. Puede especificar hasta
tres servidores DNS. Tambin puede ingresar un sufijo de dominio en el cuadro de texto Domain
name para que un cliente DHCP use con nombres no calificados como watchguard_mail.
Configurar una secondary network
Una secondary network es una red que comparte una de las mismas redes fsicas que una de las interfaces
del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se realiza (o agrega) un alias IP a la
interfaz. Este alias IP es la puerta de enlace predeterminada para todas las computadoras en la secondary
network. La secondary network le indica al dispositivo Firebox o XTMque hay ms de una red en la interfaz
del dispositivo Firebox o XTM.
Por ejemplo, si configura un dispositivo Firebox o XTMen modo Drop-in, le otorga a cada interfaz del
dispositivo Firebox o XTMla misma direccin IP. Sin embargo, probablemente use un conjunto de
direcciones IP diferente en su red de confianza. Puede agregar esta red privada como secondary network a
la interfaz de confianza del dispositivo Firebox o XTM. Cuando se agrega una secondary network, se crea
una ruta desde una direccin IP en la secondary network a la direccin IP de la interfaz del dispositivo
Firebox o XTM.
Si su dispositivo Firebox o XTMest configurado con una direccin IP esttica, puede agregar una direccin
IP en la misma subnet que la interfaz externa principal como secondary network. Luego se puede
configurar NAT esttica para ms de un tipo de servidor igual. Por ejemplo, configure una secondary
network externa con una segunda direccin IP pblica si tiene dos servidores SMTP pblicos y desea
configurar una regla NAT esttica para cada uno.
Puede agregar hasta 2048 secondary networks por interfaz del dispositivo Firebox o XTM. Puede utilizar
secondary networks con una configuracin de red directa o enrutada. Tambin puede agregar una
secondary network a una interfaz externa de un dispositivo Firebox o XTMsi la interfaz externa est
configurada para obtener su direccin IP a travs de PPPoE o DHCP.
Configuracin de red
Configuracin de red
Gua del Usuario 117
Para definir una direccin IP secundaria, debe tener:
n Una direccin IP sin utilizar en la secondary network para asignrsela a la interfaz del dispositivo
Firebox o XTM.
n Una direccin IP sin utilizar en la misma red que la interfaz externa del dispositivo Firebox o XTM.
Para definir una direccin IP secundaria:
Aparece el cuadro de dilogo Configuracin de red.
2. Seleccione la interfaz para la red secundaria y haga clic en Configurar.
3. Seleccione la pestaaSecundaria.
4. Haga clic en Agregar. Ingrese una direccin IP de host no asignada de la secondary network.
5. Haga clic en Aceptar
6. Haga clic en OK nuevamente.
Nota Asegrese de agregar las direcciones de secondary network correctamente. El
dispositivo Firebox o XTMno indica si la direccin es correcta. Recomendamos no
crear una subnet como secondary network en una interfaz que forme parte de una
red ms grande en una interfaz diferente. En tal caso, puede ocurrir spoofing y la
red no podr funcionar correctamente.
Acerca de la Configuraciones de interfaz
Se pueden usar varias configuraciones avanzadas para las interfaces de Firebox:
Configuracin de tarjeta de interfaz de red (NIC)
Establece la velocidad y los parmetros dobles para las interfaces de Firebox en configuracin
automtica o manual. Recomendamos mantener la velocidad de enlace configurada para
negociacin automtica. Si usa la opcin de configuracin manual, debe asegurarse de que el
dispositivo al que se conecta Firebox tambin est manualmente configurado a la misma velocidad y
parmetros dobles que Firebox. Utilice la opcin de configuracin manual slo cuando deba anular
los parmetros de interfaz automticos de Firebox para operar con otros dispositivos en la red.
Configurar el ancho de banda de interfaz saliente
Cuando utiliza configuraciones de administracin de trfico para garantizar ancho de banda a las
polticas, esta configuracin verifica que no se garantice ms ancho de banda del que efectivamente
existe para una interfaz. Esta configuracin ayuda a asegurar que la suma de configuraciones de
ancho de banda garantizado no complete el enlace de manera tal que el trfico no garantizado no
pueda circular.
Activar marcado QoS para una interfaz
Crea diferentes clasificaciones de servicio para distintos tipos de trfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el trfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por las configuraciones definidas para una poltica.
Determinar No fragmentar bit IPSec
Determina la configuracin de No fragmentar (DF) bit para IPSec.
Configuracin de la ruta de unidad de transmisin mxima (PMTU) para IPSec
(Interfaces externas nicamente) Controla la cantidad de tiempo en que Firebox disminuye la
unidad mxima de transmisin (MTU) para un tnel VPN IPSec cuando recibe una solicitud de ICMP
de fragmentar un paquete desde un enrutador con una configuracin de MTU ms baja en Internet.
Usar vnculo de direccin MAC esttico
Utiliza direcciones de hardware (MAC) de la computadora para controlar el acceso a una interfaz de
Firebox.
Configuracin de tarjeta de interfaz de red (NIC)
2. Haga clic en la interfaz que desea configurar y despus haga clic en Configurar.
4. En la lista desplegable velocidad de enlace, seleccione Negociacin automtica si desea que el
dispositivo WatchGuard seleccione la mejor velocidad de red. Tambin puede seleccionar una de las
velocidades doble medio o doble completo que usted sepa que son compatibles con el resto de su
equipo de red.
Negociacin automtica es la configuracin predeterminada. Le recomendamos encarecidamente
que no cambie esta configuracin a menos que soporte tcnico le indique hacerlo. Si configura la
velocidad de enlace en forma manual y otros dispositivos de su red no admiten la velocidad
seleccionada, se puede generar un conflicto que no permita a la interfaz de Firebox reconectarse
despus de una conmutacin por error.
5. En el cuadro de texto Unidad Mxima de Transmisin (MTU) , seleccione el tamao mximo del
paquete, en bytes, que pueden enviarse a travs de la interfaz. Recomendamos utilizar el valor
predeterminado, 1500 bytes, a menos que el equipo de red requiera un tamao de paquete
diferente.
Puede configurar la MTU desde un mnimo de 68 a un mximo de 9000.
Configuracin de red
Configuracin de red
Gua del Usuario 119
6. Para cambiar la direccin MAC de la interfaz externa, seleccione la casilla de verificacin Cancelar
direccin MAC e ingrese la nueva direccin MAC.
Para obtener ms informacin acerca de direcciones MAC, consulte la siguiente seccin.
7. Haga clic en OK.
Acerca de direcciones MAC
Algunos ISP utilizan una direccin MAC para identificar a las computadoras en su red. Cada direccin MAC
recibe una direccin IP esttica. Si su ISP utiliza este mtodo para identificar su computadora, entonces
debe cambiar la direccin MAC de la interfaz externa del dispositivo WatchGuard. Utilice la direccin MAC
del mdem por cable, DSL de mdem o enrutador que se conectaron directamente al ISP en su
configuracin original.
La direccin MAC debe tener estas propiedades:
n La direccin MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
n La direccin MAC debe funcionar con:
o
Una o ms direcciones en la red externa.
o
La direccin MAC de la red de confianza para el dispositivo.
o
La direccin MAC de la red opcional para el dispositivo.
n La direccin MAC no debe estar configurada en 000000000000 o ffffffffffff.
Si la casilla de verificacin Cancelar direccin MAC no est seleccionada cuando se reinicia el dispositivo
WatchGuard, el dispositivo utiliza la direccin MAC predeterminada para la red externa.
Para reducir los problemas con direcciones MAC, el dispositivo WatchGuard verifica que la direccin MAC
que usted asigna a la interfaz externa sea nica en su red. Si el dispositivo WatchGuard encuentra un
dispositivo que usa la misma direccin MAC, vuelve a cambiar a la direccin MAC estndar para la interfaz
externa y se inicia nuevamente.
Configurar el ancho de banda de interfaz saliente
Algunas funciones de administracin de trfico exigen que establezca un lmite de ancho de banda para
cada interfaz de red. Por ejemplo, debe establecer la configuracin de Ancho de banda de interfaz saliente
para utilizar el marcado QoS y la priorizacin.
Despus de configurar este lmite, Firebox completa las tareas de priorizacin bsica sobre el trfico de red
para evitar problemas de trfico excesivo en la interfaz especificada. Adems, aparece una advertencia en
Policy Manager si asigna demasiado ancho de banda al crear o ajustar las acciones de administracin de
trfico.
Si no cambia la configuracin de Ancho de banda de interfaz saliente en ninguna interfaz del valor
predeterminado en 0, est configurada para autonegociar la velocidad de enlace para esa interfaz.
2. Seleccione la interfaz para la cual desea establecer lmites de ancho de banda y haga clic en
Configurar.
3. Haga clic en la pestaa Avanzado.
4. En el campo Ancho de banda de interfaz saliente, ingrese la cantidad de ancho de banda
proporcionada por la red. Utilice la velocidad de carga de su conexin a Internet (en Kbps en lugar
de en KBps) como el lmite para las interfaces externas. Configure el ancho de banda de su interfaz
LAN sobre la base de la velocidad de enlace mnima admitida por su infraestructura LAN.
5. Haga clic en OK.
6. Vuelva a hacer clic en OK.
Determinar No fragmentar bit IPSec
Cuando configura la interfaz externa, seleccione una de las tres opciones para determinar la configuracin
para la seccin No fragmentar (DF) bit para IPSec.
Copiar
Seleccione Copiar para aplicar la configuracin DF bit del marco original al paquete cifrado IPSec. Si
un marco no tiene configurado DF bit, Fireware XTMno configura DF bit y fragmenta el paquete si es
necesario. Si un marco est configurado para no ser fragmentado, Fireware XTMencapsula el marco
completo y configura DF bit del paquete cifrado para que coincida con el marco original.
Determinar
Seleccione Configurar si no desea que Firebox fragmente el marco independientemente de la
configuracin de bit original. Si un usuario debe realizar conexiones IPSec a un Firebox desde detrs
de un Firebox diferente, debe desmarcar esta casilla de verificacin para activar la funcin de
Configuracin de red
Configuracin de red
Gua del Usuario 121
puerto de transferencia de IPSec. Por ejemplo, si los empleados mviles se encuentran en una
ubicacin cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para
que el Firebox local permita correctamente la conexin IPSec saliente, tambin se debe agregar una
poltica IPSec.
Limpiar
Seleccione Borrar para dividir el marco en partes que puedan integrarse a un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuracin de bit original.
Configuracin de la ruta de unidad de transmisin mxima
(PMTU) para IPSec
Esta configuracin de interfaz avanzada se aplica a interfaces externas nicamente.
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la
unidad mxima de transmisin (MTU) para un tnel VPN IPSec cuando recibe una solicitud de ICMP de
fragmentar un paquete desde un enrutador con una configuracin de MTU ms baja en Internet.
Recomendamos mantener la configuracin predeterminada. Esto puede protegerlo de un enrutador en
Internet con una configuracin de MTU muy baja.
Usar vnculo de direccin MAC esttico
Es posible controlar el acceso a una interfaz en el dispositivo WatchGuard mediante la direccin (MAC) del
hardware de la computadora. Esta funcin puede proteger a la red de ataques de envenenamiento ARP, en
los cuales los piratas informticos intentan cambiar la direccin MAC de sus computadoras para que
coincidan con un dispositivo real en la red del usuario. Para usar el vnculo de direccin MAC, se debe
asociar una direccin IP en la interfaz especfica con una direccin MAC. Si esta funcin est activada, las
computadoras con una direccin MAC especfica slo pueden enviar y recibir informacin con la direccin
IP asociada.
Tambin se puede utilizar esta funcin para restringir todo el trfico de red a los dispositivos que coinciden
con las direcciones MAC e IP en esta lista. Esto es similar a la funcin de control de acceso MAC.
Para ms informaciones, vea Restringir el trfico de red mediante la direccin MAC en la pgina 114.
Nota Si decide restringir el acceso a la red mediante el vnculo de direccin MAC,
asegrese de incluir la direccin MAC de la computadora que usa para
administrar el dispositivo WatchGuard.
Para establecer las configuraciones del vnculo de direccin MAC esttico:
1. Seleccione Red > Configuracin. Seleccione una interfaz y despus haga clic en Configurar.
3. Junto a la tabla de vnculo de direccin MAC/IP esttico, haga clic en Agregar.
4. Junto al campo Direccin IP, haga clic en Agregar.
5. IngreseunpardedireccinIPydireccinMAC.HagaclicenOK.Repitaestepasoparaagregarotrospares.
6. Si desea que esta interfaz transmita slo trfico que coincida con una entrada en la lista vnculo de
direccin MAC/IP esttico, seleccione la casilla de verificacin Slo permitir trfico enviado desde
o hacia estas direcciones MAC/IP.
Si no desea bloquear trfico que no coincide con una entrada de la lista, desmarque esta casilla de
verificacin.
Buscar la direccin MAC de una computadora
La direccin MAC se conoce tambin como direccin de hardware o direccin Ethernet. Es un identificador
nico, especfico de la tarjeta de red en la computadora. La direccin MAC en general se muestra del
siguiente modo: XX-XX-XX-XX-XX-XX, en donde cada X es un dgito o letra de la A a la F. Para encontrar la
direccin MAC de una computadora en la red:
1. Desde la lnea de comando de la computadora cuya direccin MAC desea averiguar, ingrese
ipconfig /all (Windows) o ifconfig (OS X o Linux).
2. Busque la entrada de "direccin fsica" de la computadora. Este valor es la direccin MAC o de
hardware de la computadora.
Acerca de los puentes LAN
Un puente de red establece una conexin entre interfaces de red fsica mltiples en el dispositivo
WatchGuard. Un puente puede usarse del mismo modo que una interfaz de red fsica normal. Por ejemplo,
se puede configurar DHCP para entregar direcciones IP a clientes en un puente o utilizarlo como alias en
polticas de firewall.
Para utilizar un puente debe:
1. Crear una configuracin de puente de red..
2. Asignar una interfaz de red a un puente..
Si desea establecer un puente entre todo el trfico de dos interfaces, recomendamos utilizar el modo
puente para la configuracin de red.
Crear una configuracin de puente de red.
Para utilizar un puente, debe crear una configuracin de puente y asignarla a una o ms interfaces de red.
Configuracin de red
Configuracin de red
Gua del Usuario 123
1. Haga clic en .
2. Seleccione la pestaa Puente.
Aparece el cuadro de dilogo Configuracin de puente nuevo.
4. Ingrese un Nombre o Alias para el puente nuevo. Este nombre se usa para identificar el puente en
las configuraciones de interfaz de red. Tambin puede ingresar una Descripcin para aportar ms
informacin.
5. En la lista Zona de seguridad, seleccione De confianza u Opcional. El puente se agrega al alias de la
zona que especifica.
Por ejemplo, si elige la zona de seguridad Opcional, el puente se agrega al alias de red Cualquiera
opcional.
6. Ingrese una direccin IP en notacin diagonal para que la utilice el puente.
Para ms informaciones, vea Acerca de las Notacin diagonal en la pgina 3.
7. Seleccione Desactivar DHCP, Utilizar servidor DHCP o Utilizar retransmisin DHCP para establecer
el mtodo de distribucin de direccin IP para el puente. Si es necesario, realice las configuraciones
de servidor DHCP, retransmisin DHCP y servidor DNS/WINS.
Para obtener ms informacin sobre la configuracin DHCP, consulte Configurar el DHCP en modo
de enrutamiento mixto en la pgina 100 y Configurar retransmisin de DHCP en la pgina 114.
8. Seleccione la pestaa Secundaria para crear una o ms direcciones IP de secondary network.
Para obtener ms informacin sobre redes secundarias, consulte Configurar una secondary
network en la pgina 116.
9. Haga clic en OK.
Asignar una interfaz de red a un puente.
Para utilizar un puente, debe crear una configuracin de puente y asignarla a una o ms interfaces de red.
Puede crear la configuracin de puente en el cuadro de dilogo Configuracin de red , o cuando configura
una interfaz de red.
1. Haga clic en .
2. Seleccione la interfaz que desea agregar al puente y luego haga clic en Configurar.
Aparece la ventana Configuracin de interfaz, Interfaz #
Configuracin de red
Configuracin de red
Gua del Usuario 125
3. En la lista desplegable Tipo de interfaz, seleccione Puente.
4. Seleccione el botn de radio junto a la configuracin de puente de red que cre o haga clic en
Puente nuevo para crear la configuracin de un puente nuevo.
5. Haga clic en OK.
Acerca de
Una ruta es la secuencia de dispositivos a travs de los cuales se enva el trfico de red. Cada dispositivo en
esta secuencia, en general llamado enrutador, almacena informacin acerca de las redes a las que est
conectado en una tabla de enrutamiento. Esta informacin se utiliza para reenviar el trfico de red al
siguiente enrutador en la ruta.
El dispositivo WatchGuard actualiza automticamente su tabla de enrutamiento cuando se cambia la
configuracin de interfaz de red, cuando falla una conexin de red fsica o cuando se reinicia. Para
actualizar la tabla de enrutamiento en otra oportunidad, debe usar el dynamic routing o agregar una ruta
esttica. Las rutas estticas pueden mejorar el rendimiento, pero si surge un cambio en la estructura de red
o si falla una conexin, el trfico de red no puede llegar a destino. El dynamic routing garantiza que el
trfico de red pueda llegar a destino, pero es ms difcil de configurar.
Agregue una ruta esttica
Un ruta es la secuencia de dispositivos a travs de los cuales debe pasar el trfico de red para llegar desde
el origen al destino. Un enrutador es el dispositivo en una ruta que encuentra un punto de red subsiguiente
a travs del cual enva el trfico de red a su destino. Cada enrutador est conectado a un mnimo de dos
redes. Un paquete puede atravesar un nmero de puntos de red con enrutadores antes de llegar a destino.
Se pueden crear rutas estticas para enviar el trfico a host o redes especficas. El enrutador puede
entonces enviar el trfico al destino correcto desde la ruta especificada. Agregue una ruta de red si tiene
una red completa detrs de un enrutador en la red local. Si no agrega una ruta a una red remota, todo el
trfico a esa red se enva a la puerta de enlace predeterminada del Firebox.
Antes de comenzar, debe comprender la diferencia entre una ruta de red y una ruta de host. Una ruta de
red es una ruta a una red completa detrs de un enrutador ubicado en la red local. Utilice una ruta de host
si hay slo un host detrs del enrutador o si desea que el trfico se dirija slo a un host.
1. Seleccione Rutas de > red.
Aparece el cuadro de dilogo Configurar rutas.
Aparece el cuadro de dilogo Agregar ruta.
3. En la lista desplegable Elegir tipo, seleccione IP de red si tiene una red completa detrs de un
enrutador en la red local. Seleccione IP de host si hay slo un host detrs del enrutador o si desea
que el trfico se dirija slo a un host.
Configuracin de red
Configuracin de red
Gua del Usuario 127
4. En el campo Ruta hacia, ingrese la direccin de red o la direccin de host. Si ingresa una direccin
de red, utilice notacin diagonal.
Para obtener ms informacin acerca de la notacin diagonal, consulte Acerca de las Notacin
diagonal en la pgina 3.
5. En el campo Puerta de enlace ingrese la direccin IP del enrutador. Asegrese de ingresar una
direccin IP que se encuentre en una de las mismas redes que Firebox.
6. Ingrese una Mtrica para la ruta. Las rutas con las mtricas ms bajas tienen mayor prioridad.
7. Haga clic en OK para cerrar el cuadro de dilogo Agregar ruta.
El cuadro de dilogo Configurar rutas muestra la ruta de red configurada.
8. Haga clic en OK para cerrar el cuadro de dilogo Configurar rutas.
Acerca de redes virtuales de rea local (VLAN)
Una VLAN (red de rea local virtual) 802.1Q es una coleccin de computadoras en una o varias LAN que se
agrupan en un solo dominio de broadcast independientemente de su ubicacin fsica. Esto permite agrupar
dispositivos de acuerdo con patrones de trfico en lugar de proximidad fsica. Los miembros de una VLAN
pueden compartir recursos como si estuvieran conectados a la misma LAN. Las VLAN tambin pueden
usarse para dividir a un conmutador en mltiples segmentos. Por ejemplo, supongamos que su empresa
tiene empleados de tiempo completo y trabajadores contratados en la misma LAN. Usted desea restringir a
los empleados contratados a un subconjunto de los recursos utilizados por los empleados de tiempo
completo. Tambin desea utilizar una poltica de seguridad ms restrictiva para los trabajadores
contratados. En este caso, se divide la interfaz en dos VLAN.
Las VLAN permiten dividir la red en grupos con una agrupacin o estructura jerrquica lgica en lugar de
una fsica. Esto ayuda a liberar al personal de TI de las restricciones del diseo de red y la infraestructura de
cableado existentes. Las VLAN facilitan el diseo, la implementacin y la administracin de la red. Debido a
que las VLAN se basan en software, la red se puede adaptar de manera rpida y sencilla a incorporaciones,
reubicaciones y reorganizaciones.
Las VLAN utilizan puentes y conmutadores, entonces los broadcast son ms eficientes porque se dirigen
slo a personas en la VLAN y no a todos los conectados. En consecuencia, se reduce el trfico a travs de
los enrutadores, lo cual implica una reduccin en la latencia del enrutador. Firebox puede configurarse para
funcionar como servidor DHCP para dispositivos en la VLAN o puede utilizar retransmisin DHCP con un
servidor DHCP separado.
Requisitos y restricciones de la VLAN
n La implementacin de VLAN de WatchGuard no es compatible con el protocolo de administracin
de enlaces Spanning Tree (rbol de expansin).
n Si su Firebox est configurado para utilizar el modo de red directo, no puede utilizar VLAN.
n Una interfaz fsica puede ser miembro de una VLAN no etiquetado en slo una VLAN. Por ejemplo,
si Externo-1 es un miembro no etiquetado de una VLAN denominada VLAN-1, no puede ser
miembro no etiquetado de una VLAN diferente al mismo tiempo. Adems, las interfaces externas
pueden ser miembros de slo una VLAN.
n Laconfiguracinde multi-WAN se aplicaal trficoVLAN. Sinembargo, puede ser ms fcil administrar
el anchode bandacuandose usanslointerfaces fsicas enunaconfiguracinmulti-WAN.
n El modelo y la licencia de su dispositivo controlan el nmero de VLAN que puede crear.
Para consultar el nmero de VLAN que puede agregar al dispositivo WatchGuard, Abrir el Policy
Manager y seleccione Configuracin> Teclas de funcin.
Identifique la fila denominada Nmero total de interfaces VLAN.
n Recomendamos no crear ms de 10 VLAN que funcionen en interfaces externas por el
rendimiento.
n Todos los segmentos de redque desee agregar aunaVLANdebentener direcciones IP enlaredVLAN.
Nota Si define VLAN, puede ignorar mensajes con el texto 802.1d unknown version
(802.1d versin desconocida). Esto puede ocurrir porque la implementacin de
VLAN de WatchGuard no es compatible con el protocolo de administracin de
enlaces Spanning Tree (rbol de expansin).
Acerca de las etiquetado
Para activar VLAN, debe implementar conmutadores compatibles con VLAN en cada sitio. Las interfaces del
conmutador insertan etiquetas en la capa 2 del marco de datos que identifican un paquete de red como
parte de una VLAN especfica. Estas etiquetas, que agregan cuatro bytes extras al encabezado de Ethernet,
identifican al marco como perteneciente a una VLAN especfica. El etiquetado se especifica con el estndar
IEEE 802.1Q.
La definicin de VLAN incluye la disposicin de marcos de datos etiquetados y no etiquetados. Debe
especificar si la VLAN recibe datos etiquetados, no etiquetados o no recibe datos de cada interfaz activada.
El dispositivo WatchGuard puede insertar etiquetas para paquetes que se envan a un conmutador
compatible con VLAN. Su dispositivo tambin puede eliminar etiquetas de paquetes que se envan a un
segmento de red que pertenece a una VLAN que no tiene conmutador.
Definir un nuevo (red de rea local virtual)
Antes de crear una nueva VLAN, asegrese de comprender los conceptos acerca de las VLAN y sus
restricciones, segn se describe en Acerca de redes virtuales de rea local (VLAN) en la pgina 127.
Cuando se define una nueva VLAN, se agrega une entrada en la tabla Configuracin de VLAN. Se puede
cambiar la vista de esta tabla:
n Haga clic en el encabezado de columna para ordenar la tabla segn los valores de esa columna.
n La tabla puede ordenarse de mayor a menor o de menor a mayor.
n Los valores en la columna Interfaz muestran las interfaces fsicas que son miembros de esta VLAN.
n El nmero de interfaz en negrita es la interfaz que enva datos no etiquetados a esa VLAN.
Para crear una nueva VLAN:
2. Haga clic en la pestaa VLAN.
Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones.
Configuracin de red
Configuracin de red
Gua del Usuario 129
Aparece el cuadro de dilogo Configuracin de nueva VLAN.
4. En el campo Nombre (alias), ingrese un nombre para la VLAN.
5. (Opcional) En el campo Descripcin, ingrese una descripcin de la VLAN.
6. En el campo Identificacin de VLAN ingrese o seleccione un valor para la VLAN.
7. En el campo Zona de seguridad, seleccione De confianza, Opcional o Externa.
Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por
ejemplo, las VLAN de tipo De confianza son administradas por polticas que usan el alias Cualquiera
de confianza como origen o destino.
8. En el campo Direccin IP ingrese la direccin de la puerta de enlace de la VLAN.
Usar DHCP en una VLAN
Puede configurar Firebox como servidor DHCP para las computadoras en la red VLAN.
Configuracin de red
Configuracin de red
Gua del Usuario 131
1. Seleccione el botn de radio Utilizar servidor DHCPpara configurar el Firebox como servidor DHCP
para la red VLAN. Si es necesario, ingrese el domain name para proporcionarlo a los clientes DHCP.
2. Para agregar un conjunto de direcciones IP, haga clic en Agregar e ingrese la primera y la ltima
direccin IP asignadas para distribucin. Haga clic en OK.
Se puede configurar un mximo de seis grupos de direcciones.
3. Para reservar una direccin IP especfica para un cliente, haga clic en Agregar junto al cuadro
Direcciones reservadas. Ingrese un nombre para la reserva, la direccin IP que desea reservar y la
direccin MAC de la tarjeta de red del cliente. Haga clic en OK.
4. Para cambiar el tiempo de concesin predeterminado, haga clic en las flechas Tiempo de concesin.
Es el intervalo de tiempo en el que un cliente DHCP puede usar una direccin IP que recibe del servidor DHCP.
Cuando el tiempo de concesin se est por agotar, el cliente enva una solicitud al servidor DHCP para obtener
una nueva concesin.
5. Para agregar servidores DNS o WINS a la configuracin DHCP, haga clic en el botn Servidores
DNS/WINS.
6. Si es necesario, ingrese un Domain name para informacin de DNS.
7. Haga clic en el botn Agregar adyacente a cada lista para crear una entrada para cada servidor que
desea agregar.
8. Seleccione un servidor de la lista y haga clic en Editar para cambiar la informacin para ese servidor
o haga clic en Borrar para eliminar el servidor seleccionado.
Usar Retransmisin de DHCP en una VLAN
2. Ingrese la direccin IP del servidor DHCP. Asegrese de agregar una ruta al servidor DHCP, si es
necesario.
Ahora puede realizar los siguientes pasos y Asignar interfaces a (red de rea local virtual).
Asignar interfaces a (red de rea local virtual)
Cuando se crea una nueva VLAN, se especifica el tipo de datos que recibe de las interfaces de Firebox. Sin
embargo, tambin se puede convertir a una interfaz en miembro de una VLAN actualmente definida o
eliminar una interfaz de una VLAN.
1. En el cuadro de dilogo Configuracin de red, seleccione la pestaa Interfaces.
2. Seleccione una interfaz y haga clic en Configurar.
3. En la lista desplegable Tipo de interfaz, seleccione VLAN.
Aparece una tabla que muestra todas las VLAN actuales. Es posible que deba aumentar el tamao de este
cuadro de dilogo para ver todas las opciones.
4. Seleccione la casilla de verificacin Enviar y recibir trfico etiquetado para VLAN seleccionadas
para recibir datos etiquetados en esta interfaz de red.
5. Seleccione la casilla de verificacin Miembro para cada interfaz que desee incluir en esta VLAN.
Para eliminar una interfaz de esta VLAN, desmarque la casilla de verificacin adyacente Miembro.
Una interfaz puede ser miembro de una VLAN externa o de varias VLAN de confianza u opcionales.
6. Para configurar la interfaz para que reciba datos no etiquetados, seleccione la casilla de verificacin
Enviar y recibir trfico no etiquetado para VLAN seleccionada en la parte inferior del cuadro de
dilogo.
7. Seleccione una configuracin VLAN en la lista desplegable adyacente o haga clic en Nueva VLAN
para crear la configuracin de una nueva VLAN.
8. Haga clic en OK.
Ejemplos de configuracin de red
Ejemplo: Configurar dos VLAN con la misma interfaz
Unainterfaz de red enun dispositivoFirebox oXTMes miembro de ms de una VLANcuando el interruptor
que se conectaa esainterfaz transportatrfico ams de una VLAN. Este ejemplomuestra cmoconectar un
interruptor configurado parados VLANdiferentes auna solainterfaz enel dispositivoFirebox oXTM.
El diagrama subsiguiente muestra la configuracin correspondiente para este ejemplo.
Configuracin de red
Configuracin de red
Gua del Usuario 133
En este ejemplo, los equipos en ambas VLAN se conectan al mismo interruptor 802.1Q y el interruptor se
conecta a la interfaz 3 del dispositivo Firebox o XTM.
Las instrucciones subsiguientes le muestran cmo configurar la VLAN en Policy Manager.
Definir las dos VLAN
1. Desde Policy Manager, seleccione Configuracin de > red.
2. Seleccione la pestaa VLAN.
Aparece el cuadro de dilogo Configuracin de VLAN nueva.
4. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN. Para este ejemplo, ingrese
VLAN10.
5. En el cuadro de texto Descripcin, ingrese una descripcin. Para este ejemplo, ingrese
Contabilidad.
6. En el cuadro de texto ID de VLAN, ingrese el nmero de VLAN configurado para la VLAN en el
interruptor. Para este ejemplo, ingrese 10.
7. En la lista desplegable Zona de seguridad, seleccione la zona de seguridad. Para este ejemplo,
seleccione De confianza.
8. En el cuadro de texto Direccin IP, ingrese la direccin IP que desea utilizar para el dispositivo
Firebox o XTMen esta VLAN. Para este ejemplo, ingrese 192.168.10.1/24.
9. (Opcional) Para configurar el dispositivo Firebox o XTMpara que acte como servidor DHCP para los
equipos en la VLAN10:
n Seleccione Utilizar servidor DHCP.
n A la derecha de la lista Grupo de direcciones, haga clic en Agregar.
n Para este ejemplo, en el cuadro de texto Direccin de inicio, ingrese 192.168.10.10 y en el
cuadro de texto Direccin de finalizacin, ingrese 192.168.10.20.
La configuracin de VLAN10 completa para este ejemplo tiene este aspecto:
10. Haga clic en OK para agregar una VLAN nueva.
11. Haga clic en Agregar para agregar la segunda VLAN.
12. En el cuadro de texto Nombre (Alias), ingrese VLAN20.
13. En el cuadro de texto Descripcin, ingrese Ventas.
14. En el cuadro de texto ID de VLAN, ingrese 20.
15. En la lista Zona de seguridad, seleccione Opcional.
16. En el campo Direccin IP, ingrese la direccin IP que desea utilizar para el dispositivo Firebox o XTM
en esta VLAN. Para este ejemplo, ingrese 192.168.20.1/24.
17. (Opcional) Para configurar el dispositivo Firebox o XTMpara que acte como servidor DHCP para los
equipos en la VLAN20:
n Seleccione Utilizar servidor DHCP.
n A la derecha de la lista Grupo de direcciones, haga clic en Agregar.
n Para este ejemplo, en el cuadro de texto Direccin de inicio, ingrese 192.168.20.10 y en el
cuadro de texto Direccin de finalizacin, ingrese 192.168.20.20.
Configuracin de red
Configuracin de red
Gua del Usuario 135
18. Haga clic en OK para agregar una VLAN nueva.
Ahora, ambas VLAN aparecern en la pestaa VLAN del cuadro de dilogo Configuracin de red.
Configurar la Interfaz 3 como una interfaz de VLAN
Despus de definir las VLAN, puede configurar la Interfaz 3 para enviar y recibir trfico de VLAN.
1. Haga clic en la pestaa Interfaces.
2. Seleccione Interfaz 3. Haga clic en Configurar.
3. En la lista desplegable Tipo de interfaz, seleccione VLAN.
4. Marque la casilla de seleccin Enviar y recibir trfico etiquetado para VLAN seleccionadas.
5. Marque las casillas de seleccin para VLAN10 y VLAN20.
6. Haga clic en OK.
Cada dispositivo en estas dos VLAN debe configurar la direccin IP de la puerta de enlace predeterminada
como la direccin IP configurada para la VLAN. En este ejemplo:
n Los dispositivos en la VLAN10 deben utilizar 192.168.10.1 como su puerta de enlace
predeterminada.
n Los dispositivos en la VLAN20 deben utilizar 192.168.20.1 como su puerta de enlace
predeterminada.
Configuracin de red
Configuracin de red
Gua del Usuario 137
Use Firebox X Edge con el bridge inalmbrico 3G Extend
El bridge inalmbrico 3G Extend de WatchGuard aade conectividad celular 3G al dispositivo Firebox X Edge
o WatchGuard XTM2 Series. Cuando se conecta la interfaz externa del dispositivo WatchGuard del bridge
inalmbrico 3G Extend de WatchGuard, las computadoras de la red pueden conectarse en forma
inalmbrica a Internet a travs de la red celular 3G.
El 3G Extend tiene dos modelos basados en tecnologa de Top Global y Cradlepoint.
Use el dispositivo 3GExtend/Top Global MB5000K
Siga estos pasos para usar el bridge inalmbrico 3G Extend con el dispositivo Firebox X Edge o XTM2 Series.
1. Configure la interfaz externa en el dispositivo WatchGuard para obtener su direccin con PPPoE.
Asegrese de configurar el nombre de usuario PPPoE/contrasea en pblico/pblico. Para obtener
ms informacin acerca de cmo configurar la interfaz externa para PPPoE, consulte Configurar una
interfaz externa en la pgina 96.
2. Active la tarjeta de datos de banda ancha. Consulte las instrucciones incluidas en la tarjeta de datos
de banda ancha para obtener ms informacin.
3. Prepare el bridge inalmbrico 3G Extend:
n Inserte la tarjeta de datos de banda ancha en la ranura del bridge inalmbrico 3G Extend.
n Conecte la energa elctrica al bridge inalmbrico 3G Extend.
n Verifique que las luces LED estn activas.
4. Use un cable Ethernet para conectar el bridge inalmbrico 3G Extend a la interfaz externa del
No es necesario cambiar ninguna configuracin en el dispositivo 3GExtend antes de conectarlo al
dispositivo WatchGuard. En algunas ocasiones es necesario conectarse a la interfaz de administracin web
del dispositivo 3GExtend. Para conectarse a la interfaz 3GExtend web, conecte la computadora
directamente al MB5000K con un cable Ethernet y asegrese de que la computadora est configurada para
obtener su direccin IP con DHCP. Abra el explorador web e ingrese http://172.16.0.1. Conctese con
un nombre de usuario/contrasea de pblico/pblico.
n Para operar correctamente con el dispositivo WatchGuard, el bridge inalmbrico 3G Extend debe
configurarse para ejecutarse en modo "Autoconexin". Todos los dispositivos 3G Extend/MB5000K
estn preconfigurados para ejecutarse en este modo de manera predeterminada. Para verificar si el
dispositivo 3G Extend est configurado en modo Autoconexin, conctese directamente al
dispositivo y seleccione Interfaces >Acceso a Internet. Seleccione la interfaz WAN#0. En el seccin
Red, asegrese de que el modo Conectar de la lista desplegable est configurado en Auto.
n Si la tarjeta inalmbrica 3G funciona en la red celular GPRS, puede ser necesario agregar un inicio
de sesin de red y contrasea a la configuracin del dispositivo 3G Extend. Para agregar un inicio de
sesin de red red y contrasea, conctese al bridge inalmbrico 3GExtend y seleccione Servicios >
Bridge administrable.
n Para restablecer las configuraciones predeterminadas de fbrica en el MB5000K, conctese al
bridge inalmbrico 3G Extend y seleccione Sistema> Configuraciones predeterminadas de fbrica.
Haga clic en S.
Por seguridad, recomendamos cambiar el nombre de usuario/contrasea PPPoE predeterminados de
pblico/pblico despus de que la red est en funcionamiento. Debe cambiar el nombre de usuario y la
contrasea en el dispositivo WatchGuard y en el bridge inalmbrico 3G Extend.
n Para cambiar el nombre de usuario y la contrasea PPPoE en el dispositivo WatchGuard, consulte
Configurar una interfaz externa en la pgina 96.
n Para cambiar el nombre de usuario y la contrasea PPPoE en el dispositivo 3G Extend, conctese al
dispositivo en ingrese en Servicios>Bridge administrable.
El dispositivo 3G Extend admite ms de 50 tarjetas de mdem y opciones de planISP. Para obtener
informacin detallada acerca del producto Top Global, incluida la Gua del usuario del MB5000, ingrese en
http://www.topglobaluse.com/support_mb5000.htm.
Use el dispositivo 3GExtend/Cradlepoint CBA250.
Siga estos pasos para usar el adaptador de banda ancha celular 3G Extend Cradlepoint con su dispositivo
WatchGuard Firebox X.
1. Siga las instrucciones en la Gua de inicio rpido del Cradlepoint CBA250 para configurar el
dispositivo Cradlepoint.
2. Configure la interfaz externa en el dispositivo WatchGuard para obtener su direccin con DHCP. Para
aprender cmo configurar la interfaz externa para PPPoE, consulte Configurar una interfaz externa
en la pgina 96.
3. Use un cable Ethernet para conectar el dispositivo Cradlepoint a la interfaz externa de Firebox.
4. Inicie (o reinicie) el dispositivo WatchGuard.
Cuando Firebox se inicia, recibe una direccin DHCP del dispositivo Cradlepoint. Despus de que se asigna una
direccin IP, Firebox puede conectarse a Internet a travs de la red de banda ancha celular.
El Cradlepoint admite un gran nmero de USB o dispositivos inalmbricos de banda ancha ExpressCard.
Para obtener una lista de dispositivos admitidos, consulte http://www.cradlepoint.com/support./cba250.
Configuracin de red
Gua del Usuario 139
7
WAN mltiple
Acerca de usar mltiples interfaces externas
Puede usar su dispositivo Firebox WatchGuard para crear soporte redundante para la interfaz externa. Esa
es una opcin til si debe tener una conexin constante a Internet.
Con la funcin WAN mltiple, puede configurar hasta cuatro interfaces externas, cada una en una subred
diferente. Eso permite conectar su Firebox a ms de un Proveedor de servicios de Internet (ISP). Cuando
configura una segunda interfaz, la funcin de WAN mltiple es automticamente activada.
Requisitos y condiciones de WAN mltiple
Debe tener una segunda conexin a Internet y ms de una interfaz externa para usar la mayora de las
opciones de configuracin de WAN mltiple.
Las condiciones y requisitos para el uso de WAN mltiple incluyen:
n Si tiene una poltica configurada con un alias de interfaz externa individual en su configuracin, debe
alterarla para usar el alias Cualquiera-Externo, u otro alias configurado para interfaces externas. Si no
lo hace, puede ser que sus polticas de firewall nieguen algn trfico.
n La configuracin de WAN mltiple no se aplica al trfico entrante. Cuando configura una poltica
para trfico entrante, puede ignorar todas las configuraciones de WAN mltiple.
n Para anular la configuracin de WAN mltiple en cualquier poltica individual, active el enrutamiento
basado en la poltica para la poltica en cuestin. Para ms informacin acerca del enrutamiento
basado en la poltica, vea Configurar el enrutamiento basado en la poltica en la pgina 359.
n Asigne el Domain Name totalmente cualificado de su empresa a la direccin IP de interfaz externa
del orden ms bajo. Si aade un dispositivo WatchGuard de WAN mltiple a la Management Server
configuration, debe usar la interfaz externa de orden ms inferior para identificarlo cuando agrega
el dispositivo.
n Para usar WAN mltiple, debe usar el modo de enrutamiento combinado para la configuracin de
red. Esa funcin no opera en las configuraciones de red de modo directo o puente.
n Para usar el mtodo de desbordamiento en la interfaz, debe tener el Fireware XTMcon una
actualizacin Pro. Tambin debe tener una licencia Pro de Fireware XTMsi usa el mtodo de
operacin por turnos y configura diferentes pesos para las interfaces externas del dispositivo
WatchGuard.
Puede usar unade las cuatro opciones de configuracinde WANmltiple paraadministrar sutrfico de red.
Para detalles de configuracin y procedimientos, vea la seccin para cada opcin.
WAN mltiple y DNS
Asegrese de que su servidor DNS puede ser contactado a travs de cada una de las WAN. De lo contrario,
debe modificar sus polticas de DNS de modo tal que:
n La lista De incluya Firebox.
n La casilla de verificacin Usar enrutamiento basado en la poltica est seleccionada.
Si slo una WAN puede alcanzar el servidor DNS, seleccione esa interfaz en la lista desplegable al
lado.
Si ms de una WAN puede alcanzar el servidor DNS, seleccione una de ellas, seleccione
Conmutacin por error, seleccione Configurar y seleccione todas las interfaces que pueden
alcanzar el servidor DNS. El orden es indiferente.
Nota Debe tener un Fireware XTM con una actualizacin Pro para usar la enrutamiento
basado en la poltica.
WAN mltiple y FireCluster
Puede usar la conmutacin por error de WAN mltiple con la funcin FireCluster, pero son configuradas
separadamente. La conmutacin por error de WAN mltiple provocada por una conexin con fallas hacia
un host de monitor de enlace no desencadena la conmutacin por error del FireCluster. La conmutacin
por error del FireCluster ocurre solamente cuando la interfaz fsica est desactivada o no responde. La
conmutacin por error del FireCluster tiene precedencia sobre la conmutacin por error de WAN mltiple.
Acerca de las opciones de WAN mltiple
Cuandoconfigura interfaces externas mltiples, tiene varias opciones paracontrolar cul interfaz unpaquete
saliente utiliza. Algunade esas funciones requiere que tengael Fireware XTMconactualizacin Pro.
Orden de operacin por turnos
Cuando configura la WAN mltiple con el mtodo de operacin por turnos, el dispositivo WatchGuard
busca en su tabla de enrutamiento la informacin de dynamic routing o esttico para cada conexin. Si no
se encuentra la ruta especificada, el dispositivo WatchGuard distribuye la carga de trfico entre sus
interfaces externas. El dispositivo WatchGuard usa el promedio de trfico enviado (TX) y recibido (RX) para
balancear la carga de trfico por todas las interfaces externas especificadas en su configuracin de
operacin por turnos.
WAN mltiple
WAN mltiple
Gua del Usuario 141
Si tiene un Fireware XTMcon actualizacin Pro, puede asignar un peso para cada interfaz usada en su
configuracin de operacin por turnos. Por defecto y para todos los usuarios de Fireware XTM, cada
interfaz tiene un peso 1. El peso se refiere a la proporcin de carga que el dispositivo WatchGuard enva a
travs de una interfaz. Si tiene un Fireware XTMPro y asigna un peso de 2 a una interfaz determinada, se
duplica la parte de trfico que pasar por esa interfaz, comparada a la interfaz con peso 1.
Por ejemplo, si tienen tres interfaces externas con 6M, 1.5My .075 de ancho de banda y desea balancear el
trfico en las tres interfaces, se podra usar 8, 2 y 1 como pesos para esas tres interfaces. El Fireware
intentar distribuir las conexiones de modo que 8/11, 2/11 y 1/11 del trfico total fluya por cada una de las
tres interfaces.
Params informaciones, vea Configurar la opcin de operacin por turnos de WANmltiple enla pgina143.
Conmutacin por error
Cuando usa el mtodo de conmutacin por error para enrutar el trfico por las interfaces externas del
dispositivo WatchGuard, se selecciona una interfaz externa para que sea la principal. Las otras interfaces
externas son las de resguardo y se define el orden para que el dispositivo WatchGuard use las interfaces de
resguardo. El dispositivo WatchGuard monitorea la interfaz externa principal. Si se desconecta, el dispositivo
WatchGuard enva todo el trfico a la siguiente interfaz externa en su configuracin. Mientras el dispositivo
WatchGuard enva todo el trfico a la interfaz de resguardo, sigue monitoreando la interfaz externa
principal. Cuando la interfaz principal est activa nuevamente, el dispositivo WatchGuard inmediatamente
recomienza a enviar todas las nuevas conexiones por la interfaz externa principal.
Se controla lo que el dispositivo WatchGuard debe hacer con las conexiones existentes; stas pueden
conmutar por recuperacin inmediatamente o continuar a usar la interfaz de resguardo hasta que la
conexin est concluida. La conmutacin por error de WAN mltiple y el FireCluster son configurados
separadamente. La conmutacin por error de WAN mltiple provocada por una conexin con fallas hacia
un host de monitor de enlace no desencadena la conmutacin por error del FireCluster. La conmutacin
por error del FireCluster ocurre solamente cuando la interfaz fsica est desactivada o no responde. La
conmutacin por error del FireCluster tiene precedencia sobre la conmutacin por error de WAN mltiple.
Params informaciones,veaConfigurar la opcindeconmutacinpor error deWANmltipleenlapgina145.
Desbordamiento en la interfaz
Cuando usa el mtodo de configuracin de WAN mltiple de desbordamiento en la interfaz, selecciona el
orden que desea que el dispositivo WatchGuard enve trfico por las interfaces externas y configura cada
interfaz con un valor de umbral de ancho de banda. El dispositivo WatchGuard comienza a enviar el trfico
por la primera interfaz externa en su lista de configuracin de desbordamiento en la interfaz. Cuando el
trfico por esa interfaz alcanza el umbral de ancho de banda definido, el dispositivo WatchGuard comienza a
enviar trfico a la siguiente interfaz externa configurada en la lista de configuracin de desbordamiento en
la interfaz.
Ese mtodo de configuracin de WAN mltiple permite que la cantidad de trfico enviada por cada interfaz
WAN sea restringido a un lmite de ancho de banda especificado. Para determinar el ancho de banda, el
dispositivo WatchGuard examina la cantidad de paquetes enviados (TX) y recibidos (RX) y usa el nmero
ms alto. Cuando configura el umbral ancho de banda para cada interfaz, debe considerar las necesidades
de su red para la interfaz en cuestin y definir el valor de umbral segn esas necesidades. Por ejemplo, si su
ISP es asimtrico y define el umbral de ancho de banda segn una tasa alta de TX, el desbordamiento en la
interfaz no ser desencadenado por una alta tasa de RX.
Si todas las interfaces WAN llegaron al lmite de ancho de banda, el dispositivo WatchGuard usa el algoritmo
de enrutamiento ECMP (Protocolo de mltiples rutas de igual costo) para encontrar la mejor ruta.
Nota Es necesario tener el Fireware XTMcon actualizacin Pro para usar ese mtodo de
enrutamiento de WAN mltiple.
Para ms informaciones, vea Configurar WAN mltiple Opcin de desbordamiento en la interfaz en la
pgina 146.
Tabla de enrutamiento
Cuando selecciona la opcin de tabla de enrutamiento para su configuracin de WAN mltiple, el
dispositivo WatchGuard usa las rutas en su tabla de enrutamiento interna o las rutas que obtiene de los
procesos de dynamic routing para enviar paquetes por la interfaz externa correcta. Para ver si una ruta
especfica existe para un destino de paquete, el dispositivo WatchGuard examina su tabla de enrutamiento
desde el topo hacia abajo de la lista de rutas. Puede ver la lista de rutas en la tabla de enrutamiento en la
pestaa Estado del Firebox System Manager. La opcin de tabla de enrutamiento es de WAN mltiple
predeterminada.
Si su dispositivo WatchGuard no encuentra una ruta especificada, l selecciona qu ruta usar segn los
valores hash del IP de destino y origen del paquete, usando el algoritmo de ECMP (Protocolo de mltiples
rutas de igual costo) especificado en:
http://www.ietf.org/rfc/rfc2992.txt
Con el ECMP, el dispositivo WatchGuard usa un algoritmo para decidir cul salto siguiente (ruta) usar para
enviar cada paquete. Ese algoritmo no tiene en cuenta la carga de trfico actual.
Para ms informaciones, vea Cuando usar los mtodos de WAN mltiple y enrutamiento en la pgina 150.
Mdem serie (solamente Firebox XEdge)
Si su organizacin tiene una cuenta de marcado con un ISP, puede conectar un mdem externo al puerto
serie en su Edge y usar esa conexin para conmutacin por error cuando todas las otras interfaces externas
estn inactivas.
Para ms informaciones, vea Conmutacin por error de mdem serie en la pgina 151.
WAN mltiple
WAN mltiple
Gua del Usuario 143
Configurar la opcin de operacin por turnos de
WAN mltiple
Antes de empezar
n Para usar la funcin de WAN mltiple, hay que tener ms de una interfaz externa configurada. Si
necesario, use el procedimiento descrito en Configurar una interfaz externa en la pgina 96.
n Asegrese que entiende los conceptos y requisitos para WAN mltiple y el mtodo elegido, tal
como se describe en Acerca de usar mltiples interfaces externas en la pgina 139 y Acerca de las
opciones de WAN mltiple en la pgina 140.
Configurar interfaces
2. Haga clic en la pestaa WAN mltiple.
3. En la lista desplegable de la seccin Configuracin deWAN mltiple, seleccione Operacin por
turnos..
5. En la columna Incluir, seleccione la casilla de verificacin para cada interfaz que desea usar en la
configuracin de operacin por turnos. No hace falta incluir todas las interfaces externas en su
configuracin de operacin por turnos.
Por ejemplo, puede tener una interfaz que desea usar para enrutamiento basado en la poltica que
no desea incluir en su configuracin de operacin por turnos.
6. Si tiene un Fireware XTM con actualizacin Pro y desea cambiar los pesos asignados a una o ms
interfaces, haga clic en Configurar.
7. Haga clic en el control de valor para definir el peso de una interfaz. El peso de una interfaz define el
porcentaje de carga a travs del dispositivo WatchGuard que usar la interfaz en cuestin.
Nota Slo puede alterar el peso predeterminado de 1 si tiene un Fireware XTMcon una
actualizacin Pro. De lo contrario, encuentra un error cuando intenta cerrar el
cuadro de dilogo Configuracin de red.
8. Haga clic en OK.
Para ms informacin acerca de la alteracin de pesos, vea Descubra cmo asignar pesos a
interfaces en la pgina 145.
9. Para concluir su configuracin, debe aadir informacin del monitor de enlace, tal como se describe
en Acerca del Estado de la interfaz de WAN en la pgina 157.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea
Acerca de la configuracin avanzada de WAN mltiple en la pgina 155.
WAN mltiple
WAN mltiple
Gua del Usuario 145
Descubra cmo asignar pesos a interfaces
Si usa un Fireware XTMcon actualizacin Pro, puede asignar un peso para cada interfaz usada en su
configuracin deWAN mltiple de operacin por turnos. Por defecto, cada interfaz tiene un peso de 1. El
peso se refiere a la proporcin de carga que el Firebox enva a travs de una interfaz.
Solo nmeros enteros pueden ser usados como pesos de interfaz; fracciones o decimales no son
permitidos. Para un balance de carga ptimo, puede ser necesario hacer clculos para saber el peso en
nmero entero que asignar a cada interfaz. Use un multiplicador comn, as se define la proporcin relativa
de ancho de banda dada por cada conexin externa en nmeros enteros.
Por ejemplo, supongamos que tiene tres conexiones a Internet. Un ISP tiene 6 Mbps, otros ISP tiene 1,5
Mbps, y un tercero tiene 769 Kpbs. Convierta la proporcin en nmeros enteros:
n Primero, convierta 768 Kbps a aproximadamente 0,75 Mbps, para usar la misma unidad de medida
para las tres lneas. Sus tres lneas tienen la proporcin de 6, 1,5 y 0,75 Mbps.
n Multiplique cada valor por 100 para quitar los decimales. Proporcionalmente, eso equivale a: [6 : 1,5
: 0,75] es la misma razn que [600 : 150 : 75]
n Encuentre el mayor divisor comn de los tres nmeros. En este caso, 75 es el nmero ms alto que
divide igualmente los tres nmeros, 600, 150 y 75.
n Divida cada uno de los nmeros por el mayor divisor comn.
Los resultados son 8, 2 y 1. Podra usar esos nmeros como pesos en una configuracin deWAN mltiple
de operacin por turnos.
Configurar la opcin de conmutacin por error de
WAN mltiple
Antes de empezar
3. Enlalistadesplegable delaseccinConfiguracindeWANmltiple,seleccione conmutacinpor error.
4. Haga clic en Configurar para especificar la interfaz externa principal y seleccionar las interfaces
externas de resguardo para su configuracin. En la columna Incluir, seleccione la casilla de
verificacin para cada interfaz que desea utilizar en la configuracin de la conmutacin por error.
5. Haga clic en Subir o Bajar para definir el orden de la conmutacin por error. La primera interfaz de
la lista es la principal.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea
Acerca de la configuracin avanzada de WAN mltiple en la pgina 155.
7. Haga clic en OK.
Configurar WAN mltiple Opcin de
desbordamiento en la interfaz
Antes de empezar
n Para usar la funcin de WAN mltiple, debe tener ms de una interfaz externa configurada. Si
WAN mltiple
WAN mltiple
Gua del Usuario 147
3. En la lista desplegable de la seccin Configuracin de WAN mltiple, seleccione Desbordamiento
en la interfaz.
5. En la columna Incluir, seleccione la casilla de verificacin para cada interfaz que desea usar en la
configuracin.
6. Para configurar un umbral de ancho de banda para una interfaz externa, seleccione la interfaz en la
lista y haga clic en Configurar.
Aparece el cuadro de dilogo "Umbral de desbordamiento en la interfaz".
7. En la lista desplegable, seleccione Mbps o Kbps como la unidad de medida para la configuracin de
ancho de banda e ingrese el valor de umbral para la interfaz.
El Firebox calcula el ancho de banda basado en el valor ms alto de los paquetes enviados o
recibidos.
8. Haga clic en OK.
9. Para concluir su configuracin, debe aadir informacin, tal como se describe en Acerca del Estado
de la interfaz de WAN en la pgina 157.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea Acerca de
la configuracin avanzada de WAN mltiple en la pgina 155.
Configurar WAN mltiple opcin tabla de
enrutamiento
Antes de empezar
n Debe elegir si el mtodo de tabla de enrutamiento es un mtodo de WAN mltiple correcto para
sus necesidades. Para ms informaciones, vea Cuando usar los mtodos de WAN mltiple y
enrutamiento en la pgina 150
Modo de tabla de enrutamiento y balance de carga
Es importante observar que la opcin de tabla de enrutamiento no hace el balance de carga en las
conexiones a Internet. El Firebox lee su tabla de enrutamiento interna desde arriba hacia abajo. Las rutas
estticas y dinmicas que especifican un destino aparecen en la parte superior de la tabla de enrutamiento
y tienen precedencia sobre las rutas predeterminadas. (Una ruta predetermina tiene destino 0.0.0.0/0.) Si
no hay una entrada esttica o dinmica especfica en la tabla de enrutamiento para un destino, el trfico
hacia ese destino es enrutado entre las interfaces externas del Firebox usando los algoritmos de ECMP. Eso
puede resultar o no en la distribucin equitativa de paquetes entre las mltiples interfaces externas.
WAN mltiple
WAN mltiple
Gua del Usuario 149
3. En la lista desplegable de la seccin Configuracin deWAN mltiple, seleccione Tabla de
enrutamiento.
Por defecto, todas las direcciones IP de la interfaz externa estn incluidas en la configuracin.
4. Para remover las interfaces externas de la configuracin de WAN mltiple, haga clic en Configurar y
limpie la casilla de verificacin al lado de la interfaz externa que desea excluir de la configuracin de
WAN mltiple.
Incluso puede tener slo una interfaz externa en su configuracin. Eso es til si desea usar un
enrutamiento basado en la poltica para trfico especfico y mantener slo un WAN para trfico
predeterminado.
Para ms informacin acerca de las opciones avanzadas de configuracin de WAN mltiple, vea Acerca de
la configuracin avanzada de WAN mltiple en la pgina 155.
Acerca de la tabla de enrutamiento de Firebox
Cuando selecciona la opcin de configuracin de tabla de enrutamiento, es importante saber mirar la tabla
de enrutamiento que est en su Firebox.
En el WatchGuard System Manager:
2. Seleccione la pestaa Informe de Estado.
3. Deslice hacia abajo hasta que vea Tabla de enrutamiento de IP de ncleo.
Eso muestra la tabla de enrutamiento interna en su Firebox. La informacin del grupo ECMP
aparece abajo de la tabla de enrutamiento.
Las rutas en la tabla de enrutamiento interna en el Firebox incluyen:
n Las rutas que el Firebox aprende de los procesos de dynamic routing en el dispositivo (RIP, OSPF y
BGP), si activa el dynamic routing.
n Las rutas de redes permanentes o rutas de host que se aaden.
n Las rutas que el Firebox crea automticamente cuando lee la informacin de configuracin de red.
Si su Firebox detecta que una interfaz externa est inactiva, l remueve las rutas estticas o dinmicas que
usan esa interfaz. Eso es as si los hosts especificados en el Monitor de enlaces no responden y si un enlace
fsico de Ethernet est inactivo.
Para ms informacin acerca de actualizaciones de tabla de enrutamiento y estado de interfaz, vea Acerca
del Estado de la interfaz de WAN en la pgina 157.
Cuando usar los mtodos de WAN mltiple y enrutamiento
Si usa el dynamic routing, puede usar el mtodo de configuracin de WAN mltiple de tabla de
enrutamiento o de operacin por turnos. Las rutas que usan una puerta de enlace en una red interna
(opcional o de confianza) no son afectadas por el mtodo de WAN mltiple seleccionado.
Cuando usar el mtodo de tabla de enrutamiento
El mtodo de tabla de enrutamiento es una buena opcin si:
n Activa el dynamic routing (RIP, OSPF o BGP) y los enrutadores en la red externa encaminan rutas al
dispositivo WatchGuard para que el dispositivo pueda aprender las mejores rutas hacia las
ubicaciones externas.
n Debe tener acceso a un sitio externo o red externa a travs de una ruta especfica en una red
externa. Los ejemplos incluyen:
n Tener un circuito privado que usa un enrutador de frame relay en la red externa.
n Preferir que todo el trfico a una ubicacin externa siempre pase por una interfaz externa del
El mtodo de tabla de enrutamiento es la forma ms rpida de balancear carga de ms de una ruta a
Internet. Despus de activar esa opcin, el algoritmo de ECMP administra todas las decisiones de conexin.
No son necesarias configuraciones adicionales en el dispositivo WatchGuard.
Cuando usar el mtodo de operacin por turnos
El balance de carga de trfico a Internet usando ECMP se basa en conexiones, no en ancho de banda. Las
rutas configuradas estticamente o aprendidas desde el dynamic routing son usadas antes que el algoritmo
WAN mltiple
WAN mltiple
Gua del Usuario 151
de ECMP. Si tiene un Fireware XTMcon una actualizacin Pro, la opcin de operacin por turnos ponderada
permite enviar ms trfico por una interfaz externa que otras opciones. Al mismo tiempo, el algoritmo de la
operacin por turno distribuye el trfico a cada interfaz externa basado en el ancho de banda, no en
conexiones. Eso le da ms control sobre cuntos bytes de datos son enviados a travs de cada ISP.
Conmutacin por error de mdem serie
(Este tpico se aplica solamente al Firebox X Edge y al XTM2 Series.)
Puede configurar el Firebox X Edge o el XTM2 Series para enviar trfico a travs de un mdem serial
cuando no logra enviar trfico con alguna interfaz externa. Debe tener una cuenta de marcado con ISP
(Proveedor de servicios de Internet) y un mdem externo conectado al puerto serie (Edge) o puerto USB
(2 Series) para usar esa opcin.
El Edge fue probado con esos mdems:
n Mdem fax serial Hayes 56K V.90
n Zoom FaxModem 56K modelo 2949
n Mdem externo U.S. Robotics 5686
n Mdem serial Creative Modem Blaster V.92
n MultiTech 56K Data/Fax Modem International
El 2 Series fue probado con esos mdems:
n Zoom FaxModem 56K modelo 2949
n MultiTech 56K Data/Fax Modem International
n Mdem Fax/Datos OMRON ME5614D2
n Mdem fax serial Hayes 56K V.90
En el caso de un mdem serial, use un adaptador USBa serial para conectar el mdem al dispositivo XTM2
Series.
Activar conmutacin por error de mdem serial
1. Seleccione Red > Mdem.
Aparece el cuadro de dilogo Configuracin de mdem.
2. Seleccione la casilla Activar mdem para conmutacin por error cuando todas las interfaces
externas estn inactivas.
3. Completar la configuracin Cuenta, DNS, Marcado y Monitor de enlace, tal como se describe en las
siguientes secciones.
4. Haga clic en OK.
5. Guarde su configuracin.
Configuraciones de la cuenta
1. Seleccione la pestaa Cuenta.
2. En el cuadro de texto Nmero de telfono, ingrese el nmero de telfono de su ISP.
3. Si tiene otro nmero para su ISP, en el cuadro de texto Nmero de telfono alternativo, ingrselo.
4. En el cuadro de texto Nombre de la cuenta , ingrese el nombre de su cuenta de marcado.
5. Si inicia sesin en su cuenta con un domain name en el cuadro de texto Dominio de cuenta, ingrese
el domain name.
Un ejemplo de domain name es msn.com.
6. En el cuadro de texto Contrasea de cuenta , ingrese la contrasea que utiliza para conectarse a su
cuenta de marcado.
7. Si tiene problemas con su conexin, seleccione la casilla de verificacin Activar rastreo de
depuracin de mdem y PPP. Cuando esa opcin est seleccionada, el Firebox enva registros
detallados para la funcin de conmutacin por error del mdem serial al archivo de registro del
evento.
Configuraciones de DNS
Si su ISP de marcado no ofrece informacin del servidor DNS, o si debe usar un servidor DNS diferente,
puede agregar manualmente las direcciones IP para que un servidor DNS use despus que ocurre una
conmutacin por error.
WAN mltiple
WAN mltiple
Gua del Usuario 153
1. Seleccione la pestaa DNS.
Aparece la pgina "Configuraciones de DNS".
2. Seleccione la casilla de verificacin Configurar manualmente las direcciones IP del servidor DNS.
3. En el cuadro de texto Servidor DNS principal , ingrese la direccin IP del servidor DNS principal.
4. Si tiene un servidor DNS secundario, en el cuadro de texto Servidor DNS secundario, ingrese la
direccin IP para el servidor secundario.
5. En el cuadro de texto MTU, para fines de compatibilidad, puede definir la Unidad Mxima de
Transmisin (MTU, en sus siglas en ingls) en un valor diferente. La mayora de los usuarios
mantienen la configuracin predeterminada.
Configuracin de marcado
1. Seleccione la pestaa Marcado.
Aparece la pgina "Opciones de marcado".
2. En el cuadro de texto Tiempo de espera de marcado , ingrese o seleccione el nmero de segundos
antes que se agote el tiempo de espera si su mdem no se conecta. El valor predeterminado es de
dos (2) minutos.
3. En el cuadro de texto Intentos de remarcado , ingrese o seleccione el nmero de veces que el
Firebox intenta remarcar si su mdem no se conecta. El nmero predeterminado indica que se
espere tres (3)intentos de conexin.
4. En el cuadro de texto Tiempo de espera de inactividad , ingrese o seleccione el nmero de minutos
que esperar si el trfico no pasa por el mdem antes que se agote el tiempo de espera. El valor
predeterminado es de ningn tiempo de espera.
5. En la lista desplegable Volumen del parlante , seleccione el volumen del parlante de su mdem.
Configuraciones avanzadas
Algunos ISPs requieren que se especifique una o ms opciones de ppp para establecer conexin. En China,
por ejemplo, algunos ISPs requieren el uso de la opcin de ppp de recibir-todos. La opcin de recibir-todos
hace que el ppp acepte todos los caracteres de control del punto.
2. En el cuadro de texto Opciones de PPP, ingrese las opciones requeridas de PPP. Para especificar
ms de una opcin de PPP, separe cada opcin con una coma.
Configuracin de "Monitor de enlace"
Puede definir las opciones para probar una o ms interfaces externas para una conexin activa. Cuando una
interfaz externa se vuelve activa nuevamente, el Firebox ya no enva trfico a travs del mdem serial y usa,
en su lugar, la interfaz o las interfaces externas. Puede configurar el Monitor de enlace para enviar un ping a
un sitio o dispositivo en la interfaz externa, crear una conexinTCP con un sitio o nmero de puerto que
especifique, o ambos. Tambin puede definir el intervalo de tiempo entre pruebas de conexin y
configurar el nmero de veces que una prueba debe fallar o tener xito antes que una interfaz sea activada
o desactivada.
Para configurar el monitor de enlace para una interfaz:
1. Haga clic en Monitor de enlace.
Aparece el cuadro de dilogo "Configuracin de monitor de enlace".
2. Para modificar la configuracin para una interfaz externa, seleccinela en la lista Interfaces
externas Debe configurar cada interfaz separadamente. Defina la configuracin del monitor de
WAN mltiple
WAN mltiple
Gua del Usuario 155
enlace para cada interfaz.
3. Para enviar un ping a una ubicacin o dispositivo en la red externa, seleccione la casilla Ping e
ingrese una direccinIP o nombre de host en el cuadro de texto al lado.
4. Para crear una conexin TCP a una ubicacin o dispositivo en la red externa, seleccione la casilla TCP
e ingrese una direccinIP o nombre de host en el cuadro de texto al lado. Tambin puede ingresar
o seleccionar un Nmero depuerto.
El nmero de puerto predeterminado es 80 (HTTP).
5. Para que el ping y las conexiones TCP tengan xito antes que una interfaz sea marcada como activa,
seleccione la casilla Ping y TCP deben tener xito.
6. Para cambiar el intervalo de tiempo entre los intentos de conexin, en el cuadro de texto Probar
intervalo , ingrese o seleccione un nmero diferente.
La configuracin predeterminada es de 15 segundos.
7. Para cambiar el nmero de fallas que marcan una interfaz como inactiva, en el cuadro de texto
Desactivar despus de, ingrese o seleccione un nmero diferente.
8. Para cambiar el nmero de conexiones exitosas que marcan una interfaz como activa, en el cuadro
de texto Reactivar despus de , ingrese o seleccione un nmero diferente.
9. Haga clic en OK.
Acerca de la configuracin avanzada de WAN
mltiple
En la configuracin de WAN mltiple, puede definir preferencias para sticky connections, failback y
notificacin de eventos de WAN mltiple. No todas las opciones de configuracin estn disponibles para
todas las opciones de configuracin de WAN mltiple. Si una configuracin no se aplica a la opcin de WAN
mltiple seleccionada, esos campos no aparecen activos.
Acerca de las sticky connections
Una sticky connection es una conexin que sigue usando la misma interfaz de WAN por un perodo definido
de tiempo. Puede definir los parmetros de sticky connection si usa opciones de desbordamiento en la
interfaz o operacin por turnos para WAN mltiple. Las sticky connections aseguran que, si un paquete sale
por Acerca de la configuracin avanzada de WAN mltipleuna interfaz externa, los futuros paquetes entre
el par de direcciones IP de origen y de destino usan la misma interfaz externa por un perodo determinado
de tiempo. Por defecto, las sticky connections usan la misma interfaz por 3 minutos.
Si una definicin de poltica contiene una configuracin de sticky connection, sta puede anular cualquier
duracin de sticky connection global.
Define una duracin de sticky connection global
Use la pestaa Avanzado para configurar una duracin de sticky connection global para conexiones TCP,
conexiones UDP y conexiones que usan otros protocolos.
Si define una duracin de sticky connection en una poltica, puede anular la duracin de sticky connection
global.
Para ms informaciones, vea Defina la duracin de sticky connection para una poltica en la pgina 363.
Definir accin de failback
Puede definir la accin que desea que el dispositivo WatchGuard haga cuando ocurre un evento de
conmutacin por error y la interfaz externa principal se vuelve activa nuevamente. Cuando eso se d, todas
las nuevas conexiones inmediatamente conmutan por recuperacin hacia la interfaz externa principal. No
obstante, puede seleccionar el mtodo que desea usar para conexiones que estn en proceso en el
momento de la failback. Esa configuracin de failback tambin se aplica a cualquier configuracin de
enrutamiento basado en la poltica que se define para usar interfaces externas de conmutacin por error.
1. En el cuadro de dilogo Configuracin de red, seleccione la pestaa WAN mltiple.
WAN mltiple
WAN mltiple
Gua del Usuario 157
3. En la lista desplegable Failback para conexiones activas, seleccione una opcin:
n Failback inmediata El dispositivo WatchGuard inmediatamente detiene todas las
conexiones existentes.
n Failback gradual El dispositivo WatchGuard sigue usando la interfaz de conmutacin por
error para conexiones existentes hasta que cada conexin est completa.
4. Haga clic en OK.
Acerca del Estado de la interfaz de WAN
Puede elegir el mtodo y frecuencia con la que desea que el Firebox verifique el estado de cada interfaz de
WAN. Si no configura un mtodo especificado para ser usado por Firebox, l enva un ping a la puerta de
enlace predeterminada de la interfaz para verificar el estado de la misma.
Tiempo necesario para que el Firebox actualice su tabla de
enrutamiento
Si un host de monitor de enlace no responde, puede llevar de 40 - 60 segundos para que el dispositivo
WatchGuard actualice su tabla de enrutamiento. Cuando el mismo host de monitor de enlace empieza a
responder nuevamente, puede llevar de 1 - 60 segundos para que su Firebox actualice su tabla de
enrutamiento.
El proceso de actualizacin es mucho ms rpido cuando su Firebox detecta una desconexin fsica del
puerto de Ethernet. Cuando eso ocurre, el dispositivo WatchGuard actualiza su tabla de enrutamiento
inmediatamente. Cuando su Firebox detecta que la conexin de Ethernet est activa nuevamente, l
actualiza su tabla de enrutamiento dentro de 20 segundos.
Definir un host de monitor de enlace
1. En el cuadro de dilogo Configuracin de red, seleccione la pestaa WAN mltiple y haga clic en la.
pestaa Monitor de enlace.
2. Resalte la interfaz en la columna de Interfaz externa. La informacin de Configuracin cambia
dinmicamente para mostrar la configuracin de esa interfaz.
3. Seleccione las casillas de verificacin para cada mtodo de monitor de enlace que desea que el
Firebox use para verificar el estado de cada interfaz externa:
n Ping Agregue una direccin IP o domain name para que el Firebox enve un ping para
verificar el estado de la interfaz.
n TCP Agregue una direccin IP o domain name de un equipo con el que el Firebox puede
negociar un protocolo de enlace de TCP para verificar el estado de la interfaz de WAN.
n Ping y TCP deben tener xito para definir la interfaz como activa La interfaz es considerada
inactiva excepto si tanto el ping como la conexin TCP son concluidos con xito.
Si una interfaz externa es miembro de una configuracin de FireCluster, una conmutacin por error
de WAN mltiple provocada por una falla de conexin hacia un host de monitor de enlace no
desencadena la conmutacin por error del FireCluster. La conmutacin por error del FireCluster
ocurre solamente cuando la interfaz fsica est desactivada o no responde. Si agrega un domain
name para que el Firebox enve un ping y alguna de las interfaces externas tiene una direccin IP
esttica, debe configurar un servidor DNS, tal como se describe en Agregar servidores WINS y
Direcciones del servidor DNS en la pgina 115.
WAN mltiple
WAN mltiple
Gua del Usuario 159
4. Para configurar la frecuencia con la que desea que el Firebox verifique el estado de la interfaz,
ingrese o seleccione una configuracin de Intervalo de prueba.
La configuracin predeterminada es de 15 segundos.
5. Para cambiar el nmero de fallas de pruebas consecutivas que debe ocurrir antes de una
conmutacin por error, ingrese o seleccione una configuracin de Desactivar despus de.
La configuracin predeterminada es de tres (3). Despus del nmero de fallas seleccionado, el Firebox intenta
enviar el trfico a travs de la siguiente interfaz especificada en la lista de conmutacin por error de WAN
mltiple.
6. Para cambiar el nmero de pruebas consecutivas exitosas a travs de una interfaz antes que la
interfaz previamente inactiva se vuelva activa nuevamente, ingrese o seleccione una configuracin
de Reactivar despus de.
7. Repita esos pasos para cada interfaz externa.
8. Haga clic en OK.
WAN mltiple
Gua del Usuario 160
Gua del Usuario 161
8
Traduccin de direccin de red
(NAT)
Acerca de la Traduccin de direccin de red (NAT)
La traduccin de direccin de red (NAT) es un trmino utilizado para describir cualquiera de varias formas
de traduccin de direccin IP y puerto. En su nivel ms bsico, NAT cambia la direccin IP de un paquete
de un valor a otro diferente.
El objetivo principal de NAT es aumentar el nmero de computadoras que pueden funcionar partiendo de
una nica direccin IP pblicamente enrutable y ocultar las direcciones IP privadas de host en su LAN.
Cuando se usa NAT, la direccin IP de origen se cambia en todos los paquetes que se envan.
NAT se puede aplicar como configuracin de firewall general o como una configuracin en una poltica. Las
configuraciones de NAT firewall no se aplican a las polticas BOVPN.
Si tiene Fireware XTMcon una actualizacin Pro, puede usar la funcin de Balance de carga en el servidor
como parte de una regla NAT esttica. La funcin de balance de carga en el servidor est diseada para
ayudarle a aumentar la escalabilidad y el rendimiento de una red de alto trfico con mltiples servidores
pblicos protegidos por el dispositivo WatchGuard. Con el balance de carga en el servidor, puede
determinar que el dispositivo WatchGuard controle el nmero de sesiones iniciadas en hasta diez
servidores para cada poltica de firewall que configure. El dispositivo WatchGuard controla la carga segn el
nmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide ni compara el ancho de
banda que usa cada servidor.
Para obtener ms informacin sobre el balance de carga en el servidor, consulte Configurar Balance de
carga en el servidor en la pgina 179.
Tipos de NAT
El dispositivo WatchGuard admite tres tipos diferentes de NAT. Su configuracin puede usar ms de un tipo
de NAT al mismo tiempo. Se aplican algunos tipos de NAT a todo el trfico de firewall y otros tipos como
configuracin en una poltica.
NAT dinmico
NAT dinmico tambin se conoce como enmascaramiento IP. El dispositivo WatchGuard puede
aplicar su direccin IP pblica a los paquetes salientes para todas las conexiones o para servicios
especficos. Esto oculta a la red externa la direccin IP real de la computadora que es el origen del
paquete. NAT dinmica en general se usa para ocultar las direcciones IP de host internos cuando
tienen acceso a servicios pblicos.
Para ms informaciones, vea Acerca de la dinmica basada en polticas en la pgina 162.
NAT esttica
NAT esttica, conocida tambin como reenvo de puerto, se configura cuando se configuran las
polticas. NAT esttica es una NAT de puerto-a-host. Un host enva un paquete desde la red externa a
un puerto en una interfaz externa. NAT esttica cambia esta direccin IP a una direccin IP y puerto
detrs del firewall.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 177.
1-to-1 NAT
1-to-1 NAT crea una asignacin entre direcciones IP en una red y direcciones IP en una red
diferente. Este tipo de NAT con frecuencia se usa para que las computadoras externas tengan
acceso a los servidores internos pblicos.
Para ms informaciones, vea Acerca de las 1-to-1 NAT en la pgina 166.
Acerca de la dinmica basada en polticas
NAT dinmica es el tipo de NAT que se utiliza con ms frecuencia. Cambia la direccin IP de origen de una
conexin saliente a la direccin IP pblica de Firebox. Fuera de Firebox, se observa slo la direccin IP de la
interfaz externa de Firebox en los paquetes salientes.
Muchas computadoras pueden conectarse a Internet desde una direccin IP pblica. NAT dinmica ofrece
ms seguridad para host internos que usan Internet porque oculta las direcciones IP de host en su red. Con
NAT dinmica, todas las conexiones deben iniciarse desde detrs de Firebox. Los host maliciosos no pueden
iniciar conexiones a las computadoras detrs de Firebox cuando ste est configurado para NAT dinmica.
En la mayora de las redes, la poltica de seguridad recomendada es aplicar NAT a todos los paquetes
salientes. Con Fireware, NAT dinmica est activada de manera predeterminada en el cuadro de dilogo
Red > NAT. Tambin est activada de manera predeterminada en cada poltica que se crea. Puede anular la
configuracin de firewall para NAT dinmica en las polticas individuales, como se describe en Aplicar
reglas NAT en la pgina 362.
Agregar firewall a entradas de NAT dinmicas
La configuracin predeterminada de NAT dinmica activa NAT dinmica desde todas las direcciones IP
privadas hacia la red externa. Las entradas predeterminadas son:
n 192.168.0.0/16 Cualquiera-externo
Traduccin de direccin de red (NAT)
Gua del Usuario 163
Estas tres direcciones de red son las redes privadas reservadas por Internet Engineering Task Force (IETF) y
en general se usan para las direcciones IP en LAN. Para activar NAT dinmica para direcciones IP privadas
distintas de stas, debe agregar una entrada para ellas. El dispositivo WatchGuard aplica reglas NAT
dinmicas en la secuencia en la que aparecen en la lista Entradas de NAT dinmica. Recomendamos colocar
las reglas en una secuencia que coincida con el volumen de trfico al que se aplican las reglas.
1. Seleccione Red > NAT.
Aparece el cuadro de dilogo de configuracin de NAT.
2. En la pestaa NAT dinmica, haga clic en Agregar.
Aparece el cuadro de dilogo "Agregar NAT Dinmica".
3. En la lista desplegable Desde, seleccione el origen de los paquetes salientes.
Por ejemplo, use el alias de host de confianza para activar NAT desde toda la red de confianza.
Para obtener ms informacin sobre alias del dispositivo WatchGuard incorporados, consulte Acerca
de los alias en la pgina 78.
4. En la lista desplegable Hasta, seleccione el destino de los paquetes salientes.
5.
Para agregar una direccin IP de red o host, haga clic en .
6. En la lista desplegable Elegir tipo, seleccione el tipo de direccin.
7. En el cuadro de texto Valor , ingrese la direccin IP o el rango.
Debe ingresar una direccin de red en notacin diagonal.
Cuando ingresa una direccin IP, ingrese todos los nmeros y puntos. No use las teclas de flecha o
tabulacin.
8. Haga clic en OK.
La nueva entrada aparece en la lista Entradas de NAT dinmica.
Eliminar una entrada NAT dinmica
No puede cambiar una entrada NAT dinmica existente. Si desea cambiar una entrada existente, debe
eliminar la entrada y agregar una nueva.
Para eliminar una entrada NAT dinmica:
1. Seleccione la entrada que desea eliminar.
Aparece un mensaje de advertencia.
3. Haga clic en S.
Reordenar entradas NAT dinmica
Para cambiar la secuencia de las entradas NAT dinmica:
1. Seleccione la entrada que desea cambiar.
2. Haga clic en Arriba o Abajo para desplazarla en la lista.
Configurar NAT dinmica basada en polticas
En NAT dinmica basada en polticas, Firebox asigna direcciones IP privadas a direcciones IP pblicas. NAT
dinmica se activa en la configuracin predeterminada de cada poltica. No es necesario activarla a menos
que la haya desactivado previamente.
Para que NAT dinmica basada en polticas funcione correctamente, utilice la pestaa Poltica del cuadro de
dilogo Editar propiedades de polticas para asegurarse de que la poltica est configurada para permitir el
trfico saliente slo a travs de una interfaz de Firebox.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinmica.
Gua del Usuario 165
1. Haga clic con el botn derecho en una poltica y seleccione Modificar poltica.
Aparece el cuadro de dilogo "Editar Propiedades de Poltica".
3. Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinmica
establecidas para el dispositivo WatchGuard.
Seleccione Todo el trfico en esta poltica si desea aplicar NAT a todo el trfico en esta poltica.
4. Si seleccion Todo el trfico en esta poltica, puede establecer una direccin IP de origen NAT
dinmica para cualquier poltica que use NAT dinmica. Seleccione la casilla de verificacin
Establecer IP de origen.
Cuando selecciona una direccin IP de origen, cualquier trfico que usa esta poltica muestra una
direccin especfica de su rango de direcciones IP externas o pblicas como el origen. Esto se utiliza
con ms frecuencia para obligar al trfico SMTP saliente a mostrar la direccin de registro MX para
su dominio cuando la direccin IP en la interfaz externa de Firebox no coincide con la direccin IP
de registro MX. Esta direccin de origen debe estar en la misma subnet que la interfaz especificada
para el trfico saliente.
Recomendamos no utilizar la opcin Establecer IP de origen si tiene ms de una interfaz externa
configurada en su dispositivo WatchGuard.
Si no selecciona la casilla de verificacin Establecer IP de origen, el dispositivo WatchGuard cambia
la direccin IP de origen para cada paquete a la direccin IP de la interfaz desde la cual se enva el
paquete.
5. Haga clic en OK.
Desactivar basado en polticas NAT dinmica
NAT dinmica se activa en la configuracin predeterminada de cada poltica. Para desactivar NAT dinmica
para una poltica:
3. Para desactivar NAT para el trfico controlado por esta poltica, desmarque la casilla de verificacin
NAT dinmica.
4. Haga clic en OK.
Acerca de las 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo WatchGuard cambia las rutas de todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente. Una regla 1-to-1
NAT siempre tiene prioridad sobre NAT dinmica.
1-to-1 NAT con frecuencia se utiliza cuando se tiene un grupo de servidores internos con direcciones IP
privadas que deben hacerse pblicas. Se puede usar 1-to-1 NAT para asignar direcciones IP pblicas a los
servidores internos. No es necesario cambiar la direccin IP de los servidores internos. Cuando se tiene un
grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrnico),1-to-1 NAT es
ms fcil de configurar que NAT esttica para el mismo grupo de servidores.
Para comprender cmo configurar 1-to-1 NAT, proponemos este ejemplo:
La empresa ABC tiene un grupo de cinco servidores de correo electrnico con direcciones privadas detrs
de la interfaz de confianza de su dispositivo WatchGuard. Estas direcciones son:
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
10.1.1.5
La empresa ABC selecciona cinco direcciones IP pblicas de la misma direccin de red como interfaz
externa de su dispositivo WatchGuard y crea registros DNS para que los servidores de correo electrnico
resuelvan.
Estas direcciones son:
50.1.1.1
Gua del Usuario 167
50.1.1.2
50.1.1.3
50.1.1.4
50.1.1.5
La empresa ABC configura una regla 1-to-1 NAT para sus servidores de correo electrnico. La regla 1-to-1
NAT crea una relacin esttica, bidireccional entre los pares correspondientes de direcciones IP. La relacin
tiene el siguiente aspecto:
10.1.1.1 <--> 50.1.1.1
10.1.1.2 <--> 50.1.1.2
10.1.1.3 <--> 50.1.1.3
10.1.1.4 <--> 50.1.1.4
10.1.1.5 <--> 50.1.1.5
Cuando se aplica la regla 1-to-1 NAT, el dispositivo WatchGuard crea el enrutamiento bidireccional y la
relacin NAT entre el grupo de direcciones IP privadas y el grupo de direcciones pblicas. 1-to-1 NAT
tambin funciona en trfico enviado desde redes que protege el dispositivo WatchGuard.
Acerca de 1-to-1 NAT y VPN
Cuando se crea un tnel VPN, las redes en cada extremo del tnel VPN deben tener rangos de direcciones
de red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un tnel VPN entre dos redes que usan
la misma direccin de red privada. Si el rango de direccin en la red remota es el mismo que en la red
local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT.
1-to-1 NAT se configura para un tnel VPN al configurar el tnel VPN y no en Red> NAT. cuadro de dilogo.
1. Seleccione un rango de direcciones IP que sus computadoras muestren como direcciones IP de
origen cuando el trfico proviene de su red y se dirige a la red remota a travs del tnel BOVPN.
Consulte con el administrador de red sobre la otra red para seleccionar un rango de direcciones IP
que no est en uso. No use ninguna direccin IP de:
n La red de confianza, opcional o externa conectada al dispositivo WatchGuard.
n Una secondary network conectada a una interfaz de confianza, opcional o externa del
n Una red enrutada configurada en el Policy Manager (Red>Rutas)
n Redes a las cuales ya tiene un tnel BOVPN
n Grupos de direcciones IP virtuales de Mobile VPN
n Redes que pueden ser alcanzadas por el dispositivo IPSec a travs de sus interfaces, rutas de
red o rutas de VPN
2. Definir puertas de enlacepara los dispositivos WatchGuard locales y remotos.
3. Establezca tneles entre los extremos de puertas de enlace.
En el cuadro de dilogo Configuracin de ruta de tnel para cada dispositivo WatchGuard,
seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de direcciones IP enmascaradas
para ese dispositivo WatchGuard en el cuadro de texto adyacente.
El nmero de direccionesIP en el cuadro de texto debe ser exactamente el mismo que el nmero
de direccionesIP en el cuadro de texto Local en el topo del cuadro de dilogo. Por ejemplo, si usa la
notacin diagonal para indicar un subred, el valor despus de la barra diagonal debe ser igual en
ambos cuadros de texto.
Para ms informaciones, vea Acerca de las Notacin diagonal en la pgina 3.
Para obtener informacin ms detallada y un ejemplo, consulte Usar 1-to-1 NAT a travs de un tnel
BOVPN en la pgina 857.
Configurar el firewall 1-to-1 NAT
1. Seleccione Red > NAT.
Aparece el cuadro de dilogo de configuracin de NAT.
2. Haga clic en la pestaa 1-to-1 NAT.
Aparece el cuadro de dilogo Agregar asignacin 1 a 1.
4. En la lista desplegable Tipo de asignacin, seleccione IP nica (para asignar un host), Rango de IP
(para asignar un rango de hosts) o Subnet IP (para asignar una subnet).
Si selecciona Rango de IP o Subnet IP, no incluya ms de 256 direcciones IP en ese rango o subnet.
Si tiene ms de 256 direcciones IP a las que desea aplicar 1-to-1 NAT, debe crear ms de una regla.
5. Complete todos los campos en la seccin Configuracin del cuadro de dilogo.
Para obtener ms informacin sobre cmo usar estos campos, consulte la siguiente seccin Definir
una regla de 1-to-1 NAT.
6. Haga clic en OK.
Despus de configurar una regla de 1-to-1 NAT global, debe agregar las direcciones IP NAT a las polticas
correspondientes.
n Si su poltica administra trfico saliente, agregue las direcciones IP de la base real a la seccin Desde
de la configuracin de polticas.
Gua del Usuario 169
n Si su poltica administra trfico entrante, agregue las direcciones IPde base NAT a la seccin Hasta
de la configuracin de polticas.
En el ejemplo anterior, donde usamos 1-to-1 NAT para otorgar acceso a un grupo de servidores de correo
electrnico descritos en Acerca de las 1-to-1 NAT en la pgina 166, debemos configurar la poltica SMTP
para permitir el trfico SMTP. Para completar esta configuracin, debe cambiar la configuracin de la
poltica para permitir el trfico desde la red externa al rango de direccin IP 10.1.1.1-10.1.1.5.
1. Crear una nueva poltica o modificar una poltica existente.
2. Junto a la lista Desde, haga clic en Agregar.
3. Seleccione el alias Cualquiera-externo y haga clic en OK.
4. Junto a la lista Hasta, haga clic en Agregar. Haga clic en Agregar otras.
5. Para agregar una direccin IP por vez, seleccione IP de host en la lista desplegable e ingrese la
direccin IP en el cuadro de texto adyacente y haga clic enOK dos veces..
6. Repita los pasos 3 al 4 para cada direccin IP en el rango de direccin NAT.
Para agregar varias direcciones IP a la vez, seleccione Rango de host en la lista desplegable. Ingrese
la primera y la ltima direccin IP del rango de base de NAT y haga clic en OK dos veces.
Nota Para conectarse a una computadora ubicada en una interfaz diferente que usa 1-
to-1 NAT, debe usar la direccin IP pblica (base de NAT) de esa computadora. Si
esto es un problema, puede desactivar 1-to-1 NAT y usar NAT esttica.
Definir una Regla de 1-to-1 NAT
En cada regla de 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. Tambin debe
configurar:
Interfaz
El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su dispositivo WatchGuard aplica 1-
to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se
aplica a la interfaz externa.
Base de NAT
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base de NAT es la primera direccin IP disponible en el rango de
direcciones hasta. La direccin IP base de NAT es la direccin a la que cambia la direccin IP de base
real cuando se aplica 1-to-1 NAT. No se puede usar la direccin IP de una interfaz Ethernet existente
como base de NAT. En nuestro ejemplo anterior, la base de NAT es 50.50.50.1.
Base real
Cuando se configura una regla de 1-to-1 NAT, la regla se configura con un rango de direcciones IP
desde y un rango hasta. La base real es la primera direccin IP disponible en el rango de direcciones
desde. Es la direccin IP asignada a la interfaz Ethernet fsica de la computadora a la cual se aplicar
la poltica de 1-to-1 NAT. Cuando los paquetes de una computadora con una direccin de base real
atraviesan la interfaz especificada, se aplica la accin 1 a 1. En nuestro ejemplo anterior, la base real
es 10.0.1.50.
Nmero de host para NAT (para rangos nicamente)
El nmero de direcciones IP en un rango al cual se aplica la regla de 1-to-1 NAT. La primera
direccin IP de base real se traduce a la primera direccin IP de base de NAT cuando se aplica 1-to-1
NAT. La segunda direccin IP de base real en el rango se traduce a la segunda direccin IP de base
de NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Nmero de host para
NAT. En el ejemplo anterior, el nmero de host al que se aplicar NAT es 5.
Tambin puede usar 1-to-1 NAT cuando debe crear un tnel VPN entre dos redes que usan la misma
direccin de red privada. Cuando se crea un tnel VPN, las redes en cada extremo del tnel VPN deben
tener rangos de direcciones de red diferentes. Si el rango de direccin en la red remota es el mismo que
en la red local, se pueden configurar ambas puertas de enlace para que usen 1-to-1 NAT. Luego, se puede
crear el tnel VPN y no cambiar las direcciones IP de un lado del tnel. 1-to-1 NAT se configura para un
tnel VPN al configurar el tnel VPN y no en el cuadro de dilogo Red> NAT.
Para observar un ejemplo de cmo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.
Configurar basado en polticas 1-to-1 NAT
En 1-to-1 NAT basada en polticas, su dispositivo WatchGuard usa los rangos de direcciones IP pblicas y
privadas que se establecieron al configurar 1-to-1 NAT global, pero las reglas se aplican a una poltica
individual. 1-to-1 NAT se activa en la configuracin predeterminada de cada poltica. Si el trfico coincide
con 1-to-1 NAT y con las polticas de NAT dinmica, 1-to-1 NAT prevalece.
Activar 1-to-1 NAT basada en polticas
Debido a que 1-to-1 NAT basada en polticas est activada en forma predeterminada, no es necesaria
ninguna otra accin para activarla. Si previamente ha desactivado 1-to-1 NAT basada en polticas, seleccione
la casilla de verificacin en Paso 3 del siguiente procedimiento para volver a activarla.
Desactivar 1-to-1 NAT basada en polticas
Gua del Usuario 171
3. Desmarque la casilla de verificacin 1-to-1 NAT para desactivar NAT para el trfico controlado por
esta poltica.
4. Haga clic en OK.Guardar el archivo de configuracin.
Configurar el bucle invertido de NAT con NAT
esttica
Fireware XTMincluye soporte para bucle invertido de NAT. El bucle invertido de NAT permite a un usuario
en las redes de confianza u opcionales obtener acceso a un servidor pblico que se encuentra en la misma
interfaz fsica de Firebox por medio de su direccin IP pblica o domain name. Para conexiones de bucle
invertido de NAT, Firebox cambia la direccin IP de origen de la conexin para que sea la direccin IP de la
interfaz interna de Firebox (la direccin IP principal para la interfaz donde tanto el cliente como el servidor
se conectan a Firebox).
El siguiente ejemplo ayuda a comprender cmo configurar el bucle invertido de NAT cuando se usa NAT
esttica:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza NAT
esttica para asignar la direccin IP pblica al servidor interno. La empresa desea permitir a los usuarios de
la red de confianza el uso de la direccin IP pblica o el domain name para acceder a este servidor pblico.
En este ejemplo suponemos:
n La interfaz de confianza est configurada con una direccin IP en la red 10.0.1.0/24.
n La interfaz de confianza tambin est configurada con una direccin IP secundaria en la red
192.168.2.0/24.
n El servidor HTTP est conectado fsicamente a la red 10.0.1.0/24. La direccin de base real del
servidor HTTP se encuentra en la red de confianza.
Agregar una poltica para bucle invertido de NAT al servidor
En este ejemplo, para permitir a los usuarios de sus redes de confianza y opcional utilizar la direccin IP
pblica o el domain name para acceder a un servidor pblico que se encuentra en la red de confianza, se
debe agregar una poltica HTTP que podra ser la siguiente:
Gua del Usuario 173
La seccin Hasta de la poltica contiene una ruta NAT esttica desde la direccin IP pblica del servidor
HTTP a la direccin IP real de ese servidor.
Para obtener ms informacin acerca de NAT esttica, consulte Acerca de la NAT esttica en la pgina 177.
Si utiliza 1-to-1 NAT para enrutar trfico a servidores dentro de su red, consulte Bucle invertido de NAT y 1-
to-1 NAT en la pgina 173.
Bucle invertido de NAT y 1-to-1 NAT
El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un
servidor pblico con su direccin IP pblica o domain name si el servidor se encuentra en la misma interfaz
fsica de Firebox. Si utiliza 1-to-1 NAT para enrutar el trfico a servidores en la red interna, siga estas
instrucciones para configurar el bucle invertido de NAT desde usuarios internos a esos servidores. Si no
utiliza 1-to-1 NAT, consulte Configurar el bucle invertido de NAT con NAT esttica en la pgina 171.
Para comprender cmo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este
ejemplo:
La empresa ABC tiene un servidor HTTP en la interfaz de confianza de Firebox. La empresa utiliza una regla
1-to-1 NAT para asignar la direccin IP pblica al servidor interno. La empresa desea permitir a los usuarios
de la interfaz de confianza el uso de la direccin IP pblica o el domain name para acceder a este servidor
pblico.
En este ejemplo suponemos:
n Un servidor con la direccin IP pblica 100.100.100.5 est asignado con una regla 1-to-1 NAT a un
host en la red interna.
En la pestaa de 1-to-1 NAT del cuadro de dilogo Configuracin deNAT, seleccione estas opciones:
Interfaz Externa, NATBase 100.100.100.5, Base real 10.0.1.5
n La interfaz de confianza est configurada con una red principal, 10.0.1.0/24.
n El servidor HTTP est conectado fsicamente a la red en la interfaz de confianza. La direccin de base
real de ese host se encuentra en la interfaz de confianza.
n La interfaz de confianza tambin est configurada con una secondary network, 192.168.2.0/24.
En este ejemplo, para permitir el bucle invertido de NAT a todos los usuarios conectados a la interfaz de
confianza, es necesario:
1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese trfico cuando las
computadoras internas obtienen acceso a la direccin IP pblica 100.100.100.5 con una conexin
de bucle invertido de NAT.
Se debe agregar una asignacin ms de 1-to-1 NAT para aplicar al trfico que se inicia en la interfaz
de confianza. La nueva asignacin 1 a 1 es igual a la anterior, excepto que la Interfaz est
configurada en De confianza en lugar de Externa.
Despus de agregar la segunda entrada 1-to-1 NAT, la seccin de la pestaa 1-to-1 NAT en el
Configuracin deNAT muestra dos asignaciones de 1-to-1 NAT: una para Externa y una para De
confianza.
En la pestaa 1-to-1 NAT del cuadro de dilogo Configuracin de NAT, agregue estas dos entradas:
Interfaz Externa, NAT Base 100.100.100.5, Base real 10.0.1.5
Interfaz De confianza, NAT Base 100.100.100.5, Base real 10.0.1.5
Gua del Usuario 175
2. Agregue una entrada NAT dinmica para cada red en la interfaz a la que est conectado el servidor.
El campo Desde para la entrada NAT dinmica es la direccin IP de red de la red desde la cual las
computadoras obtienen acceso a la direccin IP de 1-to-1 NAT con bucle invertido de NAT.
El campoHastaparalaentradaNATdinmicaesladireccinbase deNATenlaasignacinde 1-to-1NAT.
En este ejemplo, la interfaz de confianza tiene dos redes definidas y se desea permitir a los usuarios
de ambas redes obtener acceso al servidor HTTP con la direccin IP pblica o nombre de host del
servidor. Se deben agregar dos entradas NAT dinmica.
En pestaa NAT dinmica de la Configuracin de NAT, agregue:
10.0.1.0/24 - 100.100.100.5
192.168.2.0/24 - 100.100.100.5
3. Agregue una poltica para permitir a los usuarios en su red de confianza utilizar la direccin IP
pblica o el domain name para obtener acceso al servidor pblico en la red de confianza. Para este
ejemplo:
De
Cualquiera de confianza
Para
100.100.100.5
Gua del Usuario 177
La direccin IP pblica a la que los usuarios desean conectarse es 100.100.100.5. Esta direccin IP
est configurada como direccin IP secundaria en la interfaz externa.
En la seccin Hasta de la poltica, agregue 100.100.100.5.
Para obtener ms informacin acerca de cmo configurar NAT esttica, consulte Acerca de la NAT esttica
en la pgina 177.
Para obtener ms informacin acerca de cmo configurar 1-to-1 NAT, consulte Configurar el firewall 1-to-1
NAT en la pgina 168.
Acerca de la NAT esttica
NAT esttica, conocida tambin como reenvo de puerto, es una NAT de puerto-a-host. Un host enva un
paquete desde la red externa a un puerto en una interfaz externa. NAT esttica cambia la direccin IP de
destino a una direccin IP y puerto detrs del firewall. Si una aplicacin de software utiliza ms de un
puerto y los puertos se seleccionan en forma dinmica, se debe usar 1-to-1 NAT o verificar si un proxy en el
dispositivo WatchGuard administra este tipo de trfico. NAT esttica tambin funciona en el trfico enviado
desde redes que protege el dispositivo WatchGuard.
Cuando se usa NAT esttica, se utiliza una direccin IP externa de Firebox en lugar de la direccin IP de un
servidor pblico. Se puede optar por esta posibilidad o se puede utilizar en caso de que el servidor pblico
no tenga una direccin IP pblica. Por ejemplo, se puede ubicar el servidor de correo electrnico SMTP
detrs del dispositivo WatchGuard con una direccin IP privada y configurar NAT esttica en su poltica
SMTP. El dispositivo WatchGuard recibe conexiones en el puerto 25 y se asegura de que todo el trfico
SMTP se enve al servidor SMTP real detrs de Firebox.
Configurar NAT esttica
2. Haga doble clic en una poltica para editarla.
3. En la lista desplegableConexiones estn, seleccione Permitidas.
Para usar NAT esttica, la poltica debe permitir el acceso del trfico entrante.
4. Debajo de la lista Hasta, haga clic en Agregar. Haga clic en Agregar NAT.
Aparece el cuadro de dilogo Agregar NAT esttica/Balance de carga en el servidor.
Nota NAT esttica slo est disponible para polticas que usan un puerto especfico, que
incluye TCP y UDP. Una poltica que utiliza un protocolo diferente no puede usar
NAT esttica entrante. El botn NAT en el cuadro de dilogo Propiedades de esa
poltica no est disponible. Tambin se puede usar NAT esttica con la poltica
Cualquiera.
5. En el En la lista desplegable Tipo, seleccione NAT esttica.
6. En la lista desplegable Direccin IP externa, seleccione la direccin IP externa o alias que desea
utilizar en esta poltica.
Por ejemplo, puede usar NAT esttica en esta poltica para paquetes recibidos en slo una direccin
IP externa. O bien, puede usar NAT esttica para paquetes recibidos en cualquier direccin IP
externa si selecciona el alias Cualquiera externo.
7. Ingrese la direccin IP interna. Es el destino en la red opcional o de confianza.
8. Si es necesario, seleccione la casilla de verificacin Determinar puerto interno para un puerto
diferente de esta poltica. . Esto activa la traduccin de direccin de puerto (PAT).
Gua del Usuario 179
Esta funcin permite cambiar el destino del paquete no slo a un host interno especfico sino
tambin a un puerto diferente. Si selecciona esta casilla de verificacin, ingrese el nmero de
puerto o haga clic en la flecha hacia arriba o hacia abajo para seleccionar el puerto que desea
utilizar. En general, esta funcin no se utiliza.
9. Haga clic en OK para cerrar el cuadro de dilogo Agregar NAT esttica.
La ruta de NAT esttica aparece en la lista Miembros y Direcciones.
10. Haga clic en OK para cerrar el cuadro de dilogo Agregar direccin.
11. Haga clic en OK para cerrar el cuadro de dilogo Propiedades de la poltica.
Configurar Balance de carga en el servidor
Nota Para usar la funcin de balance de carga en el servidor, debe contar con un
dispositivo Firebox XCore, Peak o WatchGuard XTM y Fireware XTMcon
actualizacin Pro.
La funcin de balance de carga en el servidor en Fireware XTMest diseada para ayudarle a aumentar la
escalabilidad y el rendimiento de una red de alto trfico con mltiples servidores pblicos. Con el balance
de carga en el servidor, puede activar al dispositivo WatchGuard para que controle el nmero de sesiones
iniciadas en hasta diez servidores para cada poltica de firewall que configure. El dispositivo WatchGuard
controla la carga segn el nmero de sesiones en uso en cada servidor. El dispositivo WatchGuard no mide
ni compara el ancho de banda que usa cada servidor.
El balance de carga en el servidor se configura como parte de una regla NAT esttica. El dispositivo
WatchGuard puede balancear conexiones entre sus servidores con dos algoritmos diferentes. Cuando se
configura el balance de carga en el servidor, se debe elegir el algoritmo al que desea que se aplique el
Operacin por turnos
Si selecciona esta opcin, el dispositivo WatchGuard distribuye las sesiones entrantes entre los
servidores que se especifican en la poltica en orden de operacin por turnos. La primera conexin
se enva al primer servidor especificado en su poltica. La prxima conexin se enva al siguiente
servidor en su poltica y as sucesivamente.
Conexin menor
Si selecciona esta opcin, el dispositivo WatchGuard enva cada nueva sesin al servidor en la lista
que actualmente tiene el nmero ms bajo de conexiones abiertas al dispositivo. El dispositivo
WatchGuard no puede determinar cuntas conexiones abiertas tiene el servidor en otras interfaces.
Se pueden aplicar pesos a los servidores en la configuracin del balance de carga en el servidor para
asegurarse de que los servidores con ms capacidad reciban la carga ms pesada. De manera
predeterminada, cada interfaz tiene un peso de uno. El peso se refiere a la proporcin de carga que
el dispositivo WatchGuard enva a un servidor. Si se asigna un peso de 2 a un servidor, se duplica en
nmero de sesiones que el dispositivo WatchGuard enva a ese servidor, en comparacin con un
servidor con un peso de 1.
Cuando se configura el balance de carga en el servidor, es importante saber:
n Se puede configurar el balance de carga en el servidor para cualquier poltica a la cual se puede
aplicar NAT esttica.
n Si se aplica el balance de carga en el servidor a una poltica, no se puede configurar el enrutamiento
basado en polticas u otras reglas de NAT en la misma poltica.
n Cuando se aplica el balance de carga en el servidor a una poltica, se puede agregar un mximo de
10 servidores a la poltica.
n El dispositivo WatchGuard no modifica al remitente o la direccin IP de origen del trfico enviado a
estos dispositivos. Mientras que el trfico se enva directamente desde el dispositivo WatchGuard,
cada dispositivo que forma parte de la configuracin de balance de carga en el servidor ve la
direccin IP de origen original del trfico de red.
n Si se usa balance de carga en el servidor en una configuracin de FireCluster activa/pasiva, no
ocurre la sincronizacin en tiempo real entre los miembros del cluster cuando ocurre un evento de
conmutacin por error. Cuando la copia de seguridad principal pasiva se convierte en cluster
principal activo, enva conexiones a todos los servidores en la lista de balance de carga en el servidor
para ver cules servidores estn disponibles. Entonces aplica el algoritmo de balance de carga del
servidor a todos los servidores disponibles.
Para configurar el balance de carga en el servidor:
1. Haga doble clic en la poltica en la que desea aplicar el balance de carga en el servidor.
O bien, resalte la poltica y seleccione Editar>Modificar poltica.
Para crear una nueva poltica y activar el balance de carga en el servidor en esa poltica, seleccione
Editar>Agregar poltica.
Gua del Usuario 181
2. Debajo del campo Hasta, haga clic en Agregar.
3. Haga clic en Agregar NAT.
4. En la lista desplegable miembro, seleccione Balance de carga en el servidor.
Gua del Usuario 183
5. En la lista desplegable Direccin IP externa, seleccione la direccin IP externa o alias que desea
utilizar en esta poltica.
Por ejemplo, se puede determinar que el dispositivo WatchGuard aplique el balance de carga en el
servidor para esta poltica a paquetes recibidos en slo una direccin IP externa. O bien, se puede
determinar que el dispositivo WatchGuard aplique el balance de carga en el servidor a paquetes
recibidos en cualquier direccin IP externa si selecciona el alias Cualquiera externo.
6. En la lista desplegable Mtodo, seleccione el algoritmo deseado para que use el dispositivo
WatchGuard para el balance de carga en el servidor: Operacin por turnos o Conexin menor.
7. Haga clic en Agregar para agregar las direcciones IP de sus servidores internos para esta poltica.
Puede agregar un mximo de 10 servidores a una poltica. Tambin puede agregar peso al servidor.
De manera predeterminada, cada servidor tiene un peso de 1. El peso se refiere a la proporcin de
carga que el dispositivo WatchGuard enva a un servidor. Si se asigna un peso de 2 a un servidor, se
duplica en nmero de sesiones que el dispositivo WatchGuard enva a ese servidor, en comparacin
con un servidor con un peso de 1.
8. Para establecer sticky connections para los servidores internos, seleccione la casilla de verificacin
Activar sticky connection y configure el perodo en los campos Activar sticky connection.
Una sticky connection es una conexin que contina usando el mismo servidor durante un perodo
definido. Esta cohesin garantiza que todos los paquetes entre un par de direcciones de origen y de
destino se enven al mismo servidor durante el perodo especificado.
9. Haga clic en OK.
Ejemplos de NAT
Ejemplo de 1-to-1 NAT
Cuando se activa 1-to-1 NAT, el dispositivo Firebox o XTMcambia y enruta todos los paquetes entrantes y
salientes enviados desde un rango de direcciones a un rango de direcciones diferente.
Considere una situacin en la que se tiene un grupo de servidores internos con direcciones IP privadas,
cada una de las cuales debe mostrar una direccin IP pblica diferente al mundo exterior. Puede usar 1-to-
1 NAT para asignar direcciones IP pblicas a los servidores internos y no tiene que cambiar las direcciones
IP de sus servidores internos. Para comprender cmo configurar 1-to-1 NAT, considere este ejemplo:
Una empresa tiene un grupo de tres servidores con direcciones privadas detrs de una interfaz opcional de
su Firebox. Las direcciones de estos servidores son:
10.0.2.11
10.0.2.12
10.0.2.13
El administrador selecciona tres direcciones IP pblicas de la misma direccin de red como interfaz externa
de su Firebox y crea registros DNS para que los servidores resuelvan. Estas direcciones son:
50.50.50.11
50.50.50.12
50.50.50.13
Gua del Usuario 185
Ahora el administrador configura una regla 1-to-1 NAT para los servidores. La regla 1-to-1 NAT crea una
relacin esttica, bidireccional entre los pares correspondientes de direcciones IP. La relacin tiene el
siguiente aspecto:
10.0.2.11 <--> 50.50.50.11
10.0.2.12 <--> 50.50.50.12
10.0.2.13 <--> 50.50.50.13
Cuando se aplica la regla 1-to-1 NAT, Firebox crea el enrutamiento bidireccional y la relacin NAT entre el
grupo de direcciones IP privadas y el grupo de direcciones pblicas.
Para conocer los pasos para definir una regla 1-to-1 NAT, consulte Configurar el firewall 1-to-1 NAT.
Gua del Usuario 186
Gua del Usuario 187
9
Configuracin inalmbrica
Acerca de la configuracin inalmbrica
Cuando activa la funcin inalmbrica del dispositivo WatchGuard, puede configurar la interfaz externa para
utilizarla en forma inalmbrica o puede configurar el dispositivo WatchGuard como punto de acceso
inalmbrico para usuarios en las redes de confianza, opcionales o invitadas.
Antes de configurar el acceso a la red inalmbrica, consulte Antes de empezar en la pgina 189.
Nota Antes de activar el modo inalmbrico, debe obtener la tecla de funcin del
dispositivo.
Para ms informaciones, vea Acerca de las teclas de funcin en la pgina 61
Para activar la funcin inalmbrica en su dispositivo WatchGuard:
1. Seleccione Red > Inalmbrica.
Aparece el cuadro de dilogo Configuracin inalmbrica.
2. Seleccione la casilla de verificacin Activar inalmbrica.
3. En el cuadro de dilogo Configuracin inalmbrica,seleccione una opcin de configuracin
inalmbrica:
Activar cliente inalmbrico como interfaz externa
Esta configuracin le permite configurar la interfaz externa del dispositivo inalmbrico
WatchGuard a fin de conectarse con una red inalmbrica. Esto no resulta til en reas que
tienen una infraestructura de red limitada o nula.
Para obtener informacin sobre cmo configurar la interfaz externa en modo inalmbrico,
consulte Configurar la interfaz externa como interfaz inalmbrica en la pgina 206.
Activar puntos de acceso inalmbricos
Esta configuracin le permite configurar el dispositivo inalmbrico WatchGuard como un punto
de acceso para los usuarios en las redes de confianza, opcionales o invitadas.
Para ms informaciones, vea Acerca de las configuracin del punto de acceso inalmbrico en la
pgina 188.
4. En la seccin Configuraciones de radio, seleccione sus configuraciones de radio inalmbrico.
Para ms informaciones, vea Acerca de configuraciones de radio en Firebox XEdge e-Series
inalmbrico en la pgina 209 y Acerca de las configuraciones de radio inalmbrico en el dispositivo
inalmbrico WatchGuard XTM2 Series en la pgina 211.
5. Haga clic en OK.
Acerca de las configuracin del punto de acceso
inalmbrico
Cualquier dispositivo inalmbrico WatchGuard puede configurarse como punto de acceso inalmbrico con
tres zonas de seguridad diferentes. Puede activar otros dispositivos inalmbricos para conectar con el
dispositivo inalmbrico WatchGuard como parte de la red de confianza o parte de la red opcional. Tambin
puede activar una red de servicios inalmbricos para invitados para los usuarios de dispositivos
WatchGuard. Las computadoras que se conectan con la red invitada se conectan a travs del dispositivo
inalmbrico WatchGuard, pero no tienen acceso a las computadoras en las redes opcionales o de confianza.
Antes de activar el dispositivo inalmbrico WatchGuard como un punto de acceso inalmbrico, debe
examinar cuidadosamente los usuarios inalmbricos que se conectan con el dispositivo y determinar el
nivel de acceso que desea para cada tipo de usuario. Hay tres tipos de acceso inalmbrico que puede
habilitar:
Habilitar conexiones inalmbricas a una interfaz de confianza
Cuando habilita conexiones inalmbricas a travs de una interfaz de confianza, los dispositivos
inalmbricos tienen acceso total a todas las computadoras en las redes opcionales y de confianza, as
como acceso total a Internet segn las reglas que usted configure para el acceso saliente en su
dispositivo WatchGuard. Si activa el acceso inalmbrico a travs de una interfaz de confianza, se
recomienda especialmente que active y utilice la funcin de restriccin de MAC para habilitar el
acceso a travs del dispositivo WatchGuard slo para los dispositivos que agregue a la lista de
direcciones MAC habilitadas.
Para obtener ms informacin sobre cmo restringir el acceso a travs de direcciones MAC,
consulte Usar vnculo de direccin MAC esttico en la pgina 121.
Gua del Usuario 189
Habilitar conexiones inalmbricas a una interfaz opcional
Cuando habilita conexiones inalmbricas a travs de una interfaz opcional, esos dispositivos
inalmbricos tienen acceso total a todas las computadoras en la red opcional, as como acceso total a
Internet segn las reglas que configure para el acceso saliente en su dispositivo WatchGuard.
Habilitar conexiones de invitados inalmbricos a travs de la interfaz externa
Las computadoras que se conectan con la Wireless Guest Network se conectan a travs del
dispositivo WatchGuard a Internet segn las reglas que configure para el acceso saliente en su
dispositivo WatchGuard. Estos dispositivos no tienen acceso a las computadoras de su red opcional o
de confianza.
Para obtener ms informacin sobre cmo configurar una Wireless Guest Network, consulte Activar
una red inalmbrica para invitados en la pgina 198.
Antes de configurar el acceso a la red inalmbrica, consulte Antes de empezar en la pgina 189.
Para habilitar conexiones inalmbricas a su red opcional o de confianza, consulte Habilitar conexiones
inalmbricas a la red opcional o de confianza en la pgina 195.
Antes de empezar
Los dispositivos inalmbricos WatchGuard cumplen con las pautas 802.11n, 802.11b y 802.11g establecidas
por el Instituto de Ingenieros Elctricos y Electrnicos (IEEE). Al instalar un dispositivo inalmbrico
WatchGuard:
n Asegrese de que el dispositivo inalmbrico se instale en un lugar a ms de 20 centmetros de
distancia respecto de las personas. ste es un requisito de la Comisin Federal de Comunicaciones
(FCC) para los transmisores de baja potencia.
n Es recomendable instalar el dispositivo inalmbrico lejos de otras antenas o transmisores para
disminuir las interferencias.
n El algoritmo predeterminado de autenticacin inalmbrica que est configurado para cada zona de
seguridad inalmbrica no es el algoritmo de autenticacin ms seguro. Si los dispositivos
inalmbricos que se conectan a su dispositivo inalmbrico WatchGuard pueden funcionar
adecuadamente con WPA2, se recomienda incrementar el nivel de autenticacin a WPA2.
n Un cliente inalmbrico que se conecta con el dispositivo WatchGuard desde la red opcional o de
confianza puede ser parte de cualquier tnel de red privada virtual (VPN) para sucursales donde el
componente de la red local de la configuracin de la Fase 2 incluya direcciones IP de la red opcional
o de confianza. Para controlar el acceso al tnel VPN, puede forzar a los usuarios de dispositivos
WatchGuard para que se autentiquen.
Acerca de configuraciones
Cuando activa el acceso a la red opcional, de confianza o inalmbrica para invitados, algunas configuraciones
se definen del mismo modo para cada una de las tres zonas de seguridad. stas pueden configurarse con
distintos valores para cada zona.
Para obtener informacin sobre la configuracin de SSID de broadcast y responder a las consultas sobre la
configuracin del SSID, consulte Activar/desactivar Broadcasts de SSID en la pgina 190.
Para obtener informacin sobre cmo configurar el Nombre de red (SSID), consulte Cambiar la SSID en la
pgina 191.
Para obtener informacin sobre la configuracin Registrar eventos de autenticacin, consulte Registro
eventos de autenticacin en la pgina 191.
Para obtener informacin sobre el Umbral de fragmentacin, consulte Cambiar la umbral de
fragmentacin en la pgina 191.
Para obtener informacin sobre el Umbral de RTS, consulte Cambiar la Umbral de RTS en la pgina 193.
Para obtener informacin sobre las configuraciones de Autenticacin y de Cifrado, consulte Acerca de
configuraciones de seguridad en la pgina 194.
Activar/desactivar Broadcasts de SSID
Las computadoras con tarjetas de red inalmbrica envan solicitudes para ver si hay puntos de acceso
inalmbricos a los que pueden conectarse.
Gua del Usuario 191
Para configurar una interfaz inalmbrica de dispositivo WatchGuard a fin de enviar y responder a estas
solicitudes, seleccione la casilla de verificacin Broadcast de SSID y responder a consultas SSID. Por
razones de seguridad, active esta opcin nicamente cuando se encuentre configurando computadoras en
su red a fin de conectar el dispositivo inalmbrico WatchGuard. Desactive esta opcin una vez que todos sus
clientes estn configurados. Si utiliza la funcin de servicios inalmbricos para invitados, quiz deba habilitar
broadcasts de SSID en la operacin estndar.
Cambiar la SSID
El SSID (Identificador de conjunto de servicios) es el nombre especfico de su red inalmbrica. Para utilizar
la red inalmbrica desde la computadora de un cliente, la tarjeta de red inalmbrica en la computadora
debe tener el mismo SSID que la red inalmbrica WatchGuard a la cual se conecta la computadora.
El SO Fireware XTMasigna automticamente un SSID a cada red inalmbrica. Este SSID utiliza un formato
que contiene el nombre de la interfaz, y los dgitos entre el quinto y el noveno del nmero de serie del
dispositivo inalmbrico WatchGuard. Para cambiar el SSID, ingrese un nuevo nombre en el campo SSID para
identificar especficamente su red inalmbrica.
Registro eventos de autenticacin
Un evento de autenticacin ocurre cuando una computadora inalmbrica intenta conectarse a la interfaz
inalmbrica de un dispositivo WatchGuard. Para incluir estos eventos en el archivo de registro, marque la
casilla de verificacin Registrar eventos de autenticacin.
Cambiar la umbral de fragmentacin
Fireware XTMle permite configurar el tamao mximo de marco que el dispositivo inalmbrico
WatchGuard puede enviar sin fragmentar el marco. Esto se denomina umbral de fragmentacin. Por lo
general, esta configuracin no se cambia. La configuracin predeterminada es el tamao mximo de marco
de 2346, lo que significa que nunca fragmentar los marcos que enve a los clientes inalmbricos. Esto es lo
mejor para la mayora de los entornos.
Cundo cambiar el umbral de fragmentacin predeterminado
Cuando dos dispositivos utilizan el mismo medio para transmitir paquetes exactamente al mismo tiempo,
ocurre una colisin. Los dos paquetes pueden corromperse y el resultado es un grupo de fragmentos de
datos que no se pueden leer. Si un paquete sufre una colisin, ste debe descartarse y volver a
transmitirse. Esto se suma a la sobrecarga de la red y puede reducir el rendimiento o la velocidad de sta.
Hay ms posibilidades de que los marcos ms grandes choquen entre s que los pequeos. Para reducir los
paquetes inalmbricos, debe disminuir el umbral de fragmentacin en el dispositivo inalmbrico
WatchGuard. Si disminuye el tamao mximo de los marcos, esto puede reducir la cantidad de
transmisiones de repeticin ocasionadas por los choques y disminuir la sobrecarga ocasionada por las
transmisiones de repeticin.
Los marcos ms pequeos introducen ms sobrecarga en la red. Esto ocurre particularmente en las redes
inalmbricas debido a que cada marco fragmentado enviado desde un dispositivo inalmbrico a otro
requiere que el dispositivo receptor reconozca el marco. Cuando las tasas de error de los paquetes son
altas (mayores a un porcentaje de choques o de errores del cinco o del diez por ciento), puede mejorar el
rendimiento de la red inalmbrica si disminuye el umbral de fragmentacin. El tiempo que se ahorra al
reducir las transmisiones de repeticin puede ser suficiente para compensar la sobrecarga adicional que
agregan los paquetes ms pequeos. Esto puede dar como resultado una mayor velocidad.
Si la tasa de error de los paquetes es baja y usted reduce el umbral de fragmentacin, el rendimiento de la
red inalmbrica disminuye. Esto se produce debido a que cuando usted disminuye el umbral, se agrega
sobrecarga del protocolo y la eficiencia del protocolo se reduce.
Si desea experimentar, comience con el mximo predeterminado 2346 y disminuya el umbral de a una
pequea cantidad por vez. Para lograr un buen aprovechamiento, debe monitorear los errores de los
paquetes de la red en diferentes momentos del da. Compare el efecto que un umbral ms pequeo
produce en el rendimiento de la red cuando los errores son muy altos con el efecto en el rendimiento
cuando los errores son moderadamente altos.
En general, se recomienda dejar esta configuracin en su valor predeterminado de 2346.
Cambiar el umbral de fragmentacin
2. Seleccione la red inalmbrica que desea configurar. Junto al Punto de acceso 1, al Punto de acceso
2 o a Invitado inalmbrico, haga clic en Configurar.
Aparecen los ajustes de configuracin automtica para esa red inalmbrica.
Gua del Usuario 193
3. Para cambiar el umbral de fragmentacin, en el cuadro de texto Umbral de fragmentacin ingrese
o seleccione un valor entre 256 y 2346.
4. Haga clic en OK.
Cambiar la Umbral de RTS
RTS/CTS (Solicitar envo/Borrar envo) ayuda a evitar problemas cuando los clientes inalmbricos pueden
recibir seales de ms de un punto de acceso inalmbrico en el mismo canal. Este problema a veces se
conoce con el nombre de nodo oculto.
No se recomienda cambiar el umbral de RTS predeterminado. Cuando el umbral de RTS se configura al
valor predeterminado de 2346, RTS/CTS se desactiva.
Si debe cambiar el umbral de RTS, ajstelo en forma gradual. Redzcalo de a una pequea cantidad por vez.
Luego de cada cambio, aguarde el tiempo necesario para decidir si el cambio en el rendimiento de la red es
positivo antes de cambiarlo nuevamente. Si reduce demasiado este valor, puede introducir ms latencia en
la red, ya que las solicitudes de envo se incrementan tanto que el medio compartido se reserva con ms
frecuencia que la necesaria.
Acerca de configuraciones de seguridad
Los dispositivos inalmbricos WatchGuard utilizan tres normas de protocolo de seguridad para proteger su
red inalmbrica: WEP (privacidad equivalente por cable), WPA (Wi-Fi Protected Access ) y WPA2. Cada
norma de protocolo puede cifrar las transmisiones en la red de rea local (LAN) entre las computadoras y
los puntos de acceso. Tambin pueden impedir el acceso no autorizado al punto de acceso inalmbrico.
Tanto WEP como WPA utilizan claves compartidas iniciales. WPA y WPA2 utilizan un algoritmo para cambiar
la clave de cifrado a intervalos regulares, lo que mantiene la seguridad de los datos enviados en una
conexin inalmbrica.
Para proteger la privacidad, puede utilizar estas funciones junto con otros mecanismos de seguridad de
LAN, tales como proteccin de contrasea, tneles VPN y autenticacin de usuario.
Definir inalmbricos mtodo de autenticacin
Estn disponibles cinco mtodos de autenticacin para los dispositivos inalmbricos WatchGuard. De ser
posible, se recomienda utilizar WPA2 porque es el ms seguro. Los cinco mtodos disponibles, desde el
menos seguro al ms seguro, son:
Sistema abierto
La autenticacin de sistema abierto permite a cualquier usuario autenticar el punto de acceso. Este
mtodo se puede utilizar sin cifrado o con cifrado de privacidad equivalente por cable (WEP).
Clave compartida
Enlaautenticacinde clavecompartida, slopuedenconectarseaquellos clientesinalmbricos que
tenganlaclavecompartida. Laautenticacindeclave compartidaslopuedeutilizarse concifradoWEP.
Slo WPA (PSK)
Cuando utiliza WPA (Wi-Fi Protected Access) con claves compartidas iniciales, se otorga a cada
usuario inalmbrico la misma contrasea para autenticar el punto de acceso inalmbrico.
WPA/WPA2 (PSK)
Cuando selecciona la autenticacin WPA/WPA2 (PSK), Edge acepta conexiones desde dispositivos
inalmbricos configurados para utilizar WPA o WPA2.
SLO WPA2 (PSK)
La autenticacin WPA2 con claves compartidas iniciales implementa la norma 802.11i completa y es
el mtodo de autenticacin ms seguro. No funciona con algunas tarjetas de red inalmbrica
anteriores.
Definir nivel de cifrado
En la lista desplegable Cifrado, seleccione el nivel de cifrado para las conexiones inalmbricas. Las
selecciones disponibles cambian cuando utiliza mecanismos de autenticacin diferentes. El sistema
operativo de Fireware XTMcrea automticamente una encryption key (clave de cifrado) aleatoria cuando
sta resulta necesaria. Puede utilizar esta clave o cambiarla por una distinta. Cada cliente inalmbrico debe
utilizar esta misma clave cuando se conecte al dispositivo Firebox o XTM.
Gua del Usuario 195
Autenticacin por sistema abierto y por Clave compartida
Las opciones de cifrado para la autenticacin por sistema abierto y por clave compartida son WEP
hexadecimal de 64 bits, WEP ASCII de 40 bits, WEP hexadecimal de 128 bits y WEP ASCII de 128 bits. Si
selecciona la autenticacin de sistema abierto, tambin puede seleccionar Sin cifrado.
1. Si utiliza el cifrado WEP, en los cuadros de texto Clave, ingrese caracteres hexadecimales o ASCII. No
todos los controladores de adaptadores inalmbricos admiten caracteres ASCII. Puede tener un
mximo de cuatro claves.
n Una clave WEP hexadecimal de 64 bits debe tener 10 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 40 bits debe tener 5 caracteres.
n Una clave WEP hexadecimal de 128 bits debe tener 26 caracteres hexadecimales (0-f).
n Una clave WEP ASCII de 128 bits debe tener 13 caracteres.
2. Si ingres ms de una clave, en la lista desplegable ndice de claves, seleccione la clave que desea
utilizar de manera predeterminada.
El dispositivo Firebox o XTMinalmbrico slo puede usar una encryption key por vez. Si seleccion
una clave distinta de la primera clave en la lista, tambin debe configurar su cliente inalmbrico para
que utilice la misma clave.
Autenticacin WPA y WPA2 PSK
Las opciones de cifrado para los mtodos de autenticacin de el acceso protegido Wi-Fi (WPA-PSK y WPA2-
PSK) son:
n TKIP Slo use TKIP (Protocolo de integridad de clave temporal) para el cifrado. Esta opcin no
est disponible para los modos inalmbricos que admiten 802.11n.
n AES Slo utilice AES (Estndar de cifrado avanzado) para el cifrado.
n TKIP o AES Utilice TKIP o AES.
Le recomendamos que seleccione TKIP o AES. Esto permite que el dispositivo inalmbrico Firebox o XTM
acepte conexiones de clientes inalmbricos configurados para utilizar cifrado TKIP o AES. En el caso de los
clientes inalmbricos 802.11n, le recomendamos que configure el cliente inalmbrico para utilizar el
cifrado AES.
Habilitar conexiones inalmbricas a la red
opcional o de confianza
Para habilitar conexiones inalmbricas a su red opcional o de confianza:
2. Seleccione la casilla de verificacin Activar modo inalmbrico.
3. Seleccione Activar puntos de acceso inalmbricos.
4. Junto al Punto de acceso 1 o al Punto de acceso 2, haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin del punto de acceso inalmbrico.
5. Seleccione la casilla de verificacin Activar bridge inalmbrico a una interfaz opcional o de
confianza.
6. En la lista desplegable junto a Activar bridge inalmbrico a una interfaz opcional o de confianza,
seleccione una interfaz opcional o de confianza.
De confianza
Gua del Usuario 197
Cualquier cliente inalmbrico en la red de confianza tiene acceso total a las computadoras en
las redes opcionales y de confianza, y acceso a Internet segn lo definen las reglas de firewall
saliente en su dispositivo WatchGuard.
Si el cliente inalmbrico configura la direccin IP en su tarjeta de red inalmbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
Opcional
Cualquier cliente inalmbrico en la red opcional tiene acceso total a las computadoras en la red
opcional y acceso a Internet segn lo definen las reglas de firewall saliente en su dispositivo
WatchGuard.
Si el cliente inalmbrico configura la direccin IP en su tarjeta de red inalmbrica con DHCP, el servidor
DHCP en la red opcional de Edge debe estar activo y configurado.
7. Para configurar la interfaz inalmbrica para enviar y responder a las solicitudes de SSID, seleccione la
casilla de verificacin Broadcast de SSID y responder a consultas SSID.
Para obtener informacin sobre esta configuracin, consulte Activar/desactivar Broadcasts de SSID
en la pgina 190.
8. Seleccione la casilla de verificacin Registrar eventos de autenticacin si desea que el dispositivo
WatchGuard enve un mensaje de registro al archivo de registro cada vez que una computadora
inalmbrica intenta conectase con la interfaz.
Para ms informaciones acerca de registros, vea Registro eventos de autenticacin en la pgina 191.
9. Para requerir que los usuarios inalmbricos utilicen Mobile VPN con el cliente IPSec, seleccione la
casilla de verificacin Requerir Mobile VPN cifrado con conexiones IPSec para clientes
inalmbricos.
Cuando selecciona esta casilla de verificacin, los nicos paquetes que Firebox habilita a travs de la
red inalmbrica son DHCP, ICMP, IKE (UDP puerto 500), ARP e IPSec (protocolo IP 50). Si requiere
que los usuarios inalmbricos utilicen Mobile VPN con el cliente IPSec, se puede incrementar la
seguridad para los clientes inalmbricos si no selecciona WPA o WPA2 como el mtodo de
autenticacin inalmbrica.
10. En el cuadro de texto Nombre de red (SSID), ingrese un nombre especfico para su red opcional
inalmbrica o utilice el nombre predeterminado.
Para obtener informacin sobre cmo cambiar el SSID, consulte Cambiar la SSID en la pgina 191.
un valor: 2562346. No se recomienda cambiar esta configuracin.
Para obtener ms informacin sobre esta configuracin, consulte Cambiar la umbral de
12. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin para activar las conexiones
inalmbricas con la interfaz opcional. Recomendamos utilizar WPA2 si los dispositivos inalmbricos
de la red son compatibles con WPA2.
Para obtener ms informacin sobre esta configuracin, consulte Definir inalmbricos mtodo de
autenticacin.
13. En la lista desplegable Cifrado, seleccione el tipo de cifrado que desea utilizar para la conexin
inalmbrica y agregue las claves o las contraseas requeridas para el tipo de cifrado que seleccione.
Si selecciona una opcin de cifrado con claves compartidas iniciales, se genera una clave compartida
inicial aleatoria para usted. Puede usar esta clave o ingresar una propia.
Para ms informaciones, vea Definir nivel de cifrado en la pgina 194.
Nota Si activa conexiones inalmbricas con la interfaz de confianza, se recomienda
restringir el acceso mediante una direccin MAC. Esto impideque los usuarios se
conecten con el dispositivo inalmbrico WatchGuard desdecomputadoras no
autorizadas que podran contener virus o spyware. Haga clic en la pestaa Control
de acceso MAC para activar el control de acceso MAC. Debeutilizar esta pestaa de
la misma manera en querestringe el trfico dered en una interfaz segn sedescribe
en Restringir el trfico dered mediantela direccin MAC en la pgina 114.
Para configurar una Wireless Guest Network sin acceso a las computadoras en sus redes opcionales o de
confianza, consulte Activar una red inalmbrica para invitados en la pgina 198.
Activar una red inalmbrica para invitados
Puede activar una Wireless Guest Network para proveer a un usuario invitado acceso inalmbrico a Internet
sin acceso a las computadoras en sus redes opcionales o de confianza.
Para configurar una Wireless Guest Network:
3. Seleccione Activar puntos de acceso inalmbricos.
4. Junto a Invitado inalmbrico, haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de invitado inalmbrico.
Gua del Usuario 199
5. Seleccione la casilla de verificacin Activar Wireless Guest Network.
Se permiten conexiones inalmbricas a Internet a travs del dispositivo WatchGuard segn las reglas
que usted haya configurado para el acceso saliente en su dispositivo. Estas computadoras no tienen
acceso a las computadoras de su red opcional o de confianza.
6. En el cuadro de texto DireccinIP, ingrese la direccin IPprivada que utilizar con la Wireless Guest
Network. La direccin IPque ingrese no debe estar en uso en una de sus interfaces de red.
7. En el cuadro de dilogo Mscara de subred, ingrese la mscara de subred. El valor correcto
generalmente es 255.255.255.0.
8. Para configurar el dispositivo WatchGuard como un servidor DHCP cuando un dispositivo
inalmbrico intenta realizar una conexin, seleccione la casilla de verificacin Activar servidor DHCP
en la Wireless Guest Network.
Para obtener ms informacin sobre cmo establecer la configuracin para el servidor DHCP,
consulte Configurar el DHCP en modo de enrutamiento mixto en la pgina 100.
9. Haga clic en la pestaa Inalmbrica para ver las configuraciones de seguridad para la Wireless Guest
Network.
Aparecen las configuraciones inalmbricas.
10. Seleccione la casilla de verificacin SSID de broadcast y responder a consultas SSID para que su
nombre de Wireless Guest Network est visible para los usuarios invitados.
Para obtener informacin sobre esta configuracin, consulte Activar/desactivar Broadcasts de SSID
en la pgina 190.
11. Para enviar un mensaje de registro al archivo de registro cada vez que una computadora inalmbrica
intenta conectarse con la Wireless Guest Network, seleccione la casilla de verificacin Registrar
eventos de autenticacin.
Para ms informaciones acerca de registros, vea Registro eventos de autenticacin en la pgina 191.
12. Para permitir que los usuarios inalmbricos invitados se enven trfico entre s, desmarque la casilla
de verificacin Prohibir trfico de red inalmbrica de cliente a cliente.
13. En el cuadro de texto Nombre de red (SSID), ingrese un nombre especfico para su Wireless Guest
Network o utilice el nombre predeterminado.
Para obtener informacin sobre cmo cambiar el SSID, consulte Cambiar la SSID en la pgina 191.
un valor: 2562346. No se recomienda cambiar esta configuracin.
Para obtener ms informacin sobre esta configuracin, consulte Cambiar la umbral de
Gua del Usuario 201
15. Enlalistadesplegable Autenticacin, seleccione el tipode autenticacinparaactivar las conexiones a
laWireless Guest Network. Laconfiguracinque elijadependerdel tipode accesoalos invitados que
desee proveer y de si desearequerir que sus invitados ingresenunacontraseaparautilizar lared.
Para obtener ms informacin sobre esta configuracin, consulte Definir inalmbricos mtodo de
autenticacin en la pgina 194.
Para ms informaciones, vea Definir nivel de cifrado en la pgina 194.
Tambin puede restringir el acceso a la red invitada mediante una direccin MAC. Haga clic en la pestaa
Control de acceso MAC para activar el control de acceso MAC. Debe utilizar esta pestaa de la misma
manera en que restringe el trfico de red en una interfaz segn se describe en Restringir el trfico de red
mediante la direccin MAC en la pgina 114.
Activar un hotspot inalmbrico
Puede configurar su red inalmbrica para invitados WatchGuard XTM2 Series o Firebox X Edge e-Series
como un hotspot inalmbrico para brindarles acceso a Internet a sus visitas o a sus clientes. Cuando activa la
funcin de hotspot, tiene ms control sobre las conexiones a su red inalmbrica para invitados.
Cuando configura su dispositivo como hotspot inalmbrico, usted puede personalizar:
n La pantalla de presentacin que ven los usuarios cuando se conectan
n Trminos y condiciones que los usuarios deben aceptar antes de poder navegar a un sitio web
n Duracin mxima de la conexin continua de un usuario
Cuando activa la funcin de hotspot inalmbrico, se crea automticamente la poltica Permitir usuarios de
hotspot. Esta poltica permite las conexiones desde la interfaz inalmbrica para invitados a sus interfaces
externas. Esto provee a los usuarios del hotspot inalmbrico un acceso inalmbrico a Internet sin acceso a
las computadoras en sus redes opcionales o de confianza.
Antes de configurar un hotspot inalmbrico, debe establecer la configuracin de su red inalmbrica para
invitados como se describe en Activar una red inalmbrica para invitados.
Para configurar el hotspot inalmbrico:
2. Junto a Invitado inalmbrico, haga clic en Configurar.
3. En el cuadro de dilogo Configuracin de invitado inalmbrico, seleccione la pestaa Hotspot.
4. Marque la casilla de seleccin Activar hotspot.
Establecer la configuracin del tiempo de espera
Puede establecer configuraciones de tiempo de espera para limitar la cantidad de tiempo que los usuarios
pueden utilizar su hotspot de manera continua. Cuando se vence el perodo de espera, el usuario es
desconectado. Cuando un usuario es desconectado, pierde toda conexin a Internet pero permanece
conectado a la red inalmbrica. Vuelve a aparecer la pantalla de presentacin del hotspot y el usuario debe
volver a aceptar los Trminos y condiciones antes de poder continuar utilizando el hotspot inalmbrico.
1. En el cuadro de texto Agotamiento de la sesin, especifique la cantidad mxima de tiempo durante
la cual un usuario puede permanecer continuamente conectado a su hotspot. Puede especificar la
unidad de tiempo mediante la lista desplegable adyacente. Si el Agotamiento de la sesin se
configura en 0 (el valor predeterminado), los usuarios inalmbricos invitados no son desconectados
despus de un intervalo de tiempo especificado.
2. En el cuadro de texto Tiempo de espera inactivo, especifique la cantidad de tiempo que un usuario
debe permanecer inactivo para que expire la conexin. Puede especificar la unidad de tiempo
mediante la lista desplegable adyacente. Si el Tiempo de espera inactivo se configura en 0, los
usuarios no son desconectados si no envan ni reciben trfico.
Personalizar la pantalla de presentacin del hotspot
Cuando los usuarios se conectan a su hotspot, ven una pantalla de presentacin, o un sitio web que deben
visitar antes de poder navegar a otros sitios web. Puede configurar el texto que aparece en esta pgina,
como tambin el aspecto de la pgina. Tambin puede redirigir al usuario a una pgina web especificada
despus que acepte los trminos y condiciones.
Como mnimo, debe especificar el Ttulo de la pgina y los Trminos y condiciones para activar esta
funcin.
1. En el cuadro de texto Ttulo de la pgina, ingrese el ttulo que desea que aparezca en la pgina de
presentacin del hotspot.
Gua del Usuario 203
2. Para incluir un mensaje de bienvenida:
n Marque la casilla de seleccin Mensaje de bienvenida.
n En el cuadro de texto Mensaje de bienvenida, ingrese el mensaje que vern los usuarios
cuando se conecten al hotspot.
3. (Opcional) Para usar un logotipo personalizado en la pantalla de presentacin:
n Marque la casilla de seleccin Utilizar un logotipo personalizado.
n Haga clic en Subir para cargar el archivo de su logotipo personalizado.
El archivo debe estar en un formato .jpg, .gif o .png. Le recomendamos que la imagen no sea
mayor de 90 x 50 (ancho x altura) pxeles o 50kB.
3. En el cuadro de texto Trminos y condiciones, ingrese o pegue el texto que desea que los usuarios
acepten antes de poder utilizar el hotspot. La longitud mxima es de 20.000 caracteres.
4. Para redirigir automticamente a los usuarios a un sitio web despus de que aceptan los Trminos y
condiciones, en el cuadro de texto URL de redireccin, ingrese la URL del sitio web.
5. Puede personalizar las fuentes y los colores de su pgina de bienvenida:
n Fuente: Seleccione la fuente en la lista desplegable Fuente. Si no especifica una fuente, la
pgina de bienvenida utiliza la fuente predeterminada del navegador para cada usuario.
n Tamao: Seleccione el tamao del texto en la lista desplegable Tamao. El tamao
predeterminado del texto es Mediano.
n Color del texto: ste es el color para el texto en la pantalla de presentacin del hotspot. El color
predeterminado es el #000000 (negro). El color configurado aparece en un recuadro
adyacente al cuadro de texto Color del texto. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el cdigo de color HTML
en el cuadro de texto Color del texto.
n Color de fondo: ste es el color utilizado para el fondo de la pantalla de presentacin del
hotspot. El color predeterminado es el #FFFFFF (blanco). El color configurado aparece en un
recuadro adyacente al cuadro de texto Color de fondo. Haga clic en el recuadro coloreado para
seleccionar un color diferente en la paleta de colores. O bien, ingrese el cdigo de color HTML
en el cuadro de texto Color de fondo.
7. Haga clic en la Vista previa de la pantalla de presentacin.
Aparece el cuadro de dilogo Vista previa de la pantalla de presentacin. Este cuadro de dilogo muestra el
ttulo de la pgina, el mensaje de bienvenida y los trminos y condiciones configurados.
Nota En el Policy Manager, el cuadro de dilogo Vista previa de la pantalla de
presentacin no muestra la fuente ni el tamao seleccionados para el texto. Para
ver las fuentes seleccionadas en la pantalla de presentacin, debe guardar la
configuracin y conectarse al hotspot, o bien, utilizar la Fireware XTMWeb UI para
obtener la vista previa en la pgina de configuracin del hotspot inalmbrico para
invitados.
7. Haga clic en OK para cerrar el cuadro de dilogo de vista previa..
8. Haga clic en OK para guardar la configuracin.
Conctese a un hotspot inalmbrico
Despus de configurar su hotspot inalmbrico, puede conectarse a ste para ver su pantalla de
presentacin.
1. Utilice un cliente inalmbrico para conectase a su red inalmbrica para invitados. Utilice el SSID y
cualquier otra configuracin que haya establecido para la red inalmbrica para invitados.
2. Abra un explorador web. Navegue a cualquier sitio web.
Aparecer la pantalla de presentacin del hotspot inalmbrico en el navegador.
Gua del Usuario 205
3. Marque la casilla de seleccin He ledo y acepto los trminos y condiciones.
4. Haga clic en Continuar.
El navegador muestra la URL original que solicit. O bien, si el hotspot est configurado para redirigir
automticamente el navegador a una URL, el navegador se dirigir a ese sitio web.
El contenido y el aspecto de la pantalla de presentacin del hotspot puede establecerse en la configuracin
del hotspot para su red inalmbrica para invitados.
La URL de la pantalla de presentacin del hotspot inalmbrico es:
https://<IP address of the wireless guest network>:4100/hotspot.
Consulte Conexiones hotspot inalmbricas
Cuando activa la funcin de hotspot inalmbrico, puede consultar informacin acerca de la cantidad de
clientes que estn conectados. Tambin puede desconectar clientes inalmbricos.
Para ver la lista de clientes hotspot inalmbricos conectados:
1. Iniciar el Firebox System Manager y conectarse a su dispositivo inalmbrico.
2. Seleccione la pestaa Lista de autenticacin.
3. Haga clic en Clientes hotspot.
Aparecer la direccin IP y la direccin MAC para cada cliente inalmbrico conectado.
Para desconectar a un cliente hotspot inalmbrico, desde la pgina Clientes hotspot inalmbricoscuadro de
dilogo:
1. Seleccione un cliente hotspot inalmbrico conectado o varios.
2. Haga clic en Desconectar.
Configurar la interfaz externa como interfaz
inalmbrica
En reas con infraestructura de red limitada o inexistente, se puede utilizar el dispositivo inalmbrico
WatchGuard para proporcionar acceso seguro a la red. Debe conectar fsicamente los dispositivos de red al
dispositivo WatchGuard. Luego, configure la interfaz externa para que se conecte a un punto de acceso
inalmbrico que se conecta a una red ms grande.
Nota Cuando la interfaz externa se configura con una conexin inalmbrica, el
dispositivo inalmbrico WatchGuard ya no puede usarse como punto de acceso
inalmbrico. Para proporcionar acceso inalmbrico a los usuarios, conecte un
dispositivo de punto de acceso inalmbrico al dispositivo inalmbrico
WatchGuard.
Configurar la interfaz externa principal como interfaz
inalmbrica
3. Seleccione Activar cliente inalmbrico como interfaz externa.
Aparece la configuracin de interfaz externa.
5. En la lista desplegable Modo configuracin, seleccione una opcin:
Configuracin manual
Para usar una direccin IP esttica, seleccione esta opcin. Ingrese la Direccin IP, Mscara de
subred y Puerta de enlace predeterminada.
Gua del Usuario 207
Cliente DHCP
Para configurar la interfaz externa como cliente DHCP, seleccione esta opcin. Ingrese la
configuracin de DHCP.
Para obtener ms informacin acerca de cmo configurar la interfaz externa para usar una
direccin IP esttica o DHCP, consulte Configurar una interfaz externa en la pgina 96.
6. Haga clic en la pestaa Inalmbrico.
Aparece la configuracin de cliente inalmbrico.
7. En el cuadro de texto Nombre de red (SSID), ingrese un nombre nico para la red externa
inalmbrica.
8. En la lista desplegable Autenticacin, seleccione el tipo de autenticacin que desea activar para las
conexiones inalmbricas. Recomendamos utilizar WPA2 si los dispositivos inalmbricos de la red son
compatibles con WPA2.
Para obtener ms informacin acerca de los mtodos de autenticacin inalmbrica, consulte Acerca
de configuraciones de seguridad en la pgina 194.
Configurar un tnel BOVPN para seguridad adicional
Para crear un puente inalmbrico y proporcionar ms seguridad, agregue un tnel BOVPN entre el
dispositivo WatchGuard y la puerta de enlace externa. Se debe configurar el Modo agresivo en los
parmetros de Fase 1 de la configuracin de BOVPN en ambos dispositivos.
Para obtener informacin acerca de cmo configurar un tnel BOVPN, consulte Acerca de tneles BOVPN
manuales en la pgina 828.
Gua del Usuario 209
Acerca de configuraciones de radio en Firebox X
Edge e-Series inalmbrico
Los dispositivos inalmbricos WatchGuard utilizan seales de radiofrecuencia para enviar y recibir trfico
desde las computadoras con tarjetas de Ethernet inalmbrico. Varias configuraciones son especficas segn
la seleccin del canal.
Para ver o cambiar las configuraciones de radio:
Las Configuraciones de radio aparecen en la parte inferior de este cuadro de dilogo.
Configurar la regin operativa y el canal
Cuando activa el modo inalmbrico, debe configurar la regin operativa inalmbrica.
1. En la lista desplegable Regin operativa, seleccione la regin operativa que mejor describa la
ubicacin de su dispositivo.
La lista de regiones operativas inalmbricas que puede seleccionar en su Firebox puede ser
diferente segn dnde lo haya adquirido.
2. En la lista desplegable Canal, seleccione un canal o seleccione Automtico.
Si configura el canal en Automtico, el dispositivo inalmbrico WatchGuard selecciona
automticamente el canal con la seal disponible ms fuerte en su ubicacin fsica.
Debido a los requisitos normativos de las distintas partes del mundo, no todos los canales inalmbricos estn
disponibles en todas las regiones. Esta tabla incluye los canales disponibles para cada regin operativa
compatible en Firebox X Edge e-Series inalmbrico.
Canal
Frecuencia
central
(MHz)
Amrica Asia
Australia
&Nueva
Zelanda
Europa,
Medio
Oriente y
frica
(EMEA)
Francia Israel Japn Taiwn
Repblica
Popular
de China
1 2412 S S S S -- -- S S S
2 2417 S S S S -- -- S S S
3 2422 S S S S -- S S S S
4 2427 S S S S -- S S S S
5 2432 S S S S -- S S S S
6 2437 S S S S -- S S S S
7 2442 S S S S -- S S S S
8 2447 S S S S -- S S S S
9 2452 S S S S -- S S S S
10 2457 S S S S S -- S S S
11 2462 S S S S S -- S S S
12 2467 -- -- S S S -- S -- S
13 2472 -- -- S S S -- S -- S
14 2484 -- -- -- -- -- -- S -- --
Definir modo de operacin inalmbrica
La mayora de las tarjetas inalmbricas pueden operar slo en modo de 802.11b (hasta 11 MB/segundo) o
de 802.11g (54 MB/segundo). Para establecer el modo operativo para el dispositivo inalmbrico
WatchGuard, seleccione una opcin en la lista desplegable Modo inalmbrico. Existen tres modos
inalmbricos:
802.11b solamente
Este modo limita el dispositivo inalmbrico WatchGuard para que se conecte con dispositivos que
estn slo en el modo 802.11b.
802.11g solamente
Este modo limita el dispositivo inalmbrico WatchGuard para que se conecte con dispositivos que
estn slo en el modo 802.11g.
Gua del Usuario 211
802.11g y 802.11b
ste es el modo predeterminado y la configuracin recomendada. Este modo le permite al
dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11b u 802.11g. El dispositivo
WatchGuard funciona en el modo 802.11g solamente si todas las tarjetas inalmbricas que estn
conectadas al dispositivo utilizan el modo 802.11g. Si alguno de los clientes 802.11b se conecta al
dispositivo, todas las conexiones automticamente pasan al modo 802.11b.
Acerca de las configuraciones de radio
inalmbrico en el dispositivo inalmbrico
WatchGuard XTM2 Series
Los dispositivos inalmbricos WatchGuard utilizan seales de radiofrecuencia para enviar y recibir trfico
desde las computadoras con tarjetas de Ethernet inalmbrico. Las configuraciones de radio disponibles para
el dispositivo inalmbrico WatchGuard XTM2 Series son distintas de las del dispositivo inalmbrico Firebox
XEdge e-Series.
Para ver o cambiar las configuraciones de radio:
Las Configuraciones de radio aparecen en la parte inferior de este cuadro de dilogo.
El pas se configura automticamente
Debido a los requisitos normativos de las distintas partes del mundo, no se pueden utilizar todas las
configuraciones de radio inalmbrico en todos los pases. Cada vez que enciende el dispositivo inalmbrico
XTM2 Series, el dispositivo se contacta con un servidor WatchGuard para determinar el pas y la
configuracin de radio inalmbrico permitido para ese pas. Para hacer esto, el dispositivo debe tener una
conexin a Internet. Una vez que se determina el pas, puede establecer todas las configuraciones de radio
inalmbrico compatibles que puedan utilizarse en ese pas.
Cuando configura un dispositivo inalmbrico XTM2 Series por primera vez, es posible que la pgina
Configuracin inalmbrica en el Policy Manager no muestre el pas. Una vez que el dispositivo XTM2 Series
se conecta a Internet por primera vez, el Policy Manager debe conectarse con el dispositivo WatchGuard
para obtener la configuracin del pas, si sta ha sido determinada.
Para actualizar la configuracin del Policy Manager con la configuracin del pas desde el dispositivo XTM2
Series:
1. Haga clic en Descargar.
Aparece el cuadro de dilogo Bajar informacin de pas.
2. Ingrese la frase de contrasea de estado de Firebox (slo de lectura).
El Pas se actualiza para mostrar el pas en el dispositivo XTM2 Series
En el cuadro de dilogo Configuracin inalmbrica, la configuracin de Pas muestra en qu pas el
dispositivo detecta que se encuentra. No se puede cambiar la configuracin de Pas. Las opciones
disponibles para las dems configuraciones de radio se basan en los requisitos normativos del pas en donde
el dispositivo detecta que se encuentra.
Nota Si el Policy Manager an no est conectado con el dispositivo XTM2 Series o si el
dispositivo XTM2 Series no puede conectarse con el servidor WatchGuard, no se
podr saber cul es el pas. En este caso, slo podr seleccionar en el conjunto
limitado de configuraciones de radio inalmbrico permitidas en todos los pases. El
dispositivo inalmbrico XTM2 Series contina intentando conectarse
peridicamente al servidor WatchGuard para determinar el pas y las
configuraciones de radio inalmbrico permitidas.
Si el dispositivo 2 Series an no tiene una regin configurada o si la regin no est actualizada, puede forzar
el dispositivo para actualizar la regin de radio inalmbrico.
Para actualizar la regin de radio inalmbrico:
Gua del Usuario 213
1. Iniciar el Firebox System Manager
2. Seleccione Herramientas > Actualizar regin de radio inalmbrico.
El dispositivo 2 Series se contacta con un servidor WatchGuard para determinar la regin operativa actual.
Seleccionar el modo de banda y el modo inalmbrico
El dispositivo WatchGuard XTM2 Series admite dos bandas inalmbricas diferentes: 2.4 GHz y 5 GHz. La
banda que selecciona y el pas determinan los modos inalmbricos disponibles. Seleccione la Banda que
admite el modo inalmbrico que desea utilizar. Luego seleccione el modo en la lista desplegable Modo
inalmbrico.
La banda 2.4 GHz admite estos modos inalmbricos:
802.11n, 802.11g y 802.11b
ste es el modo predeterminado en la banda 2.4 GHz y es la configuracin recomendada. Este modo
le permite al dispositivo WatchGuard conectarse con los dispositivos que utilizan 802.11n, 802.11g u
802.11b.
802.11g y 802.11b
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse con los dispositivos que
utilizan 802.11g u 802.11b.
SLO 802.11b
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11b.
La banda 5 GHz admite estos modos inalmbricos:
802.11a y 802.11n
ste es el modo predeterminado en la banda 5 GHz. Este modo le permite al dispositivo inalmbrico
WatchGuard conectarse con los dispositivos que utilizan 802.11a u 802.11n.
SLO 802.11a
Este modo le permite al dispositivo inalmbrico WatchGuard conectarse solamente con los
dispositivos que utilizan 802.11a.
Nota Si elige un modo inalmbrico que admite varias normas 802.11, el rendimiento
general puede disminuir considerablemente. Esto se debe en parte a la necesidad
de admitir protocolos de proteccin para la retrocompatibilidad cuando los
dispositivos que utilizan modos ms lentos estn conectados. Adems, los
dispositivos ms lentos tienden a dominar la velocidad porque puede llevar mucho
ms tiempo enviar o recibir la misma cantidad de datos a los dispositivos que
utilizan un modo ms lento.
La banda 5 GHz provee ms rendimiento que la banda 2.4 GHz, pero puede no ser compatible con todos los
dispositivos inalmbricos. Seleccione la banda y el modo segn las tarjetas inalmbricas de los dispositivos
que se conectarn con el dispositivo inalmbrico WatchGuard.
Seleccionar el canal
Los canales disponibles dependen del pas y del modo inalmbrico que seleccione. En forma
predeterminada, el Canal se configura en Automtico. Cuando el canal se configura en Automtico, el
dispositivo inalmbrico 2-Series selecciona automticamente un canal silencioso de la lista disponible en la
banda que usted ha seleccionado. O puede seleccionar un canal especfico de la lista desplegable Canal.
Configurar la de red invitada inalmbrica en su
computadora
Estas instrucciones son para el sistema operativo Windows XP con Service Pack 2. Para obtener
instrucciones de instalacin para otros sistemas operativos, consulte la documentacin o los archivos de
ayuda de su sistema operativo.
1. Seleccione Iniciar > Configuracin >Panel de control > Conexiones de red.
Aparece el cuadro de dilogo Conexiones de red.
2. Haga clic con el botn derecho en Conexin de red inalmbrica y seleccione Propiedades.
Aparece el cuadro de dilogo Conexin de red inalmbrica.
3. Seleccione la pestaa Redes inalmbricas.
4. Debajo de Redes preferidas, haga clic en Agregar.
Aparece el cuadro de dilogo Propiedades de red inalmbrica.
5. Ingrese el SSID en el cuadro de dilogo Nombre de red (SSID).
6. Seleccione los mtodos de autenticacin de red y el cifrado de datos en las listas desplegables. Si es
necesario, desmarque la casilla de verificacin La clave se provee en forma automtica e ingrese la
clave de red dos veces.
7. Haga clic en OK para cerrar el cuadro de dilogo Propiedades de red inalmbrica.
8. Haga clic en Ver redes inalmbricas.
Todas las conexiones inalmbricas disponibles aparecen en el cuadro de texto Redes disponibles.
9. Seleccione el SSID de la red inalmbrica y haga clic en Conectar.
Si la red utiliza cifrado, ingrese la clave de red dos veces en el cuadro de texto Conexin de red
inalmbrica y haga clic en Conectar nuevamente.
10. Configure la computadora inalmbrica para utilizar la configuracin dinmica de host (DHCP).
Gua del Usuario 215
10
Dynamic Routing
Acerca de dynamic routing
Un protocolo de enrutamiento es un lenguaje que un enrutador usa con otros enrutadores para compartir
informacin acerca del estado de las tablas de enrutamiento de red. Con el enrutamiento esttico, las tablas
de enrutamiento son definidas y no cambian. Si un enrutador en un camino remoto falla, no se puede
enviar un paquete a su destino. El dynamic routing hace que las actualizaciones automticas enruten tablas
a medida que cambia la configuracin de una res.
Nota El soporte para algunos protocolos de dynamic routing est disponible slo en el
Fireware XTMcon actualizacin Pro. El dynamic routing no es soportado en el
Firebox X Edge E-Series.
El Fireware XTMsoporta los protocolos RIP v1 y RIP v2. El Fireware XTMcon actualizacin Pro soporta los
protocolos RIP v1, RIP v2, OSPF y BGP v4.
Acerca de archivos de configuracin de demonio
de enrutamiento.
Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuracin de dynamic routing para el demonio de enrutamiento elegido. Ese archivo de
configuracin incluye informaciones como contrasea y nombre del archivo de registro. Para ver una
muestra de archivos de configuracin para cada protocolo de enrutamiento, vea estos tpicos:
n Muestra de archivo de configuracin del enrutamiento RIP
n Muestra de archivo de configuracin del enrutamiento OSPF
n Muestra de archivo de configuracin del enrutamiento BGP
Notas acerca de los archivos de configuracin:
n Los caracteres "!" y "#" son puestos antes de los comentarios, que son lneas de texto en archivos de
configuracin que explican la funcin de los comandos siguientes. Si el primer caracter de una lnea
es un caracter de comentario, entonces el resto de la lnea ser interpretado como un comentario.
n Puede usar la palabra "no" al principio de la lnea para desactivar un comando. Por ejemplo: "no red
10.0.0.0/24 rea 0.0.0.0" desactiva el rea de backbone en la red especificada.
Acerca del Protocolo de Informacin de
Enrutamiento (RIP)
El Protocolo de Informacin de Enrutamiento (RIP, en sus siglas en ingls) es usado para administrar
informacin de enrutadores en una red autocontenida, tal como una LAN corporativa o una WAN privada.
Con el RIP, el host de puerta de enlace enva su tabla de enrutamiento al enrutador ms cercano a cada 30
segundos. Ese enrutador enva el contenido de sus tablas de enrutamiento a los enrutadores vecinos.
El RIP es mejor para redes pequeas. Eso es as porque la transmisin de la tabla de enrutamiento completa
a cada 30 segundos puede poner una carga grande de trfico en la red y porque las tablas de RIP se limitan
a 15 saltos. El OSPF es una mejor opcin para grandes redes.
Hay dos versiones del RIP. RIP v1 usa la difusin de UDP a travs del puerto 520 para enviar actualizaciones
a las tablas de enrutamiento. RIP v2 usa la multidifusin para enviar actualizaciones de tabla de
enrutamiento.
Comandos del Protocolo de Informacin de Enrutamiento (RIP)
La tabla siguiente es un catlogo de comandos de enrutamiento soportados por RIP v1 y RIP v2 que pueden
ser usados para crear o modificar un archivo de configuracin de enrutamiento. Si usa RIP v2, debe incluir
la Subnet Mask con cualquier comando que usa una direccin IP de red o el RIP v2 no funcionar. Las
secciones deben aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
Seccin Comando Descripcin
Defina una contrasea simple o una autenticacin MD5 en una interfaz
interfaz eth[N] Comience seccin para definir
Tipo de autenticacin para interfaz
ip rip cadena autenticacin
[CONTRASEA]
Definir contrasea de autenticacin de rip
clave [CLAVE] Definir nombre de clave MD5
clave [ENTERO] Definir nmero de clave MD5
cadena-clave [CLAVE-AUT] Definir clave de autenticacin de MD5
ip rip modo autenticacin md5 Usar autenticacin MD5
ip rip modo autenticacin clave
[CLAVE]
Definir clave de autenticacin de MD5
Configurar demonio de enrutamientoRIP
router rip Activar demonio de RIP
Dynamic Routing
Dynamic Routing
Gua del Usuario 217
versin [1/2]
Definir versin RIP en 1 o 2 (versin 2
predeterminada)
ip rip enviar versin [1/2] Definir RIPpara enviar versin 1 2
ip rip recibir versin [1/2] Definir RIPpara recibir versin 1 2
no ip split-horizon Desactivar split-horizon; activado por defecto
Configurar interfaces y redes
no red eth [N]
interfaz-pasiva eth[N]
interfaz-pasiva predeterminada
red [A.B.C.D/M]
vecino [A.B.C.D/M]
Distribuir rutas a puntosRIP e inyectar rutas OSPF o BGP a la tabla de enrutamientoRIP
informacin-predeterminada
originar
Compartir ruta de ltimo recurso (ruta
predeterminada) con puntosRIP
redistribuir ncleo Redistribuir rutas estticas de firewall a puntos RIP
redistribuir conectado Redistribuir rutas de todas las interfaces a puntosRIP
redistribuir mapa-ruta conectado
[NOMBREMAPA]
Redistribuir rutas de todas las interfaces hacia puntos
RIP, con un filtro de mapa de ruta (nombremapa)
redistribuir ospf Redistribuir rutas deOSPF a RIP
redistribuir mapa-ruta ospf
[NOMBREMAPA]
Redistribuir rutas desde OSPF a RIP, con un filtro de
mapa de ruta (nombremapa).
redistribuir bgp Redistribuir rutas de BGP a RIP
redistribuir mapa-ruta bgp
[NOMBREMAPA]
Redistribuir rutas desde BGP a RIP, con un filtro de
mapa de ruta (nombremapa).
Configurar filtros de redistribucin de rutas con mapas de ruta y listas de acceso
lista-acceso [PERMITIR|NEGAR]
[NOMBRELISTA] [A,B,C,D/M|
CUALQUIERA]
Crear una lista de acceso para permitir o negar la
redistribucin de solo una direccinIP o todas las
direccionesIP
ruta-mapa [NOMBREMAPA]
permitir [N]
Crear un mapa de ruta con un nombre y permitir
otorgando prioridad de N
coincidir direccin ip
[NOMBRELISTA]
Configurar el Firebox para usar RIP v1
1. Seleccionar Red > Dynamic Routing.
Configuracin de dynamic routing cuadro de dilogo .
2. Selecciona la casilla Activar dynamic routing.
3. Haga clic en la pestaa RIP.
4. Seleccione Activar RIP .
5. Para importar un archivo de configuracin de demonio de enrutamiento, haga clic en Importar y
seleccione el archivo.
O copie y pegue el texto de su archivo de configuracin en el cuadro de texto.
Dynamic Routing
Dynamic Routing
Gua del Usuario 219
6. Haga clic en OK.
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en la
pgina 215.
Permitir trfico de RIP v1 a travs del Firebox
Debe agregar y configurar una poltica para permitir difusiones de RIP desde en enrutador hacia la direccin
IP de difusin de red. Tambin debe aadir la direccin IP de la interfaz de Firebox en el campo Para.
1. Haga clic en
O seleccioneEditar > Agregar polticas.
2. En la lista de filtrados de paquetes, seleccione RIP. Haga clic en Agregar.
3. En el cuadro de dilogo Propiedades de nueva poltica, configure la poltica para permitir el trfico
desde la direccin de red o IP del enrutador que usa RIP hacia la interfaz Firebox que se conecta.
Tambin debe agregar la direccin IP de difusin de red.
4. Haga clic en OK.
5. Configurar el enrutador seleccionado en el Paso 3.
6. Despus de configurar el enrutador, abra las Estadsticas de desempeo y Trfico (pestaa Informe
de Estado) y vea la seccin de dynamic routing para verificar si el Firebox y el enrutador estn
enviando actualizaciones el uno al otro.
Entonces puede aadir la autenticacin y restringir la poltica de RIP para analizar slo las interfaces
correctas.
Configurar el Firebox para usar RIP v2
3. Haga clic en la pestaa RIP.
4. Seleccione Activar RIP .
5. Para importar un archivo de configuracin de demonio de enrutamiento, haga clic en Importar y
seleccione el archivo.
O copie y pegue el texto de su archivo de configuracin en el cuadro de texto.
6. Haga clic en OK.
Dynamic Routing
Dynamic Routing
Gua del Usuario 221
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en la
pgina 215.
Permitir trfico de RIP v2 a travs del Firebox
Debe aadir y configurar una poltica para permitir multidifusiones de RIP v2 de los enrutadores que tienen
RIP v2 activado, hacia la direccin reservada de multidifusin para RIP v2.
1. Haga clic en
desde la direccin de red o IP del enrutador usando RIP hacia la direccin IP de multidifusin
224.0.0.9.
4. Haga clic en OK.
Entonces puede aadir la autenticacin y restringir la poltica de RIP para analizar slo las interfaces
correctas.
Muestra de archivo de configuracin del enrutamiento RIP
Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario importar o copiar
y pegar un archivo de configuracin para el demonio de dynamic routing. Este tpico incluye una muestra
de archivo de configuracin para el demonio de enrutamiento de RIP. Si desea usar este archivo de
configuracin como base para su propio archivo de configuracin, copie el texto en una aplicacin como el
Bloc de Notas o Wordpad y gurdelo con un nuevo nombre. Puede entonces editar los parmetros para
atender a las necesidades de su empresa.
Los comandos opcionales son comentados con el caracter "!" . Para activar un comando, elimine el "!" y
modifique las variables, segn sea necesario.
!! SECCIN 1: Configurar claves de autenticacin MD5.
! Definir el nombre de la clave de autenticacin MD5 (CLAVE), el nmero de la
clave (1),
! y la cadena de la clave de autenticacin (CLAVEAUT).
! clave CLAVE
! clave 1 ! cadena-clave CLAVEAUT
!! SECCIN 2: Configure las propiedades de interfaz.
! Definir autenticacin para interfaz (eth1).
! interfaz eth1
!
! Definir la contrasea de autenticacin simple de RIP (CLAVECOMPARTIDA).
! ip rip cadena de autenticacin CLAVECOMPARTIDA
!
! Definir autenticacin MD5 de RIP y clave MD5 (CLAVE).
! ip rip modo autenticacin md5
! ip rip clave autenticacin CLAE
!
!! SECCIN 3: Configure propiedades globales del demonio de RIP.
! Activar demonio de RIP. Debe estar activado para todas las configuraciones de
RIP. router rip
!
! Definir versin RIP en 1; la predeterminada es la versin 2.
! versin 1
!
! Definir RIP para enviar o recibir versin 1; la predeterminada es la versin 2.
! ip rip enviar versin 1
! ip rip recibir versin 1
!
! Desactivar split-horizon para evitar bucles de enrutamiento. Predeterminado
est activado.
! no ip split-horizon
!! SECCIN 4: Configurar interfaces y redes.
! Desactivar enviar y recibir RIP en interfaz (eth0).
! no red eth0
!
! Definir RIP para slo-recibir en interfaz (eth2).
! interfaz-pasiva eth2
!
! Definir RIP para slo-recibir en todas las interfaces.
! interfaz-pasiva predeterminada
!
! Activar difusin (versin 1) o multidifusin (versin 2) de RIP en
! red (192.168.253.0/24). !red 192.168.253.0/24
!
! Definir actualizaciones de tabla de enrutamiento de unidifusin para vecino
(192.168.253.254).
! vecino 192.168.253.254
!! SECCIN 5: Redistribuir rutas de RIP para puntos e inyectar OSPF o BGP
!! rutas a tabla de enrutamiento RIP.
! Compartir ruta del ltimo recurso (ruta predeterminada) de la tabla de
enrutamiento de ncleo
! con puntos RIP
! informacin-predeterminada originar
!
! Redistribuir rutas estticas de firewall a puntos RIP.
! redistribuir ncleo
!
! Definir mapas de ruta (NOMBREMAPA) para restringir la redistribucin de rutas
en Seccin 6.
! Redistribuir rutas de todas las interfaces hacia puntos RIP o con un mapa de ruta
! filtro (NOMBREMAPA).
! redistribuir conectado
! redistribuir mapa-ruta conectado NOMBREMAPA
!
! Redistribuir rutas desde OSPF a RIP o con un filtro de mapa de ruta
(NOMBREMAPA).
! redistribuir ospf !redistribuir ospf mapa-ruta NOMBREMAPA
!
Dynamic Routing
Dynamic Routing
Gua del Usuario 223
! Redistribuir rutas desde BGP a RIP o con un filtro de mapa de ruta
(NOMBREMAPA).
! redistribuir bgp !redistribuir bgp mapa-ruta NOMBREMAPA
!! SECCIN 6: Configurar filtros de redistribucin de rutas con mapas de ruta y
!! listas de acceso.
! Crear una lista de acceso para slo permitir redistribucin de 172.16.30.0/24.
! lista-acceso NOMBRELISTA permitir 172.16.30.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10.
! ruta-mapa [NOMBREMAPA] permitir 10
! coincidir direccin ip NOMBRELISTA
Acerca del Protocolo "Abrir Camino Ms Curto
Primero" (OSPF)
Nota El soporte para ese protocolo est disponible slo en el Fireware XTMcon
actualizacin Pro.
El OSPF (Abrir camino ms curto primero) es un protocolo de enrutador interior usado en grandes redes.
Con el OSPF, un enrutador que ve una alteracin en su tabla de enrutamiento o que detecta un cambio en
la red inmediatamente enva una actualizacin de multidifusin a todos los otros enrutadores en la red.
OSPF es diferente del RIP porque:
n El OSPF enva slo la parte de la tabla de enrutamiento que fue alterada en la transmisin. El RIP
enva la tabla de enrutamiento completa todas las veces.
n El OSPF enva una multidifusin slo cuando su informacin fue alterada. El RIP enva una tabla de
enrutamiento a cada 30 segundos.
Adems, observe lo siguiente acerca de OSPF:
n Si tiene ms de un rea de OSPF, una debe ser rea 0.0.0.0 (el rea del backbone).
n Todas las reas deben ser adyacentes al rea de backbone. Si no lo son, debe configurar un enlace
virtual al rea de backbone.
Comandos de OSPF
Para crear o modificar un archivo de configuracin de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catlogo de comandos de enrutamiento soportados por OSPF. Las
secciones deben aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
Tambin puede usar el texto de muestra encontrados en Muestra de archivo de configuracin del
enrutamiento OSPF en la pgina 229.
Configurar interfaz
ip ospf clave-autenticacin
[CONTRASEA]
Definir contrasea de autenticacin de OSPF
interfaz eth[N] Iniciar seccin para definir propiedades para
interfaz
ip ospf clave-resumen-mensaje
[CLAVE-ID] md5 [CLAVE]
Definir clave e ID de clave de autenticacin de
MD5
ip ospf costo [1-65535]
Definir costo de enlace para la interfaz (ver tabla
de Costo de Interfaz OSPF abajo)
ip ospf hello-intervalo [1-65535]
Definir intervalo para enviar paquetes de hello; el
predeterminado es de 10 segundos
ip ospf intervalo-muerto [1-65535]
Definir intervalo despus del ltimo hello de un
vecino antes de declararlo inactivo; el
predeterminado es de 40 segundos.
ip ospf intervalo-retransmitir [1-
65535]
Definir intervalo entre retransmisiones de
anuncios de enlace-estado (LSA); el
predeterminado es de 5 segundos.
ip ospf transmitir-retraso [1-3600]
Definir tiempo requerido para enviar
actualizacin de LSA; el predeterminado es de 1
segundo.
ip ospf prioridad [0-255]
Definir prioridad de ruta; valor alto aumenta la
elegibilidad de volverse en enrutador asignado
(DR, en sus siglas en ingls)
Configurar Demonio deEnrutamiento de OSPF
enrutador ospf Activar demonioOSPF
ospf enrutador-id [A.B.C.D]
definir ID de enrutador para OSPF manualmente;
enrutador determina su propio ID caso no est
definido
compatibilidad ospf rfc 1583
Activar compatibilidad RFC 1583 (puede llevar a
bucles de ruta)
ospf abr-tipo
[cisco|ibm|accesodirecto|estndar]
Ms informacin acerca de ese comando puede
ser encontrada en el archivo draft-ietf-abr-o5.txt
interfaz-pasiva eth[N] Desactivar anuncio de OSPF en interfaz eth[N]
ancho de banda de referencia de
costo-auto[0-429495]
Definir costo global (vea tabla de costo de OSPF
abajo); no use con el comando "ip ospf [COSTO]"
temporizadores spf [0-
4294967295][0-4294967295]
Definir cronogramade tiempo de retraso y
espera de OSPF
Activar OSPF en una Red
*La variable "rea" puede ser ingresada en dos formatos:
Dynamic Routing
Dynamic Routing
Gua del Usuario 225
[W.X.Y.Z]; o como un nmero entero [Z].
red [A.B.C.D/M] rea [Z]
Anunciar OSPF en la red
A.B.C.D/Mpara rea 0.0.0.Z
Configurar propiedades para rea de backbone u otras reas
La variable "rea" puede ser ingresada en dos formatos: [W.X.Y.Z]; o como un nmero entero [Z].
rea [Z] rango [A.B.C.D/M]
Crear rea 0.0.0.Z y definir una red con clase para
el rea (las configuraciones de mscara y red de
interfaz y rango deberan coincidir)
rea [Z] enlace-virtual [W.X.Y.Z] Definir vecino de enlace virtual para rea 0.0.0.Z
rea [Z] stub Definir rea 0.0.0.Z como stub
rea [Z] stub no-summary
rea [Z] autenticacin
Activar autenticacin de contrasea simple para
rea 0.0.0.Z
rea [Z] resumen de mensaje de
autenticacin
Activar autenticacin MD5 para rea 0.0.0.Z
Redistribuir rutasOSPF
originar
Compartir ruta de ltimo recurso (ruta
predeterminada) con OSPF
originar mtrica [0-16777214]
Compartir ruta del ltimo recurso (ruta
predeterminada) con OSPF, y aadir una mtrica
usada para generar la ruta predeterminada
originar siempre
Compartir siempre la ruta de ltimo recurso (ruta
predeterminada)
originar siempre mtrica [0-
16777214]
Compartir siempre ruta del ltimo recurso (ruta
predeterminada), y aadir una mtrica usada para
generar la ruta predeterminada
redistribuir conectado Redistribuir rutas de todas las interfaces a OSPF
redistribuir mtricas conectadas
Redistribuir rutas de todas las interfaces a OSPF y
una mtrica usada para la accin
Configurar redistribucin de rutas con Listas de Acceso
y Mapas de Ruta
lista-acceso [NOMBRELISTA]
permiso [A.B.C.D/M]
Crear una lista de acceso para permitir la
distribucin a A.B.C.D/M
listas-acceso [NOMBRELISTA] negar
todos
Restringir distribucin de cualquier mapa de ruta
especificado arriba
permitir [N]
Crear un mapa de ruta con el [NOMBREMAPA] de
nombre y permitir otorgando prioridad de [N]
coincidir direccin ip
[NOMBRELISTA]
Tabla de Costo de Interfaz de OSPF
El protocolo OSPF encuentra la ruta ms eficiente entre dos puntos. Para eso, mira los factores como
velocidad de enlace de la interfaz, el nmero de salto entre puntos y otros indicadores. Por defecto, OSPF
usa la velocidad de enlace real de un dispositivo para calcular el costo total de una ruta. Puede definir el
costo de la interfaz manualmente para ayudar a maximizar la eficiencia si, por ejemplo, su firewall basado
en gigabytes est conectado a un enrutador de 100M. Use los nmeros en esa tabla para definir
manualmente el costo de interfaz en un valor diferente del costo real de interfaz.
Tipo de
interfaz
Ancho de banda en
bits/segundo
Ancho de banda en
bytes/segundo
Costo de Interfaz de
OSPF
Ethernet 1G 128M 1
Ethernet 100M 12.5M 10
Ethernet 10M 1.25M 100
Mdem 2M 256K 500
Mdem 1M 128K 1000
Mdem 500K 62.5K 2000
Mdem 250K 31.25K 4000
Mdem 125K 15625 8000
Mdem 62500 7812 16000
Serial 115200 14400 10850
Serial 57600 7200 21700
Serial 38400 4800 32550
Serial 19200 2400 61120
Serial 9600 1200 65535
Dynamic Routing
Dynamic Routing
Gua del Usuario 227
Configurar el Firebox para usar OSPF
Configuracin de dynamic routing cuadro de dilogoaparece.
3. Haga clic en la pestaa OSPF.
4. Seleccione Activar OSPF .
5. Haga clic en Importar para importar un archivo de configuracin del demonio de enrutamiento, o
copie y pegue su archivo de configuracin en el cuadro de texto.
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en
la pgina 215.
Para empezar, necesita slo dos comandos en su archivo de configuracin de OSPF. Esos dos
comandos, en ese orden, empiezan el proceso de OSPF:
router ospf
red <network IP address of the interface you want the process to listen on and distribute through
the protocol> rea <area ID in x.x.x.x format, such as 0.0.0.0>
Permitir trfico de OSPF a travs del Firebox
Debe aadir y configurar una poltica para permitir multidifusiones de OSPF de los enrutadores que tienen
OSPF activado, hacia la direccin reservada de multidifusin para OSPF.
1. Haga clic en
desde la direccin de red o IP del enrutador usando OSPF hacia las direcciones IP 224.0.0.5 y
224.0.0.6.
Para ms informacin acerca de cmo definir las direcciones de origen y destino para una poltica,
vea Definir reglas de acceso a una poltica en la pgina 356.
4. Haga clic en OK.
Dynamic Routing
Dynamic Routing
Gua del Usuario 229
Entonces puede aadir la autenticacin y restringir la poltica de OSPF para analizar slo las
interfaces correctas.
Muestra de archivo de configuracin del enrutamiento OSPF
Para usar usar cualquier protocolo de dynamic routing con el Fireware XTM, es necesario importar o copiar
y pegar un archivo de configuracin para el demonio de dynamic routing. Este tpico incluye una muestra
de archivo de configuracin para el demonio de enrutamiento de OSPF. Si desea usar este archivo de
!! SECCIN 1: Configure las propiedades de interfaz.
! Definir propiedades para interfaz eth1.
! interfaz eth1
!
! Definir la contrasea de autenticacin simple (CLAVECOMPARTIDA).
! ip ospf clave-autenticacin CLAVECOMPARTIDA
!
! Definir el IP de clave de autenticacin MD5 (10) y clave de autenticacin MD5
(CLAVEAUT).
! ip ospf clave-resumen-mensaje 10 md5 CLAVEAUT
!
! Definir costo de enlace en 1000 (1-65535) en la interfaz eth1.
! para tabla de costo de enlace OSPF. ! ip ospf costo 1000
!
! Definir intervalo de hello en 5 segundos (1-65535); el predeterminado es 10
segundos.
! ip ospf intervalo-hello 5
!
! Definir intervalo de muerto en 15 segundos (1-65535); el predeterminado es 40
segundos.
! ip ospf intervalo-muerto 15
!
! Definir intervalo entre retransmisiones de anuncios de enlace-estado (LSA)
! en 10 segundos (1-65535); el predeterminado es 5 segundos.
! ip ospf intervalo-retransmitir 10
!
! Definir intervalo de actualizacin LSA en 3 segundos (1-3600); el
predeterminado es 1 segundo.
! ip ospf transmitir-retraso 3
!
! Definir alta prioridad (0-255) para aumentar a elegibilidad para convertirse en
! enrutador asignado (DR).
! ip ospf prioridad 255
!! SECCIN 2: Iniciar OSFP y definir propiedades de demonio.
! Activar demonio OSPF. Debe estar activado para todas las configuraciones
de OSPF.
! router ospf
!
! Definir el ID del enrutador manualmente en 100.100.100.20. Si no definirlo, el
firewall lo har
! definir el propio ID basado en una direccin IP de interfaz.
! ospf router-id 100.100.100.20
!
! Activar compatibilidad RFC 1583 (aumenta la probabilidad de bucles de
enrutamiento).
! ospf rfc1583compatibilidad
!
! Definir tipo de enrutador de adyacencia de rea (ABR) en cisco, ibm, acceso
directo o estndar.
! Ms informacin acerca de los tipos ABR en draft-ietf-ospf-abr-alt-05.txt.
! ospf abr-tipo cisco
!
! Desactivar anuncio de OSPF en interfaz eth0.
! interfaz pasiva eth0
!
! Definir costo global en 1000 (0-429495).
! ancho de banda de referencia de costo-auto 1000
!
! Definir retraso de cronograma de SPF en 25 (0-4294967295) segundos y sostener
! 20 (0-4294967295) segundos; predeterminado es 5 y 10 segundos. ! temporizadores
spf 25 20
!! SECCIN 3: Definir propiedades de rea y red. Definir reas con notacin
W.X.Y.Z
!! o Z.
! Anunciar OSPF en la red 192.168.253.0/24 para rea 0.0.0.0.
! red 192.168.253.0/24 rea 0.0.0.0
!
! Crear rea 0.0.0.1 y definir un rango de redes de clase (172.16.254.0/24)
! para el rea (configuraciones de red de interfaz y rango deben coincidir).
! rea 0.0.0.1 rango 172.16.254.0/24
!
! Definir vecino de enlace virtual (172.16.254.1) para rea 0.0.0.1.
! rea 0.0.0.1 enlace-virtual 172.16.254.1
!
! Definir rea 0.0.0.1 como stub en todos los enrutadores en rea 0.0.0.1.
! rea 0.0.0.1 stub
!
! rea 0.0.0.2 stub sin-resumen
!
! Activar autenticacin de contrasea simple para rea 0.0.0.0.
! rea 0.0.0.0 autenticacin
!
! Activar autenticacin MD5 para rea 0.0.0.1.
! rea 0.0.0.1 resumen-mensaje autenticacin
!! SECCIN 4: Redistribuir rutas de OSPF
! Compartir ruta del ltimo recurso (ruta predeterminada) de la tabla de
enrutamiento de ncleo
! con puntos OSPF.
Dynamic Routing
Dynamic Routing
Gua del Usuario 231
! informacin-predeterminada originar
!
! Redistribuir rutas estticas a OSPF.
! redistribuir ncleo
!
! Redistribuir rutas de todas las interfaces a OSPF.
! redistribuir conectado
! redistribuir mapa-ruta conectado
! ! Redistribuir rutas de RIP y BGP y OSPF.
! redistribuir rip !redistribuir bgp
!! SECCIN 5: Configurar filtros de redistribucin de rutas con listas de acceso
!! y mapas de ruta.
! Crear una lista de acceso para slo permitir redistribucin de 10.0.2.0/24.
! lista-acceso NOMBRELISTA permitir 10.0.2.0/24
! lista-acceso NOMBRELISTA negar todos
!
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando una
prioridad de 10 (1-199).
! coincidir direccin ip NOMBRELISTA
Acerca del Border Gateway Protocol (BGP)
Nota El soporte para ese protocolo est disponible slo en Fireware XTMcon una
actualizacin Pro en los dispositivos Core e-Series, Peak e-Series o XTM.
El Border Gateway Protocol (BGP) es un protocolo de dynamic routing usado en la Internet por grupos de
enrutadores para compartir informacin de enrutamiento. El BGP usa parmetros de ruta o atributos para
definir polticas de enrutamiento y crear un ambiente estable de enrutamiento. Ese protocolo permite que
divulgue ms de un camino hacia y desde la Internet a su red y recursos, lo que le ofrece caminos
redundantes y puede aumentar su tiempo de actividad.
Los hosts que usan BGP usan TCP para enviar informacin de tabla de enrutamiento actualizada cuando un
host encuentra una alteracin. El Host enva slo la parte de la tabla de enrutamiento que tiene la
alteracin. El usa el enrutamiento interdominios sin clase (CIDR) para reducir el volumen de las tables de
enrutamiento de Internet. El volumen de la tabla de enrutamiento de BGP en el Fireware XTMest definido
en 32 K.
El volumen de la red de rea amplia (WAN) tpica del cliente WatchGuard es ms adecuado para el dynamic
routing de OSPF. Una WAN tambin puede usar el border gateway protocol externo (EBGP) cuando ms de
una puerta de enlace hacia Internet est disponible. EBGP le permite aprovechar al mximo la posible
redundancia con una red "multi-homed".
Para participar en un BGP con un ISP, debe tener un nmero de sistema autnomo (ASN). Debe obtener un
ASN junto a uno de los registros regionales en la tabla abajo. Despus de que se le asigne su propio ASN,
debe contactar cada ISP para obtener sus ASNs y otras informaciones necesarias.
Regin Nombre del registro Sitio web
Norte Amrica RIN www.arin.net
Europa RIPE NCC www.ripe.net
Regin Nombre del registro Sitio web
Asia-Pacfico APNIC www.apnic.net
Amrica Latina LACNIC www.lacnic.net
frica AfriNIC www.afrinic.net
Comandos BGP
Para crear o modificar un archivo de configuracin de enrutamiento, debe usar los comandos correctos de
enrutamiento. La tabla siguiente es un catlogo de comandos de enrutamiento de BGP. Las secciones deben
aparecer en el archivo de configuracin en el mismo orden que aparecen en esta tabla.
No use los parmetros de configuracin de BGP que no reciba de su ISP.
Configurar daemon de enrutamiento de BGP
bgp enrutado [ASN]
Activar el daemon BGP y definir nmero de sistema
autnomo (ASN); eso es provisto por su ISP
red [A.B.C.D/M]
Anunciar BGP en la red
A.B.C.D/M
sin red [A.B.C.D/M] Desactivar anuncios de BGP en la re A.B.C.D/M
Definir propiedades de vecinos
vecino [A.B.C.D] remoto-como
[ASN]
Definir vecino como miembro de ASN remoto
vecino [A.B.C.D] ebgp-multihop
Definir vecino en otra red usando "multi-hop" (multi-salto)
de EBGP
vecino [A.B.C.D] versin 4 o
posterior
Definir versin de BGP (4, 4+, 4-) para comunicacin con
vecino; la predeterminada es la 4
vecino [A.B.C.D] actualizar-
fuente [PALABRA]
Definir la sesin BGP para que use una interfaz especfica
para las conexiones TCP
vecino [A.B.C.D]
predeterminado-originar
Anunciar ruta predeterminada para vecino BGP [A,B,C,D]
vecino [A.B.C.D] puerto 189
Definir puerto TCP personalizado para comunicarse con
vecino BGP [A,B,C,D]
vecino [A.B.C.D] enviar-
comunidad
Determinar punto enviar-comunidad
vecino [A.B.C.D] peso 1000
Definir peso predeterminado para las rutas de vecino
[A.B.C.D]
Dynamic Routing
Dynamic Routing
Gua del Usuario 233
vecino [A.B.C.D] mximo-prefijo
[NMERO]
Definir nmero mximo de prefijos permitidos a partir de
este vecino
Listas de comunidades
lista-comunidad ip [<1-
99>|<100-199>] permitir
AA:NN
Especificar comunidad para que acepte el nmero de
sistema autnomo y nmero de red separados por dos
puntos
Filtrado de punto
vecino [A.B.C.D] distribuir-lista
[NOMBRELISTA]
[ENTRAR|SALIR]
Definir distribucin de lista y direccin para punto
vecino [A.B.C.D] prefijo-lista
[NOMBRELISTA]
[ENTRAR|SALIR]
Para aplicar una lista de prefijos para coincidir con los
anuncios entrantes o clientes para ese vecino
vecino [A.B.C.D] filtro-lista
[NOMBRELISTA]
[ENTRAR|SALIR]
Para coincidir una lista de acceso de camino de sistema
autnomo a rutas entrantes y salientes
vecino [A.B.C.D] ruta-mapa
[NOMBREMAPA]
[ENTRAR|SALIR]
para aplicar un mapa de ruta a rutas entrantes o salientes
Redistribuir rutas a BGP
redistribuir ncleo Redistribuir rutas estticas a BGP
redistribuir rip Redistribuir rutas RIP a BGP
redistribuir ospf Redistribuir rutas OSPF a BGP
Reflexin de ruta
bgp cluster-id A.B.C.D
Para configurar el ID del cluster si el cluster de BGP tiene
ms de un reflector de ruta
vecino [W.X.Y.Z] ruta-reflector-
cliente
Para configurar el enrutador como reflector de ruta BGP y
configurar el vecino especificado como su cliente
Listas de acceso y listas de prefijos IP
ip prefijo-listas PRELISTA
permitir A.B.C.D/E
Definir lista de prefijos
acceso-lista NOMBRE
[negar|permitir] A.B.C.D/E
Definir lista de acceso
permitir [N]
En conjuncin con los comandos "coincidir" y "definir", eso
define las condiciones y acciones para redistribuir rutas
coincidir direccin ip lista-
prefijo [NOMBRELISTA]
Coincide el acceso-lista especificado
definir comunidad [A:B] Definir el atributo de comunidad BGP
coincidir comunidad [N] Coincide la comunidad_lista especificada
definir local-preferencia [N]
Definir el valor de preferencia para la ruta de sistema
autnomo
Configurar el Firebox para usar el BGP
Para participar en un BGP con un ISP, debe tener un nmero de sistema autnomo (ASN). Para ms
informaciones, vea Acerca del Border Gateway Protocol (BGP) en la pgina 231.
3. Haga clic en la pestaa BGP.
4. Seleccione Activar BGP .
5. Haga clic en Importar para importar un archivo de configuracin del demonio de enrutamiento, o
copie y pegue su archivo de configuracin en el cuadro de texto.
Dynamic Routing
Dynamic Routing
Gua del Usuario 235
Para ms informaciones, vea Acerca de archivos de configuracin de demonio de enrutamiento. en
la pgina 215.
Para empezar, necesita slo tres comandos en su archivo de configuracin de BGP. Esos tres
comandos, inicie el proceso de BGP, configurar una relacin de punto con el ISP y cree una ruta para
una red hacia Internet. Debe usar los comandos en ese orden.
BGP de enrutador: Nmero del sistema autnomo de BGP provisto por su
red de ISP:direccin IP de red a la cual desea divulgar una ruta desde el vecino de Internet
: <IP address of neighboring BGP router> remoto-como <BGP autonomous number>
6. Haga clic en OK.
Permitir trfico de BGP a travs del Firebox
Debe aadir y configurar una poltica para permitir el trfico de BGP hacia del Firebox desde las redes
aprobadas. Esas redes deben ser las mismas definidas en su archivo de configuracin de BGP.
1. Haga clic en
2. En la lista de filtrados de paquetes, seleccione BGP. Haga clic en Agregar.
desde la direccin de red o IP del enrutador que usa BGP hacia la interfaz Firebox que se conecta.
Tambin debe agregar la direccin IP de difusin de red.
4. Haga clic en OK.
Entonces puede aadir la autenticacin y restringir la poltica de BGP para analizar slo las interfaces
correctas.
Muestra de archivo de configuracin del enrutamiento BGP
Para usar cualquiera de los protocolos de dynamic routing con el Fireware XTM, debe importar o insertar
un archivo de configuracin para el demonio de dynamic routing. Este tpico incluye una muestra de
archivo de configuracin para el demonio de enrutamiento de BGP. Si desea usar este archivo de
!! SECCIN 1: Iniciar demonio de BGP y anunciar bloqueos de red a vecinos de BGP
! Activar BGP y definir ASN local en 100 enrutador bgp 100
! Divulgar red local 64.74.30.0/24 a todos los vecinos definidos en la seccin 2
! red 64.74.30.0/24
!! SECCIN 2: Propiedades de vecinos
! Definir vecino (64.74.30.1) como miembro de ASN remoto (200)
! vecino 64.74.30.1 remoto-como 200
! Definir vecino (208.146.43.1) en otra red usando "multi-hop" (multi-salto)
de EBGP
! vecino 208.146.43.1 remoto-como 300
! vecino 208.146.43.1 ebgp-multihop
! Definir versin de BGP (4, 4+, 4-) para comunicacin con vecino; la
predeterminada es la 4
! vecino 64.74.30.1 versin 4+
! Anunciar ruta predeterminada para vecino BGP (64.74.30.1)
! vecino 64.74.30.1 predeterminada-originar
! Definir puerto TCP personalizado 189 para comunicarse con vecino BGP
(64.74.30.1). Puerto predeterminado es TCP 179
! vecino 64.74.30.1 puerto 189
! Determinar punto enviar-comunidad
! vecino 64.74.30.1 enviar-comunidad
! Definir peso predeterminado para las rutas de vecino (64.74.30.1)
! vecino 64.74.30.1 peso 1000
! Definir nmero mximo de prefijos permitidos a partir de este vecino
! vecino 64.74.30.1 NMERO mximo-prefijo
!! SECCIN 3: Definir listas de comunidades
! lista-comunidad ip 70 permitir 7000:80
!! SECCIN 4: Filtrado de anuncios
! Definir distribucin de lista y direccin para punto
! vecino 64.74.30.1 distribuir-lista NOMBRELISTA [entrar|salir]
! Para aplicar una lista de prefijos para coincidir con los anuncios
entrantes o clientes para ese vecino
Dynamic Routing
Dynamic Routing
Gua del Usuario 237
! vecino 64.74.30.1 prefijo-lista NOMBRELISTA [entrar|salir]
! Para coincidir una lista de acceso de camino de sistema autnomo a rutas
entrantes y salientes
! vecino 64.74.30.1 filtro-lista NOMBRELISTA [entrar|salir]
! para aplicar un mapa de ruta a rutas entrantes o salientes
! vecino 64.74.30.1 ruta-mapa NOMBREMAPA [entrar|salir]
!!SECCIN5:Redistribuir rutas a BGP
! Redistribuir rutas estticas a BGP
! Redistribuir ncleo
! Redistribuir rutas RIP a BGP
! Redistribuir rip
! Redistribuir rutas OSPF a BGP
! Redistribuir ospf
!!SECCIN6:Reflexin de ruta
! Definir ID de clster y firewall como un cliente de servidor de reflector de ruta
51.210.0.254
! bgp clster-id A.B.C.D
! vecino 51.210.0.254 ruta-reflector-cliente
!! SECCIN 7: Listas de acceso y listas de prefijos IP
! Definir lista de prefijos
! ip prefijo-lista PRELISTA permitir 10.0.0.0/8
! Definir lista acceso!acceso-lista NOMBRE negar 64.74.30.128/25
! acceso-lista NOMBRE permitir 64.74.30.0/25
! Crear un mapa de ruta con el NOMBREMAPA de nombre y permitir otorgando
prioridad de 10
! coincidir direccin ip prefijo-lista NOMBRELISTA
! definir comunidad 7000:80
Dynamic Routing
Gua del Usuario 238
Gua del Usuario 239
11
FireCluster
Acerca del WatchGuard FireCluster
Puede usar el FireCluster de WatchGuard para configurar dos dispositivos WatchGuard como un clster
para aumentar el desempeo de red y la escalabilidad.
Hay dos opciones de configuracin disponibles cuando configura el FireCluster: activo/pasivo y
activo/activo. Para aadir redundancia, elija un clster activo/pasivo. Para aadir tanto redundancia como
para compartir carga con su red, seleccione un clster activo/activo.
Cuando activa el FireCluster, administra y monitorea los dos dispositivos en el clster como un nico
dispositivo virtual.
Para usar el FireCluster, sus interfaces de red deben estar configuradas en modo de enrutamiento
combinado. El FireCluster no soporta modos de red en puente o directo. Para ms informacin acerca de
los modos de red, vea Acerca de las configuracin de interfaz de red.
Cuando el FireCluster est activado, sus dispositivos WatchGuard siguen soportando:
n Redes secundarias en interfaces externas, de confianza u opcionales
n Conexiones de WAN mltiples
(Limitacin: una conmutacin por error de WAN mltiples provocada por una conexin con
errores hacia un host de monitor de enlace no desencadena la conmutacin por error del
FireCluster. La conmutacin por error del FireCluster ocurre solamente cuando la interfaz fsica est
desactivada o no responde.)
n VLANs
Cuando un miembro del clster falla, ste hace la conmutacin por error de forma integrada y mantiene:
n Conexiones de filtrado de paquetes
n tneles BOVPN administrados
n Sesiones de usuario
Esas conexiones puede ser desconectadas cuando ocurre un evento de conmutacin por error:
n Conexiones de proxy
n Mobile VPN with IPSec
n Mobile VPN with SSL
FireCluster
FireCluster
Gua del Usuario 241
Los usuarios de Mobile VPN puede necesitar reiniciar manualmente la conexin de VPN despus de una
conmutacin por error.
Para ms informacin acerca de la conmutacin por error de FireCluster, vea Acerca de la conmutacin
por error de FireCluster en la pgina 241.
Estado del FireCluster
Para ver el estado del FireCluster en el Firebox System Manager:
2. Encuentre la informacin de FireCluster, tal como se describe en Firebox estado.
Nota No se puede usar el Fireware XTMWeb UI para administrar o monitorear un
dispositivo que est configurado como un miembro de FireCluster.
Acerca de la conmutacin por error de FireCluster
El proceso de conmutacin por error del FireCluster es el mismo para un clster activo/activo o para un
clster activo/pasivo. Con ambos tipos de clsters, cada clster miembro mantiene la informacin de
estado y sesin en todo el momento. Cuando ocurre la conmutacin por error, las conexiones de filtro de
paquetes, tneles BOVPN y sesiones de usuario del dispositivo con fallas hacen la conmutacin por error de
forma automtica hacia el otro dispositivo en el clster.
En un FireCluster, un dispositivo es el clster principal y el otro es el principal de respaldo. El principal de
respaldo usa la interfaz del clster primario para sincronizar la informacin de sesin y conexin con el
clster principal. Si la interfaz del clster primario falla o est desconectada, el principal de respaldo usa la
interfaz del clster de respaldo para comunicarse con el clster principal. Recomendamos que siempre
configure tanto la interfaz del clster principal como la del clster de respaldo. Eso ayuda a asegurar que si
ocurre una conmutacin por error en el clster principal, el principal de respaldo tenga toda la informacin
necesaria para convertirse en un nuevo clster principal y transferir conexiones y sesiones
adecuadamente.
Eventos que desencadenan una conmutacin por error
Hay tres tipos de eventos que pueden desencadenar una conmutacin por error.
Enlace de la interfaz monitoreada inactivo en el clster principal
La conmutacin por error se inicia si una interfaz monitoreada en el clster principal no puede
enviar ni recibir trfico. Puede ver la lista de interfaces monitoreadas en la configuracin del
FireCluster en el Policy Manager.
Dispositivo del clster principal no est en pleno funcionamiento
Se inicia una conmutacin por error si se detecta el mal funcionamiento de software o falla de
hardware en el clster principal, o si hay un error en algn proceso crtico en el clster principal.
El clster recibe el comando de "Conmutacin por error del principal" del Firebox System Manager.
En el Firebox System Manager, al seleccionar Herramientas > Clster > Conmutacin por error del
principal, se fuerza una conmutacin por error a partir del clster principal hacia el principal de
respaldo.
Para ms informacin acerca de ese comando, vea Forzar una conmutacin por error del clster
principal en la pgina 273.
FireCluster
FireCluster
Gua del Usuario 243
Qu ocurre cuando sucede una conmutacin por error
Cuando ocurre una conmutacin por error del clster principal, el principal de respaldo se convierte en el
clster principal. Entonces, el clster principal original se reinicia y se suma nuevamente al clster como
principal de respaldo. El clster conmuta por error y mantiene todas las conexiones del filtrado de
paquetes, tneles BOVPN y sesiones del usuario. Ese comportamiento es el mismo para un FireCluster
activo/activo o activo/pasivo.
En un clster activo/activo, si el principal de respaldo falla, el clster conmuta por error y mantiene todas
las conexiones de filtrado de paquetes, tneles BOVPN y sesiones de usuario. Las conexiones proxy y de
Mobile VPN pueden ser interrumpidas, tal como se describe en la tabla siguiente. En un clster
activo/pasivo, si el principal de respaldo falla, no hay interrupcin de conexiones o sesiones, porque no se
asigna nada al principal de respaldo.
Tipo de
Conexin/Sesin
Impacto de una conmutacin por error
Conexiones de
filtrado de
paquetes
Las conexiones son conmutadas por error a otro clster miembro.
Tneles BOVPN
administrados
Los tneles son conmutados por error a otro clster miembro.
Sesiones de
usuario
Las sesiones son conmutadas por error a otro clster miembro.
Conexiones de
proxy
Las conexiones asignadas al dispositivo con fallas (principal o principal de respaldo)
deben ser reiniciadas. Las conexiones asignadas a otro dispositivo no son
interrumpidas.
Mobile VPN with
IPSec
Si el clster principal conmuta por error, todas las sesiones deben ser reiniciadas. Si el
principal de respaldo falla, slo las sesiones asignadas al principal de respaldo deben
ser reiniciadas. Las sesiones asignadas al clster principal no son interrumpidas.
Mobile VPN with
SSL
Si cualquiera de los dispositivos conmuta por error, todas las sesiones deben ser
reiniciadas.
Mobile VPN with
PPTP
Todas las sesiones de PPTP son asignadas al clster principal, incluso en un clster
activo/activo. Si el clster principal conmuta por error, todas las sesiones deben ser
reiniciadas. Si hay una falla del principal de respaldo, las sesiones de PPTP no son
interrumpidas.
Conmutacin por error y balance de carga del servidor del
FireCluster
Si usa el balance de carga del servidor para balancear las conexiones entre sus servidores internos, cuando
ocurre un evento de conmutacin por error del FireCluster, no ocurre la sincronizacin en tiempo real.
Despus de una conmutacin por error, el nuevo clster principal enva las conexiones a todos los
servidores en la lista de balance de carga en el servidor para descubrir cules servidores estn disponibles.
Entonces aplica el algoritmo de balance de carga del servidor a todos los servidores disponibles.
Para informacin acerca del balance de carga del servidor, vea Configurar Balance de carga en el servidor
en la pgina 179.
Monitorear el clster durante una conmutacin por error
El rol de cada dispositivo del clster aparece despus del nombre del miembro en la pestaa Panel
delantero en el Firebox System Manager. Si mira la pestaa "Panel delantero" durante una conmutacin
por error del clster principal, puede ver el rol de ese clster pasar de un dispositivo al otro. Durante una
conmutacin por error, se ve:
n El rol del principal de respaldo cambia de "principal de respaldo" a "principal".
n El rol del clster principal antiguo cambia a "inactivo" y despus "ocioso" mientras el dispositivo se
reinicia.
n El rol del clster principal antiguo cambia a "principal de respaldo" despus de que se reinicia el
dispositivo.
Para ms informacin, vea Monitorear y controlar miembros de FireCluster en la pgina 270
Funciones no soportadas por FireCluster
Hay algunas funciones de administracin y configuracin de Fireware XTMque no se puede usar con el
FireCluster.
Limitaciones de configuracin de red del FireCluster
n No puede configurar las interfaces de red en el modo puente o en el modo directo.
n No puede configurar la interfaz externa para usar PPPoE o DHCP.
n No puede usar los protocolos de dynamic routing (RIP, OSPF y BGP).
Limitaciones de administracin de FireCluster
n No puede usar el Web UI para administrar ningn dispositivo que sea miembro de un FireCluster.
n No puede usar el WSM con un Management Server para programar una actualizacin de OS para
ningn dispositivo que sea miembro de un FireCluster.
FireCluster
FireCluster
Gua del Usuario 245
Acerca de la interfaz para direccinIP de
administracin
En una configuracin de FireCluster, todos los dispositivos en el clster comparten las mismas direcciones
IP para cada interfaz activada. Cuando se conecta al clster en el WatchGuard System Manager, est
automticamente conectado al clster principal, y puede ver el estado para todos los clster miembros.
Puede usar el Firebox System Manager para monitorear el clster y miembros individuales de clster, tal
como se describe en Monitorear y controlar miembros de FireCluster en la pgina 270.Tambin puede usar
el Policy Manager para actualizar la configuracin de clster, tal como se describe en Actualice la
configuracin de FireCluster en la pgina 279.
Configurar la interfaz para direccin IP de administracin
Adems de las direcciones IP compartidas para cada interfaz, cada clster miembro tambin tiene su propia
direccin IP para administracin. Puede usar esa direccin IP para conectarse directamente a un clster
miembro individual para monitorear o administrar ese miembro.
Esa direccin IP nica es conocida como la interfaz para direccin IP de administracin. Cuando configura
una FireCluster, seleccione la interfaz para direccin IP de administracin para ser usada por todos los
clster miembros. Esa interfaz no es exclusiva de administracin. Puede usar cualquier interfaz disponible.
Para cada miembro, debe especificar entonces la interfaz nica para usar la direccin IP de administracin
en esa interfaz.
Para las tareas de administracin FireCluster ms cotidianas, no use la interfaz para direccin IP de
administracin.
Nota Si usa la interfaz de FireCluster para la direccin IP de administracin para
conectarse al principal de resguardo, no puede salvar las alteraciones de
configuracin en el Policy Manager.
Usar la interfaz para direccin IP de administracin para
restaurar una imagen de copia de seguridad
Cuando restaura una imagen de copia de seguridad de FireCluster, debe usar la interfaz para direccin IP
de administracin para conectarse directamente al clster miembro. Cuando usa esa direccin IP para
conectarse a un clster miembro, hay dos comandos adicionales disponibles en el Firebox System Manager
en el men Herramientas: Clster > Abandonar y Clster >Integrarse. Se usan esos comandos cuando
restaura una imagen de copia de seguridad en el clster.
Para ms informaciones, vea Recuperar una imagen de copia de seguridad de FireCluster en la pgina 286.
Usar la interfaz para direccin IP de administracin para
actualizar desde una ubicacin externa
El software WatchGuard System Manager usa la interfaz para la direccin IP de administracin cuando
actualiza el OS para miembros de un clster. Si desea actualizar el OS desde una ubicacin remota,
asegrese de que:
n La interfaz para la direccin IP de administracin est definida en interfaz externa
n La interfaz para direccin IP de administracin para cada clster miembro es una direccin IP
pblica y es enrutable
Para ms informaciones, vea Actualizar el Fireware XTMpara miembros del FireCluster en la pgina 287.
Configurar FireCluster
FireCluster soporta dos tipos de configuraciones de clster.
Clster Activo/Pasivo
En un clster activo/pasivo, un dispositivo est activo mientras que el otro est pasivo. El dispositivo
activo maneja todo el trfico de red, excepto si ocurre un evento de conmutacin por error. El
dispositivo pasivo monitorea activamente el estado del dispositivo activo. Si el dispositivo activo falla,
el dispositivo pasivo asume las conexiones asignadas al dispositivo con fallas. Despus de un evento
de conmutacin por error, todo el trfico para conexiones existente es automticamente enrutado
hacia el dispositivo activo.
Clster Activo/Activo
En un clster activo/activo, los clsters miembros comparten el trfico que pasa a travs del clster.
Para distribuir las conexiones entre los dispositivos activos en el clster, configure el FireCluster para
usar un algoritmo de conexiones mnimas y operacin por turnos. Si falla un dispositivo en un
clster, el otro clster miembro asume las conexiones asignadas al dispositivo con falla. Despus de
un evento de conmutacin por error, todo el trfico para conexiones existente es automticamente
enrutado hacia el dispositivo activo restante.
Requisitos y restricciones de FireCluster
Asegrese de comprender esos requisitos y restricciones antes de empezar:
n Los dispositivos WatchGuard en un clster deben ser del mismo modelo. Los modelos soportados
son los dispositivos Firebox X Core e-Series, Firebox Peak e-Series o WatchGuard XTM.
n Cada dispositivo en un clster debe usar la misma versin del Fireware XTMcon actualizacin Pro.
n Cada dispositivo en un clster debe tener una suscripcin de LiveSecurity Service activa.
n Sus interfaces de red deben estar configuradas en modo de enrutamiento combinado. El FireCluster
no soporta modos de red en puente o directo.
n En el caso de un clster activo/activo, recomendamos que todos los dispositivos tengan licencias
activas para los mismos servicios de suscripcin opcional, tal como el WebBlocker o el Gateway
AntiVirus.
Para ms informaciones, vea Acerca de las teclas de funcin y el FireCluster en la pgina 280.
FireCluster
FireCluster
Gua del Usuario 247
n Se debe configurar una interfaz externa con la direccinIP esttica. No se puede activar el
FireCluster si la interfaz externa est configurada para utilizar el DHCP o PPPoE.
n Es necesario tener un conmutador de red para cada interfaz de trfico activa.
n En el caso de un clster activo/activo, todos los conmutadores y enrutadores en el dominio de
difusin deben ser configurados para soportar el trfico de multidifusin.
Para ms informaciones, vea Requisitos de conmutador y enrutador para un FireCluster
activo/activo en la pgina 251.
n En el caso de un un clster activo/activo, se debe conocer la direccin IP y la direccin MAC de cada
conmutador o enrutador de capa 3 conectado al clster. Despus, se puede agregar entradas ARP
estticas para esos dispositivos de red a la configuracin de FireCluster.
Para ms informaciones, vea Agregar entradas ARP estticas para un FireCluster activo/activo en la
pgina 253.
n El FireCluster no soporta el uso de protocolos de dynamic routing.
Sincronizacin del clster y monitoreo del estado
Cuando activa el FireCluster, debe dedicar al menos una interfaz a la comunicacin entre los miembros del
clster. Eso se llama una interfaz de clster. Cuando configura el hardware de clster, conecta las interfaces
de clster principal de cada dispositivo unas a otras. Para redundancia, recomendamos que configure una
interfaz de resguardo del clster. Los clsters miembros usan interfaces de clster para sincronizar
continuamente toda la informacin necesaria para compartir carga y para hacer una conmutacin por error
transparente.
Roles del dispositivo FireCluster
Cuando configura los dispositivos en un clster, es importante comprender los roles que cada dispositivo
puede cumplir all.
Clster principal
Ese clster miembro asigna flujos de trfico de red a clsters miembros y responde a todas las
solicitudes de sistemas externos, tal como el WatchGuard System Manager, SNMP, DHCP, ARP,
protocolos de enrutamiento e IKE. Cuando configura o modifica la configuracin del clster, se
guarda la configuracin del clster en el clster principal. El clster principal puede ser cualquiera
de los dispositivos. El primer dispositivo en un clster a encenderse se vuelve el clster principal.
Clster principal de resguardo
Ese clster miembro sincroniza toda la informacin necesaria con el clster principal, para que
pueda convertirse en el clster principal caso ste falle. El clster principal de resguardo puede ser
activo o pasivo.
Miembro activo
Eso puede ser cualquier clster miembro que actualmente maneje el flujo de trfico. En un clster
activo/activo, ambos dispositivos estn activos. En un clster activo/pasivo, el clster principal es el
nico dispositivo activo.
Miembro pasivo
Un dispositivo en un clster activo/pasivo que no maneja flujos de trfico de red excepto si ocurre
una conmutacin por error de un dispositivo activo. En un clster activo/pasivo, el miembro pasivo
es el clster principal de resguardo.
Pasos de la configuracin de FireCluster
Para configurar los dispositivos WatchGuard, como un FireCluster, debe:
1. Planear la configuracin de su FireCluster, tal como se describe en Antes de empezar.
2. Conectar los dispositivos FireCluster a la red, tal como se describe en Conectar el hardware de
FireCluster en la pgina 250.
3. Configurar el FireCluster en el Policy Manager. Puede usar uno de esos mtodos:
n Usar el FireCluster Setup Wizard
n Configurar el FireCluster manualmente
Para un clster activo/activo, tambin debe realizar esos pasos:
1. Haga las alteraciones de configuracin que sean necesarias a sus enrutadores y conmutadores de
red de capa 3 para soportar las direccionesMAC de multidifusin usadas por el FireCluster.
2. Agregue entradasARP estticas para cada uno de los enrutadores y conmutadores de red de capa 3
que se conectan al FireCluster.
Para ms informaciones, vea Agregar entradas ARP estticas para un FireCluster activo/activo en la
pgina 253
Antes de empezar
Antes de configurar el FireCluster, debe completar las tareas descritas en las secciones siguientes,
Verificar los componentes bsicos
Asegurarse de que tiene esos tems:
n Dos dispositivos Firebox X Core, Peak o WatchGuard XTM del mismo modelo
n La misma versin del Fireware XTM con actualizacin Pro instalada en cada dispositivo
n Un cable cruzado (rojo) para cada interfaz de clster (Si configura una interfaz del clster de
resguardo), debe usar dos cables cruzados.)
n Un conmutador de red para cada interfaz de trfico activa
n Cables ethernet para conectar los dispositivos a los conmutadores de red
n Los nmeros de serie de cada dispositivo
n Teclas de funcin para cada dispositivo
Para ms informacin acerca de los requisitos de tecla de funcin para el FireCluster, vea Acerca de
las teclas de funcin y el FireCluster en la pgina 280
FireCluster
FireCluster
Gua del Usuario 249
Configurar la interfaz externa con una direccin IP esttica
Para usar el FireCluster, debe configurar cada interfaz externa con una direccinIP esttica. No se puede
activar el FireCluster si no hay una interfaz externa configurada para utilizar el DHCP o PPPoE.
Configurar enrutadores y conmutadores de red
En la configuracin de FireCluster activo/activo, las interfaces de red para el clster usan direcciones MAC
de multidifusin. Antes de habilitar un FireCluster activo/activo, asegrese de que los enrutadores de red y
otros dispositivos estn configurados para enrutar adecuadamente el trfico hacia y desde las direcciones
MAC de multidifusin.
Para ms informaciones, vea Requisitos de conmutador y enrutador para un FireCluster activo/activo en la
pgina 251.
Ese paso no es necesario para un clster activo/pasivo porque ste no usa direcciones MAC de
multidifusin.
Seleccione direcciones IP para interfaces del clster
Recomendamos que haga una tabla con las direcciones de red que planea usar para las interfaces del
clster y la interfaz para la direccin IP de administracin. El FireCluster Setup Wizard pide que sean
configuradas individualmente para cada clster miembro. Si planea las interfaces y las direcciones IP de
antemano, es ms fcil configurar esas interfaces con el asistente.
N. de la interfaz y direcciones IP para las interfaces del clster
Interfaz n.
DireccinIP para Miembro
1
Direccin IP para Miembro
2
Interfaz de clster principal _____
_____._____._____.____
_ / ____
_____._____._____.____
_ / ____
Interfaz de clster de resguardo _____
_____._____._____.____
_ / ____
_____._____._____.____
_ / ____
Interfaz para direccin IP de
administracin
_____
_____._____._____.____
_ / ____
_____._____._____.____
_ / ____
Interfaz de clster principal
Esta es la interfaz en el dispositivo WatchGuard dedicada a la comunicacin entre los clsters
miembros. Esa interfaz no es usada para trfico de red regular. Si tiene una interfaz configurada
como interfazVLAN exclusiva, no la elija como la interfaz de clster exclusiva.
Las direccionesIP de la interfaz principal para ambos clster miembros deben estar en la misma
subred.
Interfaz del clster de resguardo (opcional, pero recomendado)
Esa es la segunda interfaz en el dispositivo WatchGuard dedicada a la comunicacin entre los
clsters miembros. Los clster miembros usan la interfaz de clster de resguardo para comunicarse
si la interfaz de clster principal no est disponible. Para redundancia, recomendamos que use dos
interfaces de clster.
Las direccionesIP de la interfaz de resguardo para ambos clster miembros deben estar en la
misma subred.
Interfaz para direccin IP de administracin
Esa es la interfaz de red del Firebox usada para establecer una conexin directa hacia un dispositivo
clster desde cualquier aplicacin de administracin de WatchGuard.
Las direcciones IP de administracin para cada clster miembro pueden estar en diferentes
subredes.
Params informaciones, veaAcerca dela interfaz para direccinIP deadministracin enlapgina245.
Conectar el hardware de FireCluster
Nota Cada dispositivo en un clster debe tener el mismo modelo y usar la misma versin
del Fireware XTMcon actualizacin Pro.
Para conectar dos dispositivos Firebox o XTMen una configuracin de FireCluster:
1. Use el cable Ethernet cruzado (rojo) para conectar la interfaz del clster principal en un dispositivo
Firebox o XTMa la interfaz del clster principal en el otro dispositivo.
2. Si desea activar una interfaz del clster de respaldo, use un segundo cable Ethernet cruzado para
conectar interfaces de clster de respaldo. Si tiene una interfaz de red disponible, recomendamos
que conecte y configure una interfaz de clster de respaldo, por redundancia.
3. Conecte la interfaz externa de cada dispositivo al conmutador de red. Si usa un WAN mltiple,
conecte la segunda interfaz externa de cada dispositivo a otro conmutador de red.
4. Conecte la interfaz de confianza de cada dispositivo a un conmutador de red interna.
5. Para cada dispositivo, conecte otras interfaces de red opcional o de confianza al conmutador de red
interna de ese dispositivo.
Para ms informacin acerca de los requisitos de conmutadores de red, vea Requisitos de
conmutador y enrutador para un FireCluster activo/activo en la pgina 251.
Nota Debe conectar cada par de interfaces de red a su propio conmutador o
concentrador exclusivo. No conecte ms de un par de interfaces al mismo
conmutador.
El diagrama de abajo muestra conexiones para una configuracin FireCluster simple.
FireCluster
FireCluster
Gua del Usuario 251
En ese ejemplo, el FireCluster tiene una interfaz de confianza y una externa conectadas a los conmutadores
de red. Las interfaces del clster principal estn conectadas por un cable cruzado.
Despus de conectar los dispositivos FireCluster, ya podr configurar el FireCluster en el Policy Manager. Se
puede hacer eso de dos formas:
Requisitos de conmutador y enrutador para un FireCluster
activo/activo
Advertencia Al configurar un FireCluster en configuracin activa/activa, el clster usa
direccionesMAC de multidifusin para todas las interfaces que envan trfico de
red. Antes de activar el FireCluster, asegrese de que los conmutadores de red,
enrutadores y otros dispositivos estn configurados para enrutar trfico de red con
direccionesMAC de multidifusin.
Un dominio de difusin de capa 2 es una parte lgica de una red informtica en la cual todos los nodos de
red pueden comunicarse unos con otros sin usar un dispositivo de enrutamiento de capa 3, tal como un
enrutador o un conmutador administrado.
Un FireCluster activo/activo usa una direccin MAC de multidifusin nica. La mayora de los enrutadores y
conmutadores administrados ignoran el trfico de direcciones MAC de multidifusin por defecto. Antes de
activar un FireCluster activo/activo, asegrese de que todos los conmutadores y enrutadores de red en el
dominio de difusin de capa 2 cumplen con los requisitos.
Requisitos para los conmutadores y enrutadores
Todos los conmutadores y enrutadores en un dominio de difusin de FireCluster activo/activo deben
cumplir con esos requisitos.
1. Todos los conmutadores y enrutadores en un dominio de difusin no deben bloquear las solicitudes
ARP si la respuesta contiene una direccin MAC de multidifusin.
n Ese requisito debe ser cumplido para todos los conmutadores y enrutadores en un domino de
difusin, aunque el conmutador o enrutador no est conectado directamente a los dispositivos
FireCluster.
n Para conmutadores no administrados de capa 2, ese es el comportamiento predeterminado y
no se requiere un cambio de configuracin.
n Para los enrutadores y conmutadores ms administrados, el comportamiento predeterminado
es bloquear las respuestasARP que contengan una direccinMAC de multidifusin. Verifique la
documentacin de su conmutador o enrutador administrado si hay una opcin de
configuracin que permita respuestasARP que contengan una direccinMAC de multidifusin.
En algunos enrutadores de red, es posible agregar la direccinMAC de multidifusin como una
entradaARP esttica. Si su enrutador lo soporta, agregue una entradaARP esttica para asignar
la direccinIP del clster a su direccin MAC de multidifusin.
n El enrutador no debe estar configurado para soportar el requisito ARP de multidifusin en RFC
1812, seccin 3.2.2.
2. Los conmutadores adjuntadados directamente a las interfaces externas e internas del clster deben
ser configuradas para reenviar el trfico a todos los puertos cuando la direccin MAC de destino es
una direccinMAC de multidifusin.
n Para conmutadores no administrados de capa 2, ese es el comportamiento predeterminado y
no se requiere un cambio de configuracin.
n Para los enrutadores y la mayora de los conmutadores administrados, se debe hacer un
cambio de configuracin para cumplir con ese requisito. Puede ser necesario insertar una
entrada de tabla-direccin-mac esttica para especificar los destinos de puerto para el trfico
destinado a la direccinMAC de multidifusin.
Una direccin MAC de multidifusin no es compartida entre el par. La direccin MAC comienza con
01:00:5E. Es posible encontrar las direcciones MAC de multidifusin para un clster en la pestaa Informe
de Estado del Firebox System Manager, o en el cuadro de dilogo de configuracin de FireCluster en el
Policy Manager.
Para ms informaciones, vea Encontrar las direcciones MAC de multidifusin para un clster activo/activo
en la pgina 268.
Para un FireCluster activo/activo, tambin debe agregar entradas ARP estticas para sus enrutadores de
capa 3 en la configuracin del FireCluster en el Policy Manager.
FireCluster
FireCluster
Gua del Usuario 253
Params informaciones,veaAgregar entradas ARPestticas paraun FireCluster activo/activo enlapgina253.
Para ver un ejemplo de cmo configurar dos conmutadores para un FireCluster activo/activo, vea Ejemplo
de conmutador y configuracin ARP esttica para un FireCluster activo/activo en la pgina 253.
Agregar entradas ARP estticas para un FireCluster activo/activo
Un FireCluster activo/activo usa una direccin MAC de multidifusin para cada interfaz activa conectada a su
red. El FireCluster activo/activo enva esa direccin MAC de multidifusin por la red.
Para algunos conmutadores, puede ser necesario agregar entradas ARP estticas para cada conmutador de
red de capa 3 conectado a la interfaz de trfico de FireCluster. De lo contrario, la comunicacin de red
puede no funcionar correctamente. Puede usar el Policy Manager para agregar entradas ARP estticas al
FireCluster.
Para agregar entradasARP estticas a la configuracin de su Firebox:
1. En el WatchGuard System Manager, use la direccin IP de interfaz del clster configurado para
conectarse al FireCluster. No use la direccin IP de administracin.
2. Haga clic en .
3. Seleccione Red >EntradasARP.
Aparece el cuadro de dilogo "EntradasARP estticas.
Aparece el cuadro de dilogo "Agregar entradaARP".
5. En la lista desplegable Interfaz, seleccione la interfaz para el conmutador de capa 3.
6. En el cuadro de texto Direccin IP , inserte la direccin IP del conmutador de red.
7. En el cuadro de texto Direccin MAC , inserte la direccinMAC del conmutador. Haga clic en OK.
La entradaARP esttica es agregada a la lista de Entradas de ARP esttica.
8. Repita los Pasos 4 a 7 para agregar entradas ARP estticas para cada conmutador que es
directamente conectado a cada interfaz del FireCluster.
9. Haga clic en OK.
10. Seleccione Archivo >Guardar> en Firebox para guardar las entradasARP estticas en el FireCluster.
Tambindebe configurar los conmutadores de redpara trabajar con el FireCluster activo/activo. Para ms
informaciones, vea Requisitos de conmutador y enrutador para un FireCluster activo/activo en lapgina 251.
Para ver un ejemplo de cmo configurar dos conmutadores para un FireCluster activo/activo, vea Ejemplo
de conmutador y configuracin ARP esttica para un FireCluster activo/activo en la pgina 253.
Ejemplo de conmutador y configuracin ARP esttica para un
FireCluster activo/activo
Los conmutadores de capa 3 que funcionan en modo predeterminado no tienen problemas con el trfico
de multidifusin, entonces el FireCluster funciona sin cambios de configuracin. Un conmutador de capa 3
que tenga todos los puertos configurados en una VLAN tambin funciona sin problemas. Si el conmutador
de capa 3 tiene puertos configurados para diferentes VLANs, debe cambiar la configuracin para activar el
conmutador para que opere correctamente con un FireCluster.
Los conmutadores de capa 3 que establecen la VLAN, y/o enrutamiento de la direccin IP, desechan el
trfico de multidifusin de los miembros del FireCluster. El conmutador desecha el trfico hacia y a travs
del enrutador, excepto si configura las entradas ARP y MAC estticas para el MAC de multidifusin del
FireCluster en el conmutador que recibe el trfico de multidifusin.
Al configurar un FireCluster activo/activo, puede necesitar hacer algunas alteraciones de configuracin en
el FireCluster y en sus conmutadores de red, para las direcciones MAC de multidifusin de FireCluster
funcionen adecuadamente. Para informacin general, vea:
n Requisitos de conmutador y enrutador para un FireCluster activo/activo
n Agregar entradas ARP estticas para un FireCluster activo/activo
Ese tpico incluye un ejemplo de cmo configurar los conmutadores y el ARP esttico de FireCluster para
un FireCluster activo/activo. Ese ejemplo no incluye todos los otros pasos para configurar un FireCluster.
Para instrucciones acerca de cmo configurar un FireCluster, vea Configurar FireCluster en la pgina 246.
Antes de empezar, asegrese de tener:
n La direccin IP y direccin MAC de multidifusin de la interfaz del FireCluster a la cual el
conmutador est conectado.
Para ms informaciones, vea Encontrar las direcciones MAC de multidifusin para un clster
n La direccin IP y la direccin MAC de cada conmutador o enrutador conectado a las interfaces del
FireCluster.
Nota El WatchGuard ofrece instrucciones de interoperabilidad para ayudar nuestros
clientes a configurar los productos WatchGuard para que funcionen con
productos creados por otras organizaciones. Si necesita ms informacin o
soporte tcnico sobre cmo configurar un producto que no sea de WatchGuard,
consulte la documentacin y recursos de soporte del producto en cuestin.
Ejemplo de configuracin
En ese ejemplo, la configuracin del FireCluster tiene una interfaz externa y una interna. La interfaz externa
de cada clster miembro est conectada a un conmutador Cisco 3750. La interfaz interna de cada clster
miembro est conectada a un conmutador Extreme Summit 15040. Para los comandos especficos para
hacer las alteraciones de configuracin en su conmutador, vea la documentacin de su conmutador. Los
comandos para dos conmutadores diferentes estn incluidos en este ejemplo.
Direcciones IP en este ejemplo:
n Interfaz FireCluster 0 interfaz (externa)
Direccin IP: 50.50.50.50/24
Direccin MAC de multidifusin: 01:00:5e:32:32:32
n Interfaz FireCluster 1 interfaz (de confianza)
Direccin IP: 10.0.1.1/24
Direccin MAC de multidifusin: 01:00:5e:00:01:01
n Conmutador Cisco 3750 conectado a la interfaz externa del FireCluster
FireCluster
FireCluster
Gua del Usuario 255
Direccin IP: 50.50.50.100
Direccin MAC de interfaz VLAN: 00:10:20:3f:48:10
ID de VLAN: 1
Interfaz: gi1/0/11
n Conmutador Extreme Summit 48i conectado a la interfaz interna del FireCluster
Direccin IP: 10.0.1.100
Direccin MAC: 00:01:30:f3:f1:40
ID de VLAN: Border-100
Interfaz: 9
Configurar el conmutador Cisco
En este ejemplo, el conmutador Cisco est conectado a la interfaz de FireCluster 0 (externa). Debe usar la
lnea de comando Cisco para aadir las entradasARP y MAC estticas para la direccin MAC de
multidifusin de la interfaz externa de FireCluster.
1. Inicie la interfaz de lnea de comando del Cisco 3750.
2. Agregue una entrada ARP esttica para la direccin MAC de multidifusin para la interfaz de
FireCluster.
Ingrese este comando:
arp <FireCluster interface IP address> <FireCluster MAC address> arpa
Para este ejemplo, ingrese:
arp 50.50.50.50 0100.5e32.3232 arpa
3. Agregue una entrada a la tabla de direccin MAC.
mac-direccin-tabla esttica <FireCluster interface MAC address> vlan <ID>
interfaz <#>
mac-direccin-tabla esttica 0100.5e32.3232 vlan 1 interfaz gi1/0/11
Configurar el conmutador Extreme
En este ejemplo, el conmutador Extreme Summit est conectado a la interfaz de FireCluster 1 (de
confianza). Debe usar la lnea de comando Extreme Summit para aadir las entradasARP y MAC estticas
para la direccin MAC de multidifusin de la interfaz externa de FireCluster.
1. Inicie la lnea de comando de Extreme Summit 48i.
2. Agregue una entrada ARP esttica para la direccin MAC de multidifusin para la interfaz de
FireCluster.
configurado iparp agregar <ip address> <MAC Address>
configurado iparp agregar 10.0.1.1/24 01:00:5e:00:01:01
3. Agregue una entrada a la tabla de direccin MAC.
crear fdbentry <MAC> VLAN <ID> puerto<#> Para este ejemplo, ingrese:
crear fdbentry 01:00:5e:00:01:01 VLAN Border-100 puerto 9
Agregar entradas ARP estticas a la configuracin del FireCluster para cada
conmutador
Para una explicacin de por qu eso es necesario, vea Agregar entradas ARP estticas para un FireCluster
1. En el WatchGuard System Manager, use la direccin IP de interfaz de confianza del clster para
conectarse al FireCluster. No use la direccin IP de administracin,
2. Haga clic en .
3. Seleccione Red >EntradasARP.
Aparece el cuadro de dilogo "EntradasARP estticas.
5. En la lista desplegable Interfaz, seleccione Externo.
6. En el cuadro de texto Direccin IP, ingrese la direccin IP de la interfaz del conmutador que est
conectada a la interfaz externa.
Para este ejemplo, ingrese: 50.50.50.100
7. En el cuadro de texto Direccin MAC, ingrese la direccinMAC de la interfaz VLAN en el
conmutador Cisco que est conectada a la interfaz externa.
Para este ejemplo, ingrese: 00:10:20:3f:48:10
8. Haga clic en OK.
10. En la lista desplegable Interfaz, seleccione Confianza.
11. En el cuadro de texto Direccin IP, ingrese la direccin IP de la interfaz del conmutador que est
conectada a la interfaz de confianza.
Para este ejemplo, ingrese: 10.0.1.100
12. En el cuadro de texto Direccin MAC, ingrese la direccin MAC de la interfaz del conmutador que
est conectada a la interfaz de confianza.
Para este ejemplo, ingrese: 00:01:30:f3:f1:40
14. Haga clic en Aceptar para cerrar el cuadro de dilogo EntradasARP estticas.
15. Seleccione Archivo >Guardar> en Firebox para guardar las entradasARP estticas en el FireCluster.
FireCluster
FireCluster
Gua del Usuario 257
Usar el FireCluster Setup Wizard
Para configurar el FireCluster, puede ejecutar el FireCluster Setup Wizard o configurar el FireCluster
manualmente.
Para ms informacin acerca de cmo configurar el FireCluster manualmente, vea Configurar el FireCluster
manualmente en la pgina 262 .
Antes de activar el FireCluster:
n Asegrese de tener todo lo necesario para configurar su FireCluster y de planificar su configuracin.
Para informaciones, vea Antes de empezar en la pgina 248.
n Conecte los dispositivos FireCluster unos a otros y a la red, tal como se describe en Conectar el
hardware de FireCluster en la pgina 250.
Advertencia En la configuracin de FireCluster activo/activo, las interfaces de red para el
clster usan direcciones MAC de multidifusin. Antes de habilitar un FireCluster
activo/activo, asegrese de que los enrutadores de red y otros dispositivos estn
configurados para soportar el trfico de red de multidifusin.
Para ms informaciones, vea Requisitos de conmutador y enrutador para un
FireCluster activo/activo en la pgina 251.
Configurar FireCluster
1. En el WatchGuard System Manager, conctese al dispositivo WatchGuard que tenga la configuracin
que desea usar para el clster. Despus de activar el FireCluster, ese dispositivo se vuelve el clster
principal la primera vez que salva la configuracin.
2. Haga clic en .
El Policy Manager abre el archivo de configuracin del dispositivo seleccionado.
3. Seleccione FireCluster> Asistante de Configuracin.
El FireCluster Setup Wizard se inicia.
4. Haga clic en Siguiente.
5. Seleccione el tipo de clster que desea activar:
Clster Activo/Activo
Activar el clster para alta disponibilidad y distribucin de carga. Si selecciona esa opcin, el
clster equilibra las solicitudes de conexin entrante entre ambos dispositivos en l. No se
puede configurar un activo/activo si la interfaz externa de su dispositivo WatchGuard est
configurada para DHCP o PPPoE.
Clster Activo/Pasivo
Activa el clster para alta disponibilidad, pero no para distribucin de carga. Si selecciona esa
opcin, el clster tiene un dispositivo activo que maneja todas las conexiones, y un dispositivo
pasivo que maneja conexiones slo si ocurre una conmutacin por error del primer dispositivo.
6. Seleccione el IDdel clster.
El IDdel clster identificasingularmente ese clster si configurams de unclster enel mismo
dominiode difusinde capa2. Si solotiene unclster, puede mantener el valor predeterminadode 1.
7. Si seleccion el clster Activo/activo, seleccione el mtodo de balance de cargas.
El mtodo de balance de cargas es utilizado para balancear conexiones entre clster miembros
activos. Hay dos opciones:
Conexin mnima
Si selecciona esa opcin, cada nueva conexin es asignada al clster miembro activo con el
nmero mnimo de conexiones abiertas. Esa es la configuracin predeterminada.
Operacin por turnos
FireCluster
FireCluster
Gua del Usuario 259
Si selecciona esa opcin, se distribuyen nuevas conexiones entre los clsters miembros activos
en una operacin por turnos. La primera conexin va a un clster miembro. La conexin
siguiente va a otro clster miembro, y as sucesivamente.
8. Selecciona las interfaces de clster Principal y de Resguardo. Las interfaces de clster se dedican a
establecer la comunicacin entre clsters miembros y no son usadas para otro trfico de red. Debe
configurar la interfaz Principal. Para redundancia, recomendamos que tambin configure una
interfaz de Resguardo.
Principal
La interfaz en el dispositivo WatchGuard dedicada a la comunicacin principal entre los clsters
miembros. Seleccione el nmero de interfaces usadas para conectar los dispositivos FireCluster
unos a otros.
Resguardo
La interfaz en el dispositivo WatchGuard dedicada a la comunicacin entre los clsters
miembros caso una interfaz principal falle. Seleccione el segundo nmero de interfaz usado
para conectar los dispositivos de FireCluster unos a otros, si hay alguno.
Nota Si tiene una interfaz configurada como interfazVLAN exclusiva, no la elija como la
interfaz de clster exclusiva.
9. Seleccione Interfaz para direccinIPde administracin. Usaesainterfaz paraconectarse
directamente alos dispositivos miembros de FireCluster paraoperaciones de mantenimiento. Esano
es unainterfaz exclusiva. Tambines utilizadaparaotrotrficode red.
10. Cuando solicitado por el asistente de configuracin, aada esas propiedades del FireCluster
miembro a cada dispositivo:
Tecla de funcin
Para cada dispositivo, importe o descargue la tecla de funcin para activar todas las funciones
del dispositivo. Si import anteriormente la tecla de funcin en el Policy Manager, el asistente
automticamente usa esa tecla de funcin para el primer dispositivo del clster.
Nombre del miembro
El nombre que identifica a cada dispositivo en la configuracin del FireCluster.
Nmero de serie
El nmero de serie del dispositivo. El nmero de serie es usado como ID del miembro en el
cuadro de dilogo Configuracin del FireCluster. El asistente define eso automticamente
cuando importa o descarga la tecla de funcin para el dispositivo.
Direccin IP de la interfaz del clster principal
La direccinIP que los clsters miembros usan para comunicarse unos con otros por la interfaz
del clster principal. La direccin IP del FireCluster principal para cada clster miembro debe
estar en la misma subred.
Si ambos dispositivos inician al mismo tiempo, el clster miembro con la direccin IP ms alta
asignada a la interfaz del clster principal se convierte en el principal.
DireccinIP de la interfaz del clster de resguardo
La direccinIP que los clsters miembros usan para comunicarse unos con otros por la interfaz
del clster de resguardo. La direccin IP del FireCluster de resguardo para cada clster
miembro debe estar en la misma subred.
Direccin IP de administracin
Una direccinIP nica que puede usar para conectarse a un Firebox individual mientras est
configurado como parte de un clster. Debe especificar una direccinIP de administracin
diferente para cada clster miembro.
11. Revise el resumen de configuracin en la pantalla final del FireCluster Setup Wizard. El resumen de
configuracin incluye las opciones seleccionadas y cules interfaces son monitoreadas para el
estado del enlace.
Aparece el cuadro de dilogo de configuracin de FireCluster.
FireCluster
FireCluster
Gua del Usuario 261
13. En la seccin Configuracin de interfaz, revise la lista de interfaces monitoreadas.
La lista de interfaces monitoreadas no incluye aqullas configuradas como interfaces de clster
Principal y de Resguardo. El FireCluster monitorea el estado del enlace para todas las interfaces
activadas. Si el clster principal detecta la prdida de enlace de una interfaz monitoreada, l
empieza una conmutacin por error para ese dispositivo.
Se debe desactivar las interfaces que no estn conectadas a su red antes de guardar la configuracin
del FireCluster en el Firebox.Para desactivar una interfaz:
n En el Policy Manager, seleccione Red >Configuracin.
n Haga doble clic en la interfaz que desea desactivar y defina el Tipo de interfaz en Desactivado.
Nota No guarde el archivo de configuracin antes de iniciar el segundo dispositivo en
modo seguro.
14. Inicie el segundo dispositivo WatchGuard en modo seguro.
Para iniciar en modo seguro, presione y mantenga el botn con la flecha hacia abajo en el panel
delantero mientras enciende el dispositivo.
Mantenga el botn de flecha hacia abajo presionado hasta que aparezca en la pantalla LCD
WatchGuard Technologies. Cuando el dispositivo est en modo seguro, el nmero del modo
seguido de la palabra seguro aparece en la pantalla LCD..
15. Guarde la configuracin en el clster principal.
El clster es activado y el clster principal automticamente encuentra el otro clster miembro configurado.
Despus de activar el clster, se puede monitorear el estado de los clsters miembros en la pestaa Panel
delantero del Firebox System Manager.
Para ms informaciones, vea Monitorear y controlar miembros de FireCluster en la pgina 270.
Si el segundo dispositivo no es encontrado automticamente, puede desencadenar manualmente el
hallazgo del dispositivo, tal como se describe en Descubra un miembro del clster en la pgina 272.
Configurar el FireCluster manualmente
Puede activar el FireCluster manualmente o usar el FireCluster Setup Wizard. Para ms informaciones, vea
Usar el FireCluster Setup Wizard en la pgina 257 .
Antes de activar el FireCluster:
n Asegrese de tener todo lo necesario para configurar su FireCluster y de planificar su configuracin.
Para ms informaciones, vea Antes de empezar en la pgina 248.
n Conecte los dispositivos FireCluster unos a otros y a la red, tal como se describe en Conectar el
hardware de FireCluster en la pgina 250.
Advertencia En la configuracin de FireCluster activo/activo, las interfaces de red para el
clster usan direcciones MAC de multidifusin. Antes de habilitar un FireCluster
activo/activo, asegrese de que los enrutadores de red y otros dispositivos estn
configurados para soportar el trfico de red de multidifusin. Para ms
informaciones, vea Requisitos de conmutador y enrutador para un FireCluster
Activar FireCluster
1. En el WatchGuard System Manager, conctese al dispositivo WatchGuard que tenga la configuracin
que desea usar para el clster. Ese dispositivo se convierte en el clster principal la primera vez que
guarda la configuracin con el FireCluster activado.
2. Haga clic en .
3. Seleccione FireCluster >Configurar.
Aparece el cuadro de dilogo "Configuracin de clster de FireCluster".
FireCluster
FireCluster
Gua del Usuario 263
4. Seleccione la casilla de verificacin Activar FireCluster.
5. Seleccione el tipo de clster que desea activar.
Activar clster Activo/Activo
Activarel clsterparaaltadisponibilidadydistribucindecarga. Si seleccionaesaopcin, el clster
balancealacargade trficoenambosdispositivos del clster. El activo/activonoestdisponiblesi la
interfazexternadesudispositivoWatchGuardestconfiguradaparaDHCP oPPPoE.
Activar clster Activo/Pasivo
Activa el clster para alta disponibilidad, pero no para distribucin de carga. Si selecciona esa
opcin, el clster tiene un dispositivo activo que maneja todo el trfico de red, y un dispositivo
pasivo que maneja el trfico solo si ocurre una conmutacin por error del primer dispositivo.
6. Si seleccion Activar clster activo/activo, en la lista desplegable Mtodo de balance de cargas,
seleccione el mtodo para balancear carga de trfico entre clsters miembros activos.
Conexin mnima
Si selecciona esa opcin, cada nueva conexin es asignada al clster miembro activo con el
nmero mnimo de conexiones abiertas.
Operacin por turnos
Si selecciona esa opcin, se distribuyen las conexiones entre los clsters miembros activos en
una operacin por turnos. La primera conexin va a un clster miembro. La conexin siguiente
va a otro clster miembro, y as sucesivamente.
7. En la lista desplegable ID de clster, seleccione un nmero para identificar ese FireCluster.
El ID del clster identificasingularmente ese FireCluster si hay ms de unFireCluster activoen el
mismosegmento de red. Si slo tiene un FireCluster, puede mantener el valor predeterminado de 1.
Configurar interfaz
La interfaz del FireCluster es una exclusiva que los clster miembros usan para comunicarse unos con otros
acerca del estado del sistema. Puede configurar slo una o dos interfaces de FireCluster. Para redundancia,
si tiene las interfaces disponibles, recomendamos que configure dos interfaces de FireCluster. Si tiene una
interfaz configurada como interfazVLAN exclusiva, no la elija como la interfaz de FireCluster exclusiva. Es
necesario desactivar las interfaces que no estn conectadas a su red antes de guardar la configuracin del
FireCluster en el Firebox.
1. En la lista desplegable Interfaz de clster principal, seleccione una interfaz para usar como la
principal.
2. Para usar una segunda interfaz de clster, en la lista desplegable Interfaz de clster de resguardo,
seleccione una interfaz para usar como interfaz de resguardo.
3. Seleccione Interfaz para direccinIPde administracin. Esaes lainterfaz de reddel dispositivo
WatchGuardusadaparaestablecer unaconexindirectahaciaundispositivoclster concualquier
aplicacinde administracinde WatchGuard.
4. Revise la lista de interfaces monitoreadas. La lista de interfaces monitoreadas no incluye aqullas
configuradas como interfaces de FireCluster Principal y de Resguardo. El FireCluster monitorea el
estado del enlace para todas las interfaces activadas. Si el clster principal detecta la prdida de
enlace de una interfaz monitoreada, l empieza una conmutacin por error para ese dispositivo.
5. Para desactivar una interfaz, en el Policy Manager, seleccione Red >Configuracin.
6. Haga doble clic en la interfaz que desea desactivar.
7. Defina el Tipo de interfaz en Desactivado.
Advertencia El FireCluster monitorea el estado de todas las interfaces de red activadas.
Asegrese de que todas las interfaces en la lista de interfaces monitoreadas estn
conectadas a un conmutador de red.
Definir miembros de FireCluster
1. Haga clic en la pestaa Miembros.
Aparecen las configuraciones de miembros de FireCluster.
FireCluster
FireCluster
Gua del Usuario 265
Si import anteriormente una tecla de funcin en ese archivo de configuracin, ese dispositivo es
automticamente configurado como Miembro 1.
Si no tiene una tecla de funcin en ese archivo de configuracin, el miembro de FireCluster no
aparece en la lista. En ese caso, debe aadir cada dispositivo como miembro e importar el archivo
de configuracin para cada dispositivo, tal como se describe en los pasos siguientes.
2. Para aadir un miembro, haga clic en Agregar.
Aparece el dilogo "Agregar miembro".
3. En el cuadro de texto Nombre del miembro , ingrese un nombre. Ese nombre identifica ese
dispositivo en la lista de miembros.
4. Haga clic en la pestaa Tecla de funcin.
Aparece el cuadro de dilogo" Importar tecla de funcin de Firebox.
6. Para encontrar el archivo de la tecla de funcin, haga clic en Examinar.
O copie el texto del archivo de la tecla de funcin y haga clic en Pegar para insertarlo en el cuadro
de dilogo.
7. Haga clic en OK.
8. Haga clic en la pestaa Configuracin.
El campo Nmero de Serie se rellena automticamente con el nmero de serie de la tecla de funcin.
FireCluster
FireCluster
Gua del Usuario 267
9. En el cuadro de texto Direccin IP de la interfaz, ingrese las direcciones que usar para cada interfaz
del clster y la interfaz para la direccin IP de administracin.
n En el cuadro de texto Clster principal, ingrese la direccin IP que usar para la interfaz del
clster principal. La direccin IP para la interfaz del clster principal debe estar en la misma
subred que cada clster miembro.
Nota El clster miembro con la direccin IP ms alta asignada a la interfaz del clster
principal se convierte en el principal, si ambos dispositivos inician al mismo tiempo.
n En el cuadro de texto Clster de resguardo, ingrese la direccin IP que usar para la interfaz del
clster de resguardo. Esa opcin slo aparece si configur una interfaz de clster de resguardo.
La direccin IP para la interfaz del clster de resguardo debe estar en la misma subred que
cada clster miembro.
n El cuadro de texto Interfaz para direccin IP de administracin, ingrese la direccin IP que
usar para conectarse a un clster miembro individual para operaciones de mantenimiento. La
interfaz para administracin no es una interfaz exclusiva. Ella tambin es usada para otro trfico
de red. Eso puede ser cualquier direccin, pero debe ser diferente de cada clster miembro.
Para ms informaciones, vea Acerca de la interfaz para direccinIP de administracin en la
pgina 245.
El dispositivo agregado aparece en la pestaa Miembros como un clster miembro.
11. Repita los pasos anteriores para aadir el segundo dispositivo WatchGuard a la configuracin del
clster.
Nota No guarde la configuracin en el Firebox antes de iniciar el segundo dispositivo en
modo seguro.
12. Inicie el segundo dispositivo WatchGuard en modo seguro.
Para iniciar en modo seguro, presione y mantenga el botn con la flecha hacia abajo en el panel
delantero mientras enciende el dispositivo.
Para el dispositivo Firebox X Core o Peak, mantenga presionada la flecha hacia abajo hasta que
aparezca WatchGuard Technologies en la pantalla LCD. Cuando el dispositivo est en modo
seguro, el nmero del modo seguido de la palabra seguro aparece en la pantalla LCD..
En un dispositivo WatchGuard XTM, mantenga presionada la flecha hacia abajo hasta que
Iniciando en modo seguro... aparezca en su pantalla LCD. Cuando el dispositivo est en modo
seguro, el nmero del modo seguido de la palabra seguro aparece en la pantalla LCD..
13. Guardar la configuracin en el Firebox.
El clster est activado. El clster principal automticamente descubre el otro clster miembro configurado y
sincroniza la configuracin.
Despus de activar el clster, se puede monitorear el estado de los clsters miembros en la pestaa Panel
delantero del Firebox System Manager.
Si el segundo dispositivo no es encontrado automticamente, puede desencadenar manualmente el
hallazgo del dispositivo, tal como se describe en Descubra un miembro del clster en la pgina 272.
Encontrar las direcciones MAC de multidifusin para un clster
activo/activo
Para configurar su conmutador para soportar las direcciones MAC de multidifusin de FireCluster, puede
necesitar conocer las direcciones MAC de multidifusin que el clster usa para cada interfaz. Hay dos
formas de descubrir las direccin MAC asignadas a las interfaces.
Encontrar las direcciones MAC en el Policy Manager
1. Abra el Policy Manager del FireCluster activo/activo.
Aparece el cuadro de dilogo de configuracin de FireCluster.
3. En la seccin Configuraciones de interfaz, encuentre la direccin MAC de multidifusin para cada
interfaz.
Para copiar una direccin MAC de multidifusin desde la configuracin del FireCluster hacia la
configuracin de su conmutador o enrutador:
1. En la columna MAC de multidifusin, haga doble clic en la direccin MAC.
La direccin MAC aparece resaltada.
2. Haga clic y arrastre para resaltar la direccin MAC.
3. Presione Ctrl+C para copiarlo en el portapapeles
FireCluster
FireCluster
Gua del Usuario 269
4. Pegue la direccin MAC en su configuracin de conmutador o enrutador.
activo/activo en la pgina 251
Encuentre la direccinMAC en el Firebox System Manager
Tambin puede encontrar las direcciones MAC de multidifusin en el Firebox System Manager
1. Abra el Firebox System Manager.
2. Haga clic en la pestaa Panel delantero.
3. Expanda Interfaces.
La direccin MAC de multidifusin est incluida en cada interfaz en el clster.
ID de clster activo/pasivo y direccin MAC virtual
Un FireCluster activo/pasivo utiliza una direccin MAC virtual, calculada sobre la base de la ID de clster y
los nmeros de interfaz. Si configura ms de un FireCluster activo/pasivo en la misma subred, es importante
que sepa cmo configurar la ID de clster para evitar un posible conflicto con la direccin MAC virtual.
Cmo se calcula la direccin MAC virtual
Las direcciones MAC virtuales para interfaces en un FireCluster activo/pasivo comienzan con
00:00:5E:00:01. El sexto octeto de la direccin MAC se configura a un valor que es igual al nmero de
interfaz ms la ID de clster.
Por ejemplo, para un FireCluster con la ID de clster configurada en 1, las direcciones MAC virtuales sern:
Interfaz 0: 00:00:5E:00:01:01
Interfaz 1: 00:00:5E:00:01:02
Interfaz 2: 00:00:5E:00:01:03
Si agrega un segundo FireCluster en la misma subred, debe asegurarse de configurar la ID de clster en un
nmero que sea lo suficientemente distinto a la ID de clster del primer FireCluster para evitar un conflicto
de direccin MAC virtual. Por ejemplo, si el primer FireCluster tiene 5 interfaces, debe configurar la ID de
clster del segundo FireCluster por lo menos 5 unidades ms elevada que la ID de clster del primer
FireCluster.
Porejemplo,si el segundoFireClustertienelaIDdeclsterconfiguradaen6,lasdireccionesMACvirtualessern:
Interfaz 0: 00:00:5E:00:01:06
Interfaz 1: 00:00:5E:00:01:07
Interfaz 2: 00:00:5E:00:01:08
Monitorear y controlar miembros de FireCluster
Use la direccin IP de la interfaz de confianza para monitorear y administrar el clster. Cuando monitorea
el clster en el Firebox System Manager, encuentra una vista agregada de dispositivos en el clster. En el
FSM, se ve el estado de los clster miembros, como si el clster estuviera en un nico dispositivo.
Para monitorear un cluster:
1. En el Policy Manager, conctese a la direccin IP de confianza del clster.
2. Haga clic en .
Aparece el Firebox System Manager.
Cuando se conecta a la direccin IP de confianza del clster en el Firebox System Manager, los dispositivos
agrupados aparecen en la pestaa Panel delantero. Las otras pestaas incluyen informacin que se
combina para todos los dispositivos en el clster.
FireCluster
FireCluster
Gua del Usuario 271
Monitorear estado de miembros de FireCluster
Cuando monitorea un FireCluster, las pestaas de Firebox System Manager incluyen informacin acerca de
todos los dispositivos en el clster. En la pestaa Panel delantero, puede expandir el clster para ver el
estado de cada miembro. Eso muestra cul dispositivo es el principal, y el estado de cada dispositivo en el
cluster. Las otras pestaas incluyen informacin que se combina para todos los dispositivos en el clster.
Nota Tambin puede usar la interfaz para que la direccin IP de administracin se
conecte y monitoree un miembro del clster individual. Cuando monitorea slo un
clster miembro, no aparece toda la informacin acerca de l. Para ms
informaciones, vea Acerca de la interfaz para direccinIP de administracin en la
pgina 245.
Monitorear y controlar clster miembros
Tambin puede usar el Firebox System Manager para monitorear y controlar miembros individuales de
clster. Aunque las operaciones de FireCluster suelen ocurrir automticamente, es posible realizar algunas
funciones manualmente en el Firebox System Manager.
Para controlar los clsters miembros:
1. Seleccione Herramientas >Clster.
n Descubra un miembro del clster
n Forzar una conmutacin por error del clster principal
n Reiniciar un clster miembro
n Apagar un clster miembro
n Conectarse a un miembro del cluster
n Hacer que un miembro abandone un clster
n Integrar un miembro a un clster
Descubra un miembro del clster
Cuando agrega un dispositivo a un FireCluster, el clster principal automticamente encuentra el
dispositivo. Tambin puede usar el comando Encontrar miembro para desencadenar que el clster
principal encuentre un dispositivo. Eso puede ser un nuevo dispositivo o un clster miembro existente.
Antes de empezar, asegrese de que el dispositivo est:
n Conectado a la red correctamente, tal como se describe en Conectar el hardware de FireCluster en
la pgina 250
n Configurado como clster miembro en la configuracin del clster. Use uno de esos mtodos:
Para hacer que el clster principal empiece a buscar un dispositivo:
1. Si es un nuevo dispositivo para ese clster, inicie el nuevo dispositivo en modo seguro.
Para ms informacin, vea la seccin siguiente.
2. En el WatchGuard System Manager, conctese al clster principal.
4. Seleccione Herramientas >Clster >Encontrar miembro.
Aparece el cuadro de dilogo "Encontrar miembro".
FireCluster
FireCluster
Gua del Usuario 273
5. Ingrese la frase de contrasea de configuracin para el clster.
Aparece un mensaje diciendo que el proceso de encontrar miembro se ha iniciado.
6. Haga clic en OK.
El clster principal intenta encontrar nuevos dispositivos conectados al clster.
Cuando el clster principal encuentra un dispositivo conectado, verifica su nmero de serie. Si el nmero
de serie coincide con el de un clster miembro en la configuracin de FireCluster, el clster principal carga
la configuracin del clster en el segundo dispositivo. Ese dispositivo se convierte en activo en el clster. El
segundo dispositivo sincroniza todo el estado del clster con el clster principal.
Despus de encontrar y de concluir la sincronizacin inicial, el dispositivo aparece en la pestaa Panel
delantero del Firebox System Manager como un miembro del clster.
Iniciar su dispositivo en modo seguro
1. Presione y mantenga el botn con la flecha hacia abajo en el panel delantero mientras enciende el
dispositivo.
2. Para el dispositivo Firebox X Core o Peak, mantenga presionada la flecha hacia abajo hasta que
aparezca WatchGuard Technologies en la pantalla LCD.
En un dispositivo WatchGuard XTM, mantenga presionada la flecha hacia abajo hasta que
Iniciando en modo seguro... aparezca en su pantalla LCD.
3. Suelte el botn de la flecha.
Cuando el dispositivo est en modo seguro, el nmero del modo seguido de la palabra seguro
aparece en la pantalla LCD..
Forzar una conmutacin por error del clster principal
Puede usar el comando Conmutacin por error del principal del Firebox System Manager para forzar el
clster principal a hacer la conmutacin por error. El principal de resguardo se vuelve el clster principal y
el dispositivo principal original de vuelve el principal de resguardo.
1. Seleccione Herramientas >Clster >Conmutacin por error del principal.
Aparece el cuadro de dilogo "Conmutacin por error del principal".
3. Haga clic en OK.
El clster principal hace la conmutacin por error hacia el principal de resguardo y ste se vuelve el principal.
Reiniciar un clster miembro
Puede usar el comando Reiniciar miembro en el Firebox System Manager para reiniciar un clster
miembro. Ese equivale al comando Archivo >Reiniciar que usara para reiniciar un dispositivo no agrupado
en clster.
1. Seleccione Herramientas > Clster> Reiniciar miembro.
Aparece el cuadro de dilogo "Reiniciar miembro".
2. Seleccione el clster miembro que desea reiniciar.
4. Haga clic en OK.
El clster miembro reinicia y despus se reintegra al clster.
Si reinicia el clster principal, eso desencadena una conmutacin por error. El principal de resguardo se
convierte en el principal. Despus de concluido el reinicio, el clster principal original se reintegra principal
de resguardo.
Apagar un clster miembro
Puede usar el comando Apagar miembro en el Firebox System Manager para apagar un miembro de un
clster. Eso equipe al comando Archivo > Apagar que usa para apagar un dispositivo no agrupado en
clster.
1. Seleccione Herramientas > Clster > Apagar miembro.
Aparece el cuadro de dilogo "Apagar miembro".
FireCluster
FireCluster
Gua del Usuario 275
2. Seleccione el clster miembro que desea apagar.
4. Haga clic en OK.
El clster miembro se cierra. Cualquier trfico manejado por el clster miembro cambia hacia el otro clster
miembro.
Cuando apaga un clster miembro, el LCD, el puerto de serie y todas las interfaces del dispositivo son
apagados. La luz indicadora cambia al naranja y los ventiladores continan funcionando, pero no es posible
comunicarse con el dispositivo. Para reiniciar el dispositivo despus de apagarlo, debe presionar el botn
de encendido para apagar el dispositivo. Entonces, presione el botn de encendido nuevamente para
iniciarlo.
Conectarse a un miembro del cluster
Cuando se conecta a un FireCluster con el WatchGuard System Manager, la informacin disponible es
reunida para todos los miembros del clster. Para monitorear un clster miembro individual, puede
conectarse al clster miembro en el Firebox System Manager (FSM). El FSMtiene dos mtodos disponibles
para conectarse a un clster miembro: el men principal del FSMo el men del botn derecho del mouse.
Para usar el men principal:
1. Seleccione Herramientas >Clster >Conectarse al miembro.
Aparece el dilogo "Conectarse al miembro".
2. Seleccione el clster miembro al que desea conectarse.
3. Haga clic en OK.
Otra ventana del Firebox System Manager se abre para el clster miembro seleccionado.
Para usar el men del botn derecho:
1. En la pestaa Panel delantero, seleccione un clster miembro.
2. Haga clic con el botn derecho en el dispositivo y seleccione Conectar al miembro.
Hacer que un miembro abandone un clster
Su usa la direccin IP de administracin del FireCluster para conectarse al clster miembro, el comando
Abandonar est disponible en el Firebox System Manager. El comando Abandonar forma parte del
procedimiento para restaurar una imagen de copia de seguridad del FireCluster.
Cuando un miembro abandona el clster, todava sigue siendo parte de la configuracin de clster, pero no
participa de l. El otro clster miembro maneja todo el trfico en el clster despus que el segundo
miembro haya abandonado.
Para hacer que un miembro abandone un clster:
1. En el WatchGuard System Manager, use la direccin IP de administracin para conectarse al
principal de resguardo.
2. Inicie el Firebox System Manager para el principal de seguridad.
3. Seleccione Herramientas > Clster > Abandonar.
El principal de resguardo abandona el clster y se reinicia.
Para ms informacin acerca de la interfaz para direccinIP de administracin, vea Acerca de la interfaz
para direccinIP de administracin en la pgina 245.
Para ms informacin acerca de cmo restaurar una imagen de copia de seguridad para miembros de un
clster, vea Recuperar una imagen de copia de seguridad de FireCluster en la pgina 286.
FireCluster
FireCluster
Gua del Usuario 277
Integrar un miembro a un clster
El comando Integrarse slo est disponible en el Firebox System Manager si conecta a clster miembro con
la interfaz para la direccin IP de administracin, y si us el comando Abandonar anteriormente para hacer
que un miembro abandonara el clster. Los comandos de Abandonar e Integrarse forman parte del
procedimiento para restaurar una imagen de copia de seguridad del FireCluster.
1. En el WatchGuard System Manager, use la interfaz para la direccin IP de administracin para
conectarse al principal de resguardo.
Si la imagen de copia de seguridad restaurada tiene una interfaz diferente para la direccin IP de
administracin para ese clster miembro o una frase de contrasea diferente, use la interfaz para IP
de administracin y la frase de contrasea de la imagen de copia de seguridad para reconectarse al
dispositivo en WSM.
3. Seleccione Herramientas > Clster >Integrarse.
El principal de resguardo se reinicia y se reintegra al clster.
Para ms informacin acerca de la interfaz para direccinIP de administracin, vea Acerca de la interfaz
para direccinIP de administracin en la pgina 245.
Para ms informacin acerca de cmo restaurar una imagen de copia de seguridad para miembros de un
clster, vea Recuperar una imagen de copia de seguridad de FireCluster en la pgina 286.
Remover o agregar un clster miembro
Puede usar el Policy Manager para remover y agregar dispositivos al FireCluster.
Remover un dispositivo de un FireCluster
Para remover un dispositivo de un FireCluster:
1. En el WatchGuard System Manager, abra la configuracin para el clster principal.
2. Haga clic en .
4. Haga clic en la pestaa Miembros.
Aparece una lista clsters miembros a la izquierda.
5. Haga clic en el nombre del clster miembro que desea eliminar.
El dispositivo es removido de la lista de miembros.
7. Haga clic en OK.
8. Guarde el archivo de configuracin en el clster.
El dispositivo es removido del clster.
Nota Cuando guarda el mosaico de configuracin en el clster, el Policy Manager
verifica si el clster principal actual est en la configuracin del clster. Si el
dispositivo removido de la configuracin est en el clster principal actual, el
Policy Manager intenta forzar una conmutacin por error, as el principal de
resguardo se vuelve el clster principal. Si la conmutacin por error tiene xito, se
guarda la alteracin de la configuracin. Si la conmutacin por error no tiene
xito, el Policy Manager no permite guardar la configuracin en el clster.
Despus de remover un dispositivo WatchGuard de un clster, cuando guarda la configuracin en el clster
el dispositivo removido se reinicia y todas las configuraciones en el dispositivo son restablecidas para las
predeterminadas de fbrica. El otro miembro se convierte en el clster principal.
Para ms informacin acerca de cmo ver cul dispositivo es un clster principal, o para forzar una
conmutacin por error manualmente a partir del clster principal hacia otro miembro, vea Monitorear y
controlar miembros de FireCluster en la pgina 270.
FireCluster
FireCluster
Gua del Usuario 279
Agregar un nuevo dispositivo a un FireCluster
Se puede aadir un nuevo clster miembro en el cuadro de dilogo Configuracin de FireCluster, pestaa
Miembros.
Para aadir un nuevo dispositivo al clster:
2. Configure el nuevo clster miembro, tal como se describe en Configurar el FireCluster
manualmente en la pgina 262.
Cuando el FireCluster est activado, se debe tener al menos un dispositivo en el clster.
3. Para remover ambos dispositivos del clster, debe Desactivar FireCluster.
Actualice la configuracin de FireCluster
La configuracin de un FireCluster se actualiza de manera bastante parecida a como actualiza la
configuracin de un dispositivo WatchGuard individual. Slo puede guardar una configuracin actualizada
en el clster principal.
O seleccione Archivo>Conectarse al dispositivo.
Aparece el cuadro de dilogo Conectarse a Firebox.
2. Seleccione o ingrese la direccin IP de confianza para el clster. Ingrese la frase de contrasea de
estado (slo lectura). Haga clic en OK.
El clster aparece como un dispositivo en la pestaa de Estado del Dispositivo WatchGuard System Manager.
3. En la pestaa Estado del dispositivo, seleccione el dispositivo de clster.
4. Haga clic en .
Aparece el Policy Manager con el archivo de configuracin actual para el clster.
5. Haga los cambios a la configuracin del clster.
6. Guarde el archivo de configuracin en la direccinIP de confianza del clster.
Cuando guarda la configuracin en un clster, el clster principal enva automticamente la configuracin
actualizada a otro clster miembro.
Configurar notificacin y registro de FireCluster
La pestaa Avanzado en el cuadro de dilogo Configuracin de FireCluster incluye las configuraciones para
registro y notificacin.
Los mensajes de registro siempre son creados para eventos de FireCluster.
Para configurar la notificacin para eventos de la conmutacin por error y failback de FireCluster:
1. Haga clic en Notificacin.
2. Seleccione un mtodo de notificacin: Captura SNMP, mensaje de correo electrnico o ventana
emergente.
Para ms informacin acerca de la configuracin de notificacin, vea Determinar preferencias de registro y
notificacin en la pgina 649.
Para definir el nivel de registro de diagnstico para los eventos de FireCluster en el Policy Manager:
1. Seleccione Configurar >Registros.
2. Haga clic en Nivel de registro de diagnstico.
Para ms informaciones acerca de registros de diagnstico, vea Defina el nivel de registro de diagnstico en
la pgina 646.
Acerca de las teclas de funcin y el FireCluster
Cada dispositivo en un clster tiene su propia tecla de funcin. Cuando configura un FireCluster, se
importan las teclas de funcin para cada miembro del clster. El FireCluster tiene un conjunto de Funciones
de clster que se aplican a todo el clster. Las Funciones del clster se basan en las teclas de funcin para
todos los dispositivos en el clster.
Para ms informacin acerca de cmo obtener una tecla de funcin para un dispositivo, vea Obtener una
tecla de funcin junto a LiveSecurity en la pgina 63.
Cuando activa un FireCluster, los servicios de suscripcin y actualizaciones activadas para los clsters
miembros operan como sigue:
Suscripcin de LiveSecurity Service
Una suscripcin de LiveSecurity Service se aplica a un solo dispositivo, incluso despus de que ese
dispositivo se configure como miembro de un clster. Debe tener una suscripcin de LiveSecurity
Service activa para cada dispositivo en el clster. Si la suscripcin de LiveSecurity caduca para un
clster miembro, no es posible actualizar el sistema operativo de Fireware XTMde ese dispositivo.
Actualizaciones de BOVPN y Mobile VPN
Los servicios de suscripcin, como WebBlocker, spamBlocker y Gateway Antivirus funcionan de
forma diferente para un clster activo/activo y para uno activo/pasivo.
Activo/ActivoLas licencias para VPN para Sucursales y Mobile VPN se agregan para los dispositivos
configurados como FireCluster. Si se adquieren licencias de BOVPN o Mobile VPN para cada
dispositivo en un clster, esa capacidad adicional es compartida entre los dispositivos en el clster.
Por ejemplo, si tiene dos dispositivos en un clster y cada tecla de funcin de dispositivo tiene
capacidad para 2000 usuarios de Mobile VPN, la licencia efectiva para el FireCluster es de 4000
usuarios de Mobile VPN.
Activo/PasivoLas licencias para VPN para Sucursales y Mobile VPN no se agregan para dispositivos
configurados como FireCluster. El dispositivo activo usa la ms alta capacidad de VPN para
Sucursales y Mobile VPN activada para cada uno de los dispositivos. Si se adquieren licencias de
BOVPN y Mobile VPN adicionales para cada dispositivo en un clster, esa capacidad adicional ser
utilizada por el dispositivo activo.
Servicios de Suscripcin
Los servicios de suscripcin, como WebBlocker, spamBlocker y Gateway AV funcionan de forma
diferente para un clster activo/activo y para uno activo/pasivo.
n Activo/ActivoDebe tener los mismos servicios de suscripcin activados en las teclas de funcin
para ambos dispositivos. Cada clster miembro aplica los servicios en su propia tecla de
FireCluster
FireCluster
Gua del Usuario 281
funcin.
n Activo/PasivoDebe activar los servicios de suscripcin en la tecla de funcin de slo un clster
miembro. El clster miembro activo usa los servicios de suscripcin que estn activos en la
tecla de funcin de uno de los clsters miembros.
Nota En un clster activo/activo, es muy importante renovar los servicios de suscripcin
para ambos clsters miembros. Si un servicio de suscripcin caduca en un
miembro de un clster activo/activo, el servicio no funciona para ese miembro. El
miembro con licencia caduca contina al pasar el trfico, pero sin aplicarle el
servicio por ste.
Ver las teclas de funcin y las Funciones de clster para un
clster
1. Abra el Policy Manager para el clster principal.
3. Seleccione la pestaa Miembros.
4. Seleccione la carpeta FireCluster.
Las pestaas con las funciones de clster, as como las funciones para cada clster miembro, aparecen en la
parte inferior del cuadro de dilogo.
5. Para ver las funciones con licencia para el clster, haga clic en la pestaa Funciones del clster.
n Las columnas Vencimiento y Estado muestran la fecha de vencimiento ms reciente y los das
pendientes para ese servicio entre los clster miembros.
n La columna Valor muestra el estado o la capacidad de la funcin para el clster en su totalidad.
6. Seleccione las pestaas Miembro para ver las licencias individuales para cada clster miembro.
Asegrese de verificar que la fecha de vencimiento de cualquier servicio de cada clster miembro.
Ver o actualizar la tecla de funcin para un clster miembro
Puede usar el Policy Manager para ver o actualizar la tecla de funcin para cada clster miembro.
2. Seleccione la pestaa Miembros.
3. En el rbol FireCluster, seleccione el nombre del miembro. Haga clic en Editar.
Aparece el cuadro de dilogo Configuracin de miembro de FireCluster.
4. Seleccione la pestaa Tecla de funcin.
Aparecen las funciones que estn disponibles desde esa tecla de funcin. Esa pestaa tambin
incluye:
n Un valor asignado a la funcin, tal como nmero de interfaces VLAN permitidas
n La fecha de vencimiento de la funcin
n El tiempo que falta para que la funcin caduque
Aparece el cuadro de dilogo Importar tecla de funcin de Firebox.
FireCluster
FireCluster
Gua del Usuario 283
6. Para encontrar el archivo de la tecla de funcin, haga clic en Examinar.
O copie el texto del archivo de la tecla de funcin y haga clic en Pegar para insertarlo en el cuadro
de dilogo. Haga clic en Aceptar
La tecla de funcin no se copia al dispositivo hasta que el archivo de configuracin sea guardado en el clster
principal.
En el Policy Manager, tambin puede seleccionar Configurar > Teclas de funcin para ver la informacin de
tecla de funcin para el clster.
Ver la tecla de funcin de FireCluster en el Firebox System
Manager
Tambin puede ver la tecla de funcin desde el Firebox System Manager.
1. Seleccione Ver > Teclas de funcin.
Aparece el dilogo Tecla de Funcin de Firebox, con un resumen de todos los dispositivos en el clster. La
seccin de Funciones con licencia incluye las funciones con licencia para todo el clster.
2. Haga clic en Detalles para ver los detalles acerca de la tecla de funcin de cada dispositivo en el
clster.
FireCluster
FireCluster
Gua del Usuario 285
3. Desplcese hacia abajo para ver la tecla de funcin para el segundo dispositivo.
Crear imagen de copia de seguridad de
FireCluster
Como el clster principal sincroniza la configuracin con los clsters miembros, slo tiene que hacer la
copia de seguridad de la imagen del clster principal.
Para crear una copia de seguridad de la imagen flash (.fxi) del clster principal:
1. En el WatchGuard System Manager, use la direccinIP de interfaz del clster de confianza para
conectarse al clster principal.
2. Abra el Policy Manager para el clster principal.
3. Hacer una copia de seguridad de la imagen de Firebox.
Para crear un mensaje de copia de seguridad de un miembro de clster individual:
1. En el WatchGuard System Manager, use la direccinIP de interfaz del clster de confianza para
2. Abra el Policy Manager para el clster miembro.
3. Hacer una copia de seguridad de la imagen de Firebox.
Nota Asegrese de mantener un registro de las direccionesIP administradas y frases de
contrasea en la imagen de copia de seguridad. Si recupera un FireCluster de esa
imagen, debe tener esa informacin para conectarse a los clsters miembros.
Recuperar una imagen de copia de seguridad de
FireCluster
Para restaurar una imagen de copia de seguridad del FireCluster en un clster, debe restaurar la imagen en
cada clster miembro, uno por vez. El principal de resguardo debe abandonar el clster antes de restaurar
la imagen de copia de seguridad en cada clster miembro. Despus de restaurar la configuracin en ambos
clster miembros, el principal de resguardo debe reintegrarse al clster.
Cuando restaura una imagen de copia de seguridad, debe usar la interfaz de clster para la direccin IP de
administracin para conectarse al dispositivo. Todas las otras interfaces en el dispositivo estn inactivas
hasta el paso final, cuando el principal de resguardo se reintegra al clster.
Hacer que el principal de resguardo abandone el clster
3. Seleccione Herramientas > Clster > Abandonar.
El principal de resguardo abandona el clster y se reinicia.
Advertencia No haga alteraciones de configuracin en el clster principal despus que el
principal de resguardo haya abandonado el clster.
Restaurar la imagen de copia de seguridad en el principal de
resguardo
2. Inicie el Policy Manager para el principal de resguardo.
3. Seleccione Archivo> Restaurar para restaurar la imagen de copia de seguridad.
El dispositivo reinicia con la configuracin restaurada.
Para ms informacin acerca del comando "Restaurar", vea Restaurar imagen de copia de seguridad
de Firebox en la pgina 48.
Nota Despus de restaurar la imagen de copia de seguridad en el clster miembro, el
dispositivo aparece como miembro de un clster en el WatchGuard System
Manager y en el Firebox System Manager. El clster no funciona hasta despus del
ltimo paso cuando el principal de resguardo se reintegra al clster.
Restaurar la imagen de copia de seguridad en el clster
principal
2. Inicie el Policy Manager para el cluster principal.
FireCluster
FireCluster
Gua del Usuario 287
3. Seleccione Archivo> Restaurar para restaurar la imagen de copia de seguridad.
El dispositivo reinicia con la configuracin restaurada.
Para ms informacin acerca del comando "Restaurar", vea Restaurar imagen de copia de seguridad
de Firebox en la pgina 48.
dispositivo.
Hacer que el principal de resguardo se reintegre al clster
1. En el WatchGuard System Manager, use la direccin IP de administracin para conectarse al
principal de resguardo.
dispositivo.
2. Inicie el Fireware System Manager para el principal de resguardo.
3. Seleccione Herramientas > Clster >Integrarse.
El principal de resguardo se reinicia y se reintegra al clster.
Actualizar el Fireware XTM para miembros del
FireCluster
Para actualizar el software del Fireware XTM para dispositivos en una configuracin de FireCluster, se usa el
Policy Manager.
Cuando actualiza el software en un dispositivo, ste se reinicia. Cuando la actualizacin est en progreso, el
trfico de red es manejado por otro dispositivo en el clster. Cuando se concluye el reinicio, el dispositivo
actualizado automticamente se reintegra al clster. Como el clster no puede hacer balance de carga
mientras se reinicia, si tiene un clster activo/activo, recomendamos que programe la actualizacin para en
momento en que el trfico de red sea ms liviano.
Para actualizar el Fireware XTMpara un dispositivo en un clster:
1. Abra el archivo de configuracin del clster en el Policy Manager
2. Seleccione Archivo >Actualizar.
4. Ingrese o seleccione la ubicacin del archivo de actualizacin.
5. Para crear una imagen de copia de seguridad, seleccione S.
Aparece una lista clsters miembros.
6. Seleccione la casilla de verificacin para cada dispositivo que desea actualizar.
Aparece un mensaje cuando la actualizacin de cada dispositivo est concluida.
Cuando la actualizacin est concluida, cada clster miembro se reinicia y se reintegra al clster. Si actualiza
ambos dispositivos en el clster a la vez, los dispositivos son actualizados uno por vez. Eso es para
asegurarse de que no haya una interrupcin en el acceso de red en el momento de la actualizacin.
El Policy Manager actualiza el principal de resguardo primero. Cuando la actualizacin del primer miembro
est concluida, ese dispositivo se convierte en el nuevo clster principal. Entonces, el Policy Manager
actualiza el segundo dispositivo.
Nota Recomendamos que use la misma versin del software en ambos dispositivos. Un
clster funciona mejor si todos los dispositivos en l ejecutan la misma versin de
software.
Si desea actualizar el firmware desde una ubicacin remota, asegrese de que la interfaz para direccin IP
administrada est configurada en la interfaz externa, y que la direccin IP sea pblica y enrutable.
Para ms informaciones, vea Acerca de la interfaz para direccinIP de administracin en la pgina 245.
Desactivar FireCluster
Advertencia Cuando desactiva el FireCluster, ambos clsters miembros reinician al mismo
tiempo. Recomendamos que planee hacer eso en un momento en que pueda tener
una breve interrupcin de red.
Para desactivar el FireCluster:
1. En el WatchGuard System Manager, abra la configuracin para el clster principal.
2. Haga clic en .
4. Limpie la casilla de verificacin Activar FireCluster.
5. Haga clic en OK.
6. Guardar la configuracin en el Firebox.
La configuracin se guarda y ambos dispositivos en el clster se reinician.
n El clster principal inicia con las mismas direcciones IP que fueron asignadas al clster.
n El clster principal de resguardo inicia con las direcciones IP y configuracin predeterminadas.
Puede remover un miembro del clster sin desactivar la funcin del FireCluster. Eso resulta en un clster
con solo un miembro, pero sin desactivar el FireCluster o provocar una interrupcin de red.
Para ms informaciones, vea Remover o agregar un clster miembro en la pgina 277.
FireCluster
Gua del Usuario 289
12
Autenticacin
Acerca de la autenticacin de usuario
La autenticacin de usuario es un proceso que descubre si un usuario es quien se declar ser y averigua los
privilegios asignados a dicho usuario. En el Firebox, la cuenta de usuario tiene dos partes: un nombre de
usuario y una frase de contrasea. Cada cuenta de usuario est asociada a una direccin IP. Esa combinacin
de nombre de usuario, frase de contrasea y direccin IP ayuda el administrador del dispositivo a
monitorear las conexiones a travs del dispositivo. Con la autenticacin, los usuarios pueden iniciar sesin
en la red desde cualquier equipo, pero acceder slo a los protocolos y puertos de red a los cuales estn
autorizados. Firebox puede tambin mapear las conexiones que se inician desde una direccin IP
determinada y tambin transmitir el nombre de la sesin mientras el usuario est autenticado.
Puede crear polticas de firewall para dar acceso a recursos especficos de red a usuarios y grupos. Eso es
til en los ambientes de red donde varios usuarios comparten un nico equipo o direccin IP.
Puede configurar su Firebox como servidor de autenticacin local o usar su servidor de Active Directory
Authentication, LDAP o RADIUS existente. Cuando usa la autenticacin de Firebox por el puerto 4100, los
privilegios de cuenta pueden estar basados en el nombre de usuario. Cuando usa una autenticacin de
terceros, los privilegios de cuenta para los usuarios que autentican a servidores de autenticacin de
terceros estn basados en la participacin en un grupo.
La funcin de autenticacin de usuario de WatchGuard permite que un nombre de usuario est asociado a
una direccin IP especfica para ayudarlo a autenticarse y rastrear conexiones de usuarios a travs del
dispositivo. Con el dispositivo, la pregunta fundamental que cada conexin realiza es "debo permitir el
trfico de la origen X hacia el destino Y?" Para que la funcin de autenticacin de WatchGuard funcione
correctamente, la direccin IP del equipo del usuario no debe cambiar mientras el usuario est autenticado
al dispositivo.
En gran parte de los ambientes, la relacin entre una direccin IP y el equipo de usuario es bastante estable
como para ser usada para la autenticacin. Los ambientes en los cuales la asociacin entre el usuario y una
direccin IP no sea consistente, como en terminales o redes en las cuales las aplicaciones sean ejecutadas
desde un servidor de terminal, no suelen ser muy aptos para una utilizacin exitosa de la funcin de
autenticacin de usuario.
WatchGuard soporta control de Autenticacin, Cuentas y Acceso (AAA, en sus siglas en ingls) en los
productos de firewall, basado en el asociacin estable entre la direccin IP y la personal.
La funcin de autenticacin de usuario de WatchGuard tambin soporta la autenticacin a un dominio de
Active Directory con Single Sign-On (SSO), as como otros servidores comunes de autenticacin. Asimismo,
soporta configuraciones de inactividad y lmites de duracin de sesin. Esos controles restringen el perodo
de tiempo que una direccin IP puede transmitir trfico a travs de Firebox antes que los usuarios deban
proveer sus contraseas nuevamente (reautenticarse).
Si controla el acceso de SSO con una lista blanca y administra tiempos de espera de inactividad, tiempos de
espera de sesin y quines estn autorizados a autenticarse, puede mejorar su control de autenticacin,
cuentas y control de acceso.
Para evitar que un usuario se autentique, debe desactivar la cuenta para aquel usuario en el servidor de
autenticacin.
Usuario pasos de autenticacin
Un servidor HTTPS opera en el dispositivo WatchGuard para aceptar las solicitudes de autenticacin.
Para autenticarse, un usuario debe conectarse a la pgina web del portal de autenticacin en el dispositivo
WatchGuard.
1. Dirjase a:
https://[direccin IP de la interfaz del dispositivo]:4100/
o
https://[nombre del host del dispositivo]:4100
Aparece la pgina web de autenticacin.
2. Ingrese un nombre de usuario y contrasea.
3. Seleccione el servidor de autenticacin en la lista desplegable, si ms de un tipo de autenticacin
est configurado.
El dispositivo WatchGuard enva el nombre y contrasea al servidor de autenticacin usando un PAP (Protocolo
de Autenticacin de Contrasea, segn sus siglas en ingls).
Cuando autenticado, el usuario est autorizado a usar los recursos aprobados de red.
Nota Como el Fireware XTMusa un certificado autofirmado por defecto para HTTPS, se
recibe una advertencia de seguridad de su explorador web cuando se autentica.
Puede ignorar esa advertencia de seguridad sin mayor riesgo. Si desea quitar esa
advertencia, puede usar un certificado externo o crear un certificado
personalizado que coincida con la direccin IP o domain name usado para la
autenticacin.
Para ms informaciones, vea Configure el certificado del servidor web para la
autenticacin de Firebox en la pgina 796.
Autenticacin
Autenticacin
Gua del Usuario 291
Cerrar manualmente una sesin autenticada
Los usuarios no necesitan esperar que el tiempo de espera de la sesin se agote para cerrar sus sesiones
autenticadas. Pueden cerrar sus sesiones manualmente antes que se agote el tiempo de espera. La pgina
web de autenticacin debe estar abierta para que el usuario cierre una sesin. Si est cerrada, el usuario
debe autenticarse nuevamente para desconectarse.
Para cerrar manualmente una sesin autenticada:
1. Dirjase a la pgina web del portal de Autenticacin:
https://[direccin IP de la interfaz del dispositivo]:4100/
o
https://[nombre del host del dispositivo]:4100
2. Haga clic en Salir.
Nota Si la pgina web del portal de autenticacin est configurada para redireccionar
automticamente hacia otra pgina web, el portal lo redirecciona algunos
segundos despus que lo abre. Asegrese de salir antes que la pgina lo
redireccione.
Administrar usuarios autenticados
Puede usar Firebox System Manager para ver una lista de todos los usuarios autenticados en su dispositivo
WatchGuard y cerrar sesiones para esos usuarios.
Ver usuarios autenticados
Para ver los usuarios autenticados en su dispositivo WatchGuard:
2. Seleccione la pestaa Lista de Autenticacin.
Aparece una lista de todos los usuarios autenticados en el Firebox.
Cerrar una sesin de usuario
A partir del Firebox System Manager:
1. Seleccione la pestaa Lista de Autenticacin.
Aparece una lista de todos los usuarios autenticados en el Firebox.
2. Seleccione uno o ms nombres de usuario de la lista.
3. Haga clic con el botn derecho en el(los) nombre(s) de usuario y seleccione Usuario de
desconexin.
Para ms informaciones, vea Usuarios autenticados (Lista de autenticacin) en la pgina 699.
Use la autenticacin para restringir el trfico
entrante
Una funcin de la herramienta de autenticacin es restringir el trfico saliente. Tambin puede ser usada
para restringir el trfico de red entrante. Cuando tiene una cuenta en el dispositivo WatchGuard que tiene
una direccin IPexterna pblica, puede autenticarse al dispositivo desde un equipo externo al dispositivo.
Por ejemplo, puede insertar esa direccin en su explorador web: https://<IP address of
WatchGuard device external interface>:4100/.
Despus de autenticarse, puede usar las polticas configuradas para usted en el dispositivo.
Para permitir que un usuario remoto se autentique desde la red externa:
1. En el WatchGuard System Manager, conctese a un dispositivo y abra el Policy Manager.
2. Haga clic con el botn derecho en la poltica de Autenticacin de WatchGuard. Esa poltica aparece
despus que se agrega un usuario o grupo a una configuracin de polticas.
3. En la lista desplegable conexiones WG-Autoriz estn, asegrese de que Permitido est seleccionado
4. Abajo de la ventana De, haga clic en Agregar.
5. Seleccione Cualquiera de la lista y haga clic en Agregar.
6. Haga clic en OK.
En la ventana "De" aparece "Cualquiera".
7. Abajo del cuadro Para, haga clic en Agregar.
8. Seleccione Firebox en la lista y haga clic en Agregar.
9. Haga clic en OK.
Firebox aparece en la ventana "Para".
Autenticacin
Autenticacin
Gua del Usuario 293
Use la autenticacin a travs de un Firebox de puerta de enlace
El Firebox de puerta de enlace es el dispositivo puesto en su red para proteger su Management Server
contra la Internet.
Para ms informaciones, vea Sobre el Firebox de puerta de enlace en la pgina 504.
Para enviar una solicitud de autenticacin a travs de un Firebox de puerta de enlace a un dispositivo
diferente, debe tener una poltica que permita el trfico de autenticacin en el dispositivo de puerta de
enlace. Si se niega el trfico de autenticacin en el dispositivo de puerta de enlace, use el Policy Manager
para agregar la poltica de WG-Autoriz. Esa poltica controla el trfico en el puerto TCP 4100. Debe
configurar la poltica para permitir el trfico hacia la direccin IP del dispositivo de destino.
Definir valores de autenticacin global
Puede definir valores de autenticacin global (tales como los valores de tiempo de espera y la pgina de
autenticacin redirecciona) y activar Single Sign-On (SSO).
Para configurar la autenticacin:
2. Seleccione Configurar > Autenticacin > Configuracin de Autenticacin.
Aparece el cuadro de dilogo "Configuracin de Autenticacin".
3. Configurar la autenticacin tal como se describe en las secciones siguientes.
4. Haga clic en OK.
Definir tiempos de espera de autenticacin
Puede definir el perodo de tiempo que los usuarios permanecen autenticados despus de cerrar su ltima
conexin autenticada. Ese tiempo de espera es definido o en el cuadro de dilogo Configuraciones de
Autenticacin, o enConfigurar usuario de Firebox cuadro de dilogo.
Autenticacin
Autenticacin
Gua del Usuario 295
Para ms informaciones sobre la configuracin de autenticacin de usuario y Configurar usuario de Firebox
cuadro de dilogo, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 308.
Para usuarios autenticados por servidores externos, los tiempos de espera definidos en esos servidores
tambin anulan los tiempos de espera de autenticacin global.
Los valores de tiempos de espera de autenticacin no se aplican a usuarios de Mobile VPN con PPTP.
Tiempo de espera de sesin
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o das, la sesin no expira y el usuario puede seguir
conectado por el tiempo que desee.
Tiempo de espera inactivo
El perodo de tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo
(sin transmitir cualquier trfico a la red externa). Si define este campo en cero (0) segundos,
minutos, horas o das, la sesin no termina cuando est inactiva y el usuario puede seguir conectado
por el tiempo que desee.
Permitir mltiples inicios de sesin concomitantes
Puede permitir que ms de un usuario se autentique con las mismas credenciales de usuario al mismo
tiempo en un servidor de autenticacin. Eso es til para cuentas de invitados o ambientes de laboratorio.
Cuando el segundo usuario ingresa con las mismas credenciales, automticamente se cierra la sesin del
primer usuario autenticado con las credenciales. Si no permitir esa funcin, el usuario no puede
autenticarse en el servidor de autenticacin ms de una vez al mismo tiempo.
1. Vaya a Configuracin de Autenticacin cuadro de dilogo.
2. Seleccione la casilla de verificacin Permitir mltiples sesiones de autenticacin de firewall de la
misma cuenta.
Para usuarios de Mobile VPNwith IPSec y Mobile VPN with SSL, las sesiones de inicio simultneas de la
misma cuenta siempre son compatibles, est la casilla seleccionada o no. Esos usuarios deben iniciar sesin
desde diferentes direcciones IP para el inicio de sesin simultneo, es decir, no pueden usar la misma
cuenta para iniciar sesin si estn detrs de un Firebox que usa NAT. Los usuarios de Mobile VPN con PPTP
no tienen esa restriccin.
Limitar sesiones de inicio
En Configuracin de Autenticacin cuadro de dilogo, puede imponer un lmite de sesin nica
autenticada por usuario. Si selecciona esa opcin, los usuarios no pueden iniciar sesin en un servidor de
autenticacin desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario est
autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesin de usuario
cuando la sesin siguiente es autenticada, o si la sesin siguiente es rechazada.
1. Seleccione Imponer a usuarios el lmite de una nica sesin de inicio.
2. De la lista desplegable, seleccione Rechazar intentos concomitantes de inicio de sesin cuando el
usuario ya est registrado o Cerrar primera sesin cuando el usuario inicia sesin por segunda vez.
Direccionarusuariosautomticamenteal portal deiniciode
sesin
Si requiere que los usuarios se autentiquen antes de acceder a la Internet, puede elegir enviar usuarios
automticamente que no estn todava autenticados al portal de autenticacin o solicitarles que naveguen
manualmente hasta el portal. Eso se aplica solamente a conexiones HTTP y HTTPS.
Autenticacin
Autenticacin
Gua del Usuario 297
Redireccionar usuarios automticamente a la pgina de autenticacin para que se autentiquen.
Al marcar esta casilla de verificacin, todos los usuarios que todava no estn autenticados sern
redireccionados automticamente al portal de inicio de sesin de autenticacin cuando intenten
acceder a Internet. Si no seleccionar esa casilla de verificacin, los usuarios no autenticados deben
navegar manualmente al portal de inicio de sesin de autenticacin.
Para ms informacin acerca de autenticacin de usuario, vea Usuario pasos de autenticacin en la
pgina 290.
Usar una pgina de inicio predeterminada personalizada
Al seleccionar la casilla de verificacin Redireccionar usuarios automticamente a la pgina de
autenticacin para solicitar a los usuarios que se autentiquen antes de acceder a Internet, aparece el portal
de autenticacin web de Firebox cuando un usuario abre un explorador web. Si desea que el explorador
vaya a una pgina diferente despus que los usuarios inician la sesin con xito, puede definir un
redireccionamiento.
En Configuracin de Autenticacin cuadro de dilogo:
1. Seleccione la casilla de verificacin Enviar un redireccionamiento al explorador despus de una
autenticacin exitosa
2. En el cuadro de texto, ingrese el URLdel sitio web al cual desea que los usuarios sean
redireccionados.
Definir tiempos de espera de Sesin de Administracin
Use esos campos para definir el perodo de tiempo que un usuario registrado con privilegios de
lectura/escritura permanece autenticado antes que el dispositivo WatchGuard cierre la sesin.
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si define este
campo en cero (0) segundos, minutos, horas o das, la sesin no expira y el usuario puede seguir
conectado por el tiempo que desee.
El perodo de tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo
(sin transmitir cualquier trfico a la red externa). Si define ese campo en cero (0) segundos, minutos,
horas o das, la sesin no termina cuando el usuario est inactivo y puede seguir conectado por el
tiempo que desee.
Activar Single Sign-On (SSO)
Cuando activa Single Sign-On, los usuarios de redes de confianza u opcional se autentican automticamente
cuando inician sesin en sus equipos.
Para ms informaciones, vea Acerca de Single Sign-On (SSO) en la pgina 298.
Acerca de la poltica de Autenticacin de
WatchGuard (WG-Autoriz)
La poltica de Autenticacin de WatchGuard (WG-Autoriz) es adicionada automticamente a la configuracin
de su dispositivo WatchGuard. La primera poltica que agrega a la configuracin de su dispositivo que tiene
un nombre de grupo o usuario en el campo De en la pestaa Poltica de la definicin de polticas cre una
poltica WG-Autoriz. Esa poltica controla el acceso al puerto 4100 en el dispositivo. Los usuarios envan
solicitudes de autenticacin al dispositivo a travs de ese puerto. Por ejemplo, para autenticarse a un
dispositivo WatchGuard con una direccin IP de 10.10.10.10, ingrese https://10.10.10.10:4100 en la
barra de direcciones del explorador web.
Si desea enviar una solicitud de autenticacin a travs de un dispositivo de puerta de enlace hacia un
dispositivo diferente, puede ser necesario agregar la poltica WG-Autoriz manualmente. Si el trfico de
autenticacin es negado en el dispositivo de puerta de enlace, debe usar el Policy Manager para agregar la
poltica WG-Autoriz. Modifique esa poltica para permitir el trfico hacia la direccin IP del dispositivo de
destino.
Para obtener ms informacin sobre cuando modificar la poltica de autenticacin de WatchGuard, vea Use
la autenticacin para restringir el trfico entrante en la pgina 292.
Acerca de Single Sign-On (SSO)
Cuando los usuarios inician la sesin en los equipos en su red, deben presentar un nombre de usuario y
contrasea. Si usa la autenticacin en Active Directory en su Firebox para restringir el trfico de red saliente
a usuarios o grupos determinados, ellos tambin deben iniciar sesin nuevamente cuando se autentican
manualmente al dispositivo para acceder a recursos de red, como la Internet. Puede usar Single Sign-On
(SSO) para permitir que usuarios en las redes de confianza o opcional se autentiquen automticamente al
Firebox cuando inician sesin en sus equipos.
El SSO de WatchGuard es una solucin en dos partes, que incluye el agente SSO y los servicios de cliente
SSO. Para que SSO funcione, el software del agente SSO debe estar instalado en un equipo en su dominio. El
software cliente SSO es opcional y est instalado en el equipo cliente de cada usuario.
El software del agente SSO hace un llamado al equipo cliente por el puerto 4116 para verificar quin est
registrado en el momento. Si no hay respuesta, el agente SSO retorna al protocolo anterior de las versiones
anteriores a WSM10.2.4, y hace un llamadoNetWkstaUserEnum al equipo cliente. Entonces usa la
informacin recibida para autenticar un usuario en Single Sign-On.
Si el cliente SSO no est instalado, el agente SSO puede obtener ms de una respuesta del equipo que
consulta. Eso puede ocurrir si ms de un usuario inicia sesin en el mismo equipo, o debido a los accesos
por lotes o servicio que ocurren en el equipo. El agente SSO usa slo la primera respuesta recibida del
equipo y reporta aquel usuario a Firebox como el usuario que est registrado. El dispositivo puede
comparar la informacin del usuario con todas las polticas definidas para aquel usuario y/o grupo de
usuarios de una sola vez. El agente SSO, por defecto, pone en cach esos datos por unos 10 minutos para
que no sea necesario generar una consulta para cada conexin.
Autenticacin
Autenticacin
Gua del Usuario 299
Cuando el software cliente SSO est instalado, recibe un llamado del agente SSO y devuelve informacin
precisa sobre el usuario que est actualmente registrado en la estacin de trabajo. El agente SSO no
establece contacto con el servidor de Active Directory para obtener credenciales del usuario, porque
recibe la informacin correcta sobre quin est registrado actualmente en un equipo y a cules grupos de
Active Directory el usuario pertenece, desde el cliente SSO.
Si trabaja en un ambiente donde ms de una persona usa un equipo, recomendamos que instale el
software cliente SSO. Si no usa el cliente SSO, hay limitaciones de control de acceso a las que se debe
prestar atencin. Por ejemplo, para servicios instalados en un equipo cliente (tal como un cliente antivirus
administrado de modo central) que hayan sido desplegados para que el inicio de sesin se hiciera con las
credenciales de la cuenta de dominio, Firebox ofrece derechos de acceso a todos los usuarios definidos a
partir del primer usuario registrado (y los grupos a los cuales ese usuario pertenece), y no las credenciales
de usuarios individuales que inician sesin interactivamente. Adems, todos los mensajes de registro
generados a partir de la actividad de usuario muestran el nombre de usuario de la cuenta de servicio y no el
usuario individual.
Nota Si no instala el cliente SSO, recomendamos que no use el SSO en ambientes donde
los usuarios se registran a equipos con inicio de sesin por lote o de servicio.
Cuando ms de un usuario est asociado a una direccinIP, los permisos de red
pueden no funcionar correctamente. Eso puede representar un riesgo de
seguridad.
Antes de empezar
n Debe tener un Active Directory Server configurado en una red de confianza u opcional.
n Su Firebox debe estar configurado para usar la Active Directory Authentication.
n Cada usuario debe tener una cuenta configurada en el Active Directory Server.
n Cada usuario debe registrarse en una cuenta de dominio para que Single Sign-On (SSO)funcione
correctamente. Si los usuarios se registran a una cuenta que existe slo en sus equipos locales, sus
credenciales no son verificadas y el Firebox no reconoce que estn registrados.
n Si usa un software de firewall de terceros en sus equipos en red, asegrese de que el puertoTCP
445 (Samba/Windows Network)est abierto en cada cliente.
n Asegrese de que la opcin de compartir impresoras y archivos est habilitada en todos los equipos
desde los cuales los usuarios se autentican con SSO.
n Asegrese de que los puertos NetBIOS y SMS no estn bloqueados en todos los equipos desde los
cuales los usuarios se autentican con SSO. NetBIOS usa puertos TCP/UDP 137, 138 y 139. SMB usa el
puerto TCP 445.
n Asegrese de que el puerto 4116 est abierto en los equipos cliente.
n Asegrese de que todos los equipos desde los cuales los usuarios se autentican con SSO sean
miembros del dominio con relaciones de confianza absoluta.
Configurar SSO
Para usar el SSO, debe instalar el software del agente SSO. Recomendamos que tambin instale el cliente
SSO en los equipos de los usuarios. Aunque slo pueda usar el SSO con el agente SSO, la seguridad y el
control de acceso aumentan cuando tambin se usa el cliente SSO.
Para configurar el SSO, siga esos pasos:
1. Instalar el agente de Single Sign-On (SSO) de WatchGuard.
2. Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional, pero recomendado).
3. Activar Single Sign-On (SSO).
Instalar el agente de Single Sign-On (SSO) de WatchGuard
Para usar Single Sign-On (SSO), debe instalar el agenteSSO de WatchGuard. El agenteSSO es un servicio que
recibe solicitudes de autenticacin de Firebox y verifica el estado del usuario con el servidor de Active
Directory. El servicio es ejecutado con el nombre de WathGuard Authentication Gateway en el equipo en
el cual se instala el software agenteSSO. Ese equipo debe tener instalado el Microsoft.NETFramework 2.0
o versin posterior.
Nota Para usar Single Sign-On en su Firebox, debe instalar el agenteSSO en un equipo
dominio con direccinIP esttica. Recomendamos que instale el agenteSSO en su
controlador de dominio.
Descargar el software del agenteSSO
1. Abrir un explorador web e ir a http://www.watchguard.com/.
2. Iniciar sesin con su nombre de usuario y contrasea de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y nmero de modelo.
5. Descargue el software WatchGuard Authentication Gateway y guarde el archivo en una ubicacin
adecuada.
Antes de instalar
El servicio del agenteSSO debe ser ejecutado como cuenta de usuario, no como cuenta de administrador.
Recomendamos que cree una nueva cuenta de usuario para esa finalidad. Para que el servicio del agente
SSO funcione correctamente, configure la cuenta de usuario con estas propiedades:
n Agregar la cuenta al grupo Admin de Dominio.
n Convertir Admin de Dominio en un grupo principal.
n Permitir que el inicio de sesin en la cuenta como un servicio.
n Definir contrasea para que nunca caduque.
Instalar el servicio del agenteSSO
1. Haga doble clic en WG-Authentication-Gateway.exe para iniciar el Asistente de Configuracin del
Authentication Gateway.
En algunos sistemas operativos, puede ser necesario insertar una contrasea de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada pgina y complete el asistente.
Para el nombre de usuario del dominio, ingrese el nombre de usuario en el formato:
dominio\nombre de usuario. No incluya la parte .com o .net del domain name. Por ejemplo, si el
dominio es mywatchguard.com y se use la cuenta de dominio ssoagente, inserte
Autenticacin
Autenticacin
Gua del Usuario 301
mywatchguard\ssoagente.
Tambin puede usar el formato UPN del nombre de usuario:
nombredeusuario@mywatchguard.com. Si usa el formato UPN del nombre de usuario, debe
incluir la parte .com o .net del domain name.
3. Para cerrar el asistente, haga clic en Finalizar.
Despus que el asistente concluya, el servicio de WatchGuard Authentication Gateway inicia
automticamente. Cada vez que el equipo se reinicia, el servicio inicia automticamente.
Instale el cliente de Single Sign-On (SSO) de WatchGuard
Como parte de la solucin de Single Sign-On (SSO) de WatchGuard, se puede instalar el clienteSSO de
WatchGuard. El clienteSSO es instalado como un servicio de Windows y ejecutado en la cuenta del Sistema
Local en una estacin de trabajo para verificar las credenciales del usuario con sesin iniciada en aquel
equipo. Cuando un usuario intenta autenticarse, el agente SSO enva una solicitud de credenciales de
usuario al cliente SSO. Entonces, el cliente SSO devuelve las credenciales al usuario con sesin iniciada en la
estacin de trabajo.
El cliente SSO analiza en el puerto 4116.
Como el instalador del cliente SSO es un archivo MSI, se puede elegir instalarlo automticamente en los
equipos de los usuarios cuando inician sesin en el dominio. Puede usar la Poltica de Grupo de Active
Directory para instalar el software automticamente cuando los usuarios inicien sesin en su dominio. Para
obtener ms informacin acerca del despliegue de instalacin del software para los objetos de poltica de
grupo de Active Directory, vea la documentacin de su sistema operativo.
Descargar el software clienteSSO
1. Use su explorador web para ir a http://www.watchguard.com/.
2. Iniciar sesin con su nombre de usuario y contrasea de LiveSecurity Service.
3. Haga clic en el enlace Descargas de Software.
4. Seleccione el tipo de dispositivo y nmero de modelo.
5. Descargue el software WatchGuard Authentication Client y guarde el archivo en una ubicacin
adecuada.
Instale el servicio clienteSSO
1. Haga doble clic en WG-Authentication-Client.msi para iniciar el Asistente de Configuracin de
Authentication Client.
En algunos sistemas operativos, puede ser necesario insertar una contrasea de administrador local
para ejecutar el instalador.
2. Para instalar el software, use las instrucciones en cada pgina y complete el asistente.
Para ver cules unidades estn disponibles para instalar el cliente y cunto espacio est disponible
en cada una de las unidades, haga clic en Costo de Disco.
3. Para cerrar el asistente, haga clic en Cerrar.
El servicio WatchGuard Authentication Client inicia automticamente cuando el asistente concluye e
inicia siempre que el equipo reinicia.
Activar Single Sign-On (SSO)
Antes de configurar el SSO, debe:
n Configurar su Active Directory Server
n Instalar el agente de Single Sign-On (SSO) de WatchGuard
n Instale el cliente de Single Sign-On (SSO) de WatchGuard (opcional)
Activar y configurar el SSO
Para activar y configurar el SSO desde Policy Manager:
1. Seleccione Configurar > Autenticacin > Configuracin de Autenticacin.
Aparece el cuadro de dilogo "Configuracin de Autenticacin".
Autenticacin
Autenticacin
Gua del Usuario 303
2. Seleccione la casilla de verificacin Activar Single Sign-On (SSO) con Active Directory.
3. En el cuadro de texto Direccin IP de Agente SSO , ingrese la direccin IP de su Agente SSO.
4. En el cuadro de texto Poner datos en cach por , ingrese o seleccione el perodo de tiempo que se
guardan los datos del agente SSO en cach.
5. En la lista Excepciones de SSO , agregar o remover las direccionesIP del host para las cuales no
desea que el dispositivo enve consultas de SSO.
Para obtener ms informacin sobre excepcionesde SSO, vea la seccin siguiente.
6. Haga clic Aceptar para guardar los cambios.
Definir excepciones de SSO
Si su red incluye dispositivo con direccionesIP que no requieren autenticacin, como servidores de red,
servidores de impresoras o equipos que no forman parte del dominio, recomendamos que agregue sus
direccionesIP a la lista de Excepciones de SSO. Cada vez que ocurre una conexin desde uno de esos
dispositivo y la direccinIP para el dispositivo no est en la lista de excepciones, el Firebox contacta al
agente SSO para intentar asociar la direccinIP al nombre de usuario. Eso lleva cerca de 10 segundos. Use
la lista de excepciones para evitar que se produzcan retrasos en cada conexin y que se reduzca el trfico
de red innecesariamente.
Tipos de servidores de autenticacin
El sistema operativo de Fireware XTMsoporta seis mtodos de autenticacin:
n Configure su Firebox como servidor de autenticacin
n Configurar autenticacin de servidor RADIUS
n Configurado autenticacin de servidor VASCO
n Configurar autenticacin SecurID
n Configurar autenticacin LDAP
n Configurar autenticacin en Active Directory
Puede configurar uno o ms tipos de servidor de autenticacin para un dispositivo WatchGuard. Si usa ms
de un tipo de servidor de autenticacin, los usuarios deben seleccionar el tipo de servidor de autenticacin
en una lista desplegable cuando se autentican.
Acerca de la utilizacin de servidores de autenticacin de
terceros
Si usa un servidor de autenticacin de terceros, no necesita mantener una base de datos separada en el
dispositivo WatchGuard. Se puede configurar un servidor externo, instalar el servidor de autenticacin con
acceso al dispositivo y poner el servidor como resguardo del dispositivo, por seguridad. Se puede entonces
configurar el dispositivo para que reenve las solicitudes de autenticacin de usuario a ese servidor. Si crea
un grupo de usuarios en el dispositivo que se autentica en un servidor externo, asegrese de crear un
grupo en el servidor que tenga el mismo nombre que el grupo de usuarios en el dispositivo.
Para configurar un dispositivo WatchGuard para servidores de autenticacin externos, vea:
n Configurar autenticacin de servidor RADIUS
n Configurado autenticacin de servidor VASCO
n Configurar autenticacin SecurID
n Configurar autenticacin LDAP
n Configurar autenticacin en Active Directory
Autenticacin
Autenticacin
Gua del Usuario 305
Use un servidor de autenticacin de resguardo
Puede configurar un servidor de autenticacin principal y de resguardo con cualquier tipo de autenticacin
de terceros. Si el dispositivo WatchGuard no puede conectarse al autenticacin principal despus de tres
intentos, el servidor principal queda marcado como inactivo y se genera un mensaje de alarma. El
dispositivo entonces se conecta con el servidor de autenticacin de resguardo.
Si el dispositivo WatchGuard no puede conectarse al servidor de autenticacin de resguardo, espera diez
minutos y luego intentar conectarse al servidor de autenticacin principal nuevamente. El servidor inactivo
es marcado como activo despus que se alcanza el intervalo de tiempo.
Configure su Firebox como servidor de
autenticacin
Si no usa un servidor de autenticacin externo, puede usar el Firebox como servidor de autenticacin. Ese
procedimiento divide su empresa en grupos y usuarios para autenticacin. Cuando asigne usuarios a grupos,
asegrese de asociarlos por tarea e informacin que usan. Por ejemplo, puede tener un grupo para
contabilidad, un grupo de marketing y un grupo de investigacin y desarrollo. Tambin puede haber un
grupo de nuevos empleados con acceso a Internet ms controlado.
Cuando se crea un grupo, se define el procedimiento de autenticacin para los usuarios, el tipo de sistema
e informacin que pueden acceder. Un usuario puede ser una red o un equipo. Si su empresa cambia, se
puede agregar o quitar usuarios de sus grupos.
El servidor de autenticacin de Firebox est activado por defecto. No necesita activarlo antes de agregar
usuarios y grupos.
Tipos de autenticacin de Firebox
Puede configurar el Firebox para autenticar usuarios para cuatro tipos diferentes de autenticacin:
n Firewall autenticacin
n de conexiones de Mobile VPN with PPTP
n Configurar el Firebox para Mobile VPN with IPSec
n Conexiones de Mobile VPN con SSL
Cuando la autenticacin tiene xito, el Firebox enlaza esos elementos:
n Nombre de usuario
n Grupo (o grupos) de usuarios de Firebox del cual el usuario es un miembro
n Direccin IP del equipo usado para autenticarse
n Direccin IP virtual del equipo usado para conectarse a Mobile VPN
Firewall autenticacin
Se crean cuentas y grupos de usuarios para permitirles que se autentiquen. Cuando un usuario se autentica
con Firebox, sus credenciales y direccin IP del equipo son usadas para encontrar si alguna poltica se aplica
al trfico que el equipo enva y recibe.
Para crear una cuenta de usuario de Firebox:
1. Definir un nuevo usuario para autenticacin en Firebox.
2. Definir un nuevo grupo para autenticacin de Firebox y poner el nuevo usuario en aquel grupo.
3. Cree una poltica que permita el trfico slo desde y hacia una lista de nombres o grupos de usuarios
Firebox.
Esa poltica se aplica slo si se recibe o enva un paquete a la direccin IP del usuario autenticado.
Para autenticarse con una conexin HTTPS al Firebox a travs del puerto 4100:
1. Abra un explorador web y dirjase a:
https://<IP address of a Firebox interface>:4100/
2. Ingrese el nombre de usuario y contrasea.
3. Seleccione Dominio en la lista desplegable.
Ese campo slo aparece si puede elegir ms de un dominio.
Si las credenciales son vlidas, el usuario ser autenticado.
de conexiones de Mobile VPN with PPTP
Al activar Mobile VPNwith PPTP en su Firebox, los usuarios incluidos en el grupo de Mobile VPNwith PPTP
pueden usar la funcin de PPTP incluida en el sistema operativo del equipo para establecer una conexin
PPTP con el dispositivo.
Como el Firebox permite la conexin PPTP desde cualquier usuario Firebox que ofrezca las credenciales
correctas, es importante que se haga una poltica para sesiones de PPTP que incluya slo usuarios que
desea autorizar el envo de trfico a travs de la sesin PPTP. Tambin puede aadir un grupo o usuario
individual a una poltica que restrinja el acceso a los recursos detrs de Firebox. Firebox crea un grupo
preconfigurado denominado usuarios PPTP para esa finalidad.
Para configurar una conexin de Mobile VPN con PPTP:
Autenticacin
Autenticacin
Gua del Usuario 307
1. En el Policy Manager, seleccione VPN> Mobile VPN>PPTP.
2. Seleccione la casilla de verificacin Activar Mobile VPN with PPTP.
3. Asegrese de que la casilla de verificacin Usar autenticacin RADIUS para autenticar usuarios de
Mobile VPN with PPTP no est seleccionada. Si la casilla de verificacin est seleccionada, el
servidor de autenticacin RADIUS autentica la sesin PPTP. Si limpia esa casilla, Firebox autentica la
sesin PPTP.
Firebox averigua si el nombre de usuario y contrasea insertados por el usuario en el cuadro de
dilogo de la conexin de VPN coincide con las credenciales del usuario en la base de datos de
usuarios de Firebox que es miembro del grupo de usuarios PPTP.
Si las credenciales aportadas por el usuario coinciden con una cuenta en la base de datos de usuarios de
Firebox, el usuario es autenticado para una sesin PPTP.
4. Crear una poltica que permita el trfico solo desde y hacia una lista de nombres o grupos de
usuarios Firebox.
El Firebox no observa esa poltica, a no ser que haya trfico desde o hacia la direccin IP del usuario
autenticado.
Conexiones de Mobile VPN con IPSec
Al configurar su dispositivo WatchGuard para hospedar sesiones de Mobile VPN con IPSec, cree polticas en
su dispositivo y luego use el cliente de Mobile VPN con IPSec para permitir que sus usuarios accedan a su
red. Despus de configurar el dispositivo WatchGuard, cadaequipo cliente debe ser configurado con el
software cliente de Mobile VPN con IPSec.
Cuando el equipo del usuario est correctamente configurado, el usuario hace la configuracin de Mobile
VPN. Si las credenciales usadas para la autenticacin coinciden con una entrada en la base de datos de
usuarios de Firebox, y si el usuario est en el grupo de Mobile VPN creado, la sesin de Mobile VPN es
autenticada.
Para configurar la autenticacin para Mobile VPNwith IPSec:
1. Configurar una conexin de Mobile VPN con IPSec.
2. Instalar el software cliente de Mobile VPN con IPSec.
Conexiones de Mobile VPN con SSL
Puede configurar el Firebox parahospedar sesiones de Mobile VPN conSSL.Cuando Firebox est
configuradocon unaconexin de Mobile VPN withSSL, los usuarios incluidos en el grupo de Mobile VPN
withSSL puedeninstalar y usar el software cliente de Mobile VPN conSSL paraestablecer unaconexin SSL.
Como el Firebox permite la conexin SSL desde cualquiera de sus usuarios que ofrezca las credenciales
correctas, es importante que se haga una poltica para sesiones de SSL que incluya slo usuarios que desea
autorizar que enven trfico a travs de la sesin SSL. Tambin se puede agregar esos usuarios a un Grupo
de Usuarios de Firebox y crear una poltica que permita el trfico slo desde ese grupo. Firebox crea un
grupo preconfigurado denominado usuarios SSLVPN para esa finalidad.
Para configurar una conexin de Mobile VPN con SSL:
1. En el Policy Manager, seleccione VPN> Mobile VPN>SSL.
Aparece el cuadro de dilogo de Configuracin de Mobile VPN con SSL.
2. Configurar el dispositivo Firebox o XTMpara Mobile VPN with SSL.
Definir un nuevo usuario para autenticacin en Firebox
1. En ek Policy Manager, seleccione Configurar>, Autenticacin > Servidores de Autenticacin.
Aparece el cuadro de dilogo "Servidores de autenticacin".
2. En la pestaa Firebox de los Servidores de Autenticacin cuadro de dilogo, haga clic en Agregar
abajo de la lista Usuarios.
Aparece el cuadro de dilogo "Configurar Usuario de Firebox".
Autenticacin
Autenticacin
Gua del Usuario 309
3. Ingrese el Nombre y (opcional) una Descripcin del nuevo usuario.
4. Ingrese y confirme la frase de contrasea que desea que la persona use para autenticarse.
Nota Al definir esa frase de contrasea, los caracteres estn enmascarados y no
aparecen en el texto simple de nuevo. Si pierde la frase de contrasea, debe definir
una nueva.
5. En el campo Tiempo de espera de sesin, defina el perodo mximo de tiempo que el usuario
puede enviar trfico a la red externa.
La configuracin mnima para este campo es de un (1) segundos, minutos, horas o das. El valor
mximo es de 365 das.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras est inactivo (sin transmitir trfico hacia la red externa).
7. Para agregar un usuario a un Grupo de Autenticacin de Firebox, seleccione el nombre de usuario
en la lista Disponible.
8. Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Puede entonces agregar ms usuarios.
9. Para cerrar el cuadro de dilogo Configurar usuario de Firebox, haga clic en Aceptar.
Aparece la pestaa "Usuarios de Firebox" con un listado de los nuevos usuarios.
Definir un nuevo grupo para autenticacin de Firebox
2. Seleccione la pestaa Firebox.
3. Haga clic en Agregar bajo de la lista UsuarioGrupos.
Aparece el cuadro de dilogo "Configurar Grupo de Firebox".
4. Ingrese un nombre para el grupo.
5. (Opcional) Ingrese una descripcin para el grupo.
6. Para agregar un usuario al grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en
para desplazar el nombre a la lista Miembro.
Tambin puede hacer doble clic en el nombre de usuario en la lista "Disponible".
7. Despus de agregar todos los usuarios necesarios al grupo, haga clic en Aceptar.
Ahora puede configurar polticas y autenticacin con esos usuarios y grupos, tal como se describe en Use
los usuarios y grupos autorizados en polticas en la pgina 331.
Configurar autenticacin de servidor RADIUS
RADIUS (Servicio de Usuario de Marcado por Autenticacin Remota) autentica los usuarios locales y
remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos
central los datos de autenticacin de los usuarios, servidores de acceso remoto, puertas de enlace de VPN y
otros recursos.
Para ms informacin acerca de la autenticacin porRADIUS, vea Como la autenticacin del servidor
RADIUS funciona en la pgina 313.
Autenticacin
Autenticacin
Gua del Usuario 311
Clave de autenticacin
Los mensajes de autenticacin hacia y desde el servidor RADIUS usan una clave de autenticacin, no una
contrasea. Esa clave de autenticacin, o shared secret, debe ser la misma en el cliente y servidor RADIUS.
Sin esa clave, no puede haber comunicacin entre cliente y servidor.
Losmtodos de autenticacin de RADIUS
Para autenticacin por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticacin PAP
(siglas en ingls para Protocolo de Autenticacin por Contrasea).
Para autenticacin con PPTP, RADIUS soporta slo MSCHAPv2 ( Protocolo de autenticacin por desafo
mutuo de Microsoft versin 2).
Antes de empezar
Antes de configurar su dispositivo WatchGuard para usar el servidor de autenticacin RADIUS, es necesario
tener esta informacin:
n Servidor RADIUS principal direccin IP y puerto RADIUS
n Servidor RADIUS secundario (opcional) direccin IP y puerto RADIUS
n Secreto compartido Contrasea que distingue maysculas de minsculas, que sea igual en el
dispositivo WatchGuard y en el servidor RADIUS
n Mtodos de autenticacin Defina su servidor RADIUS para permitir el mtodo de autenticacin
que su dispositivo WatchGuard utiliza: PAP o MS CHAP v2
Usar la autenticacin por servidor RADIUS con su dispositivo
WatchGuard
Para usar la autenticacin por servidor RADIUS con su dispositivo WatchGuard, debe:
n Agregar la direccin IP del dispositivo WatchGuard al servidor RADIUS, tal como se describe en la
documentacin de su proveedorRADIUS.
n Activar y especificar el servidor RADIUS en la configuracin de su dispositivo WatchGuard.
n Agregar nombres de usuario o nombres de grupo RADIUS a sus polticas.
Para activar y especificar el(los) servidor(es) RADIUS en su configuracin:
En el Policy Manager:
1. Haga clic en .
O seleccione Configurar > Autenticacin > Servidores de autenticacin.
2. Haga clic en la pestaa servidor RADIUS.
3. Para activar el servidor RADIUS y activar los campos en este cuadro de dilogo, seleccione la casilla
de verificacin Activar servidor RADIUS.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor RADIUS.
5. En el campo Puerto, asegrese de que aparezca el nmero de puerto que RADIUS usa para
autenticacin. El nmero de puerto predeterminado es 1812. Los servidores RADIUS ms antiguos
pueden usar puerto 1645.
6. En el cuadro de texto , ingrese el secreto compartido entre el dispositivo WatchGuard y el servidor
RADIUS.
El secreto compartido distingue maysculas de minsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor RADIUS.
7. En el cuadro de texto Confirmar cuadro de texto, ingrese el secreto compartido nuevamente.
8. Ingrese o seleccione el valor de tiempo de espera.
El valor de tiempo de espera es el perodo de tiempo que el dispositivo WatchGuard espera la
respuesta del servidor de autenticacin antes de intentar establecer una nueva conexin.
9. En el cuadro de texto Reintentos, inserte o seleccione el nmero de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticacin (el tiempo de espera est especificado
arriba) antes de reportar una conexin fallida por un intento de autenticacin.
10. En el cuadro de texto atributo Grupo, ingrese o seleccione un valor del atributo. El atributo Grupo
predeterminado es FilterID, que es el atributo 11 de RADIUS.
Autenticacin
Autenticacin
Gua del Usuario 313
El valor del atributo Grupo es usado para definir el atributo que lleva la informacin de grupo de
usuarios. Debe configurar el servidor RADIUS para que incluya la cadena FilterID en el mensaje de
autenticacin de usuario que enva al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las polticas del
11. En el cuadro de texto Tiempo muerto , ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duracin.
Despus que un servidor de autenticacin no haya respondido por un perodo de tiempo, ste
queda marcado como inactivo. Este servidor no realizar intentos seguidos de autenticacin hasta
que est marcado como activo nuevamente.
12. Para agregar un servidor RADIUS de resguardo, seleccione la pestaa Configuracin del servidor
secundario y seleccione Activar un servidor RADIUS secundario. .
13. Repetir los pasos 4 - 11 para agregar la informacin en los campos requeridos. Asegrese de que el
secreto compartido sea el mismo en el servidor RADIUS principal y de resguardo.
Para ms informaciones, vea Use un servidor de autenticacin de resguardo en la pgina 305.
Como la autenticacin del servidor RADIUS funciona
RADIUS es un protocolo que fue diseado originalmente para autenticar usuarios remotos en un servidor
de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticacin.
RADIUS es un protocolo cliente-servidor, en el cual Firebox es el cliente y el servidor RADIUS es el servidor.
(El cliente RADIUS a veces es denominado Servidor de Acceso a la Red, o NAS en sus siglas en ingls).
Cuando un usuario intenta autenticarse, Firebox enva un mensaje al servidor RADIUS. Si el servidor RADIUS
est configurado adecuadamente para que Firebox sea un cliente, RADIUS enva un mensaje de aceptar o
rechazar al Firebox (el Servidor de Acceso de Red).
Cuando Firebox usa el RADIUS para un intento de autenticacin:
1. El usuario intenta autenticarse, sea a travs de una conexin de HTTPS por el explorador al Firebox
por el puerto 4100 o a travs de una conexin usando Mobile VPN with PPTP o IPSec. Firebox lee el
nombre de usuario y contrasea.
2. Firebox crea un mensaje llamado mensajes Acceso-Solicitar y lo enva al servidor RADIUS. Firebox
usa el secreto compartido de RADIUS en el mensaje. La contrasea siempre est cifrada en el
mensaje Acceso-Solicitar.
3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el
Firebox). Si el servidor RADIUS no est configurado para aceptar Firebox como cliente, el servidor
rechaza el mensaje Acceso-Solicitar y no retorna el mensaje.
4. Si Firebox es un cliente conocido del servidor RADIUS y el secreto compartido est correcto, el
servidor encuentra el mtodo solicitado de autenticacin en el mensaje Acceso-Solicitar.
5. Si el mensaje Acceso-Solicitar usa un mtodo de autenticacin permitido, el servidorRADIUS
obtiene las credenciales de usuarios en el mensaje y busca una coincidencia en una base de datos
de usuarios. Si el nombre de usuario y contrasea coinciden con una entrada de la base de datos, el
servidor RADIUS puede obtener informacin adicional acerca del usuario en la base de datos de
usuarios (tal como la aprobacin de acceso remoto, membresa de grupo, horas de conexin, etc.)
6. El servidor RADIUS verifica si tiene una poltica de acceso o un perfil en su configuracin que
coincida con todas las informaciones disponibles sobre el usuario. Caso exista tal poltica, el servidor
enva una respuesta.
7. Si falla cualquiera de las condiciones anteriores, o si el servidor RADIUS no tiene una poltica que
coincida, enva un mensaje de Acceso-Rechazar que muestra la falla de autenticacin. La transaccin
de RADIUS termina y el usuario tiene el acceso negado.
8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS enva un
mensaje Acceso-Aceptar a Firebox.
9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que enva. Si el secreto
compartido no coincide, Firebox rechaza la respuesta de RADIUS.
Para ver los mensajes de diagnstico para autenticacin, Defina el nivel de registro de diagnstico y
altere el nivel de registro para la categora Autenticacin.
10. Firebox lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con
el atributo FilterID para poner el usuario en un grupo RADIUS.
11. El servidor RADIUS puede incluir grandes volmenes de informacin adicional en el mensaje
Acceso-Aceptar. Firebox ignora gran parte de esa informacin, como los protocolos que el usuario
est permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, tiempo de
espera de inactividad y otros atributos.
12. El nico atributo que Firebox busca en el mensaje Acceso-Aceptar es el atributo FilterID (atributo
RADIUS nmero 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para
incluir en el mensaje Acceso-Aceptar. Ese atributo es necesario para que Firebox asigne el usuario a
un grupo RADIUS.
Para obtener ms informaciones sobre grupos RADIUS, vea la siguiente seccin.
Acerca de los grupos RADIUS
Al configurar laautenticacin RADIUS, puede definir el nmerodel atributoGrupo. Fireware XTMlee el
nmerodel atributoGrupo enPolicy Manager para decir qu atributoRADIUS llevala informacinde grupo
RADIUS. Fireware XTMreconoce slo el atributo RADIUS nmero 11, FilterID, comoatributo Grupo. Al
configurar el servidor de RADIUS, no altere el valor predeterminado en11 del nmero del atributo de Grupo.
Cuando Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese
valor para asociar el usuario a un grupo RADIUS. (Debe configurar el FilterID manualmente en su
configuracin de RADIUS.) Por lo tanto, el valor del atributo FilterIP es el nombre del grupo RADIUS donde
el Firebox pone el usuario.
Los grupos RADIUS que usa en Policy Manager no son los mismos que los grupos Windows definidos en su
controlador de dominio o cualquier otro grupo existente en su base de datos de usuarios de dominio. Un
grupo RADIUS es slo un grupo lgico de usuarios utilizado por Firebox. Asegrese de que la cadena de
texto FilterID est seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo
local o grupo de dominio en su organizacin, pero eso no es necesario. Recomendamos que use un nombre
descriptivo que lo ayude a recordar cmo defini sus grupos de usuarios.
Autenticacin
Autenticacin
Gua del Usuario 315
Utilizacin prctica de grupos RADIUS
Si su organizacin tiene muchos usuarios que autenticar, puede facilitar la administracin de sus polticas de
Firebox al configurar el RADIUS para que enve el valor FilterID a muchos usuarios. Firebox pone a todos los
usuarios en un grupo lgico para que sea fcil administrar el acceso de los usuarios. Cuando crea una
poltica en Policy Manager que permita que slo usuarios autenticados accedan a un recurso de red, se usa
el nombre de grupo RADIUS en vez de agregar una lista de varios usuarios individuales.
Por ejemplo, cuando Mara se autentica, la cadena FilterID que RADIUS enva es Ventas, as que Firebox
pone a Mara en el grupo RADIUS de Ventaspor el tiempo que ella est autenticada. Si los usuarios Juan y
Alicia se autentican concomitantemente, y RADIUS pone el mismo valor FilterID Ventas en los mensajes
Acceso-Aceptar para Juan y Alicia, entonces, Mara, Juan y Alicia estn todos en el mismo grupo Ventas.
Puede crear una poltica en Policy Manager que permita al grupo Ventas acceder a un recurso.
Puede configurar RADIUS para enviar resultados de un FilterID diferente, tal como Soporte de TI, para los
miembros de su organizacin de soporte interno. Tambin puede crear una poltica diferente para permitir
que los usuarios de Soporte de TI accedan a recursos.
Por ejemplo, puede permitir que el grupo Ventas acceda a Internet usando una poltica de HTTP filtrada.
Tambin puede filtrar su acceso web con WebBlocker. Una poltica diferente en el Policy Manager puede
permitir que los usuarios de Soporte de TI accedan a Internet con la poltica de HTTP no filtrada, para que
puedan acceder a Internet sin el filtro de WebBlocker. Use el nombre del grupo RADIUS (o nombres de
usuario) en el campo De de un poltica para mostrar cules grupos (o cules usuarios) pueden usar la
poltica.
Valores de tiempo de espera y reintentos.
Ocurre una falla de autenticacin cuando no se recibe respuesta del servidor RADIUS principal. Despus de
tres intentos fallidos de autenticacin, el Fireware XTMusa el servidor RADIUS secundario. Ese proceso se
denomina conmutacin por error.
Nota Ese nmero de intentos de autenticacin no es el mismo que el nmero de
reintentos. No es posible alterar el nmero de intentos de autenticacin antes que
ocurra la conmutacin por error.
Firebox enva un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, Firebox
espera el nmero de segundos definido en el cuadro Tiempo de espera y entonces enva otro Acceso-
Solicitar. Eso contina por el nmero de veces indicado en el cuadro Reintento (o hasta que haya una
respuesta vlida). Si no hay una respuesta vlida del servidor RADIUS, o si el secreto compartido de RADIUS
no coincide, Fireware XTMlo considera un intento fallido de autenticacin.
Despus de tres intentos fallidos de autenticacin, Fireware XTM usa el servidor RADIUS secundario para el
siguiente intento de autenticacin. Si el servidor secundario tampoco logra contestar despus de tres
intentos de autenticacin, Fireware XTMespera diez minutos para que el administrador corrija el problema.
Despus de diez minutos, Fireware XTMintenta usar el servidor RADIUS principal nuevamente.
Configurado autenticacin de servidor VASCO
La autenticacin por el servidor VASCO usa el software VACMAN Middleware para autenticar usuarios
remotos a una red empresarial a travs de un ambiente de servidor web o RADIUS. VASCO tambin soporta
mltiples ambientes de servidor de autenticacin. El sistema por token de contrasea nica de VASCO
permite eliminar el enlace ms dbil de su infraestructura de seguridad - el uso de contraseas estticas.
Para usar la autenticacin por servidor VASCO con su dispositivo WatchGuard, debe:
n Agregar la direccin IP del dispositivo WatchGuard al VACMAN Middleware Server, tal como se
describe en la documentacin de su proveedor VASCO.
n Activar y especificar el VACMAN Middleware Server en la configuracin de su dispositivo
WatchGuard.
n Agregar nombres de usuario y de grupo a las polticas en el Policy Manager.
La autenticacin por servidor VASCO es configurada usando las configuraciones del servidorRADIUS. El
cuadro de dilogo Servidores de autenticacin no tiene una pestaa separada para servidores VACMAN
Middleware Server.
1. Haga clic en .
2. Haga clic en la pestaa RADIUS.
Autenticacin
Autenticacin
Gua del Usuario 317
3. Para activar el VACMAN Middleware Server y activar los campos en ese cuadro de dilogo,
seleccione la casilla de verificacin Activar servidor RADIUS.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del VACMAN Middleware Server.
5. En el cuadro de texto Puerto, asegrese de que apareza el nmero de puerto que VASCO usa para
autenticacin. El nmero de puerto predeterminado es 1812.
6. En el cuadro de texto cuadro de texto , inserte el secreto compartido entre el dispositivo
WatchGuard y el VACMAN Middleware Server.
El secreto compartido distingue maysculas de minsculas, y debe ser igual en el dispositivo
WatchGuard y en el servidor.
7. En el cuadro de texto Confirmar cuadro de texto , ingrese el secreto compartido nuevamente.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el perodo de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticacin antes de intentar
establecer una nueva conexin.
9. En el cuadro de texto Reintentos , ingrese o seleccione el nmero de veces que el dispositivo
WatchGuard intenta conectarse al servidor de autenticacin antes de reportar un error de conexin
por un intento de autenticacin.
10. Ingrese o seleccione el valor del atributo Grupo. El atributo Grupo predeterminado es FilterID, que
es el atributo 11 de VASCO.
El valor del atributo Grupo es usado para definir cul atributo lleva la informacin de grupo de
usuarios. Debe configurar el servidor VASCO para que incluya la cadena FilterID en el mensaje de
autenticacin de usuario que enva al dispositivo WatchGuard. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso. El dispositivo WatchGuard
hace coincidir la cadena de FilterID con el nombre de grupo configurado en las polticas del
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas de la
lista desplegable al lado para alterar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente conectarse a este
servidor hasta que est marcado como activo nuevamente.
12. Para agregar un VACMAN Middleware Server de resguardo, seleccione la pestaa Configuraciones
de Servidor Secundario, y seleccione Activar un servidor RADIUS secundario .
secreto compartido sea el mismo en el VACMAN Middleware Server principal y de resguardo.
Configurar autenticacin SecurID
Para usar autenticacin por SecurID, debe configurar correctamente los servidores RADIUS, VASCO y
ACE/Server. Los usuarios tambin deben tener un token y un PIN (nmero de identificacin personal) de
SecurID. Consulte la documentacin de SecurID RSA para obtener ms informacin.
1. Haga clic en .
2. Haga clic en la pestaa SecurID.
3. Seleccione Activar SecurID Server casilla de verificacin para activar el servidor SecurID y activar los
campos en ese cuadro de dilogo.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor SecurID.
5. Haga clic en el campo Puerto para subir o bajar, hasta definir el nmero de puerto para usar en la
autenticacin de SecurID.
El nmero predeterminado es 1812.
6. En el cuadro de texto cuadro de texto, ingrese el secreto compartido entre el dispositivo
WatchGuard y el servidor SecurID. El secreto compartido distingue maysculas de minsculas, y
debe ser igual en el dispositivo WatchGuard y en el servidor SecurID.
7. En el cuadro de texto Confirmar , ingrese nuevamente el secreto compartido.
8. En el cuadro de texto Tiempo de espera, inserte o seleccione el perodo de tiempo que el
dispositivo WatchGuard espera la respuesta del servidor de autenticacin antes de intentar
establecer una nueva conexin.
Autenticacin
Autenticacin
Gua del Usuario 319
9. En el Reintento , inserte o seleccione el nmero de veces que el dispositivo WatchGuard intenta
conectarse al servidor de autenticacin antes de reportar una conexin fallida por un intento de
autenticacin.
10. En el cuadro de texto atributo Grupo , ingrese o seleccione un valor del atributo Grupo.
Recomendamos que no altere ese valor.
El valor del atributo Grupo es usado para definir el atributo que lleva la informacin de grupo de
usuarios. Cuando el servidor SecurID enva un mensaje al dispositivo WatchGuard al cual el usuario
est autenticado, tambin enva una cadena de grupo de usuarios. Por ejemplo, ingenieroGrupo o
finanzaGrupo. Esa informacin luego es utilizada para control de acceso.
un servidor inactivo queda marcado como activo nuevamente. Seleccione minutos o horas en la
lista desplegable al lado para determinar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no use este servidor hasta que
est marcado como activo nuevamente, despus que se alcance el valor del tiempo muerto.
12. Para agregar un servidor SecurID de resguardo, seleccione la pestaa Configuracin del servidor
secundario y seleccione Activar un servidor SecurID secundario. Server .
secreto compartido sea el mismo en el servidor SecurID principal y de resguardo.
Configurar autenticacin en Active Directory
El Active Directory es una aplicacin de Microsoft, basada en Windows, de una estructura de directorio de
LDAP. El Active Directory le permite expandir el concepto de jerarqua usado en el DNS hacia un nivel
organizativo. Mantiene la informacin y configuracin de una organizacin en una base de datos central y
de fcil acceso.
Puede usar un servidor de Active Directory Authentication para que los usuarios puedan autenticar el
dispositivo WatchGuard con sus credenciales actuales de red. Debe configurar el dispositivo y el Active
Directory Server.
Antes de empezar, asegrese de que sus usuarios puedan autenticarse con xito en el Active Directory
Server.
1. Haga clic en .
2. Haga clic en la pestaa Active Directory.
3. Seleccione la casilla Activar Active Directory Server .
4. En el campo direccin IP, ingrese la direccin IP del Active Directory Server principal.
El Active Directory Server puede estar ubicado en cualquier interfaz del dispositivo WatchGuard.
Tambin es posible configurar el dispositivo para usar un Active Directory Server disponible a travs
de un tnel VPN.
5. En el cuadro de texto Puerto , ingrese o seleccione el nmero de puerto de TCP a ser usado por el
dispositivo para conectarse al Active Directory Server. El nmero de puerto predeterminado es 389.
Si su Active Directory Server es un servidor de catlogo global, puede ser til alterar el puerto
predeterminado. Para ms informaciones, vea Alterar el puerto predeterminado de Active Directory
Server en la pgina 323.
6. En el cuadro de texto Base de bsqueda, inserte la ubicacin en el directorio para empezar la
bsqueda.
El formato estndar para la configuracin de base de bsqueda es: ou=<name of organizational
unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server
name that appears after the dot>.
Se determina una base de bsqueda para poner lmites en los directorios en el servidor de
autenticacin en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticacin. Recomendamos que determine la base de bsqueda en la raz del dominio. Eso
permite encontrar todos los usuarios y grupos a los que pertenecen los mismos.
Para ms informaciones, vea Encuentre su base de bsqueda del Active Directory en la pgina 322.
Autenticacin
Autenticacin
Gua del Usuario 321
7. En el cuadro de texto Cadena de Grupo, inserte la cadena de atributos usada para mantener la
informacin del grupo usuario en el Active Directory Server. Si no cambi su esquema de Active
Directory, la cadena de grupo siempre es memberOf.
8. En el cuadro de texto DN del usuario de bsqueda , inserte el Nombre de Distincin (DN) para una
operacin de bsqueda.
No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesin de
sAMAccountName. Si altera el atributo del inicio de sesin, debe agregar un valor en el campoDN del
usuario de bsqueda para su configuracin. Puede usar cualquier DN de usuario con el privilegio de
bsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario ms
dbil, slo con un privilegio de bsqueda, suele ser suficiente.
9. En el cuadro de texto Contrasea de usuario de bsqueda , inserte el nombre de distincin (DN)
para una operacin de bsqueda.
10. En el atributo de inicio de sesin cuadro de texto, ingrese un atributo de inicio de sesin de Active
Directory para ser usado para autenticacin.
El atributo de inicio de sesin es el nombre usado para vincular a la base de datos del Active
Directory. El atributo de inicio de sesin predeterminado es sAMAccountName. Si usa el
sAMAccountName, el campoDN de usuario de bsqueda y el campo Contrasea de usuario de
bsqueda pueden estar vacos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione una hora a partir de la cual un servidor
inactivo est marcado como activo nuevamente. Seleccione minutos o horas en la lista desplegable
al lado para determinar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente con este servidor
hasta que est marcado como activo nuevamente.
12. Para agregar un Active Directory Server de resguardo, seleccione la pestaa Configuracin de
servidor de resguardo y seleccione la casilla Activar Active Directory Server secundario.
secreto compartido sea el mismo en el Active Directory Server principal y de resguardo.
Sobre la configuracin opcional del Active Directory
El Fireware XTMpuede obtener informacin adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de bsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parmetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de direccin de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no est limitado a las configuraciones globales en el
Policy Manager. Se puede determinar esos parmetros para cada usuario individual.
Params informaciones, veaUsar las configuraciones opciones deActiveDirectory o deLDAP enlapgina327.
Encuentre su base de bsqueda del Active Directory
Al configurar el dispositivo WatchGuard para autenticar usuarios con su Active Directory Server, se agrega
una base de bsqueda. La base de bsqueda es el lugar por donde la bsqueda empieza en la estructura
jerrquica del Active Directory para las entradas de cuenta de usuario. Eso puede ayudar a apurar el
procedimiento de autenticacin.
Antes de empezar, debe tener un Active Directory Server operativo que contenga los datos de cuenta de
todos los usuarios para los cuales desea configurar autenticacin en el dispositivo WatchGuard.
En su Active Directory Server:
1. Seleccione Inicio> Herramientas administrativas >Usuarios y equipos de Active Directory.
2. En el rbol Usuarios y equipos de Active Directory, encuentre y seleccione su domain name.
3. Expanda el rbol para encontrar una ruta en la jerarqua de Active Directory.
Los componentes del domain name tienen el formato dc=componente de domain name, estn
incluidos al final de la cadena de base de bsqueda y estn separados por comas.
Para cada nivel del domain name, debe incluir un componente de domain name separado en su
base de bsqueda de Active Directory. Por ejemplo, si su domain name es prefijo.ejemplo.com, el
componente del domain name en su base de bsqueda es DC=prefijo,DC=ejemplo,DC=com.
Por ejemplo, si su domain name en el rbol se parece a este despus de expandirlo:
La cadena de la base de bsqueda que agregar a la configuracin de Firebox es:
DC=kunstlerandsons,DC=com
La cadena de bsqueda no distingue maysculas de minsculas. Cuando ingresa su cadena de bsqueda,
puede usar letras maysculas o minsculas.
Autenticacin
Autenticacin
Gua del Usuario 323
Campos DN del usuario de bsqueda y Contrasea del usuario de
bsqueda
Debe rellenar estos campos slo si seleccion una opcin para el Atributo de inicio de sesin que sea
diferente del valor predeterminado, sAMAccountName. La mayora de las organizaciones que usa Active
Directory no lo cambia. Cuando deja ese campo en el valor predeterminado sAMAccountName, los
usuarios proveen sus nombres usuales de inicio de sesin en Active Directory como nombres de usuarios
para autenticar. Ese es el nombre que encuentra en el cuadro de texto Nombre de usuario para inicio de
sesin en la pestaa Cuenta, cuando edita la cuenta de usuario en Usuarios y equipos de Active Directory.
Si usa un valor diferente para Atributo de inicio de sesin, el usuario que intente autenticarse da un
formato diferente del nombre de usuario. En ese caso, debe agregar Credenciales de usuario de bsqueda a
la configuracin de su Firebox.
Alterar el puerto predeterminado de Active Directory Server
Si su dispositivo WatchGuard est configurado para autenticar usuarios con servidor de Active Directory
Authentication (AD), l se conecta por defecto al Active Directory Server en el puerto LDAP estndar, que
es el puerto TCP 389. Si los servidores de Active Directory que agrega a su configuracin del dispositivo
WatchGuard estn configurados como servidores de catlogo global de Active Directory, puede solicitar al
dispositivoWatchGuard que use el puerto de catlogo global - puerto TCP 3268 - para conectarse al Active
Directory Server.
Un servidor de catlogo global es un controlador de dominio que almacena informaciones sobre todos los
objetos en el bosque. Eso permite que las aplicaciones busquen en el Active Directory, pero sin tener que
referirse a controladores de dominio especficos que almacenan los datos solicitados. Si tiene slo un
dominio, Microsoft recomienda que configure todos los controladores de dominio como servidores de
catlogo global.
Si el Active Directory Server principal o secundario usado en su configuracin del dispositivoWatchGuard
tambin est configurado como un servidor de catlogo global, puede cambiar el puerto utilizado por el
dispositivoWatchGuard para conectarse al Active Directory Server para aumentar la velocidad de las
solicitudes de autenticacin. No obstante, no recomendamos la creacin de servidores de catlogo global
de Active Directory adicionales slo para aumentar la velocidad de las solicitudes de autenticacin. La
replicacin que ocurre entre mltiples servidores de catlogo global puede usar bastante ancho de banda
de su red.
Configurar el Firebox para que use el puerto de catlogo global
1. Desde el Policy Manager , haga clic en .
2. Seleccione la pestaa Active Directory.
3. En el cuadro de texto Puerto, limpie los contenidos e inserte 3268.
Descubra si su Active Directory Server est configurado como servidor
de catlogo global
1. Seleccione Inicio> Herramientas administrativas >Sitios y servicios de Active Directory.
2. Expanda el rbol de sitios y encuentre el nombre de su Active Directory Server.
3. Haga clic con el botn derecho en Configuraciones NTDS para el Active Directory Server y
seleccione Propiedades.
Si la casilla de verificacin Catlogo Global est seleccionada, el Active Directory Server est
configurado para ser un catlogo global.
Configurar autenticacin LDAP
Puede usar un servidor de autenticacin por LDAP (Protocolo de Acceso Liviano al Directorio) para
autenticar los usuarios con el dispositivo WatchGuard. El LDAP es un protocolo abierto para usar servicios
de directorio online, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes de
configurar su dispositivo WatchGuard para la autenticacin de LDAP, asegrese de verificar la
documentacin de su proveedor de LDAP para ver si su instalacin soporta el atributo memberOf (o
equivalente).
1. Haga clic en .
2. Haga clic en la pestaa LDAP .
Autenticacin
Autenticacin
Gua del Usuario 325
3. Seleccionar la casilla de verificacin Activar LDAP Server para activar el servidor de LDAP y activar
los campos en ese cuadro de dilogo.
4. En el cuadro de texto Direccin IP, ingrese la direccin IP del servidor de LDAP principal a la cual el
dispositivo WatchGuard debe contactarse para solicitudes de autenticacin.
El servidor de LDAP puede estar ubicado en cualquier interfaz del dispositivo WatchGuard. Tambin
puede configurar su dispositivo para usar un servidor de LDAP en una red remota a travs de un
tnel VPN.
5. En el cuadro de texto Puerto, seleccione el nmero del puerto TCP para ser usado por el dispositivo
WatchGuard para conectar con el servidor de LDAP. El nmero de puerto predeterminado es 389.
LDAP por TLS no est soportado.
6. En el cuadro de texto Base de bsqueda , ingrese las configuraciones de base de bsqueda.
El formato estndar es: ou=unidad organizacional,dc=primera parte del nombre de distincin del
servidor,dc=cualquier parte del nombre de distincin del servidor que aparece despus del punto.
Se determina una base de bsqueda para imponer lmites a los directorios en el servidor de
autenticacin en los que el dispositivo WatchGuard busca para que haya una coincidencia de
autenticacin. Por ejemplo, si las cuentas de usuario estn en una OU (unidad organizativa) a la que
se refiere como cuentas y el domain name es ejemplo.com, su base de bsqueda es:
ou=cuentas,dc=ejemplo,dc=com
7. En el cuadro de texto Cadena de grupo , ingrese el atributo de cadena de grupo.
Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos
servidores de LDAP, la cadena predeterminada de grupo es uniqueMember, en otros servidores es
member.
8. En el cuadro de texto DN del usuario de bsqueda , inserte el Nombre de Distincin (DN) para una
operacin de bsqueda.
Puede usar cualquier DN de usuario con el privilegio de bsqueda en el LDAP/Active Directory,
como un Administrador. Algunos administradores crean un nuevo usuario que slo tiene privilegios
de bsqueda para usar en ese campo.
9. En el cuadro de texto Contrasea de usuario de bsqueda , inserte el nombre de distincin (DN)
10. En el cuadro de texto Atributo de inicio de sesin, ingrese el atributo de inicio de sesin de LDAP
para ser usado para autenticacin.
El atributo de inicio de sesin es el nombre usado para vincular a la base de datos de LDAP. El
atributo de inicio de sesin predeterminado es uid. Si usa uid, el campo DN de usuario buscando y
el campo Contrasea de Usuario buscando pueden estar vacos.
11. En el cuadro de texto Tiempo muerto, ingrese o seleccione el perodo de tiempo a partir del cual
un servidor inactivo est marcado como activo nuevamente. Seleccione minutos o horas en la lista
desplegable al lado para determinar la duracin.
queda marcado como inactivo. Intentos seguidos de autenticacin, no intente con este servidor
hasta que est marcado como activo nuevamente.
12. Para agregar un servidor de LDAP de resguardo, seleccione la pestaa Configuraciones de Servidor
de Resguardo, y seleccione Activar un servidor de LDAPsecundario .
secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.
Acerca de las configuraciones opcionales de LDAP
El Fireware XTMpuede obtener informacin adicional del servidor del directorio (LDAP o Active Directory)
cuando lee la lista de atributos en la respuesta de bsqueda del servidor. Eso permite usar el servidor del
directorio para asignar parmetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos
de espera y asignaciones de direccin de Mobile VPN con IPSec. Como los datos provienen de atributos de
LDAP asociados a objetos de usuarios individuales, uno no est limitado a las configuraciones globales en el
Policy Manager. Se puede determinar esos parmetros para cada usuario individual.
Params informaciones, veaUsar las configuraciones opciones deActiveDirectory o deLDAP enlapgina327.
Autenticacin
Autenticacin
Gua del Usuario 327
Usar las configuraciones opciones de Active
Directory o de LDAP
Cuando el Fireware XTMcontacta el servidor de directorio (Active Directory o LDAP) para buscar
informacin, puede obtener informacin adicional en la lista de atributos en la respuesta de bsqueda
enviada por el servidor. Eso le permite usar el servidor del directorio para asignar parmetros adicionales a
la sesin de usuario autenticado, tales como los tiempos de espera y asignaciones de direccin de Mobile
VPN. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, puede
definir esos parmetros para cada usuario individual, sin limitarse a las configuraciones globales en Policy
Manager.
Antes de empezar
Para usar esas configuraciones opcionales es necesario:
n Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
n Hacer que los nuevos atributos estn disponibles para la clase de objeto a la que pertenecen las
cuentas de usuario.
n Otorgar valores a los atributos para los objetos de usuario que deberan usarlos.
Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a sus
directorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes y
no se puede deshacerlas. Use el sitio web de Microsoft para obtener recursos para planear, probar e
implementar cambios a un esquema de Active Directory. Consulte la documentacin de su proveedor de
LDAP antes de ampliar el esquema a otros directorios.
Especificar Configuraciones opcionales de LDAP o Active
Directory
Para especificar los atributos adicionales, Fireware XTMbusca en la respuesta de bsqueda del servidor de
directorio:
2. Haga clic en la pestaa LDAP o en Active Directory y asegrese de que el servidor est activado.
Autenticacin
Autenticacin
Gua del Usuario 329
3. Haga clic en Configuraciones opcionales.
Aparecen las configuraciones opcionales del servidor cuadro de dilogo .
4. Ingrese los atributos que desea incluir en la bsqueda del directorio en los campos de cadenas.
Cadena de atributos de IP
Ese campo se aplica solamente a clientes de Mobile VPN.
Ingrese el nombre del atributo para que Fireware XTMlo use para asignar una direccin IP
virtual al cliente de Mobile VPN. Debe ser un atributo de valor nico y una direccin IP en
formato decimal. La direccin IP debe estar dentro del grupo de direcciones IP virtuales que
son especificadas en la creacin del Grupo de Mobile VPN.
Si Firebox no encuentra el atributo de IP en el resultado de bsqueda, o si no se especifica un
atributo en Policy Manager, l asigna una direccin IP virtual al cliente de Mobile VPN a partir
del grupo de direcciones IP virtuales creadas con el Grupo de Mobile VPN.
Cadena de atributos de mscara de red
Ingrese el nombre del atributo para que Fireware XTMlo use para asignar una Subnet Mask a la
direccin IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor nico y una Subnet
Mask en formato decimal.
El software de Mobile VPN asigna automticamente una mscara de red si el Firebox no
encuentra el atributo de mscara de red en el resultado de bsqueda, o si no especifica uno en
Policy Manager.
Cadena de atributos de DNS
Ingrese el nombre del atributo que Fireware XTMusa para asignar una o ms direcciones de
DNS al cliente de Mobile VPN para el perodo de duracin de la sesin de Mobile VPN. Eso
puede ser un atributo de mltiples valores y debe ser una direccin IP decimal normal con
puntos. Si Firebox no encuentra el atributo de DNS en el resultado de bsqueda, o si no se
especifica un atributo en Policy Manager, l usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS.
Cadena de atributos de WINS
Ingrese el nombre del atributo que Fireware XTMdebera usar para asignar una o ms
direcciones WINS al cliente de Mobile VPN para el perodo de duracin de la sesin de Mobile
VPN. Eso puede ser un atributo de mltiples valores y debe ser una direccin IP decimal
normal con puntos. Si Firebox no encuentra el atributo de WINS en el resultado de bsqueda, o
si no se especifica un atributo en Policy Manager, l usa las direcciones WINS insertadas cuando
Configurado servidores WINS y DNS.
Cadena de atributos de tiempo de concesin
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticacin por firewall.
Ingrese el nombre del atributo para que Fireware XTMuse para controlar la duracin mxima
que un usuario puede permanecer autenticado (tiempo de espera de sesin). Despus de ese
perodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor nico. Fireware XTMinterpreta el valor del atributo como un nmero decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
Cadena de atributos de tiempo de espera inactivo
Eso se aplica a los clientes de Mobile VPN y a clientes que usan autenticacin por firewall.
Ingrese el nombre del atributo que Fireware XTMusa para controlar el perodo de tiempo que
un usuario puede permanecer autenticado cuando no se transmite trfico hacia el Firebox
desde el usuario (tiempo de espera inactivo). Si no se enva trfico al dispositivo por ese
perodo de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un
atributo de valor nico. Fireware XTMinterpreta el valor del atributo como un nmero decimal
de segundos. Interpreta un valor cero como nunca se agota el tiempo de espera.
5. Haga clic en OK.
Configuraciones de atributos guardadas.
Use una cuenta de usuario local para
autenticacin
Cualquier usuario puede autenticarse como usuario de Firewall, usuario de PPTP, o usuario de Mobile VPN,
y abrir un tnel PPTP o Mobile VPN si el PPTP o Mobile VPN est activado en Firebox. No obstante, despus
de la autenticacin o de que un tnel haya sido establecido con xito, los usuarios pueden enviar trfico por
el tnel VPN slo si el trfico est permitido por una poltica en Firebox. Por ejemplo, un usuario slo de
Mobile VPN puede enviar trfico a travs de un tnel de Mobile VPN. Aunque el usuario slo de Mobile
VPN pueda autenticarse y abrir un tnel PPTP, no puede enviar el trfico a travs de ese tnel.
Si usa la autenticacin por Active Directory y la membresa a un grupo para el usuario no coincide con la
poltica de Mobile VPN, encuentra un mensaje de error que dice que el Trfico descifrado no coincide con
ninguna poltica. Si encuentra ese mensaje de error, asegrese de que el usuario est en un grupo con el
mismo nombre que su grupo de Mobile VPN.
Autenticacin
Autenticacin
Gua del Usuario 331
Use los usuarios y grupos autorizados en polticas
Se puede especificar nombres de usuarios y grupos al crear polticas en Policy Manager. Por ejemplo, se
pueden definir todas las polticas para que slo autoricen conexiones para usuarios autenticados. O puede
limitar conexiones en una poltica para usuarios especficos.
El trmino usuarios y grupos autorizados se refiere a usuarios y grupos que estn autorizados a acceder a
los recursos de red.
Definir usuarios y grupos para autenticacin de Firebox
Si usa el Firebox como servidor de autenticacin y desea definir usuarios y grupos que se autentican a
Firebox, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 308 y Definir un nuevo
grupo para autenticacin de Firebox en la pgina 310.
Definir usuarios y grupos para autenticacin de terceros
1. Cree un grupo en su servidor de autenticacin externo que contenga todas las cuentas de usuarios
en su sistema.
2. En Policy Manager, seleccione Configurar> Autenticacin >Usuarios/Grupos Autorizados.
Aparece el cuadro de dilogo "Usuarios y Grupos Autorizados".
Aparece el cuadro de dilogo "Definir nuevo usuario o grupo autorizado".
4. Ingrese un nombre de usuario o grupo creado en el servidor de autenticacin.
5. (Opcional) Ingrese una descripcin para el usuario o grupo.
6. Seleccione el botn de radio Grupo o Usuario.
7. En la lista desplegable Servidor Autoriz, seleccione su tipo de servidor de autenticacin.
Seleccione RADIUS para autenticacin a travs de un servidor RADIUS o VACMAN Middleware
Server, o Cualquiera para autenticacin por cualquier otro servidor.
Agregar usuarios y grupos a las definiciones de poltica
Cualquier usuario o grupo que desee usar en las definiciones de polticas debe ser agregado como usuario
autorizado. Todos los usuarios y grupos creados para autenticacin en Firebox y todos los usuarios de
Mobile VPN son automticamente agregados a la lista de usuarios y grupos autorizados en el cuadro de
dilogo Usuarios y Grupos Autorizados. Puede agregar cualesquiera usuarios o grupos de servidores de
autenticacin externos a la lista de usuarios y grupos autorizados siguiendo el procedimiento anterior.
Entonces estar listo para agregar usuarios y grupos a su configuracin de poltica.
1. En el Policy Manager, seleccione la pestaa Firewall.
2. Haga doble clic en una poltica.
3. En la pestaa poltica, abajo del cuadro De, haga clic en Agregar.
4. Haga clic en Agregar usuario.
Aparece el cuadro de dilogo "Agregar usuarios y grupos autorizados".
5. En la lista desplegable a la izquierda Tipo, seleccione si el usuario o grupo est autorizado como
usuario de firewall, VPN SSL o PPTP.
Para ms informacin sobre esos tipos de autenticacin, vea Tipos de autenticacin de Firebox en la
pgina 305.
6. De la lista desplegable Tipo a la derecha, seleccione Usuario o Grupo.
7. Si el usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en
Seleccionar.
Reaparece el cuadro de dilogo "Agregar direccin" con el usuario o grupo en el cuadro Miembros o
Direcciones Seleccionados.
Haga clic en Aceptar para cerrar el cuadro de dilogo Editar Propiedades de Poltica.
Autenticacin
Autenticacin
Gua del Usuario 333
8. Si el usuario o grupo no aparece en la lista en el cuadro de dilogo Agregar Usuarios o Grupos
Autorizados, vea Definir un nuevo usuario para autenticacin en Firebox en la pgina 308, Definir un
nuevo grupo para autenticacin de Firebox en la pgina 310, o el procedimiento anterior Definir
usuarios y grupos para autenticacin externa.
Despus que se agrega un usuario o grupo a una configuracin de polticas, el WatchGuard System Manager
agrega automticamente una poltica de autenticacin de WatchGuard a su configuracin de Firebox. Use
esa poltica para controlar el acceso a la pgina web del portal de autenticacin.
Para obtener instrucciones para editar esa poltica, vea Use la autenticacin para restringir el trfico
entrante en la pgina 292.
Autenticacin
Gua del Usuario 334
Gua del Usuario 335
13
Polticas
Acerca de polticas
La poltica de seguridad de una empresa es un conjunto de definiciones para proteger la red de equipos y la
informacin que la recorre. El Firebox rechaza todos los paquetes que no estn especficamente
permitidos. Cuando se agrega una poltica al archivo de configuracin del Firebox, se agrega un conjunto de
reglas que indican al Firebox que debe permitir o rechazar trfico en funcin de factores como el origen y
el destino del paquete o el puerto TCP/IP o el protocolo utilizado para el paquete.
Como ejemplo del modo en que puede usarse una poltica, supongamos que el administrador de red de
una empresa desea conectarse en forma remota a un servidor web protegido por el Firebox. El
administrador de red administra el servidor web con una conexin de Escritorio Remoto. Al mismo tiempo,
el administrador de red desea asegurarse de que ningn otro usuario de la red pueda utilizar el Escritorio
Remoto. Para crear esta configuracin, el administrador de red agrega una poltica que permite conexiones
RDP slo desde la direccin IP de su propio equipo de escritorio a la direccin IP del servidor web.
Una poltica tambin puede aportar al Firebox ms instrucciones sobre cmo administrar el paquete. Por
ejemplo, el usuario puede definir configuraciones de registro y notificacin que se aplican al trfico o usar
NAT (Traduccin de direccin de red) para cambiar la direccin IP de origen y el puerto del trfico de red.
Polticas de filtro de paquetes y proxy
Firebox utiliza dos categoras de polticas para filtrar el trfico de red: filtrado de paquetes y servidores
proxy. Un filtro de paquetes examina la IP y el encabezado de TCP/UDP del paquete. Si la informacin del
encabezado del paquete es legtima, entonces Firebox acepta el paquete. De lo contrario, Firebox lo
rechaza.
Un proxy examina tanto la informacin del encabezado como el contenido de cada paquete para
asegurarse de que las conexiones sean seguras. Esto tambin se denomina inspeccin profunda de
paquetes. Si la informacin del encabezado del paquete es legtima y el contenido del paquete no se
considera una amenaza, entonces Firebox acepta el paquete. De lo contrario, Firebox lo rechaza.
Acerca de cmo agregar polticas a Firebox
Firebox incluye muchos filtrados de paquetes preconfigurados y proxies que se pueden agregar a la
configuracin. Por ejemplo, si el usuario desea un filtro de paquete para todo el trfico Telnet, agrega una
poltica Telnet predefinida que pueda modificar para la configuracin de red. Tambin puede definir una
poltica personalizada para la cual se configuran los puertos, protocolos y otros parmetros.
Cuando se configura Firebox con el Quick Setup Wizard, el asistente agrega varios filtrados de paquetes:
Saliente (TCP-UDP), FTP, ping y hasta dos polticas de administracin de WatchGuard. Si el usuario tiene ms
aplicaciones de software y trfico de red para que examine Firebox, debe:
n Configurar las polticas en Firebox para que permitan la circulacin del trfico necesario.
n Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Recomendamos establecer lmites en el acceso saliente cuando se configura Firebox.
Nota En toda la documentacin, nos referimos a los filtrados de paquetes y proxies
como polticas. La informacin sobre polticas se refiere tanto a los filtrados de
paquetes como a proxies, salvo indicacin en contrario.
Acerca del Policy Manager
El Policy Manager de Fireware XTMes una herramienta de software de WatchGuard que permite crear,
editar y guardar archivos de configuracin. Cuando se usa el Policy Manager, el usuario ve una versin del
archivo de configuracin que es fcil de examinar y modificar.
Para obtener ms informacin sobre cmo abrir el Policy Manager, consulte Abrir el Policy Manager en la
pgina 337.
Ventana Policy Manager
El Policy Manager tiene dos pestaas: La pestaa Firewall y la pestaa Mobile VPN with IPSec.
n La pestaa Firewall incluye polticas que se usan para el trfico de firewall general en Firebox.
Tambin incluye polticas BOVPN para que el usuario pueda ver el orden en el que Firebox examina
el trfico de red y aplica una regla de poltica. (Para cambiar el orden, consulte Acerca de la
precedencia de polticas en la pgina 347.)
n Lapestaa Mobile VPN withIPSec incluye polticas que se usancon tneles de Mobile VPN conIPSec.
La interfaz de usuario del Policy Manager muestra una lista de las polticas que el usuario configur y sus
configuraciones bsicas predeterminadas. El usuario tambin puede ver las polticas como un grupo de
conos grandes que le ayudan a identificar una poltica visualmente. Para alternar entre estas dos vistas,
consulte Cambiar la vista del Policy Manager en la pgina 338.
Polticas
Polticas
Gua del Usuario 337
conos de polticas
El La ventana Policy Manager contiene conos para las polticas definidas en Firebox. El usuario puede hacer
doble clic en el cono o su entrada correspondiente para editar las propiedades de esa poltica. La
presentacin de los conos muestra su estado y tipo:
n Las polticas activadas que permiten trfico aparecen con una marca de comprobacin verde o con
una barra verde y una marca de comprobacin en la vista de conos grandes.
n Las polticas activadas que rechazan trfico tienen una X roja o una barra roja con una X en la vista de
conos grandes.
n Las polticas desactivadas tienen un crculo negro con una lnea o una barra gris en la vista de conos
grandes.
n Un cono que contiene el smbolo de un escudo del lado izquierdo es una poltica de proxy.
Los nombres de las polticas aparecen en color, segn el tipo de poltica:
n Las polticas administradas aparecen en gris con fondo blanco.
n Las polticas BOVPN (como BOVPN-permitir.saliente) aparecen en verde con fondo blanco.
n Las polticas BOVPN y de firewall combinadas (como ping o Cualquiera-PPTP) aparecen en azul con
fondo blanco.
n Todas las dems polticas aparecen en negro con fondo blanco.
Para cambiar estos colores predeterminados, consulte Cambiar colores utilizados para texto del
Administrador de la poltica en la pgina 340.
Para encontrar una poltica especfica en el Policy Manager, consulte Buscar una poltica por direccin,
puerto o protocolo en la pgina 341.
Abrir el Policy Manager
Para abrir el Policy Manager desde la ventana WatchGuard System Manager:
n SeleccioneunFireboxal queestconectadoyhagaclic .
Obien
n Seleccione Herramientas> Policy Manager.
Si el Firebox que selecciona el usuario es un dispositivo administrado, el Policy Manager coloca un bloqueo
en el dispositivo en WatchGuard System Manager para impedir cambios simultneos por parte de otro
usuario. El bloqueo se libera cuando el usuario cierra el Policy Manager o si abre el Policy Manager para un
dispositivo diferente.
Cambiar la vista del Policy Manager
El Policy Manager tiene dos vistas: Iconos grandes y Detalles. La vista predeterminada Iconos grandes
muestra a cada poltica como un icono. En la vista Detalles, cada poltica es una fila de informacin dividida
entre varias columnas. Puede ver informacin de la configuracin, incluido el origen y el destino y los
parmetros de generacin de registros y notificacin.
Para cambiar a la vista Detalles:
Seleccione Ver > Detalles.
Vista Iconos grandes
Vista Detalles
La siguiente informacin aparece para cada poltica:
Polticas
Polticas
Gua del Usuario 339
Orden
El orden en el que se clasifican las polticas y cmo circula el trfico a travs de las polticas. El Policy
Manager automticamente ordena las polticas desde la ms especfica a la ms general. Si desea
cambiar al modo de orden manual, seleccione Ver> Modo de orden automtico para que la marca
de comprobacin desaparezca. Luego, seleccione la poltica cuyo orden desea cambiar y arrstrela a
la nueva ubicacin.
Para obtener ms informacin sobre el orden de las polticas, consulte Acerca de la precedencia de
polticas.
Accin
Laaccin que toma lapoltica parael trficoque coincide con ladefinicin de la poltica. El smboloen
estacolumna tambinindica si la polticaes unapoltica de filtro de paquetes ouna polticade proxy.
n Marca de comprobacin verde: poltica de filtro de paquetes; se permite el trfico
n X roja: poltica de filtro de paquetes; se rechaza el trfico
n Crculo con lnea: poltica de filtro de paquetes y la accin para el trfico no est configurada
n Escudo verde con marca de comprobacin: poltica de proxy; el trfico est permitido
n Escudo rojo con una X: poltica de proxy; se rechaza el trfico
n Escudo gris: poltica de proxy; la accin para el trfico no est configurada
Nombre de la poltica
Nombre de la poltica, como se define en el campo Nombre en el cuadro de dilogo Nuevas/Editar
propiedades de polticas.
Para ms informacin, vea Agregar una poltica de la lista de plantillas en la pgina 344.
Tipo de poltica
El protocolo que la poltica administra. Los servidores proxy incluyen el protocolo y "-proxy".
Tipo de trfico
Tipo de trfico que la poltica examina: firewall o VPN.
Registro
Si est habilitada la generacin de registros para la poltica.
Alarma
Si estn configuradas las alarmas para la poltica.
De
Direcciones desde las cuales se aplica el trfico para esta poltica (direcciones de origen).
Para
Direcciones desde las cuales se aplica el trfico para esta poltica (direcciones de destino).
PBR
Indica si la poltica utiliza enrutamiento basado en polticas. Si ste es el caso y no est habilitada la
conmutacin por error, aparece el nmero de interfaz. Si el enrutamiento basado en la poltica y la
conmutacin por error estn habilitados, aparece una lista de nmeros de interfaz, con la interfaz
principal en el primer lugar de la lista.
Para ms informacin acerca del enrutamiento basado en polticas, vea Configurar el enrutamiento
basado en la poltica en la pgina 359.
Puerto
Protocolos y puertos utilizados por la poltica.
Cambiar colores utilizados para texto del Administrador de la
poltica
En la configuracin predeterminada del Administrador de la poltica, los nombres de las polticas (o la fila
completa en la vista Detalles) aparecen resaltados en color segn el tipo de trfico:
n Las polticas administradas aparecen en gris con fondo blanco.
n Las polticas BOVPN (como BOVPN-permitir.saliente) aparecen en verde con fondo blanco.
n Las polticas BOVPN y de firewall combinadas (como ping o Cualquiera-PPTP) aparecen en azul con
fondo blanco.
n Todas las dems polticas (comunes) no est resaltadas). Aparecen en negro.
Se pueden usar los colores predeterminados o colores seleccionados por el usuario. Tambin se puede
desactivar el resaltado de polticas.
1. Seleccione Ver> Resaltar polticas.
Aparece el cuadro de dilogo Resaltar polticas.
Polticas
Polticas
Gua del Usuario 341
2. Para activar el resaltado de polticas, seleccione la casilla de verificacin Resaltar polticas de
firewall segn el tipo de trfico. Desmarque esta casilla de verificacin para desactivar el resaltado
de polticas.
3. Para seleccionar diferentes colores para el texto o el fondo de los nombres de polticas para
polticas comunes, administradas, BOVPN o combinadas, haga clic en el recuadro Color de texto o
Color de fondo.
Aparece el cuadro de dilogo Seleccionar color de texto o Seleccionar color de fondo.
4. Haga clic en una de las tres pestaas Muestras, TSB o RVA para especificar el color deseado:
n Muestras: haga clic en una de las pequeas muestras de colores disponibles.
n TSB: seleccione el botn de radio T (tono), S (saturacin) o B (brillo) y luego utilice el control
deslizante o ingrese nmeros en los campos adyacentes.
n RVA: use los controles deslizantes Rojo, Verde o Azul o ingrese nmeros en los campos
adyacentes.
Cuando se especifica un color, una muestra de cmo se ver el color aparece en el recuadro
Muestra en la parte inferior del cuadro de dilogo.
5. Cuando est conforme con el color, haga clic en OK.
6. Haga clic en OK en el cuadro de dilogo Resaltar polticas para que los cambios se implementen.
Buscar una poltica por direccin, puerto o protocolo
Se puede encontrar una poltica en el Policy Manager con la informacin de direccin, puerto o protocolo
de la poltica.
1. Seleccione Editar> Buscar.
Aparece el cuadro de dilogo Buscar polticas.
2. Seleccione el botn de radio Direccin, Nmero de puerto o Protocolo para especificar un
componente de la poltica.
3. En el campo Buscar todas las polticas configuradas para, ingrese la cadena de bsqueda.
Para bsquedas de direccin y protocolo, el Policy Manager realiza una bsqueda de cadena parcial.
Slo puede ingresarse una cadena parcial. El Policy Manager muestra todas las polticas que
contienen la cadena.
4. Haga clic en Buscar.
Las polticas que coinciden con los criterios de bsqueda aparecen en el cuadro Polticas encontradas.
5. Para editar una poltica que aparece como resultado de la bsqueda, haga doble clic en el nombre
de la poltica.
Agregar polticas en la configuracin
Para agregar una poltica, el usuario debe seleccionar en la lista de plantillas de polticas del Administrador
de la poltica. Una plantilla de poltica contiene el nombre de la poltica, una breve descripcin de la poltica
y el protocolo o puerto utilizado por la poltica.
n Para ver la lista de plantillas entre las que puede elegir, consulte Ver la lista de plantilla de polticas
en la pgina 343.
n Para agregar una de las polticas de la lista a la configuracin, consulte Agregar una poltica de la lista
de plantillas en la pgina 344.
n Para ver o modificar la definicin de una plantilla de poltica, consulte Ver detalles de plantilla y
modificar plantillas de polticas en la pgina 346.
n Para usar la funcin importar/exportar polticas desde un Firebox a otro, consulte Importar y
exportar polticas personalizadas plantillas en la pgina 354. Esto resulta til si se administran varios
Firebox que tienen polticas personalizadas.
El Firebox incluye una definicin predeterminada para cada poltica incluida en la configuracin del Firebox.
La definicin predeterminada consiste en configuraciones que son apropiadas para la mayora de las
instalaciones. Sin embargo, pueden modificarse de acuerdo con los fines comerciales especficos o si se
desea incluir propiedades de poltica especiales como acciones de administracin de trfico y cronogramas
operativos.
Despus de agregar una poltica a la configuracin, se definen reglas para:
Polticas
Polticas
Gua del Usuario 343
n Establecer orgenes y destinos de trfico permitidos.
n Configurar reglas de filtrado.
n Activar o desactivar la poltica.
n Configurar propiedades como administracin de trfico, NAT y registro.
Para obtener ms informacin sobre la configuracin de polticas, consulte Acerca de propiedades de
polticas en la pgina 354.
Ver la lista de plantilla de polticas
1. Haga clic en .
O bien, seleccione Editar >Agregar polticas
.Aparece el cuadro de dilogo Agregar polticas.
2. Hagaclicenel signoms(+)queseencuentraalaizquierdadelacarpetaparaampliarlascarpetasFiltrados
depaquetesoProxies.
Apareceunalistadeplantillasparafiltradosdepaquetesoproxy.
3. Para consultar informacin bsica acerca de una plantilla de poltica, seleccinela.
El cono de la poltica aparece a la derecha del cuadro de dilogo y la informacin bsica acerca de la
poltica aparece en la seccin Detalles.
Agregar una poltica de la lista de plantillas
El Firebox incluye una definicin predeterminada para cada poltica incluida en la configuracin del Firebox.
Las configuraciones de definiciones predeterminadas son apropiadas para la mayora de las instalaciones.
Sin embargo, el usuario puede modificarlas para incluir propiedades de polticas especiales como acciones
de QoS y cronogramas operativos.
1. En el cuadro de dilogo Agregar polticasample las carpetas Filtrados de paquetes, Proxies o
Personalizada.
Aparece una lista de plantillas para polticas de filtrados de paquetes o proxy.
2. Seleccione el tipo de poltica que desea crear. Haga clic en Agregar.
Aparece el cuadro de dilogo Nuevas propiedades de polticas.
Polticas
Polticas
Gua del Usuario 345
3. Para cambiar el nombre de la poltica, ingrese un nuevo nombre en el campo Nombre.
4. Defina las reglas de acceso y otras configuraciones para la poltica.
5. Haga clic en OK para cerrar el cuadro de dilogo Propiedades.
El usuario puede agregar ms de una poltica mientras el cuadro de dilogo Polticas est abierto.
La nueva poltica aparece en el Administrador de la poltica.
Para obtener ms informacin sobre propiedades de polticas, consulte Acerca de propiedades de polticas
en la pgina 354.
Agregar ms de una poltica del mismo tipo
Si la poltica de seguridad lo requiere, el usuario puede agregar la misma poltica ms de una vez. Por
ejemplo, puede definir un lmite en el acceso web para la mayora de los usuarios, mientras que otorga
acceso web total al equipo de direccin. Para ello, se agregan dos polticas diferentes con distintas
propiedades:
1. Agregue la primera poltica.
2. Cambie el nombre de la poltica por un nombre que coincida con la poltica de seguridad y agregue
la informacin relacionada.
En este ejemplo, la primera poltica puede llamarse "acceso_web_restringido".
3. Haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas para la poltica.
4. Agregue la segunda poltica.
5. Haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas para la poltica.
Para obtener ms informacin sobre propiedades de polticas, consulte Acerca de propiedades de polticas
en la pgina 354.
Ver detalles de plantilla y modificar plantillas de polticas
Lo relevante de la plantilla de la poltica aparece en la seccin Detalles del cuadro de dilogo Agregar
polticas. Si desea ver ms detalles, puede abrir la plantilla para editarla. Existen dos tipos de plantillas de
poltica: predefinida y personalizada. Para polticas predefinidas (las incluidas en las listas de proxy y filtrados
de paquetes en el cuadro de dilogo Agregar polticas), se puede editar slo el campo Descripcin en la
plantilla de la poltica. Las polticas predefinidas no pueden editarse. Slo se puede modificar o eliminar la
plantilla de una poltica personalizada. Para obtener ms informacin sobre polticas personalizadas,
consulte Acerca de las Polticas personalizadas en la pgina 352.
Para ver la plantilla de una poltica:
1. En el cuadro de dilogo Agregar polticas, seleccione una plantilla de poltica.
2. Haga clic en Editar.
Desactivar o eliminar una poltica
Puede desactivar una poltica en dos lugares del Administrador de la poltica: las pestaas principales
Firewall o Mobile VPN con IPSec o el cuadro de dilogo Editar propiedades de polticas.
Para desactivar una poltica en la pestaa Firewall o Mobile VPN con IPSec:
1. Seleccione la pestaa Firewall o Mobile VPN con IPSec.
2. Haga clic con el botn derecho en una poltica y seleccione Desactivar poltica.
La opcin del men que aparece al hacer clic con el botn derecho cambia a Activar poltica.
Polticas
Polticas
Gua del Usuario 347
Para desactivar una poltica en el cuadro de dilogo Editar propiedades de polticas:
1. Haga doble clic en una poltica.
2. Desmarque la casilla de verificacin Activar.
3. Haga clic en OK.
Eliminar una poltica
Segn cambie la poltica de seguridad, en ocasiones es necesario eliminar una o ms polticas. Para eliminar
una poltica, primero debe eliminarse del Administrador de la poltica. Luego, se guarda la nueva
configuracin en Firebox.
1. Seleccionar una poltica.
2. Haga clic en el cono Borrar.
O bien, seleccione Editar> Borrar poltica.
Aparece un cuadro de dilogo de confirmacin.
3. Haga clic en S.
4. Para guardar la configuracin en Firebox, seleccione Archivo> Guardar> en Firebox.
5. Ingrese la frase de contrasea de configuracin y seleccione la casilla de verificacin Guardar en
Firebox.
7. Reinicie Firebox.
Acerca de la precedencia de polticas
La precedencia es la secuencia en la cual el dispositivo Firebox o XTMexamina el trfico de red y aplica una
regla de poltica. El dispositivo Firebox o XTMautomticamente ordena las polticas desde la ms detallada a
la ms general. Compara la informacin en el paquete con la lista de reglas en la primera poltica. La
primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel de
detalle en dos polticas es equivalente, una poltica de proxy siempre tiene prioridad sobre una Poltica de
filtrado de paquetes.
Orden de polticas automtico
El dispositivo Firebox o XTMautomticamente otorga la precedencia ms alta a las polticas ms especficas
y la ms baja a las menos especficas. El dispositivo Firebox o XTMexamina la especificidad de los criterios
subsiguientes en este orden. Si no puede determinar la precedencia con el primer criterio, pasa al siguiente
y as sucesivamente.
1. Especificidad de la poltica
2. Protocolos configurados para el tipo de poltica
3. Reglas de trfico del campo Hasta
4. Reglas de trfico del campo Desde
5. Accin de firewall (permitido, negado o negado (enviar restablecer)) aplicada a las polticas
6. Cronogramas aplicados a las polticas
7. Secuencia alfanumrica basada en el tipo de poltica
8. Secuencia alfanumrica basada en el nombre de la poltica
Las secciones subsiguientes incluyen ms detalles acerca de lo que hace el dispositivo Firebox o XTMdentro
de estos ocho pasos.
Especificidad de la poltica y protocolos
El dispositivo Firebox o XTMutiliza estos criterios en secuencia para comparar dos polticas hasta que
determina que las polticas son equivalentes o que una es ms detallada que la otra.
1. Una poltica "Cualquier poltica" siempre tiene la precedencia ms baja.
2. Verificacin del nmero de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La poltica con el
menor nmero tiene mayor precedencia.
3. Verificacin del nmero de puertos nicos para los protocolos TCP y UDP. La poltica con el menor
nmero tiene mayor precedencia.
4. Suma la cantidad de puertos TCP y UDP nicos. La poltica con el menor nmero tiene mayor
precedencia.
5. Calificacin de los protocolos segn el valor del protocolo IP. La poltica con la menor calificacin
tiene mayor precedencia.
Si el dispositivo Firebox o XTMno puede establecer la precedencia cuando compara la especificidad de la
poltica y los protocolos, examina las reglas de trfico.
Reglas de trfico
El dispositivo Firebox o XTMutiliza estos criterios en secuencia para comparar la regla de trfico ms
general de una poltica con la regla de trfico ms general de una segunda poltica. Asigna mayor
precedencia a la poltica con la regla de trfico ms detallada.
1. Rango de direcciones IP de la
2. direccin de host (menor al de la subnet con la que se compara)
3. Rango de direcciones IP de la
4. subnet (mayor al de la subnet con la que se compara)
5. Nombre de usuario de autenticacin
6. Grupo de autenticacin
7. Interfaz, dispositivo Firebox o XTM
8. Cualquiera externa, Cualquiera de confianza, Cualquiera opcional
9. Cualquier
Por ejemplo, compare estas dos polticas:
(HTTP-1) Desde: De confianza, usuario1
(HTTP-2) Desde: 10.0.0.1, Cualquiera de confianza
De confianza es la entrada ms general para HTTP-1. Cualquiera-De confianza es la entrada ms general
para HTTP-2. Debido a que De confianza se incluye dentro del alias Cualquiera-De confianza, HTTP-1 es la
regla de trfico ms detallada. Esto es correcto a pesar de que HTTP-2 incluye una direccin IP, porque el
dispositivo Firebox o XTMcompara la regla de trfico ms general de una poltica con la regla de trfico ms
general de la segunda poltica para establecer la precedencia.
Si el dispositivo Firebox o XTMno puede establecer la precedencia cuando compara las reglas de trfico,
examina las acciones de firewall.
Polticas
Polticas
Gua del Usuario 349
Acciones de firewall
El dispositivo Firebox o XTMcompara las acciones de firewall de dos polticas para establecer la
precedencia. La precedencia de acciones de firewall de mayor a menor es:
1. Negada o Negada (enviar restablecer)
2. Poltica de proxy permitida
3. Poltica de filtrado de paquetes permitida
Si el dispositivo Firebox o XTMno puede establecer la precedencia cuando compara las acciones de
firewall, examina los cronogramas.
Cronogramas
El dispositivo Firebox o XTMcompara los cronogramas de dos polticas para establecer la precedencia. La
precedencia de cronogramas de mayor a menor es:
1. Siempre desactivado
2. A veces activo
3. Siempre activo
Si el dispositivo Firebox o XTMno puede establecer la precedencia cuando compara los cronogramas,
examina los nombres y tipos de polticas.
Nombres y tipos de polticas
Si las dos polticas no coinciden en ningn otro criterio de precedencia, el dispositivo Firebox o XTMordena
las polticas en secuencia alfanumrica. Primero, utiliza el tipo de poltica. Luego, utiliza el nombre de la
poltica. Dado que dos polticas no pueden ser del mismo tipo y tener el mismo nombre, ste es el ltimo
criterio de precedencia.
Determinar precedencia manualmente
Para cambiar al modo de orden manual y cambiar la precedencia de la poltica:
1. Seleccione Ver> Modo de orden automtico.
La marca de comprobacin desaparece y se muestra un mensaje de confirmacin.
2. Haga clic en S para confirmar que desea cambiar al modo de orden manual.
Cuando cambia al modo de orden manual, la ventana Policy Manager cambia a la vista Detalles. No
puede cambiar el orden de polticas si se encuentra en la vista Iconos grandes.
3. Para cambiar el orden de una poltica, seleccinela y arrstrela a la nueva ubicacin.
Crear Cronogramas para acciones de Firebox
Un cronograma es un conjunto de horarios en los cuales una funcin est activada o desactivada. El
cronograma debe utilizarse si el usuario desea que una poltica o accin de WebBlocker se active o
desactive automticamente en los horarios especificados. El cronograma creado puede aplicarse a ms de
una poltica o accin de WebBlocker si desea que esas polticas o acciones se activen en los mismos
horarios.
Por ejemplo, una organizacin desea restringir ciertos tipos de trfico de red durante el horario comercial
normal. El administrador de red podra crear un cronograma que se active en los das laborables y
establecer cada poltica en la configuracin para que use el mismo cronograma.
Para crear un cronograma:
1. Seleccione Configuracin> Acciones >Cronogramas.
Aparece el cuadro de dilogo Cronogramas.
2. Para editar un cronograma, seleccione el nombre del cronograma en el cuadro de dilogo
Cronograma y haga clic en Editar.
Para crear un nuevo cronograma a partir de otro ya existente, seleccione el nombre del
cronograma y haga clic en Clonar.
Para crear un nuevo cronograma, haga clic en Agregar.
Aparece el cuadro de dilogo Nuevo cronograma.
Polticas
Polticas
Gua del Usuario 351
3. Ingrese el nombre del cronograma y una descripcin.
Asegrese de que el nombre sea fcil de recordar.
El nombre del cronograma aparece en el cuadro de dilogo Cronogramas.
4. En la lista desplegable Modo, seleccione el incremento de tiempo para el cronograma: una hora, 30
minutos o 15 minutos.
El grfico a la izquierda del cuadro de dilogo Nuevo cronograma muestra la entrada del usuario en la lista
desplegable.
5. El grfico en el cuadro de dilogo muestra los das de la semana a lo largo del eje X (horizontal) y los
incrementos del da en el eje Y (vertical). Haga clic en los recuadros del grfico para cambiarlos a
horarios operativos (cuando la poltica est activa) o a horarios no operativos (cuando la poltica no
est en vigor).
6. Haga clic en OK para cerrar el cuadro de dilogo Nuevo cronograma.
7. Haga clic en Cerrar para cerrar el cuadro de dilogo Cronogramas.
Establecer un cronograma operativo
El usuario puede establecer un cronograma operativo para una poltica, para que sta se ejecute en los
horarios especificados. Los cronogramas pueden ser compartidos por ms de una poltica.
Para modificar el cronograma de una poltica:
1. Seleccione cualquier poltica y haga doble clic en sta.
3. En la lista desplegable Cronograma, seleccione un cronograma predefinido.
O bien, haga clic en un cono adyacente para crear un cronograma personalizado.
4. Haga clic en OK.
Acerca de las Polticas personalizadas
Si el usuario necesita autorizar un protocolo que no est incluido de manera predeterminada como opcin
de configuracin del Firebox, debe definir una poltica de trfico personalizada. Puede agregar una poltica
personalizada que use:
n Puertos TCP
n Puertos UDP
n Un protocolo IP que no sea TCP o UDP, como GRE, AH, ESP, ICMP, IGMP y OSPF. El usuario identifica
un protocolo IP que no es TCP o UDP con el nmero de protocolo IP.
Para crear una poltica personalizada, primero debe crear o editar una plantilla de poltica personalizada
que especifique los puertos y protocolos utilizados por polticas de ese tipo. Luego, crea una o ms polticas
a partir de esa plantilla para establecer reglas de acceso, registro, QoS y otras configuraciones.
Cree o edite una plantilla de poltica personalizada.
1. Haga clic en .
O bien, seleccione Editar >Agregar polticas.
2. Haga clic en Nueva o seleccione una plantilla de poltica personalizada y haga clic en Editar.
Aparece el cuadro de dilogo Nueva plantilla de poltica.
Polticas
Polticas
Gua del Usuario 353
3. En el cuadro de texto Nombre, ingrese el nombre de la poltica personalizada. El nombre aparece
en el Policy Manager como el tipo de poltica. Un nombre nico ayuda al usuario a encontrar la
poltica cuando desea modificarla o eliminarla. Este nombre no debe ser igual a ningn nombre de
la lista en el cuadro de dilogo Agregar poltica.
4. En el cuadro de texto Descripcin, ingrese una descripcin de la poltica.
Esto aparece en la seccin Detalles al hacer clic en el nombre de la poltica en la lista de Filtros de usuarios.
5. Seleccione el tipo de poltica: Filtro de paquetes o Proxy.
6. Si seleccione Proxy, elija el protocolo de proxy en la lista desplegable adyacente.
7. Para agregar protocolos a esta poltica, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar protocolo.
8. En la lista desplegable Tipo, seleccione Puerto independiente o Intervalo de puertos.
9. En la lista desplegable Protocolo, seleccione el protocolo para esta nueva poltica.
Si selecciona Puerto independiente, puede elegir TCP, UDP, GRE, AH, ESP, ICMP, IGMP, OSP, IP o
Cualquiera.
Si selecciona Intervalo de puertos, puede elegir TCP o UDP. Las opciones por debajo de la lista
desplegable cambian para cada protocolo.
Nota Fireware XTMno circula trfico multicast IGMP a travs de Firebox o entre
interfaces de Firebox. Circula trfico multicast IGMP slo entre una interfaz y
Firebox.
10. En la lista desplegable Puerto de servidor, seleccione el puerto para esta nueva poltica.
Si selecciona Intervalo de puertos, elija un puerto de servidor de inicio y un puerto de servidor de
finalizacin.
La plantilla de la poltica se agrega a la carpeta Polticas personalizadas.
Ahora puede utilizar la plantilla de la poltica que cre para agregar una o ms polticas personalizadas a su
configuracin. Siga el mismo procedimiento que para una poltica predefinida.
Importar y exportar polticas personalizadas plantillas
Si el usuario administra varios Firebox que tienen polticas personalizadas, puede usar la funcin
importar/exportar poltica para ahorrar tiempo. Puede definir las plantillas en un Firebox, exportarlas a un
archivo ASCII y luego importarlas a otro Firebox.
El Firebox donde cre las polticas debe tener instalada la misma versin de WSMque la versin del Policy
Manager que se usa para importar las polticas. No se puede importar una plantilla desde una versin
anterior a una versin actual.
1. En el primer Firebox, defina las plantillas de polticas personalizadas para las polticas que necesita.
2. Haga clic en Exportar.
No es necesario que seleccione las polticas personalizadas. La funcin Exportar automticamente
exporta todas las polticas personalizadas independientemente de la poltica que en realidad se
selecciona.
3. En el cuadro de dilogo Guardar, seleccione el lugar donde desea guardar el archivo de plantillas de
polticas. Ingrese un nombre para el archivo y haga clic en Guardar.
La ubicacin predeterminada es Mis documentos >Mi WatchGuard.
4. Desde el Policy Manager en un Firebox diferente, en el cuadro de dilogo Agregar polticas, haga
clic en Importar.
5. Busque el archivo que cre en el paso 3 y haga clic en Abrir.
6. Si las plantillas de polticas personalizadas ya estn definidas en el Policy Manager actual, se pregunta
al usuario si desea reemplazar las plantillas existentes o anexar las plantillas importadas a las
plantillas existentes. Haga clic en Reemplazar o Anexar.
Si hace clic en Reemplazar, las plantillas existentes se borran y se reemplazan por las nuevas
plantillas.
Si hace clic en Anexar, tanto las plantillas existentes como las importadas se incluyen en orden
alfabtico en Personalizada.
Acerca de propiedades de polticas
Cada tipo de poltica tiene una definicin predeterminada, que consiste en configuraciones que son
apropiadas para la mayora de las organizaciones. Sin embargo, el usuario puede modificar configuraciones
de polticas segn los fines particulares de su empresa o agregar otras configuraciones como administracin
de trfico y cronogramas operativos.
Polticas
Polticas
Gua del Usuario 355
Las polticas de Mobile VPN se crean y funcionan del mismo modo que las polticas de firewall. Sin
embargo, se debe especificar un grupo de Mobile VPN al que se aplica la poltica.
Para establecer propiedades para una poltica, haga doble clic en el cono o nombre de la poltica en la
ventana Policy Manager para abrir el cuadro de dilogo Editar propiedades de polticas. O bien, si se acaba
de agregar una poltica a la configuracin, el cuadro Nuevas propiedades de polticas aparece
automticamente para configurar las propiedades de la poltica.
Pestaa Poltica
Utilice la pestaa Poltica para definir informacin bsica acerca de una poltica, como si permite o rechaza
trfico y cules dispositivos administra. Las configuraciones de la pestaa Poltica pueden utilizarse para
crear reglas de acceso para una poltica o configurar el enrutamiento basado en la poltica, NAT esttica o el
balance de carga en el servidor.
Para obtener ms informacin sobre las opciones para esta pestaa, consulte los siguientes temas:
n Definir reglas de acceso a una poltica en la pgina 356
n Configurar el enrutamiento basado en la poltica en la pgina 359
n Acerca de la NAT esttica en la pgina 177
n Configurar Balance de carga en el servidor en la pgina 179
Pestaa Propiedades
LapestaaPropiedades muestrael puertoy el protocoloal que se aplicalapoltica, adems de unadescripcin
de lapolticaconfigurada. Las configuraciones enestapestaapuedenutilizarse paradefinir las preferencias
de registro, notificaciones, bloque automticoy tiempode espera. Enestapestaatambinpueden
configurarse acciones de proxy y ALG, que ofrecendiferentes opciones paracadapolticade proxy y ALG.
n Acerca de las acciones de proxy en la pgina 376 (Polticas de proxy y ALG nicamente)
n Determinar preferencias de registro y notificacin en la pgina 649
n Bloquear sitios temporalmente con configuracin de polticas en la pgina 494
n Configurar un tiempo de espera inactivo personalizado en la pgina 361
Pestaa Avanzada
La pestaa Avanzada incluye configuraciones para NAT y Administracin de trfico (QoS), adems de
opciones de WAN mltiples e ICMP. Tambin puede definirse un cronograma operativo para una poltica y
aplicar acciones de administracin de trfico.
n Establecer un cronograma operativo en la pgina 351
n Agregar una Accin de administracin de trfico a una poltica en la pgina 477
n Determinar Administracin de errores ICMP en la pgina 362
n Aplicar reglas NAT en la pgina 362
n Activar el marcado QoS o configuraciones de priorizacin para una poltica en la pgina 472
n Defina la duracin de sticky connection para una poltica en la pgina 363
Configuraciones de proxy
Las polticas de proxy tienen conjuntos de reglas predefinidos que aportan un equilibrio adecuado de
seguridad y accesibilidad para la mayora de las instalaciones. Si un conjunto de reglas predeterminado no
satisface todas las necesidades empresariales del usuario, puede agregar, eliminar o modificar reglas.
Para modificar las configuraciones y conjuntos de reglas para una accin de proxy, haga clic en a la
derecha de la lista desplegable Accin de proxy y seleccione una categora de configuraciones.
Para ms informaciones, vea Acerca de las reglas y conjuntos de reglas en la pgina 367 y el tema Acerca de
para el tipo de poltica especfico.
Acerca del DNS proxy en la pgina 385 Pgina Acerca de Proxy POP3 en la pgina 428
Pgina Acerca de Proxy FTP en la pgina
392
Pgina Acerca de Proxy SIP en la pgina 440
Pgina Acerca de ALG H.323 en la pgina
398
Pgina Acerca de Proxy SMTP en la pgina 446
Pgina Acerca de Proxy HTTP en la pgina
404
Pgina Acerca de Proxy de TCP-UDP en la pgina 461
Pgina Acerca de Proxy HTTPS en la pgina
422
Definir reglas de acceso a una poltica
La pestaa Poltica del cuadro de dilogo Editar propiedades de polticas se usa para configurar las reglas
de acceso a una poltica determinada.
El campo Las conexiones estn define si el trfico que coincide con las reglas de la poltica est permitido o
negado. Para configurar el modo en que se administra el trfico, utilice estas configuraciones:
Permitido
El Firebox permite el trfico que usa esta poltica si coincide con las reglas establecidas en la poltica.
El usuario puede configurar la poltica para crear un mensaje de registro cuando el trfico de red
coincide con la poltica.
Negado
Firebox rechaza todo el trfico que coincide con las reglas de esta poltica y no enva una notificacin
al dispositivo que envi el trfico. El usuario puede configurar la poltica para crear un mensaje de
registro cuando un equipo intenta utilizar esta poltica. La poltica tambin puede agregar
automticamente un equipo o red a la lista de Sitios bloqueados si intenta establecer una conexin
con esta poltica.
Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 494.
Polticas
Polticas
Gua del Usuario 357
Negado (enviar restablecer)
El Firebox rechaza todo el trfico que coincide con las reglas de esta poltica. El usuario puede
configurar la poltica para crear un mensaje de registro cuando un equipo intenta utilizar esta
poltica. La poltica tambin puede agregar automticamente un equipo o red a la lista de Sitios
bloqueados si intenta establecer una conexin con esta poltica.
pgina 494.
Con esta opcin, el Firebox enva un paquete para informar al dispositivo que envi el trfico de red
que la sesin se rechaz y la conexin se cerr. El usuario puede configurar una poltica para
informar otros errores en cambio, que indican al dispositivo que el puerto, el protocolo, la red o el
host no pueden alcanzarse. Recomendamos utilizar estas opciones con precaucin para asegurarse
de que la red funciona correctamente con otras redes.
La pestaa Poltica tambin incluye:
n Una lista Desde (u origen) que especifica quin puede enviar (o no puede enviar) trfico de red con
esta poltica.
n Una lista Hasta (o destino) que especifica a quin el Firebox puede enrutar trfico si el trfico
coincide (o no coincide) con las especificaciones de la poltica.
Por ejemplo, puede configurar un filtro de paquetes ping para permitir el trfico de ping desde todos los
equipos de la red externa a un servidor web de la red opcional. Sin embargo, cuando se abre la red de
destino a conexiones a travs del puerto o puertos que la poltica controla, la red puede volverse
vulnerable. Asegrese de configurar las polticas con cuidado para evitar vulnerabilidades.
1. Para agregar miembros a sus especificaciones de acceso, haga clic en Agregar junto a la lista de
miembros Desde o Hasta.
2. El La lista principal contiene a los miembros que el usuario puede agregar a las listas Desde o Hasta.
Un miembro puede ser un alias, usuario, grupo, direccin IP o rango de direcciones IP.
3. Seleccione el miembro que desea agregar y haga clic en Agregar o haga doble clic en una entrada
de esta ventana.
Si desea agregar host, usuarios, alias o tneles a la poltica que no aparecen en la lista Miembros
disponibles, consulte Agregar nuevos miembros para definiciones de polticas en la pgina 358.
4. Para agregar otros miembros al campo Desde o Hasta, repita los pasos anteriores.
5. Haga clic en OK.
El origen y el destino pueden ser una direccin IP de host, un rango de host, un nombre de host, una
direccin de red, un nombre de usuario, un alias, un tnel VPN o cualquier combinacin de esos objetos.
Para obtener ms informacin sobre los alias que aparecen como opciones en la lista Desde y Hasta,
consulte el tema Acerca de los alias en la pgina 78.
Para obtener ms informacin acerca de cmo crear un nuevo alias, consulte Crear un alias en la pgina 78.
Agregar nuevos miembros para definiciones de polticas
Para agregar host, alias o tneles a la lista Miembros disponibles:
1. Haga clic en Agregar otro.
2. En la lista desplegable Elegir tipo, seleccione el rango de host, la direccin IP de host o la direccin
IP de red que desea agregar.
3. En el cuadro de texto Valor, ingrese la direccin de red, el rango o la direccin IP correctos.
Polticas
Polticas
Gua del Usuario 359
4. Haga clic en OK.
El miembro o la direccin aparecen en la lista Miembros y direcciones seleccionados.
Para agregar un usuario o grupo a la lista Miembros disponibles:
2. Seleccione el tipo de usuario o grupo, seleccione el servidor de autenticacin y si desea agregar un
usuario o grupo.
3. Haga clic en Seleccionar.
Si el usuario o grupo que desea agregar no aparece en la lista, an no est definido como usuario o grupo
autorizado. Para definir un nuevo usuario o grupo autorizado, consulte Use los usuarios y grupos
autorizados en polticas en la pgina 331.
Configurar el enrutamiento basado en la poltica
Para enviar trfico de red, un enrutador en general examina la direccin de destino en el paquete y
observa la tabla de enrutamiento para encontrar el destino del siguiente salto. En algunos casos, el usuario
desea enviar trfico a una ruta diferente de la ruta predeterminada que se especifica en la tabla de
enrutamiento. Puede configurar una poltica con una interfaz externa especfica para usar con todo el
trfico saliente que coincida con esa poltica. Esta tcnica se conoce como enrutamiento basado en la
poltica. El enrutamiento basado en la poltica tiene prioridad sobre otras configuraciones de WAN
mltiples.
El enrutamiento basado en la poltica puede usarse cuando hay ms de una interfaz externa y Firebox se ha
configurado para WAN mltiples. Con el enrutamiento basado en la poltica, el usuario puede asegurarse de
que todo el trfico para una poltica siempre atraviese la misma interfaz externa, aunque la configuracin
de WAN mltiples est definida para enviar trfico en una configuracin de operacin por turnos. Por
ejemplo, si el usuario desea que el correo electrnico se enrute a travs de una interfaz particular, puede
usar el enrutamiento basado en la poltica en la definicin de proxy POP3 o SMTP.
Nota Para usar enrutamiento basado en la poltica, debe tener Fireware XTMcon una
actualizacin Pro. Tambin debe configurar por lo menos dos interfaces externas.
Enrutamiento basado en la poltica, conmutacin por error y failback
Cuando se usa el enrutamiento basado en la poltica con conmutacin por error de WAN mltiples, se
puede especificar si el trfico que coincide con la poltica usa otra interfaz externa cuando ocurre la
conmutacin por error. La configuracin predeterminada es rechazar el trfico hasta que la interfaz est
disponible nuevamente.
Las configuraciones de failback (definidas en la pestaa WAN mltiples del cuadro de dilogo Configuracin
de red) tambin se aplican al enrutamiento basado en la poltica. Si ocurre un evento de conmutacin por
error y la interfaz original luego pasa a estar disponible, Firebox puede enviar conexiones activas a la
interfaz de conmutacin por error o puede retornar a la interfaz original. Las nuevas conexiones se envan a
la interfaz original.
Restricciones en el enrutamiento basado en la poltica
n El enrutamiento basado en la poltica est disponible slo si la WAN mltiple est activada. Si se
activa la WAN mltiple, el cuadro de dilogo Editar propiedades de polticas automticamente
incluye campos para configurar el enrutamiento basado en la poltica.
n De manera predeterminada, el enrutamiento basado en la poltica no est activado.
n El enrutamiento basado en la poltica no se aplica al trfico IPSec ni al trfico destinado a la red de
confianza u opcional (trfico entrante).
Agregar enrutamiento basado en la poltica a una poltica
2.
Seleccione una poltica y haga clic en .
O haga doble clic en una poltica.
3. Seleccione la casilla de verificacin Usar enrutamiento basado en la poltica.
4. Para especificar la interfaz para enviar trfico saliente que coincida con la poltica, seleccione el
nombre de la interfaz en la lista desplegable adyacente. Asegrese de que la interfaz seleccionada
sea miembro del alias o red definido en el campo Hasta de la poltica.
Polticas
Polticas
Gua del Usuario 361
5. (Opcional) Configurar el enrutamiento basado en la poltica con conmutacin por error de WAN
mltiples, como se describe a continuacin. Si no selecciona Conmutacin por error y la interfaz
definida para esta poltica pasa a estar inactiva, el trfico se rechaza hasta que la interfaz vuelva a
estar disponible.
6. Haga clic en OK.
Configurar basado en polticas Enrutamiento con conmutacin por error
El usuario puede configurar la interfaz especificada para esta poltica como interfaz principal y definir otras
interfaces externas como interfaces de resguardo para todo el trfico que no es IPSec.
1. En el cuadro de dilogo Editar propiedades de polticas, seleccione Conmutacin por error.
2. Para especificar las interfaces de resguardo para esta poltica, haga clic en Configurar.
Si la interfaz principal configurada para esta poltica no est activa, el trfico se enva a la interfaz o
interfaces de resguardo especificadas aqu.
Aparece el cuadro de dilogo Configuracin de conmutacin por error de poltica.
3. En la columna Incluir, seleccione la casilla de verificacin para cada interfaz que desea utilizar en la
configuracin de la conmutacin por error. Use los botones Subir y Bajar para definir el orden para
conmutacin por error. La primera interfaz de la lista es la principal.
4. Haga clic en OK para cerrar el cuadro de dilogo Configuracin de conmutacin por error de
poltica.
Configurar un tiempo de espera inactivo personalizado
El tiempo de espera inactivo es la cantidad de tiempo mximo que una conexin puede mantenerse activa
cuando no se enva trfico. De manera predeterminada, el Firebox cierra las conexiones de red despus de
300 segundos (6 minutos). Cuando se activa esta configuracin para una poltica, el Firebox cierra la
conexin una vez transcurrido el lapso de tiempo especificado por el usuario.
1. En el cuadro de dilogo Propiedades de polticas, seleccione la pestaa Propiedades.
2. Seleccione la casilla de verificacin Especificar tiempo de espera inactivo personalizado.
3. En el campo adyacente, establezca el nmero de segundos antes del tiempo de espera.
Determinar Administracin de errores ICMP
Pueden establecerse las configuraciones de administracin de errores de ICMP asociadas con una poltica.
Estas configuraciones anulan las configuraciones globales de administracin de errores de ICMP.
Para cambiar las configuraciones de administracin de errores de ICMP para la poltica actual:
1. En la lista desplegable Administracin de errores de ICMP, seleccione Especificar configuracin.
2. Haga clic en Configuracin de ICMP.
3. En el cuadro de dilogo Configuraciones de administracin de errores de ICMP, seleccione las
casillas de verificacin para establecer las configuraciones individuales.
4. Haga clic en OK.
Para obtener ms informacin sobre configuraciones de ICMP, consulte Defina las configuraciones
globales del Firebox en la pgina 80.
Aplicar reglas NAT
Se pueden aplicar reglas de traduccin de direccin de red (NAT) a una poltica. Puede seleccionar 1-to-1
NAT o NAT dinmica.
1. En el cuadro de dilogo Editar propiedades de polticas, seleccione la pestaa Avanzada.
2. Seleccione una de las opciones descritas en las siguientes secciones.
1-to-1 NAT
Con este tipo de NAT, el dispositivo WatchGuard utiliza rangos de direcciones IP pblicas y privadas
configurados por el usuario, segn se describe en Acerca de las 1-to-1 NAT en la pgina 166.
NAT dinmico
Con este tipo de NAT, el dispositivo WatchGuard asigna direcciones IP privadas a direcciones IP pblicas.
Todas las polticas tienen NAT dinmica activada de manera predeterminada.
Seleccione Usar configuraciones NAT de red si desea utilizar las reglas de NAT dinmica establecidas para
el dispositivo WatchGuard.
Seleccione Todo el trfico en esta poltica si desea aplicar NAT a todo el trfico en esta poltica.
En el campo Configurar IP de origen, puede seleccionar una direccin IP de origen NAT dinmica para
cualquier poltica que use NAT dinmica. De este modo se garantiza que cualquier trfico que usa esta
Polticas
Polticas
Gua del Usuario 363
poltica muestra una direccin especfica de su rango de direcciones IP externas o pblicas como el origen.
Esto resulta til si se desea obligar al trfico SMTP saliente a mostrar la direccin de registro MX para su
dominio cuando la direccin IP en la interfaz externa del dispositivo WatchGuard no coincide con la
direccin IP de registro MX.
Las reglas de 1-to-1 NAT tienen mayor prioridad que las reglas de NAT dinmica.
Defina la duracin de sticky connection para una poltica
La configuracin de sticky connection para una poltica anula la configuracin de sticky connection global. Se
deben activar WAN mltiples para utilizar esta funcin.
1. En el cuadro de dilogo Propiedades de polticas, seleccione la pestaa Avanzada.
2. Haga clic en la pestaa Sticky Connection.
3. Para usar la configuracin de sticky connection de WAN mltiple global, desmarque la casilla de
verificacin Anular configuracin de sticky connection de WAN mltiple.
4. Para definir un valor de sticky connection personalizado para esta poltica, seleccione la casilla de
verificacin Activar sticky connection.
5. En el cuadro de texto Activar sticky connection, ingrese la cantidad de tiempo en minutos para
mantener la conexin.
Polticas
Gua del Usuario 364
Gua del Usuario 365
14
Acerca de las polticas de proxy y ALG
Todas las polticas de WatchGuard son herramientas importantes para la seguridad de la red, ya sea se trate
de polticas de filtro de paquetes, polticas de proxy o puertas de enlace de la capa de aplicacin (ALG). Un
filtro de paquetes examina el encabezado IP y TCP/UDP de cada paquete, un proxy monitorea y escanea
conexiones completas y una ALG proporciona administracin de conexin transparente adems de
funcionalidad del proxy. Las polticas de proxy y ALG examinan los comandos utilizados en la conexin para
asegurarse de que tengan la sintaxis y el orden correctos y usan la inspeccin de paquetes profunda para
garantizar que las conexiones sean seguras.
Una poltica de proxy o ALG abre cada paquete en secuencia, elimina el encabezado del nivel de red y
examina la carga del paquete. Un proxy luego reescribe la informacin de la red y enva el paquete a su
destino, mientras que una ALG restablece la informacin de la red original y reenva el paquete. Como
resultado, un proxy o ALG puede encontrar contenido prohibido o malicioso oculto o integrado en la carga
de datos. Por ejemplo, un proxy SMTP examina todos los paquetes SMTP (correo electrnico) entrantes
para encontrar contenido prohibido, como programas o archivos ejecutables escritos en lenguajes de
script. Los atacantes con frecuencia usan estos mtodos para enviar virus informticos. Un proxy o ALG
puede imponer una poltica que prohbe estos tipos de contenido, mientras el filtro de paquetes no puede
detectar el contenido no autorizado en la carga de datos del paquete.
Si el usuario ha adquirido y activado servicios de suscripcin adicionales (Gateway AntiVirus, Intrusion
Prevention Service, spamBlocker, WebBlocker), los servidores proxy de WatchGuard pueden aplicar estos
servicios al trfico de red.
Configuracin de proxy
Al igual que los filtrados de paquetes, las polticas de proxy incluyen opciones comunes para administrar el
trfico de red, incluidas las funciones de administracin del trfico y programacin. Sin embargo, las
polticas de proxy tambin incluyen configuraciones que se relacionan con el protocolo de red especfico.
Estas configuraciones se realizan con conjuntos de reglas o grupos de opciones que coinciden con una
accin especfica. Por ejemplo, puede configurar conjuntos de reglas para denegar trfico de usuarios o
dispositivos individuales o permitir el trfico VoIP (voz sobre IP) que coincida con los codecs deseados.
Cuando se han establecido todas las opciones de configuracin en un proxy, el usuario puede guardar ese
conjunto de opciones como accin de proxy definida por el usuario y utilizarla con otros servidores proxy.
Fireware XTM admite polticas de proxy para muchos protocolos comunes, entre ellos DNS, FTP, H.323,
HTTP, HTTPS, POP3, SIP, SMTP y TCP-UDP. Para obtener ms informacin sobre una poltica de proxy,
consulte la seccin para dicha poltica.
392
398
404
422
Proxy y AV alarmas
Una alarma es un evento que acciona una notificacin, que es un mecanismo para informar al
administrador de red acerca de una condicin en la red. En una definicin de proxy, podra generarse una
alarma cuando el trfico coincide o no coincide con una regla en el proxy. Tambin podra generarse una
alarma cuando los campos Acciones que realizar estn configurados en una accin distinta de Permitir.
Por ejemplo, la definicin predeterminada del proxy FTP tiene una regla que deniega la descarga de
archivos cuyos tipos de archivos coinciden con estos patrones: .cab, .com, .dll, .exe y .zip. Puede especificar
que se genere una alarma cuando Firebox tome la accin Denegar debido a esta regla.
Para cada proxy, se puede definir la accin de Firebox cuando ocurre una alarma.
1. En la seccin Categoras de la definicin de proxy, seleccione Alarma de proxy y AV.
2. Firebox puede configurarse para enviar una captura SNMP, una notificacin a un administrador de
red o ambas opciones. La notificacin puede ser un mensaje de correo electrnico a un
administrador de red o una ventana emergente en el equipo de administracin del administrador.
Para obtener ms informacin sobre los campos Alarma de proxy y AV, consulte Determinar
preferencias de registro y notificacin en la pgina 649.
3. Si desea cambiar la configuracin de una o ms categoras de este proxy, acceda a la seccin en este
documento sobre la siguiente categora que desea modificar.
Si ha finalizado con los cambios en esta definicin de proxy, haga clic en OK.
Si la accin de proxy que ha modificado es una predefinida, debe clonar (copiar) la configuracin a
una nueva accin.
4. Ingrese un nombre para la nueva accin y haga clic en OK.
Aparece el cuadro de dilogo "Propiedades de Nueva Poltica".
Para obtener ms informacin sobre acciones del usuario predefinidas, consulte Acerca de acciones
de proxy definidas por el usuario y predefinidas Acciones de proxy en la pgina 378.
Gua del Usuario 367
Acerca de las reglas y conjuntos de reglas
Cuando se configura una poltica de proxy o ALG (puerta de enlace de la capa de aplicacin) se debe crear
una nueva regla o modificar una anterior. Las reglas son conjuntos de criterios con los cuales un proxy
compara el trfico. Una regla consiste en un tipo de contenido, patrn o expresin y la accin de Firebox
cuando un componente del contenido del paquete coincide con ese contenido, patrn o expresin. Las
reglas tambin incluyen configuraciones para definir cundo Firebox emite alarmas o crea una entrada de
registro. Un conjunto de reglas es un grupo de reglas basadas en una funcin de un proxy como los tipos de
contenido o nombres de archivo de adjuntos en mensajes de correo electrnico. El proceso para crear y
modificar reglas es uniforme en cada poltica de proxy o ALG de WatchGuard System Manager.
Firebox incluye conjuntos de reglas predeterminados para cada poltica de proxy incluida en la
configuracin de Firebox. Se proveen conjuntos de reglas separados para clientes y servidores, para
proteger tanto a los usuarios de confianza como a los servidores pblicos. Puede usarse la configuracin
predeterminada para estas reglas o se pueden personalizar segn los fines especficos de la empresa.
Acerca del trabajo con reglas y conjuntos de reglas
Cuando se configura un proxy o ALG, se pueden ver los conjuntos de reglas para ese proxy en la lista
Categoras. Estos conjuntos de reglas cambian cuando se modifica la accin de proxy en la pestaa
Propiedades de una ventana de configuracin de proxy. Por ejemplo, las reglas para la accin FTP Cliente
tienen diferentes configuraciones que las reglas para la accin FTP Servidor.
Los proxy de WatchGuard tienen conjuntos de reglas predefinidos que aportan un equilibrio adecuado de
seguridad y accesibilidad para la mayora de las instalaciones. Si un conjunto de reglas predeterminado no
satisface todas las necesidades de la empresa, el usuario puede Agregar, cambiar o eliminar reglas.
Vista simple y avanzada
Las reglas en las definiciones de proxy pueden verse de dos formas: vista simple y vista avanzada.
n Vista simple: seleccione esta vista para configurar la coincidencia de patrones de comodn con
expresiones regulares simples.
n Vista avanzada: muestra la accin para cada regla. Seleccione esta vista para usar botones especiales
para editar, clonar (usar la definicin de una regla existente para iniciar otra nueva), eliminar o
restablecer reglas. La vista avanzada tambin se puede usar para configurar coincidencias exactas y
expresiones regulares compatibles con Perl.
Despus de haber usado la vista avanzada, el usuario slo puede cambiar a la vista simple si todas las reglas
activadas tienen las mismas configuraciones de accin, alarma o registro. Por ejemplo, si hay cinco reglas y
cuatro de ellas estn configuradas en Permitir y una en Denegar, deber continuar usando la vista avanzada.
Configurar conjuntos de reglas y cambiar la vista
Para configurar conjuntos de reglas para una poltica en el Administrador de la poltica:
1. Haga doble clic en una poltica o agregue una nueva poltica.
2. En el cuadro de dilogo Propiedades de polticas, haga clic en la pestaa Propiedades.
3. Haga clic en .
Aparece el cuadro de dilogo Configuracin de accin de proxy.
4. Para cambiar la vista, haga clic en Cambiar vista.
5. Agregar, cambiar o eliminar reglas.
Agregar, cambiar o eliminar reglas
Se puede usar la vista simple o la vista avanzada de un conjunto de reglas para agregar reglas.
Utilice la vista simple para configurar la coincidencia de patrones de comodn con expresiones regulares
simples. Utilice la vista avanzada para configurar coincidencias exactas y expresiones regulares compatibles
con Perl. Adems, la vista avanzada muestra la accin para cada regla y tiene botones que pueden usarse
para editar, clonar (usar la definicin de una regla existente para comenzar una nueva), eliminar o
restablecer reglas.
Para ms informaciones, vea Acerca de las reglas y conjuntos de reglas en la pgina 367 y Acerca de
expresiones regulares en la pgina 372.
Cuando se configura una regla, se seleccionan las acciones que el proxy realiza para cada paquete.
Aparecen diferentes acciones para diferentes servidores proxy o para diferentes funciones de un proxy en
particular. Por ejemplo, las acciones Extraer y Bloquear se aplican nicamente a acciones de Intrusion
Prevention basadas en firmas. Esta lista incluye todas las acciones posibles:
Permitir
Permite la conexin.
Denegar
Deniega una solicitud especfica pero mantiene la conexin si es posible. Enva una respuesta al
cliente.
Descartar
Deniega la solicitud especfica y descarta la conexin. No enva una respuesta al remitente. Firebox
enva slo un paquete restablecer TCP al cliente. El explorador del cliente puede mostrar "Se
restableci la conexin" o "La pgina no puede mostrarse" pero el explorador no informa los
motivos al usuario.
Bloqueo
Deniega la solicitud, descarta la conexin y bloquea el sitio. Para obtener ms informacin sobre
sitios bloqueados, consulte Acerca de los sitios bloqueados en la pgina 490.
Todo el trfico de la direccin IP del sitio se rechaza durante el perodo especificado en el Policy
Manager en Configuracin> Proteccin contra amenazas predeterminada> Sitios bloqueados, en
la pestaa Bloqueo automtico. Utilice esta accin slo si desea detener todo el trfico proveniente
del infractor durante este tiempo.
Extraer
Elimina un adjunto de un paquete y lo descarta. Las otras partes del paquete se envan a travs de
Firebox a su destino.
Gua del Usuario 369
Bloquear
Bloquea un adjunto y lo envuelve para que el usuario no pueda abrirlo. Slo el administrador puede
desbloquear el archivo.
Escaneo de AV
Escanea el adjunto para detectar virus. Si selecciona esta opcin, el Gateway AntiVirus est activado
para la poltica.
Agregar Reglas (vista simple)
Para agregar una nueva regla en la vista simple:
1. En el cuadro de texto Patrn, ingrese un patrn que use sintaxis de expresin regular simple.
El comodn para cero o ms de un carcter es "*". El comodn para un carcter es "?".
La nueva regla aparece en el cuadro Reglas.
3. Seleccione las Acciones que realizar:
n En la lista desplegable Si coincide, defina la accin a realizar si el contenido de un paquete
coincide con una de las reglas de la lista.
n En la lista desplegable Sin coincidencias, defina la accin a realizar si el contenido de un
paquete no coincide con una de las reglas de la lista.
4. Para configurar una alarma para este evento, seleccione la casilla de verificacin Alarma.
Una alarma notifica a los usuarios cuando una regla de proxy se aplica al trfico de red. Para
configurar las opciones para la alarma, seleccione Alarma de proxy en la lista Categoras a la
izquierda de la ventana Configuracin de proxy. Puede enviar una captura de SNMP, enviar un
mensaje de correo electrnico o abrir una ventana emergente.
5. Para crear un mensaje para este evento en el registro de trfico, seleccione la casilla de verificacin
Registro.
Agregar Regla (vista avanzada)
Utilice la vista avanzada para configurar coincidencias exactas y expresiones regulares compatibles con Perl.
Para obtener informacin sobre cmo trabajar con expresiones regulares, consulte Acerca de expresiones
regulares en la pgina 372.
1. En el cuadro de dilogo Configuracin de accin de proxy, haga clic en Agregar.
Aparece el cuadro de dilogo Nueva regla<ruletype>.
2. En el cuadro de texto Nombre de la regla, ingrese el nombre de la regla.
Este cuadro de texto est en blanco cuando se agrega una regla, puede cambiarse cuando se clona una regla y
no puede cambiarse cuando se edita una regla.
3. En la lista desplegable Configuraciones de reglas, seleccione una opcin:
n Coincidencia exacta: seleccione esta opcin cuando el contenido del paquete deba coincidir
exactamente con el texto de la regla.
n Coincidencia de patrn: seleccione esta opcin cuando el contenido del paquete deba
coincidir con un patrn de texto, puede incluir caracteres comodn.
n Expresin regular: seleccione esta opcin cuando el contenido del paquete deba coincidir con
un patrn de texto con una expresin regular.
4. En el cuadro de texto Configuraciones de reglas, ingrese el texto de la regla.
Si seleccion Coincidencia de patrn como configuracin de la regla, use un asterisco (*), un punto
(.) o un signo de interrogacin (?) como caracteres comodn.
5. En la seccin Acciones de la regla, en la lista desplegable Accin, seleccione la accin que realiza el
proxy para esta regla.
6. Para crear una alarma para este evento, seleccione la casilla de verificacin Alarma. Una alarma
informa a los usuarios cuando una regla de proxy se aplica al trfico de red.
7. Para crear un mensaje para este evento en el registro de trfico, seleccione la casilla de verificacin
Registro.
Cortar y pegar definiciones de reglas
Se puede cortar y pegar contenido en cuadros de texto de una definicin de proxy a otra. Por ejemplo,
supongamos que el usuario escribe un deny message personalizado para el proxy POP3. Puede seleccionar
el mensaje de negacin, copiarlo y pegarlo en el cuadro de texto Mensaje de negacin para el proxy SMTP.
Cuando se copia entre definiciones de proxy, el usuario debe asegurarse de que el cuadro de texto del que
se copia sea compatible con el proxy en donde lo pega. Se pueden copiar conjuntos de reglas slo entre
servidores proxy o categoras dentro de estos cuatros grupos. Otras combinaciones no son compatibles.
Gua del Usuario 371
Tipos de contenido Nombre de archivo Direcciones Autenticacin
Tipos de contenido HTTP Descarga de FTP Correo SMTP de Autenticacin SMTP
Tipos de contenido SMTP Carga de FTP Correo SMTP para Autenticacin POP3
Tipos de contenido POP3 Rutas de URL HTTP
Nombre de archivo
SMTP
Nombres de archivo
POP3
Conjuntos de reglas para importar o exportar
El usuario puede importar y exportar conjuntos de reglas completos entre definiciones de proxy. Para ms
informaciones, vea Importar y exportar conjuntos de reglas en la pgina 376.
Cambiar el orden de las reglas
El orden en el que se muestran las reglas en la lista Reglas es igual al orden en el que el trfico se compara
con las reglas. El proxy compara el trfico con la primera regla de la lista y contina en secuencia desde
arriba hacia abajo. Cuando el trfico coincide con una regla, Firebox realiza la accin correspondiente. No
realiza ninguna otra accin, aunque el trfico coincida con una regla que se encuentra ms adelante en la
lista. Asegrese de usar la vista avanzada de las reglas.
Para cambiar la secuencia de reglas :
1. Para ver la vista avanzada del conjunto de reglas, haga clic en Cambiar vista.
2. Seleccione la regla cuyo orden desea cambiar.
3. Haga clic en Subir o Bajar para subir o bajar la regla en la lista.
Cambiar la regla predeterminada
Si el trfico no coincide con ninguna de las reglas definidas para una categora de proxy, Firebox utiliza la
regla predeterminada. Esta regla aparece en la parte inferior de cualquier lista de reglas cuando se usa la
vista avanzada.
Para modificar la regla predeterminada:
1. Seleccione la regla predeterminada y haga clic en Editar.
Aparece el cuadro de dilogo Editar regla predeterminada.
2. El usuario puede cambiar la accin para la regla predeterminada y decidir si la accin activa una
alarma o un mensaje de registro.
No puede cambiar el nombre "Predeterminado" ni el orden de la regla. Debe ser la ltima regla de
la lista.
3. Haga clic en OK.
Acerca de expresiones regulares
Una expresin regular es un grupo de letras, nmeros y caracteres especiales utilizados para hacer
coincidir datos. Pueden usarse expresiones regulares compatibles con Perl (PCRE) en la configuracin de
Firebox para hacer coincidir ciertos tipos de trfico en acciones de proxy. Por ejemplo, puede usarse una
expresin regular para bloquear conexiones a algunos sitios web y permitir conexiones a otros sitios web.
Tambin pueden denegarse conexiones SMTP cuando el destinatario no es una direccin de correo
electrnico vlida para la empresa. Por ejemplo, si desea bloquear partes de un sitio web que infringe la
poltica de uso de Internet de la empresa, se puede usar una expresin regular en la categora Rutas de URL
de la configuracin del proxy HTTP.
Pautas generales
n Las expresiones regulares en Fireware distinguen maysculas de minsculas. Cuando se crea una
expresinregular, se debe tener cuidado de hacer coincidir el tipode letrade laexpresin regular
conlas letras del textoque se desea hacer coincidir. Laexpresin regular puede modificarse para que
nodistinga maysculas de minsculas cuando se agrega el modificador (?i) al comienzode ungrupo.
n Las expresiones regulares en Fireware son diferentes de los caracteres comodn MS-DOS y Unix.
Cuando se modifican archivos utilizando MS-DOS o la Ventana de comandos de Windows, se puede
usar ? o * para hacer coincidir uno o ms caracteres en un nombre de archivo. Estos caracteres
comodn simples no funcionan del mismo modo en Fireware.
Gua del Usuario 373
Para obtener ms informacin sobre cmo funcionan los caracteres comodn en Fireware, consulte
las siguientes secciones.
Cmo crear una expresin regular
La expresin regular ms simple se realiza con el texto que desea hacer coincidir. Las letras, los nmeros y
otros caracteres de impresin coinciden con la misma letra, nmero o carcter que el usuario ingresa. Una
expresin regular realizada con letras y nmeros puede coincidir slo con una secuencia de caracteres que
incluya a todas esas letras y nmeros en orden.
Ejemplo: "fat" (gordo) coincide con "fat" (gordo), "fatuous" (fatuo) e "infatuated" (encaprichado), al
igual que muchas otras secuencias.
Nota Fireware acepta cualquier secuencia de caracteres que incluya la expresin
regular. Una expresin regular con frecuencia coincide con ms de una secuencia.
Si se usa una expresin regular como origen de una regla Denegar, se puede
bloquear algn trfico de red por accidente. Recomendamos probar ntegramente
las expresiones regulares antes de guardar la configuracin en Firebox.
Para hacer coincidir diferentes secuencias de caracteres al mismo tiempo, debe usarse un carcter
especial. El carcter especial ms comn es el punto (.), que es similar a un comodn. Cuando se pone un
punto en una expresin regular, coincide con cualquier carcter, espacio o tabulacin. El punto no coincide
con cortes de lneas (\r\n o \n).
Ejemplo: f..t coincide con foot (pie), feet (pies), f&#t, f -t y f\t3t.
Para hacer coincidir un carcter especial, como el punto, debe agregarse una barra inversa (\) antes del
carcter. Si no se agrega una barra inversa al carcter especial, es posible que la regla no funcione
correctamente. No es necesario agregar una segunda barra inversa si el carcter en general tiene una barra
inversa, como \t (detencin de tabulador).
Debe agregarse una barra inversa a cada uno de estos caracteres especiales para que coincidan con el
carcter real: ? . * | + $ \ ^ ( ) [
Ejemplo: \$9\,99 coincide con $9,99
Caracteres hexadecimales
Para hacer coincidir caracteres hexadecimales, utilice \x o %0x%. Los caracteres hexadecimales no se ven
afectados por el modificador que no distingue maysculas de minsculas.
Ejemplo: \x66 o %0x66% coincide con f, pero no puede coincidir con F.
Repeticin
Para hacer coincidir una cantidad variable de caracteres, se debe usar un modificador de repeticin. Puede
aplicar el modificador a un carcter nico o a un grupo de caracteres. Existen cuatro tipos de modificadores
de repeticin:
n Los nmeros dentro de corchetes (como {2,4}) coinciden slo con el primer nmero o tanto como
el segundo nmero.
Ejemplo: 3{2,4} coincide con 33, 333 3333. No coincide con 3 33333.
n El signo de interrogacin (?) coincide con cero o una ocurrencia del carcter, la clase o el grupo
precedente.
Ejemplo: me?et coincide con "met" (conoci) y "meet" (conocer).
n El signo ms (+) coincide con una o ms ocurrencias del carcter, la clase o el grupo precedente.
Ejemplo: me+t coincide con "met", "meet" y "meeeeeeeeet".
n El asterisco (*) coincide con cero o ms ocurrencias del carcter, la clase o el grupo precedente.
Ejemplo: me*t coincide con "mt", "met", "meet" y "meeeeeeeeet".
Para aplicar modificadores a muchos caracteres al mismo tiempo, se debe conformar un grupo. Para
agrupar una secuencia de caracteres, se deben colocar parntesis alrededor de la secuencia.
Ejemplo: ba(na)* coincide con "ba", "bana", "banana" y "banananananana".
Clases de caracteres
Para hacer coincidir un carcter de un grupo, utilice corchetes angulares en lugar de parntesis para crear
una clase de caracteres. Puede aplicar modificadores de repeticin a la clase de caracteres. El orden de los
caracteres dentro de la clase no tiene importancia.
Los nicos caracteres especiales dentro de una clase de caracteres son el corchete angular de cierre (]), la
barra inversa (\), la marca de insercin (^) y el guin (-).
Ejemplo: gr[ae]y coincide con "gray" (gris) y "grey" (gris).
Para usar una marca de insercin en la clase de caracteres, no la use como primer carcter.
Para usar un guin en la clase de caracteres, selo como primer carcter.
Una clase de caracteres negados coincide con todos menos con los caracteres especificados. Ingrese una
marca de insercin (^) al comienzo de cualquier clase de caracteres para usarla como clase de caracteres
negados.
Ejemplo: [Qq][^u] coincide con "Qatar" (Catar), pero no con "question" (pregunta) o Iraq (Irak).
Rangos
Las clases de caracteres con frecuencia se usan con rangos de caracteres para seleccionar cualquier letra o
nmero. Un rango son dos letras o nmeros, separados por un guin (-), que marcan el inicio y la
finalizacin de un grupo de caracteres. Cualquier carcter en el rango puede coincidir. Si se agrega un
modificador de repeticin a una clase de caracteres, la clase precedente se repite.
Ejemplo: [1-3][0-9]{2} coincide con 100 y 399, as como tambin con cualquier nmero intermedio.
Algunos rangos que se usan con frecuencia tienen una notacin abreviada. Pueden usarse clases de
caracteres abreviados dentro o fuera de otras clases de caracteres. Una clase de caracteres abreviados
negados coincide con el opuesto de la coincidencia de la clase de caracteres abreviados. La siguiente tabla
incluye varias clases de caracteres abreviados comunes y sus valores negados.
Gua del Usuario 375
Clase equivalente a Invalidado equivalente a
\w Cualquier letra o nmero [A-Za-
z0-9]
\W Ni una letra ni un nmero
\s Cualquier carcter que no
aparece en un documento impreso [
\t\r\n]
\S Ningn carcter que no aparece
en un documento impreso
\d Cualquier nmero [0-9] \D Ningn nmero
Puntos de referencia
Para hacer coincidir el comienzo o el final de una lnea, debe usarse un punto de referencia. La marca de
insercin (^) coincide con el comienzo de una lnea y el signo de dlar ($) coincide con el final de una lnea.
Ejemplo: ^am.*$ coincide con "ampere" (amperio) si "ampere" es la nica palabra de la lnea. No
coincide con "dame" (dama).
Se puede utilizar \b para hacer coincidir el lmite de una palabra o \B para hacer coincidir cualquier posicin
que no sea un lmite de palabra.
Existen tres tipos de lmites de palabras:
n Antes de primer carcter en la secuencia de caracteres, si el primer carcter es un carcter de
palabra (\w)
n Despus del ltimo carcter en la secuencia de caracteres, si el ltimo carcter es un carcter de
palabra (\w)
n Entre un carcter de palabra (\w) y un carcter que no es de una palabra (\W)
Alternancia
La alternancia se puede usar para hacer coincidir una nica expresin regular dentro de varias expresiones
regulares posibles. El operador de alternancias en una expresin regular es el carcter de barra vertical
partida (|). Es similar al operador buliano OR.
Ejemplo: m(oo|a|e)n coincide con la primera ocurrencia de "moon" (luna), "man" (hombre) o
"men" (hombres).
Expresiones regulares comunes
Coincidir el tipo de contenido PDF (tipo MIME)
^%PDF-
Coincidir cualquier direccin IP vlida
(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)\.(25[0-5]|2[0-4][0-
9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)
Coincidir la mayora de las direcciones de correo electrnico
[A-Za-z0-9._-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}
Importar y exportar conjuntos de reglas
Si se administran varios Fireboxes, se pueden importar y exportar conjuntos de reglas entre ellos. Esto
ahorra tiempo porque el usuario debe definir las reglas slo una vez. Se definen las reglas una vez para una
definicin de proxy, se exportan a una archivo XML y luego se importan a una nueva definicin de proxy.
1. Crear los conjuntos de reglas para un proxy o categora.
2. Si es necesario, haga clic en Cambiar vista para ver la vista avanzada del conjunto de reglas.
4. En el cuadro de dilogo Guardar, seleccione el lugar donde desea guardar el archivo XML.
La ubicacin predeterminada es Mis documentos> Mi WatchGuard.
5. Ingrese un nombre para el archivo y haga clic en Guardar.
6. En la nueva definicin de proxy, haga clic en Importar.
8. Si ya estn definidas las reglas en el nuevo proxy, se le pregunta su desea eliminar primero el
conjunto de reglas anteriores.
n Haga clic en S para borrar las reglas existentes y reemplazarlas por las nuevas.
n Haga clic en No para incluir tanto las reglas existentes como las importadas en el conjunto de
reglas.
Copiar conjuntos de reglas entre diferentes servidores proxy o categoras
Algunos conjuntos de reglas pueden usarse en ms de un proxy o categora. Por ejemplo, puede exportar el
conjunto de reglas Tipos de contenido de una accin de proxy HTTP y luego importarlo al conjunto de reglas
Tipos de contenido de una accin de proxy SMTP. O bien, puede exportar el conjunto de reglas "Correo
SMTP de" al conjunto de reglas "Correo SMTO para".
Para obtener ms informacin acerca de los grupos entre los que se pueden copiar conjuntos de reglas,
consulte Cortar y pegar definiciones de reglas en la pgina 370.
Acerca de las acciones de proxy
Una accin de proxy es un grupo especfico de configuraciones, orgenes o destinos para un tipo de proxy.
Dado que la configuracin puede incluir varias polticas de proxy del mismo tipo, cada poltica de proxy
utiliza una accin de proxy diferente. Cada poltica de proxy tiene acciones de proxy predefinidas o
predeterminadas para clientes y servidores. Por ejemplo, puede usarse una accin de proxy para paquetes
enviados a un servidor POP3 protegido por el dispositivo Firebox o XTMy una accin de proxy diferente
para aplicar a mensajes de correo electrnico recuperados por clientes POP3.
Pueden crearse muchas acciones de proxy diferentes tanto para clientes como para servidores o para un
tipo de poltica de proxy especfico. Sin embargo, puede asignarse slo una accin de proxy a cada poltica
de proxy. Por ejemplo, una poltica POP3 est vinculada a una accin de proxy POP3-Cliente. Si desea crear
una accin de proxy POP3 para un servidor POP3 o una accin de proxy adicional para clientes POP3,
deben agregarse nuevas polticas de proxy POP3 que usen esas nuevas acciones de proxy al Policy
Manager.
Gua del Usuario 377
Configurar la accin de proxy
1. En el cuadro de dilogo Agregar/Editar propiedades de polticas, seleccione la pestaa
Propiedades.
2. En la lista desplegable Accin de proxy, seleccione la accin de proxy que desea utilizar con esta
poltica de proxy.
Editar, eliminar o clonar acciones de proxy
Tambin puede editar, eliminar o clonar una accin de proxy predefinida o una accin de proxy ya creada:
1. Seleccione Configuracin> Acciones> Servidores proxy.
2. En el cuadro de dilogo Acciones de proxy, seleccione la accin de proxy que desea editar, eliminar
o clonar.
3. Haga clic en Editar, Eliminar o Clonar.
Las acciones de proxy predefinidas, que aparecen en azul, no pueden eliminarse. Slo puede
eliminar acciones de proxy definidas por el usuario, que aparecen en negro.
Para obtener ms informacin sobre las configuraciones de acciones de proxy para cada proxy, consulte el
tema Acerca de para ese proxy.
392
398
404
422
Importar o exportar acciones de proxy
Si el usuario administra varios dispositivos Firebox o XTMy necesita agregar las mismas polticas a cada uno,
puede usar la funcin importar/exportar poltica para ahorrar tiempo. Puede definir las acciones de proxy
en un dispositivo Firebox o XTM, exportarlas a un archivo de texto y luego importar las polticas en otro
dispositivo Firebox o XTM.
Para ms informacin, vea Importar y exportar Acciones de proxy definidas por el usuario en la pgina 378.
Acerca de acciones de proxy definidas por el usuario y predefinidas
Acciones de proxy
Fireware XTM tiene acciones de proxy servidor y cliente predefinidas para cada proxy. Estas acciones
predefinidas se configuran para equilibrar los requisitos de accesibilidad de una empresa tpica con la
necesidad de proteger su capital de equipos contra ataques. Las configuraciones de acciones de proxy
predefinidas no pueden modificarse. Si desea realizar cambios en la configuracin, debe clonar (copiar) la
definicin existente y guardarla como una accin de proxy definida por el usuario.
Por ejemplo, si desea modificar una configuracin en la accin de proxy HTTP Cliente, debe guardarla con
un nombre diferente, como HTTP Cliente.1. Esto es necesario slo cuando se realizan modificaciones en los
conjuntos de reglas. Si se realizan cambios en configuraciones generales como los orgenes o destinos
permitidos o las configuraciones NAT para una poltica, no es necesario guardarlas con un nuevo nombre.
Importar o exportar acciones de proxy
Si el usuario administra varios Firebox que tienen acciones de proxy definidas, puede usar la funcin
importar/exportar poltica para ahorrar tiempo. Puede definir las acciones de proxy en un Firebox,
exportarlas a un archivo ASCII y luego importarlas a otro Firebox. Para ms informaciones, vea Importar y
exportar Acciones de proxy definidas por el usuario en la pgina 378.
Importar y exportar Acciones de proxy definidas por el usuario
Si se administran varios Firebox que tienen acciones de proxy definidas por el usuario, se puede utilizar la
funcin importar/exportar de la accin de la poltica para ahorrar tiempo. Puede definir acciones de proxy
personalizadas en un Firebox, exportarlas a un archivo ASCII y luego importarlas a otro Firebox.
El Firebox para el cual se crearon las polticas debe tener instalada la misma versin de WSMque la versin
del Policy Manager que se usa para importar las acciones de proxy. No se puede importar una accin de
proxy desde una versin anterior a la versin actual.
1. En el primer Firebox, cree las acciones de proxy definidas por el usuario.
2. En el cuadro de dilogo Acciones de proxy, haga clic en Exportar.
No es necesario seleccionar las acciones definidas por el usuario. La funcin Exportar
automticamente exporta todas las acciones personalizadas independientemente de la accin de
proxy que en realidad se selecciona.
3. En el cuadro de dilogo Guardar, seleccione el lugar donde desea guardar el archivo de acciones de
proxy.
La ubicacin predeterminada es Mis documentos >Mi WatchGuard.
Gua del Usuario 379
4. Ingrese un nombre para el archivo y haga clic en Guardar.
5. En el Policy Manager en un Firebox diferente, en el cuadro de dilogo Acciones de proxy, haga clic
en Importar.
7. Si el Policy Manager actual ya tiene definidas acciones de proxy definidas por el usuario, se le
pregunta si desea reemplazar las acciones existentes o anexar las acciones importadas a las
existentes. Haga clic en Reemplazar o Anexar.
n Reemplazar: las acciones de proxy definidas por el usuario existentes se eliminan y se
reemplazan por las nuevas acciones.
n Anexar: tanto las acciones existentes como las importadas se agregan a la lista del cuadro de
dilogo.
Utilizar tipos de contenido predefinidos
El usuario puede restringir el trfico de red HTTP y los adjuntos de mensajes de correo electrnico POP3 o
SMTP por tipo de contenido. Puede utilizar las categoras de Tipo de contenido de estas polticas de proxy
para permitir o denegar los tipos de contenido especificados.
Al hacer clic en el botn Predefinido en una de esas categoras de proxy, aparece el cuadro de dilogo
Seleccionar tipo de contenido. Seleccione uno o ms tipos de contenido comunes que desee agregar al
conjunto de reglas de Tipos de contenido y luego haga clic en OK. Utilice las teclas Mayscula (Shift) o
Control (Ctrl) para seleccionar varios tipos de contenido al mismo tiempo.
Acerca de las configuraciones de Application Blocker
El Application Blocker puede usarse para definir las acciones que realiza el dispositivo Firebox o XTM
cuando una poltica de proxy TCP-UDP, HTTP o HTTPS detecta actividad de red de aplicaciones de
mensajera instantnea (IM) o punto a punto (P2P).
El Application Blocker identifica estas aplicaciones de IM:
n AIM(AOL Instant Messenger)
n ICQ
n IRC
n MSN Messenger
n Skype
n Yahoo! Messenger
Nota El Application Blocker no puede bloquear las sesiones de Skype que ya estn
activas. Para ms informaciones, vea Acerca de Skype y el Application Blocker.
El Application Blocker identifica estas aplicaciones P2P:
n BitTorrent
n Ed2k (eDonkey2000)
n Gnutella
n Kazaa
n Napster
n Winny
Nota No se requiere que el Intrusion Prevention service utilice la funcin del Application
Blocker.
Crear una configuracin del Application Blocker
Para bloquear el trfico de aplicaciones comunes de la mensajera instantnea (IM) y punto a punto (P2P),
puede usarse el Policy Manager para crear una configuracin del Application Blocker. Puede usar esta
configuracin en una o ms polticas para aplicar reglas de trfico uniformes.
Para crear una configuracin del Application Blocker:
1. Seleccione Configuracin> Acciones> Application Blocker.
Aparece el cuadro de dilogo Application Blockers.
Aparece el cuadro de dilogo Nueva configuracin del Application Blocker. La pestaa IM est seleccionada de
manera predeterminada.
3. En el cuadro de texto Nombre, ingrese un nombre para esta configuracin del Application Blocker.
4. (Opcional) En el cuadro de texto Descripcin, ingrese una breve descripcin para la configuracin.
5. En la lista desplegable, seleccione la accin que realiza el dispositivo Firebox o XTMcuando detecta
trfico de IM:
n Permitirpermitequeelpaqueteseenvealdestinatario,aunqueel contenidocoincidaconunafirma.
n Descartardescarta el paquete y enva un paquete restablecer TCP al remitente.
Gua del Usuario 381
3. Seleccione la casilla de verificacin para cada aplicacin IMa incluir en la accin de proxy.
Para seleccionar todas las aplicaciones de IMde la lista, seleccione la casilla de verificacin Todas las
categoras.
4. Para establecer acciones para aplicaciones P2P, seleccione la pestaa P2P.
5. En la lista desplegable, seleccione la accin que realiza el dispositivo Firebox o XTMcuando detecta
trfico de P2P:
n Permitirpermitequeelpaqueteseenvealdestinatario,aunqueel contenidocoincidaconunafirma.
n Descartardescarta el paquete y enva un paquete restablecer TCP al remitente.
3. Seleccione la casilla de seleccin para cada aplicacin P2P a incluir en la accin de proxy.
Para seleccionar todas las aplicaciones P2P de la lista, seleccione la casilla de verificacin Todas las
categoras.
4. Para configurar la generacin de registros y notificacin para esta configuracin del Application
Blocker, haga clic en Registro y notificacin.
Aparece el cuadro de dilogo Generacin de registros y Notificacin.
Para obtener ms informacin acerca de las configuraciones de generacin registros y notificacin,
consulte Determinar preferencias de registro y notificacin .
5. Haga clic en OK para crear la configuracin del Application Blocker.
La nueva configuracin del Application Blocker aparece en el cuadro de dilogo Application Blockers.
Despus de crear la configuracin del Application Blocker, puede actualizar las configuraciones de proxy
TCP-UDP o HTTP para usar la configuracin del Application Blocker creada.
Acerca de Skype y el Application Blocker
Skype es una aplicacin de red punto a punto (P2P) muy conocida que se usa para realizar llamadas de voz,
enviar mensajes de texto, realizar transferencias de archivos o participar en videoconferencias por Internet.
El cliente de Skype usa una combinacin dinmica de puertos que incluye a los puertos salientes 80 y 443.
El trfico de Skype es muy difcil de detectar y bloquear porque est cifrado y porque el cliente de Skype es
muy flexible y puede derivar firewalls de red.
El Application Blocker puede configurarse para bloquear el inicio de sesin de un usuario en la red de
Skype. Es importante comprender que el Application Blocker slo puede bloquear el inicio de sesin inicial
en Skype. No puede bloquear el trfico para un cliente de Skype que ya ha iniciado sesin y tiene una
conexin activa. Por ejemplo:
n Si un usuario remoto inicia sesin en Skype cuando el equipo no est conectado a la red y luego el
usuario se conecta a la red mientras el cliente de Skype an est activo, el Application Blocker no
puede bloquear el trfico de Skype hasta que el usuario salga y cierre la sesin de la aplicacin de
Skype o reinicie el equipo.
n Cuando se configura el Application Blocker por primera vez para bloquear Skype, cualquier usuario
que ya est conectado a la red de Skype no puede bloquearse hasta que salga y cierre la sesin en
Skype o reinicie su equipo.
Cuando el Application Blocker bloquea un inicio de sesin en Skype, agrega las direcciones IP de los
servidores Skype a la lista de Sitios bloqueados. Para estas direcciones IP bloqueadas, el Origen activador es
admin y el Motivo es administracin de paquetes predeterminada.
Nota Debido a que la lista de Sitios bloqueados bloquea el trfico entre los servidores de
Skype y todos los usuarios de su red, el acceso a Skype se bloquea para todos los
usuarios.
Las direcciones IP del servidor de Skype permanecen en la lista de Sitios bloqueados durante el perodo
especificado por el usuario en el cuadro de texto Duracin de sitios bloqueados automticamente en la
configuracin de Sitios bloqueados. La duracin predeterminada es 20 minutos. Si se bloquea Skype y luego
se cambia la configuracin para dejar de bloquear Skype, las direcciones IP del servidor de Skype en la lista
de Sitios bloqueados permanecen bloqueadas hasta que vence el bloqueo o hasta quitarlas de la lista de
Sitios bloqueados en forma manual.
Cuando el Application Blocker bloquea un inicio de sesin en Skype, aparece un mensaje de registro en
Control de trfico que muestra que el acceso a las direcciones IP del servidor de Skype fue denegado
porque la direccin est en la lista de Sitios bloqueados.
Para obtener ms informacin acerca de la configuracin Duracin de sitios bloqueados
automticamente, consulte Cambiar la duracin de los sitios que son bloqueados automticamente en la
pgina 494.
Bloquear inicios de sesin en Skype
Para bloquear inicios de sesin en Skype, se debe crear una configuracin del Application Blocker y
seleccionar Skype como un tipo de aplicacin a bloquear. Luego se debe aplicar la configuracin a la poltica
de proxy TCP/UDP.
Gua del Usuario 383
Para obtener ms informacin acerca de cmo crear una configuracin del Application Blocker, consulte
Acerca de las configuraciones de Application Blocker en la pgina 379.
Intrusion prevention en definiciones de proxy
Una intrusin es un ataque directo al equipo. Estos ataques pueden ocasionar daos a la red, obtener
informacin confidencial o utilizar los equipos para atacar a otras redes.
Para ayudar a proteger la red de intrusiones, puede adquirir el Intrusion Prevention Service (IPS) opcional
para Firebox. El IPS funciona con los proxies SMTP, POP3, HTTP, FTP, DNS y TCP-UDP.
Para activar y configurar IPS, se puede ejecutar el asistente IPS o utilizar el conjunto de reglas IPS en una
definicin de proxy.
Ejecutar el asistente Activar prevencin de intrusiones
2. Seleccione Servicios de suscripcin> Intrusion Prevention> Activar.
Aparece el asistente Activar prevencin de intrusiones.
3. Complete el asistente.
Para obtener ms informacin, consulte Activar Intrusion Prevention Service (IPS) en la pgina 1100.
Utilice el conjunto de reglas para la Intrusion Prevention en la definicin
de proxy
1. Obtener una tecla de funcin junto a LiveSecurity para IPS y Agregar una tecla de funcin a su
Firebox.
2. Agregar una poltica de proxy a la configuracin.
O bien, puede editar un proxy existente
3. En el cuadro de dilogo Nuevas/Editar propiedades de polticas, haga clic en la pestaa
Propiedades.
4. Haga clic en .
5. A la izquierda de la ventana, seleccione la categora Intrusion Prevention.
6. A la derecha de la ventana, Configurar acciones del IPS.
Agregar una poltica de proxy a la configuracin
Cuando se agrega una poltica de proxy o ALG (puerta de enlace de la capa de aplicacin) a la configuracin
del Fireware XTM, se especifican tipos de contenido que el dispositivo Firebox o XTMdebe buscar a medida
que examina el trfico de red. Si el contenido coincide (o no coincide) con los criterios definidos en la
definicin de proxy o ALG, el trfico se permite o deniega.
Pueden usarse las configuraciones predeterminadas de la poltica de proxy o ALG o pueden cambiarse estas
configuraciones para adaptarlas al trfico de red de su organizacin. Tambin pueden crearse polticas de
proxy o ALG adicionales para administrar diferentes partes de la red.
Es importante recordar que una poltica de proxy o ALG requiere ms capacidad de procesamiento que un
filtro de paquetes. Si se agrega un gran nmero de polticas de proxy o ALG a la configuracin, las
velocidades del trfico de red podran disminuir. Sin embargo, un proxy o ALG utiliza mtodos que los filtros
de paquetes no pueden utilizar para capturar paquetes peligrosos. Cada poltica de proxy incluye varias
configuraciones que pueden ajustarse para crear un equilibrio entre los requisitos de seguridad y
rendimiento.
Puede usar Policy Manager para agregar una poltica de proxy.
1.
Haga clic en .
2. Ampliar la carpeta Servidores proxy.
Aparece una lista de polticas de proxy.
3. Seleccione el tipo de poltica de proxy que desea crear. Haga clic en Agregar.
Aparece el cuadro de dilogo Propiedades de nueva Poltica.
Para obtener ms informacin sobre las propiedades bsicas de todas las polticas, consulte Acerca de
propiedades de polticas en la pgina 354.
Gua del Usuario 385
Las polticas de proxy y ALG tienen conjuntos de reglas predeterminados que aportan un equilibrio
adecuado de seguridad y accesibilidad para la mayora de las instalaciones. Si un conjunto de reglas
predeterminado no coincide con el trfico de red que desea examinar, puede agregar, eliminar o modificar
las reglas. Para ms informacin, vea Acerca de las reglas y conjuntos de reglas en la pgina 367 y el tema
"Acerca de" para el tipo de poltica agregado.
392
398
404
422
Acerca del DNS proxy
El Sistema de domain name (DNS) es un sistema de servidores en red que traducen direcciones IP
numricas en direcciones de Internet legibles y jerrquicas, y viceversa. DNS permite a la red de equipos
comprender, por ejemplo, que se desea alcanzar el servidor en 200.253.208.100 cuando se ingresa un
domain name en el explorador, como www.watchguard.com. Con Fireware XTM, es posible controlar el
trfico DNS mediante dos mtodos: el filtro de paquetes DNS y la poltica de proxy DNS. El proxy DNS es til
slo si las solicitudes de DNS se enrutan a travs de Firebox.
Cuando se crea un nuevo archivo de configuracin, ste automticamente incluye una poltica de filtrado
de paquetes salientes que admite todas las conexiones TCP y UDP desde las redes de confianza y opcional a
las externas. Esto permite a los usuarios conectarse a un servidor DNS externo con los puertos TCP 53 y
UDP 53 estndar. Dado que Saliente es un filtro de paquetes, no puede ofrecer proteccin contra troyanos
salientes UDP comunes, explotaciones de DNS y otros problemas que ocurren cuando se abre todo el
trfico UDP saliente de las redes de confianza. El proxy DNS tiene funciones para proteger la red de estas
amenazas. Si se utilizan servidores DNS externos para la red, el conjunto de reglas DNS Saliente ofrece
mtodos adicionales de controlar los servicios disponibles a la comunidad de red.
Para agregar el proxy DNS a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
configuracin en la pgina 383.
Si es necesario cambiar la definicin de proxy, se puede usar el cuadro de dilogo Nuevas/Editar polticas
de proxy para modificar la definicin. Este cuadro de dilogo tiene tres pestaas: Poltica, Propiedades y
Avanzada. En la pestaa Propiedades, tambin pueden editarse los conjuntos de reglas predeterminados
para acciones de proxy.
Para ms informaciones, vea Acerca de las acciones de proxy en la pgina 376.
Pestaa Poltica
n Las conexiones DNS Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas o
Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa Poltica
de la definicin de proxy). Vea Definir reglas de acceso a una poltica en la pgina 356.
n Usar el enrutamiento basado en la poltica: consulte Configurar el enrutamiento basado en la
poltica en la pgina 359.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor. Vea Acerca de la NAT
esttica en la pgina 177 y Configurar Balance de carga en el servidor en la pgina 179.
Pestaa Propiedades
n En la lista desplegableAccin de proxy, seleccione si desea definir una accin para un cliente o
servidor. Para obtener informacin acerca de acciones de proxy, consulte Acerca de las acciones de
proxy en la pgina 376.
n Para definir el registro para una poltica, haga clic en Registro y Determinar preferencias de registro
y notificacin en la pgina 649.
n Si configura la lista desplegable Las conexiones estn (en la pestaa Poltica) en Negadas o Negadas
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS. Vea Bloquear sitios
temporalmente con configuracin de polticas en la pgina 494.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por Firebox o el servidor de
autenticacin, Configurar un tiempo de espera inactivo personalizado en la pgina 361.
seguridad y accesibilidad para la mayora de las instalaciones. El usuario puede agregar, eliminar o modificar
reglas segn sea necesario para sus fines empresariales especficos.
Para modificar las configuraciones y conjuntos de reglas para una accin de proxy:
1.
Haga clic en .
2. Seleccione una categora:
n Proxy DNS: Configuraciones generales
n Proxy DNS: OPCodes
n Proxy DNS: Tipos de consulta
n Proxy DNS: Nombres de consulta
n Intrusion prevention en definiciones de proxy
n Proxy y AV alarmas. Las capturas de SNMP y notificaciones estn desactivadas de manera
predeterminada.
3. Actualice el conjunto de reglas.
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de proxy:
n Establecer un cronograma operativo
n Agregar una Accin de administracin de trfico a una poltica
n Determinar Administracin de errores ICMP
n Aplicar reglas NAT (Tanto 1-to-1 NAT como NAT dinmica estn activadas de manera
predeterminada en todas las polticas).
n Activar el marcado QoS o configuraciones de priorizacin para una poltica
n Defina la duracin de sticky connection para una poltica
Gua del Usuario 387
Proxy DNS: Configuraciones generales
En la pgina General, se pueden cambiar las configuraciones de dos reglas de deteccin de anomalas de
protocolo. Recomendamos no cambiar la configuracin predeterminada.
Internet sin clasificar
Seleccione la accin cuando el proxy examina el trfico DNS perteneciente a Internet (IN) sin
clasificar. La accin predeterminada es denegar este trfico. Recomendamos no cambiar esta accin
predeterminada.
Consulta con formato errneo
Seleccione la accin cuando el proxy examina el trfico DNS que no usa el formato correcto.
Alarma
Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al
trfico de red. Seleccione la casilla de verificacin Alarma para configurar una alarma para este
evento. Para configurar las opciones para la alarma, seleccione Alarma de proxy en la lista
Categoras a la izquierda de la ventana Configuracin de proxy. Puede enviar una captura de SNMP,
enviar un mensaje de correo electrnico o abrir una ventana emergente.
Registro
Seleccione esta casilla de verificacin para enviar un mensaje al registro de trfico para este evento.
Activar registros de informes
Crea un mensaje de registro de trfico para cada transaccin. Esta opcin crea un archivo de
registro grande, pero esta informacin es muy importante si el firewall es atacado. Si no se
selecciona esta casilla de verificacin, no se ver informacin detallada acerca de las conexiones de
proxy DNS en informes.
Proxy DNS: OPCodes
Los OPcodes (cdigos de operacin) de DNS son comandos emitidos al servidor DNS para que ejecute
alguna accin, como una consulta (Consulta), una consulta inversa (ConsultaI) o una solicitud de estado del
servidor (ESTADO). Funcionan en elementos como registros, valores en memoria, valores almacenados en
la pila, puertos I/O y el bus. El usuario puede agregar, eliminar o modificar reglas en el conjunto de reglas
predeterminado. Puede permitir, negar, descartar o bloquear OPcodes DNS especficos.
1. En el rbol Categoras, seleccione OPcodes.
2. En las reglas que figuran en la lista, seleccione la casilla de verificacin Activada para activar una
regla. Desmarque la casilla de verificacin Activada para desactivar una regla.
Nota Si se utiliza el Active Directory y la configuracin del Active Directory requiere
actualizaciones dinmicas, deben permitirse los OPcodes DNS en las reglas de
accin de proxy DNS entrante. Esto representa un riesgo de seguridad, pero puede
ser necesario para que el Active Directory funcione correctamente.
Agregar una nueva regla OPcodes
Aparece el cuadro de dilogo Nueva regla OPcodes.
2. Ingrese un nombre para la regla.
Las reglas no pueden tener ms de 200 caracteres.
3. Haga clic en las flechas para definir el valor de OPcode. Los OPcodes de DNS tienen un valor entero.
Para obtener ms informacin sobre los valores enteros de los OPcodes DNS, consulte RFC 1035.
Eliminar o modificar reglas
1. Agregue, elimine o modifique reglas, segn se describe en Agregar, cambiar o eliminar reglas en la
pgina 368.
3. Si ha finalizado con los cambios en esta definicin de proxy, haga clic en OK.
4. Si la accin de proxy que ha modificado es una predefinida, debe clonar (copiar) la configuracin a
una nueva accin.
El usuario puede importar y exportar conjuntos de reglas entre definiciones de proxy. Para ms
Proxy DNS: Tipos de consulta
Un tipo de consulta DNS puede configurar un registro de recurso por tipo (como registro CNAME o TXT) o
como un tipo de consulta personalizado (como una transferencia de zona completa AXFR). El usuario puede
agregar, eliminar o modificar reglas. Puede permitir, negar, descartar o bloquear tipos de consulta DNS
especficos.
1. En el rbol Categoras, seleccione Tipos de consulta.
Gua del Usuario 389
2. Para activar una regla, seleccione la casilla de verificacin Activada adyacente a la accin y el
nombre de la regla.
Agregar una nueva regla de tipos de consulta
1. Para agregar una nueva regla de tipos de consulta, haga clic en Agregar.
Aparece el cuadro de dilogo Nueva regla de tipos de consulta.
2. Ingrese un nombre para la regla.
Las reglas no pueden tener ms de 200 caracteres.
3. Los tipos de consulta DNS tienen un valor de registro de recurso (RR). Utilice las flechas para definir
el valor.
Para obtener ms informacin sobre los valores de tipos de consulta DNS, consulte RFC 1035.
una nueva accin.
Proxy DNS: Nombres de consulta
El nombre de una consulta DNS se refiere a un domain name DNS especfico, que se muestra como domain
name completamente calificado (FQDN). El usuario puede agregar, eliminar o modificar reglas.
1. Enel rbolCategoras,seleccioneNombresdeconsulta.
una nueva accin.
Acerca de los registros de MX (Mail eXchange)
Un registro MX (Mail eXchange) es un tipo de registro de DNS que otorga uno o ms nombres de host de los
servidores de correo electrnico que son responsables por y autorizados a recibir correos electrnicos
para un dominio determinado. Si el registro MX tiene ms de un nombre de host, cada nombre tiene un
nmero que seala cul es el host preferido y cules hosts se intentarn en seguida, caso el preferido no
est disponible.
Gua del Usuario 391
Bsqueda de MX
Cuando un servidor de correo electrnico enva un correo, primero hace una consulta de DNS en busca del
registro MX del dominio del destinatario. Cuando recibe la respuesta, el servidor de correo electrnico
remitente sabe los nombres de host de los intercambiadores de correo autorizados para el dominio del
destinatario. Para obtener las direcciones IP asociadas a los nombres de host MX, un servidor de correo
hace una segunda bsqueda de DNS por el registro del nombre del host. La respuesta ofrece la direccin IP
asociada al nombre del host. Eso permite que el servidor remitente sepa a cul direccin IP conectarse
para la entrega del mensaje.
Bsqueda de MX inversa
Muchas soluciones anti-spam, incluso las utilizadas por la mayora de las grandes redes ISP y proveedores de
correo electrnico web, como AOL, MSN o Yahoo! usan el procedimiento de bsqueda de MX inverso.
Diferentes variaciones de la bsqueda inversa son usadas, pero los objetivos son los mismos: el servidor
destinatario quiere verificar que el correo electrnico que recibe no viene de una direccin remitente
forjada o con spoofing, y que el servidor remitente sea un intercambiador de correos autorizado para aqul
dominio.
Para verificar si el servidor remitente es un servidor de correo electrnico autorizado, el servidor de
correo electrnico destinatario intenta encontrar un registro MX que se correlaciona con el dominio del
remitente. Si no puede encontrar uno, supone que el correo electrnico es un spam y lo rechaza.
El domain name que el servidor destinatario busca puede ser:
n Domain name en el encabezado De: del correo electrnico
n Domain name en el encabezado Responder a:encabezado
n Domain name que el servidor remitente usa como parmetro DE del comando MAIL (Un comando
SMTP es diferente de un encabezado de correo electrnico. El servidor remitente enva un
comando MAIL DE: para informar al destinatario de quin viene el mensaje.)
n El domain name resultante de una consulta de DNS de la direccin IP de origen de la conexin. El
servidor destinatario a veces hace una bsqueda de registro PTR asociada a la direccin IP. El
registro DNS de PTR es un registro que asigna una direccin IP a un domain name (en vez de un
registro A, que asigna un domain name a una direccin IP).
Antes que el servidor destinatario contine la transaccin, hace una consulta de DNS para ver si un registro
MX vlido existe para el dominio del remitente. Si el dominio no tiene un registro MX de DNS vlido,
entonces el remitente no es vlido y el servidor del destinatario lo rechaza como fuente de spam.
Registros MX y WAN mltiple
Como las conexiones salientes detrs de su Firebox pueden mostrar diferentes direcciones IP de origen
cuando su Firebox usa WAN mltiple, debe asegurarse de que sus registros de DNS incluyan registros de
MX para cada direccin IP externa que puedan aparecer como el origen cuando enva un correo
electrnico. Si la lista de nombres de host en el registro MX de su dominio no incluye uno para cada interfaz
Firebox, es posible que algunos servidores de correo electrnico remotos desechen sus mensajes de
correo electrnico.
Por ejemplo, la empresa XYZ tiene un Firebox configurado con mltiples interfaces externas. El Firebox usa
el mtodo de WAN mltiple de conmutacin por error. El registro MX da empresa XYZ incluye slo un
nombre de host. Ese nombre de host tiene un registro A de DNS que establece un vnculo con la direccin
IP de la interfaz externa principal de Firebox.
Cuando la empresa XYZ enva un correo electrnico al test@yahoo.com, ste sale por la interfaz externa
principal. La solicitud de correo electrnico es recibida por los diversos servidores de correo electrnico de
Yahoo. El servidor de correo electrnico hace una bsqueda MX inversa para verificar la identidad de la
empresa XYZ. La bsqueda MX inversa tiene xito y el correo electrnico es enviado.
Si una conmutacin por error de WAN ocurre en el Firebox, todas las conexiones salientes de la empresa
XYZ comienzan a salir por la interfaz externa de resguardo, secundaria. En ese caso, cuando el servidor de
correo electrnico de Yahoo hace una bsqueda MX inversa, no encuentra una direccin IP en los registros
A y MX de la empresa XYZ que coincida y entonces rechaza el correo. Para solucionar ese problema,
asegrese de que:
n El registro MX tenga mltiples nombres de host, al menos uno para cada interfaz externa de Firebox.
n Al menos un nombre de host en el registro MX tenga un registro A de DNS que asigne a la direccin
IP otorgada a cada interfaz de Firebox.
Agregar otro nombre de host al registroMX
Los registros MX son almacenados como parte de los registros DNS de su dominio. Para ms informacin
acerca de como configurar sus registros MX, contacte su proveedor de host de DNS (si un tercero hospeda
el servicio DNS de su dominio) o consulte la documentacin del proveedor de software de servidor DNS.
Pgina Acerca de Proxy FTP
El FTP (protocolo de transferencia de archivos) se usa para enviar archivos desde un equipo a otro diferente
a travs de una red TCP/IP. El cliente FTP es generalmente un equipo. El servidor FTP puede ser un recurso
que mantiene archivos en la misma red o en una red diferente. El cliente FTP puede estar en uno de dos
modos para la transferencia de datos: activo o pasivo. En el modo activo, el servidor inicia una conexin con
el cliente en el puerto de origen 20. En el modo pasivo, el cliente utiliza un puerto previamente negociado
para conectarse al servidor. El proxy FTP monitorea y examina estas conexiones FTP entre los usuarios y los
servidores FTP a los que se conectan.
Con una poltica de proxy FTP es posible:
n Establecer la longitud mxima del nombre de usuario, la longitud de la contrasea, la longitud del
nombre de archivo y la longitud de la lnea de comandos permitidas a travs del proxy para ayudar a
proteger la red de ataques de fallas en la memoria intermedia.
n Controlar el tipo de archivos que el proxy FTP permite para cargas y descargas.
El proxy TCP/UDP est disponible para protocolos en puertos no estndares. Cuando el FTP utiliza un puerto
que no es el puerto 20, el proxy TCP/UDP retransmite el trfico al proxy FTP. Para obtener informacin
sobre el proxy TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 461.
Para agregar el proxy FTP a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Gua del Usuario 393
para la accin de proxy.
Para obtener ms informacin, consulte Acerca de las acciones de proxy.
Pestaa Poltica
La pestaa Poltica se utiliza para definir reglas de acceso y otras opciones.
n Las conexiones FTP-Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas o
Negadas (enviar restablecer). Defina quin figura en la lista Desde y Hasta (en la pestaa Poltica de
la definicin de proxy).
Para ms informaciones, vea Definir reglas de acceso a una poltica.
n Usar el enrutamiento basado en la poltica: Configurar el enrutamiento basado en la poltica.
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor.
Para obtener ms informacin, consulte Acerca de la NAT esttica en la pgina 177 o Configurar
Balance de carga en el servidor en la pgina 179.
Pestaa Propiedades
servidor.
Para obtener informacin acerca de acciones de proxy, consulte Acerca de las acciones de proxy en
la pgina 376.
n Si configura la lista desplegable Las conexiones de FTP Servidor proxy estn (en la pestaa Poltica)
en Negadas o Negadas (enviar restablecer), se pueden bloquear sitios que intentan usar FTP.
pgina 494.
autenticacin, Configurar un tiempo de espera inactivo personalizado en la pgina 361.
1. Haga clic en .
n Proxy FTP: Configuraciones generales
n Proxy FTP: Comandos La configuracin predeterminada para el proxy FTP cliente es permitir
todos los comandos. El proxy FTP servidor predeterminado permite los siguientes comandos:
ABOR* DELE* NLST* PORT* REST* RNTO* SYST* XCWD*
APPE* HELP* NOOP* PWD* RETR* STAT* TYPE* XMKD*
CDUP* LIST* PASS* RMD* STOR* USER* XRMD*
CWD* MKD* PASV* QUIT* RNFR* STOU* XCUP*
n FTP DNS: Contenido La configuracin predeterminada para el proxy FTP cliente es negar la descarga
de estos archivos: .cab, .com., .dll, .exe., .zip. El proxy FTP servidor permite todos los archivos. Los
servidores proxy tanto cliente como servidor permiten la carga de todo tipo de archivo.
n Proxy FTP: AntiVirus Cuando el AV de puerta de enlace est activado para el proxy FTP, la
configuracin predeterminada es descartar las conexiones cuando se detecta un virus o cuando
ocurre un error de escaneo.
n Intrusion prevention en definiciones de proxy Cuando la Intrusion Prevention est activada para el
proxy FTP, la configuracin predeterminada es descartar el trfico que coincida con una firma IPS.
n Proxy y AV alarmas Las capturas de SNMP y notificaciones estn desactivadas de manera
predeterminada.
Pestaa Avanzada
Proxy FTP: Configuraciones generales
En la pgina General, pueden definirse parmetros FTP bsicos, incluida la extensin mxima del nombre
de usuario.
1. En el rbol Categoras, seleccione General.
Gua del Usuario 395
2. Para configurar lmites para parmetros FTP, seleccione las casillas de verificacin correspondientes.
Estas configuraciones ayudan a proteger la red de ataques de fallas en la memoria intermedia. Haga
clic en las flechas para cambiar los lmites:
Determinar extensin mxima del nombre de usuario en
Define una extensin mxima para nombres de usuarios en sitios FTP.
Determinar extensin mxima de la contrasea en
Define una extensin mxima para contraseas utilizadas para iniciar sesin en sitios FTP.
Determinar extensin mxima del nombre de archivo en
Define la extensin mxima del nombre de archivo para archivos cargados o descargados.
Determinar extensin mxima de la lnea de comando en
Define la extensin mxima para lneas de comando utilizadas en sitios FTP.
Determinar un nmero mximo de fallas de inicio de sesin por conexin en
Permite limitar el nmero de solicitudes de conexin fallidas al sitio FTP. Esto puede proteger al
sitio contra ataques de fuerza bruta.
3. Para cada configuracin, se puede configurar o desmarcar la casilla de verificacin Bloqueo
automtico.
Si alguien intenta conectarse a un sitio FTP que tiene la casilla de verificacin Bloqueo automtico
seleccionada y supera el lmite, el equipo que envi los comandos se agrega a la lista de Sitios
bloqueados temporalmente.
4. Para crear un mensaje de registro para cada transaccin, seleccione la casilla de verificacin Activar
registros de informes.
Debe seleccionar esta opcin para obtener informacin detallada sobre el trfico FTP.
una nueva accin.
Proxy FTP: Comandos
El FTP tiene un nmero de comandos para administrar archivos. Puede configurar reglas para establecer
lmites en algunos comandos FTP. Para establecer lmites en comandos que pueden usarse en un servidor
FTP protegido por Firebox, puede configurar la accin de proxy FTP Servidor.
La configuracin predeterminada del proxy FTP Servidor bloquea estos comandos:
ABOR* HELP* PASS* REST* STAT* USER*
APPE* LIST* PASV* RETR* STOR* XCUP*
CDUP* MKD* PORT* RMD* STOU* XCWD*
CWD* NLST* PWD* RNFR* SYST* XMKD*
DELE* NOOP* QUIT* RNTO* TYPE* XRMD*
Usar la accin de proxy FTP Cliente para establecer lmites en los comandos que pueden utilizar los usuarios
protegidos por Firebox cuando se conectan a servidores FTP externos. La configuracin predeterminada del
FTP Cliente es permitir todos los comandos FTP.
El usuario puede agregar, eliminar o modificar reglas. En general no deben bloquearse estos comandos ya
que son necesarios para que el protocolo FTP funcione correctamente.
Comando
de
protocolo
Comando
cliente
Descripcin
USUARIO n/a Enviado con nombre de inicio de sesin
PASS n/a Enviado con contrasea
PASV pasv Seleccionar modo pasivo para la transferencia de datos
SYST syst
Imprimir el sistema operativo y la versin del servidor. Los clientes FTP utilizan
esta informacin para interpretar y mostrar correctamente una pantalla de
respuestas del servidor.
Gua del Usuario 397
Para agregar, eliminar o modificar reglas:
1. En el rbol Categoras, seleccione Comandos.
una nueva accin.
FTP DNS: Contenido
El usuario puede controlar el tipo de archivos que el proxy FTP permite para cargas y descargas. Por
ejemplo, debido a que muchos hackers utilizan archivos ejecutables para implementar virus o gusanos en
un equipo, el usuario podra denegar solicitudes de archivos *.exe. O bien, si no dese permitir que los
usuarios carguen archivos de Windows Media a un servidor FTP, puede agregar *.wma a la definicin de
proxy y especificar que estos archivos se rechazan. Utilice el asterisco (*) como carcter comodn.
Utilice la accin de proxy FTP Servidor para controlar las reglas para un servidor FTP protegido por Firebox.
Utilice la accin de proxy FTP Cliente para definir reglas para los usuarios que se conectan a servidores FTP
externos.
1. En el rbol Categoras, seleccione Cargar o Descargar.
3. Si desea que el Gateway AntiVirus escanee los archivos descargados para detectar virus, configure
uno o ms campos Acciones que realizar en Escaneo de AV.
4. Si desea cambiar la configuracin de una o ms categoras de este proxy, acceda a los temas en la
siguiente categora que desea modificar.
una nueva accin.
Proxy FTP: AntiVirus
Si ha adquirido y activado la funcin de AV de puerta de enlace, los campos en la categora AntiVirus
definen las acciones necesarias si se detecta un virus en un archivo que se carga o descarga.
n Para usar las pantallas de definicin de proxy para activar el Gateway AntiVirus, consulte Activar
Gateway AntiVirus desde las definiciones de proxy en la pgina 1088.
n Parausar el menServicios de suscripcinenel Policy Manager paraactivar el Gateway AntiVirus,
consulte Activeel Gateway AntiVirus medianteun asistentedesdeel Policy Manager enlapgina1085.
n Para configurar el Gateway AntiVirus para el proxy FTP, consulte Configurar acciones del Gateway
AntiVirus en la pgina 1089.
Cuando se activa el Gateway AntiVirus, deben definirse las acciones que se tomarn si se detecta un virus o
un error en un archivo cargado o descargado. Las opciones para acciones de antivirus son:
Permitir
Permitir que el paquete se enve al receptor, aunque el contenido incluya un virus.
Denegar
Rechazar el archivo y enviar un mensaje de negacin.
Descartar
Descartar el paquete y descartar la conexin. No se enva informacin al origen del mensaje.
Bloqueo
Se bloquea el paquete y se agrega la direccin IP del remitente a la lista de sitios bloqueados.
El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes especfico. Todos los bytes adicionales
en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin
ocasionar un efecto considerable en el rendimiento. Ingrese el lmite de escaneo de archivos en el campo
Limitar el escaneo a primero
Para obtener informacin sobre los lmites de escaneo predeterminados y mximos para cada modelo de
dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus en la pgina 1094.
Pgina Acerca de ALG H.323
Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar una ALG (puerta de enlace de la capa
de aplicacin) H.323 o SIP (Protocolo de inicio de sesin) para abrir los puertos necesarios para activar VoIP
a travs del dispositivo WatchGuard. Una ALG se crea del mismo modo que una poltica de proxy y ofrece
opciones de configuracin similares. Estas ALG se han creado para funcionar en un entorno NAT para
mantener la seguridad en equipos de conferencias con direcciones privadas protegidos por el dispositivo
WatchGuard.
Gua del Usuario 399
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz ms antiguos. SIP es un
estndar ms nuevo que es ms comn en entornos hospedados, donde slo dispositivos extremos como
telfonos estn hospedados en la ubicacin de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar qu ALG
agregar, consulte la documentacin para los dispositivos o aplicaciones VoIP.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa mediante el uso de:
Conexiones punto a punto
En una conexin punto a punto, cada uno de los dos dispositivos conoce la direccin IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrs de Firebox,
ste puede enrutar el trfico de llamada correctamente.
Conexiones hospedadas
Conexiones hospedadas por un sistema de gestin de llamadas (PBX)
Con H.323, el componente clave de la gestin de llamadas se conoce como gatekeeper. Un gatekeeper
gestiona las llamadas VoIP para un grupo de usuarios y puede encontrarse en una red protegida por el
dispositivo WatchGuard o en una ubicacin externa. Por ejemplo, algunos proveedores VoIP hospedan un
gatekeeper en la red a la que el usuario debe conectarse antes de que ste pueda realizar una llamada
VoIP. Otras soluciones requieren que el usuario configure y mantenga un gatekeeper en su red.
La coordinacin del gran nmero de componentes de una instalacin VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una ALG H.323, el dispositivo WatchGuard:
n Responde automticamente a aplicaciones VoIP y abre los puertos adecuados.
n Se asegura de que las conexiones VoIP usen protocolos H.323 estndar.
n Genera mensajes de registro con fines de auditora.
Muchos dispositivos y servidores VoIP utilizan NAT (traduccin de direccin de red) para abrir y cerrar
puertos automticamente. Las ALG H.323 y SIP tambin cumplen esta funcin. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP.
Pestaa Poltica
n Las conexiones ALG-H.323 estn: especifica si las conexiones estn Permitidas, Negadas o Negadas
(enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa Poltica de la
definicin de ALG).
Para ms informaciones, vea Definir reglas de acceso a una poltica en la pgina 356.
n Usar el enrutamientobasado enla poltica : si desea utilizar el enrutamientobasado enla polticaen
ladefinicin de proxy, consulte Configurar el enrutamiento basado en la poltica enla pgina359.
Para ms informaciones, vea Acerca de la NAT esttica en la pgina 177 y Configurar Balance de
Pestaa Propiedades
servidor.
la pgina 376.
(enviar restablecer), se pueden bloquear sitios que intentan usar DNS.
pgina 494.
autenticacin, Configurar un tiempo de espera inactivo personalizado.
1.
Haga clic en .
n ALG H.323: Configuraciones generales
n ALG H.323: Control de acceso
n ALG H.323: Codecs negados
Pestaa Avanzada
Tambin puede usar estas opciones en la definicin de proxy:
ALG H.323: Configuraciones generales
En la pgina Configuracin general, pueden definirse opciones de seguridad y rendimiento para la ALG
(puerta de enlace de la capa de aplicacin) H.323.
Gua del Usuario 401
Activar proteccin de cosecha de directorio.
Seleccione esta casilla de verificacin para impedir que los atacantes roben informacin de usuarios
a gatekeepers VoIP protegidos por Firebox. Esa opcin es activada por defecto.
Sesiones mximas
Utilice esta funcin para restringir el nmero mximo de sesiones de audio o video que pueden
crearse con una nica llamada VoIP. Por ejemplo, si el usuario define el nmero de sesiones
mximas en una y participa en una llamada VoIP con audio y video, la segunda conexin se descarta.
El valor predeterminado es dos sesiones y el valor mximo es cuatro sesiones. Firebox crea una
entrada de registro cuando niega una sesin multimedia por encima de este nmero.
Informacin del agente usuario
Ingrese una nueva cadena de agente usuario en el cuadro de texto Reescribir agente usuario como
para que el trfico H.323 saliente se identifique como un cliente especificado por el usuario. Para
eliminar el agente usuario falso, desmarque el cuadro de texto.
Tiempos de espera
Cuando no se envan datos durante un perodo determinado en un canal VoIP de audio, video o
datos, Firebox cierra esa conexin de red. El valor predeterminado es 180 segundos (tres minutos) y
el valor mximo es 3600 segundos (60 minutos). Para especificar un intervalo de tiempo diferente,
ingrese el nmero en segundos en el cuadro de texto Canales de medios inactivos.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por la ALG H.323. Esta opcin es necesaria para crear informes precisos
sobre el trfico H.323 y est activada de manera predeterminada.
ALG H.323: Control de acceso
En la pgina Control de acceso de la configuracin de la ALG (puerta de enlace de la capa de aplicacin)
H.323, se puede crear una lista de usuarios que tienen permitido enviar trfico de red VoIP.
Activar control de acceso para VoIP
Seleccione esta casilla de verificacin para activar la funcin de control de acceso. Cuando est
activada, la ALG H.323 permite o restringe llamadas segn las opciones configuradas.
Configuracin predeterminada
Seleccione la casilla de verificacin Iniciar llamadas VoIP para permitir que todos los usuarios VoIP
inicien llamadas de manera predeterminada.
Seleccione la casilla de verificacin Recibir llamadas VoIP para permitir que todos los usuarios VoIP
reciban llamadas de manera predeterminada.
Seleccione la casilla de verificacin adyacente Registro para crear un mensaje de registro para cada
conexin VoIP H.323 iniciada o recibida.
Niveles de acceso
Para crear una excepcin a la configuracin predeterminada especificada anteriormente, ingrese un
nombre de host, una direccin IP o una direccin de correo electrnico. Seleccione un nivel de
acceso en la lista desplegable adyacente y luego haga clic en Agregar. Se puede permitir que los
usuarios inicien llamadas nicamente, reciban llamadas nicamente, inicien y reciban llamadas o
denegarles el acceso VoIP. Estas configuraciones se aplican slo al trfico VoIP H.323.
Si desea eliminar una excepcin, seleccinela en la lista y haga clic en Eliminar.
Gua del Usuario 403
Las conexiones realizadas por usuarios que tienen una excepcin de nivel de acceso se registran de
manera predeterminada. Si no desea registrar conexiones realizadas por un usuario con una
excepcin de nivel de acceso, desmarque la casilla Registro adyacente al nombre de la excepcin
en la lista.
ALG H.323: Codecs negados
En la pgina Codecs negados, se pueden definir los codecs VoIP de voz, video y transmisin de datos que
desea negar en la red.
Lista de codecs negados
Utilice esta funcin para denegar uno o ms codecs VoIP. Cuando se abre una conexin VoIP H.323
que usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexin
automticamente. Esta lista est vaca de manera predeterminada. Recomendamos agregar un
codec a esta lista si consume demasiado ancho de banda, presenta un riesgo de seguridad o si es
necesario lograr que la solucin VoIP funcione correctamente. Por ejemplo, pude optar por negar
los codecs G.711 o G.726 porque usan ms de 32 Kb/seg de ancho de banda o puede optar por
negar el codec Speex porque es utilizado por un codec VoIP no autorizado.
Para agregar un codec a la lista, ingrese el nombre del codec o el patrn de texto nico en el cuadro
de texto y haga clic en Agregar. No use caracteres comodn ni sintaxis de expresin regular. Los
patrones codec distinguen maysculas de minsculas.
Para borrar un codec de la lista, seleccinelo y haga clic en Eliminar.
Registrar cada transaccin que coincide con un patrn codec negado
Seleccione esta opcin para que Firebox cree una entrada de registro cuando niega el trfico H.323
que coincide con un codec de esta lista.
Pgina Acerca de Proxy HTTP
El protocolo de transferencia de hipertexto (HTTP) es un protocolo de solicitud/respuesta entre clientes y
servidores. El cliente HTTP en general es un explorador web. El servidor HTTP es un recurso remoto que
almacena archivos HTML, imgenes y otro contenido. Cuando el cliente HTTP inicia una solicitud, establece
una conexin del TCP (Protocolo de control de transmisin) en el puerto 80. Un servidor HTTP escucha
solicitudes en el puerto 80. Cuando recibe la solicitud del cliente, el servidor responde con el archivo
solicitado, un mensaje de error o alguna otra informacin.
El proxy HTTP es un filtro de contenido de alto rendimiento. Examina el trfico web para identificar
contenido sospechoso que puede ser un virus u otro tipo de intrusin. Tambin puede proteger de ataques
a su servidor HTTP.
Con un filtro de proxy HTTP, es posible:
n Ajuste los tiempos de espera y los lmites de duracin de las solicitudes y respuestas HTTP para
evitar el mal desempeo de la red, como tambin varios ataques.
n Personalizar el deny message que los usuarios ven cuando intentan conectarse a un sitio web
bloqueado por el proxy HTTP.
n Filtrar tipos MIME de contenido web.
n Bloquear patrones de ruta y URL especificados.
n Negar cookies de sitios web especificados.
Tambin se puede usar el proxy HTTP con la suscripcin de seguridad WebBlocker. Para ms informacin,
vea Acerca de las WebBlocker en la pgina 981.
El proxy TCP/UDP est disponible para protocolos en puertos no estndares. Cuando HTTP utiliza un puerto
que no es el puerto 80, el proxy TCP/UDP enva el trfico al proxy HTTP. Para obtener informacin sobre el
proxy TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 461.
Para agregar el proxy HTTP a la configuracin del dispositivo Firebox o XTM, consulte Agregar una poltica
de proxy a la configuracin en la pgina 383.
Utilice el cuadro de dilogo Nuevas/Editar polticas de proxy para modificar una poltica de proxy. Este
cuadro de dilogo tiene tres pestaas: Poltica, Propiedades y Avanzado. En la pestaa Propiedades,
tambin pueden editarse los conjuntos de reglas predeterminados para acciones de proxy. Para ms
informacin, vea Acerca de las acciones de proxy en la pgina 376.
Gua del Usuario 405
Pestaa Poltica
n Las conexiones HTTP Servidor proxy estnEspecifique si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y seleccione los usuarios, equipos o redes que aparecen en las listas
Desde y Hasta (en la pestaa Poltica de la definicin de proxy). Para ms informacin, vea Definir
reglas de acceso a una poltica en la pgina 356.
n Usar el enrutamiento basado en polticasPara utilizar el enrutamiento basado en polticas en la
definicin de proxy, consulte Configurar el enrutamiento basado en la poltica en la pgina 359.
Para ms informacin, vea Acerca de la NAT esttica en la pgina 177 y Configurar Balance de carga
en el servidor en la pgina 179.
Pestaa Propiedades
servidor.
la pgina 376.
n Para definir el registro para una poltica, haga clic en Generacin de registros y Determinar
preferencias de registro y notificacin .
(enviar restablecer), se pueden bloquear los dispositivos que intentan conectarse por el puerto 80.
Para ms informacin, vea Bloquear sitios temporalmente con configuracin de polticas en la
pgina 494.
n Si desea utilizar un tiempo de espera inactivo distinto del especificado por el dispositivo Firebox o
XTMo el servidor de autenticacin, Configurar un tiempo de espera inactivo personalizado.
reglas segn sea necesario.
1. Haga clic en .
n Solicitud de HTTP: Configuraciones generales
n Solicitud de HTTP: Mtodos de solicitud
n Solicitud de HTTP: Rutas de URL
n Solicitud de HTTP: Campos de encabezado
n Solicitud de HTTP: Autorizacin
n Respuesta HTTP: Configuraciones generales
n Respuesta HTTP: Campos de encabezado
n Respuesta HTTP: Tipo de contenido
n Respuesta HTTP: Cookies
n Respuesta HTTP: Tipos de contenido del cuerpo
n Proxy HTTP Excepciones
n Proxy HTTP:WebBlocker
n Proxy HTTP:Application Blocker
n Proxy HTTP: AntiVirus
n Proxy HTTP: Intrusion Prevention
n Proxy HTTP: Mensaje de negacin
n Use un servidor proxy de cach
Pestaa Avanzada
Gua del Usuario 407
Solicitud de HTTP: Configuraciones generales
En la pgina Configuracin general, se pueden definir los parmetros HTTP bsicos como el tiempo de
espera inactivo y la extensin de URL.
Seleccione esta casilla de verificacin para cerrar la conexin TCP para el HTTP cuando no hayan
pasado paquetes a travs de la conexin TCP durante el perodo especificado. En el campo
adyacente, ingrese o seleccione la cantidad de minutos antes de que el proxy se desconecte. Esta
opcin controla el rendimiento. Dado que toda sesin de TCP utiliza una pequea cantidad de
memoria en Firebox y los exploradores y servidores no siempre cierran las sesiones HTTP
correctamente, se recomienda mantener esta casilla de verificacin seleccionada. Esto garantiza
que las conexiones TCP agotadas se cierren y ayuda a Firebox a ahorrar memoria. El usuario puede
bajar el tiempo de espera a cinco minutos y no reducir los estndares de rendimiento.
Extensin de ruta de URL
Define el nmero mximo de caracteres permitidos en una URL. En esta rea del proxy, URL incluye
a todo lo que compone a la direccin web despus del dominio de nivel superior. Esto incluye el
carcter diagonal pero no el nombre de host (www.miejemplo.com o miejemplo.com). Por ejemplo,
la URL www.miejemplo.com/productos cuenta diez caracteres para este lmite porque /productos
tiene diez caracteres.
El valor predeterminado de 2048 en general es suficiente para cualquier URL solicitado por un
equipo detrs de Firebox. Una URL que es muy larga puede indicar un intento de comprometer a un
servidor web. La extensin mnima es de 15 bytes. Se recomienda mantener esta configuracin
activada con las configuraciones predeterminadas. Esto ayuda a protegerse contra clientes web
infectados en las redes que protege el proxy HTTP.
Solicitudes de rango
Seleccione esta casilla de verificacin para permitir solicitudes de rango a travs de Firebox. Las
solicitudes de rango permiten a un cliente solicitar subconjuntos de bytes en un recurso web en
lugar del contenido completo. Por ejemplo, si desea slo algunas secciones de un archivo Adobe
grande pero no el archivo completo, la descarga se realiza ms rpido e impide la descarga de
pginas innecesarias si puede solicitar slo lo que necesita.
Las solicitudes de rango introducen riesgos de seguridad. El contenido malicioso puede ocultarse en
cualquier parte de un archivo y una solicitud de rango permite la posibilidad de que cualquier
contenido se divida a travs de lmites de rango. El proxy puede fallar en detectar un patrn que
est buscando cuando el archivo abarca dos operaciones GET. Si el usuario tiene una suscripcin al
Gateway AntiVirus (AV de puerta de enlace) o al Intrusion Prevention Service (IPS) basado en firmas
y activa cualquiera de esos servicios de suscripcin, Fireware niega las solicitudes de rango
independientemente de si esta casilla de verificacin est seleccionada.
Se recomienda no seleccionar esta casilla de verificacin si las reglas definidas en la seccin Tipos de
contenido de cuerpo del proxy estn diseadas para identificar firmas de byte en todo el archivo y
no slo en su encabezado.
Seleccione la casillade verificacinRegistrar esta accin si desea agregar un mensaje de registrode
trficocuando el proxy realizala accinindicada enla casillade verificacinpara solicitudes de rango.
proxy HTTP en informes.
Solicitud de HTTP: Mtodos de solicitud
La mayora de las solicitudes HTTP del explorador se encuentran en una de dos categoras: operaciones GET
o POST. Los exploradores en general usan operaciones GET para descargar objetos como un grfico, datos
HTML o datos Flash. Un equipo cliente en general enva ms de un GET para cada pgina, porque las pginas
web normalmente contienen muchos elementos diferentes. Los elementos se combinan para crear una
pgina que aparece como una pgina al usuario final.
Gua del Usuario 409
Los exploradores en general usan operaciones POST para enviar datos a un sitio web. Muchas pginas web
obtienen informacin del usuario final como ubicacin, direccin de correo electrnico y nombre. Si se
desactiva el comando POST, Firebox niega todas las operaciones POST a servidores web en la red externa.
Esta funcin puede impedir que los usuarios enven informacin a un sitio web en la red externa.
Autora y Versionado distribuido basado en Web (webDAV) es un conjunto de extensiones HTTP que
permite a los usuarios editar y administrar archivos en servidores web remotos. WebDAV es compatible
con Outlook Web Access (OWA). Si las extensiones webDAV no estn habilitadas, el proxy HTTP admite
estos mtodos de solicitud: HEAD, GET, POST, OPTIONS, PUT y DELETE. Para HTTP Servidor, el proxy admite
estos mtodos de solicitud de manera predeterminada: HEAD, GET y POST. El proxy tambin incluye estas
opciones (desactivadas de manera predeterminada): OPTIONS, PUT y DELETE.
1. En el rbol Categoras, seleccione Solicitud HTTP> Mtodos de solicitud.
2. SeleccionelacasilladeverificacinActivarwebDAVsi deseaquelosusuariosusenestaextensin.
Tambinestndisponiblesmuchasextensionesal protocolowebDAVbase.SiseactivawebDAVdesdela
casilladeverificacinadyacente,seleccionesi deseaactivarslolasextensionesdescritasenRFC2518osi
deseaincluirunconjuntoadicionaldeextensionesparamaximizarlainteroperabilidad.
6. Si modific una accin de proxy predefinida, debe clonar (copiar) la configuracin a una nueva
accin.
Solicitud de HTTP: Rutas de URL
Una URL (localizador uniforme de recursos) identifica un recurso en un servidor remoto e indica la
ubicacin de la red en ese servidor. La ruta de URL es la cadena de informacin que sigue al domain name
de nivel superior. Se puede usar el proxy HTTP para bloquear sitios web que contienen texto especificado
en la ruta de URL. El usuario puede agregar, eliminar o modificar patrones de ruta de URL. Los siguientes
son ejemplos de cmo bloquear contenido con rutas de URL de solicitud HTTP.
n Para bloquear todas las pginas que tienen el nombre de host www.prueba.com, ingrese el patrn:
www.prueba.com*.
n Para bloquear todas las rutas que contienen la palabra sexo, en todos los sitios web: *sexo*
n Para bloquear rutas de URL que terminan en *.prueba, en todos los sitios web: *.prueba
Nota Si se filtran URL con el conjunto de reglas de la ruta de URL de solicitud HTTP, se
debe configurar un patrn complejo que usa sintaxis de expresin regular
completa de la vista avanzada de un conjunto de reglas. Es ms fcil y se obtienen
mejores resultados al filtrar segn el encabezado o el tipo de contenido del cuerpo
que al filtrar por ruta de URL.
1. En el rbol Categoras, seleccione Rutas de URL.
3. Si desea cambiar la configuracin de otras categoras de este proxy, consulte el tema en la siguiente
categora que desea modificar.
accin.
Gua del Usuario 411
Solicitud de HTTP: Campos de encabezado
Este conjunto de reglas provee filtrado de contenido para todo el encabezado HTTP. De manera
predeterminada, el proxy HTTP utiliza reglas de coincidencia exacta para extraer encabezados A travs de y
Desde y permite todos los dems encabezados. Este conjunto de reglas hace coincidir el encabezado
completo, no slo el nombre.
Para hacer coincidir todos los valores de un encabezado, ingrese el patrn: [nombre del encabezado]:*.
Para hacer coincidir slo algunos valores de un encabezado, reemplace el comodn de asterisco (*) por un
patrn. Si el patrn no comienza con un comodn de asterisco (*), incluya un espacio entre los dos puntos y
el patrn cuando ingrese datos en el cuadro de texto Patrn. Por ejemplo, ingrese: [nombre del
encabezado]: [patrn] y no [nombre del encabezado]: [patrn].
Las reglas predeterminadas no extraen el encabezado Referer (referencia), pero s incluyen una regla
desactivada para extraer este encabezado. Para activar la regla, seleccione Cambiar vista. Algunos
exploradores web y aplicaciones de software deben usar el encabezado Referer para funcionar
correctamente.
1. En el rbol Categoras, seleccione Campos de encabezado.
accin.
Solicitud de HTTP: Autorizacin
Esta regla define los criterios para el filtrado de contenido de los campos de autorizacin del encabezado de
solicitud HTTP. Cuando un servidor web inicia un desafo WWW-Autenticar, enva informacin acerca de los
mtodos de autenticacin que puede usar. El proxy pone lmites en el tipo de autenticacin enviado en una
solicitud. Utiliza slo los mtodos de autenticacin aceptados por el servidor web. Con una configuracin
predeterminada, Firebox permite la autenticacin Basic, Digest, NTLMy Passport1.4 y extrae todas las
dems autenticaciones. El usuario puede agregar, eliminar o modificar reglas en el conjunto de reglas
predeterminado.
1. En el rbol Categoras, seleccione Autorizacin.
accin.
Respuesta HTTP: Configuraciones generales
Se usan los campos Configuracin general para configurar parmetros HTTP bsicos como el tiempo de
espera inactivo y los lmites de extensin total y de lnea.
1. En el rbol Categoras, seleccione Configuracin general.
2. Para configurar lmites para parmetros HTTP, seleccione las casillas de verificacin
correspondientes. Utilice las flechas para definir los lmites:
Determinar el tiempo de espera en
Controla cunto tiempo el proxy HTTP de Firebox espera para que el servidor web enve la
pgina web. Cuando un usuario hace clic en un hipervnculo o ingresa una URL en un
explorador web, enva una solicitud HTTP a un servidor remoto para obtener contenido. En
la mayora de los exploradores, en la barra de estado aparece un mensaje similar a
Contactando sitio.... Si el servidor remoto no responde, el cliente HTTP contina enviando la
solicitud hasta que recibe una respuesta o hasta que la solicitud ingresa en tiempo de espera.
Durante este tiempo, el proxy HTTP contina controlando la conexin y usa recursos de red
valiosos.
Determinar la extensin mxima de URL en
Controla la extensin mxima permitida de una lnea de caracteres en encabezados de
respuesta HTTP. Utilice esta propiedad para proteger a sus equipos contra explotaciones por
fallas en la memoria intermedia. Dado que los URL para muchos sitios de comercio
continan aumentando la extensin con el tiempo, es posible que en el futuro deba ajustar
este valor.
Determinar extensin total mxima
Controla la extensin mxima de los encabezados de respuesta HTTP. Si la extensin total del
encabezado es superior a este lmite, la respuesta HTTP se niega.
Gua del Usuario 413
accin.
Respuesta HTTP: Campos de encabezado
Este conjunto de reglas controla cules campos de encabezado de respuesta HTTP permite Firebox. El
usuario puede agregar, eliminar o modificar reglas. Muchos de los encabezados de respuesta HTTP que
estn permitidos en la configuracin predeterminada se describen en RFC 2616. Para obtener ms
informacin, consulte http://www.ietf.org/rfc/rfc2616.txt.
1. En el rbol Categoras, seleccione Campos de encabezado.
accin.
Respuesta HTTP: Tipo de contenido
Cuando un servidor web enva trfico HTTP, en general agrega un tipo MIME o tipo de contenido al
encabezado del paquete que muestra el tipo de contenido que incluye el paquete. El encabezado HTTP en
el tren de datos contiene este tipo MIME. Se agrega antes de enviar los datos.
Ciertos tipos de contenido que los usuarios solicitan a sitios web pueden ser una amenaza para la seguridad
de la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. De manera
predeterminada, Firebox permite algunos tipos de contenido seguros y niega contenido MIME que no tiene
un tipo de contenido especificado. El proxy HTTP incluye una lista de tipos de contenido comnmente
utilizados que pueden agregarse al conjunto de reglas. Tambin puede agregar, eliminar o modificar las
definiciones.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imgenes JPEG, debe agregar
imagen/jpg a la definicin de proxy. Tambin puede usar el asterisco (*) como comodn. Para permitir
cualquier formato de imagen, se agrega imagen/*.
Para una lista de tipos de MIME registrados y actualizados, consulte
http://www.iana.org/assignments/media-types.
Agregar, eliminar o modificar tipos de contenido
1. En el rbol Categoras, seleccione Tipos de contenido.
3. Para agregar tipos de contenido, haga clic en el botn Predefinido.
Aparece el cuadro de dilogo Seleccionar tipo de contenido.
4. Seleccione el tipo o los tipos que desea agregar y haga clic en OK.
Los nuevos tipos aparecen en el cuadro Reglas.
5. Si desea cambiar la configuracin de una o ms categoras de este proxy, acceda al tema en la
accin.
Permitir sitios web con tipo de contenido faltante
De manera predeterminada, Firebox niega el contenido MIME que no tiene tipo de contenido especificado.
En la mayora de los casos, se recomienda mantener esta configuracin predeterminada. Los sitios que no
proveen tipos MIME legtimos en sus respuestas HTTP, no cumplen con las recomendaciones RFC y podran
ocasionar un riesgo de seguridad. Sin embargo, algunas organizaciones necesitan que sus empleados
accedan a sitios web que no tienen un tipo de contenido especificado.
Debe asegurarse de cambiar laconfiguracinde proxy de lapolticaopolticas correctas. El cambiopuede
aplicarse acualquier polticaque use unaaccinde proxy HTTP cliente. Puede tratarse de unapolticade proxy
HTTP, lapolticaSaliente (que tambinaplicaunaaccinde proxy de cliente HTTP) olapolticaTCP-UDP.
2. Haga clic en Cambiar vista.
3. En la lista Reglas, seleccione la casilla de verificacin adyacente a la regla Permitir (ninguno).
Gua del Usuario 415
Respuesta HTTP: Cookies
Las cookies HTTP son pequeos archivos de texto alfanumrico que los servidores web ponen en los
clientes web. Las cookies controlan la pgina en la que est un cliente web para permitir al servidor web
enviar ms pginas en la secuencia correcta. Los servidores web tambin usan cookies para reunir
informacin acerca de un usuario final. Muchos sitios web usan cookies para autenticacin y otras funciones
legtimas y no pueden funcionar correctamente sin cookies.
El proxy HTTP concede al usuario el control de las cookies en respuestas HTTP. Puede configurar reglas para
extraer cookies, segn sus requisitos de red. La regla predeterminada para la accin de proxy HTTP Servidor
y HTTP Cliente permite todas las cookies. El usuario puede agregar, eliminar o modificar reglas.
El proxy busca paquetes segn el dominio asociado con la cookie. El dominio puede especificarse en la
cookie. Si la cookie no contiene un dominio, el proxy usa el nombre de host en la primera solicitud. Por
ejemplo, para bloquear todas las cookies para nosy-adware-site.com, use el patrn: *.nosy-adware-
site.com. Si desea rechazar cookies de todos los subdominios en un sitio web, use el smbolo comodn (*)
antes y despus del dominio. Por ejemplo, *google.com* bloquea todos los subdominios de google.com,
como images.google.com y mail.google.com.
Cambiar configuraciones para cookies
1. En el rbol Categoras, seleccione Cookies.
3. Si desea cambiar la configuracin de una o ms categoras de este proxy, acceda a los temas en la
accin.
Respuesta HTTP: Tipos de contenido del cuerpo
Este conjunto de reglas concede al usuario el control del contenido en una respuesta HTTP. Firebox est
configurado para denegar bytecodes Java, archivos Zip, archivos Windows EXE/DLL y archivos Windows
CAB. La accin de proxy predeterminada para solicitudes HTTP (HTTP Cliente) salientes permite todos los
dems tipos de contenido de cuerpo de la respuesta. El usuario puede agregar, eliminar o modificar reglas.
Se recomienda examinar los tipos de archivos que se usan en la empresa y permitir slo los tipos de
archivos que son necesarios para la red.
1. En el rbol Categoras, seleccione Tipos de contenido de cuerpo.
accin.
Proxy HTTP Excepciones
Para ciertos sitios web, se pueden usar excepciones de proxy HTTP para derivar las reglas de proxy HTTP,
pero no derivar el marco de proxy. El trfico que coincide con las excepciones de proxy HTTP an atraviesa
la administracin de proxy estndar utilizada por el proxy HTTP. Sin embargo, cuando ocurre una
coincidencia, algunas configuraciones de proxy no se incluyen.
Configuraciones de proxy no incluidas
Estas configuraciones no estn incluidas:
n Solicitud de HTTP: solicitudes de rango, extensin de la ruta de URL, todos los mtodos de solicitud,
todas las rutas de URL, encabezados de solicitud*, coincidencia del patrn de autorizacin
n RespuestadeHHTP:encabezadosderespuesta*,tiposdecontenido,cookies,tiposdecontenidodel
cuerpo
*Los encabezados de solicitud y los encabezados de respuesta son analizados por el proxy HTTP an cuando
el trfico coincide con la excepcin de proxy HTTP. Si no ocurre un error de anlisis, se permiten todos los
encabezados. Adems, el escaneo de antivirus, el escaneo IPS y WebBlocker no se aplican al trfico que
coincide con una excepcin de proxy HTTP.
Configuraciones de proxy incluidas
Estas configuraciones estn incluidas:
n Solicitud de HTTP: tiempo de espera inactivo
n Respuesta de HTTP: tiempo de espera inactivo, lmite de extensin mxima de la lnea, lmite de
extensin total mxima
An se aplica todo el anlisis del cifrado de transferencia para permitir al proxy determinar el tipo de
cifrado. El proxy HTTP niega todo el cifrado de transferencia no vlido o malformado.
Gua del Usuario 417
Definir excepciones
El usuario puede agregar nombres de host o patrones como excepciones de proxy HTTP. Por ejemplo, si
bloquea todos los sitios web terminados en .prueba pero desea permitir que los usuarios visiten el sitio
www.abc.prueba, puede agregar www.abc.prueba como una excepcin de proxy HTTP.
El usuario especifica la direccin IP o el domain name de los sitios que desea permitir. El domain name (o
host) es la parte de un URL que termina en .com, .net, .org, .biz, .gov o .edu. Los domain names tambin
pueden terminar en un cdigo de pas, como .de (Alemania) o .jp (Japn).
Para agregar un domain name, ingrese el patrn de URL sin el inicio "http://". Por ejemplo, para permitir
que los usuarios visiten el sitio web Ejemplo http://www.ejemplo.com, ingrese
http://www.ejemplo.com. Si desea permitir todos los subdominios que contienen
http://www.ejemplo.com, puede usar el asterisco (*) como carcter comodn. Por ejemplo, para permitir
que los usuarios visiten www.ejemplo.com y soporte.ejemplo.com, ingrese *.ejemplo.com.
1. En el rbol Categoras, seleccione Excepciones de Proxy HTTP.
2. En el campo a la izquierda del botn Agregar, ingrese el nombre de host o el patrn del nombre de
host. Haga clic en Agregar. Repita estos pasos para otras excepciones que desee agregar.
3. Si desea agregar un mensaje de registro de trfico cada vez que el proxy HTTP realiza una accin en
una excepcin de proxy, seleccione la casilla de verificacin Registrar cada transaccin que
coincide con una excepcin de proxy HTTP.
accin.
Proxy HTTP:WebBlocker
El usuario puede asociar una configuracin de WebBlocker con el proxy HTTP para aplicar configuraciones
uniformes para el bloqueo de contenido de sitios web.
Elija una opcin para seleccionar una configuracin:
n Seleccione una configuracin en la lista desplegable.
n Haga clic en el botn adyacente para crear una nueva configuracin de WebBlocker.
Para ms informaciones, vea Acerca de las WebBlocker en la pgina 981 y Introduccin a WebBlocker en la
pgina 989.
Proxy HTTP:Application Blocker
Se puede asociar una configuracin del Application Blocker con el proxy HTTP para aplicar configuraciones
uniformes para la mensajera instantnea (IM) y el trfico de red punto a punto (P2P).
n Haga clic en el botn adyacente para crear una nueva configuracin del Application Blocker.
Para ms informaciones, vea Acerca de las configuraciones de Application Blocker en la pgina 379.
Proxy HTTP: AntiVirus
Si ha adquiridoy activadola funcinde Gateway AntiVirus, los campos enla categoraAntiVirus definenlas
acciones necesarias si se detectaun virus en unsitio webo cuandoFirebox nopuede escanear un sitioweb.
n Para usar el men Tareas en el Policy Manager para activar el Gateway AntiVirus, consulte Active el
Gateway AntiVirus mediante un asistente desde el Policy Manager en la pgina 1085.
n Para configurar el Gateway AntiVirus para el proxy HTTP, consulte Configurar acciones del Gateway
Cuando se activa el Gateway AntiVirus, se deben definir las acciones a seguir si se detecta un virus o un
error en una pgina web.
Las opciones para acciones de antivirus son:
Permitir
Descartar
Bloqueo
Proxy HTTP: Intrusion Prevention
Si ha adquirido y activado la funcin Intrusion Prevention, los campos en la categora Intrusion prevention
definen las acciones necesarias para detectar y detener intrusiones.
Aunque puede usar las pantallas de definicin de proxy para activar y configurar IPS, es ms fcil usar el
men de Servicios de suscripcin en el Policy Manager para tal fin. Para obtener ms informacin sobre
cmo proceder en este caso, consulte Activar Intrusion Prevention Service (IPS) en la pgina 1100.
Para usar las pantallas de IPS en la definicin de proxy HTTP, consulte Activar y configurar el Servicio de
Intrusion Prevention para TCP-UDP en la pgina 1109.
Gua del Usuario 419
Proxy HTTP: Mensaje de negacin
Cuando se niega el contenido, Firebox enva un deny message predeterminado que reemplaza al contenido
negado. El usuario puede cambiar el texto de dicho mensaje de negacin. Puede personalizar el deny
message con HTML estndar. Tambin puede usar caracteres Unicode (UTF-8) en el mensaje de negacin.
La primera lnea del deny message es un componente del encabezado HTTP. Debe incluir una lnea vaca
entre la primera lnea y el cuerpo del mensaje.
El usuario recibe un deny message de Firebox en el explorador web cuando realiza una solicitud que el
proxy HTTP no permite. Tambin recibe un deny message cuando la solicitud est permitida, pero el proxy
HTTP niega la respuesta del servidor web remoto. Por ejemplo, si un usuario intenta descargar un archivo
.exe y se ha bloqueado ese tipo de archivo, el usuario visualiza un deny message en el explorador web. Si el
usuario intenta descargar una pgina web que tiene tipo de contenido desconocido y la poltica de proxy
est configurada para bloquear tipos MIME desconocidos, el usuario visualiza un mensaje de error en el
explorador web.
El deny message predeterminado aparece en el campo Mensaje de negacin. Para cambiar este mensaje
por otro personalizado, utilice estas variables:
%(transaccin)%
Seleccione Solicitud o Respuesta para mostrar que lado de la transaccin caus la negacin del
paquete.
%(motivo)%
Incluye el motivo por el que Firebox neg el contenido.
%(mtodo)%
Incluye el mtodo de solicitud de la solicitud negada.
%(Host de URL)%
Incluye el nombre de host del servidor de la URL negada. Si no se incluy un nombre de host, se
incluye la direccin IP del servidor.
%(ruta de URL)%
Incluye el componente de la ruta del URL negado.
Para configurar un mensaje de negacin:
1. En el rbol Categoras, seleccione Mensaje de negacin.
2. En el cuadro de texto Mensaje de negacin, ingrese el mensaje de negacin.
accin.
Permitir actualizaciones de Windows a travs del proxy HTTP
Los servidores Windows Update identifican el contenido que entregan a un equipo como una transmisin
binaria genrica (como transmisin de octetos), la cual queda bloqueada por las reglas de proxy HTTP
predeterminadas. Para permitir actualizaciones de Windows a travs del proxy HTTP, se debe editar el
conjunto de reglas de proxy HTTP Cliente para agregar excepciones de proxy HTTP para los servidores
Gua del Usuario 421
Windows Update.
1. Asegrese de que Firebox permita conexiones salientes en el puerto 443 y el puerto 80.
Estos son los puertos que usan los equipos para contactar a los servidores Windows Update.
2. En el rbol Categoras, seleccione Excepciones de Proxy HTTP.
3. En el cuadro de texto a la izquierda del botn Agregar , ingrese o pegue cada uno de estos dominios
y haga clic en Agregar despus de cada uno:
windowsupdate.microsoft.com
download.windowsupdate.com
update.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
wustat.windows.com
v4.windowsupdate.microsoft.com
v5.windowsupdate.microsoft.com
4. Haga clic en OK para cerrar cada cuadro de dilogo de poltica y proxy.
Si an no puede descargar actualizaciones de Windows
Si tiene ms de una poltica de proxy HTTP, asegrese de agregar las excepciones HTTP a la poltica y accin
de proxy correctas.
Microsoft no limita las actualizaciones slo a estos dominios. Examine los registros de trfico negado a un
dominio de propiedad de Microsoft. Si no tiene un WatchGuard Log Server, ejecute Windows Update y
luego controle Mensajes de registro de Firebox (Control de trfico). Busque el trfico negado por el proxy
HTTP. La lnea de registro debe incluir el dominio. Agregue cualquier nuevo dominio de Microsoft a la lista
de excepciones de proxy HTTP y luego vuelva a ejecutar Windows Update.
Use un servidor proxy de cach
Dado que los usuarios pueden mirar los mismos sitios web con frecuencia, un servidor proxy de cach
aumenta la velocidad del trfico y disminuye el volumen de trfico en las conexiones de Internet externas.
Aunque el proxy HTTP en Firebox no sea de cach de contenido, es posible usar un servidor proxy de cach
externo. Todas las reglas de WebBlocker y proxy de Firebox continan teniendo el mismo efecto.
La conexin de Firebox con un servidor proxy es igual que con un cliente. Firebox cambia la funcin GET a:
GET / HTTP/1.1 a GET www.mydomain.com / HTTP/1.1 y la enva a un servidor proxy de cach. El servidor
proxy mueve esta funcin al servidor web en la funcin GET.
Para configurar un servidor proxy de cach externo:
1. Configure un servidor proxy externo, como Microsoft Proxy Server 2.0.
3. Haga doble clic en el cono para la poltica de proxy HTTP.
4. Haga clic en la pestaa Propiedades.
5. Haga clic en .
6. En el rbol Categoras, seleccione Usar Servidor de cach de Internet.
7. Seleccione la casilla de verificacin Usar servidor proxy de cach para el trfico HTTP.
8. Ingrese la direccin IP y el puerto para el servidor proxy de cach externo.
accin.
Pgina Acerca de Proxy HTTPS
HTTPS (Protocolo de transferencia de hipertexto sobre nivel de seguridad de la conexin, o HTTP sobre SSL)
es un protocolo de solicitud/respuesta entre clientes y servidores utilizado para comunicaciones y
transacciones seguras. El proxy HTTPS puede utilizarse para asegurar un servidor web protegido por Firebox
o para examinar el trfico HTTPS solicitado por clientes en su red. De manera predeterminada, cuando el
cliente HTTPS inicia una solicitud, establece una conexin TCP (protocolo de control de transmisin) en el
puerto 443. La mayora de los servidores HTTPS escuchan solicitudes en el puerto 443.
HTTPS es ms seguro que HTTP porque usa un certificado digital para cifrar y descifrar solicitudes de pgina
del usuario adems de las pginas reenviadas por el servidor web. Debido a que el trfico HTTPS est
cifrado, Firebox debe descifrarlo para poder examinarlo. Despus de examinar el contenido, Firebox cifra
el trfico con un certificado y lo enva al destino previsto.
El usuario puede exportar el certificado predeterminado creado por Firebox para esta funcin o importar
un certificado para que Firebox use. Si se usa el proxy HTTPS para examinar el trfico web solicitado por los
usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para
que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si se usa el
proxy HTTPS para asegurar un servidor web que acepta solicitudes de una red externa, se recomienda
importar el certificado del servidor web existente por la misma razn.
Cuando un cliente o servidor HTTPS usa un puerto distinto del puerto 443 en la empresa, se puede usar el
proxy TCP/UDP para retransmitir el trfico al proxy HTTPS. Para obtener informacin sobre el proxy
TCP/UDP, consulte Pgina Acerca de Proxy de TCP-UDP en la pgina 461.
Para agregar el proxy HTTPS a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
para acciones de proxy. Para ms informaciones, vea Acerca de las acciones de proxy en la pgina 376.
Pestaa Poltica
n Las conexiones HTTPS Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
o Negadas (enviar restablecer) y define el contenido de la lista Desde y Hasta (en la pestaa
Poltica de la definicin de proxy). Para ms informaciones, vea Definir reglas de acceso a una
Gua del Usuario 423
n Usar el enrutamiento basado en la poltica : para utilizar el enrutamiento basado en la poltica en la
n Tambin puede configurarse NAT esttica o el balance de carga en el servidor
. Para obtener ms informacin, consulte Acerca de la NAT esttica en la pgina 177 y Configurar
Balance de carga en el servidor en la pgina 179.
Pestaa Propiedades
y notificacin .
(enviar restablecer), se pueden bloquear sitios que intentan usar HTTPS. Para ms informaciones,
vea Bloquear sitios temporalmente con configuracin de polticas en la pgina 494.
1. Haga clic en .
n Proxy de HTTPS: Inspeccin de contenido
n Proxy de HTTPS: Nombres del certificado
n Proxy HTTPS: WebBlocker
n Proxy HTTPS: Configuracin
n Proxy y AV alarmas
Pestaa Avanzada
Proxy de HTTPS: Inspeccin de contenido
En la pgina Inspeccin de contenido, el usuario puede activar y configurar la inspeccin profunda de
contenido HTTPS.
Activar inspeccin profunda de contenido HTTPS
Cuando esta casilla de verificacin est seleccionada, Firebox descifra el trfico HTTPS, examina el
contenido y vuelve a cifrar el trfico con un nuevo certificado. La poltica de proxy HTTP que se elige
en esta pgina examina el contenido.
Nota Si otro tipo de trfico usa el puerto HTTPS, como el trfico SSL VPN, se
recomienda evaluar esta opcin con atencin. El proxy de HTTPS intenta examinar
todo el trfico en el puerto 443de TCP de la misma manera. Para asegurarse de
que otras fuentes de trfico funcionen correctamente, se recomienda agregar esas
fuentes a la lista de derivacin. Para obtener ms informacin consulte la siguiente
seccin.
De manera predeterminada, Firebox genera automticamente el certificado utilizado para cifrar el
trfico. El usuario tambin puede cargar su propio certificado para usar con este fin. Si el sitio web
original o el servidor web tienen un certificado no vlido o con suscripcin propia o si el certificado
fue firmado por una CA que Firebox no reconoce, los clientes reciben una advertencia del
explorador acerca del certificado. Los certificados que no pueden volverse a firmar correctamente
aparecen como emitidos por el Proxy HTTPS Fireware: Certificado no reconocido o simplemente
Certificado no vlido.
Se recomienda importar el certificado que se usa, adems de cualquier otro certificado necesario
para que el cliente confe en ese certificado, en cada dispositivo cliente. Cuando un cliente no confa
automticamente en el certificado utilizado para la funcin de inspeccin de contenido, el usuario
recibe una advertencia en su explorador y servicios como Windows Update no funcionan
correctamente.
Gua del Usuario 425
Algunos programas de terceros guardan copias privadas de certificados necesarios y no usan el
almacenamiento de certificados del sistema operativo o transmiten otros tipos de datos a travs del
puerto TCP 443. Estos programas incluyen:
n Software de comunicaciones, como AOL Instant Messenger y Google Voice.
n Escritorio remoto y software de presentaciones, entre ellos LiveMeeting y WebEx.
n Software financiero y comercial, como ADP, iVantage, FedEx y UPS.
Si estos programas no tienen un mtodo para importar certificados de CA de confianza, no
funcionan correctamente cuando se activa la inspeccin de contenido. Comunquese con el
proveedor de software para obtener ms informacin acerca del uso de certificados o soporte
tcnico, o agregue a la lista de derivacin las direcciones IP de equipos que usan este software.
Para ms informaciones, vea Acerca de los certificados en la pgina 773 o Usar Certificados para el
proxy de HTTPS en la pgina 798.
Accin de proxy
Seleccione una poltica de proxy HTTP para que Firebox use cuando inspecciona contenido HTTPS
descifrado.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del proxy
de HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si agrega direcciones IP a la
lista de derivacin para la inspeccin de contenido, el trfico de esos sitios se filtra con las
configuraciones de WebBlocker del proxy HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la
pgina 981.
Usar OCSP para confirmar la validez de los certificados
Seleccione esta casilla de verificacin para que Firebox automticamente verifique las revocaciones
de certificados con OCSP (Protocolo de estado de certificado en lnea). Cuando esta funcin est
activada, Firebox usa informacin en el certificado para contactar a un servidor OCSP que mantiene
un registro del estado del certificado. Si el servidor OCSP responde que el certificado ha sido
revocado, Firebox desactiva el certificado.
Si selecciona esta opcin, puede ocurrir una demora de varios segundos mientras Firebox solicita
una respuesta del servidor OCSP. Firebox mantiene entre 300 y 3000 respuestas de OCSP en un
cach para mejorar el rendimiento para sitios web visitados con frecuencia. El modelo de Firebox
determina el nmero de respuestas guardadas en el cach.
Tratar los certificados que no puedan ser confirmados como no vlidos
Cuando esta opcin est seleccionada y un respondedor OCSP no enva una respuesta a una
solicitud de estado de revocacin, Firebox considera el certificado original como no vlido o
revocado. Esta opcin puede hacer que los certificados se consideren no vlidos si hay un error de
enrutamiento o un problema con la conexin de red.
Lista de derivacin
Firebox no inspecciona contenido enviado hacia o desde direcciones IP en esta lista. Para agregar
un sitio web o nombre de host, ingrese la direccin IP en el cuadro de texto y haga clic en el botn
Agregar.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del proxy
de HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si agrega direcciones IP a la
lista de derivacin para la inspeccin de contenido, el trfico de esos sitios se filtra con las
configuraciones de WebBlocker del proxy HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la
pgina 981.
Se puede usar el botn Bsqueda DNS para encontrar rpidamente la direccin IP de un sitio web o
nombre de host.
1. Haga clic en el botn Bsqueda de DNS.
2. Ingrese el domain name o nombre de host y haga clic en Buscar. Si el domain name o nombre de
host es vlido, las direcciones IP se muestran en la lista siguiente.
3. Seleccione la casilla de verificacin junto a cada direccin IP que desea agregar y haga clic en OK.
4. Para seleccionar todas o ninguna de las direcciones IP, haga clic en la casilla de verificacin en la
parte superior de la lista.
Proxy de HTTPS: Nombres del certificado
Los nombres del certificado se usan para filtrar contenido para un sitio completo. Firebox permite o niega
el acceso a un sitio si el dominio de un certificado HTTPS coincide con una entrada en esta lista.
Por ejemplo, si desea negar el trfico desde cualquier sitio en el dominio ejemplo.com, agregue una regla
de nombre de certificado con el patrn *.ejemplo.com y defina la accin Si coincide en Negar.
1. En el rbol Categoras, seleccione Nombres del certificado.
3. Si desea cambiar la configuracin de una o ms categoras de este proxy, acceda al tema en la
una nueva accin.
Proxy HTTPS: WebBlocker
El usuario puede asociar una configuracin de WebBlocker con el proxy HTTPS para aplicar configuraciones
uniformes para el bloqueo de contenido de sitios web.
Gua del Usuario 427
n Haga clic en el botn adyacente para crear una nueva configuracin de WebBlocker.
Para ms informaciones, vea Acerca de las WebBlocker en la pgina 981 y Introduccin a WebBlocker en la
pgina 989.
Proxy de HTTPS: Configuraciones generales
Se usan la pgina Configuracin general para configurar parmetros HTTP bsicos como el tiempo de
espera inactivo y los lmites de extensin total y de lnea.
Alarma de Proxy
El usuario puede definir el proxy para enviar una captura SNMP, una notificacin a un administrador
de red o ambas opciones. La notificacin puede ser un mensaje de correo electrnico a un
administrador de red o una ventana emergente en el equipo de administracin del administrador.
Para obtener ms informacin sobre los campos Alarma de proxy y AV, consulte Determinar
preferencias de registro y notificacin en la pgina 649.
Seleccione esta casilla de verificacin para controlar cunto espera el proxy HTTPS para que el
cliente web realice una solicitud del servidor web externo despus de que inicia una conexin
TCP/IP o despus de una solicitud anterior para la misma conexin. Si el perodo supera esta
configuracin, el proxy HTTPS cierra la conexin. En el campo adyacente, ingrese o seleccione la
cantidad de minutos antes de que el proxy se desconecte.
proxy HTTP en informes.
Pgina Acerca de Proxy POP3
POP3 (Protocolo de Oficina de Correos v.3) es un protocolo que mueve mensajes de correo electrnico
desde un servidor de correo electrnico a un cliente de correo electrnico en una conexin TCP a travs
del puerto 110. La mayora de las cuentas de correo electrnico basadas en Internet usan POP3. Con POP3,
un cliente de correo electrnico contacta a un servidor de correo electrnico y verifica si tiene mensajes
de correo electrnico nuevos. Si encuentra un nuevo mensaje, descarga el mensaje de correo electrnico
al cliente de correo electrnico local. Despus de que el cliente de correo electrnico recibe el mensaje, la
conexin se cierra.
Con un filtro de proxy POP3, es posible:
n Ajustar los lmites de tiempo de espera y extensin de lnea para asegurarse de que el proxy POP3
no use demasiados recursos de red y para impedir algunos tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrnico que se les enva.
n Filtrar contenido integrado en el mensaje de correo electrnico con tipos MIME.
n Bloquear patrones de ruta y URL especificados.
Para agregar el proxy POP3 a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Pestaa Poltica
n Las conexiones POP3-Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
Gua del Usuario 429
Pestaa Propiedades
(enviar restablecer), se pueden bloquear sitios que intentan usar POP3.
pgina 494.
1. Haga clic en .
n Proxy POP3: Configuraciones generales
n Proxy POP3: Autenticacin
n Proxy POP3: Tipo de contenido
n Proxy POP3: Nombres de archivo
n Proxy POP3: Encabezados
n Proxy POP3: AntiVirus
n Proxy POP3: Mensaje de negacin
n Proxy POP3: spamBlocker
Pestaa Avanzada
Proxy POP3: Configuraciones generales
En la pgina Configuracin general, puede ajustar los lmites de tiempo de espera y extensin de lnea
adems de otros parmetros generales para el proxy POP3:
Determinar el tiempo de espera en
Utilice esta configuracin para limitar la cantidad de minutos en los que el cliente de correo
electrnico intenta abrir una conexin con el servidor de correo electrnico antes de que la
conexin se cierre. Esto garantiza que el proxy no use demasiados recursos de red cuando el
servidor POP3 est lento o no se puede alcanzar.
Determinar extensin mxima de la linea de correo electrnico en
Utilice esta configuracin para impedir algunos tipos de ataques de fallas en la memoria intermedia.
Las extensiones de lnea muy largas pueden causar fallas en la memoria intermedia en algunos
Gua del Usuario 431
sistemas de correo electrnico. La mayora de los clientes y sistemas de correo electrnico envan
lneas relativamente cortas, pero algunos sistemas de correo electrnico web envan lneas muy
extensas. Sin embargo, es poco probable que el usuario tenga que cambiar esta configuracin, a
menos que evite el acceso a correo electrnico legtimo.
Ocultar respuestas del servidor
Seleccione esta casilla de verificacin si desea reemplazar las cadenas de saludo de POP3 en
mensajes de correo electrnico. Los hackers pueden utilizar estas cadenas para identificar al
proveedor del servidor POP3 y la versin.
Permitir adjuntos de UUencoded
Seleccione esta casilla de verificacin si desea que el proxy POP3 permita adjuntos de UUencoded
en mensajes de correo electrnico. UUencode es un programa anterior utilizado para enviar
archivos binarios en formato de texto ASCII a travs de Internet. Los adjuntos de UUencoded
pueden presentar riesgos de seguridad porque aparecen como archivos de texto ASCII pero en
realidad pueden contener archivos ejecutables.
Permitir adjuntos de BinHex
Seleccione esta casilla de verificacin si desea que el proxy POP3 permita adjuntos de BinHex en
mensajes de correo electrnico. BinHex, que es la forma abreviada de binario-a-hexadecimal, es un
programa que convierte un archivo de formato binario a ASCII.
Seleccione esta casilla de verificacin si desea que el proxy POP3 enve un mensaje de registro a
cada solicitud de conexin POP3. Si desea utilizar WatchGuard Report para crear informes sobre el
trfico POP3, debe seleccionar esta casilla de verificacin.
Proxy POP3: Autenticacin
Un cliente POP3 debe autenticarse en un servidor POP3 para poder intercambiar informacin. Pueden
definirse los tipos de autenticacin para que permita el proxy y la accin a seguir para los tipos que no
coinciden con los criterios. El usuario puede agregar, eliminar o modificar reglas.
1. En el rbol Categoras, seleccione Autenticacin.
accin.
Proxy POP3: Tipo de contenido
Los encabezados de mensajes de correo electrnico incluyen un encabezado de tipo de contenido para
mostrar el tipo MIME del correo electrnico y de cualquier adjunto. El tipo de contenido o tipo MIME
informa al equipo los tipos de medios que contiene el mensaje. Ciertos tipos de contenido incluidos en el
mensaje de correo electrnico pueden ser una amenaza de seguridad para la red. Otros tipos de contenido
Gua del Usuario 433
pueden disminuir la productividad de los usuarios.
El usuario puede agregar, eliminar o modificar reglas. El usuario tambin puede configurar valores para el
filtrado de contenido y la accin a seguir para tipos de contenido que no coinciden con los criterios. Para la
accin de proxy de POP3 servidor, se definen los valores para el filtrado de contenido entrante. Para la
accin de proxy de POP3 cliente, se definen los valores para el filtrado de contenido saliente.
2. Para activar el proxy POP3 para que examine contenido para determinar el tipo de contenido,
seleccione la casilla de verificacin Activar deteccin automtica de tipo de contenido.
Si no selecciona esta opcin, el proxy POP3 usa el valor indicado en el encabezado del correo
electrnico, que a veces los clientes definen en forma incorrecta.
Debido a que los hackers a menudo intentan enmascarar archivos ejecutables como otros tipos de
contenido, se recomienda activar la deteccin automtica de tipo de contenido a fin de que la
instalacin sea ms segura.
Por ejemplo, un archivo .pdf adjunto puede tener un tipo de contenido indicado como
aplicacin/cadena de octetos. Si se activa la deteccin automtica de tipo de contenido, el proxy
POP3 reconoce al archivo .pdf y usa el tipo de contenido real, aplicacin/pdf. Si el proxy no
reconoce el tipo de contenido despus de examinarlo, usa el valor indicado en el encabezado del
correo electrnico, como lo hara si la deteccin automtica de tipo de contenido no estuviera
activada.
El formato de un tipo MIME es tipo/subtipo. Por ejemplo, si desea permitir imgenes JPEG, se
agrega imagen/jpg. Tambin puede usar el asterisco (*) como comodn. Para permitir cualquier
formato de imagen, se agrega imagen/* a la lista.
4. Para agregar un tipo de contenido predefinido, haga clic en Predefinido.
Aparece una lista de tipos de contenido, con descripciones breves de los tipos de contenido.
5. Despus de haber terminado con los cambios en el conjunto de reglas, haga clic en OK.
accin.
Proxy POP3: Nombres de archivo
Este conjunto de reglas se usa en una accin de proxy POP3 servidor para poner lmites en los nombres de
archivo para adjuntos de correo electrnico entrante. Este conjunto de reglas se usa en una accin de
proxy POP3 cliente para poner lmites en los nombres de archivo para adjuntos de correo electrnico
saliente. Si el conjunto de reglas predeterminado no satisface todas las necesidades empresariales del
usuario, puede agregar, eliminar o modificar reglas.
1. En el rbol Categoras, seleccione Adjuntos> Nombres de archivo.
Gua del Usuario 435
3. Despus de haber terminado con los cambios en el conjunto de reglas, haga clic en OK.
accin.
accin.
Proxy POP3: Encabezados
El proxy POP3 examina los encabezados de correo electrnico para encontrar patrones comunes de
mensajes de correo electrnico adulterados y tambin de mensajes de remitentes legtimos. El usuario
puede agregar, eliminar o modificar reglas.
1. En el rbol Categoras, seleccione Encabezados.
accin.
Gua del Usuario 437
Proxy POP3: AntiVirus
Si ha adquirido y activado la funcin de Gateway AntiVirus, los campos en la categora Antivirus definen las
acciones necesarias si se detecta un virus en un mensaje de correo electrnico. Tambin define acciones
para cuando un mensaje de correo electrnico contiene un adjunto que Firebox no puede escanear.
n Parausar el menServicios de suscripcin enel Policy Manager paraactivar el Gateway AntiVirus,
n Para configurar el Gateway AntiVirus para el proxy POP3, consulte Configurar acciones del Gateway
un error en un mensaje de correo electrnico o adjunto. Las opciones para acciones de antivirus son:
Permitir
Bloquear
Bloquear el adjunto. Es una buena opcin para archivos que el dispositivo WatchGuard no puede
escanear. El usuario no puede abrir fcilmente un archivo bloqueado. Slo el administrador puede
desbloquear el archivo. El administrador puede usar una herramienta de antivirus diferente para
escanear el archivo y examinar el contenido del adjunto. Para obtener informacin sobre cmo
desbloquear un archivo bloqueado por el Gateway AntiVirus, consulte Desbloquee un archivo
bloqueado por el Gateway AntiVirus en la pgina 1093.
Eliminar
Elimina el adjunto y permite que se enve el mensaje al destinatario.
Nota Si la configuracin se define para permitir adjuntos, la configuracin es menos
segura.
Proxy POP3: Mensaje de negacin
Cuando se niega el contenido, Firebox enva un mensaje de negacin predeterminado que reemplaza al
contenido negado. Este mensaje aparece en el mensaje de correo electrnico de un destinatario cuando el
proxy bloquea un correo electrnico. El usuario puede cambiar el texto de dicho mensaje de negacin. La
primera lnea del deny message es una seccin del encabezado HTTP. Debe incluir una lnea vaca entre la
primera lnea y el cuerpo del mensaje.
%(motivo)%
%(nombre de archivo)%
Incluye el nombre de archivo del contenido negado.
%(virus)%
Incluye el nombre o estado de un virus para usuarios del Gateway AntiVirus.
%(accin)%
Incluye el nombre de la accin seguida. Por ejemplo: bloquear o extraer.
%(recuperacin)%
Incluye si se puede recuperar el adjunto.
Para configurar el mensaje de negacin:
Gua del Usuario 439
2. En el cuadro de texto Mensaje de negacin, ingrese un mensaje de texto sin formato personalizado
en HTML estndar.
accin.
Proxy POP3: spamBlocker
El correo no deseado, conocido tambin como spam, puede llenar una Bandeja de entrada rpidamente.
Un gran volumen de spam disminuye el ancho de banda, degrada la productividad del empleado y
desperdicia recursos de red. La opcin spamBlocker de WatchGuard aumenta la capacidad de capturar
spam en el edge de la red cuando intenta ingresar en el sistema. Si ha adquirido y activado la funcin
spamBlocker, los campos de la categora spamBlocker definen las acciones para mensajes de correo
electrnico identificados como spam.
Aunque el usuario puede usar las pantallas de definicin de proxy para activar y configurar spamBlocker, es
ms fcil usar el men de Servicios de suscripcin en el Policy Manager para tal fin.
Para obtener ms informacin sobre cmo proceder o cmo usar las pantallas de spamBlocker en la
definicin de proxy, consulte Acerca de las spamBlocker en la pgina 1055.
Pgina Acerca de Proxy SIP
Si en la empresa se usa voz sobre IP (VoIP), el usuario puede agregar un SIP (Protocolo de inicio de sesin) o
una ALG (puerta de enlace de la capa de aplicacin) H.323 para abrir los puertos necesarios para activar
VoIP a travs de Firebox. Una ALG se crea del mismo modo que una poltica de proxy y ofrece opciones de
configuracin similares. Estas ALG se han creado para funcionar en un entorno NAT para mantener la
seguridad en equipos de conferencias con direcciones privadas detrs de Firebox.
H.323 en general se usa en equipos de videoconferencia e instalaciones de voz ms antiguos. SIP es un
estndar ms nuevo que es ms comn en entornos hospedados, donde slo dispositivos extremos como
telfonos estn hospedados en la ubicacin de la empresa y un proveedor de VoIP administra la
conectividad. Si es necesario se pueden usar ALG H.323 y SIP al mismo tiempo. Para determinar cul ALG
necesita agregar, consulte la documentacin para dispositivos o aplicaciones VoIP.
Nota El proxy SIP admite conexiones SIP de tipo amigo pero no de tipo par.
Componentes de VoIP
Es importante comprender que en general VoIP se implementa con:
Gua del Usuario 441
Conexiones punto a punto
En una conexin punto a punto, cada uno de los dos dispositivos conoce la direccin IP del otro
dispositivo y se conecta al otro directamente. Si los dos puntos se encuentran detrs de Firebox,
ste puede enrutar el trfico de llamada correctamente.
Conexiones hospedadas
Conexiones hospedadas por un sistema de gestin de llamadas (PBX)
En el SIP estndar, dos componentes clave de la gestin de llamadas son el Log Server SIP y el Proxy SIP.
Juntos, estos componentes administran las conexiones hospedadas por el sistema de gestin de llamadas.
La SIP-ALG de WatchGuard abre y cierra los puertos necesarios para que funcione SIP. La SIP-ALG de
WatchGuard puede admitir tanto al Log Server SIP como al Proxy SIP cuando se usan con un sistema de
gestin de llamadas externo a Firebox. En esta versin, no se admite SIP cuando el sistema de gestin de
llamadas est protegido por Firebox.
La coordinacin del gran nmero de componentes de una instalacin VoIP puede ser compleja.
Recomendamos asegurarse de que las conexiones VoIP funcionen en forma satisfactoria antes de agregar
una ALG H.323 o SIP. Esto puede ayudar al usuario a resolver cualquier problema.
Funciones de ALG
Cuando se activa una SIP-ALG, Firebox:
n Responde automticamente a aplicaciones VoIP y abre los puertos adecuados.
n Se asegura de que las conexiones VoIP usen protocolos SIP estndar.
n Genera mensajes de registro con fines de auditora.
Muchos dispositivos y servidores VoIP utilizan NAT (traduccin de direccin de red) para abrir y cerrar
puertos automticamente. Las ALG H.323 y SIP tambin cumplen esta funcin. Se debe desactivar NAT en
los dispositivos VoIP si se configura una ALG H.323 o SIP.
Para agregar la SIPALG a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Si es necesario cambiar la definicin de ALG, se puede usar el cuadro de dilogo Nuevas/Editar polticas de
proxy para modificar la definicin. Este cuadro de dilogo tiene tres pestaas: Poltica, Propiedades y
Pestaa Poltica
n Las conexionesSIP-ALGestn: especificasi las conexionesestnPermitidas,Negadas oNegadas
(enviar restablecer)y defineel contenidode lalistaDesdey Hasta(enlapestaa Poltica deladefinicin
de ALG).Paramsinformaciones, veaDefinir reglasdeaccesoa unapoltica enlapgina356.
n Usar el enrutamiento basado en la poltica: para utilizar el enrutamiento basado en la poltica en la
definicin de ALG, consulte Configurar el enrutamiento basado en la poltica en la pgina 359.
Pestaa Propiedades
servidor.
Para obtener informacin acerca de acciones de proxy y ALG, consulte Acerca de las acciones de
y notificacin .
(enviar restablecer), se pueden bloquear sitios que intentan usar SIP. Para ms informaciones, vea
Bloquear sitios temporalmente con configuracin de polticas en la pgina 494.
autenticacin, consulte Configurar un tiempo de espera inactivo personalizado en la pgina 361.
Las ALG de WatchGuard tienen conjuntos de reglas predefinidos que aportan un equilibrio adecuado de
1.
Haga clic en .
n SIP-ALG: Configuraciones generales
n SIP-ALG: Control de acceso
n SIP-ALG: Codecs negados
Pestaa Avanzada
Pueden usarse varias otras opciones en la definicin de ALG:
SIP-ALG: Configuraciones generales
En la pgina Configuracin general, pueden definirse opciones de seguridad y rendimiento para la SIP ALG
(puerta de enlace de la capa de aplicacin).
Gua del Usuario 443
Activar normalizacin de encabezado
Seleccione esta casilla de verificacin para negar encabezados SIP extremadamente largos o
malformados. Aunque estos encabezados a menudo indican un ataque en Firebox, si es necesario se
puede desactivar esta opcin para que la solucin VoIP funcione correctamente.
Activar ocultacin de topologa
Esta funcin reescribe los encabezados de trfico SIP para eliminar informacin de red privada,
como direcciones IP. Recomendamos seleccionar esta opcin salvo que tenga un dispositivo de
puerta de enlace VoIP actual que realice la ocultacin de topologa.
Activar proteccin de cosecha de directorio.
Seleccione esta casilla de verificacin para impedir que los atacantes roben informacin de usuarios
a gatekeepers VoIP protegidos por Firebox. Esa opcin es activada por defecto.
Sesiones mximas
Utilice esta funcin para restringir el nmero mximo de sesiones de audio o video que pueden
crearse con una nica llamada VoIP.
Por ejemplo, si el usuario define el nmero de sesiones mximas en una y participa en una llamada
VoIP con audio y video, la segunda conexin se descarta. El valor predeterminado es dos sesiones y
el valor mximo es cuatro sesiones. Firebox crea una entrada de registro cuando niega una sesin
multimedia por encima de este nmero.
Informacin del agente usuario
Ingrese una nueva cadena de agente usuario en el cuadro de texto Reescribir agente usuario como
para identificar el trfico H.323 saliente como un cliente especificado por el usuario. Para eliminar el
agente usuario falso, desmarque el cuadro de texto.
Tiempos de espera
Cuando no se envan datos durante un perodo determinado en un canal VoIP de audio, video o
datos, Firebox cierra esa conexin de red. El valor predeterminado es 180 segundos (tres minutos) y
el valor mximo es 600 segundos (diez minutos). Para especificar un intervalo de tiempo diferente,
ingrese o seleccione el tiempo en segundos en el cuadro de texto Canales de medios inactivos.
Seleccione esta casilla de verificacin para enviar un mensaje de registro para cada solicitud de
conexin administrada por la SIP ALG. Esta opcin es necesaria para que Informes WatchGuard cree
informes precisos sobre el trfico SIP y est activada de manera predeterminada.
SIP-ALG: Control de acceso
En la pgina Control de acceso, se puede crear una lista de usuarios que tienen permitido enviar trfico de
red VoIP.
Activar control de acceso para VoIP
Seleccione esta casilla de verificacin para activar la funcin de control de acceso. Cuando est
activada, la SIP ALG permite o restringe llamadas segn las opciones configuradas.
Configuracin predeterminada
Seleccione la casilla de verificacin Iniciar llamadas VoIP para permitir que todos los usuarios VoIP
inicien llamadas de manera predeterminada.
Seleccione la casilla de verificacin Recibir llamadas VoIP para permitir que todos los usuarios VoIP
reciban llamadas de manera predeterminada.
Gua del Usuario 445
Seleccione las casillas de verificacin adyacentes Registro para crear un mensaje de registro para
cada conexin SIP VoIP iniciada o recibida.
Niveles de acceso
Para crear una excepcin a la configuracin predeterminada especificada anteriormente, ingrese un
nombre de host, una direccin IP o una direccin de correo electrnico. Seleccione un nivel de
acceso en la lista desplegable adyacente y luego haga clic en Agregar. Se puede permitir que los
usuarios inicien llamadas nicamente, reciban llamadas nicamente, inicien y reciban llamadas o
denegarles el acceso VoIP. Estas configuraciones se aplican slo al trfico SIP VoIP.
Si desea eliminar una excepcin, seleccinela en la lista y haga clic en Eliminar.
Las conexiones realizadas por usuarios que tienen una excepcin de nivel de acceso se registran de
manera predeterminada. Si no desea registrar conexiones realizadas por un usuario con una
excepcin de nivel de acceso, desmarque la casilla de verificacin Registro adyacente a la
excepcin.
SIP-ALG: Codecs negados
En la pgina Codecs negados, se pueden definir los codecs VoIP de voz, video y transmisin de datos que
desea negar en la red.
Lista de codecs negados
Utilice esta funcin para denegar uno o ms codecs VoIP. Cuando se abre una conexin SIP VoIP que
usa un codec especificado en esta lista, el dispositivo WatchGuard cierra la conexin
automticamente.
Esta lista est vaca de manera predeterminada. Recomendamos agregar un codec a esta lista si
consume demasiado ancho de banda, presenta un riesgo de seguridad o si es necesario lograr que la
solucin VoIP funcione correctamente.
Por ejemplo, pude optar por denegar los codecs G.711 o G.726 porque usan ms de 32 Kb/seg de
ancho de banda o puede optar por denegar el codec Speex porque es utilizado por una aplicacin
VoIP no autorizada.
Para agregar un codec a la lista, ingrese el nombre del codec o el patrn de texto nico en el cuadro
de texto y haga clic en Agregar. No use caracteres comodn ni sintaxis de expresin regular. Los
patrones codec distinguen maysculas de minsculas.
Para borrar un codec de la lista, seleccinelo y haga clic en Eliminar.
Registrar cada transaccin que coincide con un patrn codec negado.
Seleccione esta opcin para crear un mensaje de registro cuando Firebox niega el trfico SIP que
coincide con un codec de esta lista.
Pgina Acerca de Proxy SMTP
SMTP (Protocolo simple de transferencia de correo) es un protocolo utilizado para enviar mensajes de
correo electrnico entre servidores de correo electrnico y tambin entre clientes de correo electrnico y
servidores de correo electrnico. En general utiliza una conexin TCP en el puerto 25. El proxy SMTP se
puede usar para controlar mensajes de correo electrnico y contenido de correo electrnico. El proxy
escanea los mensajes SMTP para un nmero de parmetros filtrados y los compara con las reglas en la
configuracin de proxy.
Con un filtro de proxy SMTP, es posible:
n Ajustar los lmites de tiempo de espera, tamao mximo del correo electrnico y extensin de lnea
para asegurarse de que el proxy SMTP no use demasiados recursos de red y pueda impedir algunos
tipos de ataques.
n Personalizar el deny message que los usuarios ven cuando se bloquea un mensaje de correo
electrnico que intentan recibir.
n Filtrar contenido integrado en el mensaje de correo electrnico con tipos MIME y patrones de
nombre.
n Limitar las direcciones de correo electrnico a las que se pueden enviar mensajes de correo
electrnico y automticamente bloquear mensajes de correo electrnico de remitentes especficos.
Para agregar el proxy SMTP a la configuracin de Firebox, consulte Agregar una poltica de proxy a la
Gua del Usuario 447
Pestaa Poltica
n Las conexiones SMPT Servidor proxy estn: especifica si las conexiones estn Permitidas, Negadas
n Usar el enrutamiento basado en la poltica: para utilizar el enrutamiento basado en la poltica en la
Pestaa Propiedades
servidor.
la pgina 376.
y notificacin .
(enviar restablecer), se pueden bloquear sitios que intentan usar SMTP. Para ms informaciones,
vea Bloquear sitios temporalmente con configuracin de polticas en la pgina 494.
autenticacin, consulte Configurar un tiempo de espera inactivo personalizado en la pgina 361.
1. Haga clic en .
n Proxy SMTP: Configuraciones generales
n Proxy SMTP: Reglas de saludos
n Proxy SMTP: Configuraciones de ESMTP
n Proxy SMTP: Autenticacin
n Proxy SMTP: Tipo de contenido
n Proxy SMTP: Nombres de archivo
n Proxy SMTP: Correo de/Destin. para
n Proxy SMTP: Encabezados
n Proxy SMTP: AntiVirus
n Proxy SMTP: Denegar mensaje
n Proxy SMTP: spamBlocker
Pestaa Avanzada
Proxy SMTP: Configuraciones generales
En la pgina Configuracin general, se pueden definir los parmetros proxy SMTP bsicos como el tiempo
de espera inactivo y los lmites de mensajes.
Gua del Usuario 449
El usuario puede establecer la cantidad de tiempo que una conexin SMTP entrante puede estar
inactiva antes de que la conexin se cierre. El valor predeterminado es 10 minutos.
Mximo de destinatarios de correo electrnico
Puede configurar el mximo de destinatarios de correo electrnico a quienes se puede enviar un
mensaje.
Seleccione la casilla de verificacin Configurar el mximo de destinatarios de correo electrnico
en. En el cuadro de texto adyacente, ingrese o seleccione la cantidad de destinatarios.
Firebox cuenta y permite la cantidad de direcciones especificada y luego elimina las dems. Por
ejemplo, si configur el valor en50 y hay un mensaje destinado a 52direcciones, las primeras 50
direcciones son las que recibirn el mensaje de correo electrnico. Las dos ltimas direcciones no
recibirn una copia del mensaje. Firebox cuenta una lista de distribucin como una direccin de
correo electrnico SMTP (por ejemplo, soporte@ejemplo.com). Puede utilizar esta funcin para
reducir la cantidad de correos electrnicos spam porque el spam suele incluir una larga lista de
destinatarios. Cuando active esta opcin, asegrese de no rechazar tambin correos electrnicos
legtimos.
Extensin mxima de direccin
Puede configurar la extensinmxima de las direcciones de correoelectrnico. Seleccione la casilla
de verificacin Configurar la extensinmxima de direccin en. En el cuadro de texto adyacente,
ingrese o seleccione la extensinmxima parauna direccinde correoelectrnico enbytes.
Tamao mximo de correo electrnico
Puede configurar la extensin mxima de los mensajes SMTP entrantes.
La mayora de los correos electrnicos se envan como texto ASCII de 7bits. Las excepciones son
MIME binario y MIME de 8bits. El contenido MIME de 8bits (por ejemplo, los adjuntos MIME) se
codifica con algoritmos estndar (Base64 o codificacin de entrecomillado imprimible) para permitir
su envo mediante sistemas de correo electrnico de 7bits. La codificacin puede aumentar la
extensin de los archivos incluso en un tercio. Para permitir la recepcin de mensajes de una
extensin de hasta 10KB, debe configurar este campo a un mnimo de 1.334bytes para asegurarse
de recibir todos los correos electrnicos.
Seleccione la casilla de verificacin Configurar el tamao mximo del correo electrnico en. En el
cuadro de texto adyacente, ingrese o seleccione el tamao mximo de cada correo electrnico en
kilobytes.
Extensin mxima de lnea de correo electrnico
Puede configurar la extensin mxima de lnea para las lneas de los mensajes SMTP. Seleccione la
casilla de verificacin Configurar la extensin mxima de lnea de correo electrnico en. En el
cuadro de texto adyacente, ingrese o seleccione la extensin en bytes para cada lnea de un correo
electrnico.
Las extensiones de lnea muy largas pueden causar fallas en la memoria intermedia en algunos
sistemas de correo electrnico. La mayora de los clientes de correo electrnico envan extensiones
de lnea cortas, pero algunos sistemas de correo electrnico Web envan lneas muy largas.
Ocultar Servidor de correo electrnico
Puede reemplazar el lmite MIME y el mensaje de bienvenida del SMTP en los mensajes de correo
electrnico. Estos elementos son utilizados por los piratas informticos para identificar el proveedor
y la versin del servidor SMTP.
Seleccione las casillas de verificacin Identificacin del mensaje y Respuestas del servidor.
Si tiene un servidor de correo electrnico y utiliza la accin de proxy entrante del SMTP, puede
hacer que el proxy del SMTP reemplace el dominio que se muestra en el encabezado de su servidor
SMTP con un domain name seleccionado por usted. Para hacer esto, junto a Reescriba el dominio
del encabezado, ingrese el domain name que desea utilizar en el encabezado en el cuadro de texto
que aparecer. Para que esto ocurra, tambin debe tener seleccionada la casilla de verificacin
Respuestas del servidor.
Gua del Usuario 451
Si utiliza la accin de proxy saliente del SMTP, puede hacer que el proxy del SMTP reemplace el
dominio que se muestra en los saludos HELO o EHLO. Un mensaje HELO o EHLO es la primera parte
de una transaccin SMTP, cuando su servidor de correo electrnico se anuncia ante un servidor de
correo electrnico receptor. Para hacer esto, junto a Reescriba el dominio de HELO, ingrese el
domain name que desea utilizar en su mensaje HELO o EHLO en el cuadro de texto que aparecer.
Permitir adjuntos de UUencoded
Seleccione esta casilla de verificacin si desea que el proxy SMTP permita los adjuntos de
uuencoded en los mensajes de correo electrnico. UUencode es un programa anterior utilizado
para enviar archivos binarios en formato de texto ASCII a travs de Internet. Los adjuntos de
uuencode pueden representar riesgos de seguridad porque parecen archivos de texto ASCII pero
en realidad pueden tener contenidos ejecutables.
Permitir adjuntos de BinHex
Seleccione esta casilla de verificacin si desea que el proxy SMTP permita los adjuntos de BinHex en
los mensajes de correo electrnico. BinHex, que es la forma abreviada de binario-a-hexadecimal, es
un programa que convierte un archivo de formato binario a ASCII.
Bloquear automticamente fuentes de comandos invlidos
Seleccione esta casilla de verificacin para agregar remitentes de comandos SMTP invlidos a la lista
de sitios bloqueados. Los comandos SMTP invlidos suelen indicar un ataque a su servidor SMTP.
Activar el registro para informes
Seleccione enviar un mensaje de registro para cada solicitud de conexin mediante el SMTP. Para
que WatchGuard Reports cree informes precisos acerca del trfico SMTP, debe seleccionar esta
casilla de verificacin.
Proxy SMTP: Reglas de saludos
El proxy examina las respuestas HELO/EHLO iniciales cuando comienza la sesin SMTP. Las reglas
predeterminadas de la accin de proxy entrante del SMTP garantizan que sean rechazados los paquetes que
contengan mensajes demasiado extensos o incluyan caracteres incorrectos o imprevistos. El usuario puede
agregar, eliminar o modificar reglas.
1. En el diagrama de Categoras, seleccione Reglas de saludos.
accin.
Proxy SMTP: Configuraciones de ESMTP
En la pgina Configuracin de ESMTP, se puede configurar el filtrado para contenido ESMTP. Aunque SMTP
es ampliamente aceptado y utilizado, algunas partes de la comunidad de Internet desean ms funcionalidad
en SMTP. ESMTP ofrece un mtodo para extensiones funcionales de SMTP y para identificar servidores y
clientes que admiten funciones extendidas.
1. En el rbol Categoras, seleccione Configuracin ESMTP.
2. Configurar esas opciones:
Activar ESMTP
Seleccione esta casilla de verificacin para activar todos los campos. Si se desmarca esta casilla
de verificacin, todas las dems casillas de verificacin de esta pgina se desactivan. Cuando las
opciones estn desactivadas, se guardan las configuraciones para cada opcin. Si esta opcin
vuelve a activarse, se restauran todas las configuraciones.
Permitir BDAT/BLOQUES
Gua del Usuario 453
Seleccione esta casilla de verificacin para permitir BDAT/BLOQUES. Esto permite que los
mensajes grandes se enven con ms facilidad a travs de conexiones SMTP.
Permitir ETRN (Inicio de colas de mensajes remotas)
sta es una extensin de SMTP que permite que un cliente y servidor SMTP interacten para
iniciar el intercambio de colas de mensajes para un host determinado.
Permitir MIME binario
Seleccione esta opcin para permitir la extensin de MIME binario, si el remitente y el
destinatario la aceptan. El MIME binario impide la sobrecarga de la base64 y la codificacin QP
(caracteres imprimibles) de objetos binarios enviados que usan el formato de mensaje MIME
con SMTP. No se recomienda seleccionar esta opcin ya que puede implicar un riesgo de
seguridad.
Registrar opciones de ESMTP negadas
Seleccione esta casilla de verificacin para crear un mensaje de registro para opciones ESMTP
desconocidas que son extradas por el proxy SMTP. Desmarque esta casilla de verificacin para
desactivar esta opcin.
Proxy SMTP: Autenticacin
Este conjunto de reglas permite los siguientes tipos de autenticacin ESMTP: DIGEST- MD5, CRAM-MD5,
PLAIN, LOGIN, LOGIN (estilo antiguo), NTLMy GSSAPI. La regla predeterminada niega todos los dems tipos
de autenticacin. El RFC que informa sobre la extensin de autenticacin SMTP es RFC 2554.
Si el conjunto de reglas predeterminado no satisface todas las necesidades empresariales del usuario,
puede agregar, eliminar o modificar reglas:
1. En el rbol Categoras, seleccione Autenticacin.
accin.
Proxy SMTP: Tipo de contenido
Ciertos tipos de contenido incluidos en el mensaje de correo electrnico pueden ser una amenaza de
seguridad para la red. Otros tipos de contenido pueden disminuir la productividad de los usuarios. Se puede
usar el conjunto de reglas para la accin de proxy SMTP entrante para configurar valores para el filtrado de
contenido SMTP entrante. Se puede usar el conjunto de reglas para la accin de proxy SMTP saliente para
configurar valores para el filtrado de contenido SMTP saliente. El proxy SMTP admite los siguientes tipos de
contenido: texto/*, imagen/*, multipartes/* y mensaje/*. El usuario puede agregar, eliminar o modificar
reglas.
El proxy SMTP tambin puede configurarse para examinar automticamente el contenido de mensajes de
correo electrnico para determinar el tipo de contenido. Si no se activa esta opcin, el proxy SMTP usa el
valor indicado en el encabezado del correo electrnico, que a veces los clientes definen en forma
incorrecta. Por ejemplo, un archivo .pdf adjunto puede tener un tipo de contenido indicado como
aplicacin/cadena de octetos. Si se activa la deteccin automtica de tipo de contenido, el proxy SMTP
reconoce al archivo .pdf y usa el tipo de contenido real, aplicacin/pdf. Si el proxy no reconoce el tipo de
contenido despus de examinarlo, usa el valor indicado en el encabezado del correo electrnico, como lo
hara si la deteccin automtica de tipo de contenido no estuviera activada. Debido a que los hackers a
menudo intentan enmascarar archivos ejecutables como otros tipos de contenido, se recomienda activar la
deteccin automtica de tipo de contenido a fin de que la instalacin sea ms segura.
2. Para activar el proxy SMTP para que examine contenido para determinar el tipo de contenido,
seleccione la casilla de verificacin Activar deteccin automtica de tipo de contenido.
accin.
Agregar tipos de contenido comunes
La definicin de proxy incluye varios tipos de contenido que pueden agregarse fcilmente al conjunto de
reglas Tipos de contenido.
Para agregar un tipo de contenido:
1. Haga clic en Predefinido.
Aparece el cuadro de dilogo Seleccionar tipo de contenido.
Gua del Usuario 455
2. Seleccione uno o ms tipos de contenido de la lista.
3. Haga clic en OK.
Proxy SMTP: Nombres de archivo
El conjunto de reglas para la accin de proxy SMTP entrante puede usarse para poner lmites en los
nombres de archivo para adjuntos de correo electrnico entrante. El conjunto de reglas para la accin de
proxy SMTP saliente se usa para poner lmites en los nombres de archivo para adjuntos de correo
electrnico saliente. El usuario puede agregar, eliminar o modificar reglas.
1. En el rbol Categoras, seleccione Nombres de archivo.
accin.
Proxy SMTP: Correo de/Destin. para
Puede utilizar la Direccin: El conjunto de reglas Correo de impone lmites al correo electrnico y permite
el ingreso a su red solamente de correos electrnicos de remitentes especficos. La configuracin
predeterminada es permitir los correos electrnicos de todos los remitentes. El usuario puede agregar,
eliminar o modificar reglas.
El/La Direccin: El conjunto de reglas Destinatario a puede limitar los correos electrnicos que salen de su
red solamente a destinatarios especficos. La configuracin predeterminada permite enviar correos
electrnicos a todos los destinatarios de su red. En una accin de proxy entrante del SMTP, puede utilizar el
conjunto de reglas Destinatario a para asegurarse de que su servidor de correo electrnico no pueda
utilizarse para retransmitir correos electrnicos. Para ms informaciones, vea Proteja al servidor SMTP de la
retransmisin de mensajes de correo electrnico. en la pgina 460.
Tambin puede utilizar la opcin Reescribir como para configurar Firebox para cambiar los componentes
De y Para de su direccin de correo electrnico a un valor diferente. Esta funcin tambin se conoce como
enmascaramiento del SMTP.
Otras opciones disponibles en los conjuntos de reglas Correo de y Destinatario a:
Bloquear direcciones enrutamiento por fuente
Seleccione esta casilla de verificacin para bloquear un mensaje cuando la direccin del remitente o
del destinatario contiene enrutamientos por fuente. Un enrutamiento por fuente identifica la ruta
que un mensaje debe tomar cuando se dirige de un host a otro. La ruta puede identificar qu
enrutadores de correo o sitios backbone utilizar. Por ejemplo, @backbone.com:freddyb@algo.com
significa que el host denominado Backbone.com se debe utilizar como host de retransmisin para
entregar el correo a freddyb@algo.com. Por defecto, esta opcin est activada para los paquetes
SMTP entrantes y desactivada para los paquetes SMTP salientes.
Bloquear caracteres de 8 bits
Seleccione esta casilla de verificacin para bloquear un mensaje que tiene caracteres de 8bits en el
nombre de usuario del remitente o en el nombre de usuario del destinatario. Esto admite un acento
en un carcter del alfabeto. Por defecto, esta opcin est activada para los paquetes SMTP entrantes
y desactivada para los paquetes SMTP salientes.
Para configurar el proxy SMTPpara limitar el trfico de correo electrnico en su red:
1. En el diagrama Categoras, seleccione Direccin: Correo de o Direccin:Destinatario a.
accin.
de proxy definidas por el usuario y predefinidas Acciones de proxy.
Gua del Usuario 457
Proxy SMTP: Encabezados
Los conjuntos de reglas del encabezado le permiten configurar valores de filtrado para el encabezado del
SMTP entrante o saliente. El usuario puede agregar, eliminar o modificar reglas.
1. En el rbol Categoras, seleccione Encabezados.
accin.
Proxy SMTP: AntiVirus
Si ha adquirido y activado la funcin de Gateway AntiVirus, los campos en la categora Antivirus definen las
acciones necesarias si se detecta un virus en un mensaje de correo electrnico. Tambin define acciones
para cuando un mensaje de correo electrnico contiene un adjunto que Firebox no puede escanear.
n Parausar el menServicios de suscripcin enel Policy Manager paraactivar el Gateway AntiVirus,
n Para configurar el Gateway AntiVirus para el proxy SMTP, consulte Configurar acciones del Gateway
un error en un mensaje de correo electrnico o adjunto. Las opciones para acciones de antivirus son:
Permitir
Bloquear
Cuarentena
Cuando se usa el proxy SMTP con la suscripcin de seguridad spamBlocker, se pueden enviar
mensajes de correo electrnico con virus o posibles virus al Quarantine Server. Para obtener ms
informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine Server en la pgina
1111. Para obtener informacin sobre cmo configurar el Gateway AntiVirus para que funcione con
el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de correo
electrnico en cuarentena en la pgina 1093.
Eliminar
Descartar
Bloqueo
segura.
Proxy SMTP: Denegar mensaje
Cuando se niega el contenido, Firebox enva un mensaje de negacin predeterminado que reemplaza al
contenido negado. Este mensaje aparece en el mensaje de correo electrnico de un destinatario cuando el
proxy bloquea un correo electrnico. El usuario puede cambiar el texto de dicho mensaje de negacin. La
primera lnea del deny message es una seccin del encabezado HTTP. Debe incluir una lnea vaca entre la
primera lnea y el cuerpo del mensaje.
%(motivo)%
Gua del Usuario 459
%(tipo)%
Incluye el tipo de contenido que se neg.
%(nombre de archivo)%
Incluye el nombre de archivo del contenido negado.
%(virus)%
Incluye el nombre o estado de un virus para usuarios del Gateway AntiVirus.
%(accin)%
Incluye el nombre de la accin seguida. Por ejemplo: bloquear o extraer.
%(recuperacin)%
Incluye si se puede recuperar el adjunto.
Para configurar el mensaje de negacin:
2. En el cuadro de texto Mensaje de negacin, ingrese un mensaje de texto sin formato personalizado
en HTML estndar.
accin.
Proxy SMTP: spamBlocker
El correo no deseado, conocido tambin como spam, puede llenar una Bandeja de entrada rpidamente.
Un gran volumen de spam disminuye el ancho de banda, degrada la productividad del empleado y
desperdicia recursos de red. La opcin spamBlocker de WatchGuard aumenta la capacidad de capturar
spam en el edge de la red cuando intenta ingresar en el sistema. Si ha adquirido y activado la funcin
spamBlocker, los campos de la categora spamBlocker definen las acciones para mensajes de correo
electrnico identificados como spam.
Aunque el usuario puede usar las pantallas de definicin de proxy para activar y configurar spamBlocker, es
ms fcil usar el men de Servicios de suscripcin en el Policy Manager para tal fin.
Para obtener ms informacin sobre cmo proceder o cmo usar las pantallas de spamBlocker en la
definicin de proxy, consulte Acerca de las spamBlocker en la pgina 1055.
Configure el proxy SMTP para colocar mensajes de correo
electrnico en cuarentena
El WatchGuard Quarantine Server proporciona un mecanismo de cuarentena seguro y con funcionalidad
completa para cualquier mensaje de correo electrnico con sospecha o certeza de ser spam o de contener
virus. Este depsito recibe mensajes de correo electrnico del proxy SMTP y filtrados por spamBlocker.
Para configurar el proxy SMTP para colocar mensajes de correo electrnico en cuarentena:
1. Agregue el proxy SMTP a su configuracin y active spamBlocker en la definicin de proxy.
O bien, active spamBlocker y seleccinelo para activarlo para el proxy SMTP.
2. Cuando se configuran las acciones que spamBlocker aplica para diferentes categoras de mensajes
de correo electrnico (como se describe en Configurado spamBlocker en la pgina 1060),
asegrese de seleccionar la accin Cuarentena para al menos una de las categoras. Cuando se
selecciona esta accin, se le solicita que configure el Quarantine Server si an no lo ha hecho.
Tambin se puede seleccionar la accin Cuarentena para mensajes de correo electrnico identificados por
la Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea Configurar acciones de
Virus Outbreak Detection para una poltica en la pgina 1066.
Proteja al servidor SMTP de la retransmisin de mensajes de
correo electrnico.
La retransmisin de mensajes de correo electrnico, tambin llamada envo de correo masivo no solicitado
o retransmisin de correo abierto, es una intrusin en la cual una persona usa su servidor de correo
electrnico, direccin y otros recursos para enviar grandes cantidades de correo electrnico spam. Esto
puede ocasionar cadas del sistema, daos a los equipos y prdidas econmicas.
Si no conoce los problemas relacionados con la retransmisin de correo o tiene dudas acerca de la
vulnerabilidad de su servidor de correo electrnico a la retransmisin de correo, se recomienda explorar
su propio servidor de correo electrnico y conocer sus posibles vulnerabilidades. Firebox puede proveer
proteccin contra retransmisin de correo bsica si tiene dudas acerca de cmo configurar el servidor de
correo electrnico. Sin embargo, es conveniente averiguar cmo usar el servidor de correo electrnico
para prevenir la retransmisin de correo electrnico.
Para proteger el servidor, se cambia la configuracin de la poltica de proxy SMTP que filtra el trfico de la
red externa al servidor SMTP interno para incluir su informacin de dominio. Cuando se ingresa el dominio,
se puede usar el carcter comodn*. De este modo, se permite cualquier direccin de correo electrnico
que termine en @su-nombre-de-dominio. Si el servidor de correo electrnico acepta correos electrnicos
para ms de un dominio, el usuario puede agregar ms dominios. Por ejemplo, si agrega
*@watchguard.com y *@*.watchguard.com a la lista, el servidor de correo electrnico aceptar todos los
mensajes de correo electrnico destinados al dominio de nivel superior watchguard.com y todos los
mensajes de correo electrnico destinados a subdominios de watchguard.com. Por ejemplo,
rnd.watchguard.com.
Antes de comenzar este procedimiento, debe conocer los nombres de todos los dominios para los que el
servidor de correo electrnico SMTP recibe mensajes de correo electrnico.
Gua del Usuario 461
2. Haga doble clic en la poltica de proxy SMTP que filtra el trfico desde la red externa al servidor
SMTP interno.
4. Haga clic en .
Aparece el cuadro de dilogo Configuracin de accin de proxy SMTP.
5. En el rbol Categoras, seleccione Direccin> Destin. a.
6. En el cuadro de texto Patrn, ingrese * @[su-nombre-de-dominio].
7. En la seccin Acciones que realizar, haga clic en la lista desplegable Sin coincidencias y seleccione
Negar.
Se niega todo mensaje de correo electrnico destinado a una direccin fuera de los dominios de la lista.
8. Haga clic en OK para cerrar el cuadro de dilogo Configuracin de accin de proxy SMTP.
9. Haga clic en OK nuevamente para cerrar la definicin de poltica SMTP.
10. Haga clic en Cerrar para cerrar al cuadro de dilogo Editar propiedades de polticas.
El dominio aparece en la lista Reglas.
Otra forma de proteger al servidor es ingresar un valor en el cuadro de texto Reescribir como en este
cuadro de dilogo. Firebox luego cambia los componentes De y A de la direccin de correo electrnico a un
valor diferente. Esta funcin tambin se conoce como enmascaramiento del SMTP.
Pgina Acerca de Proxy de TCP-UDP
El proxy de TCP-UDPse incluye para estos protocolos en puertos no estndar: HTTP, HTTPS, SIP y FTP. En el
caso de estos protocolos, el proxy de TCP-UDPretransmite el trfico a los servidores proxy correctos para
los protocolos o le da la posibilidad de permitir o negar el trfico. En el caso de otros protocolos, puede
seleccionar si desea permitir o negar el trfico. Tambin puede utilizar esta poltica de proxy para permitir o
negar el trfico de red mediante IM(mensajera instantnea)y P2P(punto a punto). El proxy de TCP-UDP
est pensado slo para las conexiones salientes.
Para agregar el proxy de TCP-UDP a su configuracin de Firebox, consulte Agregar una poltica de proxy a
la configuracin en la pgina 383.
Pestaa Poltica
n Las conexiones del proxy de TCP-UDP estn Especifique si las conexiones estn Permitidas,
Negadas o Negadas (enviar restablecer), y defina quin aparece en la lista De y A (en la pestaa
Poltica de la definicin de proxy). Para obtener ms informacin, consulte Definir reglas de acceso
a una poltica en la pgina 356.
Pestaa Propiedades
n En la lista desplegable Accin de proxy, seleccione una accin de proxy.
la pgina 376.
y notificacin .
n Si configur la lista desplegable Las conexiones estn (en la pestaa Poltica) como Negadas o
Negadas (enviar restablecer), puede bloquear los sitios que intenten utilizar el TCP-UDP. Vea
Bloquear sitios temporalmente con configuracin de polticas en la pgina 494.
n Si desea utilizar un tiempo de espera inactivo distinto de configurado por el dispositivo WatchGuard
o el servidor de autenticacin, Configurar un tiempo de espera inactivo personalizado.
1. Haga clic en .
n Proxy de TCP-UDP: Configuraciones generales
n Proxyde TCP-UDP: Bloqueo de aplicaciones
n Proxy y AV alarmas (Las capturas SNMPy las notificaciones estn desactivadas por defecto)
Pestaa Avanzada
Proxy de TCP-UDP: Configuraciones generales
En la pgina General, se configuran los parmetros bsicos para el proxy de TCP-UDP.
Gua del Usuario 463
Acciones del servidor proxy para redirigir el trfico
El proxy de TCP-UDP puede pasar el trfico HTTP, HTTPS, SIP y FTP a polticas de proxy que ya haya
creado cuando este trfico se enve por puertos no estndar. Para cada uno de estos protocolos,
seleccione la poltica de proxy que desea para administrar este trfico desde la lista desplegable
adyacente. Si no desea que su Firebox utilice una poltica de proxy para filtrar un protocolo,
seleccione Permitir o Negar en la lista desplegable adyacente.
Nota Para asegurarse de que su Firebox funciona correctamente, no podr seleccionar
la opcin Permitir para el protocolo FTP.
Seleccione esta casilla de verificacin para recolectar informacin de registro adicional para los
informes.
Proxyde TCP-UDP: Bloqueo de aplicaciones
Puede utilizar este conjunto de reglas para definir las acciones que toma Firebox cuando el proxy de TCP-
UDP detecta servicios de mensajera instantnea (IM) o punto a punto (P2P). El proxy de TCP-UDP detecta
estos servicios de IM: AOL Instant Messenger (AIM), ICQ, IRC, MSN Messenger y Yahoo! Messenger. Detecta
estos tipos de servicios P2P: BitTorrent, eDonkey2000 (Ed2k), Gnutella, Kazaa, Napster y Phatbot.
Puede utilizar la funcin de bloqueo de aplicaciones si no adquiri el Intrusion Prevention Service.
2. Haga doble clic en la poltica de proxy de TCP-UDP.
4. Haga clic en .
Aparece un cuadro de dilogo de configuracin de la accin de proxy de TCP-UDP.
5. En el diagrama Categoras, seleccione Application Blocker.
6. Haga clic en la pestaa IM.
7. En la lista desplegable, seleccione la accin que tomar Firebox cuando detecte servicios de
mensajera instantnea (IM):
Permitir
Permite que el paquete se dirija al destinatario, incluso si el contenido concuerda con una
firma.
Denegar
Elimina el paquete y enva un paquete de restablecimiento del TCP al remitente.
8. Seleccione la casilla de verificacin para cada aplicacin de IMpara cuyo trfico desee que Firebox
tome medidas.
9. Para seleccionar todas las aplicaciones de IM,seleccione Todas las categoras.
Todas las aplicaciones se seleccionan automticamente.
10. Para definir las acciones a tomar para las aplicaciones P2P,haga clic en la pestaa P2P.
11. Para seleccionar las acciones y categoras para las aplicaciones P2P, repita los pasos 7 al 9.
12. Haga clic en Registro y notificacin para configurar el registro y la notificacin para IPS.
Para ms informaciones, vea Determinar preferencias de registro y notificacin en la pgina 649.
accin.
Aparecer el cuadro de dilogo Nuevas propiedades de polticas.
Gua del Usuario 465
15
Administracin de trfico y QoS
Acerca de las Administracin de trfico y QoS
En una red amplia con muchas computadoras, el volumen de datos que se desplaza por el firewall puede
ser muy grande. Un administrador de red puede utilizar las acciones de Administracin de trfico y Calidad
de servicio (QoS) para evitar la prdida de datos para importantes aplicaciones comerciales y para
asegurarse de que las aplicaciones crticas de la misin tengan prioridad sobre el resto del trfico.
La administracin de trfico y la QoS proporcionan una cantidad de beneficios. Se puede:
n Garantizar o limitar el ancho de banda
n Controlar la velocidad a la cual Firebox enva paquetes a la red
n Priorizar cundo enviar paquetes a la red
Para aplicar la administracin de trfico a las polticas, usted define una accin de administracin de trfico,
que es una coleccin de configuraciones que puede aplicar a una o ms definiciones de la poltica. De esta
manera, no necesita ajustar la configuracin de la administracin de trfico de manera independiente en
cada poltica. Puede definir acciones de administracin de trfico adicionales si desea aplicar diferentes
configuraciones a diferentes polticas.
Activar administracin de trfico y QoS
Por motivos de rendimiento, todas las funciones de administracin de trfico y QoS estn desactivadas de
manera predeterminada. Debe activar estas funciones en la Configuracin global antes de poder utilizarlas.
1. Seleccione Configuracin >Configuracin global.
Aparecer la ventana de Configuracin global.
2. Seleccione la casilla de verificacin Activar todas las funciones de administracin de trfico y QoS.
3. Haga clic en OK.
Garantice ancho de banda
Las reservas de ancho de banda pueden evitar los tiempos de espera de conexin. Una cola de
administracin de trfico con ancho de banda reservado y una prioridad baja puede proporcionar ancho de
banda a aplicaciones en tiempo real con mayor prioridad cuando sea necesario y sin desconexiones. Otras
colas de administracin de trfico pueden aprovechar el ancho de banda reservado sin utilizar cuando est
disponible.
Por ejemplo, supongamos que la compaa tiene un servidor FTP en una red externa y desea garantizar que
el FTP siempre tenga por lo menos 200kilobytes por segundo (KBps) mediante la interfaz externa. Tambin
puede considerar la configuracin de un ancho de banda mnimo para la interfaz de confianza para
asegurarse de que la conexin tenga un ancho de banda garantizado de extremo a extremo. Para hacer
esto, debera crear una accin de administracin de trfico que defina un mnimo de 200KBps para el
trfico FTP en la interfaz externa. Entonces, creara una poltica FTP y aplicara la accin de administracin
de trfico. Esto permitir ejecutar el comando ftp put a 200KBps. Si desea permitir la ejecucin del
comando ftp get a 200KBps, debe configurar el trfico FTP en la interfaz de confianza para que tambin
tenga un mnimo de 200KBps.
Gua del Usuario 467
Como ejemplo adicional, supongamos que su compaa utiliza materiales multimedia (streaming media)
para capacitar a clientes externos. Estos materiales multimedia utilizan RTSP mediante el puerto 554. Tiene
cargas frecuentes al FTP de la interfaz de confianza a la interfaz externa y no desea que estas cargas
compitan con la capacidad de los clientes para recibir los materiales multimedia. Para garantizar el ancho de
banda suficiente, puede aplicar una accin de administracin de trfico a la interfaz externa para el puerto
de materiales multimedia.
Restrinja el ancho de banda
La configuracin de ancho de banda garantizado trabaja con el ajuste del Ancho de banda de interfaz
saliente configurado para cada interfaz externa para asegurarse de que no garantice ms ancho de banda
del que realmente existe. Esta configuracin tambin ayuda a asegurar que la suma de la configuracin de
ancho de banda garantizado no llene el enlace de modo que el trfico no garantizado no pueda pasar. Por
ejemplo, supongamos que el enlace es de 1Mbps y usted intenta utilizar una accin de administracin de
trfico que garantiza 973Kbps (0.95Mbps) a la poltica FTP en ese enlace. Con esta configuracin, el trfico
FTP podra utilizar una cantidad tal del ancho de banda disponible que otros tipos de trfico no podran
utilizar la interfaz. Si intenta configurar Firebox de esta manera, el Policy Manager le advierte que se est
acercando al lmite establecido para la configuracin de Ancho de banda de interfaz saliente para esa
interfaz.
Marcado QoS
El marcado QoS crea diferentes clases de servicio para distintos tipos de trfico de red saliente. Cuando
marca el trfico, puede cambiar hasta seis bits en los campos del encabezado del paquete definidos para
este fin. Otros dispositivos pueden utilizar este marcado para administrar un paquete de la manera
adecuada mientras viaja de un punto a otro de la red.
Puede activar el marcado QoS para una interfaz individual o una poltica individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz est marcado. Cuando define el
marcado QoS para una poltica, todo el trfico que utiliza esa poltica tambin est marcado.
Prioridad de trfico
Puede asignar diferentes niveles de prioridad a las polticas o al trfico de una interfaz en particular. La
priorizacin del trfico en el firewall le permite administrar cosas de clase de servicio (CoS) mltiples y
reservar la prioridad ms alta para los datos en tiempo real o la transmisin de datos. Una poltica con alta
prioridad puede extraer ancho de banda de las conexiones existentes de baja prioridad cuando el enlace
est congestionado; entonces, el trfico debe competir por el ancho de banda.
Configure los lmites de la tasa de conexin
Para mejorar la seguridad de red, puede crear un lmite en una poltica de modo que slo filtre una
cantidad especfica de conexiones por segundo. Si se intentan realizar conexiones adicionales, el trfico se
niega y se crea un mensaje de registro. Tambin puede crear una alarma para cuando esto ocurra. Puede
configurar la alarma para hacer que Firebox enve una notificacin de evento al sistema de administracin
SNMP o bien, una notificacin en la forma de un mensaje de correo electrnico o una ventana emergente
en la estacin de administracin.
1. Haga doble clic en una poltica para editarla.
3. En la lista desplegable Tasa de conexin, seleccione el nmero mximo de conexiones por segundo.
La configuracin predeterminada no impone lmites a la tasa de conexin.
4. Si desea recibir una notificacin cuando se exceda la tasa de conexin, seleccione la casilla de
verificacin Alarma cuando se excede la capacidad.
5. Haga clic en Notificacin y configure los parmetros de notificacin, como se describe en
Determinar preferencias de registro y notificacin en la pgina 649.
6. Haga clic en OK.
Acerca de las Marcado QoS
Las redes actuales suelen constar de varios tipos de trfico de red que compiten por el ancho de banda.
Todo el trfico, ya sea de primordial importancia o carente de importancia, tiene la misma posibilidad de
llegar a destino de manera oportuna. El marcado de calidad del servicio (QoS) le brinda un tratamiento
preferencial al trfico crtico, para asegurarse de que sea entregado de manera rpida y confiable.
La funcin de QoS debe poder diferenciar los varios tipos de secuencias de datos que fluyen por su red.
Entonces, debe marcar los paquetes de datos. El marcado QoS crea diferentes clasificaciones de servicio
para distintos tipos de trfico de red. Cuando marca el trfico, puede cambiar hasta seis bits en los campos
del encabezado del paquete definidos para este fin. Firebox y otros dispositivos aptos para QoS pueden
utilizar este marcado para administrar un paquete de la manera adecuada mientras viaja de un punto a otro
de la red.
Fireware XTMsoportados tipos de marcadoQoS: Marcade precedenciaIP (tambinconocida comoClase de
servicio) y marcade DifferentiatedService Code Point (DSCP). Para obtener ms informacinacerca de estos
tipos de marcadoy los valores que puede configurar, consulte Marcado: tipos y valores enla pgina469.
Antes de empezar
n Asegrese de que su equipo de LAN soporte el marcado y la administracin QoS. Es posible que
tambin deba asegurarse de que su ISP soporte el marcado QoS.
n El uso de procedimientos de QoS en una red requiere una planificacin exhaustiva. Primero puede
identificar el ancho de banda terico disponible y luego determinar qu aplicaciones de red son de
alta prioridad, especialmente sensibles a la latencia y la oscilacin o ambas opciones.
Gua del Usuario 469
Marcado QoSpara interfaces y polticas
Puede activar el marcado QoS para una interfaz individual o una poltica individual. Cuando define el
marcado QoS para una interfaz, cada paquete que abandona la interfaz est marcado. Cuando define el
marcado QoS para una poltica, todo el trfico que utiliza esa poltica tambin est marcado. El marcado QoS
para una poltica anula cualquier configuracin de marcado QoS en una interfaz.
Por ejemplo, supongamos que su Firebox recibe trfico con marcado QoS de una red de confianza y lo
enva a una red externa. La red de confianza ya tiene aplicado el marcado QoS, pero usted desea que el
trfico a su equipo ejecutivo obtenga una prioridad ms alta que el resto del trfico de red de la interfaz de
confianza. Primero, configure el marcado QoS de la interfaz de confianza en un valor determinado. Luego,
agregue una poltica con configuracin de marcado QoS para el trfico a su equipo ejecutivo con un valor
ms alto.
Marcado QoS y trfico IPSec
Si desea aplicar el marcado QoS al trfico IPsec, debe crear una poltica de firewall especfica para la poltica
IPsec correspondiente y aplicarle el marcado QoS a esa poltica.
Tambin puede elegir si desea preservar el marcado existente cuando se encapsula un paquete marcado
en un encabezado IPSec.
Para preservar el marcado:
1. SeleccioneVPN> Configuracin deVPN.
Aparece el cuadro de dilogo Configuraciones de VPN.
2. Seleccione la casilla de verificacin Activar TOS para IPSec.
3. Haga clic en OK.
Se preservan todas las marcas existentes cuando el paquete es encapsulado en un encabezado IPSec.
Para eliminar el marcado:
1. SeleccioneVPN> Configuracin deVPN.
2. Limpie la casilla de verificacin Activar TOS para IPSec.
3. Haga clic en OK.
Se restablecen los bits de TOS y no se preserva el marcado.
Marcado: tipos y valores
Fireware XTMsoporta dos tipos de marcado QoS: Marca de precedencia IP (tambin conocida como Clase
de servicio) y marca de Differentiated Service Code Point (DSCP). La marca de precedencia IP slo afecta a
los tres primeros bits del octeto de tipo de servicio IP (TOS). La marca DSCP ampla el marcado a los seis
primeros bits del octeto de TOS IP. Ambos mtodos le permiten preservar los bits en el encabezado, que
pueden haber sido marcados previamente por un dispositivo externo, o cambiarlos a un nuevo valor.
Los valores de DSCP se pueden expresar de forma numrica o mediante nombres de palabras clave
especiales que corresponden al comportamiento por salto (PHB). El comportamiento por salto es la
prioridad aplicada a un paquete cuando viaja de un punto a otro dentro de una red. La marca DSCP de
Fireware soporta tres tipos de comportamiento por salto:
Mejor esfuerzo
Mejor esfuerzo es el tipo de servicio predeterminado y se recomienda para el trfico no crtico o no
realizado en tiempo real. Si no utiliza el marcado QoS, todo el trfico recaer dentro de esta clase.
Assured Forwarding (AF)
El Assured Forwarding se recomienda para el trfico que requiere mejor confiabilidad que el
servicio de mejor esfuerzo. Dentro del tipo de comportamiento por salto denominado Assured
Forwarding (AF), el trfico puede asignarse a tres clases: baja, media y alta.
Desvo urgente (EF)
Este tipo tiene la prioridad ms alta. Generalmente se reserva para el trfico crtico de la misin y en
tiempo real.
Los puntos de cdigo del selector de clase (CSx) se definen como compatibles con las versiones anteriores
de los valores de precedencia IP. CS1 a CS7 son idnticos a los valores de precedencia IP 1 a 7.
La tabla subsiguiente muestra los valores de DSCP que usted puede seleccionar, el valor de precedencia IP
correspondiente (que es igual al valor CS) y la descripcin en palabras clave de PHB.
Valorde DSCP
Valor de precedencia IP
equivalente (valores CS)
Descripcin: Palabra clave del
comportamiento por salto
0 Mejor esfuerzo (igual a la carencia de marcado)
8 1 Scavenger*
10 AF Clase 1 - Baja
12 AF Clase 1 - Media
14 AF Clase 1 - Alta
16 2
24 3
32 4
Gua del Usuario 471
Valorde DSCP
Valor de precedencia IP
equivalente (valores CS)
Descripcin: Palabra clave del
comportamiento por salto
40 5
46 EF
48 6 Control de Internet
56 7 Control de red
* La clase Scavenger se utiliza para el trfico de prioridad ms baja (por ejemplo, para compartir medios o
utilizar aplicaciones de juegos). Este trfico tiene una prioridad ms baja que Mejor esfuerzo.
Para obtener ms informacin acerca de los valores de DSCP consulte esta referencia: http://www.rfc-
editor.org/rfc/rfc2474.txt
Activar marcado QoS para una interfaz
Puede establecer el comportamiento de marcado predeterminado a medida que el trfico sale de una
interfaz. Estas configuraciones pueden ser anuladas por las configuraciones definidas para una poltica.
1. Seleccione Configuracin > Configuracin global.
Aparece el cuadro de dilogo Configuraciones globales.
2. Seleccione lacasillade verificacinActivar todas las funciones de administracinde trficoyQoS.
Hagaclic enOK.
Es posible que desee desactivar estas funciones ms tarde si realizapruebas de rendimiento odepuracinde red.
4. Seleccione la interfaz para la cual desea activar el marcado QoS. Haga clic en Configurar.
6. En la lista desplegable Tipo de marcado, seleccione DSCP o Precedencia IP.
7. En la lista desplegable Mtodo de marcado, seleccione el mtodo de marcado:
n Preservar: nocambiar el valor actual del bit. Firebox priorizael trficosobre labase de este valor.
n Asignar: asignarle al bit un nuevo valor.
n Borrar: borrar el valor del bit (configurarlo en cero).
8. Si seleccion Asignar en el paso anterior, seleccione un valor de marcado.
Si seleccion el tipo de marcado Precedencia IP puede seleccionar valores de 0 (prioridad normal)
a 7 (prioridad ms alta).
Si seleccion el tipo de marcado DSCP, los valores son de 0 a 56.
Para obtener ms informacin acerca de estos valores, consulte Marcado: tipos y valores en la
pgina 469.
9. Seleccione la casilla de verificacin Priorizar trfico basado en el marcado QoS.
Activar el marcado QoS o configuraciones de priorizacin para
una poltica
Adems de marcar el trfico que abandona una interfaz de Firebox, tambin puede marcar el trfico por
poltica. La accin de marcado que selecciona es aplicada a todo el trfico que usa la poltica. Las polticas
mltiples que utilizan las mismas acciones de marcado no tienen efecto una sobre otra. Las interfaces de
Firebox tambin pueden tener su propia configuracin de marcado QoS. Para utilizar el marcado QoS o la
configuracin de priorizacin para una poltica, debe cancelar cualquier configuracin de marcado QoS por
interfaz.
1. Haga doble clic en el cono de la poltica cuyo trfico desea marcar.
3. En la mitad del cuadro de dilogo, haga clic en la pestaa QoS.
4. Seleccione la casilla de verificacin Cancelar configuraciones por interfaz para activar otros campos
de marcado QoS y priorizacin.
5. Complete la configuracin como se describe en las secciones subsiguientes.
6. Haga clic en OK.
7. Guardar el archivo de configuracin
Gua del Usuario 473
Configuracin de marcado QoS
Para obtener ms informacin acerca de los valores de marcado QoS, consulte Marcado: tipos y valores en
la pgina 469.
4. En la lista desplegable Priorizar trfico basado en, seleccione MarcadoQoS.
Configuracin de priorizacin
Se pueden utilizar muchos algoritmos para priorizar el trfico de red. Fireware XTMutiliza un mtodo de
cola de alto rendimiento segn la clase basado en el algoritmo de marcado jerrquico de paquetes
(Hierarchical Token Bucket, HTB). La priorizacin en el Fireware XTMse aplica por poltica y es equivalente a
los niveles de 0 a 7 de CoS (clase de servicio), donde 0 es la prioridad normal (predeterminada) y 7 es la
prioridad ms alta. El nivel 5 comnmente se utiliza para transmitir datos como VoIP o videoconferencias.
Reserve los niveles 6 y 7 para las polticas que permiten las conexiones de administracin del sistema, para
asegurarse de que estn siempre disponibles y evitar la interferencia de otro trfico de red de alta
prioridad.Utilice la tabla de niveles de prioridad como gua cuando asigne las prioridades.
1. En la lista desplegable Priorizar trfico basado en, seleccione Valor personalizado.
2. En la lista desplegable Valor, seleccione un nivel de prioridad.
Niveles de prioridad
Le recomendamos asignar una prioridad superior a 5 slo a las polticas administrativas de WatchGuard,
como la poltica WatchGuard, la poltica WG-Logging o la poltica WG-Mgmt-Server. El trfico comercial de
alta prioridad deber obtener una prioridad de 5 o menor.
Prioridad Descripcin
0 Rutinaria (HTTP, FTP)
1 Prioridad
2 Inmediata (DNS)
3 Flash (Telnet, SSH, RDP)
4 Cancelar Flash
5 Crtica (VoIP)
Prioridad Descripcin
6 Control de interconexin de redes (Configuracin del enrutador remoto)
7 Control de red (Administracin de firewall, enrutador e interruptor)
Activar el Marcado QoS para un tnel BOVPN administrado
Para utilizar el marcado QoS con un tnel BOVPN administrado, debe crear una plantilla de poltica de
firewall de VPN y aplicar esa plantilla al tnel BOVPN administrado. No puede editar la opcin
predeterminada Cualquier poltica para los tneles BOVPN administrados.
Puede utilizar el marcado QoS en una plantilla de poltica de firewall de VPN para configurar diferentes
prioridades para los tneles BOVPN administrados que utilizan diferentes plantillas de poltica. La accin de
marcado que seleccione se aplicar a todo el trfico que utilice la plantilla de la poltica.
1. Abra el WatchGuard System Manager y conctese a un Management Server.
2. Haga clic en la pestaa Administracin de dispositivo.
3. Expanda Redes privadas virtuales (VPN) administradas y expanda Plantillas de poltica de firewall
de VPN.
4. Seleccione en el diagrama una plantilla de poltica de firewall de VPN para editarla, o bien Agregue
plantillas de poltica de firewall de VPN.
5. En la seccin Configuracin, haga clic en Configurar.
Aparece el cuadro de dilogo Plantilla de poltica de firewall deVPN.
Gua del Usuario 475
7. Seleccione la casilla de verificacin Cancelar configuraciones por interfaz.
11. En la lista desplegable Priorizar trfico basado en, seleccione el mtodo de priorizacin del trfico:
n Valor personalizado: utilice un valor personalizado para priorizar el trfico.
n Marcado QoS: priorice el trfico sobre la base de la configuracin del marcado QoS para esta
plantilla de poltica.
12. Si seleccion Valor personalizado, en la lista desplegable Valor, seleccione un nivel de prioridad.
Para obtener ms informacin acerca de los valores de prioridad del trfico, consulte la tabla en
Activar el marcado QoS o configuraciones de priorizacin para una poltica.
Control de trfico y definiciones de polticas
Definir un Accin de administracin de trfico
Las acciones de administracin de trfico pueden imponer restricciones de ancho de banda y garantizar una
cantidad mnima de ancho de banda para una o ms polticas. Cada accin de administracin de trfico
puede incluir configuraciones para interfaces mltiples. Por ejemplo, en una accin de administracin de
trfico utilizada con una poltica HTTP para una organizacin pequea, puede configurar el ancho de banda
mnimo garantizado de una interfaz de confianza en 250Kbps y el ancho de banda mximo en 1000Kbps.
Esto limita las velocidades a las cuales los usuarios pueden descargar archivos, pero garantiza que una
pequea cantidad del ancho de banda siempre est disponible para el trficoHTTP. Luego podr configurar
el ancho de banda mnimo garantizado de una interfaz externa en 150Kbps y el ancho de banda mximo en
300Kbps para administrar las velocidades de carga al mismo tiempo.
Determine el ancho de banda disponible
Antes de comenzar, debe determinar el ancho de banda disponible de la interfaz utilizada para las polticas
que desea que tengan un ancho de banda garantizado. En el caso de las interfaces externas, puede
comunicarse con su ISP (Proveedor de servicios de Internet)para verificar el acuerdo de nivel de servicio
para el ancho de banda. A continuacin puede utilizar una prueba de velocidad con herramientas en lnea
para verificar este valor. Estas herramientas pueden producir valores diferentes segn una cantidad de
variables. En el caso de otras interfaces, puede suponer que la velocidad de enlace en la interfaz Firebox es
el ancho de banda mximo terico para esa red. Tambin debe considerar tanto las necesidades de envo
como de recepcin de una interfaz y configurar el valor de umbral sobre la base de estas necesidades. Si su
conexin a Internet es asimtrica, utilice el ancho de banda del enlace ascendente establecido por su ISP
como el valor de umbral.
Determine la suma de su ancho de banda
Tambin debe determinar la suma del ancho de banda que desea garantizar para todas las polticas en una
interfaz determinada. Por ejemplo, en una interfaz externa de 1500Kbps, es posible que desee reservar
600Kbps para todo el ancho de banda garantizado y utilizar los 900Kbps restantes para todo el otro trfico.
Todas las polticas que utilizan una accin de administracin de trfico comparten su tasa de conexin y sus
configuraciones de ancho de banda. Cuando son creadas, las polticas pertenecen automticamente a la
accin de administracin de trfico predeterminada, que no impone restricciones ni reservas. Si crea una
accin de administracin de trfico para configurar un ancho de banda mximo de 10Mbps y se la aplica a
una poltica FTP y a una poltica HTTP, todas las conexiones manejadas por esas polticas deben compartir 10
Mbps. Si ms tarde aplica la misma accin de administracin de trfico a una polticaSMTP, las tres polticas
debern compartir 10Mbps. Esto tambin se aplica a los lmites de la tasa de conexin y al ancho de banda
mnimo garantizado. El ancho de banda garantizado sin utilizar reservado por una accin de administracin
de trfico puede ser utilizado por otras acciones.
Crear o modificar una accin de administracin de trfico
1. Haga doble clic en la poltica para la cual desea garantizar un ancho de banda mnimo. Haga clic en la
pestaa Avanzado. Haga clic en .
O bien, seleccione Configuracin > Acciones > Administracin de trfico y haga clic en Agregar.
Aparece el cuadro de dilogo Nueva configuracin de accin de administracin de trfico.
Gua del Usuario 477
2. En la seccin Configuracin de ancho de banda para trfico saliente, haga clic en Agregar.
Aparece una lista desplegable de interfaces.
3. En la columna Interfaz, haga clic en la lista desplegable para seleccionar la interfaz para la cual desea
configurar un ancho de banda mnimo.
4. Haga doble clic en las columnas Ancho de banda mnimo garantizado y Ancho de banda mximo
para editar la configuracin. Ingrese un nmero para configurar el ancho de banda mnimo o
mximo en kilobytes por segundo.
5. Haga clic en OK.
6. Si definilaaccinde trficodesde unadefinicinde lapoltica, lanuevaaccinde trficoahora
aparecerenAdministracinde trficoenlapestaaConfiguracinavanzada.
Si definilas acciones de trficodesde Configuracin> Acciones > Administracinde trfico, debe
Agregar una Accin deadministracin detrfico a una poltica paraque tengaunefectosobre sured.
Agregar una Accin de administracin de trfico a una poltica
Despus de Definir un Accin de administracin de trfico, puede agregarla a las definiciones de las
polticas. Tambin puede agregar cualquier accin de administracin de trfico existente a las definiciones
de la poltica.
1. Haga doble clic en la poltica para la cual desea garantizar un ancho de banda mnimo.
3. En la lista desplegable Administracin de trfico, seleccione una accin de administracin de trfico
para aplicarla a la poltica.
Si la suma de todos los anchos de banda garantizados para una interfaz se acerca al ancho de banda
lmite que configur para la interfaz o lo excede, aparecer un mensaje de advertencia.
La nueva accin aparece en el cuadro de texto Acciones de administracin de trfico.
Si desea rastrear el ancho de banda utilizado por una poltica, dirjase a la pestaa Monitor de Servicio del
Firebox System Manager y especifique Ancho de banda en lugar de Conexiones. Para ms informaciones,
vea Exhibicin visual del uso de poltica (pestaa Monitor de Servicio) en la pgina 692.
Nota Si tiene una configuracin multi-WAN, los lmites de ancho de banda se aplican de
manera independiente a cada interfaz.
Agregue una accin de administracin de trfico a las polticas mltiples
Cuando se agrega la misma accin de administracin de trfico a polticas mltiples, el ancho de banda
mximo y mnimo se aplican a cada interfaz de su configuracin. Si dos polticas comparten una accin que
tiene un ancho de banda mximo de 100kbps en una sola interfaz, entonces todo el trfico de esa interfaz
que coincida con esas polticas estar limitado a 100kbps en total.
Si utiliza un ancho de banda limitado en una interfaz para varias aplicaciones, cada una con puertos nicos,
es posible que necesite que todas las conexiones de alta prioridad compartan una accin de administracin
de trfico. Si tiene mucho ancho de banda libre, podra crear acciones de administracin de trfico
independientes para cada aplicacin.
Agregar una accin de administracin de trfico a una poltica
de firewall de BOVPN
Para utilizar la administracin de trfico con un tnel BOVPN administrado, debe crear una plantilla de
poltica de firewall de VPN y aplicar esa plantilla al tnel BOVPN administrado. No puede editar la opcin
predeterminada Cualquier poltica para los tneles BOVPN administrados.
Puede utilizar la administracin de trfico en una plantilla de poltica de firewall de VPN para configurar
diferentes lmites de ancho de banda para los tneles BOVPN administrados que utilizan diferentes
plantillas de poltica. La accin de marcado que seleccione se aplicar a todo el trfico que utilice la plantilla
de la poltica.
1. Abra el WatchGuard System Manager y conctese a un Management Server.
3. Expanda Redes privadas virtuales (VPN) administradas y expanda Plantillas de poltica de firewall
de VPN.
4. Seleccione en el diagrama una plantilla de poltica de firewall de VPN para editarla, o bien Agregue
plantillas de poltica de firewall de VPN.
5. En la seccin Configuracin, haga clic en Configurar.
Aparece el cuadro de dilogo Plantilla de poltica de firewall deVPN.
6. Haga clic en la pestaa Administracin de trfico.
Gua del Usuario 479
7. Seleccione la casilla de verificacin Especificar accin de administracin de trfico personalizada.
8. Defina la accin de administracin de trfico personalizada como se describe en Definir un Accin
de administracin de trfico en la pgina 475.
9. Haga clic en OK.
Gua del Usuario 480
Gua del Usuario 481
16
Default Threat Protection
Acerca de la Default Threat Protection
El OS del Fireware XTMde WatchGuard y las polticas creadas le dan el control rgido sobre el acceso a su
red. Un acceso rgido a polticas ayuda a mantener los hackers fuera de su red. Pero hay otros tipos de
ataques que una poltica rgida no puede derrotar. La configuracin cuidadosa de las opciones de Default
Threat Protection para el dispositivo WatchGuard puede detener amenazas como los ataques de congestin
de SYN, ataques de suplantacin de paquetes y sondeos de espacio de direccin y puerto.
Con la proteccin contra amenazas predeterminada, el firewall examina el origen y el destino de cada
paquete que recibe. Mira la direccin IP y el nmero de puerto y monitorea los paquetes en busca de
patrones que muestran si su red est en riesgo. Si existe algn riesgo, puede configurar el dispositivo
WatchGuard para bloquear automticamente un posible ataque. Ese mtodo proactivo de deteccin de
intrusin y prevencin mantiene a los atacantes fuera de su red.
Para configurar la proteccin contra amenazas predeterminada, vea:
n Acerca de las opciones de administracin predeterminada de paquetes
n Acerca de los sitios bloqueados
n Acerca de los puertos bloqueados
Tambin puede adquirir una actualizacin para su dispositivo WatchGuard para usar Intrusion Prevention
basada en firmas. Para ms informaciones, vea Acerca de las Gateway AntiVirus y prevencin de intrusiones
en la pgina 1083.
Acerca de las opciones de administracin
predeterminada de paquetes
Cuando su dispositivo WatchGuard recibe un paquete, examina la fuente y el destino para ste. Busca la
direccin IP y el nmero del puerto. El dispositivo tambin monitorea paquetes en busca de patrones que
pueden mostrar si su red est en riesgo. Ese proceso se denomina administracin predeterminada de
paquetes.
La administracin predeterminada de paquetes puede:
n Rechazar un paquete que podra ser un riesgo de seguridad, incluyendo paquetes que podran ser
parte de un ataque de suplantacin de paquetes o ataque de congestin del servidor SYN.
n Bloquear automticamente todo el trfico hacia y desde una direccin IP
n Agregar un evento al archivo de registro
n Enviar una captura SNMP al Management Server de SNMP
n Enviar una notificacin de posibles riesgos de seguridad
La mayora de las opciones de administracin predeterminada de paquetes estn activadas en la
configuracin del dispositivo WatchGuard. Puede cambiar los umbrales en los cuales el dispositivo
WatchGuard toma medidas. Tambin puede cambiar las opciones seleccionadas para la administracin
predeterminada de paquetes.
1. En el Policy Manager, haga clic en .
O seleccione Configurar>Default Threat Protection > Administracin predeterminada de
paquetes.
Aparece el cuadro de dilogo "Administracin predeterminada de paquetes".
2. Seleccione las casillas para los patrones de trfico contra los cuales desea tomar medidas, tal como
se explic en esos tpicos:
n Acerca de los ataques de suplantacin de paquetes en la pgina 483
n Acerca de los Ataques de ruta de origen de IP IP en la pgina 484
n Acerca de las pruebas de espacio de direccin y espacio del puerto en la pgina 485
n Acerca de los ataques de congestin del servidor en la pgina 487
n Acerca de los paquetes no controlados en la pgina 488
n Acerca de ataques de negacin de servicio distribuidos en la pgina 490
Gua del Usuario 483
Definir opciones de registros y notificacin
La configuracin predeterminada del dispositivo WatchGuard dice al dispositivo WatchGuard que enve un
mensaje de registro cuando ocurre un evento que sea especificado en el cuadro de dilogo Administracin
de paquetes predeterminada.
Para configurar una captura SNMP o notificacin:
2. Configurar notificaciones, tal como se describe en Determinar preferencias de registro y notificacin
en la pgina 649.
Acerca de los ataques de suplantacin de paquetes
Un mtodo que los atacantes usan para entrar en su red es crear una identidad electrnica falsa. Ese es un
mtodo de suplantacin de IP (spoofing) que los atacantes usan para enviar un paquete de TCP/IP con una
direccin IP diferente de la del equipo que la envi primero.
Cuando se activa un anti-suplantacin (anti-spoofing), el dispositivo WatchGuard verifica si la direccin IP de
origen de un paquete es de una red en una interfaz determinada.
La configuracin predeterminada del dispositivo WatchGuard busca abandonar los ataques de suplantacin
de paquetes. Para alterar la configuracin de esa funcin:
O seleccione Configurar>Default Threat Protection > Administracin de paquetes
predeterminada.
Aparece el cuadro de dilogo "Administracin de paquetes predeterminada".
2. Seleccione o limpie la casilla de verificacin Abandonar ataques de suplantacin de paquetes.
3. Haga clic en OK.
Acerca de los Ataques de ruta de origen de IP IP
Para encontrar la ruta que los paquetes toman en su red, los atacantes usan ataques de ruta de origen de IP.
El atacante enva un paquete de IP y usa la respuesta de su red para obtener informacin acerca del sistema
operativo del equipo objetivo o del dispositivo de red.
La configuracin predeterminada del dispositivo WatchGuard busca abandonar los ataques de ruta de
origen de IP. Para alterar la configuracin de esa funcin:
predeterminada.
Gua del Usuario 485
2. Seleccione o limpie la casilla de verificacin Abandonar ruta de origen de IP.
3. Haga clic en OK.
Acercadelaspruebasdeespaciodedireccinyespaciodel puerto
Los atacantes suelen buscar puertos abiertos como puntos de partida para iniciar ataques de red. Un
sondeo de espacio entre puertos es un trfico de TCP o UDP enviado a un rango de puertos. Esos puertos
pueden estar en secuencia o ser aleatorios, de 0 a 65535. Un sondeode espacio de direccin es un trfico
de TCP o UDP enviado a un rango de direcciones de red. Los sondeos de espacio entre puertos examinan
un equipo para encontrar los servicios que usa. Los sondeos de espacio de direccin examinan una red para
ver cules dispositivos de red estn en aquella red.
Para ms informacin acerca de puertos, vea Acerca de puertos en la pgina 8.
Nota El dispositivo WatchGuard detecta sondeos de espacio de direccin y puerto slo
en interfaces configuradas como tipo Externo.
Cmo el dispositivo WatchGuard identifica sondeos de red
Un sondeo de espacios de direcciones es identificado cuando un equipo en una red externa enva un
nmero especificado de paquetes a direcciones IP diferentes asignadas a interfaces externas del dispositivo
WatchGuard. Para identificar un sondeo de espacio entre puertos, su dispositivo WatchGuard cuenta el
nmero de paquetes enviados desde una direccin IP hacia las direcciones IP de interfaz externa. Las
direcciones pueden incluir la direccin IP de interfaz externa y cualquier direccin IP secundaria
configurada en la interfaz externa. Si el nmero de paquetes enviados a las direcciones IP diferentes o
destination ports en un segundo es superior al nmero seleccionado, la direccin IP de origen es agregada a
la lista de Sitios Bloqueados.
Cuando las casillas Bloquear sondeos de espacio entre puertos y Bloquear sondeos de espacio de direccin
estn seleccionadas, todo el trfico entrante en cualquier interfaz externa es examinado por el dispositivo
WatchGuard. No se puede desactivar esas funciones para direcciones IP especficas o por diferentes
perodos de tiempo.
Para proteger contra sondeos de espacio de direccin y de espacio entre
puertos
La configuracin predeterminada del dispositivo WatchGuard bloquea sondeos de red. Puede alterar las
configuraciones de esa funcin y alterar el nmero mximo permitido de sondeos de direccin o puertos
por segundo para cada direccin IP de origen (el valor predeterminado es 50).
predeterminada.
2. Seleccione o limpie las casillas Bloquear sondeos de espacio de puerto y Bloquear sondeos de
espacios de direccin.
Gua del Usuario 487
3. Haga clic en las flechas para seleccionar el nmero mximo de sondeos de direccin o puerto
permitidos por segundo desde la misma direccin IP. El valor predeterminado para los Bloquear
sondeos de espacio de puerto es de 100 y el valor predeterminado para Bloquear sondeos de
espacio de direccin es de 50. Eso significa que el origen es bloqueado si establece conexiones a
100 puertos o 50 hosts diferentes en un segundo.
4. Haga clic en OK.
Para bloquear atacantes ms rpidamente, se puede definir en un valor mnimo el umbral de nmero
mximo permitido de sondeos de direccin o puerto por segundo. Si el nmero est definido en
demasiado bajo, el dispositivo WatchGuard tambin podran negar trfico legtimo de red. Es menos
probable que bloquee trfico legtimo de red si usa un nmero ms alto, pero el dispositivo WatchGuard
debe enviar paquetes de restablecer TCP para cada conexin que abandona. Eso consume ancho de banda
y recursos en el dispositivo WatchGuard y provee informacin al atacante acerca de su firewall.
Acerca de los ataques de congestin del servidor
En un ataque de congestin del servidor, los atacantes envan un volumen muy alto de trfico a un sistema
para que no pueda examinar y termine permitiendo el trfico de red. Por ejemplo, un ataque de
congestin del servidor ICMP ocurre cuando un sistema recibe muchos comandos ping de ICMP y debe
usar todos sus recursos para enviar comandos de respuestas. En dispositivo WatchGuard puede proteger
contra esos tipos de ataques de congestin:
n IPSec
n IKE
n Protocolo de control de mensajes en Internet (ICMP)
n SYN
n Protocolo de datagrama de usuario (UDP)
Los ataques de congestin tambin son conocidos como ataques de negacin de servicio (DoS). La
configuracin predeterminada del dispositivo WatchGuard busca bloquear ataques de congestin.
Para cambiar las configuraciones para esa funcin, o para cambiar el nmero mximo de conexiones
permitidas por segundo:
predeterminada.
2. Seleccione o limpie las casillas de verificacin Ataque de congestin del servidor.
3. Haga clic en las flechas para seleccionar el nmero mximo de paquetes permitidos por segundo
para cada direccin IP de origen.
Por ejemplo, si se define en 1000, el Firebox bloquea una fuente que reciba ms de 1000 paquetes
por segundo desde aquella origen.
4. Haga clic en OK.
Acerca de la configuracin del ataque de congestin del servidor de SYN
Paraataques de congestin de SYN, puede definir el umbral apartir del cual el dispositivo WatchGuard
informaun posible ataque de congestin del servidor de SYN, peroningn paquete es abandonadosi slose
recibe el nmerode paquetes seleccionado. Cuandose duplicael umbral seleccionado, todos los paquetes
de SYN sonabandonados. Encualquier nivel entre el umbral seleccionadoy el doble de ese nivel, si los
valores src_IP, dst_IP y total_extensinde unpaquete sonlos mismos en el paquete anterior recibido,
entonces siempre es abandonado. De lo contrario, 25% de los nuevos paquetes recibidos son abandonados.
Por ejemplo, se define el umbral del ataque de congestin del servidor de SYN en 18 paquetes/seg. Cuando
el dispositivo WatchGuard recibe 18 paquetes/seg, le informa un posible ataque de congestin del servidor
de SYN, pero no abandona ningn paquete. Si el dispositivo recibe 20 paquetes por segundo, abandona el
25% de los paquetes recibidos (5 paquetes). Si el dispositivo recibe 36 paquetes o ms, los ltimos 18 o ms
son abandonados.
Acerca de los paquetes no controlados
Un paquete no controlado es un paquete que no coincide con ninguna regla de poltica. El dispositivo
WatchGuard siempre niega los paquetes no controlados, pero puede cambiar la configuracin del
dispositivo para proteger an ms su red.
Gua del Usuario 489
predeterminada.
2. Seleccione o limpie las casillas de verificacin para estas opciones:
Bloquear automticamente origen de paquetes no controlados
Seleccione para bloquear automticamente el origen de los paquetes no controlados. El
dispositivo WatchGuard aade la direccin IP que enva el paquete a la lista de sitios
temporalmente bloqueados.
Enviar mensaje de error a los clientes cuyas conexiones estn desactivadas
Seleccione para enviar un restablecer TCP o error de ICMP de vuelta al cliente cuando el
dispositivo WatchGuard recibe un paquete no controlado.
Ver estadsticas de paquetes no controlados
Puede ver estadsticas de paquetes no controlados recibidos por el dispositivo WatchGuard en el Exhibicin
visual del uso de poltica (pestaa Monitor de Servicio)Firebox System Manager. Use la lista desplegable
Mostrar conexiones por para mostrar conexiones por regla en vez de por poltica.
Acerca de ataques de negacin de servicio distribuidos
Ataques de negacin de servicio distribuidos (DDoS) son muy similares a ataques de congestin del
servidor. En un ataque DDoS, muchos clientes y servidores diferentes envan conexiones a un slo sistema
informtico para intentar congestionar el sistema. Cuando ocurre un ataque de DDoS, usuarios legtimos no
pueden usar el sistema objetivo.
La configuracin predeterminada del dispositivo WatchGuard busca bloquear ataques DDoS. Puede cambiar
configuraciones para esa funcin y tambin el nmero mximo de conexiones permitidas por segundo.
predeterminada.
2. Seleccione o limpie las casillas de verificacin Cuota por cliente o Cuota por servidor.
3. Haga clic en las flechas para definir el nmero mximo de conexiones permitidas por segundo
desde una direccin IP de origen protegida por el dispositivo WatchGuard (Cuota por cliente) o una
direccin IP de destino protegida por el dispositivo WatchGuard (Cuota por servidor): Las
conexiones que exceden esa cuota son desechadas.
Acerca de los sitios bloqueados
Un sitio bloqueado es una direccin IP que no puede establecer una conexin a travs del dispositivo
WatchGuard. Se solicita al dispositivo WatchGuard que bloquee sitios especficos que sabe o supone que
Gua del Usuario 491
representan un riesgo de seguridad. Despus de encontrar la fuente del trfico sospechoso, puede
bloquear todas las conexiones desde esa direccin IP. Tambin puede configurar el dispositivo WatchGuard
para enviar un mensaje de registro cada vez que la fuente intenta establecer conexin con su red. A partir
del archivo de registro, puede ver los servicios que las fuentes usan para lanzar los ataques.
El Firebox niega todo el trfico a partir de una direccin IP bloqueada. Puede definir dos tipos diferentes de
direcciones IP bloqueadas: permanente y bloqueo automtico.
Sitios permanentemente bloqueados
El trfico de red desde sitios permanentemente bloqueados siempre es negado. Esas direcciones IP son
almacenadas en la lista de Sitios Bloqueados y deben ser aadidas manualmente. Por ejemplo, puede aadir
una direccin IP que constantemente intenta explorar su red segn la lista de Sitios Bloqueados para evitar
exploraciones de puertos desde aquel sitio.
Para bloquear un sitio, vea Bloquear un sitio permanentemente en la pgina 491.
Lista de Sitios de bloqueo automtico/Sitios temporalmente
bloqueados
Los paquetes desde los sitios de bloqueo automtico son negados por el perodo de tiempo especificado. El
Firebox usa las reglas de manejo de paquetes especificadas para cada poltica para determinar si bloquear o
no un sitio. Por ejemplo, si crea una poltica que niega todo el trfico en un puerto 23 (Telnet), cualquier
direccin IP que intente enviar trfico Telnet a travs de ese puerto es automticamente bloqueada por el
perodo de tiempo especificado.
Para bloquear automticamente los sitios que envan trfico negado, vea Bloquear sitios temporalmente con
configuracin de polticas en la pgina 494.
Tambinpuede bloquear automticamente sitios que seanfuente de paquetes que nocoincidanconninguna
reglade poltica. Params informaciones, veaAcerca delos paquetes no controlados enlapgina488.
Bloquear un sitio permanentemente
Seleccione Configurar> Default Threat Protection > Sitios bloqueados .
Aparece el dilogo "Configuracin de sitios bloqueados".
Aparece el cuadro de dilogo "Agregar sitio".
3. En la lista desplegable Elegir tipo, seleccione un mtodo para identificar el sitio bloqueado.
Las opciones son: IP de host, IP de red, rango de hosts o nombre de host (bsqueda de DNS).
4. Ingrese el valor.
El valor muestra si es una direccin IP o un rango de direcciones IP. Si debe bloquear un rango de
direcciones que incluya una o ms direcciones IP asignadas al dispositivo WatchGuard, primero debe
aadir esas direcciones IP a la lista de excepciones sitios bloqueados.
Para aadir excepciones, vea Crear Excepciones sitios bloqueados en la pgina 493.
5. (Opcional) Ingrese un comentario para proveer informacin acerca del sitio.
6. Seleccione Aceptar.
El nuevo sitio aparece en la lista "Sitios bloqueados".
Configurar registros para sitios bloqueados
Puede configurar el dispositivo WatchGuard para que haga una entrada de registros o enve un mensaje de
notificacin si un equipo intenta usar un sitio bloqueado.
En el cuadro de dilogo "Configuracin de sitios bloqueados":
Gua del Usuario 493
en la pgina 649.
Crear Excepciones sitios bloqueados
Cuando aade un sitio a la lista de Excepciones sitios bloqueados, el trfico hacia ese sitio no es bloqueado
por la funcin de bloqueo automtico.
1. En el Policy Manager, seleccione Configurar> Default Threat Protection > Sitios bloqueados . Haga
clic en la pestaa Excepciones sitios bloqueados.
Aparece el cuadro de dilogo "Agregar sitio".
3. En la lista desplegable Elegir tipo seleccione un tipo de miembro. Las opciones son: IP de host, IP de
red, rango de hosts o nombre de host (bsqueda de DNS).
4. Ingrese el valor del miembro.
El tipo de miembro muestra si es una direccin IP o un rango de direcciones IP. Cuando inserta una
direccin IP, inserte todos los nmeros y el punto. No use la tecla tab o las teclas de flechas.
5. Haga clic en OK.
Importar una lista de sitios bloqueados o excepciones sitios
bloqueados
Si administra varios dispositivos WatchGuard y desea usar los mismos sitios bloqueados o excepciones sitios
bloqueados para ms de un dispositivo, puede crear una lista de sitios para bloquear en un archivo de texto
sin formato (.txt) e importar el archivo hacia cada dispositivo.
Las direcciones IP en el archivo de texto deben estar separadas por espacios o por cambios de lnea. Use la
notacin diagonal para especificar las redes. Para sealar un rango de direcciones, separe las direcciones de
inicio y fin con un guin. Un ejemplo de archivo de texto importado puede tener esta apariencia:
2.2.2.2 5.5.5.0/24 3.3.3.3-3.3.3.8 6.6.6.6 7.7.7.7
Para importar direcciones IP hacia la lista de sitios bloqueados o excepciones de sitios bloqueados para el
dispositivo WatchGuard actual:
1. En el Policy Manager, seleccione Configurar> Default Threat Protection > Sitios bloqueados .
Aparece el dilogo "Configuracin de sitios bloqueados".
2. Para importar los sitios bloqueados desde un archivo, haga clic en la pestaa Sitios bloqueados.
O para importar las excepciones sitios bloqueados, haga clic en la pestaa Excepciones de sitios
bloqueados.
Aparece el cuadro de dilogo "Seleccionar un archivo".
4. Examinar para seleccionar el archivo. Haga clic en Seleccionar un archivo.
Los sitios en el archivo aparecen en la lista de sitios bloqueados o excepciones de sitios bloqueados.
5. Haga clic en OK.
Bloquear sitios temporalmente con configuracin de polticas
Puede usar la configuracin de polticas para bloquear temporalmente sitios que intenten usar un servicio
negado. Las direcciones IP de los paquetes negados son agregadas a la lista de sitios bloqueados
temporalmente por 20 minutos (por defecto).
1. En el Policy Manager, haga doble clic en el icono de polticas para el servicio negado.
2. En la pestaa Poltica, asegrese de definir la lista desplegable Conexiones estn en Negadas o
Negadas (enviar restablecer).
3. En la pestaa Propiedades, seleccione la casilla Automticamente bloquear sitios que intenten
conectarse. Por defecto, las direcciones IP de los paquetes negados son agregadas a la lista de sitios
bloqueados temporalmente por 20 minutos.
Si activa registros de sitios temporalmente bloqueados, los mensajes de registro pueden ayudar a decidir
cules direccionesIP bloquear permanentemente. Para activar los registros de paquetes negados:
1. En la definicin de la poltica, haga clic en la pestaa Propiedades
3. Seleccione la casilla de verificacin Enviar mensaje de registro.
Para ms informaciones acerca de registros, vea Determinar preferencias de registro y notificacin
en la pgina 649.
Cambiar la duracin de los sitios que son bloqueados
automticamente
Para activar la funcin de bloqueo automtico:
Gua del Usuario 495
En el Policy Manager, seleccione Configurar>Default Threat Protection > Administracin de
paquetes predeterminada .
Para ms informaciones, vea Acerca de los paquetes no controlados en la pgina 488.
Tambin puede usar la configuracin de polticas para bloquear automticamente sitios que intenten usar
un servicio negado. Para ms informaciones, vea Bloquear sitios temporalmente con configuracin de
polticas en la pgina 494.
Para definir el perodo de tiempo que los sitios son automticamente bloqueados:
1. En el Policy Manager, seleccione Configurar> Default Threat Protection > Sitios bloqueados .
2. Seleccione la pestaa Bloqueoautomtico.
3. Para alterar el perodo de tiempo que un sitio es bloqueado automticamente, en el cuadro de texto
Duracin para sitios de bloqueo automtico, ingrese o seleccione el nmero de minutos para
bloquear un sitio. El tiempo predeterminado es de 20 minutos.
4. Haga clic en OK.
Acerca de los puertos bloqueados
Es posible bloquear los puertos que se sabe que pueden ser usados para atacar su red. Eso detiene
servicios de red externa especficos. Bloquear los puertos puede proteger sus servicios ms sensibles.
Cuando bloquea un puerto, se anulan todas las reglas en sus definiciones de polticas. Para bloquear un
puerto, vea Bloquear un puerto en la pgina 496.
Puertos bloqueados predeterminados
En la configuracin predeterminada, el dispositivo WatchGuard bloquea algunos destination ports. En
general no es necesario cambiar esa configuracin predeterminada. Los paquetes TCP y UDP son
bloqueados para estos puertos:
X Window System (puertos 6000-6005)
La conexin cliente del X Window System (o X-Windows) no es cifrada y es peligroso usarla en
Internet.
X Font Server (puerto 7100)
Diversas versiones del X Windows operan los servidores de fuentes X. Los servidores de fuentes X
funcionan como un superusuario en algunos hosts.
NFS (puerto 2049)
El NFS (Sistema de archivos de red) es un servicio de TCP/IP en el cual muchos usuarios usan los
mismos archivos en una red. Las nuevas versiones tienen problemas graves de seguridad y
autenticacin. Proveer NFS por Internet puede ser muy peligroso.
Nota El servicio portmap suele usar el puerto 2049 para NFS. Si usa NFS, asegrese de el
NFS usa el puerto 2049 en todos sus sistemas.
rlogin, rsh, rcp (puertos 513, 514)
Esos servicios ofrecen acceso remoto a otros equipos. Representan un riesgo de seguridad y
muchos atacantes sondean esos servicios.
Servicio portmap RPC (puerto 111)
Los servicios RPC usan el puerto 111 para encontrar qu puertos un servidor RPC determinado
utiliza. Los servicios RPC son fciles de atacar a travs de Internet.
puerto 8000
Muchos proveedores usan ese puerto y muchos problemas de seguridad estn relacionados a l.
puerto 1
El servicio PCPmux usa el puerto 1, pero no con frecuencia. Se puede bloquearlo para dificultar el
anlisis de los puertos por esas herramientas.
puerto 0
Ese puerto siempre est bloqueado por el dispositivo WatchGuard. No se puede permitir el trfico
en el puerto 0 a travs del dispositivo.
Nota Si debe autorizar el trfico a travs de cualquiera de los puertos bloqueados
predeterminados para usar aplicaciones de software asociadas, recomendamos
que permita el trfico slo a travs de un tnel VPN o use SSH (Secure Shell) en esos
puertos.
Bloquear un puerto
Nota Tenga mucho cuidado se bloquea nmeros de puerto superiores a 1023. Los
clientes suelen usar esos nmeros de puerto de origen.
Gua del Usuario 497
O seleccione Configurar> Default Threat Protection > Puertos bloqueados .
Aparece el cuadro de dilogo "Puertos bloqueados".
2. Haga clic en las flechas del campo Puerto o ingrese el nmero de puerto para bloquear.
El nuevo nmero de puerto aparece en la lista de "Puertos bloqueados".
Bloquear direcciones IP que intenten usar puertos bloqueados
Puede configurar el dispositivo WatchGuard para bloquear automticamente un equipo externo que
intente usar un puerto bloqueado. En el cuadro de dilogo Puertos bloqueados ,seleccione la casilla
Bloquear automticamente los sitios que intenten utilizar puertos bloqueados.
Definir registros y notificacin para puertos bloqueados
Puede configurar el dispositivo WatchGuard para que haga una entrada de registros cuando un equipo
intente usar un puerto bloqueado. Tambin puede configurar la notificacin para cuando un equipo intente
acceder a un puerto bloqueado.
En el cuadro de dilogo "Puertos bloqueados":
en la pgina 649.
Gua del Usuario 498
Gua del Usuario 499
17
Configuracin del servidor de
WatchGuard
Acerca de los servidores WatchGuard System
Manager
Cuando instala el software de WatchGuard System Manager, puede elegir instalar uno o ms servidores
WatchGuard System Manager. Tambin puede ejecutar el programa de instalacin y seleccionar instalar un
solo servidor o ms servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programa
de WatchGuard Server Center se instala automticamente. WatchGuard Server Center es una aplicacin
unificada que usted puede utilizar para establecer, configurar, guardar un archivo de respaldo y restablecer
todos los servidores WatchGuard System Manager.
WatchGuard System Manager incluye cinco servidores:
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Para configurar los servidores WatchGuard System Manager, consulte Configurar Servidores de
Para obtener instrucciones de instalacin de WatchGuard System Manager, consulte Instale el software
Cada servidor tiene una funcin especfica:
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, puede manejar todos los
dispositivos firewall y crear tneles de red privada virtual (VPN) con slo arrastrar y soltar. Las
funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolo
de Internet (IPSec).
n Administracin de la configuracin del tnel VPN.
n Administracin de mltiples dispositivos Fireware XTMy Firebox
Para obtener ms informacin acerca del Management Server, consulte Acerca del WatchGuard
Log Server
El Log Servers recopila mensajes de registro para cada dispositivo Firebox y XTM, y los guarda en una
base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envan al Log Servers. El
formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro que el
Log Servers recopila incluyen mensajes de registro de trfico, mensajes de registro de eventos,
alarmas y mensajes de diagnstico.
ParaobtenermsinformacinsobrelosLogServers,consulteConfigurar un LogServer enlapgina621.
Report Server
El Report Server agrupa peridicamente los datos recopilados por sus Log Server desde sus
dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El Report Server luego
genera los reportes que usted especifica. Cuando los datos se encuentran en el Report Server,
puede revisarlos con el Report Manager o la Web UI (interfaz de usuario) de reporte.
Para obtener ms informacin acerca de informes y el Report Server, consulte Pgina Acerca de
Report Server en la pgina 733.
Para obtener ms informacin sobre el Administrador de reportes, consulte Acerca de WatchGuard
Report Manager en la pgina 750.
Para obtener ms informacin acerca de cmo configurar la Reporting Web UI, consulte Establecer
la configuracin de la Reporting WebUI en la pgina 746.
Para obtener ms informacin acerca de cmo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.
Quarantine Server
El Quarantine Server recopila y asla mensajes de correo electrnico que spamBlocker identifica
como posible spam.
Para obtener ms informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP para denegar el acceso de usuario a categoras
especificadas de sitios web. Cuando configura Firebox, establece las categoras de sitio web que
desea permitir o bloquear.
Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de las
Configuracin del servidor de WatchGuard
Gua del Usuario 501
Configurar Servidores de WatchGuard System
Manager
WatchGuard Server Center es una aplicacin unificada que usted puede utilizar para establecer, configurar,
guardar un archivo de respaldo y restablecer todos los servidores WatchGuard System Manager.
Una vez que ha instalado WatchGuard System Manager y los servidores WatchGuard, el asistente de
configuracin de WatchGuard Server Center crea los servidores WatchGuard que usted seleccion para
instalar en su estacin de trabajo. El asistente muestra nicamente las pantallas que corresponden a los
componentes que usted ha instalado. Por ejemplo, si instal el Log Server y el Report Server, pero no
instal el Quarantine Server, el asistente muestra solamente las pginas relacionadas con la configuracin
del Log Server y del Servidor de reportes. Las pginas utilizadas para crear una lista de dominios para el
Quarantine Server no aparecen en el asistente.
Si no instal ni configur ninguno de los servidores WatchGuard, puede instalarlos o configurarlos ms
tarde. Puede ejecutar el Instalador de WatchGuard System Manager desde la pgina de configuracin
principal de cada servidor que no est instalado. Tambin puede ejecutar el Asistente de configuracin de
WatchGuard Server Center desde la pgina de configuracin principal de cada servidor que no est
configurado.
Para ms informaciones, vea Instalar o configurar los servidores WatchGuard desde WatchGuard Server
Center en la pgina 508.
Antes de empezar
Antes de ejecutar el asistente, asegrese de tener toda la informacin necesaria:
n Si desea utilizar un Firebox de puerta de enlace para proteger el Management Server, utilice la
direccin IP de la interfaz externa para ese Firebox.
n License Key del Management Server.
Para buscar la License Key, consulte Buscar la license key del Management Server en la pgina 505.
n Si desea configurar el Quarantine Server, el domain name o names para ese Quarantine Server
aceptarn mensajes de correo electrnico.
n Si desea configurar el Log Server, utilizar la direccin IP del dispositivo como Log Server.
Iniciar el asistente
1. Haga clic con el botn derecho en la bandeja del sistema y seleccione Abrir WatchGuard Server
Center.
Si no puede ver este cono, quiere decir que no instal ningn software del servidor WatchGuard.
Para volver a ejecutar el proceso de instalacin e instalar uno o ms servidores, consulte Instale el
software WatchGuard System Manager en la pgina 22.
Se inicia el Asistente de configuracin de WatchGuard Server Center.
2. Revise la pgina de Bienvenida para asegurarse de tener toda la informacin requerida para
completar el asistente.
Aparece la pgina Configuraciones generales - Identificar el nombre de su organizacin.
Configuraciones generales
1. Ingrese el nombre de la organizacin.
Este nombre se utiliza para la autoridad de certificacin en el Management Server, como se
describe en Configurar la autoridad de certificacin en el Management Server en la pgina 513.
Aparece la pgina Configuraciones generales - Configurar la frase de contrasea del administrador.
3. Ingrese y confirme la frase de contrasea del administrador.
Esta frase de contrasea debe tener al menos ocho caracteres.
La frase de contrasea del administrador se utiliza para controlar el acceso a la computadora de
administracin (la computadora donde se instal WSM).
Configuracin del Management Server
Estas configuraciones aparecen en el asistente nicamente si se instal el Management Server.
1. Si tiene un Firebox de puerta de enlace para el Management Server, haga clic en S.
Si bien un Firebox de puerta de enlace es opcional, se recomienda utilizar un Firebox de puerta de
enlace para proteger al Management Server desde Internet.
Para ms informaciones, vea Sobre el Firebox de puerta de enlace en la pgina 504.
2. Ingrese la direccin IP externa y las contraseas para el Firebox de puerta de enlace.
Aparece la pgina Management Server - Ingresar una License Key.
4. Ingrese la license key para el Management Server y haga clic en Agregar.
Para obtener informacin para buscar la License Key, consulte Buscar la license key del
Nota Cuando el funcionamiento de una interfaz cuya direccin IP est vinculada al
Management Server disminuye y luego se reinicia, se recomienda reiniciar el
Management Server.
Configuracin del Log Server y del Report Server
Estas configuraciones aparecen en el asistente nicamente si se instal el Log Server.
1. Ingrese y confirme la Clave de cifrado a fin de utilizarla para la conexin segura entre Firebox y los
Log Servers.
El rango permitido para la clave de cifrado es de 8 a 32 caracteres. Puede usar todos los caracteres,
excepto los espacios o barras diagonales o invertidas (/ o \).
2. En el campo Ubicacin de la base de datos, aparece la carpeta predeterminada donde se
mantienen todos los archivos de registro, los archivos de reportes y los archivos de definicin de
reportes:
C:\Documents and Settings\WatchGuard\logs.
Se recomienda utilizar la ubicacin predeterminada.
Gua del Usuario 503
Para cambiar esta ubicacin, haga clic en Buscar y seleccione una nueva carpeta. Asegrese de
seleccionar una ubicacin que tenga suficiente espacio disponible en el disco.
Nota Seleccione la ubicacin atentamente. Una vez que haya instalado la base de datos,
no podr cambiar la ubicacin del directorio a travs de la interfaz de usuario del
Log Server. Si debe cambiar la ubicacin, consulte Mover el directorio de datos de
registro en la pgina 633.
Configuracin del Quarantine Server
Estas configuraciones aparecen en el asistente nicamente si instal el Quarantine Server.
La lista de dominios es el conjunto de domain names para el cual el Quarantine Server acepta mensajes de
correo electrnico. El Quarantine Server slo enva mensajes a los usuarios en los dominios que estn
incluidos en la lista de dominios. Los mensajes enviados a usuarios que no figuran en uno de estos dominios
son eliminados.
1. Para agregar un dominio, ingrese el domain name en el cuadro de texto superior y haga clic en
Agregar.
El domain name aparece en la ventana.
Para eliminar un dominio, seleccione el domain name en la lista y haga clic en Eliminar.
El domain name se elimina de la ventana.
Configuracin del WebBlocker Server
Estas configuraciones aparecen en el asistente nicamente si instal el WebBlocker Server.
Puede elegir descargar la base de datos de WebBlocker ahora o aguardar y descargarla ms tarde. La base
de datos de WebBlocker tiene ms de 220 MB de datos. Su velocidad de conexin controla la velocidad de
descarga, que puede superar los 30 minutos. Asegrese de que la unidad de disco rgido tenga un espacio
disponible mnimo de 250 MB.
1. Para descargar la base de datos ahora, seleccione S y haga clic en Descargar.
Para descargar la base de datos ms tarde, seleccione No.
Revisar y finalizar
Revise sus configuraciones para asegurarse de que sean correctas.
Para realizar cambios en sus configuraciones:
1. Haga clic en Atrs hasta alcanzar la pgina que desea cambiar.
2. Realice todos los cambios necesarios.
3. Haga clic en Siguiente hasta retornar a la pgina Revisar configuraciones.
Si sus configuraciones son correctas:
El asistente muestra el progreso de la configuracin del servidor.
Aparece la pgina Se ha completado el asistente de configuracin de WatchGuard Server Center.
Aparece el WatchGuard Server Center.
Desde WatchGuard Server Center, usted puede:
n Monitorear el estado de los servidores WatchGuard
n Acerca del WatchGuard Management Server
n Configurar un Log Server
n Configure el Report Server
n Configurar el Quarantine Server
n Configurar el WebBlocker Server
n Cambiar la frase de contrasea del administrador
Sobre el Firebox de puerta de enlace
El Firebox de puerta de enlace ayuda a proteger su Management Server desde Internet. Cuando configura
su Servidor de administracin, usted elige si desea utilizar un Firebox de puerta de enlace. Se recomienda
utilizar un Firebox de puerta de enlace.
Cuando agrega una direccin IP para su Firebox de puerta de enlace, el asistente realiza tres tareas:
n Utiliza esta direccin IP para configurar el Firebox de puerta de enlace a fin de permitir conexiones
con el Management Server.
La poltica del Management Server se agrega automticamente al archivo de configuracin de
Firebox. Esta poltica abre los puertos TCP 4110, 4112 y 4113 para permitir conexiones con el
Management Server.
Si no ingresauna direccinIP aqu, debe configurar un firewall entre el Management Server e
Internet para permitir conexiones conel Management Server enlos puertos TCP 4110, 4112 y 4113.
n Si tiene una versin anterior de WatchGuard System Manager y tiene un Firebox configurado como
servidor DVCP, el asistente obtiene informacin del servidor DVCP desde el Firebox de puerta de
enlace y traslada estas configuraciones a su Management Server.
n El asistente configura la direccin IP para la lista de revocacin de certificados (CRL).
Una vez que se configura el Management Server, los dispositivos que usted agrega como clientes
administrados utilizan esta direccin IP para conectarse con el Management Server. Esta direccin IP debe
ser la direccin IP pblica que su Management Server muestra a Internet.
Si no especifica una direccin IP, el asistente utiliza la direccin IP actual en la computadora de su
Management Server para la direccin IP de la CRL. Si sta no es la direccin IP que su computadora muestra
a Internet debido a que se encuentra detrs de un dispositivo que realiza NAT (Traduccin de direccin de
red), deber editar la CRL y utilizar la direccin IP pblica de su S<Management Server. Si utiliza un Firebox
de puerta de enlace que realiza NAT, asegrese de que sea de la misma versin que su Management
Server. Por ejemplo, si su Management Server es v11.0, su Firebox de puerta de enlace con NAT debe ser
v11.0 o superior.
Gua del Usuario 505
Para ms informaciones, vea Actualizar el Management Server con una nueva direccin de puerta de enlace
en la pgina 515.
Buscar la license key del Management Server
Para la mayora de los dispositivos Firebox X Core y Peak, WatchGuard System Manager incluye una license
key que le permite administrar hasta cuatro dispositivos. Las nicas excepciones son Firebox X 500 y
Firebox X 550e. Si tiene una license key de VPN Manager de una adquisicin de Firebox anterior, puede
utilizar la license key de VPN Manager para el Management Server WatchGuard. Si no tiene una license key
de WatchGuard System Manager que incluya la funcin de administrar ms de un Firebox o una license key
de VPN Manager, debe adquirir una license key de un revendedor de WatchGuard para utilizar el
Management Server WatchGuard.
Para buscar su license key de WatchGuard System Manager o VPN Manager:
1. Abra un explorador y dirjase al rea Administrar productos del sitio web de LiveSecurity:
https://www.watchguard.com/archive/manageproducts.asp
Debe iniciar sesin con sus credenciales de LiveSecurity si an no ha iniciado sesin.
2. Desplcese hasta la parte inferior de la pgina.
3. Haga clic en el enlace Ver detalles junto a WatchGuard System Manager o a VPN Manager.
Aparece una lista de license keys disponibles. Si aparece ms de una license key en la lista, puede
utilizar cualquiera de ellas.
La license key tiene uno de estos formatos:
n WSMMGR-X-000392-yyyyyyyy
n VPNMGR-X-024535-yyyyyyyy
El carcter X muestra cuntos dispositivos se pueden administrar con cada clave. Los caracteres
y son una cadena de caracteres alfanumricos.
4. Utilice una de estas claves cuando ejecute el asistente de configuracin de WatchGuard Server
Center para configurar su Management Server.
Monitorear el estado de los servidores WatchGuard
Puede ver informacin abreviada o completa sobre sus servidores WatchGuard.
Vea qu servidores estn funcionando
Para ver slo uno o ms servidores que estn funcionando actualmente:
1. Haga clic con el botn derecho en la bandeja del sistema.
2. Seleccione Estado del servidor.
El cuadro de dilogo Estado de WatchGuard Server Center aparece con una lista de los servidores instalados e
informa si cada servidor est funcionando actualmente.
Consulte la informacin completa sobre los servidores
Desde la computadora del Management Server:
1. Haga clic con el botn derecho en la bandeja del sistema.
2. Seleccione Abrir WatchGuard Server Center.
Para cada servidor, la pgina Servidores muestra:
n la direccin IP del servidor;
n si est conectado o desconectado; y
n si la generacin de registros est activada o desactivada.
Configurar su servidores WatchGuard
Luego de ejecutar el asistente de configuracin de WatchGuard Server Center para configurar sus
servidores, puede definir cada servidor ms detalladamente.
Para ms informacin, vea:
Gua del Usuario 507
n Acerca del WatchGuard Management Server en la pgina 511
n Configurar un Log Server en la pgina 621
n Configure el Report Server en la pgina 733
n Configurar el Quarantine Server en la pgina 1114
n Configurar el WebBlocker Server en la pgina 982
Tambin puede configurar Acerca de la administracin basada en roles en la pgina 597.
Abrir el WatchGuard Server Center
Puede utilizar WatchGuard Server Center para administrar todos sus servidores WatchGuard.
Para abrir WatchGuard Server Center:
Center.
Aparece el cuadro de dilogo "Conectarse al WatchGuard Server Center".
2. Ingrese su Nombre de usuario y Contrasea de administrador.
4. En el diagrama Servidores, seleccione el servidor que desea configurar.
n Management Server
n Log Server
n Report Server
n Quarantine Server
n WebBlocker Server
Detener e iniciar sus servidores WatchGuard
Puede detener o iniciar los servidores WatchGuard en cualquier momento. No es necesario que se
desconecte desde los servidores.
Para detener el servicio, en el WatchGuard Server Center:
1. En el diagrama Servidores, seleccione el servidor que desea detener.
Por ejemplo, Log Server.
2. Haga clic con el botn derecho en el servidor y seleccione Detener servidor.
3. Haga clic en S para confirmar si desea detener el servicio para el servidor seleccionado.
El servicio se detiene y aparece el mensaje de Detenido en la parte superior de la pgina del servidor.
Por ejemplo, si detuvo el Log Server, aparece Log Server Detenido.
Para iniciar el servicio, en el WatchGuard Server Center:
1. En el diagrama Servidores, seleccione el servidor que desea iniciar.
Por ejemplo, Log Server.
2. Haga clic con el botn derecho en el servidor y seleccione Iniciar servidor.
El servicio se inicia y aparece el nombre del servidor en la parte superior de la pgina del servidor.
Por ejemplo, si inici el Log Server, aparece Log Server.
Instalar o configurar los servidores WatchGuard
desde WatchGuard Server Center
Si ya ha instalado y configurado uno o ms servidores WatchGuard, puede utilizar WatchGuard Server
Center (WSC) para instalar o configurar cualquiera de los servidores WatchGuard que an no ha instalado o
configurado.
1. Abrir el WatchGuard Server Center.
Aparece la pgina principal de Servidores.
2. En el diagrama Servidores, seleccione el servidor que desea instalar o configurar.
Aparece la pgina del servidor seleccionado. En los ejemplos a continuacin, puede ver la pgina principal de
Log Server.
Gua del Usuario 509
Log Server no instalado
Log Server no configurado
3. Para instalar el servidor, haga clic en Lanzar instalador.
Aparece el instalador de WatchGuard System Manager.
Para configurar el servidor, haga clic en Lanzar asistente.
Aparece el WatchGuard Server Center Setup Wizard.
4. Si seleccion instalar el servidor, siga las instrucciones en Instale el software WatchGuard System
Manager en la pgina 22 para completar el asistente de instalacin.
Si seleccion configurar el servidor, siga las instrucciones en Configurar Servidores de WatchGuard
System Manager en la pgina 501 para el servidor que seleccion.
5. Haga clic en Actualizar para actualizar la pgina del servidor.
6. Si instal el servidor, repita los pasos 3 al 5 para configurar el servidor.
Si configur el servidor, ahora puede utilizar WSC para Configurar Servidores de WatchGuard System
Manager.
Salir oabrir laaplicacinWatchGuardServer Center
Una vez que instala cualquier servidor WatchGuard, el cono de WatchGuard Server Center aparece
automticamente en la bandeja del sistema. Esto le permite acceder fcilmente a WatchGuard Server
Center. Cuando cierra WatchGuard Server Center, la aplicacin contina ejecutndose en el fondo y el
cono permanece en la bandeja de su sistema.
Puede elegir salir de la aplicacin de modo que ya no se ejecute en el fondo y luego abrirla nuevamente.
Cuando sale de la aplicacin, el cono de WatchGuard Server Center se elimina de la bandeja de su sistema.
Para salir de WatchGuard Server Center y eliminar el cono desde la bandeja del sistema:
1. En la bandeja del sistema, haga clic con el botn derecho .
2. Seleccione Salir.
Aparece un mensaje para confirmar que desea salir.
3. Haga clic en S.
desaparece de la bandeja del sistema.
Para restablecer el cono de WatchGuard Server Center en la bandeja del sistema y abrir WatchGuard
Server Center:
1. Seleccione Iniciar >Todos los programas > WatchGuard System Manager 11.x > WatchGuard
Server Center.
aparece en la bandeja del sistema.
Gua del Usuario 511
18
Configuracin y gestin del
servidor de administracin
Acerca del WatchGuard Management Server
El El Management Server WatchGuard le permite administrar en forma central varios dispositivos
WatchGuard y tneles VPN de una empresa distribuida desde una interfaz de administracin fcil de usar.
Puede administrar diferentes tipos de dispositivos WatchGuard: WatchGuard XTM, Firebox X Core, Firebox
X Peak, Firebox X Edge, Firebox III y SOHO 6.
La estacin de trabajo configurada como Management Server tambin funciona como autoridad de
certificacin (CA). La autoridad de certificacin (CA) enva certificados a los clientes administrados Firebox
cuando stos se contactan con el Management Server para recibir actualizaciones de configuracin.
Instalar el Management Server
Puede instalar el software del Management Server en cualquier computadora que utilice el sistema
operativo Windows. No es necesario que lo instale en la computadora que es su computadora de
administracin (la computadora donde instala el software de WatchGuard System Manager). Se recomienda
instalar el software del Management Server en una computadora con una direccin IP esttica que se
encuentre detrs de un Firebox con una direccin IP externa esttica. De lo contrario, el Management
Server puede no funcionar correctamente.
Cuando ejecuta el programa de instalacin de WatchGuard System Manager para Instale el software
WatchGuard System Manager en la pgina 22, usted elige qu cliente y componentes del servidor desea
instalar. En la lista Componentes del servidor, asegrese de seleccionar Management Server.
Si ya ha instalado WatchGuard System Manager (WSM) y no instal el Management Server, igualmente
podr instalar el Management Server.
1. Instale el software WatchGuard System Manager.
2. Seleccione nicamente la casilla de verificacin Management Server WatchGuard. No marque la
casilla de verificacin Management Server para los componentes que ya ha instalado.
3. Complete el Asistente de configuracin.
Configurar el Management Server
Para obtener instrucciones sobre cmo configurar el Management Server y otros servidores WatchGuard
System Manager, consulte Configurar Servidores de WatchGuard System Manager en la pgina 501.
Configurar el Management Server
Una vez que configur el servidor, puede:
n Configurar la autoridad de certificacin en el Management Server
n Definir configuraciones para el Management Server
n Activar y configurar autenticacin en Active Directory
n Configurar Registros para el Management Server
Definir configuraciones para el Management Server
Puede utilizar WatchGuard Server Center para definir las configuraciones para su Management Server.
Puede actualizar la licencia del Management Server, y establecer la notificacin y las configuraciones para la
generacin de registros.
En la computadora que tiene el software del Management Server instalado:
Center.
Aparece el cuadro de dilogo Conectarse al WatchGuard Server Center.
2. Ingrese su Nombre de usuario y Contrasea de administrador. Haga clic en Ingresar.
3. En el diagrama Servidores, seleccione ManagementServer.
Aparece la pgina "Management Server".
Configuracin y gestin del servidor de administracin
Gua del Usuario 513
4. Altere la configuracin predeterminada segn sea apropiado para su red.
n Para cambiar la configuracin de la autoridad de certificacin, del cliente y de la lista de
revocacin, haga clic en la pestaa Certificados.
n Para agregar o eliminar una License Key, o cambiar la configuracin de notificacin, haga clic en
la pestaa Configuraciones del servidor.
n Para activar y establecer configuraciones de Active Directory , haga clic en la pestaa Active
Directory .
n Para cambiar la configuracin para la generacin de registros, haga clic en la pestaa
Generacin de registros.
Configurarlaautoridaddecertificacinenel Management Server
Puede configurar la autoridad de certificacin (CA) en el Management Server. No obstante, los
administradores por lo general no cambian las propiedades del certificado CA.
Desde WatchGuard Server Center en su computadora del Management Server:
1. En el diagrama Servidores, seleccione Management Server.
Aparecen las pginas del Managment Server.
2. Seleccione la pestaa Certificados.
Configurar propiedades para la autoridad de certificacin
En la seccin Autoridad de certificacin del cuadro de dilogo:
1. En el cuadro de dilogo Nombre comn, ingrese el nombre que usted desea que aparezca en el
certificado CA.
2. En el cuadro de texto Organizacin, ingrese el nombre de una organizacin para el certificado CA.
3. En el cuadro de texto Caducidad del certificado, ingrese la cantidad de das al cabo de los cuales el
certificado CA vencer.
Una caducidad del certificado ms extensa puede dar ms tiempo a un atacante para realizar un
ataque.
4. En la lista desplegable Bits de la clave , seleccione la vigencia que desea aplicar al certificado.
Mientras mayor sea la cantidad de Bits de la clave de la configuracin, ms slido ser el cifrado que
protege la clave.
Configurar propiedades para certificados de clientes
En la seccin Cliente del cuadro de dilogo:
Gua del Usuario 515
1. En el cuadro de texto Caducidad del certificado, ingrese la cantidad de das al cabo de los cuales el
certificado del cliente vencer.
Una caducidad del certificado ms extensa puede dar ms tiempo a un atacante para realizar un
ataque.
2. En la lista desplegable Bits de la clave , seleccione la vigencia que desea aplicar al certificado.
Mientras mayor sea la cantidad de Bits de la clave de la configuracin, ms slido ser el cifrado que
protege la clave.
Configurar propiedades para la lista de revocacinde certificaciones (CRL)
En la seccin Lista de revocacin de certificaciones del cuadro de dilogo:
1. En la ventana Direccin IP de distribucin, seleccione una direccin IP de la lista o haga clic en
Agregar para agregar una nueva direccin.
Tambin puede seleccionar una direccin IP y hacer clic en Eliminar para eliminarla de la lista.
En forma predeterminada, la direccin IP de distribucin es la direccin de Firebox de puerta de
enlace. sta es tambin la direccin IP que los clientes de Firebox de administracin remota utilizan
para conectarse con el Management Server. Si la direccin IP externa de su dispositivo cambia, debe
cambiar este valor.
2. Ingrese el Intervalo de publicacin para la CRL en horas.
ste es el periodo luego del cual la CRL se publica automticamente.
La configuracin predeterminada es cero (0), lo que significa que la CRL se publica cada 720 horas
(30 das). La CRL tambin se actualiza luego de que un certificado se revoca.
Enviar mensajes de registro de diagnstico para la autoridad de
certificacin
Para permitir que el Management Server enve mensajes de registro de diagnstico al visor de eventos de
Windows:
Seleccione la casilla de verificacin Enviar mensajes de registro del servicio de CA al visor de
eventos de Windows.
Para ver los mensajes de registro, abra el visor de eventos de Windows:
1. En el escritorio de Windows, seleccione Iniciar > ejecucin.
2. Ingrese eventvwr.
Los mensajes de registro aparecen en la seccin Aplicacin del visor de eventos.
Actualizar el Management Server con una nueva direccin de
puerta de enlace
Cuando utiliza el asistente de configuracin de WatchGuard Server Center para configurar su Management
Server, usted provee la direccin IP del Firebox de puerta de enlace que protege al Management Server
desde Internet. Esta misma direccin IP se utiliza como direccin IP de distribucin de la lista de revocacin
de certificados (CRL). Si desea cambiar la direccin IP en su Firebox de puerta de enlace, primero deber
cambiar la direccin IP de distribucin de CRL en su Management Server y actualizar con esta informacin
todos los dispositivos administrados. Si no hace esto, no podr mantener una conexin con cada uno de sus
dispositivos administrados.
Nota Si tiene tneles Branch Office VPN (BOVPN) (BOVPN) configurados en su
Management Server y el Firebox de puerta de enlace es el extremo en cualquiera
de estos tneles, deber eliminar esos tneles VPN antes de comenzar este
procedimiento. Una vez que termine con este procedimiento, deber crear los
tneles VPN nuevamente.
Para cambiar la direccin IP en su IP de Firebox de puerta de enlace, debe actualizar su configuracin del
Management Server, actualizar cada Firebox administrado y editar la configuracin de NAT de la poltica
WG-Mgmt-Server.
1. Desde la computadora del Management Server, haga clic con el botn derecho y seleccione Abrir
WatchGuard Server Center.
Gua del Usuario 517
3. Seleccione la pestaa Certificados.
4. En la seccin Lista de revocacin de certificados, agregue una nueva direccin IP para su Firebox de
puerta de enlace y elimine la anterior.
5. Haga clic en Aplicar.
6. En su estacin de administracin, abra WatchGuard System Manager y conctese con su
Management Server.
7. Seleccione la pestaa Administracin de Dispositivos.
8. Haga clic con el botn derecho en un dispositivo administrado y seleccione Actualizar dispositivo.
9. Debajo de Actualizar configuracin del cliente, asegrese de que las casillas de verificacin
Reiniciar configuracin del servidor y Dejar vencer la concesin estn seleccionadas. Asegrese de
que la casilla de verificacin Emitir/Volver a emitir el Certificado IPSec de Firebox y el Certificado
de CA tambin est seleccionada.
10. Repita los pasos 3 al 6 para cada dispositivo administrado por su Management Server.
11. Abra la configuracin del Firebox de puerta de enlace en Administrador de Polticas.
12. Seleccione Configuracin > de red y cambie la direccin IP de la interfaz externa del dispositivo a la
nueva direccin IP.
13. Haga doble clic en la poltica de WG-Mgmt-Server.
Cuando configura su cliente administrado Firebox, usted provee al Firebox administrado la direccin
IP del Firebox de puerta de enlace. El Firebox administrado utiliza esta direccin IP para buscar el
Management Server. La poltica WG-Mgmt-Server en el Firebox de puerta de enlace configura una
poltica de NAT para asegurarse de que cualquier conexin desde un cliente administrado Firebox
con el Management Server se enve correctamente a travs de la interfaz externa de Firebox.
14. Seleccione la entrada de NAT en el cuadro de dilogo Hasta de la poltica de WG-Mgmt-Server y
haga clic en Eliminar.
15. Debajo del cuadro de dilogo Hasta, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar NAT esttica.
17. En la lista desplegable Direccin IP externa, seleccione la nueva direccin IP para su Firebox de
puerta de enlace.
18. En el cuadro de texto Direccin IP interna, ingrese la direccin IP de su Management Server.
Cuando se reinicia Firebox, las conexiones entre el Management Server y los clientes administrados Firebox
comienzan nuevamente. Ahora puede recrear cualquier tnel BOVPN para el cual el Firebox de puerta de
enlace sea un extremo de VPN.
Cambiar la direccin IP de un Management Server
Los dispositivos de su cliente administrado Firebox siempre deben estar en condiciones de contactarse con
su Management Server. Si cambia la direccin IP en su Management Server o cambia la direccin IP en la
interfaz externa de Firebox de puerta de enlace, los dispositivos de clientes administrados pueden perder
el contacto con el Management Server. Cuando cambia la direccin IP de su Management Server, tambin
debe cambiar las direcciones IP para la distribucin de la lista de revocacin de certificados (CRL) y sus
clientes administrados Firebox.
La direccin IP de distribucin de CRL es la direccin IP que el Management Server provee a los dispositivos
administrados Firebox del cliente. As, los dispositivos administrados del cliente utilizan esta direccin IP
para conectarse con el Management Server. La direccin IP de distribucin de CRL debe ser la misma que la
direccin IP externa que los clientes administrados utilizan para conectarse con el Management Server.
Si el Management Server utiliza una direccin IP privada, la direccin IP de distribucin es la direccin IP en
la interfaz externa de Firebox de puerta de enlace. Si el Management Server utiliza una direccin IP pblica
y no se encuentra detrs de un Firebox de puerta de enlace, la direccin IP de distribucin de CRL es la
direccin IP pblica y externa del Management Server.
Cuando configura su cliente administrado Firebox, usted provee al Firebox administrado la direccin IP del
Firebox de puerta de enlace. El Firebox administrado utiliza esta direccin IP para buscar el Management
Server. La poltica WG-Mgmt-Server en el Firebox de puerta de enlace configura una poltica de NAT para
asegurarse de que cualquier conexin desde un cliente administrado Firebox con el Management Server se
enve correctamente a travs de la interfaz externa de Firebox. Para cambiar la direccin IP en su
Management Server, debe editar la configuracin de NAT de la poltica WG-Mgmt-Server.
Si su Management Server est configurado con una direccin IP privada
1. Desde el Administrador de Polticas, abra la configuracin de Firebox de puerta de enlace que
protege su Management Server desde Internet.
Aparece el cuadro de dilogo Editar poltica.
Gua del Usuario 519
6. Desde la lista desplegable Direccin IP externa, asegrese de que est seleccionada la direccin IP
para su Firebox de puerta de enlace.
7. En el cuadro de texto Direccin IP interna, ingrese la nueva direccin IP de su Managment Server.
8. Haga clic en OK para cerrar el cuadro de dilogo Agregar NAT esttica/balance de carga en el
servidor.
Si su Management Server est configurado con una direccin IP pblica
1. Desde el Administrador de Polticas, abra la configuracin de Firebox de puerta de enlace que
protege su Management Server desde Internet.
Aparece el cuadro de dilogo Editar poltica.
6. Desde la lista desplegable Elegir tipo, seleccione IP de host.
7. Ingrese la nueva direccin IP pblica en el Management Server.
8. Haga clic en OK para cerrar el cuadro de dilogo Agregar miembro.
Actualizar la direccin IP de distribucin de la lista de revocacin de
certificados (CRL)
Nota Utilice este procedimiento nicamente si su Management Server est configurado
con una direccin IP pblica.
1. Desde la computadora del Management Server, haga clic con el botn derecho y seleccione Abrir
WatchGuard Server Center.
2. Ingrese la frase de contrasea del administrador y haga clic en Iniciar sesin.
4. Haga clic en la pestaa Certificados.
5. Si hay una direccin IP en la seccin Lista de revocacin de certificados, seleccione la direccin en
la lista Direccin IP de distribucin y haga clic en Eliminar.
6. Haga clic en Agregar para agregar una nueva direccin.
Aparece el cuadro de dilogo Direccin IP de la CRL.
7. Ingrese la nueva direccin IP. Haga clic en OK.
La direccin IP aparece en la lista Direccin IP de distribucin.
Aparece un cuadro de dilogo para confirmar que usted desea actualizar el Management Server con sus
cambios.
9. Haga clic en OK.
Aparece el cuadro de dilogo Comentarios.
10. (Opcional) Agregar comentarios para los registros de auditora.
El Management Server se actualiza con los cambios.
Gua del Usuario 521
Actualizar clientes administrados Firebox
Debe actualizar todos sus dispositivos de clientes administrados para finalizar el cambio de direccin IP.
1. En WatchGuard System Manager, conctese con su Management Server.
3. Haga clic con el botn derecho en un dispositivo administrado y seleccione Actualizar dispositivo.
4. Debajo de Actualizar configuracin del cliente, asegrese de que las casillas de verificacin
Reiniciar configuracin del servidor y Dejar vencer la concesin estn seleccionadas.
5. Repita los pasos 1 al 3 para cada dispositivo conectado con el Management Server.
Cambiar la frase de contrasea del administrador
La frase de contrasea del administrador es la frase de contrasea maestra para todos sus servidores
WatchGuard. En versiones anteriores de WatchGuard System Manager, la frase de contrasea del
administrador haca referencia a dos frases de contraseas: la frase de contrasea maestra y la frase de
contrasea del Management Server. Estas frases de contrasea han sido reemplazadas por la frase de
contrasea del administrador en el lanzamiento 11.0.
La frase de contrasea del administrador es la frase de contrasea para el usuario admin. El usuario admin
se crea automticamente cuando el asistente de WatchGuard Server Center se completa. Una vez que
configura WatchGuard Server Center, puede cambiar la frase de contrasea del administrador en cualquier
momento.
Nota No puede cambiar el nombre de usuario del usuario admin. Slo puede cambiar la
frase de contrasea.
Para obtener ms informacin sobre el asistente de configuracin de WatchGuard Server Center, consulte
Configurar Servidores de WatchGuard System Manager en la pgina 501.
Para obtener ms informacin sobre cmo editar usuarios, consulte Definir o eliminar usuarios o grupos en
la pgina 602.
Se recomienda guarda una copia de respaldo de la Management Server configuration inmediatamente
despus de cambiar la frase de contrasea del administrador. Cuando crea un archivo de configuracin de
respaldo, la frase de contrasea del administrador actual se almacena en el archivo. Debe utilizar esta frase
de contrasea para restablecer el archivo de configuracin. Si cambia su frase de contrasea del
administrador y luego restablece un archivo de configuracin de respaldo con una frase de contrasea del
administrador anterior, la frase de contrasea anterior se restablece con la configuracin del servidor.
Para obtener ms informacin sobre cmo restablecer un archivo de configuracin de respaldo, consulte
Crear copia de seguridad o restaurar la Management Server configuration en la pgina 527.
Antes de cambiar la frase de contrasea del administrador, asegrese de que el usuario admin haya
cerrado sesin en el Management Server.
Desde WatchGuard Server Center:
1. En la navigation bar izquierda, seleccione Usuarios.
Aparece la pgina Usuarios.
2. En la pestaa Usuarios, en la lista Nombre, seleccione admin.
Aparece el cuadro de dilogo Usuario y propiedades de grupo.
4. Seleccione la casilla de verificacin Cambiar frase de contrasea.
5. Ingrese y confirme la nueva frase de contrasea.
6. Haga clic en OK.
Gua del Usuario 523
Establecer ajustes de License Key, notificacin y configuracin
Usted agrega o elimina una License Key, y configura la generacin de registros y la configuracin de
notificacin para su Management Server WatchGuard.
1. En el diagrama Servidores, seleccione MnagementServer.
2. Haga clic en la pestaa Configuracin del servidor.
Aparece la pgina "Configuracin del servidor".
3. Utilice las secciones subsiguientes para establecer las configuraciones para su Management Server.
4. Cuando haya terminado, haga clic en Aplicar para guardar sus cambios.
Agregar o eliminar una licencia del Management Server
Para agregar una licencia del Management Server:
1. En el cuadro de texto que se encuentra debajo de la ventana License Keys, ingrese o pegue la
license key del Management Server.
La license key aparece en la ventana License Keys.
Para eliminar una licencia del Management Server:
1. En el cuadro de texto que se encuentra debajo de la ventana License Keys, seleccione la license key
que desea eliminar.
Para obtener ms informacin sobre las license keys del Management Server, consulte Buscar la license key
del Management Server en la pgina 505.
Configurar notificacin
Seleccione la casilla de verificacin Enviar notificacin cuando el dispositivo no se contacta con el servidor
y establezca la configuracin para el mensaje de notificacin.
n Correoelectrnico: el LogServerenvaunmensaje decorreoelectrnicoal destinatariodel correo
electrnicode notificacincuandoseproduce el evento.
Paradefinir al destinatariodel correoelectrnico,consulte Acercadelasnotificaciones enlapgina618.
n Ventana emergente: Firebox abre un cuadro de dilogo en la estacin de administracin cuando se
produce el evento.
Si selecciona esta opcin, asegrese de configurar el Factor de lanzamiento.
n Factor de lanzamiento: tiempo mnimo (en minutos) entre diferentes notificaciones. Ese parmetro
evita que ms de una notificacin sea enviada en un espacio corto de tiempo para el mismo evento.
Controlar ajustes de cambio de configuracin
Puede configurar varios parmetros globales de configuracin para controlar los mensajes de registro
enviados desde el Servidor de administrador al Log Server.
Enviar mensajes de registro del servicio del Management Server al Visor de eventos de Windows
Seleccione esta casilla de verificacin para que los mensajes de registro de diagnstico del
Management Server se enven al Visor de eventos de Windows. Tambin puede controlar la
generacin de registros del Management Server en la pestaa Generacin de registros.
Informacin de auditora del registro en la puesta en funcionamiento
Seleccione esta casilla de verificacin si desea que el Management Server registre informacin en
dispositivos administrados, recursos VPN, plantillas de poltica de firewall de VPN, plantillas de
seguridad o plantillas de configuracin de dispositivos Edge y tneles Managed VPN cuando se inicie.
Debe seleccionar esta casilla de verificacin para obtener informacin precisa en el Report Manager
para los dispositivos administrados Firebox.
Exija a los usuarios que ingresen un comentario cada vez que guarden en un dispositivo Fireware XTM
Seleccione esta casilla de verificacin para requerir que los usuarios ingresen un comentario antes
de que guarden los cambios de configuracin que realicen en el Policy Manager a un Firebox
administrado.
Activar y configurar autenticacin en Active Directory
Si desea utilizar un servidor de Active Directory para autenticar usuarios, utilice la pestaa Active Directory
en la pgina Management Server para definir la informacin de conexin para el servidor de Active
Directory .
Gua del Usuario 525
Nota Para utilizar la autenticacin en Active Directory con su Management Server, debe
activar LDAPS (LDAP sobre SSL) en el dominio de Active Directory . Para obtener
ms informacin, visite el sitio web de Microsoft o revise la documentacin para su
servidor de Active Directory .
Si bien a la cuenta del administrador primario siempre la administra el Management Server, puede utilizar
un servidor de Active Directory para administrar otras cuentas de usuario. Cuando un usuario desde un
servidor de autenticacin externa se registra en el Management Server, el servidor enva esa informacin al
servidor de Active Directory externo. El servidor de Active Directory comunica al Management Server si el
usuario es vlido y a qu grupos pertenece. El Management Server luego compara el usuario y los grupos
con su lista de usuarios y grupos, y las polticas de roles con las cuales se relacionan.
Para activar y configurar una autenticacin en Active Directory , desde WatchGuard Server Center:
Aparece la pgina Active Directory .
3. Seleccione la casilla de verificacin Activar autenticacin en Active Directory .
4. Para agregar, editar o eliminar un dominio en la lista Domain name, haga clic en Agregar/eliminar.
Puede tener varios domain names en esta lista.
Aparecer el cuadro de dilogo Agregar dominios.
5. Para agregar un domain name a la lista, en el cuadro de texto Especificar domain name, ingrese el
dominio del Active Directory .
El controlador de dominio del Active Directory utiliza SSL para conectarse con el servidor de Active Directory .
7. Para agregar ms domain names a la lista, repita los pasos 4 al 6.
8. Para eliminar un domain name de la lista, seleccione un domain name en la lista y haga clic en
Eliminar.
9. Cuando finalice, haga clic en OK para cerrar el cuadro de dilogo Agregar dominios.
Los domain names que seleccion aparecen en la lista .
10. Para verificar el certificado SSL, seleccione la casilla de verificacin Validar el certificado SSL del
controlador del dominio.
11. Para importar un certificado CA, haga clic en Importar.
12. Para probar su conexin para la autenticacin en Active Directory , haga clic en Prueba.
13. Haga clic en Aplicar para guardar los cambios.
Configurar Registros para el Management Server
En la pgina Generacin de registros del Management Server, puede configurar a dnde el Management
Server enviar los datos del mensaje de registro. Puede elegir enviar mensajes de registro al log server
WatchGuard, al visor de eventos de Windows o a un archivo de registro.
2. Haga clic en la pestaa Generacin de registros.
Aparece la pgina Registro.
Gua del Usuario 527
3. Establezca las configuraciones para su Management Server.
Para obtener informacin detallada sobre la configuracin del servidor, consulte Definir la
configuracin de Registros para sus servidores WatchGuard en la pgina 635.
Crear copia de seguridad o restaurar la
Management Server configuration
El Management Server contiene la informacin de configuracin para todos los dispositivos administrados
Firebox y tneles VPN. Es una buena idea crear archivos de respaldo regulares y frecuentes para el
Management Server, y mantenerlos en un lugar seguro. Puede utilizar estos archivos de respaldo para
restablecer el Management Server en caso de una falla del hardware. Tambin puede utilizar archivos de
respaldo si desea trasladar el Management Server a una nueva computadora.
Cuando crea un archivo de configuracin de respaldo, la frase de contrasea del administrador actual se
almacena en el archivo. Debe utilizar esta frase de contrasea para restablecer el archivo de configuracin.
Si cambia su frase de contrasea del administrador, asegrese de recordar la frase de contrasea para su
archivo de respaldo. Cuando restablece un archivo de configuracin de respaldo con una frase de
contrasea del administrador anterior, esa frase de contrasea se restablece con la configuracin del
servidor.
Respaldar su configuracin
Desde la computadora donde instal el Management Server:
1. Haga clic con el botn derecho y seleccione Respaldar/restaurar.
O bien, desde WatchGuard Server Center, seleccione Archivo >Respaldar/restablecer.
Se inicia el WatchGuard Server Center Backup/Restore Wizard.
Aparece la pantalla Seleccionar una accin.
3. Seleccione Configuraciones de respaldo.
Aparece la pantalla Especificar un archivo de respaldo.
5. Haga clic en Buscar para seleccionar una ubicacin para el archivo de respaldo.
Asegrese de guardar el archivo de configuracin en una ubicacin a donde pueda acceder
posteriormente para restablecer la configuracin.
Aparece la pantalla El WatchGuard Server Center Backup/Restore Wizard se ha completado.
7. Para salir del asistente, haga clic en Finalizar.
Restablecer su configuracin
Antes de comenzar, asegrese de tener la frase de contrasea del administrador correcta para su archivo
de respaldo.
Desde la computadora donde instal el Management Server:
Aparece la pantalla Seleccionar una accin.
3. Seleccione Restablecer configuraciones.
Aparece la pantalla Especificar un archivo de respaldo.
5. Haga clic en Buscar para seleccionar el archivo de respaldo.
6. Ingrese la frase de contrasea del administrador para el archivo de respaldo.
Aparece la pantalla El WatchGuard Server Center Backup/Restore Wizard se ha completado.
Trasladar el Management Server WatchGuard a
una nueva computadora
Trasladar el software del Management Server a una nueva computadora: primero guarde un archivo de
respaldo de la Management Server configuration en la computadora actual y luego restablezca la
configuracin en su nueva computadora. Asegrese de obtener la contrasea del Administrador desde la
configuracin de respaldo. Tambin debe asegurarse de que el nuevo Management Server tenga la misma
direccin IP que el Management Server anterior.
Gua del Usuario 529
Guardar un archivo de respaldo, trasladar y restablecer su
Management Server
Desde la computadora donde el Management Server se encuentra instalado:
2. Utilice el asistente para guardar un archivo de respaldo de la configuracin de su Management
Server.
Para ms informaciones, vea Crear copia de seguridad o restaurar la Management Server
configuration en la pgina 527.
Asegrese de guardar el archivo de configuracin en una ubicacin a donde pueda acceder desde la
nueva computadora.
3. En la nueva computadora, ejecute el programa de instalacin de WatchGuard System Manager.
4. En la seccin Componentes del servidor, asegrese de seleccionar Management Server .
5. Haga clic con el botn derecho en la nueva computadora y seleccione Respaldar/restablecer.
6. Utilice el asistente para restablecer la configuracin de su Management Server.
Para ms informaciones, vea Crear copia de seguridad o restaurar la Management Server
configuration en la pgina 527.
Configurar otros servidores WatchGuard instalados
Cuando restablece una configuracin para la instalacin de su nuevo Management Server, no es necesario
que complete el asistente de instalacin de WatchGuard Server Center cuando abre WatchGuard Server
Center y accede a su Management Server. No obstante, si ha instalado otros servidores WatchGuard en su
nueva computadora de administracin, la configuracin no restablece las configuraciones para esos
servidores. Debe ejecutar el Asistente de configuracin de Server Center para configurar los dems
servidores.
1. En el diagrama Servidores, seleccione cualquier servidor que tenga el estado Servidor no
configurado.
2. Haga clic en el enlace Hacer clic aqu para ejecutar el asistente de instalacin para el servidor
[WatchGuard].
El texto del enlace especifica el nombre del servidor que usted seleccion, pero el asistente
configura todos los servidores WatchGuard instalados.
Aparece un cuadro de dilogo que le informa que se ejecutar el asistente.
3. Haga clic en OK.
Asegrese de tener toda la informacin necesaria para configurar los servidores WatchGuard que
ha instalado.
Para obtener ms detalles sobre la informacin necesaria para completar el Asistente de
configuracin de Server Center, consulte Configurar Servidores de WatchGuard System Manager en
la pgina 501.
5. Complete el Asistente de configuracin de Server Center.
6. Haga clic en Actualizar en la pgina Servidor del servidor seleccionado.
Aparece la informacin del servidor y el servidor se inicia.
7. En la lista Servidores, seleccione otro servidor instalado.
El enlace Hacer clic aqu para ejecutar el asistente de instalacin para el enlace del servidor
[WatchGuard] aparece en la pgina Servidor. No haga clic en este enlace. El servidor ya est
configurado.
8. Haga clic en Actualizar.
Aparece la informacin del servidor y el servidor se inicia.
9. Repita los pasos 7 y 8 para cada servidor WatchGuard que haya instalado.
Utilizar WSMparaconectarse conManagement
Server
Para conectarse con un Management Server desde WatchGuard System Manager:
1. Haga clic en .
O seleccione Archivo>Conectarse al servidor.
O bien, haga clic con el botn derecho en cualquier parte de la ventana de WatchGuard System
Manager y seleccione Conectarse con el > servidor.
Aparece el cuadro de dilogo "Conectarse al Management Server".
2. En la lista desplegable Management Server, seleccione un servidor por su nombre de host o
direccin IP.
O bien, ingrese la direccin IP o el nombre de host.
Cuando ingresa una direccin IP, ingrese todos los nmeros y puntos. No utilice la pestaa ni las
teclas de direccin (flechas).
Gua del Usuario 531
3. Ingrese su nombre de usuario para su cuenta de usuario en el Management Server.
4. Ingrese la contrasea para su cuenta de usuario.
Si utiliza la cuenta de administracin predeterminada, la frase de contrasea es la frase de
contrasea del administrador.
5. Si es necesario, cambie el valor del Tiempo de espera.
Este valor establece el tiempo (en segundos) durante el cual WatchGuard System Manager intenta
detectar los datos desde el Management Server antes de enviar un mensaje para informar que no
puede conectarse.
Si tiene una red o conexin a Internet lenta hacia el dispositivo, puede aumentar el valor de tiempo
de espera. Este valor es la duracin que debe aguardar para un mensaje de tiempo de espera si
intenta conectarse con un Management Server que no est disponible.
El servidor aparece en la ventana WatchGuard System Manager.
Nota En algunas versiones anteriores de productos de seguridad WatchGuard, el
Management Server WatchGuard se denominaba servidor DVCP.
Desconectarse del Management Server
1. Seleccione el Management Server.
2. Haga clic en .
O haga clic con el botn derecho y seleccione Desconectar.
Importar o exportar una configuracin del
Management Server
Puede utilizar WatchGuard System Manager (WSM) para exportar su archivo de Management Server
configuration a un archivo DVCP. Puede utilizar un editor de texto para abrir el archivo y verlo. Tambin
puede importar un archivo de configuracin DVCP guardado hacia su Management Server.
Unarchivo de configuracin guardadono es un reemplazode unacopia de respaldo de su Management
Server. Para obtener ms informacinsobre cmoguardar unacopia de respaldo de su Management Server,
consulte Crear copia de seguridad o restaurar la Management Server configuration en lapgina 527.
Exportar una configuracin
1. Abrir WSMy conectarse con su Management Server.
2. Seleccione Archivo > Exportar al archivo.
Aparece el cuadro de dilogo Guardar como. El nombre de archivo predeterminado es [Management Server IP
address].dvcp.
3. Para seleccionar un nombre diferente para el archivo, ingrese un nombre en el cuadro de texto
Nombre de archivo.
4. Seleccione una ubicacin para guardar el archivo.
Importar una configuracin
2. Seleccione Archivo > Importar desde el archivo.
Aparece el cuadro de dilogo Abrir.
3. Realice una bsqueda para seleccionar un archivo de configuracin.
4. Haga clic en Abrir.
Gua del Usuario 533
19
Administrar dispositivos y VPN
Acerca del WatchGuard System Manager
El WatchGuard System Manager (WSM) tiene menes e iconos que pueden ser usados para iniciar otras
herramientas. El WSM tambin tiene dos pestaas que puede usar para monitorear y administrar sus
dispositivos y ambiente Firebox: Estado del dispositivo y Administracin de Dispositivos.
Estado del dispositivo
La informacin acerca de un dispositivo al que se conecta aparece en la pestaa Estado del dispositivo. La
informacin que aparece incluye el estado, direccin IP y direccin MAC para cada interfaz Ethernet y
certificados instalados. Tambin incluye el estado de todos los tneles de red privada virtual (VPN) que
estn configurados en WSM.
La informacin expandida para cada Firebox incluye la direccin IP y la Subnet Mask de cada interfaz de
Firebox. Tambin incluye:
n Direccin IP y Subnet Mask de la puerta de enlace predeterminada (slo para interfaces externas)
n Direccin MAC (Control de Acceso a Medios) de la interfaz
n Nmero de paquetes enviados y recibidos en cada interfaz desde el ltimo reinicio de Firebox
Cada dispositivo puede estar en uno de los cuatro estados posibles, segn indica el icono del dispositivo:
n (Operacin normal) El dispositivo est enviando datos con xito al WatchGuard System
Manager.
n El dispositivo tiene una direccin IP dinmica y no contact el Management Server todava.
n WatchGuard System Manager no puede establecer la conexin de red con el dispositivo en
ese momento.
n El dispositivo est siendo contactado por primera vez o todava no fue contactado.
La pestaa Estado del dispositivo tambin incluye informacin acerca de los tneles VPN de sucursal y
tneles Mobile VPN.
Administracin de Dispositivos
Nota Slo ve la pestaa Administracin de Dispositivos cuando Utilizar WSMpara
conectarse con Management Server.
La pestaa Administracin de Dispositivos tiene un panel de navegacin a la izquierda y un panel de
informacin a la derecha. El panel de navegacin muestra los WatchGuard Management Servers y sus
dispositivos administrados, VPNs administradas, plantillas de poltica de firewall de VPN, plantillas de
seguridad, plantillas de configuracin de dispositivos y tareas programadas. Si expande una lista de
dispositivos, encuentra los recursos (redes) de VPN detrs del dispositivo. Para ms informacin, vea
Agregar recursos de VPN en la pgina 815.
El panel de informacin a la derecha muestra informacin ms detallada para cualquier tem seleccionado
en el panel de navegacin.
Management Server
Para ver o alterar informacin acerca del Management Server, haga clic en Management Server en
el panel de navegacin. La informacin disponible acerca del Management Server aparece en el
panel derecho e incluye:
n Nombre de usuario y direccin IP del usuario registrado en el WSM
Ese nombre de usuario tambin est incluido entre parntesis despus de la direccin IP del
Management Server en el panel de navegacin izquierdo.
Gua del Usuario 535
n Administrar alias para los dispositivos Firebox X Edge
n Licencias de Manage Server
n Clientes Puede alterar la Lista de Contactos, tal como se describe en Determinar propiedades
de administracin del dispositivo
n Ver y administrar la lista de Report Servers monitoreados
n Lista de dispositivos administrados, tneles VPN y Configuracin del Dispositivo
Para ms informacin, vea Agregar y administrar tneles y recursos de VPN en la pgina 563 y
Crear y suscribirse a la configuracin del dispositivo Plantillas en la pgina 579.
n Alertas WatchGuard Difusiones recientes de LiveSecurity que son alertas de informacin
Si hace clic en un alerta, debe registrarse con los datos de su cuenta de LiveSecurity Service para ver el
texto completo del alerta.
n Iniciar el WatchGuard System Manager herramientas
n Revisar, cancelar o eliminar las Tareas Programadas
Dispositivos
Para ver una lista de dispositivos administrados para el Management Server, haga clic en la lista
Dispositivos en el panel de navegacin. La pgina Dispositivos aparece y muestra la informacin
acerca de todos los dispositivos administrados por ese Management Server.
Para Vea informacin acerca de dispositivos administrados, haga clic en un dispositivo en la lista
Dispositivos o doble clic en un dispositivo en la pgina Dispositivos. Aparece la Pgina del dispositivo
para el dispositivo seleccionado.
VPNs administradas
Para ver una lista de tnelesVPN existentes y agregar nuevos tnelesVPN, haga clic en VPNs
administradas en el panel de navegacin. En la pgina VPNs administradas, puede revisar los
detalles bsicos acerca de sus tneles Managed VPN. Haga doble clic en una Managed VPN en la
lista y vaya a la pgina Managed VPN para ese tnel VPN. Tambin puede hacer clic en Agregar
para Agregar y administrar tneles y recursos de VPN.
Paraverinformacinacercadeuntnel ManagedVPN existente,hagaclicenunaManagedVPN enel
rbol VPNsadministradas.EnlapginadeconfiguracionesdeManagedVPN,puederevisarlas
configuracionesdetneles.HagaclicenConfigurarparaAgregar yadministrar tnelesyrecursosdeVPN.
Pgina Acerca de Administracin del Dispositivo
Se puede usar la pgina de administracin del dispositivo para configurar la administracin para sus
dispositivos administrados.
1. Abra el WatchGuard System Manager y Utilizar WSMpara conectarse con Management Server.
2. En la pestaa Administracin del Dispositivo, seleccione Dispositivos.
Aparece la pgina Dispositivos.
3. Haga doble clic en un dispositivo de la lista.
O expanda Dispositivos y haga clic en un dispositivo en la lista.
Aparece la Pgina de Administracin del dispositivo para el dispositivo seleccionado.
En la pgina "Administracin del Dispositivo" se puede:
n Ver si el archivo de configuracin del dispositivo est bloqueado
Si otra cuenta de usuario del Management Server abri el archivo de configuracin en el Policy
Manager, el archivo de configuracin est bloqueado. Aparece un alerta en el topo de la pgina
sealando que el archivo est bloqueado. No se pueden hacer cambios en el archivo de
configuracin del dispositivo hasta que otro usuario desbloquee el archivo (cierra el Policy Manager
para ese dispositivo).
n Ver informacin general del dispositivo
n Ver, agregar, editar o remover tnelesVPN del dispositivo
Para ms informacin acerca de esta seccin de la pgina, vea Agregar y administrar tneles y
recursos de VPN en la pgina 563.
n Ver, agregar, editar o remover recursos deVPN del dispositivo
n Iniciar herramientas que se puede usar para monitorear, definir o administrar el dispositivo
Vea informacin acerca de dispositivos administrados
En el WatchGuard System Manager, puede ver la lista de dispositivos administrados e informaciones acerca
de cada uno de ellos.
1. Abra el WSMy Utilizar WSMpara conectarse con Management Server.
2. Seleccione un dispositivo o carpeta en la lista Dispositivos.
La informacin para ese dispositivo aparece en la pgina Dispositivos.
Nombre
El nombre del dispositivo administrado.
Tipo
El tipo de dispositivo o software del dispositivo instalado en el Firebox administrado.
Actualizar estado
Las actualizaciones programadas del dispositivo y su estados aparecen en esta columna.
Gua del Usuario 537
n Nunca El dispositivo nunca ha sido actualizado.
n Pendiente Se ha realizado un cambio pero no sincronizado con el dispositivo, o una
actualizacin est en progreso.
n Programada Se ha programado una actualizacin, pero no se ha iniciado.
n Concluida El dispositivo ha sido actualizado. La fecha/hora de la actualizacin aparece
en parntesis.
Direccin IP
La direccin IP usada para identificar el Firebox. Si el Firebox no report an al servidor,
aparece n/a en este campo.
ltima modificacin
La hora y fecha de la ltima modificacin del archivo de configuracin del dispositivo en el
servidor.
Acerca de los modos de "Centralized
Management"
El "Centralized Management" le permite controlar las configuraciones para sus dispositivos Firebox desde
su WatchGuard Management Server. El Centralized Management incluye dos modos: Modo Administrado
Bsico y Modo Totalmente Administrado. El Modo Administrado Bsico est disponible para todos los
modelos Firebox que puedan ser administrados por su Management Server. El Modo Totalmente
Administrado est disponible para los dispositivos Firebox X Edge y Fireware XTMsolamente.
Para ms informacin acerca de cules modelos Firebox puede administrar con su Management Server,
vea Agregar dispositivos administrados al Management Server en la pgina 541.
En el Modo Administrado Bsico, puede usar el Management Server para:
n Monitorear su Firebox
n Administrar y monitorear tneles VPN
n Sincronizar su tecla de funcin
n Actualizar el OS de su Firebox
En el Modo Totalmente Administrado, puede usar el Management Server para:
n Monitorear su Firebox
n Administrar y monitorear tneles VPN
n Sincronizar su tecla de funcin
n Actualizar el OS de su Firebox
n Administrar la configuracin de su Firebox con el Management Server
n Programar actualizaciones de configuracin para sus dispositivos administrados
n Administrar plantillas de dispositivo
n Programar actualizaciones para las Plantillas de Configuracin de Dispositivos
Cuando usa el WatchGuard System Manager (WSM) para aadir su dispositivo al Management Server como
dispositivo administrado, l est automticamente en el Modo Administrado Bsico. Para cambiar para el
Modo Totalmente Administrado, puede suscribirlo a una Plantilla de Configuracin de Dispositivo o puede
usar la seccin Modo de Dispositivo en la pgina Dispositivo del WSMpara su Firebox.
Cuando un Firebox est en el Modo Administrado Bsico, an puede conectarse directamente al Firebox y
administrar el archivo de configuracin de forma local con el Policy Manager. Cuando un Firebox est en
Modo Totalmente Administrado, slo puede hacer cambios en la configuracin a partir del Management
Server. Si se conecta directamente al Firebox, la conexin y la configuracin estn definidas como slo
lectura y no es posible hacer cambios en la configuracin de forma local.
Para ms informacin acerca de cmo suscribir un dispositivo a una plantilla, vea Suscribir dispositivos
administrados a la Configuracin de dispositivos Plantillas en la pgina 589.
Para ms informacin acerca de cmo cambiar el modo administrado, vea Cambiar el modo Centralized
Management para su Firebox administrado en la pgina 538.
Para ms informacin acerca de cmo usar el WSMpara administrar sus dispositivos, vea Acerca del
Acerca del Modo Totalmente Administrado
Puede utilizar WatchGuard System Manager para controlar y guardar la configuracin de sus dispositivos
administrados Firebox. Esto tambin se conoce como Modo totalmente administrado y se utiliza en lugar de
las pginas de configuracin para cada dispositivo individual. El modo totalmente administrado le permite
actualizar fcilmente las configuraciones para muchos dispositivos simultneamente, realizar cambios en la
poltica de seguridad para varios dispositivo a la vez, y an as tener control individual respecto de la
configuracin de cada Firebox.
Con un Management Server, tambin puede:
n Administrar actualizaciones de configuracin de Firebox
El Management Server puede programar e instalar estas actualizaciones.
n Crear Plantillas de configuracin de dispositivos
Estas plantillas son recopilaciones de configuraciones para un grupo de dispositivos Firebox.
Puede crear una plantilla de configuracin en el Management Server y luego subscribir sus
dispositivos Firebox a la plantilla. Si realiza un cambio en la plantilla de configuracin, la
configuracin se actualiza automticamente en todos los dispositivos Firebox suscritos.
Tambin puede administrar dispositivos Firebox SOHO 6 y SOHO 5 desde WatchGuard System Manager,
aunque no puede configurarlos para el modo totalmente administrado. Tambin puede crear plantillas de
configuracin para Firebox SOHO.
Para ms informacin acerca de los modos administrados, vea Acerca de los modos de "Centralized
Management" en la pgina 537.
Cambiar el modo Centralized Management para su Firebox
administrado
Cuando aade su Firebox a su Management Server como un dispositivo administrado, se aade como Modo
administrado bsico. Puede usar el WatchGuard System Manager (WSM) para alterar su Firebox para Modo
totalmente administrado y suscribirlo en una Plantilla de Configuracin de Dispositivos.
Gua del Usuario 539
Para ms informacin acerca de los modos administrados, vea Acerca de los modos de "Centralized
Management" en la pgina 537.
Para ms informacin acerca de las "Plantillas de Configuracin de Dispositivos", vea Crear y suscribirse a la
configuracin del dispositivo Plantillas en la pgina 579.
Para cambiar el modo de administracin:
1. Abra el WSMy Utilizar WSMpara conectarse con Management Server.
2. Expanda la lista Dispositivos y seleccione un dispositivo Firebox X Edge o Fireware XTM.
Aparece la pgina "Dispositivo" para el dispositivo seleccionado. Aparece el "Modo del Dispositivo" actual en
la seccin "Modo del Dispositivo".
3. En la seccin Modo del Dispositivo, haga clic en Configuraciones.
Aparece el cuadro de dilogo "Modo del Dispositivo".
4. Siga los pasos en la seccin siguiente para el modo que desea seleccionar.
Cambie para "Modo Administrado Bsico"
Cuando cambia del Modo Totalmente Administrado hacia el Modo Administrado Bsico, si su Firebox est
suscrito a una Plantilla de Configuracin de Dispositivos, la suscripcin de plantillas de Firebox caduca y
todas las polticas y configuraciones de plantillas son removidas de la configuracin de Firebox.
En el cuadro de dilogo "Modo del Dispositivo":
1. Seleccione Modo Administrado Bsico.
2. Haga clic en OK.
Aparece el "Modo Administrado Bsico" en la seccin "Modo del Dispositivo".
Cambiar para Modo Totalmente Administrado
Cuando se cambia del Modo Administrado Bsico al Modo Totalmente Administrado, puede elegir suscribir
el dispositivo a una plantilla de configuracin.
En el cuadro de dilogo "Modo del Dispositivo":
1. Seleccione Modo Totalmente Administrado.
2. Para suscribirse a una plantilla de configuracin, seleccione la casilla Usar plantilla de configuracin
y seleccione una plantilla en la lista desplegable.
3. Haga clic en OK.
Aparece un mensaje de configuracin.
4. Haga clic en S.
El Management Server descarga el archivo de configuracin. Si seleccion una plantilla de configuracin, el
dispositivo est suscrito a la plantilla.
Gua del Usuario 541
Usar las configuraciones del Modo del Dispositivo para suscribirse a una
plantilla
Si su Firebox est en Modo Totalmente Administrado, pero no est suscrito a una plantilla, puede usar el
cuadro de dilogo Modo del Dispositivo para seleccionar una.
1. En la seccin Modo del Dispositivo, haga clic en Configuraciones.
Aparece el cuadro de dilogo "Modo del Dispositivo".
2. Seleccione la casilla Usar plantilla de configuracin.
3. Seleccione una plantilla en la lista desplegable siguiente.
4. Haga clic en OK.
5. Si no desea reiniciar el Firebox, limpie la casilla de verificacin Reiniciar dispositivo ahora para
caducar concesin y descargar nueva configuracin.
6. Haga clic en S.
El dispositivo se suscribe a la plantilla.
Agregar dispositivos administrados al
Management Server
Puede usar el Management Server para administrar dispositivos Firebox, incluyendo los dispositivos Firebox
X y el WatchGuard XTM que usan el Fireware Appliance Software XTM, dispositivos Firebox X que usan el
Fireware Appliance Software, dispositivos Firebox X Edge, Firebox III y Firebox X Core que usan el software
del dispositivo WFS, y Firebox SOHO. Puede administrar un dispositivo con una direccin IP dinmica si us
el Policy Manager para configurarlo como cliente administrador. Si su dispositivo tiene mltiples interfaces
externas, no cambie la configuracin de interfaz despus de agregar el dispositivo al Management Server.
1. Haga clic en para conectarse al Management Server.
O seleccione Archivo>Conectarse al servidor.
O haga clic con el botn derecho en cualquier parte de la ventana y seleccione Conectarse al
>servidor.
Aparece el cuadro de dilogo "Conectarse al Management Server".
2. Ingrese o seleccione la direccin IP del Management Server e ingrese la frase de contrasea de
configuracin.
4. Haga clic en para agregar un dispositivo.
O en la pgina Management Server, en la seccin Resumen, seleccione Agregar dispositivo.
Se inicia "Add Device Wizard".
Aparece la primera pantalla de configuracin.
Gua del Usuario 543
n Conozco la direccin IP actual del dispositivo
n No conozco la direccin IP actual del dispositivo asignada dinmicamente.
7. Siga las instrucciones en la seccin siguiente para la opcin seleccionada.
Si conoce la direccin IP actual del dispositivo
1. Ingrese Nombre del host/Direccin IP, Frase de contrasea de estado y Frase de contrasea de
configuracin para el dispositivo.
Si seleccion un dispositivo que ya est administrado por otro servidor, aparece un mensaje de
alerta. Haga clic en S para sobrescribir la otra configuracin y agregar este dispositivo al
Management Server.
El asistente realizada la bsqueda del dispositivo.
3. Si desea usar un nombre diferente del predeterminado, ingrese un Nombre del cliente para el
dispositivo.
4. Seleccione el Tipo de dominio en la lista desplegable.
5. Ingrese y confirme el shared secret.
El nombre y el secreto compartido ingresados aqu deben coincidir con aquellos otorgados al
dispositivo cuando lo activ como cliente administrado.
7. Ingrese y confirme la frase de contrasea de estado y la frase de contrasea de configuracin.
Haga clic en Siguiente.
8. Seleccione el mtodo de autenticacin de tnel para el dispositivo. Haga clic en Siguiente.
Aparece la pgina "Configurar el dispositivo.
Aparece la pgina Add Device Wizard est concluido.
10. Revise la informacin para su dispositivo. Haga clic en Cerrar.
El "Add Device Wizard" se cierra y el dispositivo aparece en el WSM en la categora correcta de dispositivo en
la lista de Resumen y en la lista Dispositivos.
Si no conoce la direccin IP del dispositivo
Despus de concluir el asistente, puede configurar manualmente el dispositivo para administracin. Cuando
el dispositivo est configurado para administracin, se contacta con el Management Server.
Para ms informaciones, vea Configurar un Firebox como un dispositivo administrado en la pgina 565 y
siga el procedimiento en la seccin Configurar cliente administrado.
El asistente no realiza la bsqueda del dispositivo y aparece la pgina "Insertar un nombre para el dispositivo".
2. Si desea usar un nombre diferente del predeterminado, ingrese un Nombre del cliente para el
dispositivo.
3. Seleccione el Tipo de dominio en la lista desplegable.
4. Ingrese y confirme el shared secret.
El nombre y el secreto compartido ingresados aqu deben coincidir con aquellos otorgados al
dispositivo cuando lo activ como cliente administrado.
6. Ingrese y confirme la frase de contrasea de estado y la frase de contrasea de configuracin.
Aparece la pgina "Seleccione mtodo de autenticacin de tnel".
7. Seleccione el mtodo de autenticacin de tnel para el dispositivo. Haga clic en Siguiente.
Aparece la pgina "Configurar el dispositivo.
Aparece la pgina Add Device Wizard est concluido.
El "Add Device Wizard" se cierra y el dispositivo aparece en el WSM en la categora correcta de dispositivo en
la lista de Resumen y en la lista Dispositivos.
Nota Si hay mucho trfico de red cuando el asistente intenta conectarse al dispositivo, el
tiempo de la conexin SSL se agota. Complete el asistente nuevamente cuando la
red est menos ocupada.
Determinar propiedades de administracin del
dispositivo
Es posible configurar tres categoras de propiedades de administracin del dispositivo desde la pgina
"Administracin del Dispositivo" para su Firebox: configuraciones de conexin, preferencias de tnel IPSec
e informacin de contacto.
Configuraciones de conexin
1. En Pgina Acerca de Administracin del Dispositivo, en la seccin Informacin del dispositivo, haga
clic en Configurar.
Aparece el cuadro de dilogo "Propiedades del dispositivo".
Gua del Usuario 545
2. En el campo Visualizar nombre, ingrese el nombre que desea que aparezca en el WSMpara el
dispositivo.
3. En la lista desplegable Tipo de Firebox, seleccione el hardware del dispositivo y, si corresponde, el
software del dispositivo instalado en l.
4. Si el dispositivo tiene una direccin IP esttica, en el campo Nombre del host/direccin IP,
seleccione o ingrese la entrada para su dispositivo. Ese campo contiene la lista de direcciones IP
externas que el WSMusa para analizar el dispositivo y para construir tneles VPN.
5. Si el dispositivo tiene una direccin IP dinmica, seleccione la casilla Dispositivo posee direccin IP
externa dinmica.
6. En el campo Nombre del cliente, ingrese el nombre del dispositivo.
Para ms informacin acerca de cmo configurar un dispositivo para administracin manualmente,
vea Configurar un Firebox como un dispositivo administrado en la pgina 565.
7. Ingrese el estado y la frase de contrasea de configuracin para el Firebox.
8. En el campo shared secret, ingrese el secreto compartido entre el dispositivo y el Management
Server.
9. Use la flecha Tiempo de concesin para cambiar el tiempo de concesin del Management Server.
se es el intervalo de tiempo en el cual el cliente administrado contacte el Management Server para
obtener actualizaciones. El tiempo predeterminado es de 60 minutos.
Preferencias de tnel IPSec
1. Enel cuadrode dilogoPropiedades deldispositivo, seleccionelapestaaPreferencias detnel IPSec.
Gua del Usuario 547
2. (No aparece para Edge v10.0 o posterior) En la lista desplegable Autenticacin de tnel, seleccione
Clave compartida o Firebox Certificate IPSec. La segunda opcin usa el certificado para el Firebox.
Para ms informacin acerca de certificados, vea Usar un certificado para autenticacin del tnel
BOVPN en la pgina 794.
3. Si desea que su cliente administrado obtenga sus configuraciones WINS y DNS a travs del tnel
BOVPN de IPSec, ingrese las direcciones principal y secundaria para los servidores WINS y DNS. De
lo contrario, puede dejar esos campos en blanco.
Tambin se puede ingresar un sufijo de dominio en el cuadro de texto Nombre del dominio para ser
usado por un cliente DHCP con nombres no cualificados, tal como kunstler_mail.
Informacin de contacto
En la pgina "Administracin del Dispositivo" para su Firebox, puede ver las entradas actuales en la Lista de
Contacto y editar esas entradas. Si desea agregar una nueva entrada en la Lista de Contacto para su
dispositivo administrado, primero debe agregarlo a la lista de contacto del Management Server.
Para ms informaciones, vea Administrar informacin de contacto del cliente en la pgina 560.
1. En el cuadro de dilogo Propiedades del dispositivo, seleccione la pestaa Informacin de
contacto.
Aparece una lista de informacin de contacto para dispositivos remotos.
2. Para ver entradas en la lista de contacto o editar una entrada existente, haga clic en Lista de
Contacto.
Aparece la Lista de Contacto.
3. Para editar una entrada, haga doble clic en la entrada que desea editar.
Aparece el cuadro de dilogo "Informacin de contacto".
4. Haga los cambios necesarios y haga clic en Aceptar.
La entrada actualizada aparece en el cuadro de dilogo Lista de Contacto.
5. Haga clic en OK.
Programar tareas para dispositivos administrados
Puede utilizar WatchGuard System Manager (WSM) para programar tres tipos especficos de tareas para sus
dispositivos administrados WatchGuard: actualizaciones del OS, sincronizacin de teclas de funcin y
reinicios de dispositivos. Las actualizaciones del OS para los dispositivos WatchGuard deben instalarse en el
Management Server. Puede descargar actualizaciones del OS desde LiveSecurity cuando actualiza el
software de WSM. Tambin puede utilizar WSMpara obtener la tecla de funcin ms reciente para cada
uno de sus dispositivos administrados Firebox desde LiveSecurity. Con la tarea Programar reinicio, puede
optar por reiniciar uno o ms de sus dispositivos administrados Firebox X Edge o WatchGuard XTMen un
momento especfico.
Cuando programa una tarea, puede configurarla para que se realice inmediatamente o en algn momento
futuro. Por ejemplo, puede programar una actualizacin para su OS de Firebox para cada viernes a la
medianoche, programar la sincronizacin de su tecla de funcin el ltimo da de cada mes y reiniciar
dispositivos administrados especficos el primer da de cada mes.
Existen algunas limitaciones para las actualizaciones programadas del OS. No puede programar una
actualizacin del OS para cualquier dispositivo que sea miembro de un FireCluster. Tampoco puede incluir
la puerta de enlace del Management Server de Firebox en una actualizacin programada del OS con otros
dispositivos. Si desea programar una actualizacin del OS para su Firebox de puerta de enlace, asegrese de
programarla como una tarea aparte.
Gua del Usuario 549
Puede utilizar WSMpara programar las actualizaciones de configuracin para sus dispositivos Firebox
totalmente administrados. Estas actualizaciones de configuracin se programan desde el Administrador de
Polticas, en lugar de que se realicen desde la pgina Tareas programadas. Para obtener ms informacin
sobre cmo programar estas actualizaciones, consulte Actualizar la configuracin para un dispositivo
totalmente administrado en la pgina 557.
El estado actual de todas las tareas programadas aparece en la pestaa Administracin de dispositivos, en la
pgina Tareas programadas.
Para programar una nueva tarea, desde WatchGuard System Manager:
2. En la navigation bar izquierda, seleccione el Management Server para los dispositivos que desea
actualizar.
Aparece la pgina "Management Server". La seccin Tareas programadas en la parte derecha de la pgina
muestra la cantidad de tareas programadas.
3. En la seccin Tareas programadas, seleccione la tarea que desea programar.
4. Siga las instrucciones en los temas subsiguientes para completar la tarea seleccionada:
n Programar actualizacin del OS
n Programar sincronizacin de teclas de funcin
n Programar reinicio
Cuando la tarea est programada, aparece en la pgina Tareas programadas con una Identificacin de
tarea especfica para cada dispositivo incluido en la tarea. Si bien cada dispositivo tiene una fila especfica
en la lista, no puede seleccionar un dispositivo individual para una tarea programada. Cualquier accin que
realice se aplicar a todos los dispositivos en la tarea programada.
Para obtener ms informacin sobre cmo ver los detalles de todas las tareas programadas, o cmo
cancelar o eliminar una tarea programada, consulte Revisar, cancelar o eliminar las Tareas Programadas en
la pgina 556.
Programar actualizacin del OS
Puede utilizar el asistente de actualizacin del OS de WatchGuard System Managerpara programar una
actualizacin del OS (sistema operativo) para uno o ms de sus dispositivos administrados. Antes de
comenzar, asegrese de que el archivo de actualizacin del OS para el dispositivo administrado que desea
actualizar est instalado en su Management Server. No puede programar una actualizacin del OS si el
archivo de actualizacin no est instalado en el Management Server. Antes de que se complete una
actualizacin del OS programada para un dispositivo, el dispositivo se reinicia.
Instalar una actualizacin del OS
Para instalar la actualizacin automtica del OS en su Management Server:
1. Abra un explorador web y dirjase a la pgina Descargas de software en el sitio web de WatchGuard.
2. Descargue el archivo de actualizacin del OS para su dispositivo WatchGuard en su computadora de
administracin (la computadora donde est instalado su Management Server).
ste es un archivo EXE. Por ejemplo, XTM_OS_1050_11_1.exe.
3. Dirjase a la ubicacin en su computadora de administracin donde guard el archivo EXE y haga
doble clic en el archivo para ejecutarlo e instalar el OS en su computadora de administracin.
Programar una tarea de actualizacin del OS
En la seccin Tareas programadas:
1. Haga clic en Programar la actualizacin del OS.
Se inicia el asistente de actualizacin del OS.
2. Lea el mensaje de bienvenida y haga clic en Siguiente.
Aparece la pgina Seleccionar el dispositivo.
3. Seleccione el Tipo de dispositivo en la lista desplegable y haga clic en Siguiente.
Aparece la pgina Seleccionar los dispositivos.
4. Seleccione la casilla de verificacin para cada dispositivo WatchGuard que desee actualizar y haga
clic en Siguiente.
Aparece la pgina Seleccionar la versin del OS.
5. Seleccione una Versin del OS en la lista desplegable y haga clic en Siguiente.
Aparece la pgina Seleccionar hora y fecha.
6. Para actualizar el OS inmediatamente, seleccione Actualizar el OS inmediatamente.
Paraprogramarlaactualizacinparaunmomentofuturo,seleccioneProgramarlaactualizacindelOS.
7. Si seleccion Programar la actualizacin del OS, seleccione la fecha en la lista desplegable Fecha y
configure la hora en el cuadro de texto Hora.
Aparece la pgina Programar la actualizacin del OS.
Aparece la pgina El asistente de actualizacin del OS se ha completado.
10. Para finalizar el asistente, haga clic en Cerrar.
El OS se actualiza si seleccion Actualizar el OS inmediatamente o se programa si seleccion Programar la
actualizacin del OS. La cantidad de tareas programadas aparece en la seccin Tareas programadas.
Gua del Usuario 551
Cuando se efecta la actualizacin programada del OS, el Management Server actualiza el dispositivo
WatchGuard y reinicia el dispositivo.
Programar sincronizacin de teclas de funcin
Puede utilizar su Management Server para programar la sincronizacin de las teclas de funcin para uno o
ms de sus dispositivos administrados.
En la seccin Tareas programadas:
1. Haga clic en Programar sincronizacin de teclas de funcin.
Se inicia el asistente de sincronizacin de teclas de funcin.
3. Seleccione la casilla de verificacin para cada dispositivo administrado WatchGuard con una tecla de
funcin que desee sincronizar. Haga clic en Siguiente.
4. Para sincronizar las teclas de funcin de inmediato, seleccione Sincronizar las teclas de funcin de
inmediato.
Para programar las teclas de funcin a fin de sincronizarlas en un momento futuro, seleccione
Programar sincronizacin de teclas de funcin.
5. Si seleccion Programar sincronizacin de teclas de funcin, seleccione la fecha en la lista
desplegable Fecha y configure la hora en el cuadro de texto Hora.
Aparece la pgina Programar sincronizacin de teclas de funcin.
Aparece la pgina Se ha completado el asistente de sincronizacin de teclas de funcin.
Las teclas de funcin se sincronizan si seleccion Sincronizar las teclas de funcin de inmediato o se programan
si seleccion Programar sincronizacin de teclas de funcin. La cantidad de tareas programadas aparece en la
seccin Tareas programadas.
Programar reinicio
Puede utilizar el Asistente de programacin de reinicio de WatchGuard System Manager para reiniciar uno
o ms de sus dispositivos administrados Firebox X Edge v10.x o Fireware XTM. Puede elegir programar un
reinicio para un dispositivo individual o puede programar un reinicio para un grupo de dispositivos.
Programar un reinicio para un dispositivo individual
Cuando programa un reinicio para un dispositivo individual, se ejecuta el Asistente de programacin de
reinicio, pero usted no puede optar por incluir otros dispositivos en el reinicio programado.
1. En la navigation bar izquierda, expanda el diagrama Dispositivos.
2. Seleccione el dispositivo para el cual desea programar un reinicio.
3. Haga clic con el botn derecho en el dispositivo y seleccione Programar reinicio.
Aparece el Asistente de reinicio programado.
Gua del Usuario 553
5. Para reiniciar el dispositivo inmediatamente, seleccione Reiniciar el dispositivo inmediatamente.
Para programar el dispositivo para que se reinicie en un momento futuro, seleccione Programar el
reinicio.
6. Si seleccion Programar el reinicio:
n En la lista desplegable Fecha, seleccione la fecha.
n En el cuadro de texto Hora, configure la hora.
Aparece la pgina Programar el reinicio.
Aparece la pgina Se ha completado el asistente de reinicio programado.
9. Para cerrar el asistente, haga clic en Cerrar.
El dispositivo se reinicia si seleccion Reiniciar el dispositivo inmediatamente o se programa si seleccion
Programar el reinicio. La cantidad de tareas programadas aparece en la seccin Tareas programadas.
Programar un reinicio para uno o ms dispositivos
Puede programar un reinicio para ms de un dispositivo al mismo tiempo.
1. En la pgina Management Server, en la seccin Tareas programadas, haga clic en Programar
reinicio.
O bien, en el diagrama Administracin del dispositivo, haga clic con el botn derecho en Tareas
programadas y seleccione Programar reinicio.
O bien, en la pgina Tareas programadas, haga clic en Agregar y seleccione Programar reinicio.
Aparece el Asistente de reinicio programado.
3. Seleccione la casilla de verificacin para cada dispositivo que desee actualizar y haga clic en
Siguiente.
Gua del Usuario 555
4. Para reiniciar el dispositivo inmediatamente, seleccione Reiniciar el dispositivo inmediatamente.
Para programar el dispositivo para que se reinicie en un momento futuro, seleccione Programar el
reinicio.
5. Si seleccion Programar el reinicio, seleccione la fecha en la lista desplegable Fecha y configure la
hora en el cuadro de texto Hora.
Aparece la pgina Programar el reinicio.
Aparece la pgina Se ha completado el asistente de reinicio programado.
El dispositivo se reinicia si seleccion Reiniciar el dispositivo inmediatamente o se programa si seleccion
Programar el reinicio. La cantidad de tareas programadas aparece en la seccin Tareas programadas.
Revisar, cancelar o eliminar las Tareas Programadas
Una vez que ha programado WatchGuard System Manager (WSM) para actualizar el OS o sincronizar las
teclas de funcin para sus dispositivos administrados WatchGuard, puede revisar, cancelar o eliminar estas
tareas programadas. No se puede editar una tarea programada. Si desea cambiar las propiedades de una
tarea que ha creado, debe eliminar esa tarea y programar una nueva tarea. Cuando incluye ms de un
dispositivo en una tarea programada, cualquier cambio que realice en la tarea programada afectar a todos
los dispositivos incluidos en la tarea.
Para obtener ms informacin sobre cmo programar una nueva tarea, consulte Programar tareas para
dispositivos administrados en la pgina 548.
Revisar tareas programadas
1. Abrir WSMy conectarse con un Management Server.
2. En la pestaa Administracin de dispositivos, en la navigation bar izquierda, seleccione Tareas
programadas.
Aparece la pgina Tareas programadas.
2. Revisar las tareas en la lista Tareas programadas.
Cada actualizacin tiene una ID de tareas nica y aparece en una lnea separada para cada
dispositivo, incluso si se incluye ms de un dispositivo en la misma actualizacin. Por este motivo,
cuando selecciona un dispositivo en la lista Tareas programadas, se seleccionan todos los
dispositivos incluidos en esa actualizacin programada.
3. Cancele, elimine o agregue una nueva tarea segn sea necesario.
n Para eliminar una tarea programada, haga clic con el botn derecho en un dispositivo y
seleccione Eliminar actualizacin programada.
La actualizacin se elimina del programa para todos los dispositivos incluidos en esa actualizacin.
n Para cancelar una actualizacin programada, haga clic con el botn derecho en un dispositivo y
seleccione Cancelar actualizacin programada.
La tarea permanece en el programa, pero el estado cambia a Cancelado. Puede eliminar la tarea ms
tarde, pero no podr activarla nuevamente.
Gua del Usuario 557
n Para agregar una actualizacin programada del OS, haga clic en Agregar y seleccione Agregar
actualizacin del OS.
O bien, haga clic con el botn derecho y seleccione Agregar actualizacin del OS.
Se inicia el asistente de actualizacin del OS.
n Para programar la sincronizacin de teclas de funcin, haga clic en Agregar y seleccione
Agregar sincronizacin de teclas de funcin.
O bien, haga clic con el botn derecho y seleccione Agregar sincronizacin de teclas de
funcin.
Se inicia el asistente de sincronizacin de teclas de funcin.
n Para programar el reinicio de un dispositivo, haga clic en Agregar y seleccione Programar
reinicio.
Se inicia el asistente de reinicio programado.
Limpiar tareas programadas
La lista Tareas programadas muestra todas las tareas de actualizacin del OS, de sincronizacin de teclas de
funcin y de reinicio programado para su Managment Server. Si su lista Tareas programadas incluye tareas
con estado Cancelado, Descargado, Instalado o Fallado, puede utilizar el procedimiento de la seccin
anterior para eliminar cada tarea en forma individual. O puede eliminarlas todas de una sola vez.
Para limpiar de una sola vez todas las tareas programadas pendientes:
1. Abrir WSMy conectarse con un Management Server.
2. En la pestaa Administracin de dispositivos, en la navigation bar izquierda, seleccione Tareas
programadas.
Aparece la pgina Tareas programadas.
3. En la ventana Tareas programadas, haga clic en cualquier parte.
Aparece el men del botn derecho.
4. Seleccione Tareas de limpieza.
5. Haga clic en S.
Todas las tareas descargadas, instaladas, canceladas y falladas se eliminan de la lista. Slo permanecen las
tareas con estado Programado.
Actualizar la configuracin para un dispositivo
totalmente administrado
Para cambiar la configuracin para cualquier Firebox que sea totalmente administrado por su Management
Server, debe iniciar el Policy Manager para ese dispositivo desde la pestaa de administracin del
dispositivo WatchGuard System Manager (WSM).
1. Utilizar WSMpara conectarse con Management Server en la pgina 530
2. Expanda la lista Dispositivos y seleccione un dispositivo Firebox X Edge o Fireware XTM.
Aparece la pgina "Dispositivo" para el dispositivo seleccionado.
3. En la seccin Herramientas, haga clic en Policy Manager.
El Policy Manager abre el archivo de configuracin para el dispositivo que seleccion.
4. Actualice el archivo de configuracin con sus cambios.
5. Guardar la configuracin para un archivo o para el Management Server.
Para obtener ms informacin sobre las opciones para guardar la configuracin, consulte las
secciones subsiguientes.
Para guardar la configuracin para un archivo:
1. Haga clic en .
Aparece el cuadro de dilogo "Guardar".
2. Ingrese el nombre de archivo para el archivo de configuracin.
3. Seleccione el directorio en donde desea guardar el archivo de configuracin.
La configuracin se guarda en un archivo, en la ubicacin que usted especific.
Para guardar la configuracin directamente en el Management Server:
1. Haga clic en .
Aparece el asistente de programacin de actualizacin de configuracin.
2. Haga clic en Siguiente para empezar con el asistente.
3. Seleccionar cundo actualizar el archivo de configuracin.
n Actualizar configuracin inmediatamente
n Programar actualizacin de configuracin
Gua del Usuario 559
4. Si seleccion programar la actualizacin, seleccione la Fecha y la Hora para la actualizacin.
Aparece la pgina El asistente de programacin de actualizacin de configuracin se ha completado.
Aparece un mensaje que indica que la configuracin se guard en el Management Server. Si program una
actualizacin, la fecha para la actualizacin programada aparece en el campo Actualizar estado en la pgina
Dispositivos para ese dispositivo, y en la pgina principal Dispositivos.
Licencias de Manage Server
Puede utilizar WatchGuard System Manager (WSM) para administrar las licencias para su Management
Server. Puede agregar o eliminar license keys y consultar la informacin de license key actual, incluyendo
cuntos dispositivos sus license keys le permiten administrar.
Consultar la informacin de license key actual
1. Iniciar el WatchGuard System Manager y Utilizar WSMpara conectarse con Management Server.
2. En la seccin Informacin del servidor, haga clic en Licencias de Manage Server.
O bien, seleccione Archivo > Licencias de Manage Server.
Aparece el cuadro de dilogo Licencias del Management Server.
Agregar o eliminar una License Key
Para agregar una License Key:
1. En el cuadro de dilogo Licencias del Management Server, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar License Key.
2. En el cuadro de texto License Key, ingrese o copie la License Key.
3. Haga clic en OK.
La license key que agreg aparece en la ventana License Keys, y se actualiza la cantidad de dispositivos con
licencia.
Para eliminar una License Key:
1. En la ventana License Keys, seleccione la license key que desea eliminar.
La license key se elimina de la ventana License Keys, y se actualiza la cantidad de dispositivos con licencia.
Guardar o descartar sus cambios
Luego de agregar o de eliminar cualquier License Key, puede guardar o descartar sus cambios.
En el cuadro de dilogo Licencias del Management Server:
n Para guardar sus cambios, haga clic en OK.
n Para cerrar el cuadro de dilogo y descartar cualquier cambio, haga clic en Cancelar.
Administrar informacin de contacto del cliente
Puede utilizar WatchGuard System Manager (WSM) para administrar la lista de contactos para su
Management Server. Luego de agregar contactos a la lista de contactos, puede agregar informacin para
esos contactos a cada uno de sus dispositivos administrados Firebox.
Para obtener ms informacin sobre cmo agregar un contacto a su Firebox administrado, consulte
Determinar propiedades de administracin del dispositivo en la pgina 544.
Agregar un contacto al Management Server
Puede agregar un nuevo contacto a la lista de contactos del Management Server en cualquier momento.
1. Utilizar WSMpara conectarse con Management Server.
2. En la seccin Informacin del servidor, haga clic enAdministrar clientes.
Aparece el cuadro de dilogos de la lista de contactos.
3. Para agregar un contacto a la lista, haga clic en Agregar.
Aparece el cuadro de dilogo "Informacin de contacto".
4. Ingrese la informacin necesaria en cada cuadro de texto. Toda la informacin es opcional.
5. Haga clic en OK.
El nuevo contacto aparece en la lista de contactos.
6. Para agregar otro contacto, repita los pasos 3 al 5.
7. Haga clic en OK cuando finalice.
Editar un contacto en la lista de contactos
Puede cambiar cualquier informacin para una entrada actual en la lista de contactos
2. En la seccin Informacin del servidor, haga clic en Administrar clientes.
Aparece el cuadro de dilogos de la lista de contactos.
Gua del Usuario 561
3. En el cuadro de dilogo Lista de contactos, seleccione la entrada que desea cambiar.
Aparece el cuadro de dilogo de la informacin de contactos.
5. Actualice la informacin necesaria.
6. Haga clic en OK.
La entrada actualizada aparece en el cuadro de dilogo Lista de Contacto.
8. Para editar otro contacto, repita los pasos 1 al 5.
9. Haga clic en OK cuando finalice.
Ver y administrar la lista de Report Servers
monitoreados
La Lista de servidores de reportes monitoreados se utiliza para configurar la lista de Report Servers que se
encuentran en una computadora distinta a su WatchGuard Log Server. Cuando instala el Log Server y el
Report Server en diferentes computadoras, su Management Server se contacta con los Report Servers en la
Report Server de reportes para buscar los Log Servers relacionados. Luego, cuando usted utiliza su
WatchGuard System Manager (WSM) para conectarse con el Report Manager, se conecta con el Report
Server apropiado.
Puede utilizar WSMpara ver y administrar la informacin de conexin para sus WatchGuard Report Server.
Puede agregar un nuevo Report Server, cambiar la direccin IP o el puerto para un Report Server existente,
o eliminar un Report Server de la lista.
2. En la seccin Informacin del servidor, haga clic en Report Servers monitoreados.
Aparece el cuadro de dilogo Lista de Report Server.
3. Utilice las instrucciones en las secciones subsiguientes para agregar, editar o eliminar un Report
Server.
Agregar un Report Server a la lista
1. En el cuadro de dilogo Lista de Report server, haga clic en Agregar.
Aparece el cuadro de dilogo Report Server.
2. Ingrese la direccin IP del Report Server.
3. Ingrese el puerto para el acceso al Report Server.
4. Haga clic en OK.
5. Repita los pasos 1 al 4 para agregar ms Report Servers a la lista.
Editar informacin para un Report Server
1. En el cuadro de dilogo Lista de Report Server, haga clic en Editar.
Aparece el cuadro de dilogo Report Server.
2. Editar la direccin IP o el puerto para el Report Server.
3. Haga clic en OK.
Gua del Usuario 563
Eliminar un Report Server de la lista
1. En el cuadro de dilogo Lista de Report Server, seleccione el Report Server que desea eliminar.
El Report Server se elimina de la lista.
Agregar y administrar tneles y recursos de VPN
Puede usar el WatchGuard System Manager para ver y administrar tneles VPN para sus dispositivos
Firebox administrados. En la seccin Tneles VPN de la pgina Dispositivo, puede ver todos los tneles que
incluyen el dispositivo Firebox seleccionado. Tambin puede agregar, editar o remover un tnel VPN.
Ver tneles VPN
3. Expanda la lista Dispositivos.
4. Seleccione un Firebox.
Aparece la pgina de "Administracin de Dispositivos" para el Firebox seleccionado.
5. Encuentre la seccin Tneles VPN.
Esta seccin muestra todos los tneles para los cuales ese dispositivo es un extremo de VPN.
Agregar un tnel VPN
En la seccin Tneles VPN:
1. Haga clic en Agregar para aadir un nuevo tnel VPN.
Se inicia el "Add VPN Wizard".
2. Complete el Add VPN Wizard para configurar su tnel VPN.
Despus de agregar un tnel VPN a su configuracin, aparece el tnel VPN en la lista y el nmero de
los tneles VPN configurados aparece al lado del ttulo de la seccin Tneles VPN.
Nota Si agrega ms tneles que su licencia le permite, aparece un mensaje de alerta
diciendo que se ha excedido el nmero de tneles licenciados. Debe remover de su
configuracin las rutas de tneles VPN que sean necesarias para volver al lmite
licenciado.
Para obtener ms informacin acerca de "Add VPN Wizard", vea Establecer tneles administrados entre
dispositivos en la pgina 822.
Editar un tnel VPN
Despus de agregar un tnel VPN, puede usar el WSMpara cambiar la configuracin del tnel. No puede
cambiar ninguno de los extremos del tnel. Si desea cambiar el Firebox que est en uno o en ambos
extremos del tnelVPN, debe crear un nuevo tnel.
1. En la lista Nombre, seleccione un tnel VPN.
Aparece el cuadro de dilogo Propiedades de VPN.
3. Haga los cambios a su tnel VPN.
Para ms informacin acerca de los cambios que puede hacer en su tnelVPN, vea Editar la
definicin de un tnel en la pgina 823.
4. Haga clic en OK.
El tnelVPN actualizado aparece en la lista "Nombre".
Remover un tnel VPN
1. En la lista Nombre, seleccione un tnel.
3. Si no desea que los cambios tengan lugar inmediatamente, limpie la casilla de verificacin Reiniciar
dispositivos ahora para caducar concesiones y descargar nueva configuracin.
4. Haga clic en S.
El tnel VPN es removido de la lista y el dispositivo se reinicia.
Gua del Usuario 565
Agregar un recurso de VPN
Puede configurar y poner un lmite a las redes que tienen acceso a travs de sus tneles VPN. Puede hacer
una VPN entre hosts y redes. Tambin puede definir recursos de VPN para configurar las redes que estn
disponibles a travs de un dispositivo dado.
La pestaa Administracin de Dispositivos presenta todos sus recursos de VPN definidos actualmente.
Para instrucciones detalladas acerca de cmo agregar recursos de VPN, vea Agregar recursos de VPN en la
pgina 815.
Configurar un Firebox como un dispositivo
administrado
Si su Firebox tiene una direccinIP dinmica o si el Management Server no puede conectarse a l por
cualquier otra razn, es posible configurar el Firebox como cliente administrado antes de aadirlo al
Management Server. Despus, puede Agregar dispositivos administrados al Management Server.
Editar la poltica WatchGuard
1. Abrir el Policy Manager para el Firebox que desea activar como dispositivo administrado.
2. Haga doble clic en la poltica WatchGuard para abrirla.
Aparece el cuadro de dilogo Editar propiedades de poltica para la poltica WatchGuard.
3. En las conexiones WG-Firebox-Mgmt est la lista desplegable , asegrese que Permitido est
seleccionado.
Aparece el cuadro de dilogo "Agregar direccin".
6. En el Elija el botn lista desplegable, seleccione el IP del host.
7. En el cuadro de texto Valor, inserte la direccin IP de la interfaz externa del Firebox de puerta de
enlace.
Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet,
ingrese la direccin IP esttica del Management Server.
10. Asegrese de que la seccin Para incluya una entrada para Firebox o para Cualquiera.
Ahora puede agregar el dispositivo a la Management Server configuration tal como se describe en Agregar
dispositivos administrados al Management Server. Cuando agrega ese Firebox a la Management Server
configuration, ste automticamente se conecta a la direccin IP esttica y configura el Firebox como un
cliente Firebox administrado.
Gua del Usuario 567
Configurar Dispositivo Administrado
(Opcional) Si su Firebox tiene una direccinIP dinmica o si el Management Server no puede encontrar la
direccin IP del Firebox por algn motivo, es posible usar ese procedimiento para preparar su Firebox para
que sea administrado por el Management Server.
1. Seleccione Configurar > Configuracin de Dispositivos Administrados.
Aparece el cuadro de dilogo "Configuracin de Dispositivos Administrados".
2. Para configurar un Firebox como dispositivo administrado, seleccione la casilla Centralized
Management.
3. En el campo Nombre del dispositivo administrado, ingrese el nombre que desea dar al Firebox
cuando lo agrega a la Management Server configuration.
Ese nombre distingue maysculas de minsculas y debe coincidir con el nombre usado al agregar el
dispositivo a la Management Server configuration.
4. En la ventana Direccin(es)IP del Management Server , seleccione la direccin IP del Management
Server caso tenga una direccin IP pblica.
O seleccione la direccin IP pblica del Firebox de puerta de enlace para el Management Server.
5. Para agregar una direccin, haga clic en Agregar.
El Firebox que protege el Management Server automticamente monitorea todos los puertos
usados por el Management Server y enva cualquier conexin de esos puertos hacia el Management
Server configurado. Cuando usa el Management Server Setup Wizard, el Asistente aade una poltica
WG-Mgmt-Server a su configuracin para cuidar de esas conexiones. Si no us el Management
Server Setup Wizard en el Management Server o si salt el paso Firebox de Puerta de Enlace en el
asistente, debe aadir manualmente la poltica WG-Mgmt-Server a la configuracin de su Firebox de
puerta de enlace.
6. En los campos Shared Secret y Confirmar, ingrese el secreto compartido.
El secreto compartido ingresado aqu debe coincidir con aqul ingresado al agregar el Firebox a la
Management Server configuration.
7. Haga clic en el botn Importar e importe el archivo CA-Admin.pem como su certificado. Ese archivo
est en
\My Documents\My WatchGuard\certs\[firebox_ip].
8. Haga clic Aceptar .
Cuando guarda la configuracin en el Firebox, ste queda activado como dispositivo administrado. El
Firebox administrado intenta conectarse a la direccin IP del Management Server en el puerto TCP 4110.
Las conexiones de administracin no son permitidas a partir del Management Server para este dispositivo
Firebox.
Ahora puede agregar el dispositivo a la Management Server configuration, tal como se describe en Agregar
dispositivos administrados al Management Server en la pgina 541.
Tambin puede usar el WSMpara configurar el modo de administracin de su dispositivo, tal como se
describe en Acerca de los modos de "Centralized Management" en la pgina 537.
Configurar un Firebox III o Firebox X Core
ejecutando el WFS como un dispositivo
administrado
Puede configurar su Firebox III o Firebox X Core ejecutando el WFS para que sea administrado por su
Management Server.
1. Abra el Policy Manager para el Firebox que desea activar como dispositivo administrado.
2. Haga doble clic en la poltica WatchGuard para abrirla.
Aparece el cuadro de dilogo "Editar propiedades de servicio" para la poltica WatchGuard.
3. En la pestaa Entrante, asegrese de que las conexiones WatchGuard entrantes estn definidas en
Activado y Permitido.
4. Abajo del cuadro de dilogo De, haga clic en Agregar.
6. En la lista desplegable Elegir tipo, seleccione Direccin IP del host.
Gua del Usuario 569
7. En el campo Valor, ingrese la direccin IP de la interfaz externa del Firebox de puerta de enlace que
protege el Management Server contra la Internet.
Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet,
ingrese la direccin IP esttica del Management Server.
10. Asegrese de que el cuadro de dilogo Para incluya una entrada para Firebox o para Cualquiera.
Nota Si el Firebox que desea administrar tiene una direccin IP esttica en su interfaz
externa, puede parar aqu. Guarde la configuracin en ese Firebox. Ahora puede
agregar el dispositivo a la Management Server configuration. Cuando agrega ese
Firebox a la Management Server configuration, ste automticamente se conecta
a la direccin IP esttica y configura el Firebox como un cliente Firebox
administrado. Si el Firebox que desea administrar tiene una direccin IP dinmica,
vaya al Paso 11.
11. En el Policy Manager, seleccione Red>Cliente DVCP.
12. Seleccione la casilla Activar este Firebox como cliente DVCP .
13. En el campo Nombre del Firebox, ingrese el nombre del Firebox.
El nombre del Firebox distingue maysculas de minsculas. El nombre ingresado aqu debe coincidir
con el nombre ingresado cuando agrega este Firebox a la Management Server configuration.
14. Para enviar mensajes de registro al cliente administrado, seleccione la casilla Activar mensajes de
registro de depuracin para Cliente DVCP .
Recomendamos que seleccione esa opcin slo cuando est solucionando problemas.
15. Haga clic en Agregar para aadir el Management Server al cual el Firebox se conecta.
Aparece el cuadro de dilogo Propiedades del Servidor de DVCP.
16. En el campo DireccinIP , ingrese la direccin IP del Management Server caso tenga una direccin
IP pblica. O ingrese la direccin IP pblica del Firebox que protege el Management Server.
Server configurado. El Firebox que protege el Management Server est configurado para hacer
cuando se ejecuta el Management Server Setup Wizard.
Si no us el Management Server Setup Wizard en el Management Server o si salt el paso Firebox de
Puerta de Enlace en el asistente, configure el Firebox de puerta de enlace para que enve los
puertos TCP 4110, 4112 y 4113 a la direccin IP privada del Management Server.
17. Ingrese el shared secret para usar para conectarse al Firebox. El secreto compartido ingresado aqu
debe coincidir con aqul ingresado al agregar ese dispositivo a la Management Server configuration.
Un Firebox puede ser cliente de slo un Management Server.
18. Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades del Servidor deDVCP.
19. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin del ClienteDVCP.
20. Guarde el archivo de configuracin en el Firebox.
Cuando guarda la configuracin en el Firebox, ste queda activado como cliente administrado. El
cliente Firebox administrado intenta conectarse a la direccin IP del Management Server en el
puerto TCP 4110. Las conexiones de administracin no son permitidas a partir del Management
Server para este cliente Firebox.
Acerca de los dispositivos Edge (v10.x y posterior)
y SOHO como clientes administrados
Puede usar el WatchGuard Management Server para configurar y administrar varios dispositivos Firebox X
Edge y SOHO. Para los dispositivos Firebox X Edge (versin 10.x o posterior), puede activar el Modo
Totalmente Administrado con el WatchGuard System Manager (WSM), lo que significa que puede
administrar polticas, actualizaciones y VPNs para diversos dispositivos Edge desde una sola ubicacin.
Puede usar tanto el dispositivo Edge como el SOHO como extremos para tneles BOVPN administrados.
Para administrar un dispositivo Firebox X Edge (versin 10.x y posterior) con el Management Server, debe:
1. Instalar el Edge Fsicamente conectarlo a una interfaz Ethernet en su PC y ejecutar el Quick Setup
Wizard para configurarlo.
2. Agregar dispositivos administrados al Management Server Puede importar mltiples dispositivos
Edge al mismo tiempo.
3. Definir configuraciones de accesoWSMen el Edge Los tres primeros pasos son explicados en
Preparar un Firebox X Edge (v10.x y posterior) para equipo.
4. Configurar valores para identificar el dispositivo en el Management Server Agregar dispositivos
administrados al Management Server.
Nota Para autorizar las conexiones entre su equipo administrado y el Management
Server para dispositivos Firebox X Edge (v10.x o posterior), debe aadir el filtro de
paquetes WG-SmallOffice-Mgmt a la configuracin en su Firebox de puerta de
enlace. Si tiene otro firewall, asegrese de que tiene una poltica para permitir el
trfico desde los dispositivos administrados Edge en el puerto 4109 TCP.
Si aadi ese filtro de paquetes a su configuracin y no logra conectarse al Edge
Web Manager a partir del WSM, puede ser que tenga un error de certificados en el
cach de su explorador web. Limpie los certificados WatchGuard y todos los
cookies de su tienda de certificados del explorador web, conctese a su
Management Server nuevamente y luego al Edge Web Manager nuevamente.
Preparar un Firebox X Edge (v10.x y posterior) para equipo
En su configuracin predeterminada, las versiones del Firebox X Edge anteriores a 11.x no pueden ser
agregadas al WatchGuard Management Server como un dispositivo administrado. Antes de agregar un
Firebox al WatchGuard Management Server, debe asegurarse de que el dispositivo est configurado para
permitir que el Management Server lo administre, tal como se describe en este tpico. Entonces puede
agregar el Firebox X Edge al Management Server.
Gua del Usuario 571
Para preparar un Firebox X Edge con el software del dispositivo versin 10.x o anterior instalado para
administracin con el Management Server, debe poder conectar el Firebox X Edge fsicamente a una
interfaz de Ethernet en su equipo. Recomendamos que restablezca el Edge en las configuraciones
predeterminadas de fbrica antes de empezar este procedimiento.
Instale el Firebox X Edge
1. En un equipe que ejecute el WatchGuard System Manager, cambie la direccin IP para
192.168.111.x/24.
2. Inicie el WatchGuard System Manager y seleccione Herramientas >Quick Setup Wizard.
Se inicia el Quick Setup Wizard.
3. Lea la pgina Bienvenido y haga clic en Siguiente.
4. Seleccione el Firebox X Edge como tipo de Firebox y haga clic en Siguiente.
5. Conecte la interfaz de red de su equipo a cualquier puerto LAN en el Firebox X Edge, y haga clic en
Siguiente.
Use uno de los cables verdes de Ethernet incluidos en el Firebox X Edge. (Si no viene un cabo verde
con su Firebox X Edge, intente el cabo rojo.)
6. Use las instrucciones en la pgina siguiente del Asistente para iniciar el Firebox X Edge en modo
seguro.
7. Use las instrucciones en la pgina del asistente y haga clic en Siguiente.
8. Use las instrucciones en las pginas Espere por el Firebox y El Asistente encontr este Firebox. Haga
clic en Siguiente despus de cada pgina.
9. Acepte el Acuerdo de licencia y haga clic en Siguiente.
10. Configure la interfaz externa (WAN 1) del Firebox X Edge. Seleccione DHCP, PPPoE o Direccin IP
esttica, y haga clic en Siguiente.
Para ms informacin acerca de cmo configurar las interfaces del Edge, vea Configurar una
interfaz externa en la pgina 96.
11. Haga clic en Siguiente despus de configurar la interfaz.
12. Configure la interfaz interna del Edge y haga clic en Siguiente.
13. Ingrese una frase de contrasea de estado y una frase de contrasea de configuracin para su Edge
y haga clic en Siguiente.
Debe ingresar cada frase de contrasea dos veces. Esa es la frase de contrasea que el WatchGuard
System Manager usa para conectarse y configurar el dispositivo.
14. Ingrese un nombre de usuarioy frase de contraseapara el dispositivo, y haga clic en Siguiente.
Debe ingresar lafrase de contrasea dos veces. Se trata del nombre de usuario y frase de contrasea
que pueden ser usados paraconectarse y configurar el dispositivo conun explorador web.
15. Seleccione las configuraciones de zona horaria y haga clic en Siguiente.
16. Configure el Management Server. Ingrese la direccin IP del Firebox de puerta de enlace que
protege el Management Server, el nombre identificador del Firebox en la interfaz del Management
Server y la clave compartida. Haga clic en Siguiente.
La clave compartida es usada por el Management Server para crear tneles VPN entre Fireboxes.
No es necesario recordar esta clave.
17. Revise la configuracin del Edge y haga clic en Siguiente.
18. Para configurar otro Edge, seleccione la casilla de verificacin. Haga clic en Finalizar.
Si selecciona esa casilla de verificacin, el Quick Setup Wizard rellena los campos con los mismos
valores que esa configuracin, para que pueda fcilmente configurar dispositivos Edge similares.
Importar dispositivos Firebox X Edge en un Management Server
Debe conectarse a partir el equipo y hacia el mismo Management Server a partir del cual ejecut el Quick
Setup Wizard. Puede importar ms de un Edge a la vez, con tanto que los dispositivos ya hayan sido
instalados, como en el paso anterior.
1. Inicie el WatchGuard System Manager y conctese al Management Server para el cual configur los
dispositivos Edge.
2. Seleccione Archivo > Importar dispositivo.
Aparece el cuadro de dilogo WatchGuard System Manager.
3. Seleccione las casillas de verificacin adelante de cada dispositivo Edge que desea importar.
Los dispositivos Firebox X Edge son importados al Management Server. Los dispositivos aparecen en la
carpeta Dispositivos importados para el Management Server.
Definir las configuraciones de acceso al WSM en el Edge
1. Para conectarse a la pgina Estado del Sistema del Firebox X Edge, inserte https:// en la barra de
direccin del explorador y la direccin IP de la interfaz de confianza del Edge.
La URL predeterminada es: https://192.168.111.1
2. En la navigation bar, seleccione Administracin > Acceso WSM.
Aparece la pgina "Acceso a Administracin de WatchGuard".
3. Seleccione la casilla de verificacin Activar administracin remota.
4. En la lista desplegable Tipo de administracin, seleccione WatchGuard System Manager.
Gua del Usuario 573
5. Para activar el Edge en modo totalmente administrado, seleccione la casilla de verificacin Usar
Centralized Management.
Cuando el Firebox X Edge est en modo totalmente administrado, el acceso a las pginas de
configuracin del Edge est definido en slo lectura. La nica excepcin es el acceso a la pgina de
configuracin de "Acceso a WSM". Si desactiva el recurso de administracin remota, obtiene acceso
de lectura-escritura a la configuracin del Edge nuevamente.
Nota No seleccione la casilla de verificacin Usar Centralized Management si est
usando el WatchGuard System Manager slo para administrar tneles VPN.
6. Ingrese y confirme una Frase de contrasea de estado para su Firebox X Edge.
7. Ingrese y confirme una Frase de contrasea de configuracin para su Firebox X Edge.
Esas frases de contrasea deben coincidir con las frases de contrasea utilizadas al agregar el
dispositivo al Management Server, sino la conexin fallar.
Nota Si el Firebox X Edge que desea administrar tiene una direccin IP esttica en su
interfaz externa, puede parar aqu. Guarde la configuracin en ese Firebox. Ahora
puede Agregar dispositivos administrados al Management Server. Cuando agrega
ese Edge a la Management Server configuration, ste automticamente se conecta
al Edge y lo configura como un cliente Firebox administrado. Si el Edge que desea
administrar tiene una direccin IP dinmica, contine con el paso siguiente.
8. En el cuadro de texto Direccin del Management Server, ingrese la direccin IP del Management
Server caso tenga una direccin IP pblica. Si el Management Server tiene una direccin IP privada,
ingrese la direccin IP pblica del Firebox que protege el Management Server.
usados por el Management Server y enviar cualquier conexin de esos puertos hacia el
Management Server configurado. No es necesaria una configuracin especial para que eso ocurra.
9. Ingrese el Nombre del cliente para identificar el Edge en la Management Server configuration.
Ese nombre distingue maysculas de minsculas y debe coincidir con el que usa para el Edge al
agregarlo a la Management Server configuration.
10. Inserte la clave compartida.
La clave compartida es usada para encriptar la conexin entre el Management Server y el Firebox X
Edge. Esa clave compartida debe ser la misma en el Edge y en el Management Server. Debe obtener
la clave compartida junto a su administrador del Management Server.
11. Haga clic en Enviar para guardar esa configuracin en el Edge.
Cuando guarda la configuracin en el Edge, ste queda activado como cliente administrado. El
cliente Firebox administrado intenta conectarse a la direccin IP del Management Server. Las
conexiones de administracin no son permitidas a partir del Management Server para este cliente
Firebox.
Configurar un Firebox SOHO 6 como un dispositivo
administrado
1. Abra un explorador web e ingrese la direccin IP del SOHO 6.
2. Si necesario, ingrese el login y la frase de contrasea para conectarse.
3. Seleccione Administracin > Acceso al VPN Manager.
Aparece la pgina "Acceso al VPN Manager".
4. En el panel de navegacin izquierdo abajo de de VPN, haga clic en Managed VPN .
5. Seleccione la casilla de verificacin Activar acceso al VPN Manager.
6. Ingrese la frase de contrasea de estado para el acceso al VPN Manager. Ingrese nuevamente la
frase de contrasea de estado para confirmar la frase de contrasea.
7. Ingrese la frase de contrasea de configuracin para el acceso al VPN Manager. Ingrese la frase de
contrasea de configuracin nuevamente para confirmar la frase de contrasea.
Nota Si el Firebox SOHO que desea administrar tiene una direccin IP esttica en su
interfaz externa, puede parar aqu. Haga clic en Enviar para guardar su
configuracin en el SOHO. Ahora puede agregar el dispositivo a la Management
Server configuration. Cuando agrega ese SOHO a la Management Server
configuration, ste automticamente se conecta a la direccin IP esttica y
configura el SOHO como un cliente Firebox administrado.
Si el SOHO que desea administrar tiene una direccin IP dinmica, vaya al Paso 7.
8. Seleccione la casilla de verificacin Activar Managed VPN .
9. En la lista desplegable Modo de configuracin, seleccione SOHO.
10. En el cuadro de texto Direccin del Servidor de DVCP, ingrese la direccin IP del Management
Server caso tenga una direccin IP pblica. Si el Management Server tiene una direccin IP privada,
ingrese la direccin IP pblica del Firebox que protege el Management Server.
Server configurado. No es necesaria una configuracin especial para que eso ocurra.
Gua del Usuario 575
11. Ingrese el Nombre del cliente para identificar su Firebox SOHO.
Ese nombre distingue maysculas de minsculas y debe coincidir con el que usa para el dispositivo
al agregarlo a la Management Server configuration.
12. En el campo clave compartida, ingrese la clave usada para encriptar la conexin entre el
Management Server y el Firebox SOHO. Esa clave compartida debe ser la misma en el SOHO y en el
Management Server. Debe obtener la clave compartida junto a su administrador del Management
Server.
13. Haga clic en Enviar.
Cuando guarda la configuracin en el Firebox SOHO, el SOHO queda activado como cliente
administrado. El cliente SOHO administrado intenta conectarse a la direccin IP del Management
Server. Las conexiones de administracin son permitidas a partir del Management Server hacia ese
cliente SOHO administrado.
Ahora puede agregar el dispositivo a la Management Server configuration, tal como se describe en
Agregar dispositivos administrados al Management Server en la pgina 541.
Iniciar el WatchGuard System Manager
herramientas
En la pestaa Administracin de Dispositivos, puede iniciar otras herramientas de WatchGuard System
Manager (WSM) para configurar y monitorear sus dispositivo.
Para el Management Server, puede iniciar:
n Quick Setup Wizard
n CAManager
n LogViewer
n Report Manager
Para los dispositivos Firebox y WFS, puede iniciar:
n Policy Manager
n Firebox System Manager
n HostWatch
n Ping
n Caducar concesin
Para ms informacin acerca de la herramienta Caducar concesin, vea Caducar la concesin para
un dispositivo administrado en la pgina 576.
Para dispositivos Edge, puede iniciar:
n Policy Manager (Edge versiones 11.x y posterior)
n Edge Web Manager (Edge versiones anteriores a 11.0)
n Firebox System Manager
n HostWatch
n Ping
Para usar las herramientas de WatchGuard System Manager:
2. Expanda el rbol Dispositivos .
3. Seleccione el dispositivo que desea configurar o monitorear.
Aparece la pgina Administracin de Dispositivos.
4. En la seccin Herramientas, haga clic en el enlace para la herramienta que desea usar.
Se inicia la aplicacin de la herramienta seleccionada.
Nota Si inici sesin en el Management Server con las credenciales del usuario con
privilegios de administrador, cuando inicia una herramienta WSM, no se le solicita
la frase de contrasea de estado o configuracin del Firebox.
Caducar la concesin para un dispositivo administrado
Se puede usar la herramienta de Caducar Concesin del WSMpara forzar sus dispositivos Firebox X Edge
10.x y Fireware XTMpara contactar el Management Server para nuevas informaciones sobre el tnel DVCP.
Puede elegir caducar la concesin de un dispositivo individual o de ms de un dispositivo a la vez.
Caducar la concesin para un dispositivo
Puede elegir caducar la concesin para un dispositivo individual desde dos puntos de partida: la seccin
Herramientas en la pgina Dispositivo o en el men de contexto del dispositivo.
Para caducar la concesin a partir de la pgina Dispositivo:
2. Expanda el rbol Dispositivos y seleccione un dispositivo.
3. En la seccin Herramientas, haga clic en Caducar concesin.
Aparece el cuadro de dilogo "Caducar concesin".
4. Haga clic en OK.
La concesin del Management Server del cliente administrado caduca automticamente y se descarga
cualquier alteracin de configuracin o VPN. No aparece un cuadro de dilogo de confirmacin.
Para caducar la concesin a partir del men de contexto del dispositivo:
2. Expanda el rbol Dispositivos y seleccione un dispositivo.
3. Haga clic con el botn derecho en el dispositivo y seleccione Caducar concesin.
Aparece el cuadro de dilogo "Caducar concesin".
4. Haga clic en OK.
Caducar la concesin para varios dispositivos
Si tiene ms de un dispositivo administrado, puede caducar la concesin para uno o ms de sus dispositivos
a la vez.
Gua del Usuario 577
2. En la navigation bar izquierda, seleccione el Management Server.
3. Haga clic con el botn de derecho en el Management Server y seleccione "Caducar concesin".
Aparece el cuadro de dilogo "Caducar concesin". Por defecto, la casilla de verificacin para todos los
dispositivos administrados Firebox X Edge 10.x y Fireware XTM est seleccionada.
4. Limpie la casilla para el dispositivo que no quiera caducar la concesin.
5. Haga clic en OK.
Configurado configuraciones de red (servicios
Edge v10.x y anteriores solamente)
Puede usar el Management Server para hacer configuraciones de red nicas para los dispositivos Firebox X
Edge (versin 10.x y anteriores solamente). Ese procedimiento carga las configuraciones de red actuales
para el Edge y activa el modo totalmente administrado en el dispositivo.
Nota Todas las configuraciones de red del Firebox X Edge pueden ser configuradas con
el Edge Web Manager.
3. Seleccione un dispositivo Firebox X Edge.
4. En la seccin Configuraciones de red, haga clic en Configurar.
Aparece el cuadro de dilogo "Configuraciones de red".
5. Para configurar la red, haga clic en cada categora en el panel izquierdo del cuadro de dilogo e
inserte la informacin en los campos que aparecen.
6. Haga clic en OK.
Acerca de la seccin "Plantilla de configuracin"
Nota La pgina de administracin para el SOHO 6 no tiene la seccin Poltica.
Esa seccin muestra la Plantilla de Configuracin de Dispositivos a la cual ese Firebox X Edge est suscrito. Si
el dispositivo no est suscrito a una plantilla, puede arrastrar el dispositivo a una de las Plantillas de
Configuracin de Dispositivos. Tambin puede usar el enlace Configurar en esa seccin para configurar la
Plantilla de Configuracin de Dispositivos a la cual ese dispositivo est suscrito.
Para informacin acerca de las "Plantillas de Configuracin de Dispositivos", vea Crear y suscribirse a la
configuracin del dispositivo Plantillas en la pgina 579.
Actualizar o reiniciar un dispositivo o remover un
dispositivo de la administracin
En la pgina "Dispositivo" para su dispositivo administrado, se puede cambiar las configuraciones del
servidor o del cliente, actualizar el IPSec y los certificados CA para su Firebox, o reiniciar su Firebox.
Tambin se puede remover un dispositivo para que no sea ms administrado por el Management Server.
Actualizar un dispositivo
En la pgina WatchGuard System Manager Administracin de Dispositivos:
2. Seleccione el tipo de dispositivo que desea actualizar.
Aparece la pgina de "Administracin de Dispositivos" para el dispositivo seleccionado.
3. En la seccin Informacin del dispositivo, haga clic en .Actualizar dispositivo.
Aparece el cuadro de dilogo Actualizar dispositivo.
4. Para descargar las polticas en el dispositivo administrado hacia el Management Server para redes de
confianza y opcional, seleccione la casilla Descargar polticas de red opcional y de confianza.
Recomendamos que haga eso para asegurarse de que tiene las ltimas polticas cuando edita la
configuracin del dispositivo, especialmente si no se conecta al dispositivo hace mucho tiempo.
5. Para actualizar la Management Server configuration en el dispositivo despus de una actualizacin
(direccin IP del Management Server, nombre del host, secreto compartido y tiempo de concesin),
seleccione la casilla de verificacin Restablecer configuracin del servidor.
Si realiz cambios en las propiedades del dispositivo, asegrese de seleccionar esta casilla de
verificacin.
6. Para caducar la concesin del Management Server para el cliente administrado y descargar
alteraciones de configuracin o VPN, seleccione la casilla de verificacin Caducar concesin.
7. (No aparece para versiones Edge anteriores a 11.0) Para emitir o reemitir un certificado IPSec para
el Firebox y el certificado de la Autoridad de Certificacin, seleccione la casilla Emitir/Reemitir
Certificado IPSec de Firebox y Certificado CA.
8. Haga clic en OK.
Gua del Usuario 579
Reiniciar un dispositivo
En la pgina WatchGuard System Manager Administracin de Dispositivos:
2. Seleccione el tipo de dispositivo que desea reiniciar.
Aparece la pgina de "Administracin de Dispositivos" para el dispositivo seleccionado.
3. En la seccin Informacin del dispositivo, haga clic en Reiniciar.
4. Haga clic en S.
Remover un dispositivo de la administracin
Para remover un dispositivo para que ya no sea administrado por el Management Server y no aparezca ms
en la ventana del Management Server:
2. Seleccione el dispositivo que desea remover.
3. Haga clic con el botn derecho en el dispositivo y seleccione Remover.
O seleccione Editar > Remover.
4. Haga clic en S.
5. Abra el Policy Manager para este dispositivo.
6. Seleccione Configurar > Configuraciones del dispositivo administrado, y limpie la casilla Centralized
Management.
7. Haga clic en S para remover el dispositivo de la administracin.
8. Guarde el archivo de configuracin.
Crear y suscribirse a la configuracin del
dispositivo Plantillas
Una plantilla de configuracin de dispositivos es una recopilacin de ajustes de configuracin que varios
dispositivos WatchGuard pueden utilizar. Cuando utiliza dispositivos WatchGuard con el Management Server
WatchGuard, puede crear plantillas de configuracin de dispositivos en el Management Server. En ese caso
puede suscribir sus dispositivos WatchGuard administrados a las plantillas de configuracin de dispositivos.
Cuando suscribe un dispositivo a una plantilla de configuracin de dispositivos, las polticas y los ajustes
configurados en la plantilla se agregan al archivo de configuracin individual para su dispositivo. Puede ver
estas polticas y ajustes desde el archivo de configuracin del dispositivo, pero slo pueden cambiarse
desde la plantilla de configuracin de dispositivos.
Si ha definido una poltica en el archivo de configuracin individual para su dispositivo y suscribe este
dispositivo a una plantilla que tiene una poltica con el mismo nombre, ambas polticas aparecen en el
archivo de configuracin del dispositivo. Las polticas que tienen el mismo nombre no se anulan entre s.
Asegrese de que tales polticas o ajustes duplicados no estn configurados con ajustes que sean
incompatibles entre s. Se recomienda eliminar cualquier poltica o ajuste de su archivo de configuracin
individual que tenga el mismo nombre que una poltica o un ajuste en la plantilla de configuracin de
dispositivos a la cual est suscrito su dispositivo.
Puede utilizar plantillas de configuracin de dispositivos para configurar fcilmente filtros de firewall
estndar, cambiar la lista de sitios bloqueados, cambiar su configuracin de WebBlocker, configurar ajustes
de registro o cambiar otras configuraciones de polticas para uno o ms dispositivos administrados.
Las plantillas de configuracin tienen las siguientes restricciones:
n Las plantillas de configuracin Edge slo pueden utilizarse con Firebox X Edge.
n Cada dispositivo puede suscribirse slo a una plantilla de configuracin de dispositivos.
n UnEdgedebetenerunaversindel OS7.5oposteriorparautilizarlasplantillasdeconfiguracindeEdge.
n Debe utilizar plantillas separadas para los dispositivos Edge que ejecuten las versiones del OS 7.5,
8.0, 8.5, 8.6 10.x.
Las plantillas de configuracin disponibles incluyen:
n Firebox X Edge: versiones 7.5, 8.x, 10.x
n Fireware XTM: Firebox X Edge e-Series, Core e-Series, Peak e-Series y versiones 11.x de los
dispositivos XTM.
Puede utilizar una plantilla de configuracin de Fireware XTMpara todos sus dispositivos v11.x.
Puede realizar cambios en una plantilla de configuracin de dispositivos o en la lista de dispositivos que
suscriben a esa plantilla en cualquier momento. El Management Server actualiza automticamente con los
cambios todos los dispositivos suscritos.
1. Abra WatchGuard System Manager y conctese con su Management Server.
3. Seleccione Plantillas de configuracin de dispositivos en la navigation bar izquierda.
La pgina Plantillas de configuracin de dispositivos aparece con la lista de plantillas disponibles actualmente.
Gua del Usuario 581
4. Expanda la lista de Plantillas de configuracin de dispositivos para ver las plantillas disponibles.
La lista de Plantillas de configuracin de dispositivos slo incluye en forma predeterminada
plantillas de configuracin de dispositivos Edge para los dispositivos Edge versin 10.1 y anteriores.
Puede agregar plantillas para otros dispositivos Firebox.
5. Haga clic con el botn derecho en Plantillas de configuracin de dispositivos y seleccione Insertar
plantilla de configuracin de dispositivos .
O bien, haga clic en Agregar en la parte superior derecha de la pgina Plantillas de configuracin de
dispositivos.
Aparece el cuadro de dilogo Versin del producto.
6. Seleccione la lnea de productos y la versin en la lista desplegable. Haga clic en OK.
Si seleccion un dispositivo Edge, la configuracin de Edge: Aparece la ventana de plantilla Edge.
Si seleccion un dispositivo Fireware XTM, seleccione un nombre para la plantilla, y luego el Policy Manager de
Fireware XTM se abre con un archivo de configuracin en blanco.
7. Complete los procesos en las secciones subsiguientes para configurar la plantilla para el tipo de
dispositivo que seleccion.
Configurar una plantilla para un dispositivo administrado Edge
Utilice la configuracin de Edge: El cuadro de dilogo Plantilla de Edge para definir la configuracin para su
Edge Configuration Template.
Nota Si desea utilizar el Edge Web Manager para conectarse directamente a su
dispositivo Edge, en lugar de seguir el enlace del Edge Web Manager en WSM,
debe agregar una poltica de HTTPS a su Edge Configuration Template. Esta
poltica de HTTPS debe permitir el trfico entrante desde Externo a un alias definido
en Edge sobre un puerto TCP 443.
Para configurar una plantilla para su Edge:
1. Ingrese un nombre para la plantilla.
2. Para configurar la plantilla, haga clic en las categoras en el panel izquierdo y agregue la informacin
necesaria para cada categora.
En la lista aparecen diferentes categoras segn la versin de Edge que haya seleccionado.
Para obtener ms informacin sobre las categoras disponibles, consulte la seccin correspondiente
en Ayuda o en la Gua del usuario.
Para obtener ms informacin sobre cmo agregar polticas de Firewall a la plantilla, consulte
Agregar una poltica predefinida con el Add Policy Wizard o Agregar una poltica personalizada con
el Add Policy Wizard.
3. Haga clic en OK para cerrar la configuracin de Edge: Cuadro de dilogo de la plantilla Edge.
La plantilla se guarda en el Management Server, y se enva una actualizacin a todos los dispositivos Firebox X
Edge a los cuales se aplica esta plantilla.
Configure una plantilla para otros dispositivos Fireware XTM.
Cuando opta por crear una plantilla para un dispositivo Fireware XTMque no sea un dispositivo Edge, utiliza
un Policy Manager para definir los ajustes de su plantilla de configuracin. sta es una versin simplificada
del Policy Manager que le ayuda a crear plantillas de configuracin.
Gua del Usuario 583
Cuando configura una plantilla, usted puede:
n Agregar, modificar y eliminar polticas;
n configurar Alias y Generacin de registros;
n configurar Acciones de proxy, Bloqueadores de la aplicacin y Programas; y
n configurar spamBlocker, Gateway AntiVirus, prevencin de intrusiones, WebBlocker y el Quarantine
Server.
Para utilizar el Policy Manager para configurar una nueva plantilla para su dispositivo:
1. Haga clic en .
O seleccione Editar > Agregar poltica.
2. Haga doble clic en la carpeta para elegir el tipo de poltica que desea agregar.
Aparece una lista de las polticas seleccionadas.
3. Seleccionar una poltica.
5. Configure la poltica segn sea necesario para su configuracin de red.
Para obtener ms informacin sobre cmo configurar una nueva poltica, consulte Agregar una
poltica de proxy a la configuracin en la pgina 383.
6. Repetir los pasos 3 al 5 para agregar las polticas necesarias a su configuracin.
7. Haga clic en .
O bien, seleccione Archivo > Guardar > En el Management Server.
Aparece el Asistente de programacin de actualizacin de plantillas.
9. Seleccione Actualizar la plantilla inmediatamente o Programar actualizacin de plantillas.
10. Si seleccion Programar actualizacin de plantillas, seleccione la Fecha y la Hora en que desea que
se realice la actualizacin.
Aparece la pgina El asistente de programacin de actualizacin de plantillas se ha completado.
Si su Management Server configuration requiere agregar un comentario cuando guarda su configuracin,
aparece el cuadro de dilogo Guardar comentario.
13. Si aparece el cuadro de dilogo Guardar comentario, ingrese un comentario acerca de sus cambios
de configuracin.
La nueva plantilla aparece en la lista Plantillas de configuracin de dispositivos.
Para modificar una poltica en su plantilla de configuracin:
1. Abra su plantilla de configuracin en el Policy Manager.
2. Seleccione la poltica que desea modificar.
3. Haga clic en .
O bien, seleccione Editar > Modificar poltica.
4. Configure la poltica segn sea necesario para su configuracin de red.
Para obtener ms informacin sobre cmo modificar una poltica, consulte Acerca de propiedades
de polticas en la pgina 354 o Agregar una poltica de proxy a la configuracin en la pgina 383.
5. Haga clic en .
O bien, seleccione Archivo > Guardar > En el Management Server.
Aparece el Asistente de programacin de actualizacin de plantillas.
7. Seleccione Actualizar la plantilla inmediatamente o Programar actualizacin de plantillas.
8. Si seleccion Programar actualizacin de plantillas, seleccione la Fecha-Hora en las cuales usted
desea que se realice la actualizacin.
Aparece la pgina El asistente de programacin de actualizacin de plantillas se ha completado.
Si su Management Server configuration requiere agregar un comentario cuando guarda su configuracin,
aparece el cuadro de dilogo Guardar comentario.
11. Si aparece el cuadro de dilogo Guardar comentario, ingrese un comentario acerca de sus cambios
de configuracin.
La nueva plantilla aparece en la lista Plantillas de configuracin de dispositivos.
Agregar una poltica predefinida a una plantilla de
configuracin del dispositivo Edge
Puede utilizar Add Policy Wizard de WatchGuard System Manager para agregar una poltica predefinida a
una plantilla de configuracin de dispositivos para su dispositivo Firebox X Edge.
Gua del Usuario 585
1. Desde la pestaa Administracin del dispositivo, seleccione Plantillas de configuracin de
dispositivos.
Aparece la pgina Plantillas de configuracin de dispositivos.
O bien, haga clic en Agregar en la esquina superior derecha de la pgina.
3. Seleccione el dispositivo Edge y la versin en la lista desplegable. Haga clic en OK.
Configuracin de Edge: Aparece el cuadro de dilogo Plantilla de Edge.
4. En la navigation bar izquierda, seleccione Polticas de Firewall.
Aparece la pgina "Polticas de Firewall".
Se inicia el Add Policy Wizard.
Aparece la pgina Seleccionar un servicio para esta poltica.
7. Seleccione Elegir un servicio predefinido en esta lista y seleccione una poltica de la lista.
Aparece la pgina Seleccionar la direccin de trfico.
9. Seleccione la direccin de trfico: Saliente, Entrante u Opcional.
Aparece la pgina Configurar los recursos de red.
11. En la lista desplegable Filtro, seleccione Denegar o Permitir trfico.
12. En los campos Desde y Hasta, configure las fuentes y los destinos.
Para agregar un nuevo recurso, haga clic en Agregar debajo del campo Desde o Hasta y agregue la
informacin requerida.
Aparece la pgina Se ha completado el Add Policy Wizard.
Agregar una poltica personalizada a una plantilla de
Configuracin del dispositivo Edge
Puede utilizar el Add Policy Wizard para crear una poltica personalizada en la plantilla de configuracin de
dispositivos para su dispositivo Firebox X Edge.
1. Desde la pestaa Administracin del dispositivo, seleccione Plantillas de configuracin de
dispositivos.
Aparece la pgina Plantillas de configuracin de dispositivos.
O bien, haga clic en Agregar en la esquina superior derecha de la pgina.
3. Seleccione el dispositivo Edge y la versin en la lista desplegable. Haga clic en OK.
Configuracin de Edge: Aparece el cuadro de dilogo Plantilla de Edge.
4. En la navigation bar izquierda, seleccione Polticas de Firewall.
Aparece la pgina "Polticas de Firewall".
Aparece la pgina Seleccionar un servicio para esta poltica.
7. Seleccione Crear y utilizar un nuevo servicio personalizado.
Aparece la pgina Especificar protocolos.
Gua del Usuario 587
9. Ingrese un nombre para el protocolo.
10. Para agregar un protocolo, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar protocolo.
11. En la lista desplegable Tipo, seleccione si el protocolo utiliza un puerto independiente o un rango de
puertos.
12. En la lista desplegable Protocolo, seleccione el tipo de protocolo a filtrar: TCP, UDP o IP.
13. Ingrese el nmero o los nmeros del puerto de servidor, o el nmero de protocolo IP.
14. Haga clic en OK para agregar el protocolo.
15. Repita los pasos 10 al 14 para agregar otro protocolo.
16. Haga clic en Siguiente cuando se hayan agregado todos los protocolos para esta poltica.
Aparece la pgina Seleccionar la direccin de trfico.
17. Seleccione la direccin de trfico: Saliente, Entrante u Opcional.
Aparece la pgina Configurar los recursos de red.
19. En la lista desplegable Filtro, seleccione Denegar o Permitir trfico.
20. En los campos Desde y Hasta, defina las fuentes y los destinos.
Para agregar un nuevo recurso, haga clic en Agregar debajo del campo Desde o Hasta y agregue la
informacin requerida.
Aparece la pgina Se ha completado el Add Policy Wizard.
Clonar una plantilla de configuracin de dispositivos
Si tienen dispositivos que utilizan configuraciones similares, pero con pequeas diferencias, puede clonar
(copiar) una plantilla y luego personalizar la plantilla clonada para cada dispositivo. Esto le permite hacer una
plantilla de configuracin de dispositivos, hacer un clon de cada variacin y luego cambiar las plantillas
clonadas. No se puede editar una plantilla predeterminada. Pero, sin embargo, se puede clonar la plantilla
predeterminada y luego personalizar la plantilla clonada.
Desde la pestaa Administracin de dispositivos WatchGuard System Manager:
1. Expanda las Plantillas de configuracin de dispositivos.
2. Haga clic con el botn derecho en la plantilla de configuracin de dispositivos que desea clonar y
seleccione Clonar.
En la lista Plantillas de configuracin de dispositivos aparece una copia de la plantilla que dice (clonado) al
final del nombre de la plantilla.
3. Abra la poltica en el Policy Manager y configrela para el dispositivo seleccionado.
Para obtener informacin sobre los campos disponibles, consulte Acerca de propiedades de polticas
en la pgina 354.
4. Guarde los cambios en su plantilla de configuracin de dispositivos.
Cambiar el nombre de una plantilla de configuracin de
dispositivos
Al crear una nueva plantilla de configuracin de dispositivos en WatchGuard System Manager, debe
seleccionar un nombre para esa plantilla. Puede cambiar el nombre de cada plantilla de modo que pueda
identificar fcilmente a qu dispositivo corresponde.
1. Desde la pestaa Administracin del dispositivo, expanda la lista Plantillas de configuracin de
dispositivos.
Aparece la lista Plantillas de configuracin de dispositivos.
2. Expanda la carpeta para el tipo de Plantillas de configuracin de dispositivos que desea renombrar.
3. Seleccione la plantilla que desea renombrar.
4. Siga los pasos de las secciones subsiguientes para el tipo de Plantilla de configuracin de dispositivos
que ha seleccionado.
Renombrar una plantilla de Firebox X Edge
1. Haga clic con el botn derecho en la plantilla y seleccione Propiedades.
Aparece el cuadro de dilogo Configuracin de Edge.
2. En la navigation bar izquierda, seleccione Nombre.
Aparece la pgina Nombre.
Gua del Usuario 589
3. En el campo Nombre, ingrese el nuevo nombre para la plantilla.
4. Haga clic en OK.
Se actualiza el nombre de la plantilla y aparece en la lista Plantillas de configuracin de dispositivos.
Renombrar una plantilla de Fireware XTM
1. Haga clic con el botn derecho en la plantilla y seleccione Renombrar.
Aparece el cuadro de dilogo Cambiar nombre.
2. En el cuadro de texto Nombre, ingrese el nuevo nombre para la plantilla.
3. Haga clic en OK.
Se actualiza el nombre de la plantilla y aparece en la lista Plantillas de configuracin de dispositivos.
Suscribir dispositivos administrados a la Configuracin de
dispositivos Plantillas
Puede utilizar plantillas de configuracin de dispositivos para crear un conjunto estndar de polticas y
reglas a utilizar para uno o ms dispositivos Firebox. Puede suscribir cualquiera de sus dispositivos
administrados Firebox a una plantilla de configuracin correspondiente. Cada dispositivo puede suscribirse
a una sola plantilla. Para suscribirse a una plantilla de dispositivo, puede arrastrar y soltar la plantilla para
cada dispositivo o utilizar la pgina Plantilla de configuracin de dispositivos para suscribir su dispositivo a
esa plantilla. Los dispositivos slo se pueden suscribir a plantillas del mismo tipo. Por ejemplo, si arrastra y
suelta una plantilla de configuracin de dispositivos Edge en la carpeta Dispositivos, slo los dispositivos
Edge de la lista se suscriben a la plantilla, no los dems dispositivos Firebox.
Arrastrar y soltar para suscribirse a una plantilla
Puede utilizar la funcin Arrastrar y soltar para suscribir cualquier dispositivo Firebox o carpeta de
dispositivos a una plantilla de configuracin de dispositivos.
1. En la pestaa Administracin de dispositivos, expanda la lista Dispositivos.
2. Seleccione el dispositivo o la carpeta de dispositivos que desea agregar a la plantilla de configuracin
de dispositivos, y arrastre y suelte el dispositivo o la carpeta seleccionados hacia la plantilla
seleccionada en la lista Plantillas de configuracin de dispositivos.
O bien, arrastre y suelte la plantilla de configuracin de dispositivos seleccionada hasta el dispositivo
o la carpeta de dispositivos.
El dispositivo se suscribe a la plantilla.
Utilizar Administrar lista de dispositivos para suscribir un dispositivo a
una plantilla
Puede utilizar el cuadro de dilogo Administrar lista de dispositivos para suscribir simultneamente uno o
ms dispositivos administrados del mismo tipo a la plantilla seleccionada.
1. En la lista Plantillas de configuracin de dispositivos, seleccione la plantilla a la que desea suscribir
un dispositivo.
Aparece la plantilla del dispositivo seleccionado.
2. Haga clic en el enlace Configurar, en la seccin Dispositivos.
Aparece la lista Dispositivos de administracin.
Gua del Usuario 591
Aparece el cuadro de dilogo Seleccionar dispositivos.
4. Seleccione el cuadro de dilogo para cada dispositivo que desee suscribir a esta plantilla de
configuracin de dispositivos.
5. Haga clic en OK para cerrar el cuadro de dilogo Seleccionar dispositivos.
6. Haga clic en Cerrar para cerrar el cuadro de dilogo Administrar lista de dispositivos.
Los dispositivos administrados que seleccion estn suscritos a la plantilla de configuracin de dispositivos.
Administrar alias paralos dispositivos Firebox X
Edge
Los alias se utilizan con sus dispositivos administrados Firebox X Edge para definir un destino comn para la
configuracin de poltica en el Management Server. Por ejemplo, mediante un alias usted puede crear una
plantilla de configuracin de dispositivos para un servidor de correo electrnico y definir esa poltica para
que funcione con su servidor de correo electrnico. Debido a que el servidor de correo electrnico puede
tener distintas direcciones IP en cada red de Firebox, usted puede crear un alias en el Management Server
denominado MailServer. Cuando crea la plantilla de configuracin de dispositivos para el servidor de correo
electrnico, debe utilizar este alias como destino. Luego debe definir ese alias, ya sea como la fuente o el
destino para hacerlo coincidir con la direccin del trfico de red administrado por la poltica. En este
ejemplo puede configurar la poltica Permitir SMTP entrante con MailServer como destino.
Paraque laplantillade configuracinde dispositivos funcione correctamente enlos dispositivos que utilizanla
poltica, debe configurar el alias MailServer enlas configuraciones de redparacadadispositivoFirebox X Edge.
Las funciones de alias que estaban disponibles en WatchGuard System Manager (WSM) 10.x para sus
dispositivos 10.x y Firebox X Edge anteriores an estn disponibles en WSMv11.x. Puede utilizar su
Management Server v11.x para configurar alias nicamente para dispositivos v10.x y Firebox X Edge
anteriores.
Un alias se configura en dos pasos:
1. Cambiar el nombre de un alias.
2. Definir alias en un dispositivo Firebox X Edge.
Cambiar el nombre de un alias
Su Management Server incluye un conjunto estndar de alias que puede utilizar junto con las polticas para
su dispositivo Firebox X Edge (nicamente versin 10.x y anteriores). Puede agregar un nuevo alias o
renombrar un alias existente. Para poder agregar un alias a una poltica, debe crear o editar el alias en el
Management Server.
1. En el diagrama Administracin del dispositivo, seleccione el Management Server.
Aparece la pgina Configuracin del Management Server
2. Haga clic en .
O bien, en la seccin Informacin del servidor, haga clic en Administrar alias.
Aparece el cuadro de dilogo Alias.
Gua del Usuario 593
3. Para agregar un nuevo alias, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar alias.
Para cambiar un alias existente, seleccione un alias y haga clic en Editar.
Aparece el cuadro de dilogo Editar nombre de alias.
4. En el cuadro de texto Nombre , ingrese un nombre para el alias y haga clic en OK.
5. Repita los pasos 3 al 4 para definir alias adicionales.
6. Haga clic en OK.
A continuacin puede designar direcciones IP a los alias, como se describe en Definir alias en un dispositivo
Firebox X Edge en la pgina 593.
Definir alias en un dispositivo Firebox X Edge
Una vez que actualiza la lista de alias en su Management Server, puede definir los alias para utilizar con sus
dispositivos Firebox X Edge (slo versin 10.x o anteriores).
1. Expanda el diagrama Dispositivos y seleccione un dispositivo Firebox X Edge de versin 10.x o
anterior.
Aparece la pgina Dispositivos.
2. En la seccin Configuraciones de red, haga clic en Configurar.
Aparece el cuadro de dilogo "Configuraciones de red".
3. Haga clic en Alias.
Aparece la lista Alias. La lista incluye los alias que usted nombr en el Management Server y cualquier alias
predeterminado.
Gua del Usuario 595
4. Seleccione un alias a definir y haga clic en Editar.
Aparece el cuadro de dilogo Configuracin de alias local
5. Ingrese la direccin IP para el alias local en la red de este Firebox X Edge.
6. Haga clic en OK.
7. Repita los pasos 4 al 6 para cada alias que desee definir.
8. Haga clic en OK.
Eliminar un dispositivo del modo totalmente
administrado
Puede eliminar su Firebox del modo totalmente administrado y retornarlo al modo administrado bsico. Al
hacer esto, se elimina el enlace hacia la plantilla de configuracin de dispositivos y se eliminan todas las
polticas de la plantilla de configuracin de dispositivos desde el archivo de configuracin del dispositivo.
Si desea que el Management Server elimine de la administracin un dispositivo por completo, consulte
Actualizar o reiniciar un dispositivo o remover un dispositivo de la administracin en la pgina 578.
Hay dos maneras de eliminar un Firebox del modo totalmente administrado. Puede cambiar el modo de
administracin del dispositivo para Firebox. O puede eliminar Firebox de la lista Dispositivos de
administracin para la plantilla de configuracin de dispositivos a la cual est suscrito.
Para obtener instrucciones sobre cmo cambiar el modo de administracin de Firebox, consulte Cambiar el
modo Centralized Management para su Firebox administrado en la pgina 538.
Para eliminar un dispositivo de la lista Dispositivos de administracin:
2. Expanda las Plantillas de configuracin de dispositivos para su Management Server.
3. Expandir la carpeta para el tipo de plantilla del dispositivo: Firebox X Edge o Fireware XTM.
4. Seleccione la plantilla de la lista a la cual est suscrito su dispositivo.
Aparece la pgina de configuracin de plantillas para la plantilla que ha seleccionado.
5. En la seccin Dispositivos, haga clic en el enlace Configurar.
Aparece la lista Dispositivos de administracin.
6. Seleccione el dispositivo que desea eliminar del modo totalmente administrado y haga clic en
Eliminar.
El dispositivo retorna al modo administrado bsico y se eliminan todas las polticas desde la plantilla de
configuracin de dispositivos del archivo de configuracin del dispositivo.
8. Guarde el archivo de configuracin actualizado en el dispositivo.
El dispositivo slo reconoce los cambios de configuracin una vez que usted guarda el archivo de
configuracin en el dispositivo.
Gua del Usuario 597
20
Administracin basada en roles
Acerca de la administracin basada en roles
La administracin basada en roles le permite compartir las responsabilidades de configuracin y de
monitoreo para su organizacin entre varios individuos. Uno o ms administradores generales pueden
tener privilegios de configuracin totales para todos los dispositivos, mientras uno o ms administradores
secundarios tienen menos autoridad de configuracin y de monitoreo o distintas reas de jurisdiccin.
Por ejemplo, un administrador puede tener autoridad de configuracin y de monitoreo total respecto de
todos los dispositivos WatchGuard en la regin oriental de una organizacin, pero slo puede monitorear
los dispositivos utilizados en las regiones centrales y occidentales de la compaa. Otro administrador puede
tener autoridad total respecto de la regin central, pero slo puede monitorear dispositivos de la regin
occidental y oriental.
Puede utilizar WatchGuard System Manager (WSM) y WatchGuard Server Center para crear e implementar
los distintos roles del administrador para su organizacin. Todas las configuraciones de administracin
basada en roles que usted crea se guardan y se administran en su Management Server, por lo que son
accesibles mediante WSMo WatchGuard Server Center. Cuando realiza un cambio en la administracin
basada en roles con WSM, el cambio aparece automticamente en WatchGuard Server Center.
Nota La administracin basada en roles slo est disponible para dispositivos
WatchGuard con Fireware XTMv11.0 o versiones posteriores.
Roles y polticas de roles
Un rol consta de dos partes: un conjunto de tareas y un conjunto de dispositivos donde pueden realizarse
estas tareas. A cada administrador se le asignan uno o ms roles, tales como superadministrador,
administrador de usuarios de Mobile VPN o administrador de autenticacin de usuario.
WatchGuard System Manager (WSM) tiene varios roles predefinidos que usted puede utilizar para su propia
organizacin. Tambin puede definir los roles personalizados. Estos roles son reconocidos por todas las
herramientas WSMy los servidores WatchGuard. Por ejemplo, si inicia sesin en WSMcon permisos de
lectura/escritura y abre el Firebox System Manager (FSM), no se le avisar acerca de la contrasea de
configuracin porque FSMreconoce que usted ha iniciado sesin con los permisos necesarios.
Las polticas de roles combinan los conjuntos de tareas y de dispositivos con los usuarios que tienen
privilegios para ejecutar estos roles.
Auditar rastros
Para llevar un registro de las acciones realizadas por cada administrador, WSMguarda un rastro de la
auditora de los cambios realizados en un dispositivo. Estos cambios se registran en los mensajes de registro
del Management Server. WSMtambin tiene un rastro de la auditora que muestra todos los cambios
realizados en la totalidad del sistema, el administrador que realiz cada cambio y cundo se realiz cada
cambio.
Acerca de los roles predefinidos
Su dispositivo Firebox o XTMtiene muchos roles administrativos predefinidos. Tambin puede definir los
roles personalizados, segn se describe en Definir roles y propiedades de roles en la pgina 605.
La tabla subsiguiente muestra todos los roles predefinidos y las acciones que stos pueden realizar.
Rol Acciones permitidas
Administrador de VPN
para sucursales
Ver carpetas y dispositivos en WSM
Ver los mensajes de registro del dispositivo
Ver/crear reportes de dispositivos
Establecer configuracin de red del dispositivo, polticas y tneles BOVPN
Reingresar tneles BOVPN para un dispositivo
Administrador del
dispositivo
Ver y trasladar carpetas y dispositivos en WSM
Ver/modificar propiedades de la carpeta y del Management Server del
dispositivo
Definir un reporte de cualquier dispositivo
Configurar contraseas del dispositivo
Configurar la Defensa de reputacin activada
Monitor del dispositivo
Ver mensajes de registro y reportes del dispositivo
Ver todo el archivo de configuracin para un dispositivo
Ver la configuracin de la Defensa de reputacin activada
Gua del Usuario 599
Cuenta de
administrador
heredada
Ver y trasladar carpetas en WSM
Ver/modificar propiedades de la carpeta y del Management Server del
dispositivo
Ver/trasladar dispositivos en WSMy herramientas de monitoreo
Establecer la frase contrasea de configuracin (admin) y de monitoreo
(estado) del dispositivo
Ver/modificar el archivo de configuracin del dispositivo
Actualizar el OS del dispositivo
Realizar copia de respaldo/restaurar configuracin y OS del dispositivo
Reiniciar/restablecer el dispositivo
Establezca la configuracin de red, las polticas de firewall, las configuraciones
QoS, los tneles BOVPN y los tneles Mobile VPN del dispositivo
Elimine los tneles de usuario Mobile VPN actualmente activos en el dispositivo
Establezca la configuracin externa del dispositivo, los usuarios y grupos de
Firebox, WebBlocker, spamBlocker y el Quarantine Server
Actualizar firmas Gateway AV/IPS
Reingrese los tneles BOVPN y los tneles Mobile VPN del dispositivo
Actualice las teclas de funcin del dispositivo
Cuenta de estado
heredada
Ver carpetas en WSM
Ver propiedades de la carpeta y del Management Server del dispositivo
Ver dispositivos en WSMy herramientas de monitoreo
Ver los informes del dispositivo
Ver el archivo de configuracin del dispositivo
Ver la configuracin de la Defensa de reputacin activada
Management Server
de administracin
Definir dispositivos, carpetas, plantillas de seguridad, polticas VPN de firewall e
informacin del cliente
Tiene acceso a la autoridad de certificacin
Definir un reporte o ver mensajes de registro de auditora de cualquier usuario
Monitor del
Management Server
Ver polticas de rol
Ver plantillas de seguridad
Ver polticas de firewall VPN:
Ver la informacin del cliente
Acceso a la Autoridad de certificacin
Ver un reporte o ver mensajes de registro de auditora de cualquier usuario
Ver el informe de cualquier dispositivo
Administrador de
usuarios de VPN mvil
Establecer la configuracin de red y los tneles Mobile VPN del dispositivo
Eliminar tneles de usuario Mobile VPN activos para un dispositivo
Definir usuarios y grupos para un dispositivo
Reingresar tneles BOVPN para un dispositivo
MonitorMSS Ver dispositivos en herramientas de monitoreo
Administrador de red
Establecer la configuracin de red del dispositivo
Administrador de
seguridad
Establecer configuracin de red del dispositivo, polticas y configuraciones de
QoS
Gua del Usuario 601
Actualizar firmas Gateway AV/IPS
Super administrador
Definir usuarios, polticas de roles, dispositivos, carpetas, plantillas de seguridad,
polticas VPN de firewall e informacin del cliente
Tiene acceso a la autoridad de certificacin
Definir un reporte o ver mensajes de registro de auditora de cualquier usuario
Administrador de
autenticacin de
usuario
Configurar autenticacin externa del dispositivo
Definir usuarios y grupos para un dispositivo
Administrador de los
servicios de usuario
Configurar WebBlocker, spamBlocker y el Quarantine Server para un dispositivo
Utilizar administracin basada en roles con un
Management Server externo
Si tiene un WatchGuard Log Server o un Report Server instalado en una computadora distinta a la de su
Management Server, puede utilizar WatchGuard Server Center a fin de configurar la informacin de
contacto para el Management Server que usted desea utilizar para la administracin basada en roles. Luego
de establecer estas configuraciones, el Log Server o el Report Server pueden contactarse con el
Management Server seleccionado para el rol y la informacin de credenciales para los usuarios remotos.
Para establecer las configuraciones para un Management Server externo:
2. Para cambiar la contrasea para el administrador local, seleccione la casilla de verificacin Cambiar
contrasea del administrador.
3. Ingrese y confirme la contrasea para el administrador local.
4. Seleccione la casilla de verificacin Utilizar Management Server externo.
5. Ingrese la direccin IP del Management Server.
6. En el campo Certificado pblico de CA del Management Server, copie y pegue el contenido del
certificado para el Management Server.
O bien, haga clic en Cargar certificado desde un archivo para seleccionar y cargar el certificado.
Definir o eliminar usuarios o grupos
Puede definir, editar y eliminar usuarios y grupos de usuarios para la administracin basada en roles en
WatchGuard System Manager (WSM) y WatchGuard Server Center. Puede elegir cmo se autenticar un
usuario o un grupo y definir la contrasea para un usuario local.
Utilizar WatchGuard System Manager para configurar usuarios
o grupos
2. Seleccione Archivo > Administrar usuarios.
Aparece el cuadro de dilogo Administrar usuarios.
3. Para agregar un nuevo usuario, haga clic en Agregar.
Para editar detalles para un usuario existente, seleccione un usuario de la lista y haga clic en Editar.
No puede cambiar el usuario ni el nombre de grupo. Debe eliminar el usuario o el grupo y luego
agregar un nuevo usuario o grupo con el nuevo nombre.
Aparece el cuadro de dilogo Propiedades de usuarios.
Gua del Usuario 603
4. En la pestaa Usuario o grupo, en el cuadro de texto Nombre, ingrese un nombre para el usuario o
el grupo.
5. Para definir un nuevo usuario y autenticarlo en forma local, seleccione Usuario local.
Para definir un nuevo usuario a autenticar en un servidor de Active Directory , seleccione Usuario
AD.
ste es el nombre principal para el usuario en el Active Directory .
Para definir un nuevo grupo a autenticar en un servidor de Active Directory , seleccione Grupo AD.
ste es el nombre completo o el nombre cannico del grupo en el Active Directory .
Nota Si desea utilizar un servidor de Active Directory para autenticar usuarios, debe
Activar y configurar autenticacin en Active Directory antes de definir los
usuarios.
6. Si define o edita un usuario local, en el cuadro de texto Contrasea, ingrese una nueva contrasea.
7. En el cuadro de texto Confirmar contrasea, ingrese la contrasea nuevamente.
8. Si edit un usuario o un grupo existentes, haga clic en OK.
Si agreg un nuevo usuario o un grupo, seleccione la pestaa Poltica de roles para asignar una
Poltica de roles a un usuario o a un grupo.
Para ms informaciones, vea Asignar roles a un usuario o grupo en la pgina 608.
UtiliceWatchGuardServerCenterparaconfigurarusuarioso
grupos
2. Para agregar un nuevo usuario, haga clic en Agregar.
Para editar detalles para un usuario existente, seleccione un usuario de la lista y haga clic en Editar.
No puede cambiar el usuario ni el nombre de grupo. En su lugar, debe eliminar el usuario o el grupo
existentes y luego agregar un nuevo usuario o grupo con el nuevo nombre.
Gua del Usuario 605
3. En el cuadro de texto Nombre, ingrese el nuevo nombre para el usuario o el grupo.
4. Para definir un nuevo usuario y autenticarlo en forma local, haga clic en Usuario local.
Paradefinir unnuevousuarioaautenticar enunservidor de Active Directory , hagaclic enUsuarioAD.
Para definir un nuevo grupo a autenticar en un servidor de Active Directory , haga clic en Grupo AD.
Nota Si desea utilizar un servidor de Active Directory para autenticar usuarios, debe
Activar y configurar autenticacin en Active Directory antes de definir los
usuarios.
5. Si define o edita un usuario local, en el cuadro de texto Contrasea, ingrese una nueva contrasea o
edite la existente.
6. En el cuadro de texto Confirmar contrasea, ingrese la contrasea nuevamente.
7. Si edit un usuario o un grupo existentes, haga clic en OK.
Si agreg un nuevo usuario o un grupo, seleccione la pestaa Poltica de roles para asignar una
Poltica de roles a un usuario o a un grupo.
Para ms informaciones, vea Asignar roles a un usuario o grupo en la pgina 608.
Eliminar un usuario o un grupo
No puede eliminar usuarios o grupos predefinidos. Slo puede eliminar usuarios o grupos definidos por el
usuario.
Para eliminar un usuario o un grupo:
1. En la lista Usuarios, seleccione el usuario o el grupo que desea eliminar.
Aparece un cuadro de dilogo de mensaje y le pregunta si est seguro de eliminar el usuario o el grupo.
3. Haga clic en S.
Se elimina de la lista el usuario o el grupo.
Definir roles y propiedades de roles
Puede utilizar WatchGuard Server Center y WatchGuard System Manager para definir y editar los roles y las
polticas de roles de su Management Server para sus usuarios y grupos de usuarios de administracin
basada en roles. Slo puede editar roles definidos por el usuario. Si desea cambiar un rol predefinido, copie
el rol en un nuevo rol y realice los cambios.
Definir roles en WatchGuard Server Center
2. Haga clic en la pestaa Roles.
Los roles predefinidos aparecen en azul. Todos los roles definidos por el usuario aparecen en negro.
3. Siga las instrucciones en la seccin subsiguiente Configurar roles y polticas de roles.
Definir roles en WatchGuard System Manager
3. Haga clic en Roles.
Aparece el cuadro de dilogo Roles.
Gua del Usuario 607
4. Siga las instrucciones en la seccin subsiguiente Configurar roles y polticas de roles.
Configurar roles y polticas de roles
1. Para definir un nuevo rol, haga clic en Agregar.
Para editar un rol existente, seleccione el rol y haga clic en Editar.
Slo puede editar roles definidos por el usuario, no roles predefinidos. Si desea definir un nuevo rol
sobre la base de un rol predefinido existente, seleccione el rol predefinido y haga clic en Copiar.
Aparece el cuadro de dilogo Propiedades de roles.
2. En el campo Nombre, ingrese un nombre para el nuevo rol.
3. En la ventana Permisos, seleccione el conjunto de permisos que desea asignar al rol.
Cuando selecciona o borra la casilla de verificacin para un permiso de nivel superior, todos los
permisos en esa lista tambin se seleccionan o se eliminan.
4. Haga clic en OK.
Eliminar un rol
No puede eliminar roles predefinidos desde el Management Server. Slo puede eliminar roles definidos
por el usuario.
Para eliminar un rol:
1. Seleccione un rol de la lista.
Aparece un cuadro de dilogo de mensaje y le pregunta si desea eliminar el rol.
3. Haga clic en S.
El rol se elimina de la lista.
Asignar roles a un usuario o grupo
Una poltica de roles combina las tareas y los dispositivos que conforman un rol con uno o ms usuarios que
han sido asignados a esas reglas. Puede utilizar WatchGuard System Manager o WatchGuard Server Center
para asignar uno o ms roles a un usuario o a un grupo de usuarios. Cuando asigna ms de un rol a un
usuario o a un grupo, ese usuario o grupo puede completar todas las tareas de todos los dispositivos desde
ambos roles.
Asignar roles en WatchGuard System Manager
Para agregar un nuevo rol a un usuario o a un grupo, o para editar un rol existente:
3. Defina un usuario y haga clic en Agregar.
O bien seleccione un usuario en la lista Usuarios y haga clic en Editar.
Aparece el cuadro de dilogo Propiedades de usuarios.
Para ms informaciones, vea Definir o eliminar usuarios o grupos en la pgina 602.
4. Seleccione la pestaa Polticas de roles.
Gua del Usuario 609
5. Para agregar un nuevo rol, haga clic en Agregar.
Para editar un rol existente, seleccione un rol de la lista Rol y haga clic en Editar.
Aparece el cuadro de dilogo Poltica de roles.
6. En la lista desplegable Rol, seleccione un rol existente.
O bien, haga clic en Nuevo para definir un rol personalizado.
Para ms informaciones, vea Definir roles y propiedades de roles en la pgina 605.
7. En la lista Dispositivos, seleccione la casilla de verificacin para cada Firebox a fin de incluirlo en la
poltica de roles.
8. Haga clic en OK.
El rol aparece en la lista, en la pestaa Polticas de roles.
9. Haga clic en OK.
Para eliminar un rol desde un usuario o un grupo:
1. En el cuadro de dilogo Propiedades de usuarios, seleccione un rol en la lista Rol.
3. Haga clic en S para eliminar el rol de la lista Rol.
Asignar roles en WatchGuard Server Center
Para agregar un nuevo rol o editar un rol existente para un usuario o un grupo:
2. Seleccione la pestaa Usuarios.
4. Haga clic en la pestaa Poltica de roles.
Aparece una lista de los roles asignados al usuario o al grupo. El nombre del rol o de los roles aparece en la
columna Rol. Una lista delimitada por comas de dispositivos relacionados con el rol aparece en la columna
Dispositivos.
5. Para agregar una nueva poltica de roles para el usuario o el grupo, haga clic en Agregar.
Para editar una poltica de roles existente, seleccinela y haga clic en Editar.
Aparece el cuadro de dilogo Propiedades de la poltica de roles.
6. En la lista desplegable Rol, seleccione un rol existente.
O bien, haga clic en Nuevo para definir un rol personalizado.
Para ms informaciones, vea Definir roles y propiedades de roles en la pgina 605.
Gua del Usuario 611
7. En la lista Dispositivos, marque la casilla de verificacin para el conjunto de dispositivos y de carpetas
a asignar para este usuario y rol.
8. Haga clic en OK.
Para eliminar un rol desde un usuario o un grupo:
1. En el cuadro de dilogo Propiedades de usuario y de grupo, seleccione un rol en la lista Rol.
3. Haga clic en S para eliminar el rol de la lista Rol.
Gua del Usuario 612
Gua del Usuario 613
21
Registro y Notificacin
Acerca de la generacin de registros y archivos de
registro
Una funcin importante de la seguridad de red es recoger mensajes de sus sistemas de seguridad,
examinar esos registros con frecuencia y mantenerlos en un archivo para futuras consultas. El sistema de
mensaje de registro de WatchGuard crea archivos de registro con informacin acerca de seguridad
referente a eventos que se puede revisar para monitorear la actividad y seguridad de su red, identificar
riesgos de seguridad y solucionarlos.
Un archivo de registro es una lista de eventos, junto con la informacin acerca de esos eventos. Un evento
es una actividad que ocurre en el dispositivo Firebox o XTM. Un ejemplo de un evento es cuando el
dispositivo niega un paquete. Su dispositivo Firebox o XTMtambin puede capturar informacin acerca de
eventos permitidos para darle una imagen ms completa de la actividad en su red.
El sistema de mensaje de registro tiene varios complementos, que estn descritos abajo.
Log Servers
Los WatchGuard Log Servers recogen datos de mensaje de registro de cada dispositivo o servidor
conectado. Los Log Servers reciben informacin en los puertos TCP 4107 y 4115. Cada dispositivo que
conecta al primer Log Server enva su nombre, nmero de serie, zona horaria y versin del software y,
despus, enva los datos de registro cuando ocurren nuevos eventos. El nmero de serie (SN) del
dispositivo Firebox o XTMes usado para identificar el dispositivo especficamente en la base de datos del
Log Server. El Log Server usa instancias mltiples de base de datos PostgreSQL para administrar su base de
datos global. Cada instancia de la base de datos PostgreSQL aparece en el Administrador de tareas del
Windows como un proceso PostgreSQL separado.
El Log Server usa varios procesos y mdulos para recoger y almacenar datos de mensaje de
registro.wlcollector.exe es el proceso de colector de registro. Su dispositivo Firebox o XTMse conecta a ese
proceso para registrarse en el puerto TCP 4115/4107. wlcollector.exe ejecuta dos mdulos: ap_collector y
ap_notify. El ap_collector obtiene los registros del Firebox y los pone en la base de datos del Log Server. El
ap_notify obtiene las alarmas del Firebox y enva el tipo de notificaciones seleccionado.
Los mensajes de registro son enviados al WatchGuard Log Server en XML (texto sin formato) y son cifrados
mientras estn en trnsito. La informacin recogida de los dispositivos firewall incluye mensajes de registro
de estadsticas de trfico, alarma, evento, depuracin y desempeo. Esos datos no son cifrados mientras
son almacenados en la base de datos del Log Server.
Puede instalar el WatchGuard Log Server en el equipo de administracin o en un equipo diferente.
Tambin puede aadir Log Servers adicionales por respaldo y escalabilidad. Para hacer eso, use el programa
de instalacin del WatchGuard System Manager (WSM) y seleccione instalar slo el componente del Log
Server.
Despus que su Log Server haya recogido los datos de registro de sus dispositivos Firebox o XTM, puede
usar el WatchGuard Report Server para consolidar peridicamente los datos y generar informes.
Para ms informacin acerca del Report Server y Report Manager, vea Pgina Acerca de Report Server en la
pgina 733 y Acerca de WatchGuard Report Manager en la pgina 750.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo de
registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabras clave o
campos de registro especficos.
Generacin de registros y notificacin en aplicaciones y
servidores
El Log Server puede recibir mensajes de registro de su dispositivo Firebox o XTMo de un servidor
WatchGuard. Despus de configurar su dispositivo Firebox o XTMy el Log Server, el dispositivo enva
mensajes de registro al Log Server. Puede activar la generacin de registros en diversas aplicaciones y
polticas de WSMque haya definido para que su dispositivo Firebox o XTMcontrole el nivel de registros que
se ve. Si elige enviar mensajes de registro desde otro servidor WatchGuard al Log Server, primero debe
activar la generacin de registros en aquel servidor.
Para ms informacin acerca del envo de mensajes de registro de su dispositivo Firebox o XTM, vea
Configurar registros y notificacin para una poltica en la pgina 648.
Para ms informacin acerca del envo de mensajes de registro de su servidor WatchGuard, vea Configurar
Registros en la pgina 631.
Acerca de las mensajes de registro
Su dispositivo Firebox o XTMenva mensajes de registro al Log Server. Tambin puede enviar mensajes de
registro a un servidor de syslog o guardar los registros localmente en el dispositivo Firebox o XTM. Se puede
elegir enviar los registros a una o a ambas ubicaciones.
Gua del Usuario 615
Puede usar el Firebox System Manager para ver los mensajes de registro en la pestaa Control de trfico.
Para ms informacin, vea Mensajes de registro de Firebox (Control de trfico) en la pgina 682.
Tambin puede examinar los mensajes de registro con el LogViewer. Los mensajes de registro son
guardados en el Log Server en el directorio de WatchGuard en un archivo de base de datos SQL con
extensin .wgl.xml.
Para obtener ms informacin acerca de los diferentes tipos de mensajes de error que enve el dispositivo
Firebox o XTM, consulte Tipos de mensajes de registro en la pgina 616.
Archivos de registro
El WatchGuard Log Server usa los archivos wlcollector.log y ap_collector.log para almacenar informacin
acerca de conexiones de base de datos y dispositivo. Esa informacin incluye errores de autenticacin,
discordancias entre desafo y respuesta, y errores de acceso a base de datos.
Esos archivos son almacenados por defecto en:
C:\Documents and Settings\WatchGuard\logs\wlogserver\wlcollector\
Bases de datos
La informacin de registro es almacenada en la base de datos PostgreSQL. Cada Log Server tiene cuatro
tablas principales de base de datos que almacenan los mensajes de registro para todos los dispositivos
Firebox o XTM. Esas cuatro tablas son controladas por una tabla principal que le permite consultar la base
de datos para acceder fcilmente a la informacin de registro en cada tabla. El Log Server crea particiones
de tamao fijo para almacenar la informacin de registro. Para modificar manualmente los contenidos de la
base de datos del Log Server, se puede usar el aviso de comando PostgreSQL o una aplicacin de terceros,
como pgadmin.
Cuando un dispositivo Firebox o XTMse conecta al Log Server por primera vez, ste actualiza la base de
datos global con la informacin acerca del nuevo dispositivo. Los mensajes de registro de cada dispositivo
son enviados a una de las cuatro tablas de base de datos del Log Server. Los datos en esas tablas son usados
cuando se miran los registros en el LogViewer de WatchGuard o cuando crea un informe con el
WatchGuard Report Manager. Esas aplicaciones usan solicitudes XMLRPC para comunicarse con el Log
Server.
Los informes generados por el Report Server WatchGuard son almacenados como archivos XML en:
C:\Documents and Settings\WatchGuard\wrserver\reports\
Desempeo y espacio en disco
Puede configurar varios dispositivos Firebox o XTMpara enviar informacin de registro a un nico Log
Server. Ese nmero es estrictamente limitado slo por el espacio en disco disponible. No obstante, el
nmero exacto de dispositivo que puede conectar a su Log Server depende del tamao y velocidad de sus
discos duros, la cantidad de RAMdisponible, el nmero de procesadores y el volumen de trfico de registro
que cada dispositivo conectado enva al Log Server. Puede aumentar enormemente el desempeo de su
Log Server aadiendo un disco duro ms rpido, ms memoria y otro procesador.
El Log Server incluye una configuracin que puede ser alterada para remover automticamente antiguos
mensajes de registro de la base de datos. Cuando configura un Log Server por primera vez, recomendamos
que calcule cunto espacio en disco se usa en un da promedio. Estime cuntos das de mensajes de
registro puede guardar antes que la base de datos ocupe demasiado espacio en disco, despus altere las
configuraciones para que coincidan con ese intervalo de tiempo. Cuando los mensajes de registro son
removidos de la base de datos, el espacio en disco es reutilizado cuando se crean nuevas entradas de
registro.
El utilitario reindexdb reconstruye los ndices en una o ms tablas de base de datos PostgreSQL para mejor
desempeo. Ese utilitario debera ser ejecutado slo por recomendacin de un representante de soporte
de WatchGuard.
Tipos de mensajes de registro
El Firebox enva varios tipos de mensajes de registro. El tipo aparece en el texto del mensaje. Los tipos de
mensajes de registro son:
n Trfico
n Alarma
n Evento
n Depurar
n Estadstica
Mensajes de registro de trfico
El Firebox enva mensajes de registro de trfico mientras aplica el filtrado de paquetes y reglas de proxy al
trfico que pasa por el dispositivo.
Mensajes de registro de alarma
Los mensajes de registro de alarma son enviados cuando ocurre un evento que desencadena la ejecucin
de un comando en Firebox. Cuando la condicin de alarma coincide, el dispositivo enva un mensaje de
registro de Alarma al Control de trfico y Log Server o servidor de syslog, y despus realiza la accin
especificada.
Se pueden definir algunos mensajes de registro de Alarma. Por ejemplo, se puede usar el Policy Manager
para configurar una alarma para que ocurra cuando coincide con un valor especificado o cuando supere un
umbral. Otros mensajes de registro de Alarma son definidos por el software del dispositivo y el valor no
puede ser alterado. Por ejemplo, el Firebox enva un mensaje de registro de Alamar cuando falla una
conexin de red en una de las interfaces de Firebox o cuando ocurre un ataque de Negacin de Servicio.
Para ms informacin acerca de los mensajes de registro de Alarma, vea el Catlogo de Registros.
Hay ocho categoras de mensajes de registro de Alarma: Sistema, IPS, AV, Poltica, Proxy, Contador,
Negacin de Servicio y Trfico. El Firebox no enva ms de 10 alarmas en 15 minutos para las mismas
condiciones.
Gua del Usuario 617
Mensajes de registro de Evento
El Firebox enva mensajes de registro de eventos debido a la actividad del usuario. Las acciones que pueden
hacer que el Firebox enve un mensaje de registro de eventos incluyen:
n Inicio y apagado del dispositivo
n Autenticacin de VPN y dispositivo
n Inicio y apagado de proceso
n Problemas con los componentes de hardware del dispositivo
n Cualquier tarea realizada por el administrador del dispositivo
Mensajes de registro de depuracin
Los mensajes de registro de depuracin incluyen informacin de diagnstico que puede usar para ayudar a
solucionar problemas. Hay 27 componentes de producto diferentes que pueden enviar mensajes de
registro de depuracin. Puede seleccionar si los mensajes de registro de depuracin (diagnstico) aparecen
en el Control de Trfico, tal como se describe en Defina el nivel de registro de diagnstico en la pgina 646.
Mensajes de registro de estadstica
Los mensajes de registro de estadstica incluyen informacin acerca del desempeo de Firebox. Por
defecto, el dispositivo enva mensajes de registro acerca de las estadsticas de desempeo de la interfaz
externa y ancho de banda de VPN a su archivo de registro. Puede usar esos registros para cambiar sus
configuraciones de Firebox, segn sea necesario para mejorar el desempeo. Para ms informaciones
acerca de los mensajes de registro de estadstica, vea Definir hacia dnde el Firebox enva los mensajes de
registro en la pgina 638 y Configurar registro de estadstica de rendimiento en la pgina 644.
Niveles de mensaje de registro
Cuando configura los registros para cualquiera de los servidores WatchGuard, puede definir el nivel
asignado a los mensajes de registro para cada servidor. Eso le permite seleccionar qu tipo de mensajes de
registro son incluidos en sus archivos de registro.
Los niveles de registro disponibles incluyen:
Apagado
Los mensajes de registro de diagnstico no son enviados al Log Server para esa categora.
Error
(Nivel: Bajo)
Incluye slo mensajes de registro para errores graves que hacen que se termine un servicio o
proceso.
Advertencia
(Nivel: Mediano)
Incluye detalles de condiciones normales y funcionamiento de procesos. Tambin incluye todos los
detalles del nivel Error.
Informacin
(Nivel:Alto)
Incluye detalles acerca del funcionamiento de mensajes de registro exitosos. Tambin incluye todos
los detalles de los niveles de registro Error y Advertencia.
Depurar
(Nivel: Avanzado)
Incluye mensajes de registro detallados de todos los niveles de registro. Recomendamos que slo
seleccione ese nivel cuando el representante del WatchGuard Technical Support lo instruya a
hacerlo, para ayudar a diagnosticar un problema de configuracin especfico.
Acerca de las notificaciones
Una notificacin es un mensaje que el Firebox enva al administrador cuando ocurre un evento que pueda
representar una amenaza a la seguridad. La notificacin puede ser un mensaje de correo electrnico o una
ventana emergente. Las notificaciones tambin pueden ser enviadas a travs de una captura SNMP.
Para ms informacin acerca de capturas SNMP, vea Acerca del SNMP en la pgina 70.
Los administradores de red pueden configurar notificaciones para ser enviadas por diversos motivos, y
pueden examinarlas para ayudar a decidir cmo aadir mayor seguridad a la red.
Por ejemplo, WatchGuard recomienda que configure las opciones de administracin de paquetes
predeterminada para enviar una notificacin cuando el Firebox encuentra un sondeo de espacio entre
puertos. Para encontrar un sondeo de espacio entre puertos, el Firebox cuenta el nmero de paquetes
enviados desde una direccinIP a todas las direcciones IP de interfaz externa en el dispositivo. Si el
nmero es mayor que un valor configurado, el host de registro enva una notificacin al administrador de
red acerca de los paquetes rechazados.
Para el ejemplo de sondeo de espacio entre puertos, las posibles medidas que tomar incluyen:
n Bloquear los puertos en los cuales se us el sondeo
n Bloquear la direccin IP que envi los paquetes
n Enviar un mensaje de correo electrnico de notificacin al administrador de red
El Firebox enva notificaciones slo si stas son activadas y configuradas en el Log Server usado por su
dispositivo. Para instrucciones detalladas acerca de cmo configurar notificaciones, vea Configurar la base
de datos en la pgina 625.
Inicio Rpido Configurar registros para su red
Puede usar el WatchGuard Log Server y la configuracin de notificacin de poltica para configurar registros
para su red. Los datos del mensaje de registro que sus dispositivos Firebox y Log Servers recogen permiten
monitorear la actividad en su red.
Gua del Usuario 619
Nota Este tpico ofrece una descripcin general de los pasos necesarios para configurar
los registros para su red. Para ms informacin acerca de cada paso, siga en
enlace hacia el tpico detallado para cada paso.
Paso 1 Ejecutar el WatchGuard Server Center Setup Wizard
En otro equipo donde instal el software del Log Server:
1. Haga clic con el botn derecho en la bandeja de sistema y seleccione Abrir el WatchGuard
Server Center.
2. Revise la informacin en la primera pgina del asistente para asegurarse de que tiene todas las
informaciones necesarias para completar el asistente. Haga clic en Siguiente.
3. Ingrese el nombre de su organizacin. Haga clic en Siguiente.
4. Ingrese y confirme la Frase de contrasea del administrador que usar con todos sus servidores
WatchGuard. Haga clic en Siguiente.
5. (Opcional) Ingrese la direccin IP de su Firebox de puerta de enlace. Haga clic en Agregar. Haga
clic en Siguiente.
6. (Opcional) Ingrese su license key del Management Server. Haga clic en Siguiente.
7. Ingrese la Clave de cifrado del Log Server y haga clic en Examinar para seleccionar la ubicacin
de la base de datos del Log Server. Haga clic en Siguiente.
8. Ingrese el domain name del Quarantine Server. Haga clic en Agregar. Haga clic en Siguiente.
9. (Opcional) Descargue e instale del base de datos del WebBlocker. Haga clic en Siguiente.
Puede llevar mucho tiempo descargar e instalar la base de datos. Puede instalar la base de datos
despus si elige no instalarla en el asistente.
10. Revise la configuracin seleccionada. Haga clic en Siguiente.
El asistente configura sus servidores.
Para ms informacin, vea el completo Configurar Servidores de WatchGuard System Manager en la
pgina 501 tpico completo.
Paso 2 Configurar su Log Server
En otro equipo donde instal el software del Log Server:
1. Haga clic con el botn derecho en la bandeja de sistema y seleccione Abrir WatchGuard
Server Center.
3. En el rbol Servidores, seleccione Log Server.
Aparece la pgina Log Server.
n Para definir el tamao mximo de la base de datos o alterar la clave de cifrado para su Log
Server, seleccione la pestaa Configuracin del Servidor.
n Paraconfigurar laeliminacin de informes, copiade seguridadde labase de datos y
configuracinde labase de datos, seleccione la pestaaMantenimiento de la base de datos.
n Para configurar los mensajes de notificacin para su Log Server, seleccione la pestaa
Notificacin.
n Para ver el estado de los dispositivos conectados y configurar los registros, seleccione la
pestaa Registros.
5. Haga clic en Aceptar cuando haya terminado.
Para ms informacin, vea el completo Configurar un Log Server en la pgina 621 tpico completo.
Paso 3 Definir hacia dnde el Firebox enva los mensajes de registro
En el equipo donde haya instalado el WSM, abra el Policy Manager para el Firebox que desea
configurar.
1. En el Policy Manager, seleccione Configurar > Registros.
2. Configure los registros para el almacenamiento interno de Firebox, WatchGuard Log Server y
Servidor Syslog.
Para ms informacin, vea el completo Definir hacia dnde el Firebox enva los mensajes de registro en
la pgina 638 tpico completo.
Paso 4 Configurar Log Servers en su Firebox
Aparece el cuadro de dilogo "Configuracin de Registros".
3. Seleccione un Log Server en la lista. Si hay ms de un servidor en la lista, puede hacer clic en
Arriba o Abajo para cambiar el orden del servidor seleccionado actualmente.
4. Haga clic en OK.
La nueva prioridad de los Log Servers aparece en la lista del WatchGuard Log Server .
Para ms informacin, vea el completo Determinar Prioridad del Log Server en la pgina 641 tpico
completo.
Paso 5 Configurar notificacin en las polticas
1. En el Policy Manager, agregue una poltica o haga doble clic en una poltica para editarla.
2. Haga clic en la pestaa Propiedades y haga clic en Registros.
3. Defina los parmetros para que coincidan con su poltica de seguridad.
Para ms informaciones, vea Agregar polticas en la configuracin en la pgina 342 y Configurar
registros y notificacin para una poltica en la pgina 648.
Paso 6 Usar el LogViewer para ver los datos del mensaje de registro
1. En el WatchGuard System Manager, para abrir el LogViewer, haga clic en .
Aparece el LogViewer de WatchGuard.
2. Para conectarse a un dispositivo, haga clic en .
Aparece el cuadro de dilogo "Conectarse al Log Server".
3. Ingrese la direccin IP y la frase de contrasea del Log Server y haga clic en Aceptar.
Aparece el cuadro de dilogo "Seleccionar Firebox/Servidor".
Gua del Usuario 621
4. Seleccione un dispositivo o Log Server de la lista y haga clic en Aceptar.
Para conectarse a mltiples dispositivos a la vez, seleccione ms de un dispositivo o Log Server.
Aparece una ventana del dispositivo para cada dispositivo seleccionado. La direccin IP del dispositivo
aparece en la barra de ttulo de la ventana. Los contenidos de una ventana del Firebox y del Log Server
son diferentes.
5. Seleccione un mensaje de registro para ver ms informacin acerca del mensaje.
Los detalles del mensaje de registro seleccionado aparecen en el panel "Detalles" en la parte inferior de
la ventana del dispositivo.
Si el panel de detalles no est visible, seleccione Ver > Panel de detalles.
Para ms informacin, vea el completo Usar LogViewer para ver los archivos de registro en la pgina
655 tpico completo.
Configurar un Log Server
Su WatchGuard Log Server recoge los datos de mensaje de registro de cada dispositivo Firebox o XTM
administrado por el WatchGuard System Manager. Puede seleccionar instalar un Log Server en su equipo
de administracin o puede instalarlo en un equipo diferente. Tambin puede aadir Log Servers adicionales
con fines de resguardo y escalabilidad.
Si instala un servidor WatchGuard en un equipo con un firewall diferente del Windows Firewall, debe abrir
los puertos necesarios para que los servidores se conecten a travs del firewall. Si usa un Windows Firewall,
no es necesario alterar la configuracin.
Para ms informacin, vea Instalar Servidores de WatchGuard en equipos con firewalls de escritorio en la
pgina 36.
Cuando instala el Log Server, la base de datos acoplada PosrgreSQL del Log Server se instala
automticamente. Esa es la base de datos predeterminada para el Log Server. Despus de ejecutar el
WatchGuard Server Center Setup Wizard para concluir la configuracin inicial para sus servidores
WatchGuard, puede configurar su Log Server para usar una base de datos PostgreSQL externa. Esa opcin
ofrece mayor escalabilidad para la base de datos de informes.
Para ms informacin, vea Configurar la base de datos en la pgina 625.
Como una funcin aadida, el Log Server puede detectar algunas condiciones de fallas internas. Cuando se
detecta una condicin de falla, el Log Server crea un mensaje de Registro de alarma que incluye detalles
acerca de la falla y enva un correo electrnico de notificacin al administrador especificado.
Para ms informacin, vea Configurar Notificacin en la pgina 628.
Instalar el Log Server
Para instalar el Log Server en un equipo diferente de su equipo de administracin:
1. Ejecute el programa de instalacin del WatchGuard System Manager.
2. Seleccione solo el componente Log Server.
3. Complete el asistente.
Antes de empezar
Antes de configurar el Log Server, debe completar el WatchGuard Server Center Setup Wizard. En el
asistente, se especifica la Log Server encryption key, ubicacin de la base de datos del Log Server y la ruta
del directorio de datos para los archivos de registro.
Para ms informacin acerca del asistente de configuracin, vea Configurar Servidores de WatchGuard
Configurar sistema
Antes de configurar su Log Server, asegrese de que el equipo en el cual el Log Server est instalado tenga
la hibernacin desactivada y tenga el mismo horario del sistema que cualquier dispositivo configurado para
enviar mensajes de registro a ese servidor.
1. Haga clic en Inicio > Panel de control.
2. Seleccione Opciones de energa.
3. Seleccione la pestaa Hibernar y desactvela. Eso sirve para asegurarse de que el Log Server no se
cierra cuando el equipo hiberna.
4. Asegrese de que el Log Server y dispositivos conectados tengan el mismo horario de sistema:
n Iniciar el Firebox System Manager.
n Seleccione Herramientas> Sincronizar hora.
Configurar el Log Server
En el equipo que tenga el software del Log Server instalado:
1. Haga clic con el botn derecho en la bandeja de sistema y seleccione Abrir WatchGuard Server
Center.
Aparece el cuadro de dilogo Conectarse al centro de servidores de WatchGuard.
Gua del Usuario 623
4. Altere la configuracin predeterminada segn sea apropiado para su red:
n Para alterar la configuracin predeterminada del servidor, seleccione la pestaa Configuracin
del servidor.
n Para alterar la configuracin de copia de respaldo y eliminacin automtica de archivos de
registro, seleccione la pestaa Mantenimiento de base de datos.
n Para cambiar la configuracin de notificacin, seleccione la pestaa Notificacin.
n Para cambiar la configuracin de registros, seleccione la pestaa Registros.
Configurar base de datos y encryption key
En el WatchGuard Server Center, es posible definir el tamao mximo de la base de datos para su
WatchGuard Log Server. Tambin puede cambiar la encryption key para su Log Server, definida
anteriormente en el WatchGuard Server Center Setup Wizard.
El Log Server guarda los archivos de registro en una particin de tamao fijo en la base de datos. Cuando la
particin alcanza su tamao mximo, el Log Server crea una nueva particin para los archivos de registro.
Cuando la base de datos del Log Server alcanza el 95% del tamao mximo especificado, depura las
particiones hasta que el tamao de la base de datos sea menor al 95% para hacer espacio para los nuevos
mensajes de registro.
Tambin puede configurar el Log Server para enviar un mensaje de notificacin cuando la base de datos del
Log Server alcanza el tamao especificado.
Para ms informacin acerca de los mensajes de notificacin, vea Configurar Notificacin en la pgina 628.
2. Seleccione la pestaa Configuracin del servidor.
Aparece la pgina Configuracin del servidor.
3. En el cuadro de texto Tamao mximo de la base de datos, ingrese el tamao mximo de la base
de datos del Log Server.
Se puede definir un tamao entre 1 y 10.000 GB para la base de datos.
Aparece el tamao actual de la base de datos y el nmero de GB actualmente disponible.
4. Para alterar la Log Server Encryption Key, en la seccin Configuracin de encryption key, haga clic
en Modificar.
Aparece el cuadro de dilogo Log Server Encryption Key.
5. En el cuadro de texto Nueva clave, ingrese una nueva encryption key para el Log Server.
El cuadro de dilogo "Log Server Encryption Key" se cierra y la encryption key es actualizada con el nuevo valor
seleccionado.
7. Haga clic en Aplicar para guardar sus cambios.
Gua del Usuario 625
Configurar la base de datos
A partir del WatchGuard Server Center, puede configurar la base de datos y seleccionar la ubicacin de su
base de datos de Log Server. Puede elegir usar la base de datos del Log Server de PostgreSQL acoplado o
una base de datos de PostgreSQL externa. Si elige usar una base de datos externa, asegrese de que est
instalada antes de seleccionarla.
Para ms informacin acerca de cmo instalar un WatchGuard Log Server y la base de datos PostgreSQL
acoplada, vea Configurar un Log Server en la pgina 621 y Configurar Servidores de WatchGuard System
Manager en la pgina 501.
2. Seleccione la pestaa Mantenimiento de base de datos.
Aparece la pgina de Mantenimiento de base de datos.
3. Use las secciones siguientes para realizar las configuraciones de su Log Server.
Configurar copia de seguridad de la base de datos del Log Server
Puede activar su Log Server para que automticamente cree una copia de respaldo de los mensajes de
registro, especificar cundo y con qu frecuencia los datos de registros son copiados y seleccionar una
carpeta en la que desee guardar los archivos de copia de respaldo. Tambin puede crear un archivo de
registro de respaldo manualmente en cualquier momento y restaurar un archivo de registro de respaldo a
la base de datos de su Log Server.
Cada archivo de respaldo se guarda en el directorio especificado como un archivo zip que incluye la fecha
en el nombre del archivo.
Para establecer la configuracin de respaldo automtica para su Log Server:
1. Seleccione la casilla de seleccin Hacer copia de seguridad de mensajes de registro
automticamente.
2. En el cuadro de texto Hacer copia de respaldo de datos de registro a cada, ingrese o seleccione
con qu frecuencia hacer la copia de respaldo de los datos de registro.
Aparece la fecha en que se hizo la ltima copia de respaldo de datos de registro.
3. En el cuadro de texto Hacer copia de respaldo de datos de registro en, ingresar o seleccionar la
hora del da para hacer la copia de respaldo de los datos de registro.
Aparece la fecha y hora de la prxima copia de respaldo programada.
4. En el cuadro de texto Ruta de directorio para archivos de copia de respaldo, ingrese la ubicacin
de la carpeta en la que desea guardar el archivo de respaldo.
O haga clic en Examinar para seleccionar la carpeta.
Nota Como su archivo de copia de respaldo del Log Server est en el mismo equipo que
sus archivos de registro de base de datos, recomendamos que configure su Log
Server para salvar los archivos de copia de respaldo en una unidad diferente del
disco duro de su equipo (tal como un disco duro externo o una unidad de cinta.)
Entonces, si tiene un problema con su equipo, an as puede acceder a sus archivos
de copia de respaldo.
Para crear manualmente un archivo de registro de respaldo:
1. Haga clic en Crear respaldo ahora.
Aparece el cuadro de dilogo Copia de respaldo manual.
2. En los cuadros de texto Fecha/hora de inicio, ingrese o seleccione el comienzo del rango temporal
de mensajes de registro que desea incluir en el archivo de respaldo.
3. En los cuadros de texto Fecha/hora de finalizacin, ingrese o seleccione el final del rango temporal
de mensajes de registro que desea incluir en el archivo de respaldo.
4. Haga clic en Resguardar ahora.
Se genera el archivo de respaldo y se guarda en la ubicacin seleccionada. El nombre del archivo de registro es
la fecha en la cual se gener el archivo.
Para restaurar un archivo de registro de copia de respaldo
1. Haga clic en Restaurar un archivo de registro de copia de respaldo.
Aparece el cuadro de dilogo Restaurar un archivo de registro de copia de respaldo.
Gua del Usuario 627
2. (Opcional) Haga clic en Examinar para seleccionar el directorio donde se almacena el archivo de
registro.
Este paso no es necesario si el archivo de respaldo se guarda en la ubicacin especificada en la ruta del
directorio para el cuadro de texto de archivos de respaldo.
3. Desde la lista desplegable Archivo de respaldo, seleccione el archivo de respaldo que desea
restaurar.
4. Para restaurar todos los mensajes de registro que se encuentran en el archivo de respaldo,
seleccione Todo el archivo.
Para restaurar slo los mensajes de registro de un rango de fechas determinado, seleccione Filtrar
por tiempo y seleccione el Horario de inicio y el Horario de finalizacin de los mensajes que desea
restaurar.
5. Haga clic en Restaurar.
Los registros seleccionados se restauran a la base de datos del Log Server.
Puede elegir usar la base de datos PostgreSQL acoplada que es automticamente instalada con su Log
Server o puede usar una base de datos PostgreSQL externa instalada en otro equipo. Se puede usar
cualquier base de datos PostgreSQL. Eso incluye una base de datos configurada con otro WatchGuard Log
Server.
Si selecciona usar una base de datos PostgreSQL externa, asegrese que su dispositivo Firebox o XTMtenga
la poltica configurada para permitir el trfico hacia y desde el puerto especificado para la comunicacin
con la base de datos externa. Si no permite el trfico hacia la base de datos externa a travs del puerto
especificado, el Log Server no puede conectarse a la base de datos externa. Si la base de datos externa
seleccionada no fue instalada con un WatchGuard Log Server, la primera vez que el Log Server se conecte a
la base de datos, configurar la estructura de las tablas de base de datos.
Antes de configurar el Log Server para que use una base de datos externa, asegrese de tener la siguiente
informacin para la base de datos externa:
n Direccin IP del equipo en el cual la base de datos est instalada
n Nmero del puerto que hay que usar para conectarse a la base de datos
n Nombre de usuario y contrasea para el Usuario de base de datos
Nota Si altera la Configuracin de base de datos, debe reiniciar el Log Server para que
los cambios tengan efecto.
Para usar la base de datos PosrgreSQL acoplada:
En la seccin Configuracin de base de datos, seleccione Base de datos acoplada.
La ubicacin de directorio predeterminada para su Log Server aparece en el cuadro de texto. Esa es la ubicacin
seleccionada cuando se ejecut el WatchGuard Server Center Setup Wizard. No se puede alterar esa ubicacin.
Para usar una base de datos PostgreSQL externa:
1. En la seccin Configuracin de base de datos, seleccione Base de datos PostgreSQL externa.
Aparecen las opciones de base de datos externa.
2. En el cuadro de texto Nombre de base de datos, ingrese el nombre de la base de datos externa.
3. En el cuadro de texto Direccin IP, ingrese la direccin IP del equipo en el cual est instalada la base
de datos.
4. En el cuadro de texto Puerto, ingrese o seleccione el puerto a travs del cual el Log Server puede
conectarse la base de datos externa.
5. En el cuadro de texto Usuario de base de datos, ingrese el nombre del usuario que el Log Server
debe usar para contactarse a la base de datos externa.
Nota El nombre de usuario y contrasea de la base de datos no pueden incluir estos
caracteres: @ = , / _ ; # [ ] * ? ` \, y no pueden tener ms de 64 caracteres.
6. En el cuadro de texto Contrasea, ingrese la contrasea para el nombre de usuario seleccionado.
7. Para verificar que esas configuraciones estn correctas, haga clic en Probar conexin.
Si el Log Server no puede contactar la base de datos, aparece un mensaje de error.
Si el Log Server se conecta con xito a la base de datos, aparece un mensaje de configuracin.
Configurar Notificacin
En el WatchGuard Server Center, puede activar su Log Server para que enve mensajes de notificacin
cuando ocurren eventos especificados para polticas, dispositivos y servidores, cuando ocurre un evento de
Gua del Usuario 629
falla en el Log Server o cuando la base de datos del Log Server se acerca al tamao mximo seleccionado.
Cuando selecciona enviar notificaciones para eventos, tambin debe especificar el servidor de correo
electrnico que ser usado para enviar los mensajes de notificacin y las cuentas de correo electrnico
para enviar y recibir los mensajes.
Para ms informacin acerca de eventos de falla para el Log Server, vea la seccin siguiente, Eventos de
falla del Log Server en la pgina 630.
Para ms informacin acerca de cmo definir el tamao mximo de la base de datos del Log Server, vea
Configurar base de datos y encryption key en la pgina 623.
2. Seleccione la pestaa Notificacin.
Aparece la pgina "Notificacin".
3. Para activar la notificacin para eventos de fallas, seleccione la casilla de verificacin Enviar un
correo electrnico de notificacin para eventos de falla.
4. Para activar la notificacin para eventos que ocurren en un dispositivo conectado al Log Server,
seleccione la casilla Enviar un correo electrnico de notificacin para eventos desde cualquier
dispositivo o registros del servidor hacia este Log Server.
5. Para recibir un mensaje de advertencia cuando la base de datos se acerca al umbral seleccionado,
seleccione la casilla Enviar un correo electrnico de notificacin si la base de datos alcanza el
umbral de advertencia.
6. En el cuadro de texto Umbral de advertencia, ingrese o seleccione el lmite del umbral.
7. Use las siguientes secciones para hacer la Configuracin del ServidorSMTP y Configuracin de
Notificacin.
Realizar la Configuracin del ServidorSMTP
Cuando ocurre un evento para el cual seleccion enviar un mensaje de notificacin, el Log Server usa su
servidor SMTP para enviar un correo electrnico de notificacin para los eventos seleccionados. Para que el
correo electrnico de notificacin funcione correctamente, debe especificar la direccin de un servidor de
correo electrnico que el Log Server pueda usar para enviar esos mensajes de correo electrnico.
Antes de configurar el servidor de SMTP, asegrese de tener la direccin correcta para su servidor SMTP y,
si necesario, las credenciales de usuario correctas.
En la seccin Configuracin del servidor SMTP:
1. En el cuadro de texto Servidor de correo electrnico saliente (SMTP) , ingrese la direccin de su
servidor SMTP.
2. Si su servidor de correo electrnico requiere autenticacin, seleccione la casilla Enviar credenciales
al servidor de correo electrnico.
3. En el cuadro de texto Nombre del usuario , ingrese el nombre de usuario para el servidor de correo
electrnico.
4. En el cuadro de texto Contrasea , ingrese la contrasea para el servidor de correo electrnico.
Nota Si el nombre de usuario y contrasea no son requeridos por su servidor SMTP,
puede dejar esos campos en blanco.
Configurar mensaje de notificacin
Puede especificar las cuentas de correo electrnico que sern usadas para enviar mensajes de notificacin
por correo electrnico y seleccionar el texto de asunto para los mensajes. Las cuentas de correo
electrnico seleccionadas deben ser vlidas y reconocidas por su servidor SMTP.
En la seccin Configuracin de Notificacin:
1. En el cuadro de texto Enviar correo electrnico a , ingrese la direccin de correo electrnico
completa de la cuenta a la cual desea enviar el mensaje de notificacin.
2. En el cuadro de texto Enviar correo electrnico desde , ingrese la direccin de correo electrnico
completa de la cuenta desde la cual desea enviar mensajes de notificacin.
3. En el cuadro de texto Asunto , ingrese la lnea de asunto para el correo electrnico de notificacin
de eventos.
4. Para enviar un correo electrnico de notificacin de prueba a la direccin especificada, haga clic en
Probar correo electrnico.
Aparece un mensaje que informa si el correo electrnico de notificacin fue enviado con xito o si hubo falla al
enviarlo.
Eventos de falla del Log Server
Cuando ocurre un evento de falla en el Log Server y los registros para eventos de falla estn activados, el
Log Server enva un mensaje de notificacin acerca del evento de falla. Esos eventos para el Log Server
incluyen fallas de servicio, fallas de sistema y fallas de red del PostgreSQL.
Gua del Usuario 631
Se enva un mensaje de notificacin para esas fallas:
n Conexin de la base de datos perdida
Si se pierde la conexin a la base de datos y no se puede restablecerla inmediatamente, se enva un
mensaje de notificacin. El servidor sigue intentando conectarse a la base de datos hasta que tenga
xito. En servidor enva un correo electrnico de notificacin a cada 15 minutos hasta que la base
de datos se conecte nuevamente al servidor.
n Errores de base de datos
Eso incluye errores de entrada/salida, condiciones de disco lleno, y otras fallas relacionadas a la base
de datos.
n Errores de copia de seguridad de la base de datos
Eso incluye cualquier error que ocurra cuando se hace la copia de seguridad de los datos del
registro (por ejemplo, errores de entrada/salida).
n Error de deteccin de actividad de red
Cuando un dispositivo est conectado al Log Collector, el Log Server verifica si los mensajes de
registro de un dispositivo XTMo Firebox conectado se estn grabando en la base de datos. Si el Log
Server detecta que un dispositivo est conectado, pero no hay registros grabados en la base de
datos por 15 minutos, l enva un mensaje de notificacin.
n Conexin del Report Server perdida
El Log Server monitorea cuando el Report Server lo contacta para recoger mensajes de registro. Eso
suele ocurrir a cada 15 minutos. Si el Report Server no contacta el Log Server despus de tres
intervalos de recoleccin (45 minutos), el Log Server enva un mensaje de notificacin. Si el Report
Server no contact el Log Server desde que ste se inici, no se considera una condicin de falla.
Configurar Registros
A partir del WatchGuard Server Center, puede ver el estado de sus dispositivos Firebox y XTM conectados y
configurar el Visor de Eventos de Windows y la configuracin de ruta de archivo para su Log Server.
2. Seleccione la pestaa Registros.
3. Use las secciones siguientes para realizar las configuraciones de su Log Server.
Ver el estado de sus dispositivos Firebox
La ventana Estado del Firebox muestra la lista de dispositivos WatchGuard conectados al Log Server. Puede
actualizar la vista para actualizar la lista o eliminar dispositivos de la lista.
1. Para ver el estado actual de las conexiones del dispositivo, haga clic en Actualizar.
Aparece un mensaje si no hay dispositivos Firebox conectados al Log Server.
2. Para eliminar un dispositivo de la lista, en la lista Estado del Firebox seleccione un dispositivo. Haga
clic en Eliminar.
El dispositivo seleccionado es removido de la lista Estado del Firebox.
Configurar registros para el Visor de Eventos de Windows
Puede elegir enviar mensajes de registro del servidor al Visor de Eventos de Windows.
1. En la seccin Visor de eventos de Windows, seleccione la casilla Enviar mensajes de registro al
Visor de Eventos de Windows.
2. En la lista desplegable Seleccione un nivel de registro, seleccione el nivel que asignar a los mensajes
de registro:
n Error
n Advertencia
n Informacin
n Depurar
Gua del Usuario 633
Para ms informacin acerca de los niveles de registro, vea Niveles de mensaje de registro en la
pgina 617.
Guardar mensajes de registro en un archivo de registro
Puede elegir guardar los mensajes de registro del servidor en un archivo que puede revisar
posteriormente. Esa opcin es activada por defecto.
Para alterar la configuracin del archivo de registro:
1. Asegrese de que la casilla Enviar mensajes de registro a un archivo est seleccionada si desea
guardar los mensajes de registro en un archivo.
2. En el cuadro de texto Ubicacin del archivo, ingrese la ruta hacia el directorio en el cual desea
almacenar el archivo de registro.
O haga clic en Examinar para seleccionar el directorio.
3. En la lista desplegable Seleccione un nivel de registro, seleccione el nivel que asignar a los mensajes
de registro:
n Error
n Advertencia
n Informacin
n Depurar
pgina 617.
Mover el directorio de datos de registro
Puede usar el WatchGuard Server Center Setup Wizard para elegir un nuevo directorio donde almacenar
sus archivos de datos de registro. El Log Server entonces almacena todos los archivos de datos de registro
en ese directorio. Despus de concluir ese asistente, no se puede alterar el directorio de datos de registro a
partir de la aplicacin WatchGuard Server Center.
Para alterar la ubicacin hacia donde el Log Server enva los datos de registro, se debe configurar el Log
Server nuevamente. Para ello, edite el archivo wlserver.ini y ejecute el WatchGuard Server Center Setup
Wizard nuevamente. Cuando ejecute el asistente nuevamente, especifique la nueva ubicacin del
directorio, pero los datos en el directorio antiguo no son transferidos al nuevo directorio. Debe transferir
los datos manualmente desde el directorio antiguo hacia el nuevo antes de usar el asistente para especificar
el nuevo directorio para el Log Server.
Cuando ejecuta el WatchGuard Server Center Setup Wizard para reconfigurar su Log Server, la pantalla que
aparece puede variar segn los servidores WatchGuard que estn instalados en su equipo. Las instrucciones
abajo suponen que su equipo slo tiene el Management Server, el Log Server y el Report Server instalados.
Si tiene otros servidores WatchGuard instalados, las opciones adicionales pueden aparecer en el asistente.
Para ms informacin acerca de esas pginas vea el Configurar Servidores de WatchGuard System Manager
en la pgina 501 tpico completo.
Nota Como tanto el Log Server como el Report Server usan la base de datos PostgreSQL,
si tiene esos servidores instalados en el mismo equipo y transfiere la base de datos,
sta es transferida en ambos servidores.
Paso 1 Detener servicios
2. Detener e iniciar sus servidores WatchGuard.
3. Cerrar el WatchGuard Server Center.
4. Detener el servicio PostgreSQL-8.2.
n En el Panel de Control de Windows, seleccione Herramientas administrativas > Servicios.
Aparece la ventana "Servicios".
n Seleccione PostgreSQL-8.2 y haga clic en Detener.
El servicio se detiene.
Paso 2 Transferir los datos de registro
1. Crear el nuevo directorio de datos de registro.
Por ejemplo, E:\WatchGuard\log_directory\logs.
2. Ir a la carpeta del directorio de datos de registro original y copiarla entera. Asegrese de incluir
todas las carpetas y archivos en el directorio.
Por ejemplo, vaya a carpeta C:\Documents and Settings\WatchGuard\logs y copie la
subcarpeta \datos y todos los archivos en ella.
3. Pegue el directorio de datos de registro original en la nueva ubicacin.
Por ejemplo, E:\WatchGuard\log_directory\logs. Asegrese de pegar todo el directorio de
datos. En esos ejemplos, es la carpeta \datos.
Paso 3 Ejecutar el Asistente de Configuracin
1. Abra el archivoC:\Documents and Settings\WatchGuard\wlogserver\wlogserver.ini y
cambie el valor ExitoAsistente en "0".
2. Eliminar el archivo: \Program Files\WatchGuard\wsm11.0\postgresql\install\pg_
install.ini.
3. Abra el WatchGuard Server Center. El Estado para el Log Server es Servidor no configurado.
5. Para iniciar el WatchGuard Server Center Setup Wizard para el Log Server, haga clic en Haga clic
aqu para iniciar el asistente de configuracin para el Log Server.
Aparece el mensaje "El WatchGuard Server Center Setup Wizard se iniciar ahora".
6. Haga clic en Aceptarpara iniciar el asistente.
Aparece el Asistente del WatchGuard Server Center.
8. Ingrese y confirme la misma Clave de cifrado que defini cuando concluy el WatchGuard Server
Center Setup Wizard por primera vez.
9. En el campo Ubicacin de base de datos, seleccione la nueva ubicacin del directorio de datos de
registro creada en el Paso 2 anteriormente. No incluya la carpeta \datos.
Por ejemplo, E:\WatchGuard\log_directory\logs.
Gua del Usuario 635
11. Complete el WatchGuard Server Center Wizard.
El asistente instala el programa PostgreSQL y configura el Log Server con la nueva ubicacin del directorio del
Log Server.
ltimos pasos
1. En la pgina Log Server, haga clic en Actualizar.
El Log Server se inicia y aparece la pgina de configuracin del Log Server.
2. Reinicie el Report Server.
Iniciar y detener Log Server
Puede iniciar o detener manualmente el servicio del Log Server en cualquier momento. No hace falta
desconectarse de su Log Server.
Para iniciar el servicio, en el WatchGuard Server Center:
2. Haga clic con el botn derecho en Log Server y seleccione Iniciar servidor.
El servicio se inicia y Log Server aparece en la parte superior de la pgina Log Server.
Para detener el servicio, en el WatchGuard Server Center:
2. Haga clic con el botn derecho en Log Server y seleccione Detener servidor.
3. Haga clic en S para confirmar que desea detener el servicio del Log Server.
El servicio se detiene y Log Server - Detenido aparece en la parte superior de la pgina Log Server.
Definir la configuracin de Registros para sus
servidores WatchGuard
En las pginas de Registros del WatchGuard Server Center para el Management Server, Report Server y
Quarantine Server, puede configurar hacia dnde cada servidor enva los datos de mensaje de registro.
Puede elegir enviar mensajes de registro a un WatchGuard Log Server , Visor de Eventos del Windows y/o a
un archivo de registro.
1. En el rbol Servidores , seleccione el servidor que desea configurar.
3. Use las secciones siguientes para realizar las configuraciones de su servidor.
Configurar registros para un WatchGuard Log Server
Puede seleccionar enviar mensajes de registro desde sus servidores hacia uno o ms WatchGuard Log
Servers. Cuando agrega ms de un Log Server, puede usar la lista de prioridad del Log Server para
seleccionar el orden en el cual el servidor se conecta con cada Log Server. Si el servidor no puede
conectarse al Log Server con la prioridad ms alta (Prioridad 1), l se conecta con el siguiente Log Server en
la lista. Si el servidor examina cada Log Server en la lista y no puede conectarse, l intenta conectarse al
primer Log Server en la lista nuevamente.
Para activar los registros:
1. En la seccin WatchGuard Log Server, seleccione la casilla de verificacin Enviar mensajes de
registro al WatchGuard Log Server(s).
2. Haga clic en Agregar para aadir un Log Server a la lista.
Aparece el cuadro de dilogo "Agregar Log Server".
3. Inserte la direccinIP. Ingrese y confirme la clave de cifrado para el Log Server.
4. Haga clic en OK.
El Log Server aparece en la lista.
5. Para agregar otro Log Server, repita los Pasos 2 - 4.
6. Para cambiar la informacin para un Log Server, seleccione un servidor en la lista y haga clic en
Editar.
7. Para alterar la prioridad de los servidores en la lista, seleccione un servidor y haga clic en Arriba o
Abajo.
El Log Server seleccionado va hacia arriba o hacia abajo en la lista de Prioridad.
8. Para eliminar un servidor de la lista, seleccione el servidor y haga clic en Quitar.
9. En la lista desplegable haga clic en Seleccionar un nivel de registro para elegir el nivel que asignar a
los mensajes de registro:
Gua del Usuario 637
n Error
n Advertencia
n Informacin
n Depurar
pgina 617.
Para desactivar los registros para un WatchGuard Log Server , limpie la casilla Enviar mensajes de
registro al WatchGuard Log Server(s).
Configurar registros para el Visor de Eventos de Windows
Puede elegir enviar mensajes de registro al Visor de Eventos de Windows.
1. En la seccin Visor de eventos de Windows, seleccione la casilla Enviar mensajes de registro al
Visor de Eventos de Windows.
2. Haga clic en la lista desplegableSeleccionar un nivel de registro para elegir el nivel que asignar a los
mensajes de registro:
n Error
n Advertencia
n Informacin
n Depurar
pgina 617.
Guardar mensajes de registro en un archivo de registro
Puede elegir guardar los mensajes de registro en un archivo al que pueda acceder posteriormente. Esa
opcin es activada por defecto.
Para alterar la configuracin del archivo de registro:
1. Asegrese de que la casilla Enviar mensajes de registro a un archivo est seleccionada si desea
guardar los mensajes de registro en un archivo.
2. Haga clic en Examinar para seleccionar el directorio donde el archivo de registro es almacenado.
3. En la lista desplegable haga clic en Seleccionar un nivel de registro para elegir el nivel que asignar a
los mensajes de registro:
n Error
n Advertencia
n Informacin
n Depurar
pgina 617.
Definir hacia dnde el Firebox enva los mensajes
de registro
Puede configurar su Firebox para registrar eventos que ocurren en el dispositivo. Despus puede examinar
los archivos de registro y tomar decisiones respecto a cmo aumentar la seguridad de su red. Debe
informar al Firebox hacia donde enviar los mensajes de registro.
2. Configure los registros para el almacenamiento interno de Firebox, WatchGuard Log Server y
servidor Syslog.
WatchGuard Log Server
Seleccione la casilla Enviar mensajes de registro a los Log Servers en esas
direcciones IP para enviar mensajes de registro a sus WatchGuard Log Servers. Un
Firebox puede enviar mensajes de registro a un WatchGuard Log Server y un servidor
syslog a la vez.
Haga clic en Configurar para aadir o editar las direccionesIP para sus Log Servers.
Puede aadir hasta cinco Log Servers a la lista. Para ms informaciones, vea Agregar
un Log Server en la pgina 639.
Gua del Usuario 639
Servidor Syslog
Seleccione la casilla de verificacin Enviar mensajes de registro al Servidor Syslog en
esa direccinIP para enviar mensajes de registro a su Servidor Syslog. Un Firebox
puede enviar mensajes de registro a un WatchGuard Log Server y un servidor syslog a
la vez.
Haga clic en Configurar para aadir o editar las direccionesIP para su Servidor Syslog.
Para ms informaciones, vea Configurar syslog en la pgina 642.
Almacenamiento Interno de Firebox
Seleccione Enviar mensajes de registro en el almacenamiento interno de Firebox
para almacenar mensajes de registro en el Firebox.
Estadsticas de desempeo
Por defecto, el Firebox enva mensajes de registro acerca de las estadsticas de
desempeo de la interfaz externa y ancho de banda de VPN a su archivo de registro.
Para desactivar ese tipo de mensaje de registro, vea Configurar registro de estadstica
de rendimiento en la pgina 644.
Nivel de registro de diagnstico
Para definir el nivel de registros de diagnstico para ser grabado en su archivo de
registro o para Mensajes de registro de Firebox (Control de trfico) cada categora de
registro, vea Defina el nivel de registro de diagnstico.
3. Para enviar un mensaje de registro a los destinos de mensaje de registro seleccionados cuando se
cambia la configuracin para su Firebox, seleccione Enviar mensajes de registro cuando se altera la
configuracin de este Firebox.
4. Haga clic en OK.
Agregar un Log Server
Si selecciona la casilla de verificacin Enviar mensajes de registro a los Log Servers en esas direcciones IP,
Definir hacia dnde el Firebox enva los mensajes de registro, se puede agregar uno o ms Log Servers al
Firebox.
registro a los Log Serverss en esas direcciones IP.
Aparece el cuadro de dilogo "Configurar Log Servers".
Gua del Usuario 641
Aparece el cuadro de dilogo Agregar Procesador de Eventos.
5. En el campo Direccin de Log Server , ingrese la direccin IP del Log Server que desea agregar.
6. En los cuadros de texto Clave de cifrado y Confirmar clave, ingrese la Log Server clave de cifrado
definida cuando Configurar un Log Server.
7. Haga clic en OK.
El cuadro de dilogo "Agregar Procesador de Eventos" desaparece.
Guardar los cambios y verificar registros
1. Haga clic en Aceptar para cerrar el cuadro de dilogo Configurar Log Servers.
2. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de registros.
4. Para verificar que el Firebox enve los mensajes de registro correctamente, en el WSM, seleccione
Herramientas >Firebox System Manager.
En la seccin Detalle al lado de Log Server, aparece la direccin IP del host de registro.
Determinar Prioridad del Log Server
La lista de prioridad del Log Server le permite seleccionar el orden en el cual el Firebox se conecta a sus
Log Servers. Se puede definir un Log Server como el principal (Prioridad 1) y otros Log Servers como
servidores de resguardo. Si el Firebox no puede conectarse al Log Server principal, intenta conectarse al
siguiente Log Server en la lista de prioridad. Se el Firebox examina cada Log Server en la lista y no puede
conectar, l intenta conectarse al primer Log Server en la lista nuevamente. Cuando el Log Server principal
no est disponible, el Firebox se conecta al Log Server de resguardo, el Firebox intenta reconectarse al Log
Server principal a cada 6 minutos. Eso no afecta la conexin de Firebox con el Log Server de resguardo
hasta que el Log Server principal est disponible.
Para crear una lista de prioridad del Log Server:
registro a los Log Servers en esas direcciones IP.
Aparece el cuadro de dilogo "Configurar Log Servers".
4. Seleccione un Log Server en la lista y haga clic en Arriba o Abajo para cambiar el orden.
5. Haga clic en OK.
Aparece el cuadro de dilogo "Configuracin de Registros". El nuevo orden de prioridad de los Log Servers
aparece en la lista del WatchGuard Log Server.
Configurar syslog
El syslog es una interfaz de registro desarrollada para UNIX, pero tambin usada por diversos sistemas
informticos. Es posible configurar su Firebox para enviar informacin de registro a un servidor syslog. Un
Firebox puede enviar mensajes de registro a un WatchGuard Log Server y un servidor syslog a la vez, o
enviar mensajes de registro a slo uno u otro. Los mensajes de registro syslog no son cifrados.
Recomendamos que no seleccione un host de syslog en la interfaz externa.
Gua del Usuario 643
2. En la seccin Servidor Syslog, seleccione la casilla de verificacin Enviar mensajes de registro al
Servidor Syslog en esa direccin IP.
3. En el campo de direccin, , ingrese la direccin IP del servidor syslog.
Aparece el cuadro de dilogo "Configurar Syslog".
5. Para incluir la informacin de marca de tiempo de su Firebox en los detalles del mensaje de
registro, seleccione la casilla Incluir marca de tiempo en mensaje Syslog.
6. Para incluir el nmero de serie del Firebox en los detalles de mensaje de registro, seleccione la
casilla de verificacin Incluir el nmero de serie del Firebox en los mensajes Syslog.
7. Para cada tipo de mensaje de registro, seleccione el recurso de syslog al cual desea asignarlo.
Si selecciona NINGUNO, los detalles para ese tipo de mensaje no son enviados al host de syslog.
Para ms informacin acerca de los diferentes tipos de mensajes, vea Tipos de mensajes de registro
en la pgina 616.
El recurso de syslog se refiere a uno de los campos en el paquete syslog y tambin al archivo al cual
syslog enva un mensaje de registro. Puede usar Local0 para mensajes syslog de alta prioridad, como
alarmas. Puede usar Local1Local7 para asignar prioridades a otros tipos de mensajes de registro
(nmeros inferiores tienen mayor prioridad). Vea su documentacin de syslog para ms
informacin acerca de los recursos de registro.
8. Para desechar su configuracin y restaurar la configuracin predeterminada de syslog, haga clic en
Restaurar predeterminados.
9. Haga clic en Aceptar para cerrar el cuadro de dilogo Configurar Syslog.
10. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de registros.
Configurar registro de estadstica de rendimiento
Puede seleccionar si ver los datos de registros de estadstica de desempeo en la pestaa Control de
trfico del Firebox System Manager. Para ver esos datos de registro, se debe activar el registro de
estadstica de desempeo. Cuando se activa esa seleccin, el Firebox enva mensajes de registro acerca de
estadsticas de desempeo de la interfaz externa y ancho de banda de la VPN a su Log Server.
Activar o desactivar el registro de estadstica de desempeo
Gua del Usuario 645
2. Haga clic en Estadsticas de desempeo.
Aparece el cuadro de dilogo "Estadsticas de desempeo".
3. Para activar el registro de estadstica de desempeo, seleccione la casilla Estadsticas de interfaz
externa y ancho de banda deVPN.
Para desactivar el registro de estadstica de desempeo, limpie la casilla Estadsticas de interfaz
externa y ancho de banda deVPN.
4. Haga clic en OK.
Defina el nivel de registro de diagnstico
De Policy Manager puede seleccionar el nivel de registros de diagnstico para ser grabado en su archivo de
registro o para Control de trfico. No recomendamos que seleccione el nivel de registros ms alto excepto
si un representante del soporte tcnico se lo solicite mientras se soluciona un problema. Cuando usa el
nivel de registro de diagnstico ms alto, el archivo de registro puede llenarse muy rpidamente y el
desempeo del dispositivo WatchGuard suele reducirse.
Para ms informacin acerca del Control de trfico, vea Mensajes de registro de Firebox (Control de trfico)
en la pgina 682.
1. Seleccione Configurar > Registros.
2. Haga clic en Nivel de registro de diagnstico.
Aparece el cuadro de dilogo "Nivel de registro de diagnstico".
Gua del Usuario 647
3. Seleccione una categora en la lista.
Aparece una descripcin de la categora en el cuadro Descripcin.
4. Use el control deslizante de Configuracin para definir el nivel de detalles que incluir en el mensaje
de registro para cada categora.
n Apagado
n Error
n Advertencia
n Informacin
n Depurar
Cuando Apagado (el nivel ms bajo) est seleccionado, los mensajes de diagnstico para esa
categora estn desactivados.
5. Para enviar mensajes de registro acerca del trfico enviado por Firebox, seleccione la casilla de
verificacin Activar registros de trfico enviado por el propio Firebox.
6. Para activar el Firebox para que recoja un rastreo de paquete para los paquetes IKE, seleccione la
casilla de verificacin Activar rastreo de paquete IKE para el almacenamiento interno de Firebox.
7. Haga clic en Aceptar para guardar sus cambios.
El cuadro de dilogo "Nivel de registro de diagnstico" se cierra y aparece el cuadro de dilogo " Configuracin
de registros".
Configurar registros y notificacin para una
poltica
Puede usar el Policy Manager para configurar el registro y notificacin para cada poltica en su
configuracin.
1. En el Policy Manager, agregue una poltica o haga doble clic en una poltica para editarla.
Aparece el cuadro de dilogo "Propiedades de nueva poltica" o "Editar Propiedades de Poltica".
Gua del Usuario 649
4. Defina los parmetros para que coincidan con su poltica de seguridad.
Para ms informacin acerca de los campos en el cuadro de dilogo Registros y Notificacin, vea
Determinar preferencias de registro y notificacin
Las configuraciones para registro y notificacin son similares en toda la configuracin del Firebox. Para cada
lugar donde se definan las preferencias de registros y notificacin, prcticamente todos los campos escritos
abajo estn disponibles.
Enviar mensaje de registro
Cuando selecciona esa casilla de verificacin, el Firebox enva un mensaje de registro cuando ocurre
un evento.
Puede seleccionar enviar mensajes de registro a un almacenamiento interno de Firebox,
WatchGuard Log Server o Servidor Syslog. Para obtener pasos detallados para seleccionar un destino
para sus mensajes de registro, vea Configurar base de datos y encryption key en la pgina 623.
Enviar captura SNMP
Cuando selecciona esa casilla de verificacin, el Firebox enva una notificacin de evento al sistema
de administracin del SNMP. El Protocolo de Administracin de Red Simple (SNMP, en sus siglas en
ingls) es un conjunto de herramientas usado para monitorear y administrar redes. Una captura
SNMP es una notificacin de evento que el Firebox enva al sistema de administracin de SNMP
cuando una condicin especificada ocurre.
Nota Si selecciona la casilla Enviar captura SNMP y todava no configur el SNMP,
aparece un cuadro de dilogo que solicita que lo haga. Haga clic en S para ir al
cuadro de dilogo Configuracin de SNMP. No puede enviar capturas SNMP si no
tiene el SNMP configurado.
Para ms informacin acerca del SNMP, vea Acerca del SNMP en la pgina 70.
Para activar las capturasSNMP o solicitudes de informes, vea Activar Capturas y estaciones de
administracin de SNMP en la pgina 72.
Enviar notificacin
Cuando selecciona esa casilla, el Firebox enva una notificacin cuando el evento especificado
ocurre. Por ejemplo, cuando una poltica permite un paquete.
Para configurar la notificacin, vea Acerca de las notificaciones en la pgina 618.
Puede seleccionar cmo el Firebox enva la notificacin:
n CorreoelectrnicoEl LogServerenvaunmensajedecorreoelectrnicocuandoocurreelevento
n Ventana emergente El Log Server abre un cuadro de dilogo cuando ocurre el evento.
Definir:
n Intervalo de lanzamiento El tiempo mnimo (en minutos) entre diferentes
notificaciones. Ese parmetro evita que ms de una notificacin sea enviada en un
espacio corto de tiempo para el mismo evento.
n Repetir conteo Esa configuracin controla con qu frecuencia ocurre un evento.
Cuando el nmero de eventos alcanza el valor seleccionado, una notificacin especial de
repeticin se inicia. Esa notificacin crea una entrada de registro repetida acerca de
aquella notificacin especificada. La notificacin empieza nuevamente despus que
ocurre el nmero de eventos especificado en ese campo.
Por ejemplo, defina el Intervalo de lanzamiento en 5 minutos y el Repetir conteo en 4. Un sondeo
de espacio entre puertos se inicia a las 10:00 y sigue a cada minuto. Eso da inicio a los mecanismos
de registro y notificacin.
Esas acciones ocurren en esos momentos:
n 10:00 Sondeo de espacio entre puertos inicial (primer evento)
n 10:01 Inicia primera notificacin (un evento)
n 10:06 Inicia segunda notificacin (reporta cinco eventos)
Gua del Usuario 651
n 10:11 Inicia tercera notificacin (reporta cinco eventos)
n 10:16 Inicia cuarta notificacin (reporta cinco eventos)
El intervalo de lanzamiento controla los intervalos de tiempo entre cada evento (1, 2, 3, 4 y 5). Eso
se defini en 5 minutos. Multiplique el "repetir conteo" por el intervalo de lanzamiento. Ese es el
intervalo de tiempo que un evento debe continuar para que se inicie la repeticin de notificacin.
Use scripts, utilitarios y software de terceros con
el Log Server
Puede usar varios scripts, utilitarios y aplicaciones a partir de la lnea de comando para realizar
determinadas tareas con el Log Server. Tambin puede usar un software de terceros con el Log Server.
Esas tareas son asignadas para ayudar con problemas que surjan fuera de las operaciones normales del Log
Server. El WatchGuard no soporta el uso de scripts y utilitarios para procedimientos. selos totalmente por
su cuenta y riesgo.
Puede usar scripts, utilitarios, aplicaciones y software de terceros para:
n Hacer copia de seguridad y restaurar base de datos del Log Server
n Restaurar un archivo de registro de copia de seguridad
n Importar un archivo de registro hacia un Log Server
n Usar Crystal Reports con el Log Server
En los ejemplos de cdigo presentados en estos tpicos, backup.db es usado como nombre de archivo
predeterminado para los contenidos de su base de datos. Puede elegir un nombre de archivo diferente
cuando realiza el procedimiento. Adems, la letra X es usada en los nombres de rutas para denominar letras
o nmeros que pueden ser diferentes para cada usuario. Por ejemplo, si el nombre de ruta incluye un
directorio, como wsm11.x, debera buscar un directorio con nombre similar, tal como wsm11.0. Si tiene
mltiples versiones del WatchGuard System Manager o Fireware XTMinstaladas, puede ser necesario
repetir los procedimientos para cada versin.
Hacer copiadeseguridadyrestaurar basededatos del LogServer
Puede usar el utilitario pg_dump para crear un archivo que presente el contenido completo de la base de
datos de su Log Server. Ese archivo se llama dump. Puede usarlo para restaurar la base de datos en el
servidor actual o mover el Log Server hacia un servidor diferente.
1. Abrir un aviso de comando. Ingresar cd \Program
Files\WatchGuard\wsm10.x\postgresql\bin y presione Entrar para cambiar su directorio de
trabajo.
Use el nmero de versin apropiado para la instalacin de su WSM.
2. Ingrese pg_dump -v -f "c:\db.backup" -F c -Z 5 -U wguser wglog y presione Entrar.
3. Cuando solicitado, ingrese la frase de contrasea de su Administrador.
Los contenidos de la base de datos de su Log Server son guardados en la ruta y nombre de archivo
especificados, en su directorio de trabajo actual (seleccionado en el Paso 1).
4. Si desea mover la base de datos del Log Server hacia un equipo diferente, Mover el directorio de
datos de registro y Configurar un Log Server.
Copiar el archivo de copia de seguridad hacia un nuevo equipo de Log Server y detener el Log
Server.
Para ms informaciones, vea Iniciar y detener Log Server en la pgina 635.
5. En un aviso de comando, altere su directorio de trabajo actual para la ubicacin de su archivo
backup.db.
Por ejemplo, si guard el archivo dump de la base de datos en la raz de su directorio C:, ingrese cd\
y presione Entrar para cambiar su directorio de trabajo hacia esa ubicacin.
6. Para restaurar la copia de seguridad de la base de datos en un nuevo equipo del Log Server que no
tenga una base de datos creada, ingrese pg_restore -U wguser -v "c:\db.backup" -C -d
wglog y presione Entrar.
Cuando solicitado, ingrese la frase de contrasea de su Administrador y presione Entrar
nuevamente.
La base de datos es creada y el contenido del archivo de copia de seguridad es importado hacia el nuevo Log
Server.
Para restaurar la copia de seguridad de la base de datos en un equipo de Log Server existente que ya
tenga una base de datos del Log Server, ingrese pg_restore -U wguser -v "c:\db.backup" -
c -d wglog y presione Entrar.
Cuando solicitado, ingrese la frase de contrasea de su Administrador y presione Entrar.
La base de datos Log Server es sobrescrita con los contenidos del archivo de volcado de base de datos.
7. Iniciar el Log Server. Para ms informaciones, vea Iniciar y detener Log Server en la pgina 635.
Restaurar un archivo de registro de copia de seguridad
Puede restaurar un archivo de datos de registro de copia de seguridad hacia su Log Server. Antes de
restaurar los datos de registro, debe configurar su Log Server. Para ms informaciones, vea Configurar un
Log Server en la pgina 621.
Si configura su Log Server para que haga copia de seguridad de mensajes de registro automticamente, el
Log Server guarda los contenidos de la base de datos en un archivo CSV en un directorio que elija. Para cada
dispositivo que enva mensajes de registro al Log Server, se crea un conjunto de cuatro archivos separados.
Cuando restaura los archivos de registro del servidor de resguardo, debe convertir e importar el conjunto
de archivos para cada dispositivo, uno a la vez.
Para restaurar los datos de registro en un Log Server, primero debe convertir el archivo CSV en un archivo
XML con la aplicacin wlconvert.exe . Si configur un Log Server de resguardo, los archivos de registro de
cada Log Server se encuentran en un archivo CSV separado.
Para ms informacin acerca de cmo configurar su Log Server para que haga copia de seguridad de los
archivos de registro, vea Configurar la base de datos en la pgina 625.
La aplicacin wlconvert.exe es una aplicacin de lnea de comando. Antes de ejecutar el wlconvert para
convertir los archivos de copia de seguridad, debe tener la informacin para dos argumentos: -d
(directorio) y -f (nombre de archivo). El directorio es la ruta de la carpeta en la cual los archivos de copia de
seguridad son guardados, y es opcional. El nombre de archivo es la parte sn_timestamp del nombre de
archivo de cada uno de los cuatro archivos del conjunto, en el cual sn es el nmero de serie del dispositivo
y timestamp (marca horaria) es el formato YYYYMMDDhhmmss (ao, mes, dia, hora, minutos, segundos).
Gua del Usuario 653
Por ejemplo, si sus archivos de copia de seguridad del Log Server estn ubicados en el directorioC:\old_
logs, y el sn_timestamp para el conjunto de archivos es 209188121122_0070731000006, la informacin de
argumento eswlconvert -d C:\old_logs -f 209188121122_0070731000006.
Para convertir el conjunto de archivos de registro:
1. Para alterar el directorio de trabajo actual, en un aviso de comando, ingrese
cd \Program Files\WatchGuard\wsm11.x\wlcollector\bin y presione Entrar.
2. Ingrese wlconvert -d <directory> y -f<filename>.
Use la informacin de directorio y nombre de archivo para su Log Server.
3. Presione Entrar en su teclado.
El conjunto de archivos de registro es convertido a un archivo XML con el sn_timestamp a partir de
archivos separados como un nombre de archivo. Por ejemplo, 209188121122_
0070731000006.xml.
El nuevo archivo XML aparece en la carpeta especificada. Si no se especific un directorio, el archivo XML
aparece en el mismo directorio que el conjunto de los cuatro archivos CSV.
Despus de haber convertido el archivo de datos del registro del formato CSV al XML, puede importar el
archivo XML hacia el Log Server con la aplicacin wlimport.exe. Para importar un archivo de registro, siga
los pasos en Importar un archivo de registro hacia un Log Server en la pgina 653.
Importar un archivo de registro hacia un Log Server
Se puede importar archivos de registro XML hacia su Log Server con la aplicacin wlimport.exe. Los archivos
de copia de seguridad del Log Server pueden estar en formato CSV. Si desea restaurar sus archivos de
registro de copia de seguridad del Log Server, primero debe convertir los archivos CSV en XML. Para ms
informacin acerca de cmo convertir archivos CSV al formato XML, vea Restaurar un archivo de registro
de copia de seguridad en la pgina 652.
La aplicacin wlimport.exe es una aplicacin de lnea de comando. Antes de ejecutar el wlimport para
importar los archivos de copia de seguridad, debe tener la informacin para dos argumentos: -e (la clave de
cifrado del registro) e -i (el nombre de exhibicin del Log Server).
Nota Slo se necesita la informacin del argumento -i para importar archivos de XML
desde un Log Server antiguo hacia un Log Server nuevo. Si desea importar los
archivos de copia de seguridad de su Log Server actual, el argumento -i no es
necesario.
Para importar el archivo de registro XML:
1. Para alterar el directorio de trabajo actual, en un aviso de comando, ingrese cd \Program
Files\WatchGuard\wsm11.x\wlcollector\bin y presione Entrar.
Reemplace .x en la ruta arriba por el nmero de versin de la instalacin de su WSM.
2. Ingrese wlimport -e<log encryption key> -I <log server display name>.
Use la clave de cifrado y el nombre de exhibicin para su Log Server.
3. Presione Entrar en su teclado.
El archivo XML es importado hacia su Log Server. Un contador aparece y muestra cuntas entradas
de registro fueron importadas.
La importacin de archivo lleva varios minutos. La duracin de tiempo es determinada por el tamao de los
archivos de registro.
Despus que se concluye la importacin de archivo, puede Usar LogViewer para ver los archivos de
registro.
Usar Crystal Reports con el Log Server
Si su organizacin usa Crystal Reports, puede usar la base de datos del Log Server como una fuente de
informacin. Debe instalar el software de terceros para esa funcionalidad. Adems, recomendamos que
instale los Crystal Reports en un equipo separado del Log Server para un mejor desempeo.
Nota En esos procedimientos, usamos 192.168.0.1 como direccin IP del Log Server y
192.168.0.2 como direccin IP del cliente remoto. Esos slo son ejemplos de
direcciones IP. Asegrese de reemplazarlas por las direcciones IP correctas de su
Log Server y cliente remoto cuando realice esos procedimientos.
Configurar su equipo de Log Server
1. Detenga el Log Server y los servicios de base de datos PostgreSQL.
2. Abra el archivo de configuracin de PostgreSQL en un editor de texto:
C:\Documents and Settings\WatchGuard\logs\data\postgresql.conf
3. Para permitir las conexiones de base de datos desde otras computadoras, en el archivo
postgresql.conf, cambie la configuracin listen_addresses del Log Server a:
listen_addresses = '*'
O bien,
listen_addresses = 'localhost, 192.168.0.1'
Si es necesario, retire el smbolo de comentario (#) del comienzo de la lnea.
4. Guarde el postgresql.conf.
5. Abra el archivo pg_hba.conf.
6. Agregue una lnea similar a:
hospedar todos 192.68.0.2/32 md5
En este ejemplo, 192.168.0.2 es un cliente remoto a partir del cual desea permitir el acceso.
7. Reinicie los servicios de Log Server y PostgreSQL.
Configurar el equipo de Crystal Reports
1. Instale el Crystal Reports en un equipo separado del equipo de Log Server.
2. Descargue e instale el controlador ODBC para el PosrgreSQL.
3. En el men de Inicio de Windows, seleccione Panel de control > Herramientas administrativas >
Fuentes de datos (ODBC).
4. En la pestaa DSN usuario, haga clic en Agregar.
Gua del Usuario 655
5. Seleccione Unicode de PostgreSQL.
6. Configure la conexin con esta informacin:
n Fuente de datos PostgreSQL30W
n Base de datos wglog
n Servidor 127.0.0.1
n Puerto 5432
n Nombre de usuario wguser
n Contrasea [Frase de contrasea del administrador]
7. Haga clic en Probar para probar la conexin.
8. Abra Crystal Reports.
9. SeleccioneBase dedatos >Iniciar ofinalizar sesindel servidor> Crearnueva conexin> ODBC(RDO).
10. Seleccione la fuente de datos creada en los Pasos 3 - 7 y cree la conexin.
Tambin puede utilizar la interfaz de programacin de aplicaciones de servicios web de WatchGuard para
exportar datos a Crystal Reports. Para ms informacin, vea Utilice la interfaz de programacin de
aplicaciones de servicios web para recuperar datos de registro e informes.
Usar LogViewer para ver los archivos de registro
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivo de
registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabras claves o
campos de registro especificados.
Abrir el LogViewer
1. Abra el WatchGuard System Manager
2. Haga clic en en la barra de herramienta del WatchGuard System Manager.
O seleccione Herramientas > Registros > LogViewer .
Aparece el LogViewer de WatchGuard.
Conectarse a un dispositivo
Puede conectase a los dispositivos Firebox, Log Servers o FireClusters. Cuando se conecta a un Firebox,
puede filtrar los datos de registro basado en el tipo de mensaje de registro, fecha y hora y bsquedas de
cadenas. Cuando se conecta a un Log Server, slo puede filtrar los datos por fecha y hora o por bsquedas
simples de cadenas de texto.
Para ms informacin acerca de los detalles de mensaje de registro, vea Determinar Preferencias de
usuario de LogViewer en la pgina 658 y Detalles del mensaje de registro en la pgina 660.
1. Haga clic en en la barra de herramientas de LogViewer.
O seleccione Archivo > Conectarse al Log Server.
Aparece el cuadro de dilogo "Conectarse al Log Server".
2. Ingrese la direccinIP, el nombre de usuario y la frase de contrasea de su Log Server.
Aparece el cuadro de dilogo "Conectarse al Log Server". Aparece el cuadro de dilogo "Seleccionar
Firebox/Servidor/FireCluster".
Nota Si es la primera vez que se conecta a ese dispositivo, servidor o clster, aparece una
Advertencia de Certificacin. Debe aceptar el certificado para continuar y
conectarse.
4. Seleccione uno o ms dispositivos Firebox, Log Servers o FireCluster en la lista y haga clic en
Aceptar.
Para seleccionar dispositivos mltiples, presione las teclas Shift o Control en su teclado.
Aparece una ventana del dispositivo para cada dispositivo seleccionado. La direccin IP del dispositivo aparece
Gua del Usuario 657
en la barra de ttulo de la ventana. Los contenidos de una ventana de Firebox y una ventana de Servidor son
diferentes.
5. Seleccione un mensaje de registro para ver ms informacin acerca del mensaje.
Los detalles del mensaje de registro seleccionado aparecen en el panel "Detalles" en la parte inferior de la
ventana del dispositivo.
6. Si el panel de detalles no est visible, seleccione Ver > Panel de detalles para activarlo.
Para ms informacin acerca de la exhibicin de datos del dispositivo, vea Determinar Preferencias de
usuario de LogViewer en la pgina 658.
Abrir registros para el Log Server principal
Si especific el Log Server principal, puede abrir los archivos de registro para ese servidor a partir de la
ventana de LogViewer antes de conectarse a l. Es posible ver entonces la lista de dispositivos Firebox que
estn actualmente registrados en el Log Server principal. Debe seleccionar un Log Server principal para
activar esa opcin.
Para ms informacin acerca de cmo seleccionar un Log Server principal, vea Determinar Preferencias de
usuario de LogViewer en la pgina 658.
Para abrir registros para el Log Server principal:
1. Abra el LogViewer.
O seleccione Archivo >Abrir registros para.
Aparece el cuadro de dilogo Seleccionar Firebox/Servidor/FireCluster con una lista de dispositivos conectados.
Para ms informacin acerca del LogViewer, vea Usar LogViewer para ver los archivos de registro en la
pgina 655.
Determinar Preferencias de usuario de LogViewer
Puede ajustar el contenido y el formato de la ventana de LogViewer. Puede seleccionar un Log Server
principal para que el LogViewer se conecte automticamente y ajustar la configuracin de la funcin de
Bsqueda. Tambin puede configurar la apariencia de la ventana LogViewer, seleccionar los tipos de
registros que aparecen y los detalles incluidos para cada tipo de mensaje.
Para definir preferencias de usuario de LogViewer:
1. En el LogViewer, seleccione Ver > Preferencias.
Aparece el cuadro de dilogo "Preferencias del usuario".
2. Seleccione una pestaa para configurar la ventana LogViewer.
n La pestaa General incluye opciones para configurar un Log Server principal y los parmetros
de bsqueda.
n La pestaa Verincluye opciones para configurar la ventana del LogViewer y configurar
columnas para cada tipo de mensaje de registro.
Configurar Bsqueda y Log Server principal
Puede especificar un Log Server para que el LogViewer automticamente se reconecte, y configurar la
funcin de Bsqueda del LogViewer.
En el cuadro de dilogo Preferencias del usuario:
1. Seleccione la pestaa General.
Gua del Usuario 659
2. Si desea que el LogViewer automticamente se reconecte a un Log Server especfico, en la seccin
Log Server principal, ingrese la Direccin IP, Nombre de usuario y Frase de contrasea para su Log
Server principal.
Si no desea especificar un Log Server principal, mantenga esos campos en blanco.
3. En la seccin Configuracin de bsqueda , ingrese el nmero mximo de consultas de bsqueda
que mantener en su historial de bsqueda.
4. Seleccione en la lista desplegable Nmero de registros que incluir en el Log Excerpt.
Realizar configuracin de ventana del LogViewer y de columna
Tambin puede especificar la informacin que aparece en las ventanas del LogViewer.
En el cuadro de dilogo Preferencias del usuario:
1. Seleccione la pestaa Ver.
2. Seleccione el tipo de mensajes de registro que desea incluir a partir de la lista desplegable Tipo de
registro predeterminado.
3. Seleccione si desea Mostrar detalles de mensaje de registro para los mensajes de registro.
4. Seleccione el tamao de fuente que desea usar para las entradas de la tabla de registro en la lista
desplegable Tamao de fuente de las entradas de la tabla de registro.
5. Seleccione Configuracin de columna para incluir cada tipo de mensaje de registro.
Cada pestaa incluye una lista de detalles para ese tipo de mensaje. Use esas pestaas para
seleccionar las columnas de detalles que deben aparecer para cada tipo de mensaje.
Haga clic en Arriba o Abajo para cambiar el orden de las columnas.
6. Haga clic en OK.
Para ms informacin acerca de los tipos de mensaje de registro disponibles, vea Detalles del mensaje de
Detalles del mensaje de registro
Puede seleccionar los detalles que aparecen en cada tipo de mensaje de registro por columnas que
selecciona incluir en los tipos diferentes de mensajes de registro. Lo que sigue es una lista completa de
todas las columnas disponibles. No todas las columnas aparecern para todos los tipos de mensajes.
Gua del Usuario 661
Columna
mensaje de
registro
Descripcin
Informacin
adicional
Detalles adicionales acerca del mensaje de registro para registros de proxy. Por ejemplo:
nombre de host, nombre de archivo, regla_nombre, contenido_tipo.
ID de alarma El nmero asociado a la alarma.
Nombre de
alarma
La categora de la alarma (Sistema, IPS, AV, Poltica, Proxy, Sondeo, Negacin de servicio o
Trfico).
Tipo de
alarma
El tipo de alarma (correo electrnico, ventanas emergentes).
Proveedor
de la
aplicacin
El nombre del servidor que provee los datos.
Bytes
recibidos
El nmero de bytes recibidos por un dispositivo (WAN o tnel) dentro del perodo de
registro de las estadsticas.
Bytes
enviados
El nmero de bytes enviados por un dispositivo (WAN o tnel) dentro del perodo de
registro de las estadsticas.
ID de
conexin
El nmero de la conexin del servidor.
Fecha-hora La fecha y hora en el servidor cuando se recibi el mensaje de registro.
Interfaz de
destino
El nombre de la interfaz de destino.
IP de destino La direccin IP de destino para ese paquete.
IP de
destino-NAT
La forma como la NAT (Traduccin de direccin de red) fue manejada para la direccin IP
de destino para ese paquete.
Destination
Port
El destination port para ese paquete.
Destination
Port-NAT
La forma como la NAT (Traduccin de direccin de red) fue manejada para el destination
port para ese paquete.
Mensaje
detallado
Todos los campos de mensaje de registro, separados por comas (,).
Dispositivo El nombre del dispositivo que envi el registro de desempeo (WAN o tnel).
Direccin El sentido de la accin. Puede ser entrante o saliente.
Disposicin La disposicin del paquete. Puede ser negar o permitir.
Mensaje El campo de mensaje.
Columna
mensaje de
registro
Descripcin
Cdigo del
mensaje
El cdigo para el tipo de mensaje.
Marca de
tiempo del
mensaje
(s.ms)
La marca de tiempo para el mensaje en el formato segundos.milisegundos.
Varios
Detalles
Detalles adicionales de las columnas seleccionadas a incluir para el tipo de mensaje de
registro. Por ejemplo: RC (Cdigo de devolucin), Extensin del paquete y TTL (Time to
Live, o Tiempo de vida del paquete en segundos).
Poltica El nombre de la poltica en el Policy Manager que manej ese paquete.
Prioridad El nivel de prioridad del mensaje de registro.
ID del
proceso
El ID para el proceso concluido en la accin de mensaje de registro.
Protocolo El protocolo utilizado en ese paquete.
Accin de
proxy
El nombre de la accin de proxy que maneja ese paquete. Una accin de proxy es un
conjunto de reglas para un proxy que puede ser aplicado a ms de una poltica.
ID de
solicitud
El ID para el proceso del servidor solicitado en el mensaje de registro.
Cdigo de
retorno
Cdigo de devolucin para el paquete.
Interfaz de
origen
El nombre dado a la interfaz de origen para ese paquete (como definido en el Policy
Manager).
IP de origen La direccin IP de origen de ese paquete.
IP de origen-
NAT
La forma como la NAT (Traduccin de direccin de red) fue manejada para la direccin IP
de origen para ese paquete.
Puerto de
origen
El puerto de origen para ese paquete.
Puerto de
origen-NAT
La forma como la NAT (Traduccin de direccin de red) fue manejada para el puerto de
origen para ese paquete.
Tipo
El tipo de mensaje de registro. Todos los registros incluyen un tipo de registro en el
mensaje: "al" para alarmas, "ev" para eventos, "db" para depuracin, "pe" para registros
de estadsticas y "tr" para trfico.
Gua del Usuario 663
Para obtener instrucciones para seleccionar detalles del mensaje de registro, vea Determinar Preferencias
de usuario de LogViewer en la pgina 658.
Para ms informacin acerca de los diferentes tipo de mensajes de registro, vea Tipos de mensajes de
Usar el Administrador de Bsqueda
Puede usar el Administrador de Bsqueda del LogViewer para crear reglas y luego seleccionar los datos
presentados en el LogViewer. Puede crear bsquedas personalizadas y guardarlas para que sea posible
ejecutarlas una y otra vez. Tambin puede remover o editar una bsqueda guardada y limpiar el historial de
bsqueda.
Abrir el Administrador de bsqueda
Para ms informaciones acerca del LogViewer, vea Usar LogViewer para ver los archivos de registro
en la pgina 655.
O seleccione Herramientas> Administrador de Bsqueda .
Aparece el cuadro de dilogo Administrador de Bsqueda.
Crear una consulta de bsqueda
1. Haga clic en Agregar bsqueda en el panel Tareas.
2. Ingrese un nombre para su bsqueda en el campo Nombre.
3. Seleccione los Parmetros de bsqueda.
Para ms informacin acerca los parmetros de bsqueda, vea Configuracin de parmetros de
bsqueda en la pgina 665.
Guardar una bsqueda
Despus de crear una consulta de bsqueda, puede guardarla para que pueda ejecutarla nuevamente.
Haga clic en Guardar bsqueda en el panel Tareas.
Aparece el nombre de bsqueda en la lista Mis Bsquedas.
Remover una bsqueda
Cuando ya no quiera incluir una bsqueda guardada en la lista Mis Bsquedas, puede quitarla. Slo puede
quitar una bsqueda a la vez.
1. Seleccione una bsqueda en la lista Mis Bsquedas.
2. Haga clic en Quitar bsqueda en el panel Tareas.
El nombre de la bsqueda desaparece de la lista Mis Bsquedas.
Editar una bsqueda
Puede editar una bsqueda guardada para alterar los parmetros de bsqueda.
1. Seleccione el nombre de bsqueda en la lista Mis Bsquedas.
Aparece el nombre de bsqueda seleccionado en el campo Nombre.
2. Edite los parmetros de bsqueda.
3. Haga clic en Guardar bsqueda en el panel Tareas.
Aparece el mensaje "Guardar bsqueda".
Ejecutar una bsqueda
Puede ejecutar una consulta de bsqueda nueva o guardada.
Para ejecutar una bsqueda guardada:
1. Seleccione un nombre de bsqueda en la lista Mis Bsquedas.
2. Haga clic en Ejecutar bsqueda en el panel Tareas.
Los mensajes de registro que coinciden con los parmetros de consulta de bsqueda aparecen en la ventana
del LogViewer.
Para ejecutar una nueva consulta de bsqueda:
1. Siga los pasos en Crear una consulta de bsqueda para definir la consulta de bsqueda.
2. Haga clic en Ejecutar bsqueda en el panel Tareas.
Los mensajes de registro que coinciden con los parmetros de consulta de bsqueda aparecen en la ventana
del LogViewer.
Gua del Usuario 665
Limpiar historial de bsqueda
Puede remover todas las bsquedas recientes del historial de bsqueda.
En el panel Tareas, haga clic en Limpiar historial de bsqueda.
Configuracin de parmetros de bsqueda
Seleccione entre las opciones disponibles para cada campo para crear una consulta de bsqueda.
Para ms informacin acerca las consultas de bsqueda, vea Usar el Administrador de Bsqueda en la
pgina 663.
Para configurar los Parmetros de bsqueda:
1. Seleccione el tipo de mensaje de registro en el cual desea buscar en la lista desplegable Tipo de
mensaje de registro.
n Todos los registros
n Trfico
n Alarma
n Evento
n Depurar
n Estadstica
n Server
2. Para aplicar columna, operador y reglas de valores a su consulta de bsqueda, haga clic en Agregar o
Editar.
n Columna Seleccione una columna en la cual buscar en la lista desplegable.
n Operador Seleccione la operacin que aplicar en su bsqueda: IGUAL A, NO IGUAL A,
MAYOR QUE (>), MENORQUE(<), CONTIENE.
Algunos operadores estn disponibles slo para columnas especficas. Si un operador no aparece en la
n Valor Ingrese un valor a partir del cual el operador buscar.
3. Haga clic en Aceptar para guardar la configuracin de reglas de bsqueda.
4. En las listas desplegables Ordenar por, seleccione el orden que exhibir los resultados de bsqueda y
si desea verlos de forma ascendiente o descendiente.
Puede elegir cualquier columna que pueda ser ordenada y est disponible para el tipo de mensaje
de registro seleccionado.
5. Seleccione las Opciones de exhibicin para la regla de bsqueda.
n Regla Si elige Y, slo se exhiben los resultados que coinciden con todas las reglas. Si elige O,
los resultados que coinciden con cualquiera de las reglas son exhibidos. Si hay slo una regla en
su bsqueda, esa configuracin no se aplica.
n Coincidencias Seleccione si los resultados de la consulta de bsqueda deben Incluir o Excluir
los mensajes de registro que coinciden con los parmetros definidos en sus reglas de
bsqueda.
Filtrar mensajes de registro por tipo y tiempo o ejecutar una
bsqueda de cadena
El LogViewer incluye filtros de tipo y de hora que pueden ser usados para mostrar tipos especficos de
mensaje de registro para un perodo de tiempo definido. Tambin puede usar la funcin de bsqueda de
cadena para encontrar mensajes de registro que incluyan una serie determinada de caracteres. Eso puede
ser til cuando soluciona o depura un problema.
Filtrar mensajes de registro por tipo y tiempo
1. Haga clic en un botn de tipo de registro para filtrar los mensajes de registro por tipo.
El LogViewer ordena los mensajes de registro y muestra slo mensajes del tipo seleccionado.
n Trfico
n Alarma
n Evento
n Depurar
n Estadstica
2. Haga clic en y seleccione Filtro personalizado.
Aparece el cuadro de dilogo "Filtro personalizado fecha-hora".
Gua del Usuario 667
3. Seleccione una Fecha y hora de inicio y una Fecha y hora de trmino.
n Haga clic en los calendarios para seleccionar el rango de fechas.
n Haga clic en las flechas Hora y Minuto para seleccionar el rango de horario.
4. Haga clic en OK.
Los datos del mensaje de registro para el horario seleccionado aparecen en la ventana del LogViewer.
Ejecutar una bsqueda de cadena
Se puede Usar el Administrador de Bsqueda para buscar detalles especficos en los mensajes de registro, o
puede ejecutar una bsqueda de cadena en el LogViewer.
1. En la lista desplegable en la parte superior de la ventana del LogViewer, ingrese una cadena
especfica de texto que buscar en los registros.
Por ejemplo, ingrese Proxy HTTP para buscar todos los mensajes de registro de Proxy HTTP.
2. Haga clic en .
Para elegir cmo los resultados aparecen en el LogViewer, haga clic en la lista desplegable y
seleccione una opcin:
Mostrar resultados solamente
Excluye todos los mensajes de registro que no coinciden con su bsqueda en la ventana del
LogViewer. El mensaje original seleccionado est resaltado.
Resaltar resultados
Incluye todos los mensajes de registro en la ventana, pero resalta slo aquellos que coinciden
con su bsqueda.
Bsquedas recientes guardadas
Incluye las bsquedas guardadas en el Administrador de Bsqueda. Seleccione una bsqueda
de la lista para ejecutar en los mensajes de registro actualmente en la ventana Dispositivo.
El LogViewer busca en los mensajes de registro y aplica la configuracin de bsqueda seleccionada.
Usar el Log Excerpt para filtrar los resultados de bsqueda
El LogViewer incluye opciones de bsqueda que pueden ser usadas para encontrar un evento especfico
que ocurri en su Firebox. Despus de haber encontrado un mensaje de registro especfico, puede usar el
Log Excerpt para ver los mensajes de registro que el Log Server registr antes y despus del mensaje de
registro seleccionado. Tambin puede elegir el nmero de registros (50 - 250) que desea ver, adems del
mensaje de registro seleccionado. Eso puede ayudar a revisar otros eventos ocurridos al mismo tiempo que
se soluciona un problema de red.
Tambin puede usar el Log Excerpt para comparar mensajes de registro de dos dispositivos diferentes para
depurar un problema. Por ejemplo, puede usar esa funcin para revisar los mensajes de registro de los
dispositivos de extremo cuando tiene un problema con un tnel VPN.
Definir el nmero de Log Excerpts
1. En el LogViewer, seleccione Ver > Preferencias.
Aparece el cuadro de dilogo "Preferencias del usuario".
Gua del Usuario 669
3. En la seccin Configuracin de bsqueda, seleccione el Nmero de registros a incluir en el Log
Excerpt en la lista desplegable al lado.
La configuracin predeterminada es de 100.
4. Haga clic en OK.
Usar Log Excerpt para refinar los resultados de bsqueda
Para usar el Log Excerpt debe ejecutar una bsqueda de una cadena de texto dentro de los mensajes de
registro.
1. En el LogViewer, conctese a un Log Server o Firebox.
2. Seleccione un tipo de mensaje de registro y ejecute una bsqueda de cadena o cree una consulta
de bsqueda personalizada.
3. Seleccione un mensaje de registro en la ventana LogViewer.
4. Haga clic con el botn derecho en el mensaje de registro y seleccione Mostrar Log Excerpt.
O presione la tecla F5.
El LogViewer filtra el resultado de bsqueda y muestra el nmero de registros definidos cercanos a la marca de
tiempo del mensaje de registro seleccionado.
5. Haga clic en para remover los filtros y volver a la vista original en la ventana LogViewer.
Ejecutar tareas de diagnstico local
Puede usar el LogViewer para ejecutar tareas de diagnstico en cualquier direccin IP o host. Las tareas de
diagnstico incluyen Ping, Tracert y NSLookup.
O seleccione Herramientas > Diagnstico local y seleccione una tarea.
Aparece el cuadro de dilogo "Diagnstico local".
2. Seleccione una tarea en la lista desplegable Nombre de la tarea.
n Ping Asegrese de tener activa una direccin IP o host.
n Tracert Rastrear la rutahacia ladireccin IP o host y ver el tiempode transferenciade laruta.
n NSLookup Verificar el nombre del servidor y direccin IP real de la direccin IP o host
seleccionado.
3. Ingrese una direccin IP o nombre de host en el campo Parmetros.
4. Haga clic en Ejecutar tarea.
Aparecen los resultados de la tarea en el campo "Resultados".
Gua del Usuario 671
5. Para imprimir los resultados de la tarea, haga clic en Imprimir resultados.
Aparece el cuadro de dilogo "Imprimir".
6. Seleccione los parmetros de impresin y haga clic en Imprimir.
Importar y exportar datos al LogViewer
Puede usar el LogViewer para ver datos de los archivos de registro de la base de datos existente o para
exportar los datos seleccionados hacia un archivo de base de datos.
Importar datos
1. En la barra de herramientas de LogViewer, haga clic en .
O seleccione Archivo > Importar datos.
Aparece el cuadro de dilogo "Importar datos".
2. Examine para seleccionar un archivo de base de datos.
Los datos seleccionados aparecen en una nueva ventana del Firebox o Servidor.
Para ms informacin acerca de las ventanas del servidor LogViewer, vea Usar LogViewer para ver los
archivos de registro en la pgina 655.
Exportar datos
1. Seleccione los mensajes de registro que exportar en la ventana del Firebox o servidor de
LogViewer.
2. En la barra de herramientas de LogViewer, haga clic en .
O seleccione Archivo > Exportar datos seleccionados.
Aparece el cuadro de dilogo "Exportar datos seleccionados" con el nombre de archivo predeterminado
exhibido en el campo Nombre de archivo.
3. Examine para seleccionar un directorio en el cual desea guardar el archivo de base de datos.
4. Si necesario, ingrese un nuevo nombre para el archivo de base de datos en el campo nombre de
archivo.
El archivo de base de datos es guardado en el directorio seleccionado.
Enviar correo electrnico, imprimir o guardar mensajes de
registro
Despus de seleccionar uno o ms mensajes de registro en el LogViewer, los puede enviar por correo
electrnico, imprimir o guardar. Para ms informaciones acerca del LogViewer, vea Usar LogViewer para
ver los archivos de registro en la pgina 655.
Enviar un mensaje de registro por correo electrnico
2. Seleccione Archivo> Enviar seleccin como y seleccione una de las siguientes opciones:
n Valores separados por comas (*.csv)
n Formato de documento porttil (*.pdf)
Un mensaje de correo electrnico se abre con el mensaje de registro adjunto con el formato de archivo elegido.
Imprimir un mensaje de registro
2. Seleccione Archivo > Imprimir seleccin.
Aparece el cuadro de dilogo "Imprimir".
3. Seleccione una impresora y las opciones de impresin.
4. Haga clic en Imprimir.
Guardar un mensaje de registro
2. Seleccione Archivo> Guardar seleccin como y seleccione una de las siguientes opciones:
n Valores separados por comas (*.csv)
n Pgina web (*.htm, *html)
n Formato de documento porttil (*.pdf)
n Lenguaje de marcas extensible (*.xml)
3. Seleccione una ubicacin e ingrese un nombre de archivo.
Gua del Usuario 673
22
Monitorear su Firebox
Acerca del Firebox System Manager (FSM)
Firebox System Manager (FSM) de WatchGuard ofrece una interfaz para monitorear todos los componentes
de sus dispositivos Firebox y el trabajo que realizan. Puede ver:
n Estado bsico de Firebox y de red (pestaa Panel delantero)
n Mensajes de registro de Firebox (Control de trfico)
n Exhibicin visual del uso del ancho de banda (pestaa Medidor de ancho de banda)
n Exhibicin visual de uso de polticas
n Estadsticas de desempeo y Trfico (pestaa Informe de Estado)
n Usuarios autenticados (Lista de autenticacin)
n Ver o cambiar la lista de Sitios Bloqueados (pestaa Sitios bloqueados)
n Estadsticas de servicios de suscripcin (pestaa Servicios de suscripcin)
Tambin puede iniciar esas aplicaciones desde el Firebox System Manager:
n El Policy Manager es una herramienta que puede usar para realizar, alterar y guardar archivos de
configuracin en sus dispositivos Firebox.
Para ms informaciones, vea Acerca del Policy Manager en la pgina 336
n El HostWatch es una interfaz grfica del usuario que muestra las conexiones entre diferentes
interfaces de Firebox.
Para ms informaciones, vea Acerca de las HostWatch en la pgina 710.
n El Performance Console es un utilitario que se usa para crear grficos que muestran el desempeo
de diferentes partes del Firebox.
Para ms informaciones, vea Acerca del Performance Console en la pgina 716.
n Registro de comunicacin guarda los mensajes referentes a conexiones entre el Firebox y el
Firebox System Manager.
Para ms informaciones, vea Registro de comunicacin en la pgina 723.
Puede usar el Firebox System Manager para:
n Ver y administrar Certificados de Firebox
n Iniciar el Firebox System Manager
n Reiniciar o apagar su Firebox
n Calcular la suma de comprobacin de Fireware XTM
n Ver y sincronizar teclas de funcin
n Sincronizar la hora del sistema
n Limpiar cach de ARP
n Limpiar alarmas
n Regenerar clave de tneles BOVPN
n Controlar FireCluster
n Alterar frases de contrasea
Iniciar el Firebox System Manager
Puede usar el Firebox System Manager (FSM) para ver el estado de su Firebox conectado. Antes de usar el
FSM, el WatchGuard System Manager debe estar abierto y conectado a un dispositivo. Se puede abrir ms
de una ventana de FSMpara mostrar el estado de diferentes dispositivos Firebox, pero debe abrir una
ventana a la vez.
Para ms informaciones, vea Iniciar el WatchGuard System Manager en la pgina 32 y Se conecte a un
dispositivo WatchGuard en la pgina 32.
1. En el WatchGuard System Manager, seleccione la pestaa Estado del dispositivo.
2. Seleccione el Firebox para ser examinado por el Firebox System Manager.
3. Haga clic en .
O seleccione Herramientas > Firebox System Manager.
Aparece el Firebox System Manager.
Puede ser que necesite esperar algunos segundos para que el Firebox System Manager se conecte al
Firebox y entonces podr ver la informacin de estado.
Desconectarse y reconectarse a un Firebox
Puede detener e iniciar la conexin monitoreada a su Firebox mientras la ventana de FSMan sigue abierta.
Eso permite que se detenga el flujo de datos al FSMdesde el dispositivo monitoreado. Tambin puede
iniciar el flujo de datos nuevamente.
Para desconectar el FSMdel Firebox y detener la conexin monitoreada:
1. Iniciar FSM.
2. Haga clic en .
El estado del dispositivo cambiar a "no monitoreado".
Para conectar el FSMdel Firebox e iniciar la conexin monitoreada:
1. Iniciar FSM.
2. Haga clic en .
O seleccione Archivo >Conectar.
El estado del dispositivo cambia a Conectado.
Gua del Usuario 675
Defina el intervalo de actualizacin y pause la exhibicin
En la parte inferior de la ventana, cada pestaa del Firebox System Manager (FSM) incluye una lista
desplegable para definir el intervalo de actualizacin y un botn de Pausa para detener la exhibicin.
Intervalo de actualizacin
El intervalo de actualizacin es el intervalo de sondeo o el tiempo que FSMespera antes de actualizar la
exhibicin. Puede cambiar la cantidad de tiempo (en segundos) que el FSMespera antes de obtener nueva
informacin del Firebox y enviar las actualizaciones a la pantalla.
Antes de seleccionar un intervalo, asegrese de examinar con qu frecuencia desea ver la nueva
informacin comparado a la carga que el intervalo seleccionado pone sobre el Firebox. Un intervalo de
tiempo ms breve ofrece una exhibicin ms precisa, pero puede afectar el desempeo de la red.
Asegrese tambin de examinar el intervalo de actualizacin en cada pestaa. Cuando una pestaa recibe
nueva informacin para exhibicin, el texto Actualizando... aparece al lado de la lista desplegable Intervalo
de actualizacin.
Haga clic en la lista desplegable Intervalo de actualizacin para seleccionar la duracin entre
actualizaciones de ventanas.
O ingrese un valor personalizado en este campo.
Pausar/Continuar
Para detener temporalmente el flujo de informacin a partir del dispositivo:
Haga clic en Pausar.
El botn cambia para Continuar.
Para actualizar la informacin en la ventana nuevamente:
Haga clic en Continuar.
El botn cambia para Pausar.
Estado bsico de Firebox y de red (pestaa Panel
delantero)
El/La pestaa Panel delantero del Firebox System Manager muestra la informacin bsica acerca de su
Firebox, su red y el trfico de red. Tambin muestra las advertencias acerca de su dispositivo o sus
componentes.
Parainstrucciones paraabrir el Firebox SystemManager, veaIniciar el Firebox SystemManager enlapgina674.
Para detalles acerca del estado de red y Firebox, vea:
n Exhibicin visual del trfico entre interfaces
n Volumen de trfico, carga de procesador y estado bsico
n Firebox estado
n Servicios de suscripcin y estado del tnel VPN
Advertencias y Notificaciones
Cualquier advertencia para su dispositivo WatchGuard aparece en la pestaa Panel delantero en la lista
arriba de todas las otras informaciones de estado. Si hay una accin que pueda considerar una advertencia
o notificacin, tambin aparece un botn en el ngulo superior derecho de la ventana.
Gua del Usuario 677
Activar ahora
Si el Firebox no fue activado todava, aparece un aviso en la lista de Advertencias y aparece el botn
Activar ahora.
Haga clic en Activar ahora para ir al sitio web de LiveSecurity Service donde puede obtener una
tecla de funcin para el Firebox.
Renovar ahora
Si los servicios de WatchGuard System Manager (WSM) pronto se caducan, aparece un aviso en la
lista de Advertencias y aparece el botn Renovar ahora.
Haga clic en Renovar ahora para ir al sitio web de LiveSecurity Service para renovar los servicios.
Failback de WAN
Si configura WAN mltiples pero no activa la failback de la conexin automtica, cuando ocurre un
evento de conmutacin por error de WAN aparece el botn Failback de WAN.
Haga clic en Failback de WAN para realizar la failback hacia la conexin de conmutacin por error
configurada.
Expandir y cerrar vistas de rbol
Para expandir una parte de la pantalla:
Haga clic en el icono de ms (+) al lado de la entrada.
O haga doble clic en la entrada.
Para cerrar una parte de la pantalla:
Haga clic en el icono de menos () al lado de la entrada.
Si no aparece el icono de ms o menos, no hay informacin adicional disponible.
Exhibicin visual del trfico entre interfaces
En el ngulo superior izquierdo de la ventana, el Firebox System Manager (FSM) tiene una pantalla que
muestra el sentido del trfico para las interfaces de Firebox. La pantalla tambin muestra si el trfico actual
est permitido o negado en cada interfaz. La pantalla puede tener la forma de un tringulo o una estrella.
Los puntos de la estrella o del tringulo muestran el trfico que fluye por las interfaces. Un punto verde
muestra el trfico permitido en aquella interfaz. Un punto rojo muestra o que el trfico est negado o que
parte del trfico est negada mientras otro trfico est permitido. Cada punto muestra las conexiones
entrantes y las conexiones salientes con diferentes flechas. Cuando el trfico fluye entre dos interfaces, las
flechas se encienden en el sentido del trfico.
Pantalla en tringulo
En la figura del tringulo, los puntos del tringulo muestra el trfico de red. Los puntos muestran slo la
condicin de ocioso o negado. Una excepcin es cuando hay mucho trfico de VPN de ruta
predeterminada. El trfico de VPN de ruta predetermina se refiere a paquetes que son enviados por una
VPN a un Firebox configurado como puerta de enlace predeterminada para una red de VPN. En ese caso, el
indicador de nivel de trfico de FSMpuede mostrar un trfico muy intenso, pero no se ven las luces verdes
cuando ms trfico de VPN de ruta predetermina entra y sale de la misma interfaz.
Si un Firebox slo tiene tres interfaces configuradas, cada ngulo del tringulo es una interfaz. Si un
dispositivo tiene ms de tres interfaces, cada ngulo del tringulo representa un tipo de interfaz. Por
ejemplo, si tiene seis interfaces configuradas con una externa, una de confianza y cuatro interfaces
opcionales, el ngulo Todas opcionales en el tringulo representa las cuatro interfaces opcionales.
Pantalla en estrella
En la figura de estrella, el lugar donde los puntos de unen puede mostrar una de dos condiciones:
Gua del Usuario 679
n Roja (negar) El Firebox niega una conexin en aquella interfaz.
n Verde (permitir) Hay trfico entre esa interfaz y una interfaz diferente (pero no en el centro) de
la estrella. Cuando hay trfico entre esa interfaz y el centro, el punto entre esas interfaces aparece
como flechas verdes intermitentes.
La pantalla en estrella muestra todo el trfico de entrada y salida de la interfaz central. Una flecha se mueve
desde la interfaz central hacia una interfaz de nodo para mostrar el flujo de trfico por el Firebox. El trfico
entra por la interfaz central y sale por la interfaz de nodo. Por ejemplo, si eth1 est en el centro y eth2 es
un nodo, una flecha verde muestra que el trfico fluye de eth1 a eth2.
La pantalla en estrella queda diferente segn el tipo de Firebox conectado. El nmero de nodos en la
estrella cambia para que coincida con el nmero de interfaces en su dispositivo. Una interfaz est ubicada
en el centro de la estrella y despus cada interfaz adicional aparece en un nodo de la estrella. Por ejemplo,
si su dispositivo tiene 6 interfaces, la estrella tiene 5 nodos y si su dispositivo tiene 10 interfaces, la estrella
tiene 9 nodos.
Si usa la figura en estrella, puede personalizar la interfaz que aparece en el centro.
Para personalizar la interfaz:
Haga clic en el nombre de la interfaz o en su punto.
La interfaz se mueve hacia el centro de la estrella. Todas las otras interfaces se mueven en el sentido
horario.
Si mueve la interfaz hacia el centro de la estrella, puede ver todo el trfico entre aquella interfaz y todas las
otras interfaces. La pantalla predeterminada muestra la interfaz externa en el centro.
Para modificar la interfaz:
Haga clic con el botn derecho dentro del rea de exhibicin y seleccione Modo tringulo o Modo
estrella.
Volumen de trfico, carga de procesador y estado bsico
El Firebox System Manager muestra el volumen de trfico, la carga del procesador y el estado bsico en el
panel delantero.
Abajo de La Pantalla de Trfico de Seguridad est el indicador de volumen de Trfico, el indicar de carga
del procesador y la informacin de estado bsica (Detalle). Los dos grficos de barras muestran el volumen
de trfico y la capacidad del Firebox.
Firebox estado
El Firebox System Manager (FSM) muestra la informacin de estado bsico en el lado derecho de la pestaa
Panel delantero.
Estados y alertas
n Estado del Firebox Eso incluye la versin del dispositivo y la cadena del patch.
n Advertencias stas aparecen cuando hay actualizaciones para Servicios de Seguridad disponibles,
o cuando los Servicios de Suscripcin u otros recursos pronto caducarn. Para renovar, hacer clic en
el botn Renovar ahora que aparece en el ngulo superior derecho de la ventana FSM.
Firebox, FireCluster y detalles de interfaz
En la pestaa Panel delantero, expandir las entradas para ver:
n La direccin IP de cada interfaz de Firebox y el modo configuracin de la interfaz externa.
n Si FireCluster est configurado, si los dispositivos miembros de FireCluster estn disponibles.
Tambin aparece la hora en que la configuracin de los dispositivos miembros fueron actualizados
por la ltima vez.
Gua del Usuario 681
Si puede expandir las entradas para cada interfaz nuevamente, puede ver:
n Direccin IP, puerta de enlace y mscara de red de cada interfaz configurada
n Direccin de Control de Acceso de Medios (MAC) de cada interfaz
n Nmero de paquetes y bytes enviados y recibidos desde el ltimo reinicio de Firebox
n Estado de el enlace fsico (un icono del enlace o interfaz en color significa que la interfaz o enlace
est configurado, a su vez, un icono oscuro seala que la interfaz o enlace est desactivado)
Certificados y su estado actual
El FSMmuestra los certificados en el Firebox y su estado actual Para certificados vlidos, FSMmuestra el
perodo de validez y huella digital.
Mensajes de registro de Firebox (Control de
trfico)
Puede usar el Firebox System Manager (FSM) para ver los mensajes de registro a partir de su Firebox a
medida que ellos aparecen. En algunas redes, puede haber un pequeo retraso mientras se envan los
mensajes de registro.
2. Haga clic en la pestaa Control de trfico.
El Control de trfico puede ayudar a solucionar problemas de desempeo de red. Por ejemplo, puede ver
cules polticas son ms usadas o si las interfaces externas son usadas constantemente a su mxima
capacidad.
Se puede personalizar el Control de trfico para:
n Alterar configuracin de Control de trfico
n Copiar a otra aplicacin
n Aprenda ms acerca de los mensajes de registro de trfico
n Activar la notificacin para mensajes especficos
n Usar los iconos de Control de trfico para exhibir determinados Tipos de mensajes de registro
n Aprenda ms acerca de los mensajes de registro de trfico (para ayudar a diagnosticar un problema)
Para ms informaciones, vea Defina el nivel de registro de diagnstico.
Ordenar y filtrar los mensajes de registro de Control de trfico
Es posible usar los botones Control de trfico para ordenar la informacin que encuentra en el Control de
trfico. Cuando selecciona un botn, el Control de trfico muestra slo el tipo seleccionado de mensajes de
registro. Tambin puede usar el campo de filtrado para buscar y refinar los mensajes de registro
encontrados en el Control de trfico.
Para ordenar por tipo de mensaje:
Gua del Usuario 683
1. En FSM, seleccione la pestaa Control de trfico.
2. Haga clic en un botn para seleccionar el tipo de mensaje de registro que desea ver en el Control de
trfico.
n Registros de trfico
n Registros de alarmas
n Registros de eventos
n Registros de depuracin
n Registros de estadsticas de desempeo
FSM ordena los mensajes de registro y muestra slo mensajes del tipo seleccionado.
Para filtrar los mensajes de registro por detalles especificados:
1. En FSM, seleccione la pestaa Control de trfico.
2. En la lista desplegable de filtrado, ingrese o seleccione la informacin sobre la cual desea buscar.
Puede ingresar cualquier valor en el campo de filtrado o selecciona un valor ingresado
anteriormente en la lista desplegable.
3. Haga clic en la lista desplegable y seleccione Resaltar resultados de bsqueda o Filtrar
resultados de bsqueda.
Los mensajes de registro que coinciden con la bsqueda filtrada seleccionada aparecen en la ventana de
Control de trfico.
4. Para remover el filtro, haga clic en .
Alterar configuracin de Control de trfico
Puede personalizar la apariencia del Control de trfico. Puede seleccionar el color de fondo para las
ventanas, el color de texto para los tipos de registro, si mostrar los registros en color o no, si mostrar los
nombres de los campos del registro y se puede, adems, definir un nmero mximo de mensajes de
registros.
Para alterar configuracin de Control de trfico:
2. En el Firebox System Manager, seleccione Archivo > Configuracin.
O haga clic con el botn derecho en cualquier punto de la pantalla y seleccione Configuracin.
Aparece el cuadro de dilogo Configuracin.
Definir el nmero mximo de mensajes de registro
Puede cambiar el nmero mximo de mensajes de registro que son guardados y que pueden ser vistos en
el Control de trfico. Cuando se alcanza el nmero mximo, los nuevos mensajes de registro remplazan las
primeras entradas. Si tiene un procesador lento o una pequea cantidad de RAM, un valor alto en este
campo puede retrasar su sistema de administracin.
Si es necesario examinar un gran volumen de mensajes de registro, recomendamos que Usar LogViewer
para ver los archivos de registro .
En el cuadro de dilogo Configuracin:
1. Haga clic en la lista desplegable Mximo de mensajes de error para seleccionar el nmero mximo
de mensajes de error que desea que aparezca en el Control de trfico al mismo tiempo.
2. Haga clic en OK.
Mostrar nombres de campo de registro
Para activar el Control de trfico para incluir etiquetas para campos de mensajes, tales como src_ip, dst_
ip y src_port.
En el cuadro de dilogo Configuracin:
1. Seleccione la casilla Mostrar nombres de campo de registro.
2. Haga clic en OK.
Usar color para mensajes de registro
En el Control de trfico, se puede hacer que los mensajes aparezcan en diferentes colores. Se pueden usar
varios colores para diferenciar los diversos tipos de informacin. En las pestaas Alarma, Trfico permitido,
Trfico negado, Evento, Depurar y Desempeo, puede seleccionar un color para cada campo.
1. En el cuadro de dilogo Configuraciones, haga clic en la pestaa Control de trfico.
Gua del Usuario 685
2. Para desactivar todos los colores en la pantalla, limpie la casilla Mostrar registros en color.
3. Seleccione una pestaa (Alarma, Trfico permitido, Trfico negado, Evento, Depurar, o
Desempeo).
4. Seleccione en la lista una categora de informacin de mensajes de registro.
El cuadro de control de colores Color del texto muestra el color actual para la categora
seleccionada.
5. Para cambiar el color, haga clic en el cuadro de control del color Color del texto .
Aparece el cuadro de dilogo "Color de campo de control de trfico".
6. Seleccionar un color. Aparece en la ventana Muestra un ejemplo de cmo el color aparecer en el
Control de trfico abajo del cuadro de dilogo.
7. Haga clic en Aceptar para cerrar el cuadro de dilogo o Restablecer para usar el color anterior.
8. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin.
Seleccionar un color de fondo para el Control de trfico
1. En el cuadro de dilogo Configuraciones, haga clic en la pestaa Control de trfico.
2. Haga clic en el cuadro de control del color Color de fondo .
Aparece el cuadro de dilogo "Color de fondo de control de trfico".
3. Seleccionar un color. Aparece en la ventana Muestra un ejemplo de cmo el color aparecer en el
Control de trfico abajo del cuadro de dilogo.
4. Haga clic en Aceptar para cerrar el cuadro de dilogo o Restablecer para volver al color anterior.
5. Para cancelar sus modificaciones y volver al color de fondo predeterminado, haga clic en Restaurar
predeterminados.
Copiar a otra aplicacin
Puede hacer una copia de un mensaje de registro en el Firebox System Manager y pegarlo en un programa
diferente.
1. En la pestaa Control de trfico, seleccione uno o ms mensajes.
2. Haga clic con el botn derecho en el mensaje(s) y seleccione Copiar seleccin o Copiar todos.
Si selecciona Copiar todos, el Firebox System Manager copia todos los mensajes de registro visibles.
3. Abra el otro programa y pague el(los) mensaje(s).
Tambin puede usar el LogViewer para abrir el archivo de registro. El LogViewer es la herramienta del
WatchGuard System Manager que se usa para ver datos detallados del archivo de registro.
Para ms informaciones acerca del LogViewer, vea Usar LogViewer para ver los archivos de registro en la
pgina 655 y los tpicos relacionados Importar y exportar datos al LogViewer en la pgina 671 y Enviar
correo electrnico, imprimir o guardar mensajes de registro en la pgina 671.
Aprenda ms acerca de los mensajes de registro de trfico
Puede usar las Tareas de Diagnstico del Control de trfico del Firebox System Manager (FSM) para
aprender ms de acerca de un mensaje de registro de trfico o revisar la informacin en sus mensajes de
registro del dispositivo para ayudarlo a depurar los problemas en su red. Puede enviar un ping a la direccin
IP de origen o destino, rastrear la ruta hacia la direccin IP de origen o destino, buscar informacin de DNS
para una direccinIP o ver informacin acerca de paquetes transmitidos por su red (volcado de TCP).
Tambin puede incluir argumentos en su detalles de tarea para acotar los resultados.
Ejecutar tareas de diagnstico
Puede ejecutar tareas de diagnstico para revisar informacin en todos los mensajes de registro de su
dispositivo. Eso puede ayudarlo a depurar los problemas en su red.
1. En la pestaa Control de trfico del FSM, haga clic con el botn derecho en un mensaje y seleccione
Tareas de diagnstico.
Aparece el cuadro de dilogo "Tareas de diagnstico".
Gua del Usuario 687
2. En la lista desplegable Tarea, seleccione la tarea que desea ejecutar.
n Ping
n Rastrear ruta
n BuscarDNS
n Volcado de TCP
Si selecciona Ping, Rastrear Ruta o BuscarDNS, aparece el campo Direccin.
Si selecciona Volcadode TCP, aparece el campo Interfaz.
3. En el cuadro de texto Direccin , ingrese la direccin IP.
O seleccione Interfaz en la lista desplegable.
4. Para reducir el nmero de resultados encontrados, seleccione la casilla de verificacin Opciones
avanzadas.
Aparece el campo "Argumentos".
5. En el campo Argumentos, ingrese los argumentos que desea incluir en la bsqueda.
Asegrese de incluir el valor en el campo Direccin o en la lista desplegable Interfaz. Si no incluye
ese valor en los argumentos insertados, la bsqueda no se ejecuta.
Para ver una lista de argumentos disponibles, ponga su cursor sobre el campo Argumentos o
mantenga el campo vaco y haga clic en Ejecutar tarea.
6. Despus de haber ingresado los argumentos, haga clic en Ejecutar tarea.
Aparece la informacin de la tarea en la ventana "Resultados" y aparece el botn "Detener tarea".
7. Para detener la tarea de diagnstico, haga clic en Detener tarea.
8. Haga clic en Cerrar para cerrar el cuadro de dilogo Tareas de diagnstico y volver a Control de
trfico.
Ejecutar ping o Rastrear ruta para un mensaje de registro de trfico
Es posible ejecutar una tarea de ping o rastrear ruta en la direccin IP de destino o de origen para un
mensaje de registro de trfico especfico, para acotar la informacin encontrar para ese mensaje.
1. En la pestaa Control de trfico del FSM, seleccione un mensaje de registro.
2. Haga clic con el botn derecho en el mensaje y seleccione una tarea:
n Direccin IP de origen > Ping
n Direccin IP de origen > Rastrear ruta
n DireccinIP de destino > Ping
n DireccinIP de destino > Rastrear ruta
Aparece el cuadro de dilogo "Tareas de Diagnstico" con la informacin para el mensaje de registro
seleccionado y la tarea insertada en los campos apropiados. La tarea seleccionada inicia automticamente.
3. Para reducir el nmero de resultados encontrados, seleccione la casilla de verificacin Opciones
avanzadas.
Aparece el campo "Argumentos".
4. En el campo Argumentos, ingrese los argumentos y la direccin IP que desea incluir en la bsqueda.
Asegrese de ingresar la direccin IP del campo Direccin nuevamente.
Para ver una lista de argumentos disponibles, ponga su cursor sobre el campo Argumentos o
mantenga el campo vaco y haga clic en Ejecutar tarea.
5. Despus de haber ingresado los argumentos, haga clic en Ejecutar tarea.
Aparece la informacin de la tarea en la ventana "Resultados" y aparece el botn "Detener tarea".
6. Para detener la tarea de diagnstico, haga clic en Detener tarea.
7. Haga clic en Cerrar para cerrar el cuadro de dilogo Tareas de diagnstico y volver a Control de
trfico.
Copiar una direccinIP del mensaje de registro
Puede copiar la direccin IP de origen o de destino de un mensaje de registro en el Control de trfico y
pegarla en otro programa o cuadro de dilogo.
1. En la pestaa Control de trfico del FSM, seleccione un mensaje de registro.
2. Haga clic con el botn derecho en el mensaje y seleccione una tarea:
n Direccin IP de origen > Copiar direccin IP de origen
n DireccinIP de destino > Copiar direccin IP de destino
Se copia la direccin IP seleccionada en el portapapeles del sistema.
Activar la notificacin para mensajes especficos
Si desea monitorear eventos especficos que ocurren en su Firebox, puede activar la notificacin para
mensajes de registro que especifica en el Registro de trfico. Mensajes de registro siguientes con el mismo
identificador de mensajes (ID de mensaje) desencadenan una notificacin.
Gua del Usuario 689
Los IDs de mensaje slo aparecen en el cuadro de dilogo Notificaciones de eventos para eventos que ya
estn configurados para recibir notificacin o para eventos que de hecho ya ocurrieron en el Firebox. El
mensaje de registro de eventos actual del Firebox aparece en la columna Descripcin.
1. Seleccione la pestaa Control de trfico.
2. Haga clic con el botn derecho en cualquier mensaje y seleccione Notificaciones de eventos.
El cuadro de dilogo Notificaciones de eventos aparece con el ID de mensaje y una descripcin para todos los
eventos disponibles.
3. Para ordenar por columna, haga clic en el encabezado de la columna.
4. Para recibir una notificacin para un mensaje, seleccione la casilla de verificacin Notificar para el
mensaje en cuestin.
5. Seleccione Configuracin de notificacin.
La Configuracin de notificacin en la parte inferior del cuadro de dilogo se aplica a todas las
notificaciones de eventos.
Para informacin acerca de cmo usar esos campos, vea Determinar preferencias de registro y
6. Haga clic en Aceptar para guardar su configuracin.
Aparece el cuadro de dilogo "configurar notificaciones de eventos" que le solicita que inserte su frase de
contrasea de configuracin.
7. Inserte la frase de contrasea de configuracin para su Firebox y haga clic en Aceptar.
Aparece un mensaje que informa que su configuracin de las notificaciones de eventos fue actualizada.
Exhibicin visual del uso del ancho de banda
(pestaa Medidor de ancho de banda)
Puede ver el ancho de banda en tiempo real para todas las interfaces en la pestaa Medidor de ancho de
banda. El eje Y (vertical) muestra el flujo de trfico de entrada y salida de cada interfaz, en la dimensin
seleccionada. El eje X (horizontal) muestra la hora. Puede hacer clic en cualquier lugar del cuadro para ver
informacin ms detallada en la ventana emergente acerca del uso de ancho de banda en ese momento.
Adems de las interfaces fsicas, el medidor muestra el trfico en las interfaces VLAN.
Configuracin para Cambiar medidor de ancho de banda
Puede personalizar la apariencia del Medidor de ancho de banda. Puede seleccionar la configuracin de
color para texto y lneas de cuadrcula, y definir la escala de los grficos.
Para alterar la configuracin de exhibicin de ancho de banda:
1. En el Firebox System Manager, seleccione la pestaa Medidor de ancho de banda.
2. Seleccione Archivo > Configuraciones.
Gua del Usuario 691
3. En la pestaa Medidor de ancho de banda, puede personalizar la configuracin de la pantalla con las
opciones en las siguientes secciones.
4. Cuando haya terminado, haga clic en Aceptar para guardar sus cambios y volver al FSM.
Cambiar la escala
Puede usar el cuadro de dilogo Configuracin para cambiar la escala de los grficos de la exhibicin, o
puede hacer clic con el botn derecho en cualquier lugar en la pestaa de Medidor de ancho de banda y
seleccionar Escala de grfico para definir las dimensiones.
Para alterar la escala de la pestaa Medido de ancho de banda:
En la lista desplegable Escala de grfico, seleccione el valor que mejor coincida con la velocidad de
su red.
Para definir una escala personalizada.
1. En la lista desplegable Escala de grfico, seleccione Personalizar escala.
2. En el cuadro de texto Personalizar escala, ingrese el valor en kilobytes para cada segundo.
Agregar y remover lneas
Para agregar una lnea a la pestaa Medidor de ancho de banda:
1. En la seccin Configuracin de color, seleccione la interfaz en la lista Ocultar.
2. Haga clic en el cuadro de control del color Color del texto para seleccionar un color para la lnea.
El nombre de la interfaz aparece en la lista Mostrar en el color seleccionado.
Para remover una lnea de la pestaa Medidor de banda:
1. En la seccin Configuracin de color, seleccione la interfaz en la lista Mostrar.
Aparece el nombre de la interfaz en la lista "Ocultar".
Alterar colores
Para alterar los colores de exhibicin para la pestaa Medidor de ancho de banda:
1. Haga clic en los cuadros de control de color Fondo y Lnea de cuadrcula para seleccionar nuevos
colores.
Aparece el cuadro de dilogo "Seleccionar color de fondo" o "Seleccionar lnea de cuadrcula".
2. Haga clic en las pestaas Tramas, HSB o RGB y elija un color.
Un ejemplo del color seleccionado aparece en la seccin "Vista previa".
3. Haga clic en Aceptar para confirmar su seleccin y volver al cuadro de dilogo Configuraciones.
Cambiar la apariencia de la interfaz
Los nombres de la interfaz aparecen a la izquierda de la pestaa Medidor de ancho de banda. Puede ver
los nombres de la interfaz como una lista o como una etiqueta de nombre al lado de la lnea que identifica.
Para seleccionar la apariencia del nombre de la interfaz:
Haga clic en la lista desplegable Mostrar etiquetas de interfaz como y seleccione Lista o Etiquetas.
Para ver el uso de ancho de banda por la poltica, en vez de la interfaz, vea Exhibicin visual del uso de
poltica (pestaa Monitor de Servicio) en la pgina 692.
Exhibicin visual del uso de poltica (pestaa
Monitor de Servicio)
Puede usar el Firebox System Manager para ver un grfico de las polticas que estn configuradas en el
Policy Manager para un Firebox. En la pestaa Monitor de Servicio, el eje Y (vertical) muestra el nmero de
conexiones y el eje X (horizontal) muestra el tiempo. Puede hacer clic en cualquier lugar del cuadro para
ver informacin ms detallada en la ventana emergente acerca del uso de la poltica en ese momento
especfico. Tambin puede configurar la apariencia de la pestaa Monitor de Servicio.
Gua del Usuario 693
Configuracin "Alterar Monitor de Servicio"
Puede personalizar la apariencia del Monitor de Servicio. Puede seleccionar la configuracin de color para
texto y lneas de cuadrcula, seleccionar cmo aparecen las etiquetas de poltica y definir el tipo y la escala
de los grficos.
Para alterar la configuracin de exhibicin de polticas:
1. En el Firebox System Manager, seleccione la pestaa Monitor de Servicio.
2. Seleccione Archivo > Configuraciones.
3. En la pestaa Monitor de Servicio, puede personalizar la configuracin de la pantalla de Monitor de
Servicio con las opciones en las siguientes secciones.
4. Cuando haya terminado, haga clic en Aceptar para guardar sus cambios y volver al FSM.
Cambiar la escala
Para alterar la escala de la pestaa Monitor de Servicio:
En la lista desplegable Escala de grfico, seleccione el valor que mejor coincida con el volumen de
trfico en su red.
Para definir una escala personalizada.
1. En la lista desplegable Escala de grfico, seleccione Personalizar escala.
2. En el cuadro de texto Personalizar escala, ingrese el nmero de conexiones.
Exhibir ancho de banda usado por una poltica
Para ver la cantidad de capacidad de red en bytes por segundo usado por poltica en vez de por nmero de
conexiones:
En la lista desplegable Tipo de cuadro, seleccione ancho de banda.
Gua del Usuario 695
Para ver el uso del ancho de banda por interfaz en vez de por poltica, vea Exhibicin visual del uso del
ancho de banda (pestaa Medidor de ancho de banda) en la pgina 690.
Agregar y remover lneas
Para aadir una lnea a la pestaa Monitor de Servicio :
1. En la seccin Configuracin de color, seleccione la poltica en la lista Ocultar.
2. Haga clic en el cuadro de control del color Color del texto para seleccionar un color para la lnea.
Aparece el nombre de la poltica en la lista "Mostrar" en el color seleccionado.
Para remover una lnea de la pestaa de Monitor de Servicio :
1. En la seccin Configuracin de color, seleccione la poltica en la lista Mostrar.
Aparece el nombre de la poltica en la lista "Ocultar".
Alterar colores
Para cambiar los colores de exhibicin para la pestaa Monitor de Servicio:
1. Haga clic en los cuadros de control de color Fondo y Lnea de cuadrcula para seleccionar nuevos
colores.
Aparece el cuadro de dilogo "Seleccionar color de fondo" o "Seleccionar lnea de cuadrcula".
2. Haga clic en las pestaas Tramas, HSB o RGB y elija un color.
Un ejemplo del color seleccionado aparece en la seccin "Vista previa".
3. Haga clic en Aceptar para confirmar su seleccin y volver al cuadro de dilogo Configuraciones.
Cambiar cmo aparecen los nombres de polticas
Los nombres de polticas aparecen a la izquierda de la pestaa Monitor de Servicio. Puede ver los nombres
de las polticas como una lista o como una etiqueta de nombres al lado de la lnea que identifica.
Para definir la apariencia de los nombres de polticas:
Haga clic en la lista desplegable Mostrar etiquetas de polticas como y seleccione Lista o Etiquetas.
Estadsticas de desempeo y Trfico (pestaa
Informe de Estado)
El/La La pestaa Informe de Estado muestra las estadsticas acerca del trfico y rendimiento de Firebox.
Para ver el Informe de Estado:
2. Seleccione la pestaa Informe de Estado.
El Informe de Estado incluye esa informacin:
Informacin de versin y tiempo de actividad
Tiempo de actividad de Firebox, la versin del software de sistema de Firebox, el modelo Firebox,
versin del software del dispositivo y patch, si corresponde. Hay tambin una lista del estado y
versin de los componentes de producto en el Firebox.
Log Servers
Direcciones IP de todos los Log Servers configurados.
Opciones de Registros
Opciones de mensaje de registro que estn configurados con el Quick Setup Wizard o Policy
Manager.
Promedio de carga y memoria
Estadsticas del uso de memoria (mostrados en bytes de memoria) y promedio de carga de Firebox.
La carga promedio tiene tres valores que muestran un promedio en el ltimo minuto, 5 minutos y
15 minutos. Valores superiores a 1.00 (100%) sealan algunos hilos en fila hasta que los recursos
estn disponibles. (Una carga del sistema que supera el 1.00 no significa que el sistema est
sobrecargado.)
Gua del Usuario 697
Procesos
ID de proceso, el nombre del proceso y el estado del proceso.
Configuracin de red
Informacin acerca de las tarjetas de red en el Firebox: el nombre de la interfaz, sus direcciones de
hardware y software y mscara de red. La pantalla tambin incluye informacin de enrutamiento
local, alias de IP y concesiones DHCP reservadas.
Lista de Sitios Bloqueados, excepciones de Sitios Bloqueados
Sitios actualmente bloqueados manualmente y cualquier excepcin actual. Entradas de sitios
temporalmente bloqueados aparecen en la pestaa Sitios bloqueados.
Interfaces
Cada interfaz de Firebox incluye informacin acerca de la configuracin del tipo de interfaz (externa,
de confianza o opcional), estado de interfaz y conteo de paquetes.
Rutas
Tabla de enrutamiento del ncleo de Firebox. Se usan esas rutas para encontrar cul interfaz del
dispositivo es usada para cada direccin de destino. Los grupos ECMP y las rutas dinmicas que
fueron aceptadas por el demonio de dynamic routing tambin aparecen aqu.
Tabla ARP
Tabla ARP en el Firebox. La tabla ARP es usada para hacer que las direcciones IP coincidan con las
direcciones de hardware. (Cuando un dispositivo est en modo directo, use los contenidos de la
tabla ARP slo para solucionar problemas de conectividad por redes secundarias en las interfaces.)
Total de entradas de Traduccin de Direccin de Red Dinmica (DNAT)
Nmero de entradas disponibles y usadas.
Estado de WAN mltiples
Informacin sobre puertas de enlace y sticky connections. Tambin incluye la tabla de sticky
connections.
Concesiones de clientes DHCP
Informacin acerca de concesiones de clientes DHCP en el Firebox.
Dynamic Routing
Componentes de dynamic routing en uso en el Firebox, si lo hay.
Servidores DNS
Informacin de direccin para servidores DNS.
Intervalo de actualizacin
La tasa a la que la informacin se actualiza en la pantalla.
Soporte
Si est solucionando problemas con la ayuda de su representante de soporte, puede hacer clic en
Soporte para crear un archivo para ayudar a solucionar los problemas.
Cambiar el Intervalo de actualizacin
El contenido del Informe de Estado se actualiza automticamente de acuerdo con el intervalo de
actualizacin.
Para modificar el intervalo de actualizacin:
1. En la lista desplegable Intervalo de actualizacin, seleccione un intervalo diferente.
2. Para detener la actualizacin automtica de la pantalla, haga clic en Pausar.
Mientras se pausa la pantalla, no se actualiza en el intervalo seleccionado.
3. Para iniciar la actualizacin automtica de la pantalla nuevamente, haga clic en Continuar.
La pantalla es actualizada inmediatamente y despus vaya al intervalo de actualizacin seleccionado.
Revisar informacin de Rastreo de Paquetes para solucionar
problemas
Para ver la informacin de rastreo de paquetes el Firebox recoge:
1. Iniciar el Firebox System Manager y haga clic en la pestaa Informe de Estado.
2. Haga clic en Soporte.
Aparece el cuadro de dilogo "Registros de Soporte". El Firebox System Manager obtiene informacin de
rastreo de paquetes del Firebox.
3. Haga clic en Examinar para seleccionar la ubicacin donde guardar los archivos de registro de
diagnstico.
Archivos de registro de soporte son guardados en formato tarzip (*.tgz).
4. Haga clic en Recuperar.
El Registro de Soporte es guardado en la ubicacin especificada.
5. Revisar los detalles del rastreo de paquete en el archivo de registro de soporte.
6. Desactivar registros de diagnstico cuando haya terminado.
Gua del Usuario 699
Usuarios autenticados (Lista de autenticacin)
Firebox System Manager La pestaa Lista de autenticacin muestra informacin acerca de todos los
usuarios que estn autenticados en el dispositivo Firebox o XTM. Puede ordenar la informacin en la Lista
de autenticacin por cualquiera de las columnas. Tambin puede finalizar una sesin de autenticacin de
usuario.
Desde la pestaa Lista de autenticacin, tambin puede ver informacin acerca de la Lista de acceso
saliente para los dispositivos Firebox X Edge y consultar informacin acerca de sus conexiones hotspot
inalmbricas.
Para obtener ms informacin acerca de la Lista de acceso saliente, consulte Usar la lista de acceso de
salida.
Para obtener ms informacin acerca de sus conexiones hotspot inalmbricas, consulte Conexiones hotspot
inalmbricas.
Para ver la Lista de autenticacin:
La informacin acerca de cada usuario autenticado aparece en esas cuatro columnas:
Usuario
El nombre del usuario autenticado.
Tipo
El tipo de usuario autenticado: usuario mvil o firewall.
Direccin IP
La direccin IP interna en uso por el usuario. Para los usuarios mviles, esa direccin IP es la
misma que les fue asignada por el dispositivo Firebox o XTM.
De direccin
La direccin IP en el equipo a partir del cual el usuario se autentica. Para los usuarios mviles,
esa direccin IP es la misma que en el equipo utilizado para conectarse al dispositivo Firebox o
XTM. Para los usuarios de firewall, la direccin IP y la Direccin De son las mismas.
Para ordenar la Lista de autenticacin:
Haga clic en el encabezado de la columna.
Para finalizar una sesin de usuario:
Haga clic con el botn derecho en el nombre de usuario y seleccione Desconectar usuario.
Gua del Usuario 701
Usar la lista de acceso de salida
(Esta funcin se aplica slo a los dispositivos Firebox X Edge e-Series con Fireware XTM.)
La tecla de funcin para su dispositivo Firebox X Edge activa el dispositivo para que tenga un nmero
especfico de direcciones IP con acceso de salida. Puede usar el FireboxSystem Manager (FSM) para ver el
nmero mximo de direcciones IP autorizadas de acceso de salida y las direcciones IP que actualmente
tienen acceso de salida. Tambin puede remover las direcciones IP de la lista de acceso de salida, lo que
permite que otra direccinIP remplace a la removida. Eso ayuda si tiene un nmero limitado de
direccionesIP con acceso de salida. Fireware XTMlimpia automticamente todas las direcciones IP de la
Lista de acceso saliente una vez por hora.
La informacin acerca del nmero mximo de direcciones IP con acceso de salida tambin est disponible
en su tecla de funcin. Para ms informaciones, vea Acerca de las teclas de funcin en la pgina 61.
Nota Esta funcin se aplica slo a los dispositivos Firebox X Edge e-Series con Fireware
XTM. Si no tiene un dispositivo Firebox X Edge con Fireware XTM, el cuadro de
dilogo Lista de acceso de salida no aparece en el FSM.
Para ver la Lista de acceso de salida:
1. Iniciar el Firebox System Manager para su dispositivo Firebox X Edge.
Aparece Firebox System Manager.
3. Haga clic en Direcciones IP.
Aparece el cuadro de dilogo Lista de acceso de salida.
Si tiene acceso ilimitado de salida, un mensaje que seala que tiene acceso ilimitado aparece en el
cuadro de dilogo en vez de una lista de direcciones IP.
4. Para remover una o ms direccionesIP de la lista, seleccione las direccionesIP y haga clic en
Remover.
5. Para remover todas las direcciones IP de la lista, haga clic en Limpiar.
6. Para actualizar la informacin en la lista, haga clic en Actualizar.
Conexiones hotspot inalmbricas
Cuando activa la funcin de hotspot inalmbrico para su dispositivo inalmbrico WatchGuard XTM2 Series o
Firebox XEdge e-Series, puede consultar informacin acerca de la cantidad de clientes que estn
conectados. Tambin puede desconectar clientes inalmbricos.
Para obtener ms informacin acerca de cmo activar la funcin de hotspot inalmbrico, consulte Activar
un hotspot inalmbrico.
Para ver las conexiones hotspot inalmbricas:
1. Iniciar el Firebox System Manager para su dispositivo inalmbrico.
Aparece Firebox System Manager.
Gua del Usuario 703
3. Haga clic en Clientes hotspot.
Aparecer la direccinIP y la direccin MAC para cada cliente inalmbrico conectado.
Para obtener ms informacin acerca de cmo administrar las conexiones hotspot inalmbricas, consulte
Consulte Conexiones hotspot inalmbricas.
Ver o cambiar la lista de Sitios Bloqueados
(pestaa Sitios bloqueados)
Firebox System Manager (FSM) Lista de sitios bloqueados muestra las direcciones IP de todas las
direcciones IP externas que estn temporalmente bloqueadas. Diversos eventos pueden hacer que Firebox
agregue una direccin IP a la pestaa Sitios bloqueados: un sondeo de espacio entre puertos, un ataque de
spoofing, un sondeo de espacios de direcciones o un evento configurado.
La columna Caducidad de cada direccin IP muestra el tiempo que la direccin IP est programada para ser
removida de la pestaa Sitios bloqueados.
Puede ajustar el perodo de tiempo predeterminado que una direccin IP se mantiene en la lista en el
cuadro de dilogo Sitios bloqueados del Policy Manager. Para ms informaciones, vea Bloquear sitios
temporalmente con configuracin de polticas en la pgina 494.
Alterar lista de sitios bloqueados
En la pestaa Sitios bloqueados del Firebox System Manager, es posible cambiar temporalmente la
configuracin para las direccionesIP especficas en la lista de IPs bloqueados. Puede agregar un sitio a la
lista, alterar la caducidad de un sitio en la lista o remover un sitio de la lista.
Para agregar un sitio temporalmente a la Lista de IPs bloqueados:
Aparece el cuadro de dilogo "Agregar sitio temporalmente bloqueado".
2. Ingrese la direccinIP para bloquear.
3. Ingrese un valor en el campo Caducar despus y seleccione horas, minutos o segundos en la lista
desplegable para definir el perodo de tiempo en que la direccin estar bloqueada.
4. Haga clic en OK.
Aparece el cuadro de dilogo "Agregar sitio bloqueado".
Aparece la direccinIP en la lista de IPs bloqueados.
Para cambiar la hora que un sitio es eliminado de la lista de IPs bloqueados:
Gua del Usuario 705
1. Seleccione un sitio en la lista de IPs bloqueados y haga clic en Cambiar caducidad.
Aparece el cuadro de dilogo "Editar sitio temporalmente bloqueado" para la direccinIP seleccionada.
2. Verificar que el valor de la direccin IP est correcto.
3. Ingrese un nuevo valor de caducidad en el campo Caducar despus y seleccione horas, minutos o
segundos en la lista desplegable.
4. Haga clic en OK.
Aparece el cuadro de dilogo "Actualizar sitio".
Para remover un sitio de la lista de IPs bloqueados:
1. Seleccione un sitio de la lista de IPs bloqueados y haga clic en Eliminar.
Aparece el cuadro de dilogo "Sitio(s) eliminado(s)".
La direccinIP es removida de la lista de IPs bloqueados.
Nota Es necesario abrir el Firebox con la frase de contrasea de configuracin para
remover un sitio de la lista.
Sitios bloqueados y Control de trfico
Cuando una direccin IP est en la lista de sitios bloqueados, un mensaje de registro de trfico referente
esa direccin muestra la interfaz de destino como desconocida. En el Firebox System Manager (FSM),
puede ver la interfaz de destino y agregar la direccinIP a la lista de sitios temporalmente bloqueados.
Para ver la interfaz de destino:
2. Seleccione un mensaje.
3. Haga clic con el botn derecho en el mensaje y seleccione Direccin IP de destino.
Aparecen la Direccin IP de destino y un men de opciones.
Para guardar los ciclos informticos, Fireware no identifica la interfaz de destino de un paquete si la
direccinIP de origen o destino est bloqueada.
Para bloquear la direccin IP de la interfaz de destino:
2. Seleccione un mensaje.
3. Haga clic con el botn derecho en el mensaje y seleccione Direccin IP de destino.
Aparecen la Direccin IP de destino y un men de opciones.
4. Seleccione Bloquear sitio.
Aparece el cuadro de dilogo "Elegir caducidad".
5. Ingrese un valor en el campo Caducar despus y seleccione horas, minutos o segundos en la lista
desplegable.
6. Haga clic en OK.
Aparece el cuadro de dilogo "Actualizar firma".
7. Ingrese la frase de contrasea de configuracin de Firebox y haga clic en Aceptar.
La direccin IP es temporalmente aadida a la lista de Sitios Bloqueados por un perodo de tiempo
determinado.
Gua del Usuario 707
Estadsticas de servicios de suscripcin (pestaa
Servicios de suscripcin)
La pestaa del Firebox System Manager Servicios de suscripcin incluye las estadsticas actuales de Firebox
acerca de esos servicios de suscripcin, si instalada:
n Estadsticas de Gateway AntiVirus
n Estadstica del Intrusion Prevention Service
n Estadsticas de spamBlocker
Tambin puede usar esa pgina para actualizar las firmas para el Gateway AntiVirus y las firmas para el
Intrusion Prevention Service, tal como se describe en Ver estado de servicios de suscripcin y actualizar
firmas manualmente en la pgina 1098.
Estadsticas de Gateway AntiVirus
La pestaa Servicios de Suscripcin del Firebox System Manager incluye estadsticas actuales de Firebox
acerca del recurso de Gateway AntiVirus.
Actividad desde el ltimo reinicio
Virus encontrados Nmero de virus encontrados en los archivos escaneados desde el ltimo
reinicio de Firebox.
Objetos escaneados Nmero de archivos escaneados en busca de virus desde el ltimo reinicio
de Firebox.
Objetos no escaneados Nmero de archivos no escaneados en busca de virus desde el ltimo
reinicio de Firebox.
Firmas
Versin instalada Nmero de la versin de las firmas instaladas.
ltima actualizacin Fecha de la ltima actualizacin de firmas.
Versin disponible La versin de las firmas actualmente disponibles.
Servidor URL URL al que el Firebox se conecta para obtener actualizaciones. Actualizaciones que
tambin son descargadas desde ese URL.
Historial Haga clic para mostrar una lista de todas las actualizaciones de firmas. Puede seleccionar
una firma en la lista y hacer clic con el botn derecho para copiar la informacin en la actualizacin
seleccionada, o toda la lista de actualizaciones.
Actualizacin Haga clic para actualizar sus firmas de virus.
Estadstica del Intrusion Prevention Service
La pestaa Servicios de Suscripcin del Firebox System Manager incluye las actuales estadsticas de Firebox
acerca del recurso de Intrusion Prevention Service basado en firmas.
Gua del Usuario 709
Actividad desde el ltimo reinicio
Escaneaos realizados Nmero de archivos escaneados en busca de virus desde el ltimo reinicio
de Firebox.
Intrusiones detectadas Nmero de intrusiones detectadas en los archivos escaneados desde el
ltimo reinicio de Firebox.
Intrusiones evitadas Nmero de archivos infectados eliminados desde el ltimo reinicio de
Firebox.
Firmas
Versin instalada Nmero de la versin de las firmas instaladas.
ltima actualizacin Fecha de la ltima actualizacin de firmas.
Versin disponible Si est disponible una nueva versin de firmas.
Servidor URL URL al que el Firebox se conecta para obtener actualizaciones. Actualizaciones que
tambin son descargadas desde ese URL.
Historial Haga clic para mostrar una lista de todas las actualizaciones de firmas. Puede seleccionar
una firma en la lista y hacer clic con el botn derecho para copiar la informacin en la actualizacin
seleccionada, o toda la lista de actualizaciones.
Actualizacin Haga clic para actualizar sus firmas de intrusion prevention.
Mostrar Haga clic para descargar y mostrar una lista de todas las firmas de IPS actuales. Despus
de descargar las firmas, puede buscarlas por ID de la firma.
Estadsticas de spamBlocker
La pestaa Servicios de Suscripcin del Firebox System Manager incluye las estadsticas acerca de la
actividad de spamBlocker ocurrida despus del ltimo reinicio del dispositivo. La estadstica incluye el
nmero y la posicin porcentual para cada tipo de mensaje en esas categoras:
n Mensajes desde el ltimo reinicio que son confirmados como:
n correo electrnico masivo
n spam
n sospecha de spam
n no spam
n Mensajes desde el ltimo reinicio que son:
n bloqueados
n etiquetados
n enviados al Quarantine Server
n Mensajes desde el ltimo reinicio que son bloqueados o autorizados debido a una lista de
excepciones de spamBlocker creada:
n Lista negra Excepciones que niegan sitios adicionales
n Lista blanca Excepciones que autorizan sitios adicionales
Si reinicia el Firebox, todos los contadores son restablecidos en cero.
Defensa de reputacin activada
La pestaa Servicios de suscripcin del Firebox System Manager incluye las estadsticas actuales del
dispositivo Firebox o XTMacerca de la actividad de la Defensa de reputacin activada ocurrida despus del
ltimo reinicio del dispositivo.
Actividad desde el ltimo reinicio:
Derivacin local (buena): La cantidad y el porcentaje de solicitudes de URL que fueron derivadas
para ser escaneadas por el Gateway Antivirus local porque tienen una reputacin de calificacin
inferior al umbral de reputacin Buena.
La cantidad de URL bloqueadas (malas): La cantidad y el porcentaje de solicitudes de URL que
fueron bloqueadas sin escanear porque tienen una reputacin de calificacin superior al umbral de
reputacin Mala.
Procesamiento normal (calificaciones dudosas): La cantidad y el porcentaje de solicitudes de URL
que se procesaron con normalidad, porque tienen una calificacin de reputacin igual al umbral de
reputacin Buena y Mala o entre ellos.
Resultados de cach local: La cantidad y el porcentaje de solicitudes de URL para las cuales la
calificacin se encontr en el cach local, de modo que no fue necesario realizar una solicitud al
servidor de Defensa de reputacin activada.
Bsquedas de reputacin: La cantidad total de bsquedas de reputacin desde el ltimo reinicio del
sistema.
Para obtener ms informacin acerca de las calificaciones para la Defensa de reputacin activada, consulte
Acerca de la Defensa de reputacin activada.
Acerca de las HostWatch
El HostWatch es una interfaz grfica del usuario que muestra las conexiones entre diferentes interfaces de
Firebox. El HostWatch tambin ofrece informacin acerca de usuarios, conexiones, puertos y otros datos.
La ventana HostWatch
La seccin superior de la ventana de HostWatch tiene dos lados. Puede definir que el lado izquierdo
muestre una interfaz que desea monitorear. El lado derecho muestra las conexiones hacia y desde la
interfaz seleccionada a la izquierda.
Las lneas que conectan a los hosts de origen y los de destino usan colores que muestran el tipo de
conexin. Esos colores pueden ser cambiados. Los colores predeterminados son:
n Rojo El Firebox niega la conexin.
n Azul La conexin usa un proxy.
n Verde El Firebox usa NAT para la conexin.
n Negro Conexin normal (la conexin fue aceptada y no usa proxy ni NAT).
Iconos que muestran el tipo de servicio aparecen a lado de las entradas de servidores.
Telnet FTP
Gua del Usuario 711
HTTP Otro
Correo electrnico
Resolucin de DNS y HostWatch
La resolucin de Servidor de domain name (DNS) no ocurre inmediatamente cuando inicia el HostWatch.
Cuando el HostWatch est configurado para la resolucin de DNS, remplaza las direcciones IP por los
nombres de usuario y de host. Si el Firebox no puede identificar el nombre de usuario o host, la direccin IP
permanece en la ventana de HostWatch.
Si usa la resolucin de DNS con el HostWatch la estacin de administracin puede enviar un nmero grande
de paquetes de NetBIOS (UDP 137) a travs de Firebox. Para detener ese proceso, debe desactivar el
NetBIOS por el TCP/IP en Windows.
Abrir HostWatch
Para abrir la aplicacin HostWatch:
2. Haga clic en .
O seleccione Herramientas > HostWatch.
La pantalla se inicia automticamente.
Pausar e iniciar la pantalla deHostWatch
Para pausar la plantalla de HostWatch:
En la ventana HostWatch, haga clic en .
O seleccione Archivo > Pausar.
Para iniciar la pantalla de HostWatch:
En la ventana HostWatch, haga clic en .
O seleccione Archivo > Continuar.
Seleccionar conexiones e interfaces para monitorear
La primera vez que inicia el HostWatch, aparecen las interfaces internas de Firebox en la lista en el ngulo
superior izquierdo de la ventana. Las conexiones hacia y desde esas interfaces aparecen en el ngulo
superior derecho de la ventana, en la lista Todas las otras interfaces .
Ver conexiones
Tambin puede usar el HostWatch para ver informacin acerca de las conexiones relacionadas a un tem
seleccionado, lo que incluye direcciones IP, nmero de puerto, hora, tipo de conexin y sentido.
La parte inferior de la ventana HostWatch muestra todas las conexiones hacia y desde todas las interfaces.
La informacin aparece en una tabla que incluye:
n Direcciones de origen y destino
n Puerto
n Interfaz Firebox usada y si el trfico era entrante o saliente
n Si la conexin era normal, por proxy o bloqueada
n Detalles, como la hora que la conexin fue establecida o el comando usado para establecerla
Para ver las conexiones para una interfaz:
Haga doble clic en un tem en la lista de la izquierda o de la derecha.
Aparece el cuadro de dilogo "Conexiones para".
Gua del Usuario 713
Seleccione una nueva interfaz para monitorear
Para seleccionar una nueva interfaz de HostWatch:
1. Seleccione Ver > Interfaz.
O haga clic con el botn derecho en el actual nombre de la interfaz.
2. Seleccione la nueva interfaz que desea monitorear.
Para especificar el nombre exacto de la interfaz o usar una expresin regular para coincidir con las
mltiples interfaces:
1. Seleccione Ver > Interfaz.
O haga clic con el botn derecho en el actual nombre de la interfaz.
2. Seleccione Otro en la lista de interfaces.
Puede usar esa opcin para ver los VLANs en HostWatch.
Filtrar contenido de la ventana de HostWatch
Por defecto, el HostWatch muestra todas las polticas, hosts, puertos y usuarios autenticados. Puede
cambiar la ventana de HostWatch para mostrar slo el contenido que usted especifique. Puede usar esa
funcin para monitorear polticas especificadas, hosts, puertos o usuarios.
1. En el HostWatch, seleccione Ver > Filtro.
Aparece el cuadro de dilogo "Propiedades de Filtrado". El segundo nombre de pestaa cambia para coincidir
con la interfaz que selecciona monitorear.
2. Haga clic en una pestaa para monitorear.
3. En la pestaa para cada tem que desea ver, en el campo Hosts o Usuarios autenticados, ingrese la
direccin IP, nmero de puerto o nombre de usuario para monitorear. Haga clic en Agregar.
4. Para filtrar por polticas, seleccione la pestaa Lista de polticas y seleccione la casilla de verificacin
para cada poltica que desea monitorear.
5. Para mostrar todos los elementos en la categora, seleccione la casilla de verificacin Mostrar todas
en cada pestaa.
6. Haga clic en OK.
Alterar Propiedades visuales de HostWatch
Es posible cambiar cmo HostWatch muestra la informacin. Por ejemplo, puede solicitar a HostWatch que
muestre los nombres de host en vez de direcciones.
1. En HostWatch, seleccione Ver > Configuracin.
2. Seleccione la pestaa Exhibir para cambiar como los hosts aparecen en la ventana de HostWatch.
Gua del Usuario 715
3. Seleccione la pestaa Color de lnea para cambiar los colores de lneas para las conexiones NAT,
Proxy, Bloqueada y Normal.
Visitar o bloquear un sitio de HostWatch
Puede visitar un sitio presentado en HostWatch.
1. En el panel de la ventana inferior, haga clic con el botn derecho en el sitio y seleccione Visitar sitio
web de proxy.
2. En la ventana emergente que aparece, ingrese la direccin del sitio.
Tambin puede bloquear una direccin IP y agregarla a la lista de Sitios Bloqueados:
1. En el panel superior, haga clic en una direccin IP y seleccione Bloquear sitio:[direccin del sitio].
O haga clic con el botn derecho en una conexin en el panel inferior y seleccione o Bloquear sitio:
[direccin de origen] o Bloquear sitio: [direccin de destino].
Aparece el cuadro de dilogo "Elegir caducidad".
2. En el campo Caducar despus de, ingrese el perodo de tiempo para que el sitio permanezca
bloqueado. Puede seleccionar horas, minutos o segundos en la lista desplegable.
3. Cuando solicitado, ingrese su frase de contrasea de configuracin.
El Firebox bloquea todas las conexiones de red hacia y desde esa direccin IP.
Acerca del Performance Console
El El Performance Console es un utilitario que puede usar para hacer grficos que muestran cmo operan
diferentes partes de Firebox. Para recoger la informacin, se definen los contadores que identifican la
informacin usada para hacer el grfico.
Iniciar Performance Console
Para iniciar el Performance Console, en el Firebox System Manager:
1. Haga clic en .
O seleccione Herramientas > Performance Console.
Aparece el cuadro de dilogo Agregar cuadro.
2. Para cerrar el cuadro de dilogo "Agregar cuadro" y ver el Performance Console, haga clic en
Cancelar.
Aparece el cuadro de dilogo "Performance Console".
Gua del Usuario 717
3. O agregue un cuadro y defina los contadores de rendimiento.
Para ms informacin acerca del Performance Console y contadores de rendimiento, vea Definir
contadores de rendimiento en la pgina 718.
Hacer grficos con el Performance Console
Para hacer grficos con el Performance Console:
1. Definir contadores de rendimiento. Los contadores estn agrupados en categoras listadas en Tipos
de contadores abajo.
2. Modificar el cuadro o aadir uno nuevo, tal como se describe en Agregar cuadros o cambiar
intervalos de sondeo en la pgina 721.
Tipos de contadores
Se puede monitorear esos tipos de contadores de rendimiento:
Informacin del sistema
Muestra como el CPU es usado.
Interfaces
Monitorear y reportar acerca de eventos de interfaces seleccionadas. Por ejemplo, puede definir un
contador que monitoree el nmero de paquetes que una interfaz determinada reciba.
Polticas
Monitorear y reportar acerca de eventos de polticas seleccionadas. Por ejemplo, puede definir un
contador que monitoree el nmero de paquetes que una poltica determinada examine.
Puntos de VPN
Monitorear y reportar acerca de eventos de polticas VPN seleccionadas.
Tneles
Monitorear y reportar acerca de eventos de tneles VPN seleccionados.
Detener monitoreo o cerrar la ventana
Puede detener el monitoreo para guardar recursos e iniciarlo en otro momento.
1. Haga clic en Detener el monitoreo .
El Performance Console ya no recibe datos para ese contador.
2. Haga clic en Cerrar para cerrar la ventana del cuadro.
Definir contadores de rendimiento
Para identificar un contador para cualquiera de las categoras en la lista de Contadores disponibles:
1. A partir del Administrador de Sistema de Firebox, haga clic en .
O seleccione Herramientas > Performance Console.
Aparece la ventana "Agregar cuadro".
2. En la lista Contadores disponibles , expanda una categora de contadores.
Aparecen los contadores disponibles para esa categora.
3. Seleccione un contador, como Utilizacin del CPU.
Los cambios de Configuracin del contador automticamente se actualizan mostrando los campos para el
contador seleccionado.
Gua del Usuario 719
4. En la lista desplegable Ventana de cuadro, seleccione <New Window> si desea que el grfico
aparezca en una nueva ventana.
O seleccione el nombre de una ventana abierta para aadir el grfico a aquella ventana.
5. En la lista desplegable Intervalo de sondeo, seleccione un intervalo de tiempo.
Ese es el perodo de tiempo que el Performance Console espera antes de verificar si hay
informacin actualizada junto al Firebox.
6. Agregue informacin de configuracin para el contador seleccionado. Los campos de configuracin
corresponden al contador y los diferentes contadores tienen campos diferentes. Los campos
disponibles incluyen:
Tipo
Seleccione el tipo de grfico que crear en la lista desplegable: Clasificacin, Diferencia o
Valor crudo.
Por ejemplo si desea crear un grfico de valor_1 en tiempo_1, valor_2 en tiempo_2, y as
sucesivamente, puede:
n Clasificacin Divida la diferencia del valor por la diferencia de tiempo: (valor_2-valor_
1)/(tiempo_2-tiempo_1), (valor_3-valor_2)/(tiempo_3-tiempo_2), y as sucesivamente.
n Diferencia Sustraiga el valor anterior del nuevo valor: valor_2-valor_1, valor_3-valor_
2, y as sucesivamente.
n Valor crudo Use slo el valor: valor_1, valor_2, y as sucesivamente. Los valores
crudos suelen ser contadores de contenido, como bytes o paquetes. Los valores crudos
slo pueden aumentar, no disminuir.
Interfaz
Seleccione en la lista desplegable una interfaz para incluir los datos de grfico.
Poltica
(Si selecciona un contador Poltica)
Seleccione una poltica en su configuracin de Firebox para incluir en los datos del grfico.
Puede actualizar la lista de polticas que aparece en el Performance Console cuando hace clic
en el botn Actualizar lista de poltica.
IP del punto
(Si selecciona un contador Puntos de VPN)
Seleccione una direccin IP de un extremo de VPN para incluir en los datos de grfico.
Puede actualizar la lista de extremos de VPN que aparece en el Performance Console
cuando hace clic en el botn Actualizar lista de IP de punto.
ID del tnel
(Si selecciona un contador Tneles)
Seleccione el nombre de un tnel VPN para incluir en los datos de grfico. Puede actualizar
la lista de tneles VPN que aparece en el Performance Console cuando hace clic en el botn
Actualizar lista ID del tnel. Si no conoce el ID del tnel para su tnel VPN, verificar la
pestaa Panel delantero del Firebox System Manager.
7. Seleccione la casilla de verificacin Guardar datos de cuadro en archivo para guardar los datos
recogidos por el Performance Console.
8. Haga clic en Examinar para seleccionar una ubicacin para guardar el archivo, elegir si guardar el
archivo como archivo de datos de XML o archivo de datos separado por comas.
Por ejemplo, puede abrir un archivo de datos de XML el Microsoft Excel para ver el valor del
contador registrado para cada intervalo de sondeo. Puede usar otras herramientas para fusionar
datos de ms de un cuadro
9. Haga clic en Aceptar para iniciar un grfico en tiempo real de ese contador.
Los grficos aparecen en una ventana de grfico de tiempo real. Puede mostrar un grfico en cada
ventana o mostrar muchos grficos en una ventana. Los grficos automticamente se ajustan para
que entren los datos y se actualiza a cada 5 segundos.
Gua del Usuario 721
Nota Ese cuadro de rendimiento muestra el uso del CPU. Puede usar el mismo
procedimiento para crear grficos para otras funciones.
Agregar cuadros o cambiar intervalos de sondeo
La principal ventana del Performance Console muestra una tabla con todos los contadores de rendimiento
configurados y activos. A partir de esa ventana, puede aadir un nuevo cuadro o cambiar los intervalos de
sondeo para los contadores configurados.
Agregar nuevo cuadro
Para agregar un nuevo cuadro:
1. Haga clic en .
O seleccione Archivo > Agregar cuadro.
Aparece el cuadro de dilogo Agregar cuadro.
2. Definir contadores de rendimiento para el cuadro.
Modificar intervalo de sondeo
Para cambiar el intervalo de sondeo para un Performance Console:
1. Seleccione el nombre del cuadro en la lista.
2. Haga clic en la lista desplegable de intervalo de sondeo en la barra de herramientas del
Performance Console y seleccione la nueva duracin entre un sondeo y otro.
El nuevo valor de frecuencia aparece en la columna de Intervalo de Sondeo.
Eliminar un cuadro
Para eliminar un cuadro:
1. Seleccione el nombre del cuadro en la lista y haga clic en .
O seleccione Archivo > Eliminar cuadro.
Gua del Usuario 723
Aparece un cuadro de dilogo de confirmacin.
2. Haga clic en S para eliminar el cuadro.
Acerca de certificados y FSM
El Firebox System Manager (FSM) incluye un cuadro de dilogo Certificados desde el cual se pueden
realizar diferentes tareas relacionadas a sus certificados. Se puede:
n Vea una lista de los certificados actuales de Firebox y los detalles de cada uno de ellos.
n Remover un certificado del Firebox.
n Realizar una solicitud de certificado.
n Importar un certificado CA de terceros y almacenarlo en la lista de confianza de certificados.
Para abrir el cuadro de dilogo Certificados, en el Firebox System Manager:
2. Haga clic en .
O seleccione Ver > Certificados.
Aparece el cuadro de dilogo "Certificados".
Para ms informacin acerca de tareas de certificados en FSM, vea Ver y administrar Certificados de
Registro de comunicacin
El El cuadro de dilogo "Registro de comunicacin" contiene informacin como el xito o fallas de inicio de
sesin, "handshakes", etc.. Esas son conexiones entre Firebox y Firebox System Manager.
Para ver el registro de comunicacin:
2. Haga clic en .
O seleccione Ver > Registro de comunicacin.
Aparece el cuadro de dilogo "Registro de comunicacin".
La informacin en el registro empieza cuando el inicio de sesin se realiza con xito y muestra la
informacin acerca de la sesin de administracin actual.
3. Para recargar la informacin de registro en el cuadro de dilogo, haga clic en Actualizar.
4. Para eliminar toda la informacin del Registro de comunicacin, haga clic en Limpiar.
Toda la informacin es eliminada del registro de comunicacin y no puede ser restaurada.
Usar el Firebox System Manager (FSM)
Puede usar las herramientas de Firebox System Manager para realizar muchas tareas en su Firebox. Esas
tareas incluyen:
n Sincronizar la hora del sistema
n Reiniciar o apagar su Firebox
n Limpiar cach de ARP
n Ver y sincronizar teclas de funcin
n Calcular la suma de comprobacin de Fireware XTM
n Limpiar alarmas
n Regenerar clave de tneles BOVPN
n Controlar FireCluster
n Alterar frases de contrasea
Gua del Usuario 725
Sincronizar la hora del sistema
Puede sincronizar la hora en el Firebox con la hora del sistema en su estacin de administracin.
1. En el Firebox System Manager, seleccione Herramientas > Sincronizar hora.
Aparece el cuadro de dilogo "Sincronizar Hora de Firebox".
2. Ingrese la frase de contrasea de configuracin del dispositivo.
3. Haga clic en OK.
Aparece un mensaje diciendo que la hora del dispositivo ahora est sincronizada con la estacin de
administracin.
Reiniciar o apagar su Firebox
Puede usar el Firebox System Manager (FSM) para reiniciar o apagar su Firebox desde una ubicacin
remota.
Reiniciar su Firebox
1. Se conecte a un dispositivo WatchGuard.
3. Seleccionar Archivo > Reiniciar.
4. Haga clic en S.
El Firebox se reinicia.
Apagar su Firebox
Cuando apaga un dispositivo, el panel indicador de LCD, el puerto de serie y todas las interfaces del
dispositivo son apagados. La luz indicadora de energa cambia al naranja y los ventiladores continan
funcionando, pero no es posible comunicarse con el dispositivo. Despus que el dispositivo se apaga, debe
iniciar el dispositivo manualmente para retomar la comunicacin.
Para apagar un dispositivo:
1. Se conecte a un dispositivo WatchGuard.
3. Seleccione Archivo > Apagar.
4. Haga clic en S.
El Firebox se cierra.
Para iniciar su dispositivo despus de apagarlo:
1. Para desconectar el dispositivo, presione el botn de encendido.
2. Para conectar el dispositivo, presione el botn de encendido nuevamente.
Limpiar cach de ARP
El ARP (Protocolo de resolucin de direcciones) cach en el Firebox guarda las direcciones de hardware
(tambin conocidas como direcciones MAC) de los hosts TCP/IP. Antes que se inicie una solicitud ARP, el
sistema averigua si una direccin de hardware est en el cach. Debe limpiar el cach del ARP en el Firebox
despus de la instalacin cuando su red tiene una configuracin directa.
1. En el Firebox System Manager, seleccione Herramientas > Limpiar cach de ARP.
3. Haga clic en OK.
Todas las entradas de cach son eliminadas.
Cuando un Firebox est en modo directo, ese procedimiento limpia solo el contenido de la tabla de ARP y
no la tabla de direccin MAC. Las entradas ms antiguas de MAC en la tabla MAC son removidas si la tabla
tiene ms de 2000 entradas. Para limpiar la tabla de direccin MAC, debe reiniciar el Firebox.
Ver y sincronizar teclas de funcin
Se pueden ver las teclas de funcin que estn instaladas en su Firebox a partir del Firebox System Manager.
Tambin puede obtener una nueva tecla de funcin junto a LiveSecurity.
Ver teclas de funcin
Para ver sus teclas de funcin:
2. Haga clic en .
O seleccione Ver > Teclas de funcin.
Gua del Usuario 727
Funcin
El nombre de la funcin, tal como Suscripcin a spamBlocker.
Valor
El valor asociado a la funcin. Por ejemplo, el nmero de interfaces VLAN o tnelesBOVPN
autorizados.
Caducidad
La fecha de caducidad de la funcin. Si la funcin no caduca, Nunca aparece en este campo.
Estado
Para funciones con fechas de caducidad, el nmero de das que quedan hasta que la funcin
caduque.
Detalles
Haga clic para ver informacin detallada para la tecla de funcin.
Actualizar
Haga clic para recargar la informacin de la tecla de funcin en el cuadro de dilogo.
Sincronizar teclas de funcin
Puede usar el Firebox System Manager para obtener una tecla de funcin actual, caso ya haya creado una
cuenta de usuario de LiveSecurity:
1. En el Firebox System Manager, seleccione Herramientas >Sincronizar tecla de funcin.
Aparece el cuadro de dilogo "Sincronizar Tecla de Funcin".
3. Haga clic en OK.
El Firebox se conecta con el sitio web de LiveSecurity y descarga la tecla de funcin actual a su Firebox.
Gua del Usuario 729
Calcular la suma de comprobacin de Fireware XTM
Una suma de comprobacin es usada para validar la integridad de los datos cuando son trasmitidos y
almacenados. Puede usar esa comprobacin para verificar que el OS de su dispositivo WatchGuard no haya
sido corrompido o modificado entre la hora que fue creado por el WatchGuard y la hora que lo instal en
su dispositivo Se provee la suma de comprobacin para todo el paquete Fireware XTM, no para cada
archivo en el paquete. Para encontrar la suma de comprobacin publicada para su versin del Fireware
XTM, vea las Notas de versin para saber la versin del Fireware XTMque est instalada.
Puede usar el Firebox System Manager (FSM) para calcular la suma de comprobacin para la versin del
Fireware XTM instalada en su dispositivo WatchGuard y, despus, puede compararlo con el valor de la
suma de comprobacin para el paquete de Fireware XTMdescargado.
Para usar esa funcin para un miembro de FireCluster, debe estar conectado al miembro. Para ms
informaciones, vea Conectarse a un miembro del cluster en la pgina 275.
2. Seleccionar Herramientas > Suma de comprobacin del OS.
Aparece el cuadro de dilogo "Suma de Comprobacin del OS" y el FSM empieza automticamente a calcular la
suma de comprobacin.Eso puede llevar algunos minutos.
3. Para calcular nuevamente la suma de comprobacin, haga clic en Calcular.
4. Abra las Notas de versin para la versin del Fireware XTMinstalada y encuentra el valor de la suma
de comprobacin.
5. Compare el valor de la suma de comprobacin con el de aqulla calculada en el cuadro de dilogo
suma de comprobacin del OS.
Si los valores de la suma de comprobacin coinciden, su paquete de OS no ha sido alterado.
Si los valores de la suma de comprobacin no coinciden, su paquete de OS puede estar corrompido.
Limpiar alarmas
Puede limpiar la lista de alarmas en el Firebox en el Firebox System Manager.
2. Seleccionar Herramientas >Limpiar alarma.
Aparece el cuadro de dilogo "Limpiar alarma".
3. Inserte la frase de contrasea de configuracin de Firebox.
4. Haga clic en OK.
Regenerar clave de tneles BOVPN
Los extremos de la puerta de enlace de los tneles BOVPN deben generar e intercambiar nuevas claves
despus de un perodo de tiempo determinado o despus que una cantidad de trfico pase por el tnel. Si
desea generar nuevas claves inmediatamente en vez de esperar que caduquen, puede usar las opciones
para regenerar clave en el Firebox System Manager para forzar los tneles BOVPN a caducar
inmediatamente. Eso puede ser til cuando se est solucionando problemas en el tnel.
Como los tneles son desencadenados por el trfico, los mismos son reconstruidos cuando el trfico fluye
por ellos. Si regenera la clave de un tnel y ste no tiene trfico, l no se reconstruye automticamente.
Regenerar clave de un tnel BOVPN
1. En el Firebox System Manager, seleccione la pestaa Panel delantero.
2. En la lista Tneles VPN para Sucursales , seleccione un tnel para el cual regenerar la clave.
3. Haga clic con el botn derecho en el tnel y seleccione Regenerar clave tnel BOVPN
seleccionado.
Aparece el cuadro de dilogo "Regenerar clave de tneles BOVPN".
5. Haga clic en OK.
Regenerar claves de todos los tneles BOVPN
1. En el Firebox System Manager, seleccione la pestaa Panel delantero.
2. Haga clic con el botn derecho en cualquier lugar en la ventana del Panel delantero.
3. Seleccione Regenerar claves de todos los tneles BOVPN.
Aparece el cuadro de dilogo "Regenerar clave de todos los tneles BOVPN".
5. Haga clic en OK.
o
1. En el Firebox System Manager, seleccione Herramientas > Regenerar claves de todos los tneles
BOVPN.
Aparece el cuadro de dilogo "Regenerar clave de todos los tneles BOVPN".
2. Inserte la frase de contrasea de configuracin de Firebox.
3. Haga clic en OK.
Gua del Usuario 731
Controlar FireCluster
Puede realizar varias operaciones de FireCluster en el Firebox System Manager.
Actualizar la regin inalmbrica para un dispositivo XTM 2 Series
Puede actualizar la regin de radio inalmbrico de una dispositivo WatchGuard XTM2 Series en el Firebox
System Manager.
Para actualizar la informacin de pas inalmbrico:
1. Iniciar el Firebox System Manager para su dispositivo.
2. Seleccione Herramientas > Actualizar regin de radio inalmbrico.
El dispositivo 2 Series contacta el servidor WatchGuard para determinar la regin actual de operacin.
Para ms informacin acerca de la configuracin de radio inalmbrico en el dispositivo WatchGuard XTM2
Series, vea Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico WatchGuard
XTM2 Series.
Alterar frases de contrasea
Recomendamos que altere las frases de contrasea de Firebox regularmente para mayor seguridad. Es
posible alterar las contraseas de estado y configuracin de su Firebox en el Firebox System Manager.
Puede alterar ambas frases de contrasea a la vez o slo una de ellas. Para eso, debe registrarse en el
Firebox con la frase de contrasea de configuracin.
Nota Las frases de contrasea de estado y configuracin deben tener al menos 8
caracteres cada una.
Para obtener ms informacin acerca de las frases de contrasea, vea Acerca de las frases de contrasea,
claves de cifrado y claves compartidas de WatchGuard en la pgina 75.
2. Seleccione Herramientas > Alterar frases de contraseas.
Aparece el cuadro de dilogo "Alterar frases de contrasea".
3. Ingresar y confirmar la nueva Frase de contrasea de estado.
4. Ingresar y confirmar la nueva Frase de contrasea de configuracin.
5. Haga clic en OK.
Gua del Usuario 733
23
Informes WatchGuard
Pgina Acerca de Report Server
El Report Server consolida los datos recopilados por los Log Server desde sus dispositivos Firebox y genera
informes a partir de esos datos. Una vez que los datos estn en el Report Server, puede utilizar el Report
Manager para ver los informes disponibles.
Puede elegir utilizar la base de datos PostgreSQL incorporada que viene instalada con su Report Server, o
para una mayor escalabilidad, puede utilizar una base de datos PostgreSQL externa ubicada en otra
computadora. Cuando ejecuta el WatchGuard Server Center Setup Wizard y configura su Report Server, la
base de datos incorporada se configura de manera predeterminada.
Como caracterstica adicional, el Report Server puede detectar algunas condiciones de fallas internas.
Cuando se detecta una condicin de falla, el Report Server crea un mensaje de registro de alarma que
incluye detalles acerca de la falla y adems, enva una notificacin por correo electrnico al administrador
especificado.
Para ms informaciones, vea Configurar Notificacin en la pgina 741.
Para obtener ms informacin acerca del Report Manager, consulte Acerca de WatchGuard Report
Manager.
Para obtener ms informacin acerca de los informes disponibles, consulte Predefinido lista de informes.
Para conocer los pasos detallados para configurar su Report Server, consulte Configure el Report Server.
Configure el Report Server
Puede utilizar el programa de instalacin de WatchGuard System Manager para instalar el Report Serveren
la computadora en donde instal el Management Server, o bien, puede instalar el Report Server en una
computadora diferente. Tambin puede agregar servidores de informe adicionales a modo de respaldo.
Si instala el Report Server en una computadora que tiene un firewall distinto al firewall de Windows, debe
abrir los puertos necesarios para que los servidores puedan conectarse mediante el firewall. Los usuarios
del firewall de Windows no deben modificar la configuracin de su firewall.
Para ms informaciones, vea Instalar Servidores de WatchGuard en equipos con firewalls de escritorio en la
pgina 36.
Cuando instale el Report Server, se instalar automticamente la base de datos incorporada del Report
Server, PostgreSQL. Esta es la base de datos predeterminada del Report Server. Despus de ejecutar el
WatchGuard Server Center Setup Wizard para completar la configuracin inicial de sus servidores
WatchGuard, puede configurar el Report Server para utilizar una base de datos PostgreSQL externa. Esa
opcin ofrece mayor escalabilidad para la base de datos de informes.
Para ms informaciones, vea Establezca la configuracin de eliminacin de informes y la configuracin de
la base de datos en la pgina 739.
Instale el Report Server
Puede instalar el Report Server en su computadora de administracin o en otra computadora.
Si elige instalar el Report Server en otra computadora:
1. Instale el software WatchGuard System Manager.
2. Seleccione instalar solamente el componente Report Server .
Antes de empezar
Antes de configurar el Report Server, debe ejecutar el WatchGuard Server Center Setup Wizard para
configurar el WatchGuard Server Center. Para el Report Server, debe agregar la ubicacin de la base de
datos del Log Server y la frase de contrasea de administrador en el asistente de configuracin.
Para ms informaciones, vea Configurar Servidores de WatchGuard System Manager en la pgina 501.
Configure el Report Server
En la computadora donde est instalado el software del Report Server:
1. Haga clic con el botn derecho en la bandeja de sistema y seleccione Abrir el WatchGuard
Server Center.
3. En el diagrama Servidores, seleccione Report Server.
Aparece la pgina Report Server.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 735
n Para cambiar la configuracin predeterminada del servidor, seleccione la pestaa
Configuracin del servidor.
n Para configurar la eliminacin de informes y seleccionar una ubicacin para la base de datos,
seleccione la pestaa Mantenimiento de la base de datos.
n Para configurar los mensajes de notificacin, seleccione la pestaa Notificacin.
n Para cambiar la configuracin de generacin de informes, seleccione la pestaa Generacin de
informes.
n Paraestablecer laconfiguracinde laReportingWebUI, seleccione lapestaaReportingWebUI.
n Para cambiar la configuracin de generacin de registros, seleccione la pestaa Generacin de
registros.
Establezca la configuracin del servidor
El Report Server recibe datos de uno o ms Log Servers y los utiliza para crear informes acerca de la
actividad de su red. El Report Server tambin puede almacenar los archivos de informe XML que usted
crea. Desde el WatchGuard Server Center, en la pestaa Configuracin del servidor, puede especificar los
Log Servers a los cuales desea que su Report Server pueda conectarse y seleccionar el tamao mximo de
la base de datos del Report Server. Cuando la base de datos del servidor alcance el tamao seleccionado,
los informes ms antiguos se eliminarn para que quede espacio para los informes nuevos.
1. En el diagrama Servidores , seleccione Report Server.
Aparece la pgina "Configuracin del servidor".
3. En la seccin Configuracin del log server, edite la lista Agregar log server.
n Para agregar un Log Server a la lista, haga clic en Agregar.
n Para cambiar la informacin para un Log Server, seleccione un servidor en la lista y haga clic en
Editar.
n Para eliminar un servidor de la lista, seleccione el servidor y haga clic en Quitar.
Para obtener ms informacin acerca de cmo agregar a o editar Log Servers, consulte Configure
los Logs Servers para el Report Server en la pgina 736.
4. Para seleccionar una Ruta de directorio para los archivos de registro XML, haga clic en Buscar.
5. Enel cuadrode textoTamao mximode la base de datos, ingrese el tamaomximo parala base
de datos del Report Server.
Se puede definir un tamaoentre 1 y 10.000 GB parala base de datos.
El tamao actual de labase de datos y el nmerode GB actualmente disponibles aparecern juntoa este campo.
Configure los Logs Servers para el Report Server
Puede seleccionar si desea recuperar datos de mensajes de registro de Log Server mltiples para incluirlos
en sus informes. Puede agregar o eliminar un Log Server o cambiar la frase de contrasea de un Log Server
de la lista.
Agregar un Log Server
Desde la pgina Report Server del WatchGuard Server Center:
2. En la seccin Configuracin del Log Server, haga clic en Agregar.
Aparece el cuadro de dilogo "Agregar Log Server".
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 737
3. Ingrese la Direccin IP y la Contrasea del Log Server.
4. Haga clic en OK.
Elimine un Log Server
2. En la lista Configuracin del Log Server , seleccione el Log Server que desea eliminar.
El Log Server se elimina de la lista.
Edite la frase de contrasea del Log Server
Si cambia la frase de contrasea de su Log Server, deber actualizar la frase de contrasea que utiliza el
Report Server cuando se comunica con el Log Server para obtener los datos de los mensajes de registro.
2. En la lista Configuracin del Log Server , seleccione un Log Server.
Aparece el cuadro de dilogo Editar Log Server.
4. Ingrese la Nueva frase de contrasea para el Log Server.
5. Haga clic en OK.
Se actualiza la frase de contrasea del Log Server.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 739
Establezca la configuracin de eliminacin de informes y la
configuracin de la base de datos
Desde el WatchGuard Server Center, puede establecer la configuracin de eliminacin de informes y la
configuracin de la base de datos para su Report Server. Puede elegir si desea utilizar la base de datos
incorporada del Report Server o una base de datos PostgreSQL externa. Si elige utilizar una base de datos
externa, asegrese de que la base de datos est instalada antes deseleccionarla.
Para obtener ms informacin acerca de cmo instalar un WatchGuard Report Server y la base de datos
PostgreSQL incorporada, consulte Configure el Report Server en la pgina 733 o Configurar Servidores de
2. Seleccione la pestaa Mantenimiento de base de datos.
Aparece la pgina de Mantenimiento de base de datos.
3. Utilice las secciones subsiguientes para establecer las configuraciones de su Report Server.
Establecer las configuraciones para la eliminacin de informes
El Report Server puede eliminar informes automticamente en los momentos que usted especifique.
Puede seleccionar cunto tiempo desea mantener los informes en el servidor, desde un mnimo de 1da
hasta un mximo de 365das (un ao). La configuracin predeterminada es de 30das. Cuando cambia la
cantidad de das que desea mantener los informes en el servidor, slo los informes generados despus de
que realice el cambio se vern afectados por la nueva configuracin. Por ejemplo, si cambia la
configuracin de 15 a 30 das, el Report Server no generar automticamente informes de 30 das. No
obstante, almacenar informes durante 30 das a partir de la fecha en que actualiz la configuracin.
En la seccin Configuracin de eliminacin de informes:
1. En el cuadro de texto Mantener informes en el report server durante, ingrese o seleccione la
cantidad de das que desea almacenar los mensajes en el Report Server.
Para que el tamao de su base de datos no aumente demasiado, seleccione una cantidad de das
reducida.
Aparece la fecha de la ltima eliminacin de mensajes.
2. En el cuadro de texto Eliminar informes vencidos a las, ingrese o seleccione el horario del da en el
cual desea eliminar los informes vencidos.
Aparece la fecha y hora de la prxima eliminacin programada.
Puede elegir utilizar la base de datos PostgreSQL incorporada que viene instalada automticamente con su
Report Server, o una base de datos PostgreSQL externa ubicada en otra computadora. Puede utilizar
cualquier base de datos PostgreSQL. Esto incluye una base de datos configurada con otro WatchGuard
Report Server.
Si selecciona usar una base de datos PostgreSQL externa, asegrese que su dispositivo Firebox o XTMtenga
la poltica configurada para permitir el trfico hacia y desde el puerto especificado para la comunicacin
con la base de datos externa. Si no permite el trfico a la base de datos externa mediante el puerto
especificado, el Report Server no podr conectarse con la base de datos externa. Si la base de datos externa
que seleccion no estaba instalada con un WatchGuard Report Server, la primera vez que el Report Server
se conecte con la base de datos, configurar la estructura de las tablas de la base de datos.
Antes de configurar una base de datos externa, asegrese de tener esta informacin para la base de datos
externa:
n Direccin IP de la computadora en donde est instalada la base de datos externa
n Nmero del puerto que hay que usar para conectarse a la base de datos
n Nombre de usuario y contrasea para el Usuario de base de datos
Nota Si cambia la Configuracin de la base de datos, debe reiniciar el Report Server
para que los cambios tengan efecto.
Para usar la base de datos PosrgreSQL acoplada:
En la seccin Configuracin de base de datos, seleccione Base de datos acoplada.
La ubicacin predeterminada del directorio de su Report Server aparece en el cuadro de texto. Esa es la
ubicacin seleccionada cuando se ejecut el WatchGuard Server Center Setup Wizard. No se puede alterar esa
ubicacin.
Para usar una base de datos PostgreSQL externa:
1. En la seccin Configuracin de la base de datos, seleccione la base de datos PostgreSQL externa.
Aparecen las opciones de base de datos externa.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 741
2. En el cuadro de texto Nombre de base de datos, ingrese el nombre de la base de datos externa.
3. En el cuadro de texto Direccin IP, ingrese la direccin IP de la computadora en donde est
instalada la base de datos externa.
4. En el cuadro de texto Puerto, ingrese o seleccione el puerto mediante el cual el Report Server
podr comunicarse con la base de datos externa.
5. En el cuadro de texto Usuario de la base de datos, ingrese el nombre de usuario que el Report
Server debe utilizar para comunicarse con la base de datos externa.
Nota El nombre de usuario y contrasea de la base de datos no pueden incluir estos
caracteres: @ = , / _ ; # [ ] * ? ` \, y no pueden tener ms de 64 caracteres.
6. En el cuadro de texto Contrasea, ingrese la contrasea para el nombre de usuario seleccionado.
7. Para verificar que esas configuraciones estn correctas, haga clic en Probar conexin.
Si el Report Server no se puede comunicar con la base de datos, aparecer un mensaje de error.
Si el Report Server se conecta exitosamente con la base de datos, aparecer un mensaje de confirmacin.
Configurar Notificacin
Desde el WatchGuard Server Center, puede activar el Report Server para que enve mensajes de
notificacin cuando ocurran eventos de falla y cuando la base de datos del Report Server se aproxime al
tamao mximo seleccionado. Tambin puede especificar los detalles de los mensajes de notificacin.
Para obtener ms informacin acerca de los eventos de falla del Report Server, consulte la seccin
subsiguiente, Eventos de falla del Report Server en la pgina 743.
Para obtener informacin acerca de cmo configurar el tamao mximo de la base de datos del Report
Server, consulte Establezca la configuracin del servidor en la pgina 735.
Aparece la pgina "Notificacin".
3. Para activar la notificacin de los eventos de falla, seleccione la casilla de verificacin Activar
notificaciones para eventos de falla.
4. Para recibir un mensaje de advertencia cuando la base de datos se acerca al umbral seleccionado,
seleccione la casilla Enviar un correo electrnico de notificacin si la base de datos alcanza el
umbral de advertencia.
5. En el cuadro de texto Umbral de advertencia, ingrese o seleccione el lmite del umbral.
6. Use las siguientes secciones para hacer la Configuracin del ServidorSMTP y Configuracin de
Notificacin.
Realizar la Configuracin del ServidorSMTP
Para que la notificacin por correo electrnico funcione correctamente, debe especificar la direccin de
un servidor de correo electrnicoSMTP que el Report Server pueda utilizar para enviar los mensajes de
correo electrnico.
En la seccin Configuracin del servidor SMTP:
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 743
1. En el cuadro de texto Servidor de correo electrnico saliente (SMTP) , ingrese la direccin de su
servidor SMTP.
2. Si su servidor de correo electrnico requiere autenticacin, seleccione la casilla Enviar credenciales
al servidor de correo electrnico.
3. En el cuadro de texto Nombre del usuario , ingrese el nombre de usuario para el servidor de correo
electrnico.
4. En el cuadro de texto Contrasea , ingrese la contrasea para el servidor de correo electrnico.
Nota Si el nombre de usuario y contrasea no son requeridos por su servidor SMTP,
puede dejar esos campos en blanco.
Configurar mensaje de notificacin
Puede especificar las cuentas de correo electrnico que sern usadas para enviar mensajes de notificacin
por correo electrnico y seleccionar el texto de asunto para los mensajes.
En la seccin Configuracin de Notificacin:
1. En el cuadro de texto Enviar correo electrnico a , ingrese la direccin de correo electrnico
completa de la cuenta a la cual desea enviar el mensaje de notificacin.
completa de la cuenta desde la cual desea enviar mensajes de notificacin.
3. En el cuadro de texto Asunto , ingrese la lnea de asunto que desea que los usuarios vean cuando
reciben un correo electrnico de notificacin de evento.
4. En el cuadro de texto Cuerpo , ingrese el mensaje que desea que los usuarios vean cuando reciben
el correo electrnico de notificacin.
Puede utilizar texto sin formato o HTML en el cuerpo del mensaje.
5. Para enviar un correo electrnico de notificacin de prueba a la direccin especificada, haga clic en
Probar correo electrnico.
Aparece un mensaje que informa si el correo electrnico de notificacin fue enviado con xito o si hubo falla al
enviarlo.
Eventos de falla del Report Server
Cuando ocurre un evento de falla en el Report Server, y usted activ la generacin de registros para
eventos de falla, el Report Server le enva un mensaje de notificacin acerca del evento de falla. Los
eventos de falla del Servidor de informe incluyen fallas en el servicioPostgreSQL, fallas del sistema y fallas
de red.
Se enva un mensaje de notificacin para esas fallas:
n Conexin de la base de datos perdida
Si se pierde la conexin a la base de datos y no se puede restablecerla inmediatamente, se enva un
mensaje de notificacin. El servidor sigue intentando conectarse a la base de datos hasta que tenga
xito. En servidor enva un correo electrnico de notificacin a cada 15 minutos hasta que la base
de datos se conecte nuevamente al servidor.
n Errores de base de datos
Eso incluye errores de entrada/salida, condiciones de disco lleno, y otras fallas relacionadas a la base
de datos.
n Errores de generacin de informes
Esto incluye los errores de E/S que ocurren al crear el archivo de informe XML.
n Se perdi la conexin con el Log Server
Si el Report Server no puede conectarse con el Log Server porque el Log Server no est
funcionando u ocurre otro error del sistema (por ejemplo, un error de red) el Report Server enva
un mensaje de notificacin.
Configuracin de la generacin de informes
Desde el WatchGuard Server Center, puede establecer la configuracin de generacin de informes para su
Report Server. Esta configuracin se aplica tanto a los informes archivados como a los informes a pedido.
Los informes se generan en archivos XML que puede ver en el Report Manager o en la Reporting Web UI.
Cuando crea un grupo de dispositivos, tambin puede elegir si desea generar informes en formato PDF o
HTML. En el caso de los informes grupales, puede elegir los tipos de informes especficos que desea incluir
y el directorio en donde se guardarn los informes generados. Para ver los informes archivados mediante la
Reporting Web UI, debe activarlos primero.
2. Seleccione la pestaa Generacin de informes.
Aparece la pgina Generacin de informes.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 745
3. Utilice las secciones subsiguientes para establecer las configuraciones de su Report Server.
Especificar los parmetros para la generacin de informes
Puede activar el Report Server para que genere informes, como tambin seleccionar el da y la hora en que
desea que genere los informes semanales.
1. En el cuadro de texto Nmero de registros incluidos en el informe de resumen, ingrese el nmero
de registros que desea que aparezca en sus informes de resumen. El margen permitido es de 25 a
100 registros.
Esta configuracin slo se aplica a los informes de resumen.
2. Seleccione la casilla de verificacin Activar informes archivados. Esta opcin est seleccionada de
manera predeterminada.
Si no selecciona esta opcin, el Report Serverno generar los informes de manera automtica y no podr ver los
informes archivados en la Reporting Web UI.
3. Desde la lista desplegable Generar informes semanales el, seleccione el da de la semana en que
desea que se generen los informes.
4. En el cuadro de texto Generar informes a las , ingrese o seleccione el horario en el cual desea que
comience el informe.
5. Para crear grupos de dispositivos de WatchGuard para incluir en los informes, seleccione la casilla
de verificacin Activar grupos.
n Para crear un grupo, haga clic en Agregar.
n Para cambiar un grupo existente, seleccione el grupo en la lista y haga clic en Editar.
n Para eliminar un grupo de la lista, seleccione el grupo y haga clic en Eliminar.
Para obtener ms informacin acerca de cmo agregar o editar grupos, consulte la seccin
subsiguiente.
Crear grupos y programar informes
Puede crear grupos de los dispositivos WatchGuard que desea incluir en los informes generados por el
Report Server, como tambin programar los informes que desea que aparezcan en la lista Informes
archivados.
Para crear un grupo y programar un informe:
1. Seleccione la casilla de verificacin Activar grupos.
Aparece el cuadro de dilogo Configuracin de grupo.
3. En el cuadro de texto Nombre de grupo , ingrese un nombre descriptivo para identificar al grupo.
4. En la lista Dispositivos, seleccione los dispositivos que desea incluir en el grupo.
5. En la lista Tipo de informe , seleccione la casilla de verificacin junto a cada uno de los informes que
desee generar.
6. Seleccione el tipo de Formato de informe para la salida del informe generado: HTML o PDF.
7. Seleccione una opcin para la Disposicin del informe:
n Un informe por dispositivo
n Un informe de resumen para todos los dispositivos
n Ambos
8. En el cuadro de texto Ubicacin del informe , ingrese la ruta del directorio en donde se guardan los
informes generados.
O haga clic en Examinar para seleccionar el directorio.
9. Haga clic en OK.
El grupo que agreg aparece en la lista Nombre de grupo en la pestaa Generacin de informes.
Para cambiar la configuracin de un grupo existente:
1. En la lista Nombre de grupo , seleccione el grupo que desea cambiar.
Aparece el cuadro de dilogo Configuracin de grupo.
3. Realice los cambios necesarios a la configuracin del grupo.
4. Haga clic en OK.
Establecer la configuracin de la Reporting WebUI
La Reporting Web UI es una interfaz basada en Internet que puede configurar para permitir que sus
usuarios ven los datos de los mensajes de registros recopilados de la actividad en su red. Estos datos de los
mensajes de registro se convierten en informes que los usuarios pueden revisar para los dispositivos de
seguridad especficos que seleccione dentro de su red. Los informes estn disponibles como Informes
archivados o Informes a pedido. Los informes archivados son informes configurados para ejecutarse en
fechas y horarios especficos. Los informes a pedido son informes que puede generar en tiempo real.
La Reporting Web UI es compatible con Firefox 3.0, Internet Explorer 7.0 o Safari. Asegrese de que sus
usuarios tengan habilitado JavaScript en sus exploradores.
Sus usuarios pueden utilizar la Reporting Web UI para generar y revisar cualquiera de los tipos de informes
predefinidos estndar que seleccione. Los informes que aparecen en la Web UI dependen de qu informes
elija permitir que estn disponibles. Para permitir que los usuarios vean los informes, primero debe agregar
a cada usuario a la pgina Usuarios del WatchGuard Server Center.
Para obtener ms informacin acerca de cmo agregar a un usuario, consulte Utilice WatchGuard Server
Center para configurar usuarios o grupos en la pgina 603.
Para obtener informacin acerca de cmo utilizar la Reporting Web UI, consulte la Ayuda de la Reporting
Web UI.
Desde el WatchGuard Server Center,usted configura los informes que estn disponibles en la Reporting
Web UIs. Tambin puede seleccionar los colores de la pgina de encabezado y un logotipo para personalizar
el aspecto y la sensacin de las pginas de la Web UI. Si no cambia la configuracin de personalizacin
predeterminada del sitio, se utilizarn el logotipo y el esquema de colores predeterminados.
Para establecer la configuracin de la Reporting Web UI:
2. Seleccione la pestaa Reporting Web UI.
Aparece la pgina de la Reporting Web UI.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 747
3. En la seccin Disponibilidad de informes, seleccione la casilla de verificacin para cada tipo de
informe que desee poner a disposicin de sus usuarios en la WebUI.
4. En el cuadro de texto Seleccionar la cantidad mxima de das para la cual los usuarios pueden
ejecutar informes, ingrese o seleccione la cantidad mxima de das que los usuarios pueden
seleccionar para incluir en un informe.
5. Para cambiar el logotipo y los colores del sitio de la Web UI, en la seccin Personalizacin del sitio:
n Para seleccionar un logotipo de sitio o de informe, junto al logotipo que desea actualizar, haga
clic en Cambiar.
n Para seleccionar un color para el encabezado del sitio, junto al elemento que desea cambiar,
haga clic en .
n Para cambiar la URL del logotipo, en el cuadro de texto URL del logotipo del informe, ingrese
una nueva URL.
Configurar Registros para el Report Server
Desde el WatchGuard Server Center, usted puede configurar a dnde enva los datos de los mensajes de
registro el Report Server. Puede elegir enviar los mensajes de registro al WatchGuard Log Server, al visor
de eventos de Windows o a un archivo de registro.
3. Establecer la configuracin de su Report Server.
Para obtener informacin detallada acerca de cmo establecer la configuracin de generacin de
registros para su servidor, consulte Definir la configuracin de Registros para sus servidores
WatchGuard en la pgina 635.
Mueva el directorio de informes
Puede utilizar el WatchGuard Server Center Setup Wizard para elegir el directorio en donde desea que se
almacenen sus archivos de datos de informe. El Report Server almacena todos los archivos de datos en este
directorio. Despus de completar este asistente, no puede cambiar el directorio de datos desde la
aplicacin del WatchGuard Server Center. El Report Server guarda los archivos de informe XML en un lugar
diferente que puede cambiar desde el WatchGuard Server Center.
Para cambiar la ubicacin en donde el Report Server guarda los datos de informe, debe volver a configurar
el Report Server. Para hacerlo, edita el archivo wrserver.ini y vuelve a ejecutar el WatchGuard Server
Center Setup Wizard. Cuando ejecute el asistente nuevamente, especifique la nueva ubicacin del
directorio, pero los datos en el directorio antiguo no son transferidos al nuevo directorio. Debe trasladar los
datos manualmente desde el directorio anterior a la nueva ubicacin del directorio antes de utilizar el
asistente para especificar el nuevo directorio desde el Report Server.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 749
Cuando ejecute el WatchGuard Server Center Setup Wizard para volver a configurar el Report Server, es
posible que las pginas que aparezcan en el asistente sean distintas a las pginas descritas en el
procedimiento subsiguiente. Las instrucciones que se ofrecen aqu suponen que su computadora slo tiene
instalados el Management Server, el Log Server y el Report Server. Si tiene instalados otros servidores de
WatchGuard, es posible que aparezcan pginas adicionales en el asistente.
Para ms informacin acerca de esas pginas vea el Configurar Servidores de WatchGuard System Manager
en la pgina 501 tpico completo.
Nota Como tanto el Log Server como el Report Server usan la base de datos PostgreSQL,
si tiene esos servidores instalados en el mismo equipo y transfiere la base de datos,
sta es transferida en ambos servidores.
Paso 1 Detener servicios
2. Detener e iniciar sus servidores WatchGuard.
3. Cierre el WatchGuard Server Center.
4. Detener el servicio PostgreSQL-8.2.
n En el Panel de Control de Windows, seleccione Herramientas administrativas > Servicios.
Aparece la ventana "Servicios".
n Seleccione PostgreSQL-8.2 y haga clic en Detener.
El servicio se detiene.
Paso 2: Traslade los datos de informe
1. Cree el nuevo directorio de informes.
Por ejemplo, E:\WatchGuard\report_directory\reports.
2. Dirjase a la carpeta original del directorio de informes y copie todo la carpeta del directorio.
Asegrese de incluir todas las carpetas y archivos en el directorio.
Por ejemplo, dirjase a la carpeta C:\Documents and Settings\WatchGuard\reports. Copie la
subcarpeta \data y todos los archivos que sta contiene.
3. Pegue el directorio original de informes en la nueva ubicacin.
Por ejemplo, E:\WatchGuard\report_directory\reports. Asegrese de pegar todo el
directorio de informes. En estos ejemplos, esto incluye la carpeta \data.
Paso 3 Ejecutar el Asistente de Configuracin
1. Abra el archivo C:\Documents and Settings\WatchGuard\wrserver\wrserver.ini y cambie
el calor WizardSuccess a "0".
2. Eliminar el archivo: \Program Files\WatchGuard\wsm11.0\postgresql\install\pg_
install.ini.
3. Abra el WatchGuard Server Center. El Estado del Report Server es Servidor no configurado.
Aparece la pgina Report Server.
5. Para iniciar el WatchGuard Server Center Setup Wizard para el Report Server, haga clic en Haga clic
aqu para iniciar el Asistente de configuracin del Report Server.
Aparece el mensaje "El WatchGuard Server Center Setup Wizard se iniciar ahora".
6. Haga clic en Aceptarpara iniciar el asistente.
Aparece el Asistente del WatchGuard Server Center.
Aparece la pgina Revisar la configuracin.
8. Revise la Configuracin del Report Server.
10. Complete el WatchGuard Server Center Wizard.
El asistente instala el programa PostgreSQL y configura el Report Server.
ltimos pasos
1. En la pgina Report Server, haga clic en Actualizar.
Se inicia el Report Server y aparecen las pginas de configuracin del Report Server.
2. Reinicie el Log Server.
Iniciar o detener el Report Server
Puede iniciar o detener el servicio del Report Serveren cualquier momento sin perder la conexin con el
Report Server.
Para iniciar el servicio, desde el WatchGuard Server Center:
1. En el diagrama Servidores, seleccione Report Server .
2. Haga clic derecho en Report Server y seleccione Iniciar servidor.
El servicio se detiene y aparece Report Serveren la parte superior de la pgina Report Server.
Para detener el servicio, desde el WatchGuard Server Center:
1. En el diagrama Servidores, seleccione Report Server .
2. Haga clic derecho en Report Server y seleccione Detener servidor.
3. Haga clic en S para confirmar que desea detener el servicio del Report Server.
El servicio se detiene y aparece Report ServerDetenidoen la parte superior de la pgina Report Server.
Acerca de WatchGuard Report Manager
Puede utilizar el Report Manager para revisar los datos recopilados de los Log Server para todos los
dispositivos de WatchGuard. Desde el Report Manager, puede verlos informes disponibles para un
dispositivo Firebox o XTM, un FireCluster, un servidor o un grupo de sus dispositivos.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 751
Los WatchGuard Report son resmenes de los datos de registro que se recopilan de los archivos de registro
del dispositivo y el servidor. El Report Server recibe los datos del mensaje de registro del Log Server cada
quince minutos. El Report Manager luego consolida los datos de registro en una variedad de informes
predefinidos para que pueda examinar fcilmente las acciones y los eventos del dispositivo. En la pestaa
Informes archivados del Report Manager puede ver los informes que ha programado para que se ejecuten
desde el Report Server. Tambin puede seleccionar la ejecucin de nuevos informes en la pestaa
Informes a pedido.
Cuando selecciona ejecutar un informe a pedido, el Report Server slo puede incluir los datos del mensaje
de registro que recibi del Log Server. Es posible que un mensaje de registro demore hasta media hora en
estar disponible para el Report Server. Para asegurarse de que su informe incluya los datos de los eventos
que desea ver, debe dar cuenta de este retraso cuando selecciona los parmetros para un informe.
Para obtener ms informacin acerca de estos informes predefinidos, consulte Predefinido lista de
informes en la pgina 756.
Tambin puede utilizar la Reporting Web UI (una conveniente interfaz de usuario basada en Internet) para
ver y generar informes. Usted establece la configuracin de la Reporting Web UIcuando configura el
Report Server.
Para obtener ms informacin acerca de cmo configurar la Reporting Web UI, consulte Establecer la
configuracin de la Reporting WebUI en la pgina 746.
Para obtener ms informacin acerca de cmo utilizar la Reporting Web UI, consulte la Ayuda de la
Reporting Web UI.
Mediante las caractersticas avanzadas del Report Manager, usted puede:
n Configurar las opciones de informe El color de fondo del informe, el nmero mximo de registros
por archivo y el directorio donde se almacenan los informes
n Seleccionar parmetros de informe Intervalos de fechas para los informes y filtros para optimizar los
datos de los informes
n Seleccionar el formato de informe HTMLo PDF
n Enviar un informe por correo electrnico, imprimirlo o guardarlo
Nota Para poder ver los informes en el Report Manager, debe tener instalada la versin
6.0 de Microsoft Internet Explorer, o una superior, o el navegador Firefox. Si utiliza
otro explorador web como su explorador web predeterminado, cuando seleccione
un informe, ste no aparecer en la ventana del Report Manager. Para ver los
informes con otro explorador predeterminado, debe realizar la seleccin
manualmente para ver el informe en la ventana de su explorador web
predeterminado.
Para ms informaciones, vea Seleccionar el formato de informe en la pgina 770.
Abrir el Report Manager
Abra el administrador de informes desde la interfaz principal del WatchGuard System Manager (WSM).
1. Desde la barra de herramientas del WSM, haga clic en .
O bien, seleccione Herramientas > Registros > Report Manager.
Aparecen el WatchGuard Report Manager y el cuadro de dilogo Conectar al Report Server.
2. Ingrese la direccin IP de su Report Server, el nombre del usuario administrador y la frase de
contrasea.
Usted estableci la frase de contrasea del administrador cuando complet el WatchGuard Server Center Setup
Wizard.
El Report Manager se conecta con el Report Server y los datos aparecen en la ventana de navegacin izquierda
de WatchGuard Reports.
La primera vez que se conecte a un Report Server, aparecer un cuadro de dilogo Aceptar certificado.
Debe aceptar el certificado para continuar.
Conectar a un Servidor de Informes diferente
Para conectarse a un Report Server diferente mientras est abierto el Report Manager, primero debe
desconectarse del Report Server actual.
1. Seleccione Archivo > Desconectar.
2. Haga clic en la barra de herramientas del Report Manager para conectarse a un Report Server
diferente.
Configurar las opciones de informe
Puede cambiar la configuracin predeterminada para la salida de informe y la plantilla de informe
predeterminada.
1. Haga clic en la barra de herramientas del Report Manager.
O bien, seleccione Ver > Opciones.
Aparece el cuadro de dilogo Opciones con la pestaa General seleccionada.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 753
2. Utilice las secciones subsiguientes para establecer las configuraciones.
3. Cuando haya terminado, haga clic en OK para guardar los cambios.
Establecer la configuracin de los cuadros y los cuadros de dilogo
Puede seleccionar si desea utilizar un fondo claro u oscuro para los cuadros y los cuadros de dilogo. Est
seleccionado un fondo oscuro de manera predeterminada.
Para utilizar un fondo claro en todos los cuadros y los cuadros de dilogo:
2. Desmarque la casilla de verificacin Utilizar fondo oscuro para cuadros y dilogos.
Establezca las configuraciones para la salida de informe
2. Para Especificar el directorio para los archivos de informe, haga clic en Buscar y seleccione la
carpeta en donde desea que el Report Manager guarde el archivo de informe en su disco duro local.
3. Para especificar la vista predeterminada para la salida de informe, seleccione un Tipo de archivo de
informe:
n HTML
n PDF
Cuando abra un informe en el Report Manager, ste se mostrar automticamente en el formato
elegido.
4. Para configurar el nmero mximo de registros que desea incluir en cada archivo HTML, haga clic en
la flecha ascendente o descendente de Registros mximos por archivo HTML.
5. Para configurar el Report Manager para que siempre cree nuevas versiones de los informes
seleccionados, seleccione la casilla de verificacin Recrear siempre el archivo de informe cuando lo
abro.
Es posible que los informes grandes demoren bastante tiempo en generarse. Esta opcin puede requerir ms
tiempo, pero ofrece los datos ms recientes.
Desmarque esta casilla de verificacin para permitir que el Report Manager abra las versiones
actuales de los informes seleccionados.
Esta opcin reduce la cantidad de tiempo necesaria para ver un informe. Es posible que la informacin incluida
en los informes creados con anterioridad no abarque los datos ms recientes.
6. Para eliminar todos los informes que cre cuando cierra el Report Manager, seleccione la casilla de
verificacin Eliminar siempre los archivos de informes que haya creado cuando se cierre el Report
Manager.
Para dejar archivos de informe en el directorio de informes, desmarque esta casilla de verificacin.
7. Para configurar el Report Manager para que lo notifique antes de eliminar los archivos de informes,
seleccione la casilla de verificacin Preguntarme antes de eliminar archivos de informe.
Si desea que el Report Manager elimine los archivos de informe sin notificarlo, desmarque esta
casilla de verificacin.
Seleccione una ubicacin para la plantilla de informe
Para especificar el directorio para los archivos de definicin de informes:
2. En la seccin Plantilla de informe, haga clic en Buscar y seleccione el directorio en donde desea
guardar los archivos de definicin de informes.
Configure los detalles de sus informes
Puede utilizar las Opciones de informe para agregar el logotipo de su compaa en los informes, especificar
un sitio web para que se abra cuando los usuarios hacen clic en el logotipo y especificar el nmero de
informes incluido en la tabla de resumen de informes.
1. Seleccione la pestaa Informe.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 755
2. Para agregar el logotipo de su compaa en la parte superior de los informes, en el cuadro de texto
Especificar el logotipo de la compaa utilizado en el encabezado del informe con un nombre de
ruta completo , ingrese la ruta completa hacia un archivo de imagen o haga clic en Buscar para
seleccionar el archivo.
3. Para agregar una direccin web a donde dirigirse al hacer clic sobre el logotipo de la compaa en
un informe, en el campo Especificar la direccin web cuando un usuario hace clic sobre el logotipo
de la compaa, ingrese la direccin completa del sitio web.
4. Para agregar el enlace de la direccin web al informe, seleccione la casilla de verificacin Agregar
enlace y generar automticamente archivos vinculados.
5. Para especificar cuando el Report Server elimina entradas de la tabla de resumen de informes, haga
clic en la flecha ascendente o descendente del campo Las entradas mximas en la tabla de
resumen de informes.
Predefinido lista de informes
El Report Manager incluye informes predefinidos que puede seleccionar para mostrar los datos que ha
recopilado su dispositivo Firebox o XTM.
Para obtener instrucciones detalladas acerca de cmo mostrar los informes, consulte Seleccionar
parmetros de informe en la pgina 759 y Mostrar un informe en la pgina 763.
Tipo de
informe
Nombre del informe Descripcin
Informes de
clientes
Informes de los
clientes principales
(slo para servidores
proxy)
Informes de los clientes principales por ancho de banda y
conexiones
Informe de actividad
web por cliente (slo
para servidores proxy)
Informe de resumen del uso de la web por parte de un
cliente especfico (incluye cuadros)
Excepciones
Resumen de paquete
negado
Resumen de registro para todos los paquetes negados
Detalle de paquetes
entrantes negados
Registro detallado de cada accin entrante
Detalle de paquete
saliente negado
Registro detallado de cada accin saliente
Alarmas Registros de todas las alarmas
Informes de
Firebox
Estadsticas de Firebox
Estadsticas de ancho de banda de Firebox para todas las
interfaces
Informe de
autenticacin de
usuario negada
Lista detallada de los usuarios a quienes se les neg la
autenticacin. Incluye fecha, hora y motivo de la falla de
autenticacin.
Informe de
autenticacin de
usuario
Lista detallada de usuarios autenticados. Incluye horario de
inicio de sesin, horario de cierre de sesin e informacin
sobre el mtodo de conexin.
Ancho de banda de la
interfaz externa
Resumen de estadsticas de ancho de banda de Firebox (para
interfaces externas)
El intervalo de muestreo de datos se basa en el rango de
tiempo del informe. El intervalo mnimo es de 1 minuto. El
informe publicado prueba los datos cada 10 minutos.
Ancho de banda de los
tneles VPN
Resumen de trfico de los tneles VPN
Auditar rastros Lista detallada de los cambios de configuracin auditados
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 757
Tipo de
informe
para un Firebox
Informes de
antivirus de
puerta de enlace
Resumen de antivirus
de puerta de enlace
Resumen de la accin del antivirus de puerta de enlace
Detalle por protocolo
Detalles de la accin del antivirus de puerta de enlace por
protocolo
Detalle por host
(HTTP)
host
Detalle por virus
virus
Detalle por emisor de
correo electrnico
Detalles de la accin del Gateway AntiVirus por emisor de
correo electrnico
Disponible para SMTP o POP3
Informes del
servicio de
prevencin de
intrusiones
Resumen del servicio
de prevencin de
intrusiones
Todas las acciones de prevencin de intrusiones
Detalle por paquetes
con spoofing
(falsificados) de IP
Detalles del resumen de prevencin por paquetes con
spoofing de IP
Detalle por protocolo Detalles del resumen de prevencin por protocolo
Detalle por gravedad Detalles del resumen de prevencin por gravedad
Detalle por IP de
origen
Detalles del resumen de prevencin por IP de origen
Detalle por firma Detalles del resumen de prevencin por firma
Resmenes de
filtros de
paquetes
Resumen del host Resumen de datos de filtros de paquetes por host
Resumen del servicio Resumen de datos de filtros de paquetes por servicio
Tendencia diaria Resumen de datos de filtros de paquetes por tiempo
Resumen de sesin Resumen de datos de filtros de paquetes por sesin
Proxy POP3
Resumen del servidor
POP3
Actividad del servidor POP3
Resumen de correo Actividad del usuario de correo electrnico POP3
Tipo de
informe
electrnico POP3
Detalle de proxy POP3 Todos los registros por tiempo
Resmenes del
proxy
Resumen del host de
proxy
Resumen del trfico del servidor proxy por host
Resumen del proxy Resumen del trfico del servidor proxy por proxy
Tendencia diaria del
proxy
Resumen del trfico del servidor proxy por tiempo
Resumen de la sesin
de proxy
Resumen del trfico del servidor proxy por sesin
Resumen de
spamBlocker
Resumen de
spamBlocker
Estadsticas por tipo de spam, accin, y emisores y
destinatarios de spam
Defensa de
reputacin
activada
Resumen de la
Defensa de reputacin
activada
Resumen de las acciones de la Defensa de reputacin
activada
Proxy SMTP
Resumen del servidor
SMTP
Resumen de la actividad del servidor SMTP (para cuentas de
correo electrnico internas y externas)
Resumen del correo
electrnico de SMTP
Resumen de la actividad del correo electrnico de SMTP
(para servidores internos y externos)
Detalle de proxy SMTP Registros de la accin de proxy SMTP por tiempo
Informes de
auditoras web
Resumen de
auditoras web
Tendencias, clientes activos, dominios ms populares,
informacin de WebBlocker y sitios web bloqueados por las
reglas de proxy
Se incluyen cuadros para los informes ms detallados. Puede
hacer clic en un cuadro para ver el informe detallado.
Auditora web por
categora
Auditora web por
cliente
Informe de
trfico web
Tendencia de
actividad
Datos de tendencia por hora
Detalle de clientes
ms activos
Clientes de trfico web principal por nombre y direccin IP
Dominios ms
populares
Principales sitios web visitados por los clientes
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 759
Tipo de
informe
Detalles de URL por
tiempo
Todas las URL en orden cronolgico
Detalles de URL por
cliente
Todas las URL ordenadas por cliente
Detalles de URL por
dominio
Todas las URL ordenadas por dominio
Informe de
WebBlocker
Resumen de
WebBlocker
Estadsticas y sitios web bloqueados por el servicio
WebBlocker
WebBlocker por
categora
WebBlocker por
cliente
Seleccionar parmetros de informe
Despus de conectarse a su Report Server, puede utilizar el Report Manager para revisar los datos de
registro. Para mostrar los informes, primero debe seleccionar los dispositivos y el intervalo de tiempo y
fechas que desea incluir en el informe, y luego seleccionar si desea ver un informe archivado o generar un
informe a pedido. Los informes archivados son informes que el Report Serverest programado para
generar a una fecha y hora especficas. Puede seleccionar qu datos de informe desea que se incluyan en
sus informes archivados. Los informes a pedido son informes especficos de WatchGuard que puede
generar con informacin en tiempo real.
Para obtener ms informacin acerca de cmo crear un informe archivado, consulte Configuracin de la
generacin de informes en la pgina 744.
Segn seleccione la pestaa Informes archivados o Informes a pedido, la etiqueta del campo del intervalo
de tiempo y fechas se modifica. Si selecciona Informes archivados, la etiqueta es Generado e indica que
puede seleccionar el intervalo de tiempo durante el cual el informe archivado fue generado por el Report
Server. Si selecciona Informes a pedido, la etiqueta es Generar, e indica que puede seleccionar el rango de
tiempo de los mensajes de registro que desea incluir en el informe.
Seleccione un dispositivo, un intervalo de fechas y una lista de informe
Puede elegir si desea ver los detalles de Firebox, del servidor o del FireCluster en su informe. Tambin
puede elegir si desea ver los informes de un solo miembro de un FireCluster. Para ver un informe,
seleccione un dispositivo y un intervalo de fechas; a continuacin, elija si desea ver un informe archivado o
un informe a pedido.
1. Abrir el Report Manager y conctese con el Report Server,
Aparece la ventana del Report Manager.
2. En la lista desplegable Dispositivo, seleccione un dispositivo, servidor, o FireCluster para obtener sus
informes.
3. En la lista desplegable Generar o Generado, seleccione un intervalo de fechas para el informe.
Para obtener instrucciones acerca de cmo seleccionar los informes que desea mostrar con
intervalos de fechas y tiempo, consulte la seccin Especificar un intervalo de fechas.
4. Para seleccionar una lista de informes, haga clic en la pestaa Informes archivados o Informes a
pedido.
Aparecen los informes disponibles para la lista de informes que seleccion.
Especificar un intervalo de fechas
Para refinar los datos de su informe, puede seleccionar mostrar informes para intervalos de fechas y
horarios especficos en una lista de informe.
1. Haga clic en la lista desplegable Generar o Generado y seleccione Especificar un intervalo.
O bien, seleccione Edicin > Especificar un intervalo.
Aparece el cuadro de dilogo Especificar un intervalo.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 761
2. En la seccin Comienzo, seleccione una fecha y un horario de comienzo.
3. En la seccin Finalizacin, seleccione una fecha y un horario de finalizacin.
4. Haga clic en OK.
El intervalo aparece en la lista desplegable Generar o Generado.
Nota Los intervalos de fechas especificados no se pueden guardar de una sesin a otra.
Cuando cierra el Report Manager, todos los intervalos especificados desaparecen.
Modificar un intervalo de fechas
Puede cambiar los parmetros de fecha y horario que seleccion para un intervalo de fechas.
1. Seleccione el intervalo de fechas que desea modificar desde la lista desplegable Generar o
Generado.
2. Haga clic en .
Aparece el cuadro de dilogo Especificar un intervalo.
3. Cambie las selecciones de fecha y horario de comienzo y finalizacin.
4. Haga clic en OK.
El intervalo actualizado aparece en la lista desplegable Generar o Generado.
Seleccione los informes que desea generar
Desde el Report Manager, despus de conectarse con un Report Server, y de seleccionar el perodo de
tiempo para su informe, puede seleccionar qu tipos de informes desea incluir cuando genera informes en
WatchGuard Reports. Los informes que aparecen se completan sobre la base de los ajustes de su
configuracin para la generacin de registros y los servidores, como tambin para los eventos que ocurren
en su dispositivo. Si seleccion los datos de registro para un tipo de informe y ese tipo de evento ocurri en
su dispositivo, se incluir en la lista. Si no ve un informe determinado en la lista, puede modificar su
configuracin para recopilar los datos de registro de estos informes.
Para obtener ms informacin acerca de cmo seleccionar los dispositivos y el perodo de tiempo de su
informe, consulte Seleccionar parmetros de informe en la pgina 759.
Para obtener ms informacin acerca de la configuracin de generacin de registros, consulte Acerca de la
generacin de registros y archivos de registro en la pgina 613.
Para obtener ms informacin acerca de la configuracin del Log Server, consulte Configurar Registros en
la pgina 631.
Para obtener ms informacin acerca de la configuracin del Report Server, consulte Configure el Report
Generar informes
1. Seleccione Edicin > Crear informes.
Aparece el cuadro de dilogo Crear informe.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 763
2. Para cambiar el directorio en donde se guardan los archivos de informe, haga clic en Buscar.
3. Seleccione HTMLo PDF como el Tipo de archivo de informe.
El Report Manager muestra automticamente los informes en el formato que seleccion.
4. Seleccione las casillas de comprobacin de la lista para cada informe que desee generar.
Para seleccionar todos los informes de la lista, seleccione la casilla de verificacin Informes
disponibles en el servidor.
5. Si desea que el cuadro de dilogo Crear informe se mantenga abierto despus de que todos los
informes se hayan generado con xito, desmarque la casilla de verificacin Cerrar este cuadro de
dilogo automticamente despus de que todos los informes se hayan generado con xito.
6. Haga clic en Comenzar.
El Report Manager genera los informes seleccionados.
Mostrar un informe
Despus de seleccionar los parmetros de informe y de seleccionar qu informes desea generar, puede
mostrar sus informes. Los informes se agrupan por fecha y luego por tipo de informe para todos los
dispositivos seleccionados.
Para mostrar un informe en el Report Manager:
1. Abrir el Report Manager y conctese con el Report Server
2. Seleccionar parmetros de informe para elegir un dispositivo y un intervalo de fechas y horarios
para el informe.
3. Seleccione la pestaa Informes archivados o Informes a pedido.
4. Haga clic sobre el nombre de un informe en la lista de WatchGuard Reports.
Aparece el cuadro de dilogo Progreso y luego aparece el informe seleccionado a la derecha. Si seleccion que
desea ver los informes en su explorador predeterminado, el informe se abrir en la ventana del explorador.
Algunos informes incluyen enlaces a datos del dispositivo. Si seleccion un informe que tiene
enlaces a datos del dispositivo, haga clic en cada enlace para ver los datos.
Aparecen los datos del dispositivo.
5. Para detener la generacin de informes, haga clic en .
6. Para actualizar el informe seleccionado, haga clic en
O bien, seleccione Edicin > Actualizar la lista de informes.
Para obtener ms informacin acerca de la definicin y seleccin de los filtros del informe, consulte Filtre
los datos del informe en la pgina 766.
Para obtener ms informacin acerca de la seleccin de parmetros del informe, consulte Seleccionar
parmetros de informe en la pgina 759.
Para obtener ms informacin acerca de cmo seleccionar la generacin de un informe, consulte
Seleccione los informes que desea generar en la pgina 762.
Para obtener ms informacin acerca de los informes disponibles, consulte Predefinido lista de informes en
la pgina 756.
Encontrar un informe en la lista
Puede utilizar el campo Buscar del Report Manager para encontrar un informe especfico en la lista.
1. Seleccione la seccin de informes que desea incluir en la bsqueda.
Por ejemplo, para buscar en todos los informes que se muestran, haga clic en WatchGuard Reports en la parte
superior de la lista.
2. En el campo Buscar en la parte inferior del Report Manager, ingrese una frase que desee encontrar
dentro de los informes de la lista.
3. Haga clic en .
O bien, presione Intro en el teclado.
Si la frase se incluye en los informes mostrados, se destaca la primera instancia del informe en la lista y
aparece el informe.
4. Vuelva a hacer clic en para buscar ms informes en la lista.
Si la frase no est incluida en los informes mostrados, aparece la indicacin "Frase no encontrada" debajo del
campo Buscar.
Encontrar detalles en un informe
Puede utilizar el cuadro de dilogo Buscar para encontrar detalles dentro de un informe.
1. En la lista WatchGuard Report, seleccione un informe.
Aparecen los datos del informe.
2. Presione Ctrl + F en el teclado.
Aparece el cuadro de dilogo Buscar.
3. En el campo Buscar, ingrese la frase que desea buscar.
4. Seleccione la casilla de verificacin si desea incorporar cualquier parmetro de bsqueda adicional.
Entre las opciones se incluyen Distinguir maysculas de minsculas, Bsqueda mixta y Hacia atrs.
5. Haga clic en Buscar.
Ver los informes de uso de la web por parte de un cliente
Los informes de los clientes son uno de todos los tipos de informes disponibles en el Report Server como
informes a pedido. Incluyen informacin como mensajes de registro de proxy acerca de un usuario
autenticado, nombre de host o direccin IP del dispositivo o grupo seleccionado. Existen dos tipos de
informes de clientes: Cliente principal y Por cliente.
Ejecute un informe de cliente principal
Los mensajes de registro para los informes de cliente principal incluyen solamente la informacin de la
direccinIP. Como estos mensajes de registro no incluyen adems los parmetros de nombre de host y
nombre de usuario, los informes de cliente principal se dividen en tres selecciones:
n Cliente principal por direccin IP
n Cliente principal por nombre de host
n Cliente principal por usuarios autenticados
Para ver un informe de cliente principal en el Report Manager:
2. En la lista desplegable Dispositivo, seleccione un dispositivo, servidor, o FireCluster.
3. Enlalistadesplegable Generar, seleccione unintervalode fechas parael informe.
Params informaciones, veaConfigurar Servidores deWatchGuard SystemManager enlapgina501.
4. Seleccione la pestaa Informes a pedido.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 765
5. En la lista WatchGuard Reports, seleccione Informe de cliente principal por [tipo de informe].
Aparece el informe seleccionado.
Ejecute un informe por cliente
El informe por cliente incluye un resumen de actividad detallado para el cliente especfico en el dispositivo
y para el intervalo de tiempo que haya seleccionado. Puede elegir si desea incluir uno o ms parmetros en
este informe. Las opciones incluyen:
n Nombre de usuario o identificacin
n Direccin IP
n Nombre de host
Tambin debe seleccionar un dominio para los parmetros seleccionados.
Para ver un informe por cliente en el Report Manager:
2. En la lista desplegable Dispositivo, seleccione un dispositivo, servidor, o FireCluster.
3. Enlalistadesplegable Generar, seleccione unintervalode fechas parael informe.
Params informaciones, veaConfigurar Servidores deWatchGuard SystemManager enlapgina501.
4. Seleccione la pestaa Informes a pedido.
5. En la lista WatchGuard Reports, seleccione Informe de actividad web por cliente.
Aparece el cuadro de dilogo Configuracin de informe por cliente.
6. Ingrese el Nombre de usuario, la Direccin IPo el Nombre de host que desea incluir en el informe.
7. En la lista desplegable Dominio, seleccione el Servidor de autenticacin del dominio.
8. Haga clic en OK.
Aparece un informe con la informacin que especific.
Despus de seleccionar los parmetros para un informe por cliente, puede hacer clic en la lista desplegable
para seleccionar el mismo parmetro para otro informe. Cuando cierre el Report Manager, el historial de
parmetros se eliminar de manera automtica. Tambin puede eliminar el historial de manera manual.
En el cuadro de dilogo Configuracin de informe por cliente:
1. Haga clic en la lista desplegable del historial de parmetros que desea eliminar.
2. Seleccione Eliminar historial.
Se elimina el historial del parmetro seleccionado.
Filtre los datos del informe
Puede crear filtros para refinar la informacin que se incluye en sus informes. Las categoras de datos que
define para cada filtro se pueden combinar para otorgarle flexibilidad con respecto a lo que ve en sus
informes. Cuando cierra el Report Manager, sus filtros se guardan para que pueda aplicarlos a futuros
informes. Tambin puede modificar los valores asignados a sus filtros para cambiar los detalles que ve en
los datos de sus informes. Los filtros no estn disponibles para todos los informes.
Para obtener una lista de los informes que puede filtrar, consulte .
Slo puede filtrar los datos de los informes cuando ve los informes en el Report Manager. Si ve los informes
en un explorador web, no podr filtrar los datos del informe.
Definir un filtro
Puede definir un filtro en el Report Manager despus de seleccionar un informe.
1. Seleccionar parmetros de informe y Mostrar un informe.
Aparece el informe.
2. En la lista desplegable Seleccionar filtro, seleccione Definir un filtro.
Aparece el cuadro de dilogo Definir un filtro.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 767
3. En el campo Nombre, ingrese un nombre para el filtro.
4. Haga clic en Agregar para crear una categora de datos para el filtro.
Aparece el cuadro de dilogo Definir categora de filtro.
5. En la lista desplegable, seleccione Categora de datos.
IP de origen/nombre de host
La direccin IP de origen o el nombre de host incluidos en la entrada de registro.
Nmero de puerto
El puerto de origen o de destino incluido en la entrada de registro.
Nombre de usuario
El nombre de usuario incluido en la entrada de registro. El valor para esta categora no
distingue maysculas de minsculas.
IP de destino/Nombre de host
La direccin IP de destino o el nombre de host incluidos en la entrada de registro.
6. En el cuadro de texto Valores, ingrese un valor para la categora de datos.
El valor aparece en la ventana Valores.
8. Seleccione una Regla de coincidencia para la categora de filtro.
9. Haga clic en OK.
La categora de filtro aparece en la lista de categoras de filtro.
10. Seleccione una Regla de coincidencia para el filtro.
11. Seleccione una opcin de Contenido del informe para incluir o excluir el contenido filtrado.
El filtro aparece en la lista desplegable Seleccionar filtro.
Aplicar o eliminar un filtro
Slo puede aplicar un filtro a determinados informes. Para ms informaciones, vea Informes que puede
filtrar en la pgina 770.
Para aplicar un filtro a un informe:
1. En la lista WatchGuard Report, seleccione un informe.
2. En la lista desplegable Seleccionar filtro, seleccione un filtro o Definir un filtro.
Si un filtro est aplicado a un informe y selecciona un informe diferente en la lista WatchGuard Report, el
mismo filtro se aplicar automticamente al nuevo informe seleccionado. Puede aplicar un filtro diferente
al informe o eliminar todos los filtros del informe.
Para eliminar los filtros de un informe:
En la lista desplegable Seleccionar filtro, seleccione Ninguno.
Los datos del informe aparecen sin filtrarse en el informe seleccionado.
Modificar un filtro
Puede cambiar cualquiera de los detalles del filtro despus de crearlo.
1. En la lista desplegable Seleccionar filtro, seleccione el filtro que desea cambiar.
2. Haga clic en .
Aparece el cuadro de dilogo Modificar un filtro.
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 769
3. Para crear otra categora de datos para el filtro, haga clic en Agregar.
Aparece el cuadro de dilogo Definir categora de filtro.
4. Complete todos los campos necesarios y haga clic en OK.
5. Para cambiar una categora de datos, seleccione la categora y haga clic en Editar.
Aparece el cuadro de dilogo Modificar categora de filtro.
7. Para cambiar el nombre del filtro, ingrese un nuevo nombre en el campo Nombre.
8. Haga cualquier cambio a Regla de coincidencia y Contenido del informe.
9. Haga clic en OK.
El filtro modificado aparece en la lista desplegable Seleccionar filtro.
Eliminar filtros
Puede eliminar todos los filtros de la lista, pero no puede borrar un filtro por vez.
1. Haga clic en la lista desplegable Seleccionar filtros y seleccione Eliminar filtros.
2. Haga clic en OK.
Se eliminan todos los filtros de la lista.
Informes que puede filtrar
Los WatchGuard Report incluyen una amplia lista de informes. El filtro del Report Manager no est
disponible para todos los informes. Slo puede utilizarlo con estos informes:
n Excepciones
n Alarmas
n Informes de Firebox
n Auditar rastros
n Autenticacin de usuario
n Autenticacin de usuario negada
n Informes de Gateway AntiVirus
n Detalle por emisor de correo electrnico
n Detalle por host (HTTP)
n Detalle por protocolo
n Detalle por virus
n Informes del Intrusion Prevention Service
n Detalle por paquetes con spoofing (falsificados) de IP
n Detalle por protocolo
n Detalle por gravedad
n Detalle por firma
n Detalle por IP de origen
n Resmenes de filtros de paquetes
n Tendencia diaria
n Resumen del servicio
n Resumen de sesin
n Informe de trfico web
n Detalles de URL por cliente
n Detalles de URL por dominio
n Detalles deURL por tiempo
n Informe de WebBlocker
n WebBlocker por categora
n WebBlocker por cliente
Seleccionar el formato de informe
Puede ver el informe en formato HTML o PDF, o bien en su explorador web predeterminado.
1. Mostrar un informe.
2. Seleccione un formato para su informe:
n Para ver el informe en formato HTML, haga clic en .
n Para ver el informe en formato PDF, haga clic en .
n Para ver el informe en su explorador web predeterminado, haga clic en
Informes WatchGuard
Informes WatchGuard
Gua del Usuario 771
Nota Si su explorador web predeterminado no es Internet Explorer o Firefox, debe
seleccionar que desea ver los informes en su explorador web predeterminado en
lugar de en la ventana del Report Manager.
Enviar un informe por correo electrnico, imprimirlo o
guardarlo
Puede enviar un informe por correo electrnico, imprimirlo o guardarlo directamente desde el Report
Manager.
Enve un informe por correo electrnico
2. Haga clic en .
O bien, seleccione Archivo > Enviar a.
Si el informe se est en formato HTML, se abre un mensaje de correo electrnico con un enlace al archivo
HTML.
Si el informe est en formato PDF, se abre un mensaje de correo electrnico con el tipo de archivo seleccionado
adjunto.
Imprima un informe
2. Haga clic en .
O bien, seleccione Archivo > Imprimir.
3. Si el informe est en formato HTML, se abre el cuadro de dilogo Imprimir.
Seleccione los parmetros de impresin que desea y haga clic en Imprimir.
Si el informe est en formato PDF, el informe aparece en una ventana independiente.
Imprmalo desde la ventana de esa aplicacin.
Guarde un informe
2. Haga clic en .
O bien, seleccione Archivo > Guardar como.
3. Seleccione una ubicacin, un nombre de archivo y un tipo de archivo.
Utilice la interfaz de programacin de
aplicaciones de servicios web para recuperar
datos de registro e informes
Con la interfaz de programacin de aplicaciones de servicios web, puede exportar trfico y mensajes de
alarma de sus archivos de registro y todos los datos de sus reportes generados Archivados y A pedido. La
interfaz de programacin de aplicaciones de servicios web de informe proporciona una interfaz basada en
SOAP (Protocolo de acceso de objeto simple) que puede utilizar para extraer los datos del WatchGuard Log
Server y del Report Server. Las herramientas de terceros que son Sensibles a los servicios web pueden
utilizar esta interfaz de programacin de aplicaciones para conectarse fcilmente y extraer los datos de
registro y de archivos de reporte para generar reportes personalizados. Cuando genera reportes
personalizados, puede combinar informacin de otras fuentes con los datos extrados para personalizar sus
reportes an ms.
Instalacin y documentacin
Cuando instala el Log Server o el Report Server, se instalan automticamente el servidor de servicios web,
el archivo WSDL (Idioma de descripcin de los servicios web) y la documentacin relacionada.
Para conocer las instrucciones de instalacin, consulte Instale el software WatchGuard System Manager.
Los archivos y la documentacin de la interfaz de programacin de aplicaciones de servicios web se instalan
en esta ubicacin:
C:\Program Files\WatchGuard\wsm11\wsserver\wsdl
Para utilizar la interfaz de programacin de aplicaciones de servicios web, debe tener estos archivos:
n LogsService.wsdl Archivo WSDL (Idioma de descripcin de los servicios web)
n LogsService.xsd Esquema de la interfaz de programacin de aplicaciones de servicios web
n LogsService.html Documentacin de referencia del WSDL
n LogsService-UserGuide.pdf Una gua con instrucciones para utilizar la interfaz de
programacin de aplicaciones de servicios web
n LogsServiceEclipse.pdf
Tambin puede buscar en la Base de consulta de WatchGuard para obtener ejemplos de cmo puede
utilizar la interfaz de programacin de aplicaciones de servicios web para generar reportes con
herramientas de terceros.
Informes WatchGuard
Gua del Usuario 773
24
Certificates and the Certificate
Authority
Acerca de los certificados
Los certificados hacen coincidir la identidad de una persona u organizacin con un mtodo para que otros
verifiquen la identidad y la seguridad de las comunicaciones. Usan un mtodo de cifrado llamado par de
claves, o dos nmeros relacionados matemticamente llamados clave privada y la clave pblica. Un
certificado incluye tanto una afirmacin de identidad como una clave pblica y es firmado por una clave
privada.
La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el
certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear
el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves
diferentes, el resultado es un certificado comn. Los certificados con claves privadas que pueden ser
utilizados para firmar otros certificados son llamados CertificadosCA(Autoridad de Certificacin, en sus
siglas en ingls). Una autoridad de certificacin es una organizacin o aplicacin que firma o revoca los
certificados.
Si su organizacin tiene una configuracin de PKI (infraestructura de clave pblica), usted mismo puede
firmar certificados como CA. La mayora de las aplicaciones y dispositivos automticamente aceptan
certificados de CAs de confianza y relevantes. Los certificados que no son firmados por CAs relevantes, tal
como un certificado autofirmado, no son aceptados automticamente por diversos servidores o programas
y no funcionan correctamente con algunas funciones del Fireware XTM.
Usar mltiples certificados para determinar la confianza
Se pueden usar diversos certificados juntos para crear una cadena de confianza. Por ejemplo, el certificado
CA al principio de la cadena es de una CA relevante y es usado para firmar otro certificadoCA para una CA
ms pequea. Esa CA ms pequea puede, luego, firmar otro certificado CA usado por su organizacin.
Finalmente, su organizacin puede usar ese certificadoCA para firmar otro certificado para ser usado con la
funcin de inspeccin de contenido proxy deHTTPS. No obstante, para usar ese certificado final en el
extremo de la cadena de confianza, primero se debe importar todos los certificados en la cadena de
confianza en el siguiente orden:
1. CertificadoCA de la CA relevante (como tipo "Otro")
2. Certificado CA de la CA ms pequeo (como tipo "Otro")
3. CertificadoCA de la organizacin (como tipo "Otro")
4. Certificado usado para reencriptar contenido proxy de HTTPS despus de la inspeccin (como tipo
"Autoridad proxy deHTTPS")
Tambin podra ser necesario importar todos esos certificados en cada dispositivo cliente para que el
ltimo certificado tambin sea de confianza para los usuarios.
Para ms informaciones, vea Ver y administrar Certificados de Firebox en la pgina 781Ver y administrar
certificados de Firebox.
Cmo el Firebox usa certificados
Su Firebox usa certificados para varios propsitos:
n Los datos de la sesin de administracin est protegidos con un certificado.
n Los tneles BOVPN o Mobile VPN with IPSec puede usar certificados para autenticacin.
n Cuando se habilita la inspeccin de contenido, el proxy de HTTPS usa un certificado para cifrar
nuevamente el trfico HTTPS entrante despus de ser descifrado para inspeccin.
n Puede usar un certificado con el proxy de HTTPS para proteger un servidor web en su red.
n Cuando un usuario se autentica con el Firebox para cualquier finalidad, tal como una anulacin del
WebBlocker, la conexin queda protegida con un certificado.
Por defecto, su Firebox crea certificados autofirmados para proteger los datos de sesin de administracin
e intentos de autenticacin para el Fireware XTMWeb UI y para la inspeccin de contenido proxy de HTTPS.
Para asegurar que el certificado usado para la inspeccin de contenido HTTPS sea nico, su nombre incluye
el nmero de serie de su dispositivo y la hora en la cual el certificado fue creado. Como esos certificados no
son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.
Hay tres opciones para remover ese alerta:
1. Puede importar certificados firmados por una CA en los cuales su organizacin confa, tal como un
PKI ya configurado para su organizacin, para ser usado con esas funciones. Recomendamos que use
esa opcin si posible.
2. Puede crear un certificado autofirmado personalizado que coincida con el nombre y ubicacin de su
organizacin.
3. Puede usar el certificado autofirmado predeterminado.
En la segunda y tercera opciones, puede pedir que los clientes de red acepten esos certificados
autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos
con las herramientas de administracin de red. Debe tener el WatchGuard System Manager instalado para
exportar certificados.
CRLs y caducidad de certificados
Cada certificado tiene una caducidad determinada cuando es creado. Cuando el certificado llega al fin de la
caducidad definida, se vence y ya no puede ser usado automticamente. Tambin puede remover los
certificados manualmente con el Firebox System Manager (FSM).
Certificates and the Certificate Authority
Gua del Usuario 775
A veces la CA revoca o desactiva los certificados antes que caduquen. Su Firebox mantiene una lista
actualizada de esos certificados revocados, llamada Lista de Revocacin de Certificados (CRL, las siglas en
ingls), para verificar que los certificados usados por una autenticacinde VPN son vlidos. Si tiene el
WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System
Manager (FSM), o automticamente con la informacin de un certificado. Cada certificado incluye un
nmero nico usado para identificarlo. Si el nmero nico en un certificado de servidor web, BOVPN o
Mobile VPN with IPSec coincide con un identificador de su CRL asociado, el Firebox desactiva el certificado.
Cuando se activa la inspeccin de contenido en un proxy deHTTPS, el Firebox puede verificar el
respondedor de OCSP (Protocolo de estado del certificado online) asociado a los certificados usados para
firmar el contenido de HTTPS. El respondedor de OCSP enva el estado de la revocacin del certificado. El
Firebox acepta la respuesta del OCSP si sta est firmada por un certificado en el cual Firebox confa. Si la
respuesta del OCSP no est firmada por un certificado en el que Firebox confa, o si el respondedor del
OCSP no enva una respuesta, entonces se puede configurar el Firebox para que acepte o rechace el
certificado original.
Para ms informaciones acerca de las opciones deOCSP, vea Proxy de HTTPS: Inspeccin de contenido en la
pgina 423.
Solicitudes de firmas y autoridades de certificacin
Para crear un certificado autofirmado, se pone parte de un par de claves criptogrficos en una solicitud de
firma de certificado (CSR) y enva la solicitud a una CA. Es importante usar un nuevo par de claves para cada
CSR creada. La CA emite un certificado despus de recibir la CSR y verificar su identidad. Si tiene el software
del FSMo Management Server instalado, puede usar esos programas para crear una CSR para su Firebox.
Tambin puede usar otras herramientas, tal como OpenSSL o el Microsoft CAServer que viene con la
mayora de los sistemas operativos de Windows Server.
Si desea crear un certificado para ser usado con la funciones de inspeccin de contenido proxy deHTTPS,
debe ser un certificadoCA que pueda firmar nuevamente otros certificados. Si crea una CSR con el Firebox
System Manager y lo firma por una CA relevante, esa CSR puede ser usada como un certificado CA.
Si no tiene un PKI configurado en su organizacin recomendamos que elija una CA relevante para firmar las
CSRs usadas, excepto para el certificado CA del proxy de HTTPS. Si una CA relevante firma sus certificados,
stos son automticamente considerados de confianza por la mayora de los usuarios. WatchGuard prob
los certificados firmados por VeriSign, Microsoft CAServer, Entrust y RSA KEON. Tambin puede importar
certificados adicionales para que su Firebox confe en otras CAs.
Para obtener una lista completa de las CAs automticamente de confianza, vea Autoridades de Certificacin
confiadas por Firebox en la pgina 776.
En el WatchGuard System Manager, el Management Server tambin funciona como una CA. La CA otorga
certificados a los dispositivos Firebox cuando contactan el Management Server para recibir actualizaciones
de configuracin.
Params informaciones,veaConfigurar la autoridaddecertificacinen el Management Server enlapgina513.
Autoridades de Certificacin confiadas por Firebox
Por defecto, su Firebox confa en la mayora de las autoridades de certificacin (CAs) que los exploradores
web actuales. Recomendamos que importe certificados firmados por una CA en esa lista para el proxy de
HTTPS o Fireware XTMWeb UI, para que los usuarios no vean los alertas de certificado en su explorador
web cuando usan esas funciones. Sin embargo, tambin se puede importar certificados de otras CAs para
que sus certificados sean de confianza.
Si tiene instalado el WatchGuard System Manager, una copia de cada certificado es almacenada en su disco
duro en:
C:\Documents and Settings\WatchGuard\wgauth\certs\README
Lista de Autoridades de Certificacin
C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority - G2,
OU=(c) 1998 VeriSign, Inc. - Slo para uso autorizado, OU=VeriSign Trust
Network
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting, OU=Certification
Services Division, CN=Thawte Personal Premium CA/direccinemail=personal-
premium@thawte.com
C=ES, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion
Firmaprofesional CIF A62634068/direccinEmail=ca@firmaprofesional.com
C=HU, ST=Hungra, L=Budapest, O=NetLock Halozatbiztonsagi Kft.,
OU=Tanusitvanykiadok, CN=NetLock Kozjegyzoi (Class A) Tanusitvanykiado
C=ZA, ST=Western Cape, L=Durbanville, O=Thawte, OU=Thawte Certification,
CN=Thawte Timestamping CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 1999 VeriSign, Inc.
- Slo para uso autorizado, CN=VeriSign Class 4 Public Primary Certification
Authority - G3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Qualified CA Root
C=DK, O=TDC Internet, OU=TDC Internet Root CA
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority -
G2, OU=(c) 1998 VeriSign, Inc. - Slo para uso autorizado, OU=VeriSign Trust
Network
C=US, O=Wells Fargo, OU=Wells Fargo Certification Authority, CN=Wells Fargo
Root Certificate Authority
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
CN=Test-Only Certificate
C=US, O=Entrust, Inc., OU=www.entrust.net/CPS est incluido como referencia,
OU=(c) 2006 Entrust, Inc., CN=Entrust Root Certification Authority
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Class 1 CA Root
C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO
Certification Authority
O=RSA Security Inc, OU=RSA Security 2048 V3
Services Division, CN=Thawte Personal Basic CA/direccinEmail=personal-
basic@thawte.com
C=FI, O=Sonera, CN=Sonera Class1 CA
O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server
CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97
VeriSign
Gua del Usuario 777
C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
C=US, O=Equifax Secure Inc., CN=Equifax Secure eBusiness CA-1
C=JP, O=SECOM Trust.net, OU=Security Communication RootCA1
C=US, O=America Online Inc., CN=America Online Root Certification Authority 1
C=HU, L=Budapest, O=NetLock Halozatbiztonsagi Kft., OU=Tanusitvanykiadok,
CN=NetLock Uzleti (Class B) Tanusitvanykiado
C=US, ST=UT, L=Salt Lake City, O=The USERTRUST Network,
OU=http://www.usertrust.com, CN=UTN - DATACorp SGC
C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
C=US, O=VeriSign, Inc., OU=Class 2 Public Primary Certification Authority
C=CH, O=SwissSign AG, CN=SwissSign Gold CA - G2
C=US, O=RSA Data Security, Inc., OU=Secure Server Certification Authority
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Authority - G3
C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp
Global Certification Authority
C=PL, O=Unizeto Sp. z o.o., CN=Certum CA CA
C=US, O=Entrust.net, OU=www.entrust.net/CPS incorp. by ref. (limita
responsabilidad.), OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Secure
Server Certification Authority
L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy
Validation Authority,
CN=http://www.valicert.com//emailAddress=info@valicert.com
C=CH, O=SwissSign AG, CN=SwissSign Platinum CA - G2
OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
O=Digital Signature Trust Co., CN=DST Root CA X3
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 1
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Secure
Certificate Services
O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at
https://www.verisign.com/rpa (c)00, CN=VeriSign Time Stamping Authority CA
O=Entrust.net, OU=www.entrust.net/GCCA_CPS incorp. by ref. (limita respons.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Client Certification
Authority
C=US, O=SecureTrust Corporation, CN=Secure Global CA
C=US, O=Equifax, OU=Equifax Secure Certificate Authority
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - RSA Implementation
C=WW, O=beTRUSTed, CN=beTRUSTed Root CAs, CN=beTRUSTed Root CA
C=US, O=GeoTrust Inc., CN=GeoTrust Primary Certification Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Premium Server CA/direccinEmail=premium-
server@thawte.com
C=US, O=SecureTrust Corporation, CN=SecureTrust CA
OU=Extended Validation CA, O=GlobalSign, CN=GlobalSign Extended Validation CA
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA 2
C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Root CA
C=IL, ST=Israel, L=Eilat, O=StartCom Ltd., OU=CA Authority Dep., CN=Free SSL
Certification Authority/direccinEmail=admin@startcom.org
C=US, O=VISA, OU=Visa International Service Association, CN=Visa eCommerce
Root
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA - Entrust
Implementation
Authority - G5
C=US, O=Equifax Secure Inc., CN=Equifax Secure Global eBusiness CA-1
C=ES, ST=Barcelona, L=Barcelona, O=IPS Internet publishing Services s.l.,
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Chained CAs Certification
Authority, CN=IPS CA Chained CAs Certification Authority/direccinEmail=ips@m
IPSail.ips.es
DC=com, DC=microsoft, DC=corp, DC=redmond, CN=Microsoft Secure Server
Authority
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 3
C=TW, O=Government Root Certification Authority
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=Trusted
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA 2
C=US, O=Entrust.net, OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref.
limits liab., OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Client
C=FR, O=Certplus, CN=Class 2 Primary CA
C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification
Authority
Services Division, CN=Thawte Personal Freemail CA/emailAddress=personal-
freemail@thawte.com
O=Entrust.net, OU=www.entrust.net/CPS_2048 incorp. by ref. (limita respons.),
OU=(c) 1999 Entrust.net Limited, CN=Entrust.net Certification Authority
(2048)
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA1 Certification
Authority, CN=IPS CA CLASEA1 Certification
Authority/direccinEmail=ips@mail.ips.es
C=US, O=AOL Time Warner Inc., OU=America Online Inc., CN=AOL Time Warner Root
Certification Authority 2
Network
C=US, O=VISA, OU=Visa International Service Association, CN=GP Root 2
C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Trminos de uso en
https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended Validation
SSL CA
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Global Chambersign Root
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 2 CA/direccinEmail=certificate@trustcenter.de
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust
Global Root
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Trminos de utilizacin
Gua del Usuario 779
en https://www.verisign.com/rpa (c)05, CN=VeriSign Class 3 Secure Server CA
C=US, O=GTE Corporation, CN=GTE CyberTrust Root
Authority - G3
OU=http://www.usertrust.com, CN=UTN-USERFirst-Network Applications
CN=NetLock Minositett Kozjegyzoi (Class QA)
Tanusitvanykiado/direccinEmail=info@netlock.hu
Authority - G3
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X2,
CN=DST RootCA X2/direccinEmail=ca@digsigtrust.com
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE3 Certification
Authority, CN=IPS CA CLASE3 Certification Authority/direccinEmail=ips@m
IPSail.ips.es
O=RSA Security Inc, OU=RSA Security 1024 V3
C=US, O=Equifax Secure, OU=Equifax Secure eBusiness CA-2
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte,
Inc. - Slo para uso autorizado, CN=thawte Primary Root CA
C=us, ST=Utah, L=Salt Lake City, O=Digital Signature Trust Co., OU=DSTCA X1,
CN=DST RootCA X1/direccinEmail=ca@digsigtrust.com
C=US, O=Network Solutions L.L.C., CN=Network Solutions Certificate Authority
C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification
Services Division, CN=Thawte Server CA/direccinEmail=server-certs@thawte.com
Network
C=NL, O=DigiNotar, CN=DigiNotar Root CA CA/=info@diginotar.nl
C=US, O=America Online Inc., CN=America Online Root Certification Authority 2
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA Timestamping Certification
Authority, CN=IPS CA Timestamping Certification
C=US, O=DigiCert Inc., CN=DigiCert Security Services CA
C=US, O=Digital Signature Trust, OU=DST ACES, CN=DST ACES CA X6
C=DK, O=TDC, CN=TDC OCES CA
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASEA3 Certification
Authority, CN=IPS CA CLASEA3 Certification
OU=http://www.usertrust.com, CN=UTN-USERFirst-Correo electrnico y
autenticacin del cliente
C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA CA Limited, CN=AAA
CN=http://www.valicert.com//direccinEmail=info@valicert.com
O=ips@mail.ips.es C.I.F. B-60929452, OU=IPS CA CLASE1 Certification
Authority, CN=IPS CA CLASE1 Certification
C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root
C=CH, O=SwissSign AG, CN=SwissSign Silver CA - G2
C=US, O=Digital Signature Trust Co., OU=DSTCA E2
C=US, O=Digital Signature Trust Co., OU=DSTCA E1
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc.,
OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure
Certification Authority/nmeroSerie=07969287
C=EU, O=AC Camerfirma SA CIF A82743287, OU=http://www.chambersign.org,
CN=Chambers of Commerce Root
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root
CA
C=US, ST=DC, L=Washington, O=ABA.ECOM, INC., CN=ABA.ECOM Root
CA/direccinEmail=admin@digsigtrust.com
C=ES, ST=BARCELONA, L=BARCELONA, O=IPS Seguridad CA CA, OU=Certificaciones,
CN=IPS SERVIDORES/direccinEmail=ips@mail.ips.es
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
C=ch, O=Swisscom, OU=Digital Certificate Services, CN=Swisscom Root CA 1
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=ANKARA, O=(c) 2005
T\xC3\x9CRKTRUST Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim
G\xC3\xBCvenli\xC4\x9Fi Hizmetleri A.\xC5\x9E.
Authority - G5
C=DE, ST=Hamburg, L=Hamburg, O=TC TrustCenter for Security in Data Networks
GmbH, OU=TC TrustCenter Class 3 CA/direccinEmail=certificate@trustcenter.de
CN=NetLock Expressz (Class C) Tanusitvanykiado
OU=http://www.usertrust.com, CN=UTN-USERFirst-Object
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certification Authority
C=US, O=Akamai Technologies Inc, CN=Akamai Subordinate CA 3
C=SE, O=AddTrust AB, OU=AddTrust TTP Network, CN=AddTrust Public CA Root
CN=T\xC3\x9CRKTRUST Elektronik Sertifika Hizmet
Sa\xC4\x9Flay\xC4\xB1c\xC4\xB1s\xC4\xB1, C=TR, L=Ankara, O=T\xC3\x9CRKTRUST
Bilgi \xC4\xB0leti\xC5\x9Fim ve Bili\xC5\x9Fim G\xC3\xBCvenli\xC4\x9Fi
Hizmetleri A.\xC5\x9E. (c) Kas\xC4\xB1m 2005
C=US, O=GeoTrust Inc., CN=GeoTrust Universal CA
C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Trminos de utilizacin
en https://www.verisign.com/rpa (c)06, CN=VeriSign Class 3 Extended
Validation SSL SGC CA
O=Entrust.net, OU=www.entrust.net/SSL_CPS incorp. por ref. (limita respons.),
OU=(c) 2000 Entrust.net Limited, CN=Entrust.net Secure Server Certification
Authority
Gua del Usuario 781
CN=Microsoft Internet Authority
CN=http://www.valicert.com//direccinEmail=info@valicert.com
OU=http://www.usertrust.com, CN=UTN-USERFirst-Hardware
C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External
CA Root
C=FI, O=Sonera, CN=Sonera Class2 CA
O=beTRUSTed, OU=beTRUSTed Root CAs, CN=beTRUSTed Root CA-Baltimore
Implementation
C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom
Ver y administrar Certificados de Firebox
En el Firebox System Manager, se puede:
n Ver un listado de los certificados actuales de Firebox y sus propiedades.
n Remover un certificado del Firebox.
n Crear una solicitud de firma de certificado (CSR).
n Importar un certificado o CRL (lista de revocacin de certificados).
n Exportar un certificado para nueva firma o distribucin.
Ver los certificados actuales
Para ver el listado actual de certificados:
2. Seleccione Ver > Certificados.
En ese cuadro de dilogo, puede ver una lista de todos los certificados y solicitudes de firma de
certificado (CSRs). El listado incluye:
n El estado y tipo del certificado.
n El algoritmo usado por el certificado.
n El nombre del sujeto o identificador del certificado.
Por defecto, los certificadosCA de confianza no aparecen en esta lista. Puede elegir mostrar todos
los certificados en las CAs de confianza.
3. Para mostrar todos los certificados en CAs de confianza, seleccione la casilla Mostrar CAs de
confianza para proxy deHTTPS.
4. Para ocultar los certificados CA de confianza nuevamente, limpie la casilla Mostrar CAs de confianza
para proxy deHTTPS.
5. Para ver datos adicionales acerca de un certificado en la lista, seleccione el mismo y haga clic en
Detalles.
Aparece el cuadro de dilogo "Detalles del certificado" con la informacin acerca de cul CA firm el
certificado y la huella digital del certificado. Puede usar esa informacin para solucionar problemas o
identificar los certificados de manera nica.
Eliminar un certificado
Cuando elimina un certificado, ste ya no puede ser usado para autenticacin. Si elimina uno de los
certificados generados automticamente, tal como el certificado autofirmado usado por defecto para el
proxy de HTTPS, su Firebox crea un nuevo certificado autofirmado para ese propsito la prxima vez que se
reinicie. El Firebox no crea un nuevo certificado autofirmado automticamente caso haya importado un
certificado diferente.
Para remover un certificado del Firebox:
1. Seleccione el certificado en el cuadro de dilogo Certificados.
Aparece el cuadro de dilogo "Remover Certificado".
3. Ingrese la frase de contrasea de configuracin (lectura/escritura) de Firebox.
Gua del Usuario 783
4. Haga clic en OK.
El Certificado es eliminado.
Importar un CRL de un archivo
Puede importar una lista de revocacin de certificados (CRL) que haya descargado anteriormente desde su
equipo local. Las CRLs son usadas slo para verificar el estado de los certificados usados para la
autenticacinde la VPN.
2. Haga clic en Importar certificado/CRL.
3. Haga clic en la pestaa Importar una CRL.
4. Haga clic en Examinar para encontrar el archivo.
5. Haga clic en Importar CRL.
Aparece el cuadro de dilogo "Importar CRL".
7. Haga clic en OK.
La CRL especificada est incluida a la CRL en su Firebox.
Importar un certificado desde un archivo
Se puede importar un certificado desde el portapapeles de Windows o desde un archivo en su PC local. Los
certificados deben tener el formatoPEM(base64). Antes de importar un certificado para ser usado con la
funcin de inspeccin de contenido proxy de HTTPS, debe importar cada certificado anterior en la cadena
de confianza con el tipo "Otro" para que Firebox confe en ese certificado. Debe importar esos certificados
desde el primero hacia el ltimo, o desde el ms relevante hacia el menos relevante, para que el Firebox
pueda conectar los certificados en la cadena de confianza adecuadamente.
Para ms informaciones, vea Acerca de los certificados en la pgina 773 y Usar Certificados para el proxy de
HTTPS en la pgina 798.
2. Haga clic en Importar certificado/CRL.
3. Seleccione el botn de radio que coincida con la funcin del certificado:
n Si el certificado es para una poltica de proxy de HTTPS que administra el trfico web solicitado
por los usuarios en una red de confianza u opcional desde un servidor web en una red externa,
seleccione Autoridad proxy de HTTPS (para inspeccin profunda de paquetes). Un certificado
importado con esa finalidad debe ser un certificadoCA. Asegrese de que import el
certificadoCA usado para firmar este certificado con la categora "Otro" antes de importar el
certificadoCA usado para reencriptar el trfico con un proxy de HTTPS.
n Si el certificado es para una poltica de proxy deHTTPS que administra trfico web solicitado
por usuarios en una red externa desde un servidor web protegido por el Firebox, seleccione
Servidor proxy de HTTPS. Asegrese de que import el certificadoCA usado para firmar este
certificado con la categora "Otro" antes de importar el certificadoCA usado para reencriptar
el trfico desde un servidor web de HTTPS.
n Para un certificado usado para confiar en el trfico HTTPS que no sea reencriptado por el proxy
de HTTPS, tal como un certificado raz o certificado CA intermediario usado para firmar el
certificado de un servidor web externo, seleccione CA confiable para proxy de HTTPS.
n Si el certificado es para autenticacin u otros propsitos, seleccione IPSec, Servidor web, otro.
Seleccione esa categora si desea importar un certificado para crear una cadena de confianza
para un certificado usado para reencriptar trfico de red con un proxy de HTTPS.
Gua del Usuario 785
4. OPegar parapegar los contenidos del portapapeles.
OCargar desde el archivopara seleccionar un archivoen suequipo local que contengael certificado.
Si el archivotambin incluye una clave privada, ingrese la contraseapara descifrar la clave.
5. Haga clic en Importar certificado.
Se agrega el certificado al Firebox.
Exportar un certificado
Puede exportar un certificado para ser firmado nuevamente por una CA de confianza, o para distribucin a
clientes en su red.
2. Seleccione un certificado y haga clic en Exportar.
3. Seleccione una ubicacin e ingrese un nombre para el certificado.
El certificado es salvado en formato PEM.
Ver y administrar los certificados del Management Server
Puede administrar y ver una lista de certificados en el Management Server. Generalmente se usa un CA
Manager basado en la web para hacer esto. Tambin puede realizar alguna de esas funciones a partir de la
ventana del WatchGuard System Manager.
Usar el CAManager basado en la web
2. Conctese al Management Server.
Debe ingresar la frase de contrasea de configuracin para conectarse.
4. Haga clic en .
O seleccione Herramientas > CA Manager.
El CA Manager basado en la web tiene varias pginas web que puede usar para administrar certificados:
n Autoridad de Certificacin CA Certificado - Muestra el certificado CA (raz). Puede salvar el
certificado en un archivo o copiar sus contenidos en el portapapeles de Windows.
n Certificado CA del Management Server - Muestra el certificado CA del Management Server. Puede
salvar el certificado en un archivo o copiar sus contenidos en el portapapeles de Windows.
n Generar un nuevo certificado - Seleccionar esta opcin para crear una nueva solicitud de
certificado (CSR), tal como se describe en la seccin Crear un certificado con CA Manager en Crear
un certificado con el FSM o con el Management Server en la pgina 787.
n Encontrar y Administrar Certificados - En esta pgina, puede buscar certificados por nmero de
serie, nombre comn o unidad de la organizacin. Despus, puede ver los detalles, revocar,
restablecer o destruir los certificados que aparezcan en los resultados de bsqueda.
n Listar y Administrar Certificados - Para ver el certificado completo, haga clic en su nmero en la
columna Serie. Esta pgina muestra informacin detallada acerca del certificado, tal como emisor y
algoritmo de la firma.
o
Para alterar el estado de uno o ms certificados, seleccione la casilla al lado de cada
certificado. En la parte inferior de la pgina, seleccione una accin en la lista desplegable y
haga clic en Ir.
o
Cuando un certificado es revocado, se lo agrega a la lista de revocacin de certificados (CRL) y
no puede ser usado para autenticacin.
o
Cuando restablece un certificado, ste es removido de la CRL y puede ser usado nuevamente.
Si remueve o destruye un certificado, no se lo agrega a la CRL, pero no puede ser usado para
autenticacin. La CRL es publicada para cada Firebox cuando ste se conecta con el
Management Server.
n Cargar la solicitud de certificado: Use esta pgina para firmar una solicitud de certificado desde un
dispositivo diferente. Ingrese el nombre comn y la unidad de la organizacin usada en el certificado
y despus haga clic en Examinar para encontrar el archivo de la CSR (Solicitud de firma de
certificado). Cuando haya terminado, haga clic en Cargar.
n Publicar la lista de revocacin de certificados (CRL): Esta opcin hace que la CRL est disponible
para cada Firebox conectado al Management Server. Cuando un Firebox administrado intenta validar
el certificado, ste queda desactivado. Si un certificado revocado fue usado para la autenticacin de
VPN, el tnelVPN queda desactivado.
Administrar certificados con el WatchGuard System Manager
Puede usar el WatchGuard System Manager para ver certificados usados por el Management Server y
eliminar aquellos que no son ms necesarios.
3. Seleccione Archivo > Certificados.
Aparece el cuadro de dilogo "Mantenimiento de Certificados" con una lista de certificados usados por el
WatchGuard System Manager. El WatchGuard obtiene automticamente los certificados que necesita.
4. Para eliminar un certificado, seleccione y haga clic en Remover. Si el certificado es usado
actualmente por el Management Server, primero debe desconectarse del servidor antes de
Gua del Usuario 787
eliminar el certificado.
5. Haga clic en OK.
Nota Cuando elimine un certificado del Management Server, no elimina los certificados
en el Microsoft Internet Explorer.
Crear un certificado con el FSM o con el
Management Server
Si no prepar un certificado, puede crear una solicitud de firma de certificado (CSR) a partir de su Firebox
con el Firebox System Manager (FSM). Tambin puede crear un nuevo certificado para una Mobile VPN con
el Administrador de Autoridad de Certificacin (CA) acoplado en su Management Server.
Crear un certificado con FSM
1. Conctese a su Firebox y abra el FSM.
3. Haga clic en Crear solicitud.
Se inicia el "Certificate Request Wizard".
5. Seleccione el propsito del certificado concludo.
n Si el certificado ser usado para cifrar nuevamente el contenido inspeccionado con el proxy de
HTTPS, seleccione Autoridad de Proxy deHTTPS.
n Si el certificado ser usado para cifrar nuevamente el contenido para un servidor web
protegido con proxy de HTTPS, seleccione Servidor Proxyde HTTPS.
n Para todos los otros usos, incluyendo el VPN, Firebox o autenticacin de Management Server,
seleccione Dispositivo IPSec, Servidor Web, Otro.
7. Ingrese su nombre, departamento, nombre de su empresa y la ciudad, estado o provincia y pas
donde trabaja. Esas entradas son usadas para crear el nombre del sujeto.
El asistente crea un nombre del sujeto basado en lo que se ingres en la pantalla anterior.
9. Ingrese la informacin apropiada en los campos nombre de DNS, direccin IP y nombre del dominio
del usuario.
Gua del Usuario 789
11. Por defecto, el certificado usa el cifrado de RSA, con extensin de clave de 1024 bits, y tanto cifrado
como firmas para el uso de la clave. Haga los cambios que sean necesarios en esas configuraciones.
Los certificados de la autoridad de proxy deHTTPS y del servidor proxy de HTTPS no tienen opciones para uso
de clave.
12. Haga clic en Siguiente. Ingrese el tipo de frase de contrasea de configuracin.
13. Haga clic en Aceptar para ver la CSR terminada.
14. Haga clic en Copiar para copiar la Solicitud de Firma del Certificado en el portapapeles del Windows.
Debe enviar esa CSR a la autoridad de certificacin para que sea firmada antes de usarla con su
Firebox. Cuando importa el certificado concluido, primero debe importar el certificadoCA usado
para firmar el nuevo certificado con la categora "Otro".
16. En la ltima pantalla del asistente, puede:
n Hacer clic en Importar ahora para importar un certificado.
Aparece el cuadro de dilogo Importar certificado/CRL.
Para ms informacin acerca de cmo usar ese cuadro de dilogo, vea Ver y administrar
Certificados de Firebox en la pgina 781.
n Para cerrar el asistente, haga clic en Finalizar.
Crear un certificado autofirmado con el CA Manager
3. Haga clic en la pestaa Administracin del dispositivo para el Management Server.
4. Haga clic en .
O seleccione Herramientas > CA Manager.
5. Haga clic en Generar un nuevo certificado.
6. Ingrese el nombre comn, contrasea y caducidad del certificado para el sujeto.
n Para usuarios de Mobile VPN, el nombre comn debe coincidir con el nombre de usuario del
usuario remoto.
n Para usuarios de Firebox, el nombre comn debe coincidir con la informacin de identificacin
de Firebox (normalmente, su direccin IP).
n Para un certificado genrico, el nombre comn es el nombre del usuario.
7. Si este certificado es slo para usuarios de Mobile VPN, ingrese la unidad de la organizacin para el
sujeto. La unidad de la organizacin debe constar en este formato:
GW:<vpn gateway name>
Si no conoce el nombre del la puerta de enlace del VPN, use el valor de config.watchguard.id en el
archivo de configuracin del Firebox de puerta de enlace.
8. Para descargar el certificado despus de que sea generado, seleccione la casilla Descargar Cert.
9. Haga clic en Generar.
Crear una CSR con el OpenSSL
Para crear un certificado, primero necesita crear una Solicitud de firma de certificado (CSR). Puede enviar
una CSR a una autoridad de certificacin o usarla para un certificado autofirmado.
Usar OpenSSL para generar una CSR
El OpenSSL est instalado en la mayora de las distribuciones de GNU/Linux. Para descargar el cdigo fuente
o un archivo binario de Windows, vaya a http://www.openssl.org/ y siga las instrucciones de instalacin
para su sistema operativo. Puede usar el OpenSSL para convertir certificados y solicitudes de firma de
certificado de un formato a otro. Para ms informacin, vea la pgina principal de OpenSSL o la
documentacin online.
Gua del Usuario 791
1. Abra un terminal de command line interface.
2. Para generar un archivo de clave privada llamado privkey.pem en su directorio actual de trabajo,
ingrese:
openssl genrsa-out privkey.pem 1024
3. Ingrese:
openssl req -new -key privkey.pem -out request.csr
Este comando genera una CSR en el formato PEM en su directorio de trabajo actual.
4. Cuando le solicitan la informacin del atributo de nombre comn x509, ingrese el domain name
completo (FQDN). Use otra informacin, segn convenga.
5. Siga las instrucciones de su autoridad de certificacin para enviar la CSR.
Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:
1. Abra un terminal de command line interface.
2. Ingrese:
openssl x509 -req -days 30 -in request.csr -key privkey.pem -out sscert.cert
Ese comando crea un certificado dentro de su directorio actual que caduca en 30 das con la clave privada y
la CSR creada en el procedimiento anterior.
Nota No se puede usar un certificado autofirmado para la autenticacin de puerta de
enlace remota de VPN. Recomendamos que use certificados firmados por una
Autoridad de Certificacin de confianza.
Firme un certificado con Microsoft CA
Aunque pueda crear un certificado autofirmado con el Firebox System Manager u otras herramientas,
tambin se puede crear un certificado con el Microsoft Certificate Authority (CA).
Cada solicitud de firma de certificado (CSR) debe ser firmada por una autoridad de certificacin (CA) antes
que sea usada para autenticacin. Al crear un certificado con ese procedimiento, uno acta como la CA y
firma digitalmente su propia CSR. No obstante, por cuestiones de compatibilidad, recomendamos que enve
su CSR a una CA ampliamente conocida. Los certificados races para esas organizaciones estn inslados por
defecto en la mayora de los exploradores de Internet y dispositivos WatchGuard, as no hace falta que uno
mismo distribuya los certificados races.
Se puede usar la mayora de los sistemas operativos de Windows Server para completar una CSR y crear un
certificado. Las instrucciones siguientes son para el Windows Server 2003.
Enviar la solicitud de certificado
1. Abra su explorador web. En la ubicacin o barra de direccin, ingrese la direccin IP del servidor
donde est instalada la Autoridad de Certificacin, seguido de certsrv.
Por ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Solicitar un certificado.
3. Haga clic en el enlace Solicitud avanzada de certificado.
4. Haga clic en Enviar un certificado.
5. Pegue los contenidos de su archivo de CSR en el cuadro de texto Solicitud guardada.
6. Haga clic en OK.
7. Cierre su explorador web.
Emitir el certificado
1. Conctese al servidor donde est instalada la Autoridad de Certificacin, si necesario.
2. Seleccione Inicio > Panel de control> Herramientas administrativas > Autoridad de certificacin.
3. En el rbol Autoridad de certificacin (Local), seleccione Su domain name> Solicitudes pendientes.
4. Seleccione la CSR en el panel de navegacin derecho.
5. En el menu Accin, seleccione Todas las tareas > Emitir.
6. Cierre la ventana de Autoridad de Certificacin.
Descargar el certificado
1. Abra su explorador web. En la ubicacin o barra de direccin, ingrese la direccin IP del servidor
donde est instalada la autoridad de certificacin, seguido de certsrv.
Ejemplo: http://10.0.2.80/certsrv
2. Haga clic en el enlace Ver el estado de una solicitud de certificado pendiente.
3. Haga clic en la solicitud de certificado con la hora y fecha que fue enviada.
4. Para elegir el formato PKCS10 o PKCS7, seleccione Codificacin de base 64.
5. Haga clic en Descargar certificado para guardar el certificado en su disco duro.
La Autoridad de Certificacin es distribuida como componente en el Windows Server 2003. Si la Autoridad
de Certificacin no est instalada en la carpeta Herramientas Administrativas del Panel de Control siga las
instrucciones del fabricante para instalarla.
Usar certificados para autenticacin
Puede usar certificados para:
n Use certificados autenticados para el tnel VPN Mobile con IPSec
n Usar un certificado para autenticacin del tnel BOVPN
Nota Los certificados autofirmados o de terceros no pueden ser usados para la
autenticacin de Mobile VPN.
Tambin puede Configure el certificado del servidor web para la autenticacin de Firebox. El certificado del
servidor web es el certificado utilizado por Firebox para proteger las conexiones de HTTPS para las sesiones
administradas, anulaciones de WebBlocker y otros fines.
Cuando realiza cualquiera de esos procedimientos, recomendamos que Se conecte a un dispositivo
WatchGuard para que el Policy Manager pueda descargar la lista de certificados actualmente instalados. Si
guarda los cambios en un archivo de configuracin local y las nuevas configuraciones no coinciden con los
certificados en el Firebox, su Firebox puede no funcionar correctamente.
Usecertificados autenticados para el tnel VPNMobile conIPSec
Cuando se crea un tnel de Mobile VPN, la identidad de cada extremo debe ser verificada. Esa clave puede
ser o una frase de contrasea o una clave precompartida (PSK) conocida por ambos extremos, o un
certificado del Management Server. Su dispositivo WatchGuard debe ser un cliente administrado para usar
un certificado para la autenticacin de Mobile VPN.
Para usar los certificados para un nuevo tnel de Mobile VPN con IPSec:
Gua del Usuario 793
1. En el Policy Manager, seleccione VPN>Mobile VPN> IPSec.
Aparece el cuadro de dilogo de "Configuracin de Mobile VPNwith IPSec".
Aparece el Asistente Mobile VPNwith IPSec.
4. Complete la pgina Seleccionar un servidor de autenticacin del usuario. Haga clic en Siguiente.
5. Seleccione Use un certificado de RSA emitido por su WatchGuard Management Server.
6. Ingrese la direccin IP y la frase de contrasea de la administracin de su Management Server.
7. Finalice el asistente.
Para cambiar un tnel de Mobile VPN existente para que use certificados para autenticacin:
2. Seleccione el tnel de Mobile VPN que desea cambiar. Haga clic en Editar.
3. Haga clic en la pestaa Tnel IPSec.
4. Seleccione Usar un certificado.
5. Ingrese la Direccin IP del Management Server o la autoridad de certificacin (CA). Si necesario,
ajuste el tiempo de espera de la conexin.
6. Haga clic en OK.
Cuando usa certificados, debe otorgar tres archivos a cada usuario de Mobile VPN:
n El perfil del usuario final (.wgx)
n El certificado del cliente (.p12)
n El certificado raz de CA (.pem)
Cuando un usuario de Mobile VPN abre el archivo .wgx, los certificados cliente y raz en los archivos
cacert.pem y .p12 son cargados automticamente.
Params informacionesacercadeMobile VPNconIPSec,veaAcercadel MobileVPNconIPSec enlapgina903.
Verificar los certificados VPN con un servidor de LDAP
Puede usar un servidor de LDPA para verificar automticamente certificados para la autenticacin de VPN
si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de
terceros para usar esta funcin.
1. En el Policy Manager, seleccione VPN>Configuraciones de VPN.
2. Seleccione la casilla Activar servidor de LDAP para verificacin de certificado.
3. En el cuadro de texto Servidor, ingrese el nombre o direccin del servidor de LDAP.
4. (Opcional) Ingrese o seleccione el nmero de Puerto.
5. Haga clic en OK.
Su Firebox verifica el CRL almacenado en el servidor de LDAP cuando se solicita la autenticacin del tnel.
Usar un certificado para autenticacin del tnel BOVPN
Cuando se crea un tnel BOVPN, el protocolo de IPSec verifica la identidad de cada extremo o con una
clave precompartida (PSK) o un certificado importado y almacenado en el Firebox.
Para usar un certificado para autenticacin del tnel BOVPN:
1. Seleccione VPN > Puertas de enlace de sucursal.
2. Haga clic Agregar para crear nueva puerta de enlace.
O seleccione una puerta de enlace existente y haga clic en Editar.
3. Seleccione Utilizar Firebox Certificate de IPSec.
4. Seleccione el certificado que desea usar.
5. Defina otros parmetros, segn sea necesario.
6. Haga clic en OK.
Si usa un certificado para autenticacin de BOVPN:
n Primero debe importar el certificado.
Para ms informaciones, vea Ver y administrar Certificados de Firebox en la pgina 781.
n El Firebox System Manager debe reorganizar el certificado como un certificado de tipo IPSec.
n Asegrese de que los certificados para los dispositivos en cada gateway endpoint usen el mismo
algoritmo. Ambos extremos deben usar o DSS o RSA. El algoritmo para los certificados aparece en el
cuadro en el cuadro de dilogo Nueva puerta de enlace en el WatchGuard System Manager y en el
cuadro de dilogo Certificados en el Firebox System Manager.
Gua del Usuario 795
n Si no tiene un certificado de terceros o autofirmado, debe usar una autoridad de certificacin en un
WatchGuard Management Server.
Para ms informaciones, vea Configurar la autoridad de certificacin en el Management Server en la
pgina 513.
Verificar el certificado con el FSM
2. En la columna Insertar, aparece la verificacin de IPSec o IPSec/Web.
Verificar los certificados de VPN con servidor de LDAP
Puede usar un servidor de LDPA para verificar automticamente certificados para la autenticacin de VPN
si tiene acceso al servidor. Debe tener datos de la cuenta de LDAP ofrecidos por un servicio de CA de
terceros para usar esta funcin.
1. Seleccione VPN > Configuraciones de VPN.
2. Seleccione la casilla Activar servidor de LDAP para verificacin de certificado.
3. En el cuadro de texto Servidor, ingrese el nombre o direccin del servidor de LDAP.
4. (Opcional) Ingrese el nmero de Puerto.
5. Haga clic en OK.
Su Firebox verifica el CRL almacenado en el servidor de LDAP cuando se solicita la autenticacin del tnel.
Configure el certificado del servidor web para la autenticacin
de Firebox
Cuando los usuarios se conectan a su dispositivo WatchGuard con un explorador web, suelen ver un alerta
de seguridad. Ese alerta aparece porque el certificado predeterminado no es de confianza o porque el
certificado no coincide con la direccin IP o domain name usado para la autenticacin. Si tiene un Fireware
XTMcon actualizacin Pro, puede usar un certificado autofirmado o de terceros que coincida con el IP o
domain name para autenticacin de usuarios. Debe importar ese certificado en cada dispositivo o
explorador cliente para evitar los alertas de seguridad.
Para ver el certificado actual de servidor web:
2. Seleccione Ver > Certificados. El certificado del servidor web est marcado con un asterisco.
Para configurar el certificado del servidor web para la autenticacin de Firebox:
1. Seleccione Configurar> Autenticacin > Certificado de autenticacin web.
2. Para usar el certificado predeterminado, seleccione Certificado predeterminado firmado por
Firebox y contine hasta el ltimo paso de ese procedimiento.
3. Para usar un certificado previamente importado, seleccione Certificado de terceros.
4. Seleccione un certificado en la lista desplegable al lado y siga hasta el ltimo paso de ese
procedimiento.
Ese certificado debe ser reconocido como un certificado Web.
5. Si desea crear un certificado personalizado, firmado por su Firebox, seleccione Certificado
personalizado firmado por su Firebox.
6. Ingrese el nombre comn de su organizacin. ste suele ser su domain name.
(Opcional) Tambin puede ingresar un nombre de organizacin y un nombre de departamento de
la organizacin para identificar la parte de su organizacin que cre el certificado.
Gua del Usuario 797
7. Haga clic en Agregar Domain Names o Agregar direcciones IP de interfaz.
8. En el cuadro de texto en la parte inferior del cuadro de dilogo, ingrese un domain name o
direccin IP de una interfaz en su Firebox.
10. Repita los pasos 8 a 9 para aadir ms domain names.
Usar Certificados para el proxy de HTTPS
Muchos sitios web usan protocolos HTTP y HTTPS para enviar informacin a usuarios. Cuando el trfico
HTTP puede ser fcilmente examinado, el trfico HTTPS es cifrado. Para examinar el trfico HTTPS solicitado
por un usuario en su red, se debe configurar su Firebox para que descifre la informacin y luego la cifre con
un certificado firmado por una CA confiada por todos los usuarios de la red.
Por defecto, el Firebox cifra nuevamente el contenido inspeccionado con un certificado autofirmado
generado automticamente. Los usuarios sin una copia de ese certificado ven un alerta de certificado
cuando se conectan a una sitio web seguro con HTTPS. Si un sitio web remoto usa un certificado vencido, o
si ese certificado est firmado por una CA (Autoridad de Certificacin) que el Firebox no reconoce, ste
forma nuevamente el contenido como Fireware HTTPSProxy:Certificado no reconocido o simplemente
Certificado invlido.
Esta seccin incluye informacin acerca de cmo exportar un certificado desde el Firebox e importarlo en
un sistema con Microsoft Windows o Mac OSX para que funcione con el proxy de HTTPS. Para importar el
certificado en otros dispositivos, sistemas operativos o aplicaciones, vea la documentacin de sus
fabricantes.
Proteger un servidorHTTPS privado
Para proteger un servidor de HTTPS en su red, primero debe importar el certificadoCA usado para firmar
el certificado del servidor de HTTPS y, luego, importar el certificado del servidor de HTTPS con su clave
privada asociada. Si el certificado CA usado para firmar el certificado del servidor del HTTPS no es
automticamente confiable, debe importar cada certificado de confianza en secuencia para que este
recurso funcione correctamente. Despus de importar todos los certificados, configure el proxy de HTTPS.
1. Seleccione Editar > Agregar poltica.
2. Expanda la categora Proxies y seleccione la entrada HTTPS-proxy. Haga clic en Agregar.
4.
Haga clic en .
5. En la categora Inspeccin de contenido (seleccionada por defecto), seleccione la casilla Activar
inspeccin profunda del contenido de HTTPS.
6. Elija la accin del proxy deHTTP que desea usar para inspeccionar el contenido HTTPS o crea una
nueva accin de proxy de HTTP para usar con esa poltica.
7. Limpie las dos casillas de verificacin para validacin deOCSP.
8. En la Lista de derivacin, ingrese las direccionesIP de los sitios web para los cuales no desea
inspeccionar el trfico.
9. Haga doble clic en Aceptar.
Para ms informaciones, vea Ver y administrar Certificados de Firebox en la pgina 781Ver y administrar
certificados de Firebox.
Gua del Usuario 799
Examinar contenido de los servidores HTTPS externos
Nota Si tiene otro trfico que usa el puerto HTTPS, tal como el trficoSSLVPN,
recomendamos que evale la funcin de inspeccin de contenido cuidadosamente.
El proxy de HTTPS intenta examinar todo el trfico en el puerto 443de TCP de la
misma manera. Para asegurar que otras fuentes de trfico operan correctamente,
recomendamos que agregue esas direccionesIP a la lista de Derivacin.
Para ms informaciones, vea Proxy de HTTPS: Inspeccin de contenido en la
pgina 423Proxy deHTTPS:Contenido.
Si su organizacin ya tiene un PKI (Infraestructura de Clave Pblica) configurado con una CA de confianza,
entonces puede importar un certificado en el Firebox que est firmado por la CA de su organizacin. Si el
certificadoCA no es automticamente confiable, debe importar cada certificado previo en la cadena de
confianza para que ese recurso funcione correctamente. Para ms informaciones, vea Ver y administrar
Certificados de Firebox en la pgina 781Ver y administrar certificados de Firebox.
Antes de activar esa funcin, recomendamos que provea el(los) certificado(s) usado(s) para firmar el trfico
HTTPS para todos los clientes en su red. Puede poner los certificados en un adjunto de correo electrnico
con las instrucciones, o usar el software de administracin de red para instalar los certificados
automticamente. Tambin recomendamos que pruebe el proxy de HTTPS con un pequeo nmero de
usuarios para asegurarse de que funciona correctamente antes de aplicarlo al trfico en una red grande.
Si su organizacin no tiene un PKI, debe copiar el certificado predeterminado o autofirmado personalizado
desde el Firebox hacia cada dispositivo cliente.
1. Seleccione Editar > Agregar poltica.
2. Expanda la categora Proxies y seleccione la entrada HTTPS-proxy. Haga clic en Agregar.
4. Haga clic en .
5. En la categora Inspeccin de contenido (seleccionada por defecto), seleccione la casilla Activar
inspeccin profunda del contenido de HTTPS.
6. Elija la accin del proxy deHTTP que desea usar para inspeccionar el contenido HTTPS o crea una
nueva accin de proxy de HTTP para usar con esa poltica.
7. Seleccione las opciones que desea para la validacin del certificadoOCSP.
8. En la Lista de derivacin, ingrese las direccionesIP de los sitios web para los cuales no desea
inspeccionar el trfico.
Cuando activa la inspeccin de contenido, las configuraciones de WebBlocker de la accin del proxy de
HTTP anulan las configuraciones de WebBlocker del proxy deHTTPS. Si aade direccionesIP a la lista de
Derivaciones, se filtra el trfico de esos sitios con las configuraciones WebBlocker del proxy de HTTPS.
Para ms informacin en la configuracin del WebBlocker, vea Acerca de las WebBlocker en la pgina 981.
Exportar el certificado de inspeccin de contenidoHTTPS
Ese procedimiento exporta un certificado de su Firebox en el formatoPEM.
1. Abra el Firebox System Manager y conctese a su Firebox.
3. Seleccione el certificado CA Autoridad proxy de HTTPS en la lista y haga clic en Exportar.
4. Ingrese un nombre y seleccione una ubicacin para guardar el certificado localmente.
5. Copie el certificado guardado en el equipo cliente.
Si el certificado proxy de HTTPS usado para la inspeccin de contenido requiere otro certificadoCA
intermediario o raz antes que sea de confianza para los clientes de la red, tambin debe exportar esos
certificados. Tambin puede copiar los certificados de la fuente original para distribucin.
Si import el certificado anteriormente en un cliente, puede exportar ese certificado directamente del
sistema operativo o tienda del certificado del explorador. En la mayora de los casos, eso exporta el
certificado en el formato x.509. Los usuarios de Windows y Mac OSX pueden hacer doble clic en un
certificado de formato x.509 para importarlo.
Importar los certificados en dispositivos clientes
Para usar certificados instalados en el Firebox con los dispositivos clientes, debe exportar los certificados
con el FSMy luego importarlos en cada cliente.
Para ms informaciones, vea Importar un certificado en un dispositivo cliente en la pgina 800.
Solucionar problemas con la inspeccin de contenidoHTTPS
El Firebox suele crear mensajes de registro cuando hay un problema con un certificado usado para la
inspeccin de contenido de HTTPS. Recomendamos que verifique esos mensajes de registro para ms
informacin.
Si las conexiones hacia los servidores web remotos se interrumpen a menudo, asegrese de que fueron
importados todos los certificados necesarios para confiar en el certificado CA usado para reencriptar el
contenido HTTPS, as como los certificados necesarios para confiar en el certificado del servidor web
original. Debe importar todos esos certificados en el Firebox y cada dispositivo cliente para que las
conexiones tengan xito.
Importar un certificado en un dispositivo cliente
Al configurar su Firebox para usar un certificado de terceros o personalizado para autenticacin o
inspeccin de contenido HTTPS, debe importar ese certificado hacia cada cliente en su red para evitar los
alertas de seguridad. Eso tambin permite que servicios como Windows Update funcionen correctamente.
Nota Si normalmente usa el Fireware XTMWeb UI, debe instalar el Firebox System
Manager antes de exportar los certificados.
Gua del Usuario 801
Importar un certificado en formatoPEM con el Windows XP
Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la
tienda de certificados Windows en el Microsoft Windows XP para acceder al certificado.
1. En el men de Windows Inicio, seleccione Ejecutar.
2. Ingrese mmc y haga clic en Aceptar.
Aparece el Windows Management Console.
3. Seleccione Archivo >Agregar/Remover encaje.
5. Seleccione Certificados y despus haga clic en Agregar.
6. Seleccione Cuenta del equipo y haga clic en Siguiente.
7. Haga clic en Finalizar, Cerrar o Aceptar para aadir el mdulo de certificados.
8. En la ventana Raz de Consola, haga clic en el icono de ms (+) para expandir el rbol Certificados.
9. Expanda el objeto Autoridades de Certificacin de raz de confianza.
10. En el objeto Autoridades de certificacin de raz de confianza, haga clic con el botn derecho en
Certificados y seleccione Todas las tareas>Importar.
11. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de
Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.
12. Haga clic en Siguiente y despus en Finalizar para concluir el asistente.
Importar un certificado en formatoPEM con el Windows Vista
Este proceso permite que el Internet Explorer, Windows Update y otros programas o servicios usen la
tienda de certificados Windows en el Microsoft Windows Vista para acceder al certificado.
1. En el men Inicio del Windows, ingrese certmgr.msc en el cuadro de texto Buscar y presione
Entrar.
Si se le solicita que autentique como administrador, inserte su contrasea o confirme su acceso.
2. Seleccione el objeto Autoridades de certificacin de raz de confianza.
3. En el men Accin, seleccione Todas las tareas>Importar.
4. Haga clic en Siguiente. Haga clic en Examinar para encontrar y seleccionar el certificado CA de
Autoridad de Proxy de HTTPS previamente exportado. Haga clic en OK.
5. Haga clic en Siguiente y despus en Finalizar para concluir el asistente.
Importar un certificado en formatoPEM con Mozilla Firefox 3.x
Mozilla Firefox usa una tienda de certificados privados en vez de una tienda de certificados de sistema
operativo. Si los clientes en su red usan el explorador Firefox, debe importar el certificado en la tienda de
certificados de Firefox aunque ya haya importado el certificado en el sistema operativo del host.
Cuando tiene ms de un dispositivo Firebox que usa un certificado autofirmado para inspeccin de
contenido HTTPS, los clientes en su red deben importar una copia de cada Firebox Certificate. No obstante,
los certificados de Firebox autofirmados predeterminados usan el mismo nombre y el Mozilla Firefox slo
reconoce el primer certificado importado cuando ms de un certificado tiene el mismo nombre.
Recomendamos que remplace los certificados autofirmados por el certificado firmado por una CA
diferente, y luego distribuya esos certificados a cada cliente.
1. En el Firefox, seleccione Herramientas >Opciones.
3. Seleccione la pestaa Cifrado y despus haga clic en Ver certificados.
Aparece el cuadro de dilogo "Administrador de Certificados".
4. Seleccione la pestaa Autoridades y despus haga clic en Importar.
5. Examine para seleccionar el archivo de certificado y despus haga clic en Abrir.
6. En el cuadro de dilogo Descargando certificado, seleccione la casilla Confiar en esta CA para
identificar los sitios web. Haga clic en OK.
7. Haga doble clic en Aceptar para cerrar los cuadros de dilogo Administrador de Certificados y
Opciones .
8. Reinicie el Mozilla Firefox.
Importar un certificado en formatoPEM con el Mac OSX10.5
Ese proceso permite que el Safari u otros programas o servicios usen la tienda de certificados de Mac OSX
para acceder al certificado.
1. Abra la aplicacin Acceso a claves.
2. Seleccione la categora Certificados.
3. Haga clic en el icono de ms (+) en la barra de herramientas inferior y despus encuentre y
seleccione el certificado.
4. Seleccione la clave Sistema y haga clic en Abrir. Tambin puede seleccionar la clave "Sistema" y
arrastrar y soltar el archivo del certificado hacia la lista.
5. Haga clic con el botn derecho en el certificado y seleccione Obtener datos.
Aparece la ventana de datos del certificado.
6. Expanda la categora Confianza.
7. En la lista desplegable Cuando est usando este certificado, seleccione Confiar siempre.
8. Cerrar la ventana de datos del certificado.
9. Ingrese la contrasea del administrador para confirmar sus cambios.
Gua del Usuario 803
25
Redes Privada Virtual (VPN)
Introduccin a VPNs
Para que los datos se transfieren con seguridad entre dos redes por una red desprotegida, como es la
Internet, puede crear una red privada virtual (VPN). Tambin puede usar una VPN para establecer una
conexin segura entre un host y una red. Las redes y hosts en los extremos de una VPN pueden ser sedes
corporativas, sucursales o usuarios remotos. Las VPNs usan el cifrado para proteger datos y la autenticacin
para identificar el emisor y el destinatario de los datos. Si la informacin de autenticacin est correcta, los
datos son cifrados. Slo el emisor y el destinatario del mensaje pueden leer los datos enviados por la VPN.
Un tnel VPN es una ruta virtual entre dos redes privadas de VPN Nos referimos a esa ruta como tnel
porque se usa un protocolo de tnel, como IPSec, SSL o PPTP, para proteger el envo de paquetes de datos.
La puerta de enlace o PC que usa una VPN usa ese tnel para enviar paquetes de datos por la Internet
pblica hacia direcciones IP privadas detrs de una puerta de enlace de VPN.
Branch Office VPN (BOVPN)
Una VPN para Sucursales (BOVPN) es una conexin cifrada entre dos dispositivos exclusivos de hardware.
Es usada con ms frecuencia para asegurar la proteccin de comunicaciones entre redes en dos oficinas.
WatchGuard ofrece dos mtodos para configurar una BOVPN:
BOVPN manual
Puede usar el Policy Manager o el Fireware XTMWeb UI para configurar manualmente una BOVPN
entre dos dispositivos que soportan protocolos de VPN de IPSec.
Para ms informaciones, vea Acerca de tneles BOVPN manuales en la pgina 828.
BOVPN administrada
Puede usar el WatchGuard System Manager para configurar una BOVPN administrada en dos
dispositivos WatchGuard.
Para ms informaciones, vea Acerca de los tneles BOVPN administrados en la pgina 813.
Todas las BOVPNs de WatchGuard usan el conjunto de protocolo IPSec para proteger el tnel BOVPN.
Paraobtener ms informacin acercade las VPNs de IPSec, veaAcerca dela VPNs de IPSec en lapgina 804.
Mobile VPN
Una Mobile VPN es una conexin cifrada entre un dispositivo de hardware exclusivo y un PC de escritorio o
laptop. Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con
seguridad a la red corporativa. WatchGuard soporta tres tipos de Mobile VPNs:
n Mobile VPN with IPSec
n Mobile VPN with SSL
Para comparar las soluciones de Mobile VPN, vea Seleccione una Mobile VPN en la pgina 809.
Acerca de la VPNs de IPSec
La VPN para Sucursales de WatchGuard y el Mobile VPN with IPSec usan el conjunto de protocolo IPSec
para establecer VPNs entre dispositivos o usuarios mviles. Antes de configurar una VPN de IPSec,
principalmente si configura un tnel BOVPN manual, es til comprender cmo las VPNs de IPSec
funcionan.
n Acerca de los algoritmos y protocolos de IPSec
n Acerca de las negociaciones VPN de IPSec
n Configuraciones de Fase 1 y Fase 2
Acerca de los algoritmos y protocolos de IPSec
IPSec es un conjunto de servicios basado en criptografa y protocolos de seguridad que protegen la
comunicacin entre dispositivos que envan trfico por una red no confiable. Como el IPSec est construido
a partir de un conjunto de protocolos y algoritmos conocidos, se puede crear una VPN de IPSec entre su
dispositivo WatchGuard y muchos otros dispositivos que soportan esos protocolos estndares. Los
protocolos y algoritmos usados por IPSec son abordados en las siguientes secciones.
Algoritmos de cifrado
Los algoritmos de cifrado protegen los datos para que no puedan ser ledos por terceros mientras estn en
trnsito. El Fireware XTM soporta tres algoritmos de cifrado:
n DES (Estndar de Cifrado de Datos) Usa una clave de cifrado con extensin de 56 bits. Ese es el
ms dbil de los tres algoritmos.
n 3DES(Triple-DES) Unalgoritmode cifradobasadoenDES queusaDESparacifrar losdatos tresveces.
n AES (Estndar de Cifrado Avanzado) El algoritmo de cifrado ms fuerte que existe. Fireware XTM
puede usar claves de cifrado AES para esas extensiones: 128, 192, o 256 bits.
Algoritmos de autenticacin
Los algoritmos de autenticacin verifican la integridad y autenticidad de los datos de un mensaje. El
Fireware XTM soporta dos algoritmos de autenticacin:
Gua del Usuario 805
n HMAC-SHA1 (Cdigo de autenticacin de mensaje hash Secure Hash Algorithm 1) SHA-1
produce un resumen de mensaje de 160 bits (20 bytes). Aunque sea ms lento que el MD5, ese
archivo ms grande es ms fuerte contra los ataques de fuerza bruta.
n HMAC-MD5 (Cdigo de autenticacin de mensaje hash Algoritmo 5 de resumen de mensaje) El
MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace ms rpido que SHA-1.
Protocolo IKE
Definido en RFC2409, IKE(siglas en ingls para intercambio de clave de Internet) es un protocolo usado
para configurar las asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen
secretos de sesin compartidos a partir de los cuales se derivan las claves para el cifrado de datos en tnel.
El IKE tambin es usado para autenticar los dos puntos de IPSec.
Algoritmo de intercambio de clave Diffie-Hellman
El algoritmo de intercambio de clave Diffie-Hellman (DH) es un mtodo usado para que una clave de cifrado
compartida est disponible a dos entidades sin el intercambio de la clave. La clave de cifrado para los dos
dispositivos es usada como una clave simtrica para encriptar datos. Solamente las dos partes involucradas
en el intercambio de clave DH pueden deducir la clave compartida, y la clave nunca es enviada por cable.
Un grupo de clave Diffie-Hellman es un grupo de nmeros enteros usados para el intercambio de clave
Diffie-Hellman. Fireware XTMpuede usar grupos DH 1, 2 y 5. Los nmeros ms altos del grupo ofrecen
seguridad ms fuerte.
Para ms informaciones, vea Acerca de los grupos Diffie-Hellman en la pgina 840.
AH
Definido en RFC 2402, el AH (Encabezado de autenticacin) es un protocolo que puede usar en las
negociaciones de VPN de Fase 2 de BOVPN manual. Para ofrecer seguridad, el AH agrega informacin de
autenticacin al datagrama de IP. La mayora de los tneles VPN no usan AH porque no ofrece cifrado.
ESP
Definido en RFC 2406, el ESP (Carga de seguridad de encapsulacin) ofrece autenticacin y cifrado de datos.
El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Aade verificaciones
de integridad para asegurar que los datos no sean alterados en trnsito y que vienen de una fuente
adecuada. Recomendamos que use el ESP en negociaciones de Pase 2 de BOVPN porque el ESP es ms
seguro que el AH. El Mobile VPN with IPSec siempre usa ESP.
Acerca de las negociaciones VPN de IPSec
Los dispositivos en ambos extremos de un tnel VPN de IPSec son puntos de IPSec. Cuando dos puntos de
IPSec quieren establecer una VPN entre s, ellos intercambian una serie de mensajes acerca de cifrado y
autenticacin, e intentan aceptar diversos parmetros diferentes. Ese proceso es conocido como
negociaciones de VPN. Un dispositivo en la secuencia de negociacin es el iniciador mientras que el otro es
el respondedor.
Las negociaciones de VPN ocurren en dos fases distintas: Fase 1 y Fase 2.
Configuraciones
El principal propsito de la Fase 1 es configurar un canal cifrado seguro a travs del cual los dos
puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con xito, los puntos pasan rpidamente
hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden empezar la Fase 2.
Fase 2
El propsito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de
parmetros que definen qu trfico puede pasar por la VPN y cmo encriptar y autenticar el trfico.
Ese acuerdo se llama Asociacin de Seguridad.
Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del tnel.
Negociaciones de Fase 1
En las negociaciones de Fase 1, los dos puntos intercambian credenciales. Los dispositivos se identifican y
negocian para encontrar un conjunto comn de configuraciones de Fase 1 que usar. Cuando se concluyen
las negociaciones de Fase 1, los dos puntos tienen una Asociacin de Seguridad (SA) de Fase 1. Esa SA es
vlida slo por un perodo de tiempo determinado. Despus que la SA de Fase 1 caduca, si dos los puntos
deben concluir las negociaciones de Fase 2 nuevamente, tambin deben negociar la Fase 1 nuevamente.
Las negociaciones de Fase 1 incluyen estos pasos:
1. Los dispositivos intercambian credenciales.
Las credenciales pueden ser un certificado o una clave precompartida. Ambos extremos de puerta
de enlace deben usar el mismo mtodo de credenciales. Si un punto usa una clave precompartida,
el otro punto tambin debe usar una y las claves deben coincidir. Si un punto usa un certificado, el
otro tambin debe usar un certificado.
2. Los dispositivos se identifican uno al otro.
Cada dispositivo ofrece un identificador de Fase 1, que puede ser una direccinIP, domain name,
informacin de dominio o nombre de X500. La configuracin de VPN en cada punto contiene un
identificador de Fase 1 del dispositivo local y del remoto, y las configuraciones deben coincidir.
3. Los puntos deciden si usar el Modo Principal o Modo Agresivo.
Las negociaciones de Fase 1 pueden usar uno de los dos modos: Modo Principal o Modo Agresivo. El
dispositivo que inicia las negociaciones IKE (el iniciador) enva una propuesta de Modo Principal o
una propuesta de Modo Agresivo. El respondedor puede rechazar la propuesta caso no est
configurado para usar ese modo. Las comunicaciones de Modo Agresivo ocurren con menos
intercambios de paquetes. El Modo Agresivo es menos seguro, pero ms rpido que el Modo
Principal.
4. Los puntos concuerdan respecto a los parmetros de Fase 1.
n Si usar NAT Traversal
n Si enviar mensajes de IKEkeep-alive (soportado entre dispositivos WatchGuard solamente)
n Si usar la Dead Peer Detection (RFC 3706)
5. Los puntos concuerdan respecto a las configuraciones de Transformacin de Fase 1.
Gua del Usuario 807
Las configuraciones de transformacin incluyen un conjunto de parmetros de cifrado y
autenticacin, y el perodo mximo de tiempo para la SA de Fase 1. Las configuraciones en la
transformacin de Fase 1 deben coincidir exactamente con la transformacin de Fase 1 en el punto
IKE, sino las negociaciones de IKE fallan.
Los temes que puede definir en la transformacin son:
n Autenticacin El tipo de autenticacin (SHA1 o MD5).
n Cifrado El tipo de algoritmo de cifrado (DES, 3DES o AES).
n Duracin de SA El perodo de tiempo hasta que se caduque la Asociacin de Seguridad (SA)
de Fase 1.
n Grupo de clave El grupo de clave Diffie-Hellman.
Negociaciones de Fase 2
Despus que dos puntos de IPSec concluyen las negociaciones de Fase 1, empiezan las negociaciones de
Fase 2. Las negociaciones de Fase 2 establecen la SA de Fase 2 (a veces denominada SA de IPSec). La SA de
IPSec es un conjunto de especificaciones de trfico que informan al dispositivo qu trfico enviar por la
VPN y cmo cifrarlo y autenticarlo. En las negociaciones de Fase 2, los dos puntos concuerdan en un
conjunto de parmetros de comunicacin. Cuando configura el tnel BOVPN en el Policy Manager o en el
Fireware XTMWeb UI, especifica los parmetros de Fase 2.
Como los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2, y define las
configuraciones de SA de Fase 1 en las configuraciones de puerta de enlace de BOVPN, debe especificar la
puerta de enlace que usar para cada tnel.
Las negociaciones de Fase 2 incluyen estos pasos:
1. Los puntos usan la SA de Fase 1 para proteger las negociaciones de Fase 2.
Las negociaciones de Fase 2 slo pueden empezar despus que se haya establecido la SA de Fase 1.
2. Los pares intercambian identificadores de Fase 2 (IDs).
Los IDs de Fase 2 siempre son enviados como un par en una propuesta de Fase 2: uno indica cules
direcciones IP detrs del dispositivo local pueden enviar trfico por la VPN y el otro indica cules
direcciones IP detrs del dispositivo remoto pueden enviar trfico por la VPN. Eso tambin se
conoce como una ruta de tnel. Puede especificar los IDs de Fase 2 para el punto local y remoto
como una direccinIP de host, una direccinIP de red o un rango de direccionesIP.
3. Los puntos concuerdan respecto al uso del Perfect Forward Secrecy (PFS).
El PFS especifica cmo se derivan las claves de Fase 2. Cuando se selecciona el PFS, ambos paresIKE
deben usar el PFS, sino la regeneracin de claves de Fase 2 falla. El PFS garantiza que si una clave de
cifrado usada para proteger la transmisin de datos est comprometida, un atacante puede acceder
slo a los datos protegidos por aquella clave, no por claves siguientes. Si los puntos concuerdan con
usar el PFS, deben tambin concordar con el grupo de claves Diffie-Hellman que usar para el PFS.
4. Los puntos concuerdan con una propuesta de Fase 2.
La propuesta de Fase 2 incluye las direcciones IP que pueden enviar trfico por el tnel, y un grupo
de parmetros de cifrado y autenticacin. El Fireware XTMenva esos parmetros en una propuesta
de Fase 2. La propuesta incluye el algoritmo que usar para autenticar datos, para cifrar datos y con
qu frecuencia generar nuevas claves de cifrado de Fase 2.
Los tems que puede definir en una propuesta de Fase 2 incluyen:
Tipo
Para un BOVPN manual, puede seleccionar el tipo de protocolo que usar: Encabezado de
autenticacin (AH) o Carga de seguridad de encapsulacin (ESP). El ESP ofrece autenticacin y
cifrado de los datos. El AH ofrece autenticacin sin el cifrado. Recomendamos que seleccione
ESP. La BOVPN administrada y el Mobile VPN with IPSec siempre usan ESP.
Autenticacin
La autenticacin asegura que la informacin recibida es exactamente la lista que la informacin
enviada. Puede usar el SHA o MD5 como algoritmo que los puntos usan para autenticar
mensajesIKE uno del otro. SHA1 es el ms seguro.
Cifrado
El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES o AES. El AES es el
ms seguro.
Forzar Caducidad de Clave
Para asegurarse de que las claves de cifrado de Fase 2 cambian peridicamente, siempre active
la caducidad de clave. Cuanto ms tiempo una clave de cifrado de Fase 2 est en uso, ms datos
un atacante puede recoger para usar en un ataque contra la clave.
Configuraciones de Fase 1 y Fase 2
Se configura la Fase 1 y Fase 2 para cada VPN de IPSec configurada.
Branch Office VPN (BOVPN)
Para una Branch Office VPN (BOVPN) (BOVPN), se configura la Fase 1 cuando define una puerta de enlace
de Sucursal y configura la Fase 2 cuando define un tnel de Sucursal.
Para ms informacin acerca del la configuracin de Fase 1 y Fase 2 de BOVPN, vea:
n Definir puertas de enlace en la pgina 832
n Definir un tnel en la pgina 842
Para una VPN para Sucursales, se configura la Fase 1 y Fase 2 cuando aade una plantilla de seguridad.
Para ms informaciones, vea Agregar plantillas de seguridad en la pgina 820
Mobile VPN with IPSec
En el caso del Mobile VPN con IPSec, diversas configuraciones de Fase 1 y Fase 2 son definidas
automticamente por el Add Mobile VPNwith IPSec Wizard. Tambin puede administrar esas
configuraciones en el Policy Manager.
n Configurar el Firebox para Mobile VPN with IPSec en la pgina 905
n Modificar un perfil de grupo existente de Mobile VPN con IPSec
Gua del Usuario 809
Usar un certificado para autenticacin de tnel VPN de IPSec
Cuando se crea un tnel IPSec, el protocolo de IPSec verifica la identidad de cada extremo o con una clave
precompartida (PSK) o un certificado importado y almacenado en el Firebox. Se configura el mtodo de
autenticacin de tnel en la configuracin de Fase 1 de VPN.
Para ms informacin acerca de cmo usar un certificado para autenticacin de tnel, vea:
n Usar un certificado para autenticacin del tnel BOVPN
n Use certificados autenticados para el tnel VPN Mobile con IPSec
Acerca de Mobile VPNs
Una Mobile VPN permite que sus empleados trabajen a distancia y viajen y se conecten con seguridad a la
red corporativa. El Fireware XTMsoporta tres tipos de redes privadas virtuales de usuario remoto: Mobile
VPN with IPSec, Mobile VPN with PPTP y Mobile VPN with SSL.
Cuando una Mobile VPN, primero configura su Firebox y despus configura los equipos de clientes
remotos. El Policy Manager o el Fireware XTMWeb UI son usados para configurar cada usuario o grupo de
usuarios. Para la Mobile VPN with IPSec y Mobile VPN with SSL, se usa el Policy Manager o la interfaz de
usuario web para crear un archivo de configuracin de perfil de usuario final que incluya todas las
configuraciones necesarias para conectarse al Firebox. Tambin puede configurar sus polticas para permitir
o negar trfico desde clientes Mobile VPN. Los usuarios de Mobile VPN se autentican en la base de datos de
usuario de Firebox o en un servidor de autenticacin externo.
Seleccione una Mobile VPN
El Fireware XTM soporta tres tipos de Mobile VPN. Cada tipo usa diferentes puertos, protocolos y
algoritmos de cifrado.
Mobile VPN with PPTP
n PPTP(Protocolo de tnel punto a punto) Protege el tnel entre dos extremos
n Puerto 1723 TCP Establece el tnel
n Protocolo 47 IP Cifra los datos
n Algoritmos de cifrado 40 bits 128 bits
n IPSec (Seguridad de protocolo de Internet) Protege el tnel entre dos extremos
n Puerto500 UDP (IKE) Establece el tnel
n Puerto4500 UDP (NAT Traversal) Usado si el Firebox est configurado para NAT
n Protocolo 50 IP (ESP) o Protocolo51 IP (AH) Cifra los datos
n Algoritmos de cifrado DES, 3DES o AES (128, 192 256 bits)
Mobile VPN with SSL
n SSL (Secure Sockets Layer) Protege el tnel entre dos extremos
n Puerto 443 TCP o Puerto 443 UDP Establece el tnel y cifra los datos
n Algoritmos de cifrado Blowfish, DES, 3DES o AES (128, 192 256 bits)
Nota En el caso del MobileVPNcon SSL, puedeelegir un puerto y protocolo diferentes.
Para ms informaciones, vea Elegir un puerto y protocolo para MobileVPNwith SSL
El tipo de Mobile VPN que selecciona depende mucho de su infraestructura existente y sus preferencias de
poltica de red. El Firebox puede administrar tres tipos de Mobile VPN simultneamente. Un equipo cliente
puede ser configurado para usar uno o ms mtodos. Algunos de los aspectos que considerar cuando
seleccione qu tipo de Mobile VPN usar estn descritos en las siguientes secciones.
Licencias y capacidad del tnel VPN
Cuando selecciona un tipo de tnel, asegrese de considerar el nmero de tneles que su dispositivo
soporta y si puede adquirir una actualizacin para aumentar el nmero de tneles.
Mobile VPN Mximo de tneles VPN
Mobile VPN with
PPTP
50 tneles
Mobile VPN with
IPSec
n Los tneles mximos y bsicos vara segn el modelo del
n Es necesaria la compra de licencia para activar el nmero mximo
de tneles.
Mobile VPN with
SSL
n Los tneles mximos y bsicos varan segn el modelo del
n La actualizacin Pro para el Fireware XTMOS es necesaria para el
mximo de tneles VPN de SSL.
n Para soportar ms de un tnel VPN de SSL debe tener una
actualizacin Pro.
Para el nmero mximo y bsico de tneles soportados por Mobile VPN with IPSec y Mobile VPN with SSL,
vea las especificaciones detalladas para su modelo de dispositivo WatchGuard.
Para encontrar el nmero de tneles VPN soportados por su dispositivo WatchGuard:
2. Seleccione VPN >MobileVPN.
3. Seleccione el tipo de VPN.
El nmero de tneles que su dispositivo soporta aparece en el cuadro de dilogo de configuracin para cada
tipo de Mobile VPN.
Compatibilidad del servidor de autenticacin
Cuando selecciona una solucin de Mobile VPN, asegrese de elegir una solucin que soporte el tipo de
servidor de autenticacin utilizado.
Gua del Usuario 811
Mobile
VPN
Firebox RADIUS Vasco/ RADIUS
Vasco
Challenge
Response
RSA
SecurID
LDAP
Active
Directory
Mobile
VPN with
PPTP
S S No No No No No
Mobile
VPN with
IPSec
S S S N/A S S S
Mobile
VPN with
SSL
S S S N/A S S S
Pasos de configuracin del cliente y compatibilidad del sistema
operativo
Los pasos de configuracin que el cliente debe seguir son diferentes para cada solucin de Mobile VPN.
Cada solucin de VPN tambin es compatible con sistemas operativos diferentes.
Mobile VPN with PPTP
No instale el software cliente de VPN de WatchGuard. Debe configurar manualmente la
configuracin de red en cada equipo cliente para establecer una conexinde PPTP.
Compatible con: Windows XP y Windows Vista.
Debe instalar el cliente Mobile VPN con IPSec de WatchGuard y manualmente importar el perfil del
usuario final. El cliente Mobile VPN con IPSec requiere ms pasos para ser configurado que el
cliente Mobile VPN con SSL.
Compatible con: Windows XP SP2 (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) y Windows 7
(32 bits y 64 bits).
Mobile VPN with SSL
Debe instalar el cliente Mobile VPN con SSL de WatchGuard y el archivo de configuracin.
Compatible con: Windows XP SP2 (32 bits solamente), Windows Vista (32 bits solamente), Windows
7 (32 bits y 64 bits), Mac OSX10.6 Snow Leopard y Mac OSX 10.5 Leopard
Opciones de acceso a Internet para usuarios de Mobile VPN
Paralos tres tipos de Mobile VPN, tiene dos opciones de acceso aInternet parasus usuarios de Mobile VPN:
Forzar todo el trfico de cliente a travs del tnel (VPN de ruta predeterminada)
La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a
travs del tnel VPN hacia el dispositivo WatchGuard. Despus, el trfico es enviado de vuelta a
Internet. Con esa configuracin (conocida como VPN de ruta predeterminada), el dispositivo
WatchGuard puede examinar todo el trfico y ofrecer mayor seguridad, aunque se use ms
potencia de procesamiento y ancho de banda.
Al usar una VPN de ruta predeterminada con Mobile VPN para IPSec o Mobile VPNpara PPTP, una
poltica de NAT dinmica debe incluir el trfico saliente de la red remota. Eso permite que los
usuarios remotos naveguen en Internet cuando envan todo el trfico al dispositivo WatchGuard.
Permitir acceso directo a Internet (dividir VPN de tnel)
Otra opcin de configuracin es activar el tnel dividido. Con esa opcin, los usuarios pueden
navegar en Internet, pero el trfico de Internet no es enviado a travs del tnel VPN. El tnel
dividido mejora el desempeo de red, pero disminuye la seguridad debido a que las polticas
creadas no son aplicadas al trfico de Internet. Si usa el tnel dividido, recomendamos que cada
equipo cliente tenga un firewall de software.
Para ms informacin especfica para cada tipo de Mobile VPN, vea:
n Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec
n Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP
n Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL
Descripcin de configuracin de Mobile VPN
Cuando configura una Mobile VPN, primero debe configurar el dispositivo WatchGuard y despus los
equipos clientes. Independientemente del tipo de Mobile VPN elegido, debe concluir los mismos cinco
pasos de configuracin. Los detalles para cada paso son diferentes segn el tipo de VPN.
1. Activar la Mobile VPN en el Policy Manager.
2. Definir las configuraciones de VPN para el nuevo tnel.
3. Seleccionar y configurar el mtodo de autenticacin para los usuarios de Mobile VPN.
4. Definir polticas y recursos.
5. Configurar los equipos clientes.
n En el caso del Mobile VPNcon IPSec y Mobile VPN con SSL, instale el software cliente y el
archivo de configuracin.
n Para el Mobile VPN con PPTP, configure manualmente la conexin de PPTP en la configuracin
de red del equipo cliente.
Para ms informacin y pasos detallados para configurar cada tipo de Mobile VPN, vea:
n Acerca del Mobile VPN con IPSec
n Acerca del Mobile VPN con PPTP
n Acerca del Mobile VPN con SSL
Gua del Usuario 813
26
Tneles BOVPN administrados
Acerca de los tneles BOVPN administrados
Una VPN (Red Privada Virtual) establece conexiones seguras entre equipos y redes en diferentes
ubicaciones. Cada conexin es conocida como un tnel. Cuando se crea un tnel VPN, las dos extremidades
del tnel autentican una a la otra. Los datos en el tnel son cifrados. Slo el remitente y el destinatario del
trfico pueden leerlos.
Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en ingls) permiten a las organizaciones
ofrecer conectividad segura y cifrada entre oficinas separadas geogrficamente. Las redes y hosts en un
tnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas
comunicaciones suelen contener tipos de datos crticos intercambiados dentro de un firewall corporativo.
En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la
comunicacin, reduce el costo de lneas exclusivas y mantiene la seguridad en cada extremidad.
Con el WatchGuard System Manager, se puede configurar tneles IPSec que usen autenticacin y cifrado
rpida y fcilmente. Se puede ver que esos tneles funcionan con otros tneles y polticas de seguridad.
Esos tneles son denominados tneles BOVPN administrados. Otro tipo de tnel es un tnel BOVPN
manual, que es un tnel BOVPN que usa cuadros de dilogo para definir. Para ms informacin acerca de
ese tipo de tneles, vea Acerca de tneles BOVPN manuales en la pgina 828.
Cmo crear un tnel BOVPN administrado
Se puede crear un tnel manual rpidamente entre dispositivos con un procedimiento de arrastrar y soltar
y con un simple asistente, tal como se describe en Establecer tneles administrados entre dispositivos en la
pgina 822.
Sin embargo, asegrese de que esos procedimientos sean realizados antes de crear los tneles
administrados:
1. Agregue al Management Server los dispositivos WatchGuard que sern las extremidades del tnel,
tal como se describe en Agregar dispositivos administrados al Management Server en la pgina 541.
2. Si desea usar un certificadopara laautenticacin por VPN, primerodebe importar el certificado. Para
ms informaciones acercade eso, vea Ver y administrar Certificados deFirebox enla pgina781.
El certificado debe ser reconocido como de tipo "IPSec" por el Firebox System Manager. Para
verificar eso, Iniciar el Firebox System Manager, seleccione Visualizar > Certificados y asegrese de
que la columna Tipo en el cuadro de dilogo Certificados diga "IPSec" o "IPSec/Web". Si no tiene un
certificado de terceros o autofirmado, debe usar una autoridad de certificacin en un Management
Server.
Para ms informaciones, vea Configurar la autoridad de certificacin en el Management Server en la
pgina 513.
Opciones de tneles
Puede usar varias opciones para personalizar los tneles Managed VPN:
n Si la red de confianza por detrs de uno de los dispositivos tiene muchas redes enrutadas o
secundarias que desea autorizar que pasen por el tnel, agrguelas manualmente como recursos de
VPN para el dispositivo, tal como se describe en Agregar recursos de VPN en la pgina 815.
n Si desea restringir los tipos de trfico que permite pasar por la BOVPN administrada o si desea
restringir los tipos de trfico que enva mensajes de registro al Log Server, debe usar una plantilla de
poltica de firewall de VPN. O puede usar una plantilla de poltica que ya est definida en su
Management Server. Para ms informaciones, vea Agregue plantillas de poltica de firewall de VPN
en la pgina 817.
n El asistente usado para crear los tneles BOVPN administrados le permite elegir entre varias
configuraciones de cifrado. Esas configuraciones son apropiadas para la mayora de los tneles. No
obstante, si su red posee requisitos especiales, puede crear sus propias configuraciones, tal como se
describe en Agregar plantillas de seguridad en la pgina 820.
Failover de VPN
Failover de VPN, descrito en Configurar Failover de VPN, es soportado con tneles BOVPN administrados. Si
tiene WAN mltiples configuradas y crea tneles administrados, el WSMautomticamente configura los
pares de puertas de enlace que incluyan las interfaces externas de ambas extremidades del tnel. No hace
falta ninguna otra configuracin.
Configuraciones de VPN Global
Las configuraciones de VPN Global en su dispositivo WatchGuard se aplican a todos los tneles BOVPN,
tneles administrados y tneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec.
n Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS).
n Usar un servidor de LDAP para verificar los certificados.
n Hacer que el Firebox enve una notificacin cuando un tnel BOVPN est inactivo (slo tneles
BOVPN).
Para cambiar esas configuraciones, en el Policy Manager, seleccione VPN > Configuraciones de VPN. Para
ms informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global en la
pgina 850.
Gua del Usuario 815
Estado del tnel BOVPN
Puede usar el Firebox System Manager para ver el estado actual de los tneles BOVPN. Esa informacin
tambin aparece en la pestaa Estado del dispositivo del WatchGuard System Manager. Para ms
informaciones, vea Servicios de suscripcin y estado del tnel VPN en la pgina 824.
Regenerar clave de tneles BOVPN
Puede usar el Firebox System Manager para generar nuevas claves inmediatamente para los tneles
BOVPN en vez de esperar que caduquen. Para ms informaciones, vea Regenerar clave de tneles BOVPN
en la pgina 730.
Agregar recursos de VPN
Una El recurso de VPN es una red que est permitida conectarse a travs de un tnel VPN especificado. Si
un dispositivo VPN de extremidad tiene una direccin IP esttica, todas las redes de confianza detrs del
dispositivo son automticamente autorizadas a conectarse. El Management Server crea un recurso de VPN
predeterminado para el dispositivo que incluye todas las redes de confianza.
No obstante, si la red de confianza por detrs de uno de los dispositivos tiene muchas redes enrutadas o
secundarias que desea autorizar que pasen por el tnel, agrguelas manualmente como recursos de VPN
para el dispositivo. Si un dispositivo de extremidad tiene una direccin IP dinmica, debe obtener sus
recursos actuales, tal como se describe abajo, o agregar redes detrs de ese dispositivo como recursos de
VPN. El Management Server no crea recursos de VPN automticamente para esas redes.
Obtener los recursos actuales desde un dispositivo
Si undispositivode extremidadtiene unadireccinIPdinmica, obtengalas polticasque yase aplicanalasredes
detrsdel dispositivo.Tambinpuedesaltar eseprocedimientoyagregar lasredes comorecursos deVPN.
1. En el WatchGuard System Manager, seleccione un dispositivo administrado en la pestaa
Administracin de dispositivo, despus seleccione Editar> Actualizar dispositivo.
Aparece el cuadro de dilogo Actualizar dispositivo.
2. Seleccione la casilla de verificacin Descargar polticas de red de confianza y opcional
3. Haga clic en OK.
Crear un nuevo recurso de VPN
Para crear un recurso de VPN, en la pestaa Administracin de dispositivo:
1.
Seleccione el dispositivo para el cual desea configurar un recurso de VPN y haga clic en .
O haga clic con el botn derecho en dispositivo y seleccione Insertar recurso de VPN.
Aparece el cuadro de dilogo Recurso de VPN para ese dispositivo.
2. En el cuadro Nombre de poltica, ingrese un nombre para la poltica. Ese nombre aparecer en la
ventana Administracin de dispositivo y en el Add VPN Wizard.
3. En la lista desplegable Disposicin, seleccione una de las siguientes opciones:
seguro
Cifrar trfico hacia y desde ese recurso. Esa es la opcin usada ms frecuentemente.
derivar
Enviar el trfico en texto claro. Puede usar esa opcin si un Firebox est en modo directo y el
tnel enruta el trfico a la red directa. En ese caso, la direccin IP directa debe ser derivada,
pero no bloqueada, sino el tnel no logra negociar.
bloquear
No permitir el trfico a travs de la VPN. Puede usar esa opcin para excluir una o ms
direcciones IP de la utilizacin de una VPN que permita una subred completa, pero slo cuando
tiene una precedencia ms alta que la subred completa.
Nota Si desea crear un recurso de VPN para un Firebox X Edge que no usa Fireware XTM
11.0 o posterior, el campo Disposicin no aparece, porque slo soporta la opcin
seguro.
Gua del Usuario 817
4. Agregar, editar o eliminar recursos.
n Haga clic en Agregar para aadir una direccin IP o direccin de red.
n Haga clic en Editar para editar un recurso que haya seleccionado en la lista.
n Seleccione un recurso en la lista Recursos y haga clic en Remover para eliminar un
recurso.
5. Haga clic en OK.
Agregar una host o red
1. En el cuadro de dilogo Recurso de VPN, haga clic en Agregar.
Aparece el cuadro de dilogo "Recurso".
2. En la lista desplegable Permitir hacia/desde, seleccione el tipo de recurso y despus ingrese la
direccin IP o la direccin de red en el cuadro de direccin al lado.
3. Haga clic en OK.
Agregue plantillas de poltica de firewall de VPN
Use las plantillas de poltica de firewall de VPN para crear un conjunto de una o ms polticas de firewall
bidireccionales que restrinjan el tipo de trfico permitido por una VPN. Observe que las plantillas de poltica
no soportan polticas de proxy.
Si usa la poltica de firewall de VPN "Cualquiera" predeterminada, se genera un mensaje de registro para
todo el trfico que pase por el tnel Managed VPN . Si desea controlar qu trfico queda grabado en los
registros, debe crear su propia Plantilla de Poltica de Firewall de VPN y usar la casilla de verificacin
Activar registro para ese trfico. No es posible desconectar el registro para la poltica de firewall de VPN
"Cualquiera" predeterminada ni alterarlo bajo ninguna forma.
Para crear una plantilla de Poltica de Firewall de VPN:
1. A la izquierda (vista jerrquica) de la pestaa Administracin de dispositivo, expanda VPNs
administradas y haga clic en Plantillas de Poltica de Firewall de VPN.
Aparece una lista de las plantillas de poltica definidas actualmente, caso haya alguna, a la derecha de la
pantalla.
2. En el ngulo superior derecho de la pantalla, haga clic en Agregar.
Aparece el cuadro de dilogo Plantilla de Poltica de Firewall de VPN.
3. En el campo Nombre, ingrese un nombre para la Plantilla de Poltica. Ese nombre aparece en la vista
jerrquica Administracin de dispositivo y en el Add VPN Wizard.
4. Para agregar una poltica a la plantilla, haga clic en Agregar.
5. Seleccione de una lista de polticas predefinidas o cree una poltica personalizada. Si crea una
poltica personalizada, use la siguiente pantalla del asistente para insertar un nombre y seleccionar
un puerto y protocolo para la poltica.
6. Despus de agregar la poltica, puede repetir el procedimiento para agregar polticas adicionales.
Haga clic en OK cuando finalice.
Definir un cronograma para la plantilla de poltica
Por defecto, el cronograma de la plantilla de poltica est definido en Siempre activo. Si desea restringir el
horario operativo de esa poltica, puede configurar la plantilla de la poltica para que use un cronograma
personalizado.
1. Haga clic en la pestaa Cronograma.
Aparecen las Configuraciones del Cronograma de Poltica.
2. Para alterar el horario operativo, haga clic en el botn de radio Usar cronograma personalizado.
Aparece el cuadro del cronograma personalizado.
Gua del Usuario 819
3. El cuadro del cronograma personalizado muestra los das de la semana en el eje X (horizontal) y los
aumentos del da en el eje Y (vertical). Haga clic en las cajas del cuadro para cambiar los horarios
operativos (cuando la poltica est activa) y horarios no operativos (cuando la poltica no est
vigente).
Usar el marcado QoS en una plantilla de poltica
Puede usar el marcado QoS para marcar el trfico que usar una Plantilla de Poltica de Firewall de VPN. La
accin de marcado que selecciona es aplicada a todo el trfico que usa la poltica.
2. Haga clic en la casilla de verificacin Anular configuraciones por interfaz.
3. Realizar las configuraciones de Marcado QoS, tal como se describe en Activar el Marcado QoS para
un tnel BOVPN administrado en la pgina 474.
Configurar la administracin de trfico en una plantilla de
poltica
1. Haga clic en la pestaa Administracin de trfico.
2. Haga clic en el botn de radio Especificar accin de administracin de trfico personalizada.
3. Configurar la administracin de trfico personalizada, tal como se describe en Agregar una accin
de administracin de trfico a una poltica de firewall de BOVPN en la pgina 478.
Agregar plantillas de seguridad
Una La Plantilla de Seguridad es un conjunto de datos de configuracin para ser usados al crear los tneles.
Cuando usa las Plantillas de Seguridad, no es necesario recrear las configuraciones de seguridad cada vez
que crea un tnel. Esas plantillas incluyen configuraciones de Fase 1 y Fase 2.
Para ms informaciones acerca de esas configuraciones, vea Configurar modo y transformaciones
(Configuraciones de la Fase 1) en la pgina 836 y Configuraciones de Fase 2 en la pgina 846.
Las Plantillas de Seguridad predeterminadas son suministradas para todos los tipos de cifrados disponibles.
Se pueden usar esas configuraciones para crear tneles seguros que funcionan correctamente para la
mayora de las redes. No obstante, si su red posee requisitos especiales, puede alterar plantillas existentes o
crear nuevas plantillas.
Para crear una Plantilla de Seguridad:
1. En la pestaa Administracin de dispositivo, seleccione Editar> Insertar Plantilla de Seguridad o
haga clic en .
Aparece el cuadro de dilogo Plantilla de Seguridad.
2. En el cuadro de texto Nombre de plantilla, ingrese un nombre para la plantilla. Ese nombre aparece
en la vista jerrquica Administracin de dispositivo y en el Add VPN Wizard.
3. Haga clic en la pestaa Configuraciones de Fase 1.
Gua del Usuario 821
4. Si desea crear un tnel BOVPN entre el Firebox y otro dispositivo que est detrs de un dispositivo
NAT, seleccione la casilla de verificacin NAT Traversal. La NAT Traversal o Encapsulado de UDP
permiten que el trfico llegue a los destinos correctos cuando un dispositivo no tiene una direccin
IP pblica.
5. Si otro extremo de VPN lo soporta, seleccione la casilla de verificacin Dead Peer Detection.
6. Si ambos dispositivos no soportan la Dead Peer Detection, y si ambos dispositivos son Firebox,
seleccione la casilla de verificacin IKE keep-alive para que el Firebox enve mensajes a sus pares
IKE y mantenga el tnel VPN abierto.
n Para determinar el Intervalo de mensajes, ingrese el nmero de segundos o use el control de
valores para seleccionar el nmero de segundos que desea.
n Para definir un nmero mximo de veces que el Firebox intenta enviar un mensaje de IKE
keep-alive antes de intentar negociar la Fase 1 nuevamente, ingrese el nmero de intentos en
el cuadro Mx. Fallas.
Advertencia No activar IKEkeep-alive y Dead Peer Detection a la vez.
7. En las listas desplegables Autenticacin y Cifrado, seleccione el mtodo de autenticacin y de
cifrado.
8. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. Los grupos
Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de intercambio de
claves. Los miembros de grupos ms altos son ms seguros, pero se necesita ms tiempo para hacer
las claves. Para ms informaciones, vea Acerca de los grupos Diffie-Hellman en la pgina 840.
9. Para alterar la duracin de SA (siglas en ingls para asociacin de seguridad); ingrese un nmero en
los campos Duracin de SA para definir el perodo de tiempo o trfico que debe pasar antes que la
SA caduque. Inserte un cero (0) para no poner lmite.
11. En la lista desplegable Autenticacin, seleccione el mtodo de autenticacin para la Fase 2.
12. En la lista desplegable Cifrado, seleccione el mtodo de cifrado.
13. Para forzar que una clave caduque, seleccione la casilla de verificacin Forzar Caducidad de Clave.
En los cambios abajo, inserte una duracin y un nmero de kilobytes despus de los cuales una
clave caduca.
Si Forzar Caducidad de Clave est desactivado, o si est activado y la hora y el nmero de kilobytes
estn puestos en cero, el Firebox intenta usar la hora de la caducidad de la clave definida para el
punto. Si sta tambin est desactivada o en cero, Firebox usa una hora predeterminada de
caducidad de clave de 8 horas.
El tiempo mximo de caducidad es de un ao.
Establecer tneles administrados entre
dispositivos
Use el "Add VPN Wizard" para configurar un tnel BOVPN administrado.
Se deben configurar redes para los dispositivos Fireboxes dinmicos y Firebox X Edge antes de que puedan
usar ese procedimiento. Tambin deben obtener polticas a partir de los nuevos dispositivos dinmicos
antes de configurar los tneles. Para ms informaciones, vea Agregar recursos de VPN en la pgina 815.
En la pestaa Administracin de dispositivo:
1. En una de las extremidades del tnel, haga clic en el nombre del dispositivo. Arrastre y suelte el
nombre en el nombre del dispositivo en la otra extremidad del tnel.
O, en la pestaa Administracin de dispositivo, seleccione Editar > Crear nueva VPN o haga clic en
.
Se inicia el "Add VPN Wizard".
Gua del Usuario 823
2. Si us el procedimiento de arrastrar y soltar en el Paso 1, el asistente muestra los dos dispositivos en
las extremidades seleccionados con el arrastrar y soltar, y el recurso de VPN que el tnel utiliza. Si
no us el arrastrar y soltar, seleccione las extremidades en la lista desplegable Dispositivo.
3. En la lista desplegable Recurso deVPN, seleccione un recurso de VPN para cada dispositivo.
Para ms informaciones acerca de recursos de VPN, vea Agregar recursos de VPN en la pgina 815.
Seleccione Red de concentrador para hacer un tnel VPN de ruta nula para forzar todo el trfico a
travs de una VPN. Use esa configuracin como recurso de VPN para el dispositivo que hospeda la
ruta nula de VPN. El dispositivo remoto enva todo el trfico a travs de la VPN hacia dispositivo que
tiene la Red de concentradorcomo recurso local.
5. En la lista desplegable Plantilla de Seguridad, seleccione la plantilla de seguridad que coincide con el
tipo de seguridad y de autenticacin que desea usar para ese tnel. Use las casillas de verificacin
para especificar los servidores de DNS y WINS que desea usar. Haga clic en Siguiente.
Para ms informaciones acerca de las Plantillas de Seguridad, vea Agregar plantillas de seguridad en
la pgina 820.
6. En la lista desplegable Plantilla de Poltica de Firewall de VPN, seleccione la Plantilla de Poltica de
Firewall de VPN aplicable para el tipo de trfico que desea permitir a travs de ese tnel. Si no se
han definido Plantillas de Poltica de Firewall de VPN, la poltica predeterminada "Cualquiera" es
aplicada al tnel.
Para ms informaciones acerca de las Plantillas de Poltica de Firewall de VPN, vea Agregue
plantillas de poltica de firewall de VPN en la pgina 817.
El asistente muestra la configuracin.
8. Seleccione lacasillade verificacinReiniciar dispositivos ahora para descargar configuracinde VPN.
9. Haga clic en Finalizar para reiniciar ambos dispositivos y crear un tnel de VPN.
Editar la definicin de un tnel
Puede ver todos sus tneles en la pestaa Administracin del dispositivo del WatchGuard System Manager
(WSM). Desde esa ubicacin, puede alterar el nombre del tnel, la plantilla de seguridad, las extremidades y
la poltica usada para cada tnel VPN.
Si desea alterar la Plantilla de Poltica o la Plantilla de Seguridad para el tnel, puede arrastrar y soltar el
nombre de la plantilla desde la vista jerrquica a la izquierda de la pestaa Administracin del dispositivo
hasta el nombre del VPN en la vista jerrquica. Se aplica una nueva plantilla. Para otros cambios o para usar
un cuadro de dilogo para alterar una plantilla:
1. En la pestaa Administracin de dispositivo, expanda el rbol del dispositivo.
2. Haga clic con el botn derecho en el tnel que desea alterar y seleccione Propiedades.
Aparece el cuadro de dilogo Propiedades de VPN.
3. Haga las alteraciones que desea en el tnel.
Los cambios son aplicados la prxima vez que el tnel es renegociado.
Remover tneles y dispositivos
Para remover un dispositivo del WatchGuard System Manager (WSM), primero debe remover los tneles
de los cuales el dispositivo es una extremidad.
Remover un tnel
1. En el WatchGuard System Manager, haga clic en la pestaa Administracin de dispositivo.
2. Expanda el elemento VPNs administradas para mostrar el tnel que desea remover.
3. Haga clic con el botn derecho en el tnel y seleccione Remover. Haga clic en S para confirmar.
4. Puede ser necesario reiniciar los dispositivos que usan el tnel que desea remover. Haga clic en S.
Remover un dispositivo
1. En el WatchGuard System Manager, haga clic en la pestaa Estado del dispositivo o Administracin
de dispositivo.
2. Si usa la pestaa Administracin de dispositivo, expanda el elemento Dispositivos para ver el
dispositivo que desea remover.
3. Haga clic con el botn derecho en el dispositivo y seleccione Remover.
4. Haga clic en S para confirmar la accin.
Servicios de suscripcin y estado del tnel VPN
El Panel delanterodel Firebox SystemManager (FSM) incluye estadsticas acercade los actuales tneles VPN.
Gua del Usuario 825
En el rea de Estado del Firebox, al lado derecho de la ventana, hay una seccin acerca de tneles BOVPN.
El Firebox System Manager muestra el estado actual del tnel e informacin de la puerta de enlace para
cada tnel VPN, as como datos enviados y recibidos, informacin de creacin y caducidad, tipo de
autenticacin y cifrado usados y el nmero de regeneracin de claves.
Cada tnel BOVPN aparece en uno de los tres estados:
Activo
El tnel BOVPN funciona correctamente y pasa el trfico.
Inactivo
El tnel BOVPN fue creado pero no hubo ninguna negociacin de tnel. No se envi ningn trfico
por el tnel VPN.
Expirado
El tnel BOVPN fue activado, pero ya no est activo porque el tnel no tiene trfico o porque se
perdi el enlace entre las puertas de enlace.
Esa informacin tambin aparece en la pestaa Estado del dispositivo en el WatchGuard System Manager.
Estado del Tnel Mobile VPN
El Firebox System Manager muestra el nombre de usuario, datos de direccin IP y cantidad de paquetes
enviados y recibidos para los tres tipos de tneles Mobile VPN:
n Mobile VPNwith IPSec
n Mobile VPNwith SSL
n Mobile VPNwith PPTP
Para desconectar los usuarios de Mobile VPN, haga clic con el botnderecho en un usuario y seleccione
Desconectar usuario seleccionado.
Estado de los Servicios de Suscripcin
En los Servicios de Suscripcin, el Firebox System Manager muestra el nmero de virus encontrado, el
nmero de intrusiones, el nmero de mensajes de correo electrnico confirmado como spams y el
nmero de solicitudes de HTTP negados por el WebBlocker desde el ltimo reinicio.
Gua del Usuario 827
27
Tneles de BOVPN manuales
Lo que necesita para crear un BOVPN
Antes de configurar una red Branch Office VPN (BOVPN) en su dispositivo WatchGuard, lea esos requisitos:
n Debe tener dos dispositivos WatchGuard o un dispositivo WatchGuard y un segundo dispositivo que
usa estndares IPSec. Debe activar la opcin VPN en otro dispositivo si todava no est activa.
n Debe tener una conexin de Internet.
n El ISP para cada dispositivo de VPN debe permitir el trfico IPSec en sus redes.
Algunos ISPs no permiten la creacin de tneles VPN en sus redes excepto si actualiza su servicio de
Internet para un nivel que soporte tneles VPN. Hable con un representante de cada ISP para
asegurarse de que esos puertos y protocolos estn permitidos:
n Puerto UDP 500 (Intercambio de clave de red o IKE)
n Puerto UDP 4500 (NAT Traversal)
n Protocolo IP 50 (Carga de seguridad de encapsulacin o ESP)
n Si en el otro extremo del tnel VPN hay un dispositivo WatchGuard y cada dispositivo es
administrado, puede usar la opcin Managed VPN. La Managed VPN es ms fcil de configurar que
la "Manual VPN". Para usar esa opcin, debe obtener informacin junto al administrador del
dispositivo WatchGuard en el otro extremo del tnel VPN.
n Debe saber si la direccin IP asignada a la interfaz externa de su dispositivo WatchGuard es esttica o
dinmica.
Para obtener ms informacin acerca de las direcciones IP, vea Acerca de las Direcciones IP en la
pgina 3.
n Su modelo de dispositivo WatchGuard informa el nmero mximo de tneles VPN que puede crear.
Si su modelo de Firebox puede ser actualizado, puede adquirir la actualizacin del modelo que
aumente el nmero mximo de tneles VPN soportados.
n Si se conecta a dos redes Microsoft Windows NT, ambas deben estar en el mismo dominio de
Microsoft Windows o deben ser dominios de confianza. Esa es una cuestin de Microsoft
Networking, no una limitacin de Firebox.
n Si desea usar los servidores DNS y WINS de la red en el otro extremo del tnel VPN, debe conocer
las direccin IP de esos servidores.
El Firebox puede dar direcciones IP de WINS y DNS a equipos en su red de confianza si stos
obtienen sus direcciones IP de Firebox con DHCP.
n Si desea dar a los equipos las direcciones IP de los servidores WINS y DNS en el otro extremo de la
VPN, puede ingresarlas en las configuraciones de DHCP en la configuracin de la red de confianza.
Para ms informacin acerca de cmo configurar el Firebox para distribuir las direccin IP con
DHCP, vea Configurar el DHCP en modo de enrutamiento mixto en la pgina 100.
n Debe conocer la direccin de red de las redes privadas (de confianza) detrs de su Firebox y de la
red detrs del otro dispositivo de VPN, as como de sus mscaras de subred.
Nota Las direcciones IP privadas de los equipos detrs de su Firebox no pueden ser las
mismas que las direcciones IP de los equipos en el otro extremo del tnel VPN. Si su
red de confianza usa las mismas direcciones IP que la oficina hacia la cual se
establecer un tnel VPN, entonces su red o la otra red debe cambiar los ajustes de
direccin IP para evitar conflictos de direccin IP.
Acerca de tneles BOVPN manuales
Una VPN (Red Privada Virtual) establece conexiones seguras entre equipos y redes en diferentes
ubicaciones. Cada conexin es conocida como un tnel. Cuando se crea un tnel VPN, las dos extremidades
del tnel autentican una a la otra. Los datos en el tnel son cifrados. Slo el remitente y el destinatario del
trfico pueden leerlos.
Las Redes Privadas Virtuales de Sucursal (BOVPN, en las siglas en ingls) permiten a las organizaciones
ofrecer conectividad segura y cifrada entre oficinas separadas geogrficamente. Las redes y hosts en un
tnel BOVPN pueden ser sedes corporativas, sucursales, usuarios remotos o trabajadores a distancia. Esas
comunicaciones suelen contener tipos de datos crticos intercambiados dentro de un firewall corporativo.
En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la
comunicacin, reduce el costo de lneas exclusivas y mantiene la seguridad en cada extremidad.
Manual Los tneles BOVPN ofrecen varias opciones adicionales de tneles. Otro tipo de tnel es un tnel
BOVPN administrado, que es un tnel BOVPN que se crea con el procedimiento de arrastrar y soltar, un
asistente y el uso de plantillas. Para ms informacin acerca de ese tipo de tneles, vea Acerca de los
tneles BOVPN administrados en la pgina 813.
Lo que necesita para crear un VPN
Adems de los requisitos de VPN, debe tener esa informacin para crear un tnel Manual VPN:
n Debe saber si la direccin IP asignada al otro dispositivo VPN es esttica o dinmica. Si el otro
dispositivo VPN tiene una direccinIP dinmica, su Firebox debe encontrar el otro dispositivo por el
domain name y el otro dispositivo debe usar DNS Dinmico.
n Se debe conocer la clave compartida (frase de contrasea) del tnel. La misma clave compartida
debe ser usada por cada dispositivo.
n Se debe conocer el mtodo de cifrado usado en el tnel (D 3DESES, 3DES, AES 128 bits, AES 192 bits
o AES 256 bits). Los dos dispositivos de VPN deben usar el mismo mtodo de cifrado.
Gua del Usuario 829
n Se debe conocer el mtodo de autenticacin de cada extremo del tnel (MD5 o SHA-1). Los dos
dispositivos de VPN deben usar el mismo mtodo de autenticacin.
Para ms informaciones, vea Lo que necesita para crear un BOVPN en la pgina 827.
Recomendamos que tome nota de su configuracin de Firebox y la informacin relacionada para el otro
dispositivo. Vea Muestra cuadro de informacin de direccin de VPN en la pgina 830 para registrar esa
informacin.
Cmo crear un tnel BOVPN manual
El procedimiento bsico para crear un tnel manual requiere estos pasos:
1. Definir puertasdeenlacepuntos deconexintantoenlaextremidadlocal comoenlaremotadel tnel.
2. Establezca tneles entre los extremos de puertas de enlace configure rutas para el tnel,
especifique cmo los dispositivos controlan la seguridad y cree una poltica para el tnel.
Algunas otras opciones pueden ser usadas para los tnelesBOVPN estn descritas en las secciones abajo.
Personalizar polticas del tnel
El Firebox agrega automticamente nuevos tneles VPN para las polticas BOVPN-Allow.in y BOVPN-
Allow.out. Eso permite que todo el trfico use el tnel. Puede elegir no usar esa poltica y, en vez de eso,
crear polticas de VPN personalizadas para permitir slo trfico de tipos especficos a travs del tnel. Para
ms informaciones, vea Definir una poltica personalizada de tnel en la pgina 851.
Tneles de una direccin
Configurar NAT dinmica saliente a travs de un tnel BOVPN si desea mantener el tnel VPN abierto slo
en una direccin. Eso puede ser til cuando establece un tnel para un sitio remoto donde todo el trfico
de VPN viene desde una direccin IP pblica.
Failover de VPN
Los tneles VPN automticamente hacen la conmutacin por error para la interfaz WAN de resguardo
durante la conmutacin por error de WAN. Puede configurar tneles BOVPN para hacer conmutacin por
error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para hacer eso,
debe definir al menos un extremo de resguardo, tal como se describe en Configurar Failover de VPN en la
pgina 873.
Las configuraciones de VPN Global en su Firebox se aplican a todos los tneles BOVPN, tneles
administrados y tneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec
n Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS)
n Usar un servidor de LDAP para verificar los certificados
n Hacer que el Firebox enve una notificacin cuando un tnelBOVPN est inactivo (slo tneles
BOVPN).
Para cambiar esas configuraciones, en el Policy Manager, seleccione VPN > Configuraciones de VPN. Para
ms informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global en la
pgina 850.
Estado del tnelBOVPN
Puede usar el Firebox System Manager para ver el estado actual de los tnelesBOVPN. Esa informacin
tambin aparece en la pestaa Estado del dispositivo del WatchGuard System Manager. Para ms
informaciones, vea Servicios de suscripcin y estado del tnel VPN en la pgina 824.
Regenerar clave de tnelesBOVPN
Puede usar el Firebox System Manager para generar nuevas claves inmediatamente para los tneles
BOVPN en vez de esperar que caduquen. Para ms informaciones, vea Regenerar clave de tneles BOVPN
en la pgina 730.
Muestracuadrode informacinde direccinde
VPN
Elemento Descripcin
Asignado
por
Direccin IP externa
La direccin IP que identifica el dispositivo compatible con
IPSec en la Internet. ISP ISP
Ejemplo:
Sitio A: 207.168.55.2
Sitio B: 68.130.44.15
ISP ISP
Direccin de red
local
Direccin usada para identificar una red local. Esas son las
direcciones IP de los equipos en cada extremo que estn
autorizados a enviar trfico a travs del tnel VPN.
Recomendamos que use una direccin de uno de los
rangos reservados:
10.0.0.0/8255.0.0.0
172.16.0.0/12255.240.0.0
192.168.0.0/16255.255.0.0
Los nmeros despus de las barras diagonales indican las
mscaras de subred. /24 significa que la Subnet Mask para
la red de confianza es 255.255.255.0. Para ms
informacin acerca de la notacin diagonal, vea Acerca de
las Notacin diagonal en la pgina 3.
Usted
Gua del Usuario 831
Elemento Descripcin
Asignado
por
Ejemplo:
Sitio A: 192.168.111.0/24
Sitio B: 192.168.222.0/24
Clave compartida
La clave compartida es una frase de contrasea usada por
dos dispositivos compatibles con IPSec para cifrar y
descifrar los datos que pasan por el tnel VPN. Los dos
dispositivos usan la misma frase de contrasea. Si los
dispositivos no tienen la misma frase de contrasea, no
pueden encriptar o descifrar los datos correctamente.
Use una frase de contrasea que contenga nmeros,
smbolos, letras en minsculas y maysculas para mejor
seguridad. Por ejemplo, "Gu4c4mo!3" es mejor que
"guacamole".
Ejemplo:
Sitio A: OurSharedSecret
Sitio B: OurSharedSecret
Usted
Mtodo de cifrado
DES usa cifrado de 56 bits. 3DES usa cifrado de 168 bits. El
cifrado AES est disponible en 128, 192 y 256 bits. AES de
256 bits es el cifrado ms seguro. Los dos dispositivos
deben usar el mismo mtodo de cifrado.
Ejemplo:
Sitio A: 3DES; Sitio B: 3DES
Usted
Elemento Descripcin
Asignado
por
Autenticacin
Los dos dispositivos deben usar el mismo mtodo de
autenticacin.
Ejemplo:
Sitio A: MD5 (o SHA-1)
Sitio B: MD5 (o SHA-1)
Usted
Definir puertas de enlace
Un puerta de enlace es un punto de conexin para uno o ms tneles. Para crear un tnel, debe configurar
puertas de enlace tanto en el dispositivo extremo local como en el remoto. Para configurar esas puertas de
enlace, debe especificar:
n Mtodo de credencial - claves precompartidas o un Firebox Certificate IPSec. Para ms informacin
acerca de cmo usar certificados para autenticacinBOVPN, vea Usar un certificado para
autenticacin del tnel BOVPN en la pgina 794.
n Ubicacin de los extremos de la puerta de enlace remota y local, sea por direccin IP o por
informacin de dominio.
n Las configuraciones la Fase 1 de la negociacin de Intercambio de Claves de Internet (IKE). Esa fase
define la asociacin de seguridad o protocolos y configuraciones que los extremos de la puerta de
enlace usarn para comunicarse, para proteger datos que son transmitidos en la negociacin.
1. En el Policy Manager, seleccione VPN>Puertas de enlace de sucursal.
Aparece el cuadro de dilogo Puertas de enlace.
2. Para agregar una puerta de enlace, haga clic en Agregar.
Aparece el cuadro de dilogo Nueva puerta de enlace.
Gua del Usuario 833
3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar la puerta
de enlace para este Firebox.
4. En la el cuadro de dilogo Nueva puerta de enlace, seleccione o Usar clave precompartida o Usar
Firebox Certificate de IPSec para identificar el procedimiento de autenticacin utilizado por ese
tnel.
Si seleccion Usar clave precompartida
ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo
remoto. Esa clave compartida debe usar slo caracteres ASCII estndares.
Si seleccion Usar Firebox Certificate de IPSec
La tabla abajo del botn de radio muestra los certificados actuales en el Firebox. Seleccione el
certificado que usar para la puerta de enlace.
Params informaciones, veaUsar un certificado para autenticacin del tnel BOVPNenlapgina794.
Ahora puede Definir extremos de puerta de enlace.
Definir extremos de puerta de enlace
Los extremos de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. Esa
informacin explica a su dispositivo WatchGuard cmo identificar y comunicarse con el dispositivo del
extremo remoto cuando negocia la BOVPN. Tambin dice al dispositivo WatchGuard cmo identificarse al
extremo remoto al negociar la BOVPN.
Cualquier interfaz externa puede ser un gateway endpoint. Si tiene ms de una interfaz externa, puede
configurar mltiples puertas de enlace para Configurar Failover de VPN.
Puerta de enlace local
En la seccin Puerta de Enlace local, configure el ID de la puerta de enlace y la interfaz a la cual la BOVPN se
conecta en su dispositivo WatchGuard. Para el ID de la puerta de enlace, si tiene una direccinIP esttica,
puede seleccionar Por direccinIP. Use Por informacin de dominio si tiene un dominio que enva a la
direccinIP la BOVPN que se conecte a su dispositivo WatchGuard.
1. En la seccin Extremos de la puerta de enlace del cuadro de dilogo Nueva Puerta de enlace ,
haga clic en Agregar.
Aparece el cuadro de dilogo Configuraciones de extremos de la nueva puerta de enlace.
Gua del Usuario 835
2. Especifique el ID de la puerta de enlace.
n Por direccin IP - Seleccione el botn de radio Por direccin IP. Ingrese la direccinIP de la
direccinIP de la interfaz de Firebox o seleccinela en la lista desplegable. Aparecen en la lista
todas las direcciones IP de Firebox.
n Por informacin de dominio- Seleccione el botn de radio Por informacin de dominio. Haga
clic en Configurar y seleccione el mtodo de configuracin de dominio. Seleccione Por domain
name o Por ID de usuarioen dominio.
Por domain name - Ingrese su domain name y haga clic en Aceptar.
Por ID de usuario en dominio - Ingrese el nombre de usuario y dominio con el formato
NombreUsuario@NombreDominio y haga clic en Aceptar.
3. En la lista desplegable Interfaz externa, seleccione la interfaz en el Firebox con la direccinIP o
dominio que elige para el ID de puerta de enlace.
Puerta de enlace remota
En el rea de Puerta de enlace remota, configure el ID y la direccinIP de la puerta de enlace para el
dispositivo del extremo remoto al que la BOVPN se conecta. La direccinIP de la puerta de enlace puede
ser o una direccinIP esttica o una direccinIP dinmica. El ID de la puerta de enlace puede ser Por
domain name, por ID de usuarioen dominio, o Por nombre x500. El administrador del dispositivo de
puerta de enlace remota puede determinar cul usar.
1. Seleccione la direccinIP de la puerta de enlace remota.
n DireccinIP esttica - Seleccione esta opcin si el dispositivo remoto tiene una direccinIP
esttica. Para direccinIP, ingrese la direccinIP o seleccinela en la lista desplegable.
n DireccinIP dinmica - Seleccione esta opcin si el dispositivo remoto tiene una direccinIP
dinmica.
2. Seleccione el ID de la puerta de enlace.
n Por direccin IP - Seleccione el botn de radio Por direccin IP. Ingrese la direccinIP o
seleccinela en la lista desplegable.
n Por informacin de dominio- Seleccione el botn de radio Por informacin de dominio. Haga
clic en Configurar y seleccione el mtodo de configuracin de dominio. Seleccione Por domain
name, Por ID de usuarioen dominio o Por nombre x500 e ingrese el nombre, ID de usuario y
dominio o nombre x500. Haga clic en OK.
Nota Si el extremo de la VPN remota usa DHCP o PPPoE para obtener su direccin IP
externa, defina el tipo de ID de la puerta de enlace remota en Nombre del dominio.
Defina el campo del nombre del punto en domain name totalmente cualificado del
extremo de la VPN remota. El Firebox usa la direccin IP y el domain name para
encontrar el extremo del VPN. Asegrese de que el servidor DNS usado por Firebox
pueda identificar el nombre.
Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de extremos de la nueva puerta de
enlace. El Nueva Puerta de enlace cuadro de dilogo . Aparece el par de la puerta de enlace definido en la
lista de extremos de la puerta de enlace. Vaya a Configurar modo y transformaciones (Configuraciones de
la Fase 1) si desea usar configuraciones de la Fase 1 diferentes de los valores predeterminados. Sino, haga
clic en Aceptar.
Configurar modo y transformaciones (Configuraciones de la
Fase 1)
La Fase 1 del establecimiento de conexin IPSec es donde los dos puntos forman un canal autenticado y
seguro que pueden usar para comunicarse. Eso es conocido como Asociacin de Seguridad (SA) ISAKMP
Un intercambio de Fase 1 puede usar o el Modo Principal o el Modo Agresivo. El modo determina el tipo y
el nmero de intercambios de mensajes realizados durante esa fase.
Una transformacin es un conjunto de protocolos de seguridad y algoritmos usados para proteger los datos
de VPN. Durante la negociacin IKE, los puntos hacen un acuerdo para usar determinada transformacin.
Se puede definir un tnel para que ofrezca un punto ms de un conjunto de transformacin para
negociacin. Para ms informaciones, vea Agregar una transformacin de Fase 1 en la pgina 839.
1. En el cuadro de dilogo Nueva puerta de enlace, seleccione la pestaa Fase 1 de Fase 1.
Gua del Usuario 837
2. En la lista desplegable Modo, seleccione Principal, Agresivo o Recurso de emergencia principal.
Modo principal
Ese modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total
de seis mensajes. Los dos primeros mensajes negocian la poltica, los dos siguientes
intercambian datos de Diffie-Hellman y los ltimos dos autentican el intercambio Diffie-
Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2 y 5. Ese modo tambin le
permite usar transformaciones mltiples, tal como se describe en Agregar una transformacin
de Fase 1 en la pgina 839.
Modo Agresivo
Ese modo es ms rpido porque usa slo tres mensajes, que intercambian Acerca de los grupos
Diffie-Hellman datos e identifican los dos extremos de la VPN. La identificacin de los extremos
de la VPN hace el Modo Agresivo menos seguro.
Recurso de emergencia principal hacia modo agresivo
El Firebox intenta el intercambio con el Modo Principal. Si falla la negociacin, utiliza el Modo
Agresivo.
3. Si desea crear un tnel BOVPN entre el Firebox y otro dispositivo que est detrs de un dispositivo
NAT, seleccione la casilla de verificacin NAT Traversal. NAT Traversal o Encapsulacin de UDP
permite que el trfico llegue a los destinos correctos.
4. Para que el Firebox enve mensajes a su par de IKE para mantener el tnel VPN abierto, seleccione
la casilla de verificacin IKE keep-alive. Para determinar el Intervalo de mensajes, ingrese el
nmero de segundos o use el control de valores para seleccionar el nmero de segundos que
desea.
Nota El IKE keep-alive slo es utilizado por los dispositivos WatchGuard. No actvelo si el
extremo remoto es un dispositivo IPSec de terceros.
5. Para definir un nmero mximo de veces que el Firebox intenta enviar un mensaje de IKE keep-
alive antes de intentar negociar la Fase 1 nuevamente, inserte el nmero deseado en el cuadro
Mx. Fallas.
6. Use la casilla de verificacin Dead Peer Detection para activar o desactivar la Dead Peer Detection
basada en trfico. Cuando se activa la deteccin de punto puerto, Firebox se conecta a un punto slo
si no se recibe el trfico del punto por un perodo determinado de tiempo y si se est esperando
que un paquete sea enviado al punto. Ese mtodo es ms escalable que los mensajes de IKE keep-
alive.
Si desea cambiar los valores predeterminados de Firebox, ingrese el perodo de tiempo (en
segundos) en el campo tiempo de espera inactivo de trfico antes que el Firebox intente
conectarse al punto. En el campo Mx. de reintentos, ingrese el nmero de veces que Firebox
debera intentar conectarse antes que el punto sea considerado inactivo.
La Dead Peer Detection es un estndar usado por la mayora de los dispositivos IPSec.
Recomendamos que seleccione la Dead Peer Detection si ambos dispositivos extremos lo soportan.
Nota Si configura un failover de VPN, debe activar la Dead Peer Detection. Para ms
informacin acerca del failover de VPN, vea Configurar Failover de VPN en la
pgina 873
7. El Firebox contiene un conjunto de transformaciones que aparece en la lista Configuracin de
transformaciones. Esa transformacin especifica la autenticacin de SHA-1, el cifrado de 3DES y el
Grupo 2 de Diffie-Hellman.
Se puede:
n Usar este conjunto de transformaciones predeterminadas.
n Remover ese conjunto de transformaciones y reemplazarlo por uno nuevo.
n Agregar una transformacin adicional, tal como se explica en Agregar una
transformacin de Fase 1 en la pgina 839.
Gua del Usuario 839
Agregar una transformacin de Fase 1
Se puede definir un tnel para ofrecer a un punto ms de un conjunto de transformacin para negociacin.
Por ejemplo, un conjunto de transformaciones puede incluir SHA1-DES-DF1 ([mtodo de autenticacin]-
[mtodo de cifrado]-[grupo de claves]) y una segunda transformacin puede incluir MD5-3DES-DF2, con las
transformaciones SHA1-DES-DF1 definidas como el conjunto de prioridad ms alta. Cuando se crea un tnel,
Firebox puede usar SHA1-DES-DF1 o MD5-3DES-DF2 para que coincida con el conjunto de transformaciones
del otro extremo de la VPN.
Puede incluir un mximo de nuevo conjuntos de transformaciones. Debe especificar el Modo Principal en
las configuraciones de Fase 1 para usar transformaciones mltiples.
1. En la pestaa Configuraciones de Fase 1 del cuadro de dilogo Nueva puerta de enlace, encuentre
el cuadro Configuraciones de transformaciones en la parte inferior del cuadro de dilogo. Haga clic
en Agregar.
Aparece el cuadro de dilogo Transformacin de Fase 1.
2. En la lista desplegable Autenticacin, seleccione SHA1 o MD5 como tipo de autenticacin.
3. En la lista desplegable Cifrado , seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES, o 3DES
como tipo de cifrado.
4. Para cambiar la duracin de SA (asociacin de seguridad), ingrese un nmero en el campo Duracin
de SA y seleccione Hora o Minuto en la lista desplegable al lado.
5. En la lista desplegable Grupo de Claves, seleccione el grupo Diffie-Hellman que desea. El Fireware
XTM soporta grupos 1, 2 y 5.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuanto ms alto el nmero del grupo, ms fuerte la seguridad pero se
requiere ms tiempo para hacer las claves. Para ms informaciones, vea Acerca de los grupos Diffie-
Hellman en la pgina 840.
6. Se puede agregar hasta nueve conjuntos de transformaciones. Se puede seleccionar una
transformacin y hacer clic en Arriba o Abajo para cambiar su prioridad. El conjunto de
transformaciones en la parte superior de la lista es usado primero.
7. Haga clic en OK.
Acerca de los grupos Diffie-Hellman
Los grupos Diffie-Hellman(DH) determinanlafuerzade laclave usadaenel procesode intercambiode claves.
Los miembros de grupos ms altos sonms seguros, perose necesitams tiempoparacomputar laclave.
Los dispositivos WatchGuard soportan grupos Diffie-Hellman 1, 2 y 5:
n Grupo DH 1: Grupo de 768 bits
Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase
1 del proceso de negociacin de IPSec. Cuando define un tnel BOVPN manual, se especifica el grupo
Diffie-Hellman como parte de la Fase 1 de la creacin de una conexin IPSec. Es ah donde los dos puntos
forman un canal seguro y autenticado que pueden usar para comunicar.
Los grupos DH y Perfect Forward Secrecy (PFS)
Adems de la Fase 2, tambin se puede especificar el grupo Diffie-Hellman en la Fase 2 de una conexin
IPSec. La configuracin de Fase 2 incluye las configuraciones para una asociacin de seguridad (SA), o cmo
los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-
Hellman en la Fase 2 slo cuando selecciona el Perfect Forward Secrecy (PFS).
PFS vuelve las claves ms seguras porque las nuevas claves no estn hechas de las claves anteriores. Si una
clave est comprometida, las claves de la nueva sesin an estarn seguras. Cuando especifica un PFS
durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.
El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.
Cmo elegir un grupo Diffie-Hellman
El grupo DH predeterminado tanto para Fase 1 como para Fase 2 es el grupo Diffie-Hellman 1. Ese grupo
ofrece seguridad bsica y buen desempeo. Si la velocidad para la inicializacin del tnel y la regeneracin
de clave no es una preocupacin, use el Grupo 2 o Grupo 5. La velocidad real inicializacin y de
regeneracin de clave dependen de diversos factores. Puede querer intentar el Grupo DH 2 o 5 y luego
decidir si el tiempo de desempeo ms lento es un problema para su red. Si el desempeo no es aceptable,
cambie por un grupo DH inferior.
Anlisis de desempeo
La siguiente tabla muestra el resultado de una aplicacin de software que genera 2000 valores Diffie-
Hellman. Esos nmeros son para un CPU Pentium 4 Intel 1.7GHz.
GrupoDH
N de pares de
claves
Tiempo necesario
Tiempo por par de
clave
Grupo 1 2000 43 seg 21 ms
Grupo 2 2000 84 seg 42 ms
Grupo 5 2000 246 seg 123 ms
Gua del Usuario 841
Editar y eliminar puertas de enlace
Para cambiar la definicin de una puerta de enlace
1. Seleccione VPN > Puertas de enlace de sucursal. O haga clic con el botn derecho en un icono de
tnel en la pestaa BOVPN del Policy Manager, y seleccione Propiedad de puerta de enlace.
2. Seleccione la puerta de enlace y haga clic en Editar.
Aparece el cuadro de dilogo Editar puerta de enlace.
3. Realice los cambios y haga clic en Aceptar.
Para eliminar una puerta de enlace, seleccione la puerta de enlace y haga clic en Remover. Tambin puede
seleccionar mltiples puertas de enlace y hacer clic en Remover para eliminar a todas de una sola vez.
Desactivar inicio automtico de tnel
Los tneles BOVPN son automticamente creados cada vez que se inicia el dispositivo WatchGuard. Puede
querer cambiar ese comportamiento predeterminado. Una razn comn para cambiarlo sera si el extremo
remoto usa un dispositivo de terceros que debe iniciar el tnel en vez del extremo local.
Para desactivar el inicio automtico para tneles que usan una puerta de enlace
Aparece el cuadro de dilogo Puertas de enlace.
Aparece el cuadro de dilogo Editar puerta de enlace.
3. Limpie la casilla de verificacin Iniciar tnel de Fase 1 cuando Firebox se inicia en la parte inferior
del cuadro de dilogo.
Si su Firebox est detrs de un dispositivo que hace NAT
El Firebox puede usar NAT Traversal. Eso significa que puede establecer tneles VPN si su ISP hace NAT
(siglas en ingls para Traduccin de Direccin de Red) o si la interfaz externa de su Firebox est conectada a
un dispositivo que hace NAT. Recomendamos que la interfaz externa de Firebox tenga una direccin IP
pblica. Si eso no es posible, siga las instrucciones abajo.
Los dispositivos que no hacen NAT suelen tener algunas funciones bsicas de firewall. Para establecer un
tnel VPN hacia su Firebox cuando el Firebox est instalado detrs de un dispositivo que hace NAT, el
dispositivo NAT debe dejar que pase el trfico. Esos puertos y protocolos deben estar abiertos en el
dispositivo NAT:
n Puerto UDP 500 (IKE)
n Puerto UDP 4500 (NAT Traversal)
n Protocolo IP 50 (ESP)
Vea la documentacin de su dispositivo NAT para obtener informacin acerca de cmo abrir esos puertos y
protocolos en el dispositivo NAT.
Si la interfaz externa de su Firebox tiene una direccin IP privada, no puede usar una direccin IP como tipo
de ID local en las configuraciones de Fase 1.
n Si el dispositivo NAT al cual Firebox est conectado tiene una direccin IP pblica dinmica:
n Primero, defina el dispositivo en modo puente. Para ms informaciones, vea Modo
Bridge en la pgina 110. En modo puente, el Firebox obtiene la direccin IP pblica en su
interfaz externa. Consulte la documentacin para su dispositivo NAT para ms
informacin.
n Configure el DNS Dinmico en el Firebox. Para informaciones, vea Pgina Acerca de
Servicio DNS dinmico en la pgina 103. En las configuraciones de Fase 1 del Manual
VPN, defina el tipo de ID local en Domain Name. Ingrese el domain name de DynDNS
como el ID local. El dispositivo remoto debe identificar su Firebox por domain name y
debe usar el domain name DynDNS asociado a su Firebox en su configuracin de Fase 1.
n Si el dispositivo NAT al cual Firebox est conectado tiene una direccin IP pblica esttica:
n En las configuraciones de Fase 1 de la Manual VPN, defina en la lista desplegable el tipo
de ID local en Domain Name. Ingrese la direccin IP pblica asignada a la interfaz externa
del dispositivoNAT como ID local. El dispositivo remoto debe identificar su Firebox por
domain name y debe usar la misma direccin IP pblica como domain name en su
configuracin de Fase 1.
Establezca tneles entre los extremos de puertas
de enlace
Despus de definir los extremos de la puerta de enlace, puede establecer tneles entre ellos. Para
establecer un tnel, debe:
n Definir un tnel
n Configuraciones de Fase 2 para la negociacin de Intercambio de Claves de Internet (IKE). Esa fase
define las asociaciones de seguridad para el cifrado de paquetes de datos.
Definir un tnel
1. En el Policy Manager, seleccione VPN > Tneles de sucursal.
Aparece el cuadro de dilogo Tneles IPSec de Sucursal.
Gua del Usuario 843
Aparece el nuevo cuadro de dilogo Nuevo Tnel.
3. En el cuadro Nombre del tnel, ingrese un nombre para el tnel.
Asegrese de que no haya nombres idnticos de tneles, de grupo de Mobile VPN y de interfaz.
4. En la lista Puerta de enlace, seleccione la puerta de enlace a ser usada por este tnel.
Si desea editar una puerta de enlace que ya existe, seleccione el nombre y haga clic en . Siga los
procedimientos descritos en Definir puertas de enlace en la pgina 832.
Si desea aadir una nueva puerta de enlace, haga clic en . Siga los procedimientos descritos en
Definir puertas de enlace en la pgina 832.
5. Si desea agregar el tnel a las polticas BOVPN-Allow.in y BOVPN-Allow.out, seleccione la casilla
Agregar este tnel a las polticas BOVPN-Allow. Esas polticas permiten todo el trfico que coincida
con las rutas del tnel. Si desea restringir el trfico a travs del tnel, limpie esa casilla y use el
asistente de Polticas de BOVPN, tal como se describe en Definir una poltica personalizada de tnel
en la pgina 851 para crear polticas personalizadas para tipos de trfico que desea autorizar que
pase a travs del tnel
Ahora puede Agregar rutas para un tnel, Configuraciones de Fase 2o Activar enrutamiento de
multidifusin a travs de un tnel BOVPN.
Gua del Usuario 845
Editar y eliminar un tnel
Para alterar un tnel, seleccione VPN> Tneles para Sucursales. O haga clic con el botn derecho en un
icono de tnel en la pestaa VPN para Sucursales del Policy Manager, y seleccione Propiedad de tnel.
1. Seleccione el tnel y haga clic en Editar.
Aparece el cuadro de dilogo Editar tnel.
2. Realice las alteraciones y haga clic en Aceptar.
Para eliminar un tnel de cuadro de dilogo Tneles IPSec para Sucursales, seleccione el tnel y haga clic
en Remover. Tambin puede seleccionar mltiples tneles y hacer clic en Remover para eliminar a todos
de una sola vez.
Agregar rutas para un tnel
1. En la pestaa Direcciones del Nueva cuadro de dilogo Tnel, haga clic en Agregar.
Aparece el cuadro de dilogo Configuraciones de Ruta de Tnel.
2. En la lista desplegable Local, seleccione la direccin local deseada.
Tambin puede hacer clic en el botn al lado en la lista desplegable Local para insertar una
direccin IP de host, direccin de red, un rango de direcciones IP de host o nombre DNS.
3. En el cuadro Remoto, ingrese la direccin de red remota.
Tambin puede hacer clic en el botn al lado para insertar una direccin IP de host, direccin de
red, un rango de direcciones IP de host o nombre DNS.
4. En la lista desplegable Direccin, seleccione la direccin del tnel. La direccin del tnel determina
cul extremo del tnel VPN puede iniciar una conexin VPN a travs del tnel.
5. Se puede activar la 1-to-1 NAT y NAT dinmica para el tnel si los tipos de direccin y el sentido del
tnel seleccionado son compatibles. Para ms informaciones, vea Configurar NAT dinmica saliente
a travs de un tnel BOVPN en la pgina 852 y Usar 1-to-1 NAT a travs de un tnel BOVPN en la
pgina 857.
6. Haga clic en OK.
Configuraciones de Fase 2
Las configuraciones de Fase 2 incluyen los ajustes para una asociacin de seguridad (SA), que define cmo
los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la
informacin necesaria para que Firebox sepa qu debera hacer con el trfico entre los extremos. Los
parmetros en SA pueden incluir:
n Los algoritmos de cifrado y autenticacin utilizados.
n Duracin de SA (en segundos o nmero de bytes, o ambos).
n La direccin IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y
descifrado de IPSec en el otro lado de la VPN, no el PC por detrs que enva o recibe el trfico).
n Las direcciones IP de origen y de destino del trfico al cual la SA se aplica.
n Direccin del trfico a la cual se aplica la SA (hay una SA para cada direccin de trfico, entrante y
saliente).
1. En la Cuadro de dilogo Nuevo tnel, haga clic en la pestaa Configuraciones de Fase 2.
Gua del Usuario 847
2. Seleccione la casilla PFS si desea activar el Perfect Forward Secrecy (PFS). Si activa el PFS, seleccione
el grupo Diffie-Hellman.
El Perfect Forward Secrecy ofrece ms proteccin a las claves creadas en una sesin. Las claves
hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior est
comprometida despus de una sesin, las claves de su nueva sesin quedan protegidas. Para ms
informaciones, vea Acerca de los grupos Diffie-Hellman en la pgina 840.
3. El Firebox contiene una propuesta predeterminada que aparece en la lista Propuestas de IPSec. Esa
propuesta especifica el mtodo de proteccin de datos de ESP, cifrado AES y autenticacin SHA1.
Puede:
n Utilice la propuesta predeterminada.
n Elimine la propuesta predeterminada y reemplcela por una nueva.
n Agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2 en
la pgina 847.
Se puede agregar ms de una propuesta de Fase 2 en la pestaa "Configuraciones de Fase 2". No obstante,
no se pueden aadir propuestas de fase 2 de AH y ESP a la misma configuracin de Fase 2.
Si planea usar la funcin de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de
seguridad de encapsulacin) como mtodo de propuesta. El puerto de transferencia IPSec soporta ESP,
pero no AH. Para ms informacin acerca del puerto de transferencia IPSec, vea Acerca de las
configuraciones de VPN Global en la pgina 850.
Agregar una Propuesta de Fase 2
Se puede definir un tnel para ofrecer a un punto ms de una propuesta para Fase 3 de IKE. Por ejemplo,
se puede especificar ESP-3DES-SHA1 en un propuesta y ESP-DES-MD5 en la segunda propuesta. Cuando el
trfico pasa por el tnel, la asociacin de seguridad puede usar o el ESP-3DES-SHA1 o el ESP-DES-MD5 para
que coincida con las configuraciones de transformacin en el punto.
Se puede incluir un mximo de nueve propuestas.
Para agregar una nueva propuesta, haga clic en la pestaa Configuraciones de Fase 2 en elcuadro de dilogo
Nuevo tnel o Editar tnel y en la seccin Propuestas IPSec, haga clic en el botn Agregar.
Agregar una propuesta existente
Se puede elegir entre seis propuestas preconfiguradas. Los nombres siguen el formato <Type>-
<Authentication>-<Encryption>. Para las seis, "Forzar caducidad de clave" est configurado en 8 horas
128.000 kilobytes.
Para usar una de las seis propuestas preconfiguradas:
1. Seleccione Utilizar una propuesta de Fase 2 ya existente.
2. Seleccione en la lista desplegable la propuesta que desea agregar y haga clic en Aceptar.
Crear una nueva propuesta
1. En el cuadro de dilogo Nueva propuesta de Fase 2, seleccione la casilla Crear nueva propuesta de
Fase 2.
o en el
Policy Manager, seleccione VPN> Propuestas de Fase 2. Aparece el cuadro de dilogo Propuestas
de Fase 2. Haga clic en Agregar.
2. En el campo Nombre, ingrese un nombre para la nueva propuesta.
Si abri el cuadro de dilogo en VPN> Propuestas de Fase 2, aparece un campo opcional de
Descripcin.
En el cuadro de texto Descripcin, ingrese una descripcin que identifique esa propuesta (opcional).
3. En la lista desplegable Tipo, seleccione ESP o AH, como mtodo de propuesta. Recomendamos que
use el ESP (Carga de seguridad de encapsulacin). Las diferencias entre ESP y AH (Encabezado de
autenticacin) son:
Gua del Usuario 849
n El ESP es una autenticacin con cifrado.
n El AH es slo una autenticacin. La autenticacin de ESP no incluye la proteccin del
encabezado de IP, mientras que el AH s lo incluye.
n El puerto de transferencia IPSec soporta ESP, pero no AH. Si planea usar la funcin de puerto
de transferencia de IPSec, debe especificar el ESP como el mtodo de propuesta. Para ms
informacin acerca del puerto de transferencia IPSec, vea Acerca de las configuraciones de
VPN Global en la pgina 850.
4. En la lista desplegable Autenticacin, seleccione SHA1, MD5 o Ninguno como el mtodo de
autenticacin.
5. (Si seleccion ESP en la lista desplegable Tipo) En la lista desplegable Cifrado, seleccione el mtodo
de cifrado.
Las opciones son DES, 3DES y AES de 128, 192 o 256 bits, que aparecen en la lista en orden del ms
simple y menos seguro al ms complejo y ms seguro.
6. Para que los extremos de la puerta de enlace generen e intercambien nuevas claves despus que
pase un perodo de tiempo o cantidad de trfico determinado, seleccione la casilla Forzar caducidad
de clave En los campos abajo, ingrese un perodo de tiempo y un nmero de bytes despus de los
cuales una clave caduca.
Si "Forzar caducidad de clave" est desactivado, o si est activado y la hora y el nmero de kilobytes
estn puestos en cero, el Firebox intenta usar la hora del caducidad de la clave definida para el
punto. Si sta tambin est desactivada o en cero, Firebox usa una hora predeterminada de
caducidad de clave de 8 horas.
El tiempo mximo antes de forzar la caducidad de clave es de un ao.
7. Haga clic en OK.
Editar o clonar una propuesta
Cuando clona una propuesta, se copia una propuesta que ya existe y la guarda con un nuevo nombre. Debe
hacer eso si desea editar una propuesta predefinida, porque puede alterar slo propuestas definidas por
usuarios.
1. En el Policy Manager, seleccione VPN> Propuestas de Fase1.
Aparece el cuadro de dilogo Propuestas de Fase 2.
2. Seleccione una propuesta y haga clic en Editar o Clonar.
3. Altere los campos tal como se describe en la seccin Crear nueva propuesta de este tpico. Haga
clic en OK.
Cambiar el orden de tneles
El orden de los tnelesVPN es especialmente importante cuando ms de un tnel usa las mismas rutas o
cuando las rutas se solapan. Un tnel en posicin superior en la lista de tneles en el cuadro de dilogo
Tneles IPSec para Sucursales tiene precedencia sobre el tnel de abajo, cuando el trfico hace coincidir
las rutas de mltiples tneles.
Se puede cambiar el orden en el cual Firebox intenta las conexiones:
2. Seleccione un tnel y haga clic en Subir o Bajar para ir hacia arriba o abajo en la lista.
Acerca de las configuraciones de VPN Global
Puede seleccionar configuraciones que se aplican a tneles BOVPN manuales, tneles BOVPN
administrados y tneles de Mobile VPN con IPSec.
1. En el Policy Manager, seleccione VPN>Configuraciones de VPN.
2. Analice las configuraciones explicadas abajo para sus tneles VPN.
Activar puerto de transferencia IPSec
Para que un usuario haga conexiones de IPSec a un Firebox detrs de un Firebox diferente, debe mantener
la casilla de verificacin Activar puerto de transferencia IPSec seleccionada. Por ejemplo, si los empleados
mviles estn en el local del cliente que tiene un Firebox, pueden usar el IPSec para hacer conexiones
IPSec hacia su red. Para que el Firebox local permita correctamente la conexin de salida de IPSec, tambin
debe agregar una poltica de IPSec al Policy Manager.
Cuando crea una propuesta de Fase 2 y planea usar la funcin de puerto de transferencia IPSec, debe
especificar el ESP (Carga de seguridad de encapsulacin) como mtodo de propuesta. El puerto de
transferencia IPSec soporta IPSec, pero no AH (Encabezado de autenticacin). Para informaciones acerca de
cmo crear una propuesta de Fase 2, vea Agregar una Propuesta de Fase 2 en la pgina 847.
Cuando activa el puerto de transferencia de IPSec, se agrega automticamente una poltica llamada
WatchGuard IPSec al Policy Manager. La poltica permite el trfico desde cualquier red de confianza u
opcional hacia cualquier destino. Cuando desactiva el puerto de transferencia de IPSec, la poltica
WatchGuard IPSec es automticamente eliminada.
Gua del Usuario 851
Activar TOS para IPSec
El Tipo de Servicio (TOS) es un conjunto de sealadores de cuatro bits en el encabezado del IP que puede
solicitar a los dispositivos de enrutamiento que den ms o menos prioridad a un datagrama de IP que a
otros. El Fireware le da la opcin de permitir que los tneles IPSec limpien o mantengan las configuraciones
en paquetes que tengan sealadores TOS. Algunos ISPs desechan todos los paquetes que tengan
sealadores TOS.
Si no seleccionar la casilla de verificacin Activar TOS para IPSec, todos os paquetes IPSec no tienen los
sealadores TOS. Si los sealadores TOS fueron definidos anteriormente, ellos son removidos cuando
Fireware encapsula el paquete en un encabezado IPSec.
Cuando est seleccionada la casilla de verificacin Activar TOS para IPSec y el paquete original tiene
sealadores TOS y el Fireware los mantiene cuando encapsula el paquete en un encabezado IPSec. Si el
paquete original no tiene sealadores TOS definidos, Fireware no define el indicador TOS cuando encapsula
el paquete en un encabezado IPSec.
Analice la configuracin de esta casilla de verificacin si desea aplicar un marcado QoS al trfico de IPSec. El
marcado QoS puede cambiar la configuracin del sealador TOS. Para ms informaciones sobre el marcado
QoS, vea Acerca de las Marcado QoS en la pgina 468.
Activar servidor LDAP para verificacin de certificado
Al crear una puerta de enlace VPN, se especifica un mtodo de credenciales para ser usado por los dos
extremos de la VPN cuando se crea el tnel. Si elige usar un Firebox Certificate de IPSec, puede identificar
un servidor de LDAP que valide el certificado. Ingrese la direccin IP para el servidor de LDAP. Tambin
puede especificar un puerto si desea usar uno diferente del 389.
Notificacin deBOVPN
Haga clic para configurar el Firebox para que enve una notificacin cuando un tnelBOVPN est inactivo.
Aparece un cuadro de dilogo para que defina los parmetros para la notificacin. Para obtener
informacin en los campos en este cuadro de dilogo, vea Determinar preferencias de registro y
Esa configuracin no se aplica a los tneles de Mobile VPN con IPSec.
Definir una poltica personalizada de tnel
Las polticas de tnel son conjuntos de reglas que se aplican a conexiones de tnel. Por defecto, un nuevo
tnel VPN es automticamente aadido a las polticas BOVPN-Allow.in y BOVPN-Allow.out, que permiten
todo el trfico a travs del tnel. Se puede configurar el tnel de forma que no sea agregado a esa poltica.
Vea Definir un tnel para asegurarse de que limpia la casilla Agregar este tnel a las polticas BOVPN-Allow.
En seguida, crea una poltica de VPN personalizada para autorizar tipos de poltica especificadas. Tambin
puede mantener la configuracin predeterminada y despus aadir otras polticas para otros tipos de
trfico, tal como el trfico de HTTP.
1. En el Policy Manager, seleccionar VPN> Crear poltica de BOVPN.
Se inicia el Asistente de Poltica de BOVPN.
2. Haga clic siguiendo el asistente y aada la informacin solicitada. El asistente tiene las siguientes
pantallas:
Elija un nombre para las polticas
Al nombre elegido se debe agregar la terminacin ".in" y ".out" para crear nombres de poltica de firewall
para todos los tneles entrantes y salientes, respectivamente. Por ejemplo, si usa "williams" como base del
nombre, el asistente crea las polticas "williams.in" y "williams.out".
Seleccione el tipo de poltica
Especifique el tipo de trfico permitido pasar por el tnel BOVPN.
Seleccione los tneles BOVPN.
Seleccione los tneles BOVPN a los cuales se aplican las polticas creadas por este asistente.
Crear un alias para los tneles
(Opcional) Como ocurre con el nombre de la poltica, al nombre especificado se aade la terminacin ".in"
y ".out" para crear los nombres de alias para tneles entrantes y salientes, respectivamente. Tambin se
pueden usar esos alias en otras polticas.
Recomendamos que cree un alias al crear polticas para diversos tneles BOVPN. Incluya esos tneles en el
alias. Entonces puede modificar el alias cuando se agrega o remueve los tneles, en vez de crear una nueva
poltica para cada conjunto de tneles. Para obtener informacin sobre cmo crear un alias, vea Crear un
alias en la pgina 78.
El Asistente de Polticas de BOVPN ha finalizado con xito.
La pantalla final muestra cules polticas y alias fueron creados por el asistente.
Configurar NAT dinmica saliente a travs de un
tnel BOVPN
Puede usar NAT dinmica (DNAT)a travs de tneles BOVPN. La NAT dinmica funciona como una NAT
unidireccional, y mantiene el tnel VPN abierto slo en una direccin. Eso puede ser til cuando establece
un tnel BOVPN para un sitio remoto donde todo el trfico de la VPN viene desde una direccin IP pblica.
Por ejemplo, supongamos que desea crear un tnel BOVPN a una empresa asociada para que pueda
acceder a su servidor de base de datos, pero no desea que esa empresa tenga acceso a sus recursos. La
asociada desea otorgarle el acceso, pero slo desde una direccin IP nica para que puedan monitorear la
conexin.
Debe tener las direcciones IP de red de confianza y externa de cada extremo de VPN para realizar ese
procedimiento. Si activa la NAT dinmica por un tnel BOVPN, no puede usar la funcin de conmutacin
por error de VPN para el tnel VPN.
Gua del Usuario 853
Las instrucciones paso a paso abajo funcionan con cualquier BOVPN que use NAT dinmica para hacer que
todo el trfico desde un extremo parezca venir desde una nica direccinIP. Las imgenes siguientes
muestran las configuraciones para un BOVPN donde todo el trfico del Sitio A debe provenir de un IP
pblico del Sitio A.
Sitio A
IP pblico50.50.50.50
Red de confianza10.0.1.1/24
Sitio B
IP pblico23.23.23.23
Red de confianza192.168.111.1/24
Configure el extremo donde todo el trfico debe parecer venir
de una nica direccin (Sitio A).
1. De Policy Manager, configure la puerta de enlace para la BOVPN. Para ms informaciones, vea
2. Seleccione VPN > Tneles de sucursales. Haga clic en Agregar para agregar un nuevo tnel o
seleccione un tnel y haga clic en Editar.
El cuadro de dilogo Agregar tnel o Editar tnel aparece.
3. Seleccione la puerta de enlace correcta en la lista desplegable Puerta de enlace.
4. En la pestaa Direcciones, haga clic en Agregar.
Se abre el cuadro de dilogo Configuraciones de Ruta de Tnel.
Gua del Usuario 855
Tambin puede hacer clic en el botn al lado en la lista desplegable Local para ingresar una
direccin IP de host, direccin de red, un rango de direcciones IP de host o nombre DNS.
6. En el cuadro Remoto, ingrese la direccin de red remota.
Tambin puede hacer clic en el botn al lado de tipo una direccin IP de host, direccin de red, un
rango de direcciones IP de host o nombre DNS.
7. En la lista desplegable Direccin, seleccione la segunda opcin en la cual la flecha seala Remoto.
8. En el rea Configuraciones de NAT, seleccione la casilla de verificacin DNAT. En el cuadro de texto
al lado, ingrese la direccinIP que la red remota ve como origen para todo el trfico por el tnel.
9. Haga clic en OK dos veces, haga clic en Cerrar, y guarde los cambios en el dispositivo WatchGuard.
Configure el extremo que espera que todo trfico provenga
desde una nica direccinIP (Sitio B).
1. De Policy Manager, configure la puerta de enlace para la BOVPN. Para ms informaciones, vea
2. Seleccione VPN > Tneles de sucursales. Haga clic en Agregar para agregar un nuevo tnel o
seleccione un tnel y haga clic en Editar.
El cuadro de dilogo Agregar tnel o Editar tnel aparece.
3. Seleccione la puerta de enlace correcta en la lista desplegable Puertas de enlace.
Se abre el cuadro de dilogo Configuraciones de Ruta de Tnel.
Gua del Usuario 857
Tambin puede hacer clic en el botn al lado en la lista desplegable Local para ingresar una
direccin IP de host, direccin de red, un rango de direcciones IP de host o nombre DNS. ste debe
coincidir con la direccin Remota en el paso 6 arriba.
6. En el cuadro de texto Remoto, ingrese la direccin IP remota. Tambin puede hacer clic en botn
Tipo para insertar una direccin IP de host. sta debe coincidir con la direccin DNAT en el paso 8
arriba.
7. En la lista desplegable Direccin, seleccione la tercera opcin en la que la flecha seala Local.
8. No seleccione nada en el rea Configuraciones de NAT.
9. Haga clic en OK dos veces, haga clic en Cerrar, y guarde los cambios en el dispositivo WatchGuard.
Cuando Firebox reinicia en el sitio remoto, los dos dispositivos Firebox negocian el tnel VPN. El primer
Firebox aplica el NAT dinmico a todo el trfico enviado a la red de confianza del segundo Firebox. Cuando
ese trfico alcanza el sitio remoto, llega como trfico originado en la direccinIP de DNAT.
Usar 1-to-1 NAT a travs de un tnel BOVPN
Cuando crea un tnel VPN de sucursal entre dos redes que usan el mismo rango de direcciones IP privadas,
ocurre un conflicto de direcciones IP. Para crear un tnel sin ese conflicto, ambas redes deben aplicar la 1-
to-1 NAT a la VPN. La 1-to-1 NAT hace que las direcciones IP en sus equipos parezcan ser diferentes de las
verdaderas direcciones IP cuando el trfico pasa por la VPN.
La1-to-1 NATasigna unao ms direcciones IP en unrango aun segundorango de direccin IP del mismo
tamao. Cada direccinIP enel primer rango asignaa unadireccin IP en el segundo rango. En este
documento, llamamos al primer rangode direcciones IP reales y al segundo rangodirecciones IP
enmascaradas. Para ms informaciones acercade 1-to-1 NAT, veaAcerca delas 1-to-1 NAT enla pgina166.
1-to-1 NAT y VPNs
Cuando usa 1-to-1 NAT a travs de un tnel BOVPN:
n Cuando un equipo en su red enva trfico a un equipo en la red remota, el Firebox cambia la
direccin IP de origen del trfico para una direccin IP en el rango de IPs enmascaradas. La red
remota ve las direcciones IP enmascaras como el origen del trfico.
n Cuando un equipo en la red remota enva trfico a un equipo en su red a travs de VPN, la oficina
remota enva el trfico al rango de direccin de IP enmascarada. El Firebox cambia la direccin IP de
destino a la direccin correcta en el rango de direccin IP real y despus enva el trfico al destino
correcto.
La 1-to-1 NAT por una VPN slo afecta el trfico que pasa por esa VPN. Las reglas que ve en Policy
ManagerRed >NAT no afectan al trfico que pasa por una VPN.
Otras razones por las cuales usar una 1-to-1 NAT por una VPN
Adems de la situacin anterior, tambin podra usar una 1-to-1 NAT por una VPN si la red a la cual desea
establecer un tnel VPN ya tiene una VPN a una red que usa las mismas direcciones IP privadas usadas en
su red. Un dispositivo IPSec no puede enrutar trfico a dos redes remotas diferentes cuando dos redes usan
las mismas direcciones IP privadas. Se usa 1-to-1 NAT por VPN para que los equipos en su red parezcan
tener direcciones IP diferentes (enmascaradas). No obstante, al contrario de la situacin descrita al
principio de este tpico, necesita usar el NAT slo en su lado de la VPN y no en ambos extremos.
Una situacin similar se da cuando dos oficinas remotas usan las mismas direcciones IP privadas y ambas
desean hacer una VPN hacia su Firebox. En ese caso, una de las oficinas remotas debe usar NAT por la VPN
hacia su Firebox para solucionar el conflicto de direcciones IP.
Alternativa al uso de NAT
Si su oficina usa un rango de direcciones IP privadas comn, tal como 192.168.0.x 192.168.1.x, es muy
probable que tendr problema de conflictos con direcciones IP en el futuro. Esos rangos de direcciones IP
suelen ser usados por enrutadores de banda ancha u otros dispositivos electrnicos en pequeas oficinas o
en casa. Debera considerar la posibilidad de cambiar hacia un rango de direcciones IP privadas menos
comn, tal como 10.x.x.x 172.16.x.x.
Cmo configurar la VPN
1. Seleccione un rango de direcciones IP que sus equipos muestren como direcciones IP de origen
cuando el trfico viene desde su red y va hacia la red remota a travs de la BOVPN. Consulte el
administrador de red acerca de la otra red para seleccionar un rango de direcciones IP que no est
en uso. No use ninguna direccin IP de:
n La red de confianza, opcional o externa conectada a su Firebox
n Una secondary network conectada a la interfaz externa, opcional o de confianza de su Firebox
n Una red enrutada configurada en su poltica Firebox (Red > Rutas)
n Redes a las cuales ya tiene un tnel BOVPN
n Grupos de direcciones IP virtuales de Mobile VPN
Gua del Usuario 859
n Redes que pueden ser alcanzadas por el dispositivo IPSec a travs de sus interfaces, rutas de
red o rutas de VPN
2. Definir puertas de enlace para los dispositivos Firebox local y remoto.
3. Establezca tneles entre los extremos de puertas de enlace. En el cuadro de dilogo Configuraciones
de Ruta de Tnel para cada Firebox, seleccione la casilla de verificacin 1-to-1 NAT e ingrese su
rango de direccionesIP enmascaradas en el cuadro de texto al lado.
El nmero de direccionesIP enel cuadrode textodebe ser exactamente el mismo que el nmerode
direccionesIP en el cuadro de texto Local en el topo del cuadro de dilogo. Por ejemplo, si usa la
notacindiagonal paraindicar unsubred, el valor despus de labarra diagonal debe ser igual en
ambos cuadros de texto. Params informaciones, vea Acerca de las Notacin diagonal en lapgina 3.
No es necesario definir nada en las configuraciones Red>NAT en el Policy Manager. Esas configuraciones
no afectan el trfico de VPN.
Ejemplo
Supongamos que dos empresas, Sitio A y Sitio B, desean hacer una VPN de Sucursal entre sus redes de
confianza. Ambas empresas usan un Firebox con Fireware XTM. Ambas empresas usan las mismas
direcciones IP para sus redes de confianza, 192.168.1.0/24. El Firebox de cada empresa usa una 1-to-1 NAT
a travs de la VPN. El Sitio A enva trfico al rango enmascarado del Sitio B y el trfico sale de la subred local
del Sitio A. Adems, el Sitio B enva trfico al rango enmascarado que el Sitio A utiliza. Esa solucin resuelve
el conflicto de direcciones IP en ambas redes. Las dos empresas aceptan que:
n El Sitio A hace que su red de confianza parezca venir del rango 192.168.100.0/24 cuando el trfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
n El Sitio B hace que su red de confianza parezca venir del rango 192.168.200.0/24 cuando el trfico
pasa por la VPN. Ese es el rango de direcciones IP enmascaradas de Sitio B para esa VPN.
Definir una puerta de enlace de Sucursal en cada Firebox
El primer paso es crear una puerta de enlace que identifique el dispositivo IPSec remoto. Cuando crea una
puerta de enlace, ella aparece en la lista de puertas de enlace en Policy Manager. Para ver la lista de
puertas de enlace en el Policy Manager, seleccione VPN > Puertas de Enlace de Sucursal.
Configurar el tnel local
Aparece el nuevo cuadro de dilogo Nuevo Tnel.
Gua del Usuario 861
3. Dar un nombre descriptivo al tnel. El ejemplo usa "TnelPara_SitioB".
4. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace que seala el dispositivo
IPSec de la oficina remota. El ejemplo usa la puerta de enlace denominada "SitioB".
5. Examinar la pestaa Configuraciones de Fase 2. Asegrese de que las configuraciones de Fase 2
coincidan con las que la oficina remota usa para Fase 2.
6. Haga clic en la pestaa Direcciones y haga clic en Agregar para agregar el par local-remota.
7. y en Local , ingrese el rango de direcciones IP reales de los equipos locales que usan ese VPN. Este
ejemplo usa 192.168.1.0/24.
8. En el cuadro de texto Remoto, ingrese el rango de direcciones IP privadas a las cuales los equipos
locales envan trfico.
En este ejemplo, el Sitio B de oficina remota usa 1-to-1 NAT por su VPN. Eso hace que los equipos
del Sitio B parezcan venir del rango enmascarado del Sitio B, 192.168.200.0/24. Los equipos locales
en Sitio A envan trfico al rango de direccin IP enmascarado del Sitio B. Si la red remota no usa
NAT por su VPN, ingrese el rango de direcciones IP reales en el cuadro de texto Remoto.
9. Seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de direcciones IP enmascaradas
para esa oficina. Ese es el rango de direcciones IP que los equipos protegidos por ese Firebox
muestran como direccin IP de origen, cuando el trfico viene de ese Firebox y va hacia el otro
extremo de la VPN. La casilla de verificacin 1-to-1 NAT queda activada despus que inserta una
direccin IP de host vlida, una direccin IP de red vlida o un rango de direcciones IP de host vlido
en el cuadro de texto Local.) El Sitio A usa 192.168.100.0/24 para su rango de direcciones IP
enmascaradas.
10. Haga clic en OK. El Firebox agrega un nuevo tnel a las polticas BOVPN-Allow.out y BOVPN-Allow.in
en la pestaa Firewall del Policy Manager.
Si necesita una 1-to-1 NAT en su extremo de la VPN solamente, puede parar aqu. El dispositivo en el otro
extremo de la VPN debe configurar su VPN para aceptar trfico desde su rango enmascarado.
Configurar el tnel remoto
1. Siga los pasos 1 - 6 en el procedimiento anterior para agregar el tnel en el Firebox remoto.
Asegrese de hacer que las configuraciones de Fase 2 coincidan.
2. En el cuadro de texto Local, , ingrese el rango de direcciones IP reales de los equipos locales que
usan esa VPN. Este ejemplo usa 192.168.1.0/24.
3. En el cuadro de texto Remoto, ingrese el rango de direcciones IP privadas a las cuales los equipos
remotos envan trfico. En nuestro ejemplo, el Sitio A hace una 1-to-1 NAT a travs de esa VPN. Eso
hace que los equipos en Sitio A parezcan venir de su rango enmascarado, 192.168.100.0/24. Los
equipos locales en Sitio B envan trfico al rango de direccin IP enmascarado del Sitio A.
4. Seleccione la casilla de verificacin 1-to-1 NAT e ingrese el rango de direcciones IP enmascaradas
de ese sitio. Ese es el rango de direcciones IP que los equipos de ese Firebox muestran como
direccin IP de origen, cuando el trfico viene de ese Firebox y va al otro extremo del VPN. El Sitio B
usa 192.168.200.0/24 para su rango de direcciones IP enmascaradas.
Gua del Usuario 863
5. Haga clic en OK. El Firebox agrega un nuevo tnel a las polticas BOVPN-Allow.out y BOVPN-Allow.in.
Definir una ruta para todo el trfico hacia Internet
Cuando permite que los usuarios remotos accedan a Internet a travs de un tnel VPN, la configuracin
ms segura es requerir que todo el trfico de Internet sea enrutado a travs de un tnel VPN hacia el
Firebox. Desde el Firebox, el trfico luego es enviado de vuelta a Internet. Con esa configuracin (conocida
como ruta de concentrador o VPN de ruta predeterminada), el Firebox puede examinar todo el trfico y
ofrecer mayor seguridad, aunque se use ms potencia de procesamiento y ancho de banda en el Firebox.
Al usar una VPN de ruta predeterminada, una poltica de NAT dinmica debe incluir el trfico saliente de la
red remota. Eso permite que usuarios remotos naveguen en Internet cuando envan todo el trfico hacia el
Firebox.
Cuando defina una ruta predeterminada a travs de un tnel BOVPN, se deben hacer tres cosas:
n Configurar una BOVPN en el Firebox remoto (cuyo trfico desea enviar a travs del tnel) para
enviar todo el trfico desde su propia direccin de red hacia 0.0.0.0/0.
n Configurar una BOVPN en el Firebox central para permitir que el trfico pase por l hacia el Firebox
remoto.
n Agregar una ruta en el Firebox central desde 0.0.0.0/0 hacia la direccin de red del Firebox remoto.
Antes de empezar los procedimientos en este tpico, ya se debe haber creado una Branch Office VPN
(BOVPN) manual entre los Fireboxes central y remoto. Para ms informacin acerca de cmo hacer eso,
vea Acerca de tneles BOVPN manuales en la pgina 828.
Configurar el tnel BOVPN en el Firebox remoto
1. En el Policy Manager, abra el archivo de configuracin en el Firebox remoto.
2. Seleccione Tneles VPN > para Sucursales. Encuentre el nombre del tnel hacia el Firebox central
y haga clic en Editar.
Aparece el cuadro de dilogo "Editar tneles".
4. En la lista desplegable Local, seleccione o ingrese la direccin de red de confianza del Firebox
remoto.
5. En Remoto, ingrese 0.0.0.0/0 y haga clic en Aceptar.
6. Seleccione cualquier otro tnel hacia el Firebox central y haga clic en Remover.
7. Haga clic en Aceptar y Guardar el archivo de configuracin.
Configurar el tnel BOVPN en el Firebox central
1. En el Policy Manager, abra el archivo de configuracin en el Firebox central.
2. Seleccione Tneles VPN > para Sucursales. Encuentre el nombre del tnel hacia el Firebox remoto
y haga clic en Editar.
Aparece el cuadro de dilogo "Editar tneles".
4. Haga clic en el botn al lado de la lista desplegable Local. Seleccione IP de red en la lista
desplegable Elegir tipo. Ingresar 0.0.0.0/0 para Valor y haga clic en Aceptar.
5. En el cuadro Remoto, ingrese la direccin de red de confianza del Firebox remoto y haga clic en
Aceptar
6. Seleccione cualquier otro tnel hacia el Firebox remoto y haga clic en Remover.
7. Haga clic en Aceptar y Guardar el archivo de configuracin.
Gua del Usuario 865
Agregar una entrada de NAT dinmica en el Firebox central
Para permitir que un equipo con direccin IP privada acceda a Internet a travs del Firebox, se debe
configurar el Firebox central para que use NAT dinmica. Con la NAT dinmica, el Firebox reemplaza la
direccin IP privada incluida en un paquete enviado desde un PC protegido por Firebox con la direccin IP
pblica del propio Firebox. Por defecto, la NAT dinmica est habilitada y activa para tres direcciones de red
privada aprobadas por RFC:
192.168.0.0/16 - Cualquiera-Externa
Cuando configura una ruta predeterminada a travs de un tnel Branch Office VPN (BOVPN) hacia otro
Firebox, debe agregar una entrada de NAT dinmica para la subred detrs del Firebox remoto si sus
direcciones IP no se encuentran dentro de uno de los tres rangos de red privada.
1. En el Policy Manager, seleccione Red>NAT.
Aparece el cuadro de dilogo Configuracin de NAT.
2. En la pestaa NAT Dinmica en el cuadro de dilogo Configuracin de NAT, haga clic en Agregar.
Aparece el cuadro de dilogo "Agregar NAT Dinmica".
3. Haga clic en al lado de la lista desplegable De.
4. En la lista desplegable Elegir tipo, seleccione IP de red. Inserte la direccin IP de red de la red detrs
del Firebox remoto en el campo Valor. Haga clic en OK.
5. En la lista desplegable Para, seleccione Cualquiera-Externo.
6. Haga clic en OK para cerrar el cuadro de dilogo Agregar NAT Dinmica.
7. Haga clic en OK.Guardar el archivo de configuracin al Firebox central.
Activar enrutamiento de multidifusin a travs de
un tnel BOVPN
Puede activar un enrutamiento de multidifusin a travs de un tnel BOVPN para suportar streams de
multidifusin de una direccin entre las redes protegidas por los dispositivos WatchGuard. Por ejemplo,
puede usar un enrutamiento de multidifusin a travs de un tnel BOVPN para reproducir medios por
stream de un servidor de video por demanda (VOD) a los usuarios en la red en el otro extremo de un tnel
Branch Office VPN (BOVPN).
Advertencia El enrutamiento de multidifusin a travs de un tnel BOVPN slo es soportado
entre dispositivos WatchGuard.
Cuando activa el enrutamiento de multidifusin a travs de un tnel BOVPN, el tnel enva el trfico de
multidifusin desde una nica direccin IP en un lado del tnel a una direccin IP de grupo de
multidifusin. Se configura la multidifusin en el tnel para enviar el trfico de multidifusin a esa direccin
IP de grupo de multidifusin a travs del tnel.
Debe configurar lamultidifusin encada Firebox de mododiferente. Debe configurar el tnel enun Firebox
paraenviar el trfico de multidifusin atravs del tnel y hacer las configuraciones del tnel enel otro
Firebox para recibir el trficode multidifusin. Puede configurar slo unadireccin IP de origenpor tnel.
Al activar el enrutamiento de multidifusin a travs de un tnelBOVPN, el dispositivo WatchGuard crea un
tnelGRE dentro del tnelVPN de IPSec entre las redes. El Firebox enva el trfico de multidifusin a travs
del tnelGRE. El tnel GRE requiere una direccin IP no utilizada en cada extremo del tnel. Debe
configurar direcciones IP auxiliares para cada extremo del tnelBOVPN.
Gua del Usuario 867
Activar un dispositivo WatchGuard para enviar trfico de
multidifusin a travs de un tnel
En el Firebox desde el cual se enva el trfico de multidifusin, edite la configuracin de tnel para activar el
dispositivo para que enve trfico de multidifusin a travs del tnel BOVPN.
2. Seleccione un tnel y haga clic en Editar.
3. De el cuadro de dilogo Editar tnel, haga clic en la pestaa Configuraciones de multidifusin.
4. Seleccione la casilla de verificacin Activar enrutamiento de multidifusin a travs del tnel
5. En el cuadro de texto IP de origen, ingrese la direccin IP del originador de trfico.
6. En el cuadro de texto IP de grupo , ingrese la direccin IP de multidifusin para recibir el trfico.
7. Seleccione el botn de radio Activar dispositivo para enviar trfico de multidifusin.
8. En la lista desplegable Interfaz de entrada, seleccione la interfaz desde la cual se origina el trfico
de multidifusin.
9. Haga clic en la pestaa Direcciones.
Aparecen las configuraciones Extremos de tnel de difusin/multidifusin en la parte inferior de la pestaa
Direcciones.
10. En la seccin Direcciones auxiliares , ingrese las direcciones IP para cada extremo del tnel de
multidifusin. El Firebox usa esas direcciones como extremos de tnel GRE de
difusin/multidifusin dentro del tnelBOVPN de IPSec. Puede definir el IP local y el IP remoto en
cualquier direccin IP no utilizada. Recomendamos que use direcciones IP que no sean usadas en
ninguna red conocida por Firebox.
n En el campo IP local, ingrese una direccinIP para ser usada por el extremo local del tnel.
n Enel campoIP remoto, ingrese unadireccinIP paraser usadapor el extremo remotodel tnel.
Active el otro dispositivo WatchGuard para recibir trfico de
multidifusin a travs de un tnel
En el Firebox en la red en la cual desea recibir el trfico de multidifusin, configure la multidifusin para
activar el dispositivo para que reciba trfico de multidifusin a travs del tnel.
3. De el cuadro de dilogo Editar tnel, haga clic en la pestaa Configuraciones de multidifusin.
Gua del Usuario 869
4. Seleccione la casilla de verificacin Activar enrutamiento de multidifusin a travs del tnel
5. En el campo IP de origen, ingrese la direccin IP del originador de trfico.
6. En el campo IP de grupo, ingrese la direccin IP de multidifusin para recibir el trfico.
7. Seleccione el botn de radio Activar dispositivo para recibir trfico de multidifusin.
8. Use las casillas de verificacin para seleccionar cules interfaces reciben el trfico de multidifusin.
9. Haga clic en la pestaa Direcciones.
Aparecen las configuraciones Extremos de tnel de difusin/multidifusin en la parte inferior de la pestaa
Direcciones.
10. En la seccin Direcciones auxiliares, ingrese las direcciones IP opuestas insertadas en la
configuracin del otro extremo del tnel.
n En el campo IP local, ingrese la direccinIP que insert en el campo IP remoto para el Firebox
en el otro extremo del tnel.
n En el campo IP remoto, ingrese la direccinIP que insert en el campo IP Local para el Firebox
Activar el enrutamiento de difusin a travs de un
tnel BOVPN
Nota El enrutamiento de difusin a travs de un tnel BOVPN slo es soportado entre
dispositivos WatchGuard.
Puede configurar su Firebox para que soporte enrutamiento de difusin limitado a travs de un tnel
Branch Office VPN (BOVPN). Cuando activa el enrutamiento de difusin, el tnel soporta la difusin para
direccionesIP de difusin limitada, 255.255.255.255. El trfico de difusin de subred no es enrutado por el
tnel. El enrutamiento de difusin soporta la difusin slo de una red a otra a travs de un tnel BOVPN.
El enrutamiento de difusin a travs de un tnel BOVPN no soporta estos tipos de difusin:
n Difusin de Protocolo DHCP/Bootstrap (bootp)
n Difusin de NetBIOS
n Difusin de Bloqueo de Mensajes del Servidor (SMB)
Para un ejemplo que muestre cules difusiones pueden ser enrutadas a travs de un tnel BOVPN, vea
Ejemplo: Enrutamiento de difusin a travs de un tnel BOVPN.
Algunas aplicaciones de software requieren la posibilidad de hacer la difusin hacia otros dispositivos de
red para que funcionen. Si los dispositivos que necesitan comunicarse de esa forman estn en redes
conectadas por un tnel BOVPN, puede activar el enrutamiento de difusin a travs del tnel para que la
aplicacin pueda encontrar dispositivos en la red en el otro extremo del tnel.
Al activar el enrutamiento de difusin a travs de un tnelBOVPN, el dispositivo WatchGuard crea un tnel
GRE dentro del tnelVPN de IPSec entre las redes. El Firebox enva el trfico de difusin a travs del tnel
GRE. El tnel GRE requiere una direccin IP no utilizada en cada extremo del tnel. Por lo tanto, debe
configurar direcciones IP auxiliares para cada extremo del tnelBOVPN.
Activar el enrutamiento de difusin para el Firebox local
3. De el cuadro de dilogo Editar tnel, seleccione la ruta de tnel y haga clic en Editar.
4. Haga clic en la casilla de verificacin Activar enrutamiento de difusin por el tnel. Haga clic en OK.
Vuelva al cuadro de dilogo Editar tnel. Aparecen Direcciones auxiliares en la parte inferior de la pestaa
Direcciones.
Gua del Usuario 871
5. En la seccin Direcciones auxiliares, ingrese las direccionesIP para cada extremo del tnel de
difusin. El Firebox usa esas direcciones como extremos de tnel GRE de difusin/multidifusin
dentro del tnelBOVPN de IPSec. Puede definir el IP localy el IP remoto en cualquier direccin IP
no utilizada. Recomendamos que use direcciones IP que no sean usadas en ninguna red conocida
por Firebox.
n En el campo IP local, ingrese una direccinIP para ser usada por el extremo local del tnel.
n Enel campoIP remoto, ingrese unadireccinIP paraser usadapor el extremo remotodel tnel.
Configurar enrutamiento de difusin para el Firebox en el otro
extremo del tnel
1. Repita los pasos 1-4 arriba para activar el enrutamiento de difusin para el Firebox en el otro
extremo del tnel.
2. En la seccin Direcciones auxiliares, ingrese las direcciones opuestas insertadas en la configuracin
del otro extremo del tnel.
n En el campo IP local, ingrese la direccinIP que insert en el campo IP remoto para el Firebox
n En el campo IP remoto, ingrese la direccinIP que insert en el campo IP Local para el Firebox
Conmutacin de tneles Branch Office VPN
(BOVPN)
Si tiene uno o ms tneles BOVPN remotos conectados a su red y desea que los equipos en redes remotas
intercambien datos, debe configurar el cambio de tnel en el Firebox central. Cuando configura el cambio
de tnel, el Firebox central descifra los paquetes enviados de una VPN, aplica las polticas configuradas en el
Firebox central, encripta los paquetes nuevamente y enva los paquetes cifrados a su destino en la otra
VPN.
Por ejemplo, si tiene un Firebox en su Oficina Central que usa para cambio de tnel entre tneles BOVPN a
dos oficinas remotas, su configuracin de red puede tener esta apariencia:
En este ejemplo, puede usar el cambio de tnel para que el Firebox de la Oficina Central pueda pasar el
trfico de la red de confianza de la Oficina Remota A a la red de confianza de la Oficina Remota B, sin un
tercer tnel BOVPN entre las dos oficinas remotas. Esa configuracin es til cuando se requiere el control
de la seguridad de red en la Oficina Central, porque puede aplicar polticas al trfico entre los dos tneles
en la Oficina Central.
Para un ejemplo paso a paso de cmo configurar un cambio de tnel BOVPN, vea la seccin Tneles
BOVPNmanuales de la Ayuda del WatchGuard System Manager de Fireware XTMen
http://www.watchguard.com/help/docs/wsm/11/es-ES/index.html.
Gua del Usuario 873
Configurar Failover de VPN
Nota Este tpico de aplica solamente a tnelesVPN manuales. Si tiene WAN mltiples
configuradas y crea tneles administrados, el WSMautomticamente configura
los pares de puertas de enlace que incluyan las interfaces externas de ambas
extremidades del tnel. No hace falta ninguna otra configuracin.
La conmutacin por error (failover) es una funcin importante de redes que necesitan alta disponibilidad.
Cuando tiene una conmutacin por error de WAN mltiple configurada, los tneles VPN automticamente
hacen la conmutacin por error hacia una interfaz externa de resguardo, caso ocurra una falla. Puede
configurar tneles VPN para hacer conmutacin por error a un extremo de resguardo si el extremo
principal queda no disponible.
Ocurre un failover de VPN cuando se da uno de esos dos eventos:
n Un enlace fsico est inactivo. El Firebox monitorea el estado de la puerta de enlace de la VPN y los
dispositivos identificados en la configuracin del monitor de enlace de WAN mltiple. Si en enlace
fsico est inactivo, ocurre un failover de VPN.
n El Firebox detecta el par de VPN que no est activo.
Cuando ocurre una conmutacin por error, si el tnel usa el IKEkeep-alive, ste contina a enviar los
paquetes activos de Fase 1 al punto. Cuando obtiene una respuesta, IKE desencadena la failback hacia la
puerta de enlace de la VPN principal. Si el tnel usa Dead Peer Detection, la failback ocurre cuando se
recibe una respuesta de una puerta de enlace de la VPN principal.
Cuando ocurre un evento de conmutacin por error, gran parte de las conexiones nuevas y existentes
hacen la conmutacin por error automticamente. Por ejemplo, si inicia un comando "PUT" de FTP y la ruta
de la VPN principal queda inactiva, la conexin de FTP continua en la ruta de la VPN de resguardo. No se ha
perdido la conexin, pero hay demora. Observe que slo puede ocurrir un failover de VPN si:
n Los dispositivos Firebox en cada extremo del tnel tienen el Fireware v11.0 o posterior instalado.
n La conmutacin por error de WAN mltiples est configurada, tal como se describe en Acerca de
usar mltiples interfaces externas en la pgina 139.
n Las interfaces de su Firebox figuran como pares de puerta de enlace en el Firebox remoto. Si ya
configur la conmutacin por error de WAN mltiples, sus tneles VPN automticamente harn la
conmutacin por error hacia la interfaz de resguardo.
n Si la puerta de enlace est activada en las configuraciones de Fase 1 para la puerta de enlace de
sucursal en cada extremo del tnel.
El failover de VPN no ocurre para los tneles BOVPN con NAT dinmica habilitada como parte de su
configuracin de tnel. Para los tneles BOVPN que no usan NAT, el failover de VPN ocurre y la sesin de
BOVPN continua. Con los tneles de Mobile VPN, la sesin no contina. Debe autenticar su cliente de
Mobile VPN nuevamente para hacer un nuevo tnel de Mobile VPN.
Definir mltiples pares de puertas de enlace
Nota Si tiene WAN mltiples configuradas y crea tneles administrados, el WSM
automticamente configura los pares de puertas de enlace que incluyan las
interfaces externas de ambas extremidades del tnel. No hace falta ninguna otra
configuracin.
Paraconfigurar tneles BOVPN manualmente para que hagan laconmutacin por error haciaun extremode
resguardo, se debe definir ms de unconjunto de extremos local y remoto(pares de puertas de enlace) para
cadapuerta de enlace. Parala funcionalidadcompleta de conmutacin por error parauna configuracinde
VPN, debe definir pares de puerta de enlace paracada combinacinde interfaces externas encada ladodel
tnel. Por ejemplo, suponga que su extremolocal principal sea 23.23.1.1/24 con unresguardo en
23.23.2.2/24. Su extremoremoto principal es el 50.50.1.1/24 conun resguardoen 50.50.2.1/24. Para un
failover completo de VPN, necesitaradefinir esos cuatro pares de puertas de enlace:
23.23.1.1 - 50.50.1.1
23.23.1.1 - 50.50.2.1
23.23.2.1 - 50.50.1.1
23.23.2.1 - 50.50.2.1
1. Seleccione VPN > Puertas de enlace de sucursal. Haga clic en Agregar para agregar una nueva
puerta de enlace. Asigne un nombre a la puerta de enlace y defina el mtodo de credenciales, tal
como se describe en Definir puertas de enlace en la pgina 832.
2. En la seccin Extremos de la Puerta de enlace el cuadro de dilogo Nueva puerta de enlace, haga
clic en Agregar.
El Nueva Aparece el cuadro de dilogo "Configuraciones de extremos de puerta de enlace".
Gua del Usuario 875
3. Especifique la ubicacin de las puertas de enlace local y remota. Seleccione el nombre de la interfaz
externa que coincida con la direccin IP o domain name de puerta de enlace local que agregue.
Se puede agregar tanto una direccin IP como un ID de puerta de enlace para la puerta de enlace
remota. Eso puede ser necesario si la puerta de enlace remota est detrs de un dispositivo NAT y
requiera ms informacin para autenticarse en la red detrs del dispositivo NAT.
4. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuraciones de extremos de la nueva
puerta de enlace.
El Nueva Aparece el cuadro de dilogo "Puerta de enlace". Aparece el par de la puerta de enlace definido en la
lista de extremos de la puerta de enlace.
5. Repita ese procedimiento para definir pares adicionales de puertas de enlace. Se puede agregar
hasta nueve pares de puertas de enlace. Puede seleccionar un par y hacer clic en Subir o Bajar para
cambiar el orden en el cual Firebox intenta establecer conexiones.
6. Haga clic en OK.
Forzar una BOVPN de clave de tnel BOVPN
Normalmente, los extremos de una puerta de enlace deben generar e intercambiar nuevas claves despus
que pasa un perodo de tiempo o un volumen de trfico especificado, tal como definido en los campos
Forzar caducidad de clave en el cuadro de dilogo Propuestas de Fase2. Puede ocurrir a veces que se
quiera generar nuevas claves inmediatamente en vez de esperar que caduquen, principalmente cuando
soluciona problemas de tneles VPN.
Para regenerar clave de un tnel BOVPN
Se puede regenerar un tnel VPN desde el panel delantero del Firebox System Manager o desde la pestaa
Estado del dispositivo de WatchGuard System Manager. En el encabezado Tneles VPN de sucursal,
seleccione el tnel para el cual desea regenerar la clave. Haga clic con el botn derecho y seleccione
Regenerar clave tnel BOVPN seleccionado. Cuando solicitado, ingrese la frase de contrasea de
configuracin para el Firebox al cual el Firebox System Manager est conectado.
Para regenerar claves de todos los tneles BOVPN
En el Firebox System Manager, haga clic con el botn derecho en cualquier lugar en el panel delantero de
la ventana. Seleccione Regenerar claves de todos los tneles BOVPN. Cuando solicitado, ingrese la frase de
contrasea de configuracin para el Firebox al cual el Firebox System Manager est conectado.
o
En el Firebox System Manager, seleccione Herramientas > Regenerar claves de todos los tneles BOVPN.
Cuando solicitado, ingrese la frase de contrasea de configuracin para el Firebox al cual el Firebox System
Manager est conectado.
o
En la pestaa Estado del dispositivo del WatchGuard System Manager, haga clic con el botn derecho en el
encabezado Tneles VPN de sucursal o en cualquier tnel abajo del encabezado. Seleccione Regenerar
claves de todos los tneles BOVPN.
Preguntas relacionadas
Por qu necesito una direccin externa esttica?
Para establecer una conexin de VPN, cada dispositivo debe conocer la direccin IP del otro dispositivo. Si
la direccin para un dispositivo es dinmica, la direccin IP puede cambiar. Si la direccin IP cambia, no se
pueden establecer las conexiones entre los dispositivos excepto si los dos dispositivos saben como
encontrarse mutuamente.
Puede usar un DNS Dinmico si no puede obtener una direccin IP externa. Para ms informaciones, vea
Pgina Acerca de Servicio DNS dinmico en la pgina 103.
Cmo obtengo una direccin IP externa esttica?
Obtiene la direccin IP externa para su PC o red junto a su administrador de red o ISP. Muchos ISPs usan
direcciones IP dinmicas para facilitar la configuracin de sus redes y la utilizacin por muchos usuarios. La
mayora de los ISPs puede ofrecerle una direccin IP esttica como una opcin.
Gua del Usuario 877
Cmo soluciono problemas de la conexin?
Si puede enviar un ping a la interfaz de confianza del Firebox remoto y a equipos en la red remota, el tnel
VPN est activo. Otra causa posible de otros problemas es la configuracin del software de red o de las
aplicaciones de software.
Por qu el ping no est funcionando?
Si no puede enviar un ping a la direccin IP de interfaz local del Firebox remoto, siga estos pasos:
1. Enve un ping a la direccin externa del Firebox remoto.
Por ejemplo, en el Sitio A, enve un ping a la direccin IP del Sitio B. Si no recibe una respuesta,
asegrese de que estn correctas las configuraciones de la red externa del Sitio B. El Sitio B debe ser
configurado para responder a las solicitudes de ping en aquella interfaz. Si las configuraciones est
correctas, asegrese que los equipos en el Sitio B tengan conexin a Internet. Si los equipos en el
Sitio B no logran conectarse, hable con su administrador de red o ISP.
2. Si puede enviar un ping a la direccin externa de cada Firebox, intente enviar un ping a la direccin
local en la red remota.
Desde un equipo en el Sitio A, enve un ping a la direccin IP de la interfaz interna del Firebox
remoto. Si el tnel VPN est activo, el Firebox remoto retorna el ping. Si no recibe una respuesta,
asegrese de que la configuracin local est correcta. Cercirese de que los rangos de direccin de
DHCP local para las dos redes conectadas por el tnel VPN no usan direcciones IP similares. Las dos
redes conectadas por el tnel no deben usar las mismas direcciones IP.
Cmo configuro ms que el nmero de tneles VPN permitido
en mi Edge?
El nmero de tneles VPN que pueden ser creados en su Firebox X Edge E-Series es determinado por el
modelo Edge que tiene. Puede adquirir la actualizacin de un modelo para su Edge para hacer ms tneles
VPN junto a un revendedor o en el sitio web de WatchGuard:
http://www.watchguard.com/products/purchaseoptions.asp
Mejorar la disponibilidad del tnel BOVPN
Hay instalaciones de BOVPN en las cuales todas las configuraciones est correctas, pero las conexiones de
BOVPN no siempre funcionan correctamente. Puede usar la informacin abajo para ayudarlo a solucionar
los problemas de disponibilidad de tneles de BOVPN. Esos procedimientos no mejoran el desempeo
general de los tneles BOVPN.
Gran parte de los tneles BOVPN permanecen disponibles para el pasaje de trfico en todos los momentos.
Los problemas suelen estar asociados a una o ms de estas tres condiciones:
n Una o ambas extremidades poseen conexiones externas no confiables. Alta latencia, alta
fragmentacin de paquetes y alta prdida de paquetes pueden convertir una conexin en no
confiable. Esos factores tienen un impacto ms fuerte en el trfico de BOVPN que en otro trfico
comn, como HTTPy SMTP. Con el trfico de BOVPN, los paquetes cifrados deben llegar a la
extremidad de destino, ser decodificados y luego rearmados antes que el trfico no cifrado sea
enrutado a la direccin IP de destino.
n Un extremo no es un dispositivo WatchGuard o es uno ms antiguo con un software de sistema
anterior. Las pruebas de compatibilidad entre los productos WatchGuard y dispositivos ms antiguos
se hacen con el software ms reciente disponible para dispositivos ms antiguos. Con el software
ms antiguo puede haber problemas que ya hayan sido arreglados en la versin ms reciente del
software.
Como estn basados en el estndar IPSec, los dispositivos WatchGuard son compatibles con la
mayora de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no
son compatibles con IPSec debido a problemas de software o configuraciones con derechos de
autor.
n Si hay un volumen bajo de trfico a travs del tnel o si hay largos perodos de tiempo sin que pase
trfico por el tnel, algunos extremos terminan la conexin de la VPN. Los dispositivos WatchGuard
que ejecutan los dispositivos Fireware y WatchGuard Edge no hacen eso. Algunos dispositivos de
terceros y dispositivos WatchGuard con versiones ms antiguas del softwareWFS usan esa condicin
como forma de cerrar los tneles que parecen estar muertos.
Es posible instalar el sistema operativo ms reciente y el software de administracin en todos los
dispositivos WatchGuard, pero todas las otras condiciones en esa lista estn fuera de su control. Sin
embargo, puede tomar ciertas medidas para mejorar la disponibilidad del BOVPN.
Seleccionar IKE keep-alive o Dead Peer Detection,pero no ambas
Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuando un
tnel est desconectado. Cuando encuentran un tnel desconectado, inician una nueva negociacin de
Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociacin de Fase 1 que se
inicia puede hacer que el otro identifique el tnel como desconectado e inicie una segunda
negociacin de Fase 1. Cada negociacin de Fase 1 detiene todo el trfico del tnel hasta que ste haya
sido negociado. Para mejorar la estabilidad del tnel, seleccione o IKEkeep-alive o Dead Peer
Detection. No seleccione ambas.
Observe lo siguiente acerca de esas configuraciones:
La configuracin de IKE keep-alive es usada solamente por los dispositivos WatchGuard. No usar si
el extremo remoto es un dispositivo IPSec de terceros.
Cuando habilita IKE keep-alive, Firebox enva un mensaje a un dispositivo de puerta de enlace
remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con
qu frecuencia se enva un mensaje. Fallas mx. indica cuntas veces el dispositivo de puerta
de enlace remota puede presentar fallas al responder antes que Firebox intente renegociar la
conexin de Fase 1.
La Dead Peer Detection es un estndar usado por la mayora de los dispositivos IPSec. Seleccione la
Dead Peer Detection si ambos dispositivos extremos la soportan.
Al activar la Dead Peer Detection, Firebox monitorea el trfico de tnel para identificar si un
tnel est activo. Si no se activ el trfico desde el punto remoto para el perodo de tiempo
Gua del Usuario 879
insertado en tiempo de espera inactivo de trfico, y un paquete est esperando para ser
enviado al punto, el Firebox enva una consulta. Si no hay respuestas despus del nmero de
Mx. reintentos, Firebox renegocia la conexin de Fase 1. Para ms informaciones acerca de la
Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.
Las configuraciones de IKEkeep-alive y Dead Peer Detection forman parte de las configuraciones de
Fase 1.
Usar las configuraciones predeterminadas
Las configuraciones de BOVPN predeterminadas ofrecen la mejor combinacin de seguridad y
velocidad. Use esas configuraciones predeterminadas siempre que posible. Si un dispositivo extremo
remoto no soporta una de las configuraciones predeterminadas de WatchGuard, configure el
dispositivo WatchGuard para que utilice la configuracin predeterminada del extremo remoto. Esas
son las configuraciones predeterminadas para WSM11.x:
Nota Si no se exhibe una configuracin en WSM, no se puede cambiarla.
Configuraciones generales
Modo
Principal(Seleccionar Agresivo si uno de los dispositivos
posee una direccinIP externa dinmica).
NATTraversal S
Intervalo de keep-alive de NAT
Traversal
20 segundos
IKE keep-alive Desactivado
Intervalo de mensaje de IKEkeep-
alive
Ninguno
Mx. Fallas de IKEkeep-alive Ninguno
Dead Peer Detection (RFC3706) Activado
Tiempo de espera inactivo de trfico
para Dead Peer Detection
20 segundos
Mx. de reintentos de Dead Peer
Detection
5
Configuraciones de transformacin de FASE 1
Algoritmo de autenticacin SHA-1
Algoritmo de cifrado 3DES
Configuraciones de transformacin de FASE 1
Caducidad de negociacin o duracin de SA (horas) 8
Caducidad de negociacin o duracin de SA (kilobytes) 0
Grupo Diffie-Hellman 2
Configuraciones de propuesta de FASE 2
Tipo ESP
Algoritmo de autenticacin SHA-1
Algoritmo de cifrado AES (256 bit)
Forzar Caducidad de Clave Activar
Caducidad de Clave Fase 2 (horas) 8
Caducidad de Clave Fase 2 (kilobytes) 128000
Activar Perfect Forward Secrecy No
Grupo Diffie-Hellman Ninguno
Configurar Firebox para enviar trfico de registro a travs del tnel
Si no hay trfico a travs del tnel por un perodo de tiempo, un extremo puede decidir que el otro no
est disponible y no intenta renegociar el tnel VPN inmediatamente. Una forma de asegurar que el
trfico no deje de pasar por el tnel es configurar el Firebox para que enve registro de trfico a travs
del tnel. No necesita que un Log Server reciba y mantenga los registros de trfico. En ese caso, se
configura intencionadamente el Firebox para enviar el trfico de registro a un Log Server que no
existe. Eso crea un pequeo pero consistente volumen de trfico enviado a travs del tnel, lo que
puede ayudar a mantenerlo ms estable.
Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el Firebox est configurado
para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede
usar ese mtodo para enviar el trfico por el tnel.
Debe elegir una direccinIP del Log Server a la cual enviar los datos de registro. Para elegir la
direccinIP, use estas directrices.
n La direccin IP delLog Server utilizada debe ser una direccinIP que est incluida en las
configuraciones de ruta de tnel. Para ms informaciones, vea Agregar rutas para un tnel en
la pgina 845.
n La direccinIP del Log Server no debera ser una direccinIP usada por un dispositivo real.
Los dos tipos de registro generan diferentes volmenes de trfico.
Gua del Usuario 881
Registro de WatchGuard
No se enva ningn dato de registro hasta que Firebox se haya conectado al Log Server. Los
nicos tipos de trfico enviados a travs del tnel son intentos de conectase al Log Server,
enviados a cada tres minutos. Eso puede ser un volumen de trfico suficiente para ayudar en la
estabilidad del tnel con un mnimo impacto en otro trfico de BOVPN.
Registro de syslog
Los datos de registro son enviados inmediatamente a la direccinIP del servidor de syslog. El
volumen de datos de registro depende del trfico que Firebox maneja. El registro de syslog
suele generar bastante trfico para que siempre estn pasando paquetes por el tnel. El
volumen de trfico puede a veces hacer que el trfico normal de BOVPN quede ms lento,
pero eso no es comn.
Para mejorar la estabilidad y tener menor impacto sobre el trfico de BOVPN, intente primero la
opcin de Registro de WatchGuard. Si eso no mejora la estabilidad del tnel BOVPN, intente el registro
de syslog. Los procedimientos siguientes suponen que ambos dispositivos extremos son dispositivos
Firebox de WatchGuard y que ningn extremo est configurado para enviar datos de registro ni al
WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya est configurado para enviar datos
de registro que son recogidos por un servidor, no cambie esas configuraciones de registro.
Algunas de las opciones que puede intentar son:
n Configurar un extremo para enviar trfico de registro WatchGuard a travs del tnel.
n Configurar el otro extremo para enviar trfico de registro de WatchGuard a travs del tnel.
n Configurar ambos extremos para enviar trfico de registro de WatchGuard a travs del tnel.
n Configurar un extremo para enviar trfico de registro de syslog a travs del tnel.
n Configurar slo el otro extremo para enviar trfico de registro de syslog a travs del tnel.
n Configurar ambos extremos para enviar trfico de registro de syslog a travs del tnel.
Enviar datos de registro de WatchGuard a travs del tnel
1. En el Policy Manager, seleccione Configurar > Registro.
2. Seleccione Enviar mensajes de registro a los Log Servers en esas direccionesIP y haga clic en
Configurar.
Aparece el cuadro de dilogo Agregar Procesador de Eventos.
4. Para la Direccin del Log Server, ingrese la direccinIP seleccionada para el Log Server.
5. Ingrese una Encryption Key e inserte la misma clave en el cuadro de texto Confirmar clave.
6. Haga clic en Aceptar tres veces.
Enviar datos de syslog a travs del tnel
1. En el Policy Manager, seleccione Configurar > Registro.
2. Seleccione Enviar mensajes de registro al servidor de syslog en esa direccinIP.
3. Ingrese la direccinIP elegida para el servidor de syslogen el cuadro de texto.
4. Haga clic en OK.
Gua del Usuario 882
Gua del Usuario 883
28
Mobile VPN con PPTP
Acerca del Mobile VPN con PPTP
La conexin a red privada virtual mvil (Mobile VPN) con protocolo de tnel punto a punto (PPTP) crea una
conexin segura entre un equipo remoto y los recursos de red detrs del dispositivo WatchGuard. Cada
dispositivo WatchGuard admite hasta 50 usuarios al mismo tiempo. Los usuarios de Mobile VPN con PPTP
pueden autenticarse en el dispositivo WatchGuard o en un servidor de autenticacin RADIUS o VACMAN.
Para usar Mobile VPN con PPTP, debe configurar el dispositivo WatchGuard y las computadoras cliente
remotas.
Requisitos de Mobile VPN con PPTP
Antes de configurar el dispositivo WatchGuard para usar Mobile VPN with PPTP, asegrese de tener esta
informacin:
n Las direcciones IP para que el cliente remoto use para las sesiones de Mobile VPN con PPTP.
Paratneles deMobile VPNconPPTP,el dispositivoWatchGuardofreceacadausuarioremotouna
direccinIP virtual.Estas direccionesIP nopuedenserdirecciones queutilice lareddetrsdel
dispositivoWatchGuard. El procedimientomsseguroparaasignar direccionesausuariosde Mobile
VPNes instalarunasecondarynetwork "marcadorade posicin".Luego, seleccioneunadireccinIP de
eserangodered. Porejemplo, creeunanuevasubnet comosecondary networkensureddeconfianza
10.10.0.0/24.Seleccione lasdirecciones IPenestasubnet parasurangode direccionesPPTP.
n Las direcciones IP de los servidores DNS y WINS que determinan los nombres de host para las
direcciones IP.
n Los nombres de usuario y contraseas de los usuarios autorizados a conectarse al dispositivo
WatchGuard con Mobile VPN with PPTP.
Niveles de cifrado
Para Mobile VPN with PPTP, se puede seleccionar un cifrado de 128bits o un cifrado de 40bits. Las
versiones de software de Windows XP en los Estados Unidos tienen activado un cifrado de 128bits. Puede
obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows. Firebox
siempre intenta utilizar cifrado de 128bits en primer lugar. Puede configurarse para usar cifrado de 40bits
si el cliente no puede usar una conexin cifrada de 128bits.
Para obtener ms informacin sobre cmo admitir el cifrado de 40 bits consulte Configurar Mobile VPN
with PPTP en la pgina 884.
Si no reside en los Estados Unidos y desea tener cifrado de alta seguridad activado en su cuenta
LiveSecurity Service, enve un mensaje de correo electrnico a supportid@watchguard.com e incluya toda
la informacin que se indica a continuacin:
n Nmero de clave de LiveSecurity Service
n Fecha de compra del producto WatchGuard
n Nombre de su empresa
n Direccin de correo postal de la empresa
n Nmero de telfono y nombre de contacto
n Direccin de correo electrnico
Si reside en los Estados Unidos y an no utiliza WatchGuard System Manager (WSM) con cifrado de alta
seguridad, debe descargar el software de cifrado de alta seguridad de la pgina de Descargas de software
en el sitio web de LiveSecurity Service.
1. Abra un explorador web y visite www.watchguard.com.
2. Ingrese en su cuenta de LiveSecurity Service.
3. Haga clic en Soporte.
Aparece el Centro de Soporte de WatchGuard.
4. En la seccin Administracin de sus productos, haga clic en Descargas de software.
5. En la lista Seleccionar familia de productos, seleccione su dispositivo WatchGuard.
Aparece la pgina de Descargas de software.
6. Descargue WatchGuard System Manager con cifrado de alta seguridad.
Antes de instalar el software de WatchGuard System Manager con cifrado de alta seguridad, debe
desinstalar de su computadora cualquier otra versin de WatchGuard System Manager.
Nota Para mantener la configuracin actual del dispositivo WatchGuard, no use el
Quick Setup Wizard cuando instale el nuevo software. Abra el WatchGuard System
Manager, conctese al dispositivo WatchGuard y guarde el archivo de
configuracin. Las configuraciones con una versin de cifrado diferente son
compatibles.
Configurar Mobile VPN with PPTP
Para configurar el dispositivo WatchGuard para aceptar conexiones PPTP, primero debe activar Mobile
VPN with PPTP y realizar las configuraciones.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 885
1. Desde el Administrador de la poltica, seleccione VPN > Mobile VPN > PPTP.
Aparece el cuadro de dilogo de Configuracin de Mobile VPN con PPTP.
2. Seleccione la casilla de verificacin Activar Mobile VPN with PPTP. Esto permite configurar a los
usuarios remotos de PPTP y automticamente crea una poltica de PPTP de WatchGuard para
permitir el envo de trfico de PPTP al dispositivo WatchGuard. Recomendamos no modificar las
propiedades predeterminadas de la poltica de PPTP de WatchGuard.
3. Use la informacin de las siguientes secciones para completar la configuracin de PPTP.
Autenticacin
Los usuarios de Mobile VPN con PPTP pueden autenticarse en Firebox o usar autenticacin extendida en
un servidor RADIUS o VACMAN Middleware Server. Las instrucciones para usar un VACMAN Middleware
Server son idnticas a las instrucciones para usar un servidor RADIUS. Para usar la base de datos del
dispositivo WatchGuard, no seleccione la casilla de verificacin Usar autenticacin RADIUS para
autenticar a usuarios de Mobile VPN con PPTP.
Para usar un servidor RADIUS o VACMAN Middleware para autenticacin:
1. Seleccione la casilla de verificacin Usar autenticacin RADIUS para autenticar a usuarios de
Mobile VPN con PPTP.
2. Configure el servidor RADIUS en el cuadro de dilogo Servidores de autenticacin, como se
describe Configurar autenticacin de servidor RADIUS en la pgina 310.
O bien, configure el servidor VASCO en el cuadro de dilogo Servidores de autenticacin, como se
describe Configurado autenticacin de servidor VASCO en la pgina 316.
3. En el servidor RADIUS, cree un grupo denominado PPTP-Users (usuarios de PPTP). Agregue
nombres o grupos de usuarios de PPTP a este grupo.
Nota Para establecer la conexin de PPTP, el usuario debe ser miembro de un grupo
denominado PPTP-Users (usuarios de PPTP). Despus de autenticar al usuario,
puede usar otros grupos de los cuales el usuario sea miembro para crear polticas
que controlan el acceso a recursos de red.
Configurar el cifrado para tneles PPTP
Las versiones de Windows XP que se comercializan en los Estados Unidos tienen activado un cifrado de 128
bits. Puede obtener un parche de cifrado de alta seguridad de Microsoft para otras versiones de Windows.
n Si desea solicitar el cifrado de 128bits para todos los tneles PPTP, seleccione Solicitar cifrado de
128bits. Recomendamos utilizar cifrado de 128bits para VPN.
n Seleccione Permitir bajar cifrado de 128bits a 40bits para permitir que los tneles bajen el cifrado
de 128bits a 40bits para conexiones menos confiables o cuando el cliente no puede usar cifrado de
128bits. Firebox siempre intenta utilizar cifrado de 128bits en primer lugar. Se utiliza el cifrado de
40bits si el cliente no puede usar la conexin cifrada de 128bits. En general, slo los clientes fuera
de los Estados Unidos seleccionan esta casilla de verificacin.
n Para permitir trfico que no est cifrado a travs de la VPN, seleccione No requiere cifrado.
MTU y MRU
Los tamaos de la Unidad mxima de transmisin (MTU) o Unidad mxima de recepcin (MRU) se envan al
cliente como parte de los parmetros de PPTP para usar durante la sesin de PPTP. Recomendamos no
modificar los valores de MTUo MRU a menos que est seguro de que la modificacin corrige un problema
identificado en las sesiones de PPTP. Los valores de MTUo MRU incorrectos ocasionan la falla del trfico a
travs de la VPN with PPTP.
Definir configuraciones de tiempo de espera para tneles PPTP
Puede definir dos configuraciones de tiempo de espera para tneles PPTP si usa autenticacin RADIUS:
El perodo de tiempo mximo que un usuario puede enviar trfico a una red externa. Si configura
este campo en cero (0) segundos, minutos, horas o das, no se usa tiempo de espera de sesin y el
usuario puede permanecer conectado durante el tiempo que desee.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 887
El tiempo mximo que el usuario puede permanecer autenticado cuando est inactivo (sin trfico
hacia la interfaz de red externa). Si configura este campo en cero (0) segundos, minutos, horas o
das, no se usa tiempo de espera inactivo y el usuario puede permanecer inactivo durante el tiempo
que desee.
Si no usa RADIUS para autenticacin, el tnel PPTP usa la configuracin de tiempo de espera especificada
por usted para cada usuario de Firebox. Para obtener ms informacin acerca de la configuracin de
usuario de Firebox, consulte Definir un nuevo usuario para autenticacin en Firebox en la pgina 308.
Agregar al conjunto de direcciones IP
Mobile VPN with PPTP admite hasta 50usuarios al mismo tiempo. El dispositivo WatchGuard otorga una
direccin IP abierta a cada usuario de Mobile VPN dentro de un grupo de direcciones disponibles, hasta que
todas las direcciones estn en uso. Cuando un usuario cierra una sesin, su direccin IP vuelve a estar
disponible.
Debe configurar dos o ms direcciones IP para que PPTP funcione correctamente.
1. En la seccin Conjunto de direcciones IP , haga clic en Agregar.
2. En la lista desplegable Elegir tipo, seleccione IP de host (para una sola direccin IP) o Rango de host
(para un rango de direcciones IP).
Se pueden configurar hasta 50direcciones IP.
Si selecciona IP de host, debe agregar por lo menos dos direcciones IP.
Si selecciona Rango de host y agrega un rango de direcciones IP superior a 50direcciones, Mobile
VPN with PPTP utiliza las primeras 50direcciones del rango.
3. En el campo Valor , ingrese la direccin IP de host. Si seleccion Rango de host, ingrese la primera
direccin IP del rango para Valor y la ltima direccin IPdel rango para Hasta.
Asegrese de usar direcciones IP que nunca sean utilizadas por ningn otro dispositivo que se
conecte a Firebox. La direccin IP o el rango de direccin aparece en la lista de direcciones
disponibles para clientes remotos.
4. Haga clic en OK.
5. Repita los pasos 1 al 4 para configurar todas las direcciones para usar con Mobile VPN with PPTP.
Guardar los cambios
Cuando haya finalizado, haga clic en OKpara cerrar el cuadro de dilogo Configuracin de Mobile VPN con
PPTP. Guarde los cambios en el dispositivo WatchGuard.
Configurar servidores WINS y DNS
Los clientes de Mobile VPN comparten del Servicio Windows Internet Naming (WINS) y el Sistema de
domain name (DNS). El DNS cambia los nombres de host a direcciones IP, mientras que WINS cambia los
nombres de NetBIOS a direcciones IP. La interfaz de confianza del dispositivo WatchGuard debe tener
acceso a estos servidores.
1. Desde el Administrador de la poltica, seleccione Configuracin de > red.
2. Haga clic en la pestaa WINS/DNS.
Aparece la informacin para los servidores WINS y DNS.
3. Ingrese un domain name para el servidor DNS.
4. En los cuadros de texto de los Servidores DNS , ingrese las direcciones para los servidores DNS.
Se pueden ingresar hasta tres direcciones para servidores DNS.
5. En los cuadros de texto de Servidores WINS , ingrese las direcciones para los servidores WINS.
Se pueden ingresar hasta dos direcciones para servidores WINS.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 889
Agregar nuevos usuarios al grupode usuarios de
PPTP
Para conectarse a Firebox con un tnel VPN PPTP, los usuarios mviles deben ingresar sus nombres de
usuario y frases de contrasea para autenticarse. El dispositivo WatchGuard utiliza esta informacin para
autenticar al usuario en el dispositivo WatchGuard.
Cuando activa PPTP en la configuracin del dispositivo WatchGuard, automticamente se crea un grupo de
usuarios predeterminado. Este grupo de usuarios se denomina PPTP-Users (usuarios de PPTP). Este nombre
de grupo se muestra al crear un nuevo usuario o agregar nombres de usuario o grupos a las polticas. Los
usuarios deben ser miembros de este grupo para realizar una conexin PPTP.
Para obtener ms informacin sobre grupos de dispositivos WatchGuard, consulte Configure su Firebox
como servidor de autenticacin en la pgina 305.
Si utiliza un VACMAN Middleware Server para autenticacin, debe crear un grupo de usuarios de PPTP en
su servidor de autenticacin y agregar usuarios a ese grupo. Para obtener ms informacin, consulte la
documentacin para su servidor de autenticacin.
Si utiliza el dispositivo WatchGuard para autenticacin, debe agregar usuarios y convertirlos en miembros
del grupo de usuarios de PPTP.
2. Haga clic en la pestaa Firebox .
3. Para agregar un nuevo usuario, haga clic en el botn Agregar abajo de la lista Usuarios. Para cambiar
las propiedades de un usuario seleccionado, haga clic en Editar.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 891
4. Para un nuevo usuario, ingrese un nombre de usuario y una frase de contrasea. Ingrese la frase de
contrasea nuevamente para confirmarla. Puede obviar este paso si el usuario fue creado
previamente.
No se requiere una descripcin. Recomendamos no cambiar los valores predeterminados para el tiempo de
espera de sesin y el tiempo de espera inactivo.
5. Para agregar un usuario a un Grupo de Autenticacin de Firebox, seleccione el nombre de usuario
en la lista Disponible.
6.
Haga clic en para desplazar el nombre a la lista Miembro.
O bien, puede hacer doble clic en el nombre de usuario en la lista Disponible.
El usuario es agregado a la lista de usuarios. Repita los pasos 3 al 6 para agregar ms usuarios.
Aparece la pestaa "Usuarios de Firebox" con un listado de los nuevos usuarios.
Opciones de acceso a Internet a travs de un
tnel de Mobile VPN con PPTP
Puede permitir que usuarios remotos accedan a Internet a travs de un tnel Mobile VPN. Esta opcin
afecta su seguridad porque este trfico de Internet no est filtrado ni cifrado. Tiene dos opciones de rutas
de tnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de tnel dividido.
VPN de ruta predeterminada
La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a travs
del tnel VPN hacia el dispositivo WatchGuard. Despus, el trfico es enviado de vuelta a Internet. Con esta
configuracin (conocida como VPN de ruta predeterminada), Firebox puede examinar todo el trfico y
proporcionar mayor seguridad, aunque utiliza ms capacidad de procesamiento y ancho de banda. Al usar
una VPN de ruta predeterminada, una poltica de NAT dinmica debe incluir el trfico saliente de la red
remota. Esto permite a los usuarios remotos navegar por Internet cuando envan todo el trfico al
Nota Si usa los comandos "route print" o "ipconfig" despus de iniciar un tnel Mobile
VPN en una computadora que tiene instalado Microsoft Windows, ver
informacin incorrecta de la puerta de enlace predeterminada. La informacin
correcta se encuentra en la pestaa Detalles del cuadro de dilogo Estado de la
conexin privada virtual.
Dividir VPN de tnel
Otra opcin de configuracin es activar el tnel dividido. Esta configuracin permite a los usuarios navegar
por Internet sin necesidad de enviar trfico de Internet a travs del tnel VPN. El tnel dividido mejora el
desempeo de red, pero disminuye la seguridad debido a que las polticas creadas no son aplicadas al
trfico de Internet. Si usa el tnel dividido, recomendamos que cada equipo cliente tenga un firewall de
software.
Configuracin de VPN de ruta predeterminada para Mobile VPN
with PPTP
En Windows Vista, XP y 2000, la configuracin predeterminada para una conexin PPTP es default-route
(ruta predeterminada). Firebox debe estar configurado con NAT dinmica para recibir el trfico desde un
usuario de PPTP. Cualquier poltica que administre trfico hacia Internet desde detrs del dispositivo
WatchGuard debe estar configurada para permitir el trfico del usuario de PPTP.
Cuando configura la VPN de ruta predeterminada:
n Asegrese de que las direcciones IP que ha agregado al conjunto de direcciones PPTP estn
incluidas en la configuracin de NAT dinmica en el dispositivo WatchGuard.
Desde el Administrador de la poltica, seleccione Red > NAT.
n Modifique la configuracin de la poltica para permitir conexiones desde el grupo de usuarios de
PPTP a travs de la interfaz externa.
Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de PPTP
a la poltica de proxy que est configurada con WebBlocker activado.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 893
ConfiguracindeVPNdetnel divididoparaMobileVPNwith
PPTP
En la computadora cliente, edite las propiedades de conexin de PPTP para que no enven todo el trfico a
travs de la VPN.
1. Para Windows Vista, XP o 2000, ingrese en Panel de control> Conexiones de red y haga clic con el
botn derecho en la conexin VPN.
2. Seleccione Propiedades.
Aparece el cuadro de dilogo de propiedades de VPN.
3. Seleccione la pestaa Red .
4. Seleccione Protocolo de Internet (TCP/IP) en el men y haga clic en Propiedades.
Aparece el cuadro de dilogo "Protocolo de internet (TCP/IP)".
5. En la pestaa General , haga clic en Avanzada.
Aparece el cuadro de dilogo Configuracin avanzada de TCP/IP.
6. Windows XP y Windows 2000: en la pestaa General (XP y Windows 2000), desmarque la casilla de
verificacin Usar puerta de enlace predeterminada en red remota.
Windows Vista: en la pestaa Configuracin (XP y Windows 2000), desmarque la casilla de
verificacin Usar puerta de enlace predeterminada en red remota.
Configurar polticas para controlar el acceso del
cliente Mobile VPN con PPTP
Los usuarios de Mobile VPN con PPTP no tienen privilegios de acceso a travs de un dispositivo WatchGuard
en forma predeterminada. Debe configurar las polticas para permitir que los usuarios de PPTP accedan a
recursos de red. Puede agregar polticas nuevas o editar las polticas existentes.
Antes de configurar la poltica de acceso de PPTP, debe activar Mobile VPN with PPTP. Para obtener
instrucciones, vea Configurar Mobile VPN with PPTP en la pgina 884. Cuando se activa Mobile VPN para
PPTP, el Policy Manager crea el grupo Usuarios de PPTP que se usa en la poltica de acceso de PPTP.
Nota Si se asignan direcciones IP desde una red de confianza a usuarios de PPTP, el
trfico desde el usuario de PPTP no se considera de confianza. De manera
predeterminada, todo trfico de Mobile VPN con PPTP no es de confianza. Por este
motivo, debe crear las polticas para permitir que los usuarios de PPTP accedan a
recursos de red.
Permitir a los usuarios de PPTP acceder a una red de confianza
En este ejemplo, se agrega la opcin Cualquier poltica para permitir a todos los miembros del grupo de
usuarios de PPTP el acceso total a los recursos en todas las redes de confianza.
1. En el Administrador de la poltica, haga clic en la barra de herramientas del Administrador de la
poltica.
2. Haga clic en el cono del signo ms (+) para ampliar la lista de Filtrados de paquetes.
Aparece una lista de plantillas para filtrados de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar.
Se abre el cuadro de dilogo Nuevas propiedades de polticas.
4. En el campo Nombre ingrese un nombre para la poltica
Elija un nombre que le ayude a identificar esta poltica en su configuracin.
5. En la pestaa Poltica, en la seccin Desde , haga clic en Agregar.
Se abre el cuadro de dilogo Agregar direccin.
6. En el rea Miembros y direcciones seleccionados, seleccione Cualquiera de confianza y haga clic en
Remover.
Se abre el cuadro de dilogo Agregar usuarios o grupos autorizados.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 895
8. En la primera lista desplegable Tipo, seleccione PPTP.
9. En la segunda lista desplegable Tipo, seleccione Grupo.
10. En la ventana Grupos, seleccione Usuarios de PPTP y haga clic en Seleccionar.
Usuarios de PPTP aparece como el nombre del mtodo de autenticacin entre parntesis.
12. En el cuadro de dilogo Nuevas propiedades de polticas, en la seccin Hasta, haga clic en Agregar.
13. En la lista Miembros y direcciones seleccionados , seleccione Cualquiera externo y haga clic en
Remover.
14. En la lista Miembros disponibles, seleccione Cualquiera de confianza y haga clic en Agregar.
Cualquiera de confianza aparece en la ventana Miembros y direcciones seleccionados.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 897
16. Haga clic en OK para cerrar el cuadro de dilogo Nuevas propiedades de polticas.
18. Guarde los cambios.
Para ms informaciones acerca de polticas, vea Agregar polticas en la configuracin en la pgina 342.
Usar otros grupos o usuarios en una poltica de PPTP
Los usuarios deben ser miembros del grupo Usuarios de PPTP para realizar una conexin PPTP. Cuando se
configura una poltica para otorgar acceso a los usuarios de PPTP a recursos de red, se puede usar el
nombre de usuario individual o cualquier otro grupo del que el usuario sea miembro.
Para seleccionar un usuario o grupo distinto de Usuarios de PPTP:
1. Enel Administrador de lapoltica, hagadoble clic enlapolticaalaque deseaagregar el usuarioogrupo.
2. En la pestaa Poltica, haga clic en Agregar en el rea Desde.
4. En la primera lista desplegable Tipo, seleccione PPTP.
5. En la segunda lista desplegable Tipo, seleccione Usuario o Grupo.
6. Seleccione el usuario o grupo que desea agregar y haga clic en Seleccionar.
El usuario o grupo seleccionado aparece en el cuadro de dilogo Agregar direccin en la ventana Miembros y
direcciones seleccionados.
8. Haga clic en OK para cerrar el cuadro de dilogo Nuevas propiedades de polticas.
Para obtener ms informacin sobre cmo utilizar usuarios y grupos en polticas, consulte Use los usuarios y
grupos autorizados en polticas en la pgina 331.
Preparar computadoras cliente para PPTP
Antes de poder usar las computadoras clientes como host remotos de Mobile VPN con PPTP, primero se
debe preparar el acceso a Internet en cada computadora. Luego, puede usar las instrucciones en las
siguientes secciones para:
n Instalar la versin necesaria del Acceso telefnico a redes de Microsoft y los paquetes de servicio
necesarios.
n Preparar el sistema operativo para conexiones de VPN.
n Instalar un adaptador de VPN (no es necesario en todos los sistemas operativos).
Preparar una computadora cliente con Windows NT o 2000:
Instalar MSDUN y los paquetes de servicio
A veces es necesario instalar estas opciones para la configuracin correcta de Mobile VPN con PPTP en
Windows NT y 2000:
n Actualizaciones de MSDUN (Acceso telefnico a redes)
n Otras extensiones
n Paquetes de servicio
Para Mobile VPN with PPTP, deben tenerse instaladas las siguientes actualizaciones:
Cifrado Plataforma Aplicacin
Base Windows NT SP4 de 40bits
Alta seguridad Windows NT SP4 de 128bits
Base Windows 2000 SP2* de 40bits
Alta seguridad Windows 2000 SP2* de 128bits
El cifrado de 40bits es la configuracin predeterminada en Windows 2000. Si realiza la actualizacin desde
Windows 98 con cifrado de alta seguridad, Windows 2000 automticamente establece el cifrado de alta
seguridad para la nueva instalacin.
Para instalar estas actualizaciones o paquetes de servicio, ingrese al sitio web del Centro de descargas de
Microsoft en:
http://www.microsoft.com/downloads/
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 899
Los pasos para configurar y establecer una conexin PPTP son diferentes para cada versin de Microsoft
Windows.
Para establecer una conexin PPTP en Windows Vista, consulte: Crear y conectar una Mobile VPN with
PPTP para Windows Vista en la pgina 899
Para establecer una conexin PPTP en Windows XP, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows XP en la pgina 900
Para establecer una conexin PPTP en Windows 2000, consulte: Cree y conecte una Mobile VPN with PPTP
para Windows 2000 en la pgina 901
Crear y conectar una Mobile VPN with PPTP para Windows Vista
Crear una conexin PPTP
Para preparar una computadora cliente con Windows Vista, debe configurar la conexin PPTP en la
configuracin de red.
1. Desde el men Inicio de Windows, seleccione Configuracin> Panel de control.
El men Inicio en Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Haga clic en Red e Internet.
Aparece el Centro de redes y recursos compartidos.
3. En la columna de la izquierda, debajo de Tareas, haga clic en Conectarse a una red.
Se inicia el asistente de conexin nueva.
4. Seleccione Conectarse a un lugar de trabajo y haga clic en Siguiente.
Aparece el cuadro de dilogo Conectarse a un lugar de trabajo.
5. Seleccione No, crear una conexin nueva y haga clic en Siguiente.
Aparece el cuadro de dilogo Cmo desea conectarse.
6. Haga clic en Usar mi conexin a Internet (VPN).
Aparece el cuadro de dilogo Ingrese la direccin de Internet a la que se conectar.
7. Ingrese el nombre del host o la direccin IP de la interfaz externa de Firebox en el campo Direccin
de Internet.
8. Ingrese un nombre para la Mobile VPN (como "PPTP para Firebox") en el cuadro de texto Nombre
de destino.
9. Seleccione si desea que otras personas puedan usar esta conexin.
10. Seleccione la casilla de verificacin No conectarse ahora; configurar para poder conectarse ms
tarde para que la computadora cliente no intente conectarse en este momento.
Aparece el cuadro de dilogo Ingrese su nombre de usuario y contrasea.
12. Ingrese el Nombre de usuario y la contrasea para este cliente.
13. Haga clic en Crear.
Aparece el cuadro de dilogo La conexin est lista para usar.
14. Para probar la conexin, haga clic en Conectarse ahora.
Establecer la conexin PPTP
Para conectar una computadora cliente con Windows Vista reemplace [nombre de la conexin] con el
nombre real que us para configurar la conexin PPTP. El nombre de usuario y la contrasea se refiere a
uno de los usuarios que agreg al grupo de usuarios de PPTP. Para ms informaciones, vea Agregar nuevos
usuarios al grupo de usuarios de PPTP en la pgina 889.
Asegrese de tener una conexin activa a Internet antes de comenzar.
1. Haga clic en Inicio > Configuracin > Conexiones de red > [nombre de la conexin]
El botn de Inicio de Windows Vista se encuentra en el extremo inferior izquierdo de la pantalla.
2. Ingrese el nombre de usuario y la contrasea para la conexin y haga clic en Conectar.
3. La primera vez que se conecta, debe seleccionar una ubicacin de red. Seleccione Ubicacin
pblica.
Cree y conecte una Mobile VPN with PPTP para Windows XP
Para preparar una computadora cliente con Windows XP, debe configurar la conexin PPTP en la
configuracin de red.
Cree la Mobile VPN with PPTP
Desde el escritorio de Windows de la computadora cliente:
1. Desde el men Inicio de Windows, seleccione Panel de control> Conexiones de red.
2. Haga clic en Crear una conexin nueva en el men de la izquierda.
O bien, haga clic en Asistente de conexin nueva en la vista clsica de Windows.
Aparece el asistente de conexin nueva.
4. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
5. Seleccione Conexin de red privada virtual y haga clic en Siguiente.
6. Ingrese un nombre para la conexin nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
7. Seleccione si Windows asegura que la red pblica est conectada:
n Paraunaconexindebandaancha,seleccioneNomarcarlaconexininicial.
O
n Para una conexin por mdem, seleccione Marcar automticamente esta conexin inicial y
luego seleccione un nombre de conexin dentro de la lista desplegable.
Aparece la pantalla de Seleccin del Servidor VPN. El asistente incluye esta pantalla si usa Windows XP SP2. No
todos los usuarios de Windows XP ven esta pantalla.
9. Ingrese el nombre de host o la direccin IP de la interfaz externa de Firebox y haga clic en Siguiente.
Aparece la pantalla de Tarjeta inteligente.
10. Seleccione si usar la tarjeta inteligente con este perfil de conexin y haga clic enSiguiente.
Aparece la pantalla Disponibilidad de conexin.
11. Seleccione quin puede usar este perfil de conexin y haga clic en Siguiente.
12. Seleccione Agregar un acceso directo a esta conexin en mi escritorio.
Mobile VPN con PPTP
Mobile VPN con PPTP
Gua del Usuario 901
Conectarse con la Mobile VPN with PPTP
1. Inicie la conexina Internet a travs de lared telefnicao directamente a travs de unaLAN oWAN.
2. Haga doble clic en el acceso directo a la conexin nueva en su escritorio.
O bien, seleccione Panel de control> Conexiones de red y seleccione su conexin nueva desde la
lista de red privada virtual.
3. Ingrese el nombre de usuario y la frase de contrasea para la conexin.
Para obtener ms informacin acerca del nombre de usuario y la frase de contrasea, consulte
Agregar nuevos usuarios al grupo de usuarios de PPTP en la pgina 889.
4. Haga clic en Conectar.
Cree y conecte una Mobile VPN with PPTP para Windows 2000
Parapreparar unhost remotoconWindows2000, debeconfigurar laconexinPPTPenlaconfiguracindered.
Cree la Mobile VPN with PPTP
Desde el escritorio de Windows de la computadora cliente:
1. Desde el men Inicio de Windows, seleccione Configuracin> Conexiones de red> Crear una
conexin nueva.
Aparece el asistente de conexin nueva.
3. Seleccione Conectarse a la red desde su lugar de trabajo y haga clic en Siguiente.
4. Haga clic en Conexin de red privada virtual.
5. Ingrese un nombre para la conexin nueva (como "Conectarse con Mobile VPN") y haga clic en
Siguiente.
6. Seleccione no marcar (para conexin de banda ancha) o marcar esta conexin en forma automtica
(para conexin con mdem) y haga clic en Siguiente.
7. Ingrese el nombre de host o ladireccin IP de lainterfaz externade Firebox y hagaclic enSiguiente.
8. Seleccione Agregar acceso directo a esta conexin en mi escritorio y haga clic en Finalizar.
Conectarse con la Mobile VPN with PPTP
1. Inicie la conexin a Internet a travs de la red telefnica o conctese directamente a travs de una
LAN o WAN.
2. Haga doble clic en el acceso directo a la conexin nueva en su escritorio.
O bien, seleccione Panel de control> Conexiones de red y seleccione su conexin nueva desde la
lista de red privada virtual.
3. Ingrese el nombre de usuario y la frase de contrasea para la conexin.
Para obtener ms informacin acerca del nombre de usuario y la frase de contrasea, consulte
Agregar nuevos usuarios al grupo de usuarios de PPTP en la pgina 889.
Realizar conexiones PPTP salientes desde detrs
de un Firebox
Si es necesario, puede realizar una conexin PPTP a un Firebox desde detrs de un Firebox diferente. Por
ejemplo, uno de los usuarios remotos va a la oficina de un cliente que tiene un Firebox. El usuario puede
conectarse a su red con una conexin PPTP. Para que el Firebox local permita la conexin PPTP saliente en
forma correcta, agregue la poltica de PPTP y permita el trfico desde la red en la que se encuentra el
usuario al alias Any-External (cualquiera externo).
Para agregar una poltica, consulte Agregar polticas en la configuracin en la pgina 342.
Mobile VPN con PPTP
Gua del Usuario 903
29
Mobile VPN con IPSec
Acerca del Mobile VPN con IPSec
El Mobile VPN with IPSec es una aplicacin de software cliente instalada en un equipo remoto. El cliente
hace una conexin segura desde el equipo remoto hacia su red protegida a travs de una red desprotegida,
tal como la Internet. El cliente Mobile VPN usa la Seguridad de Protocolo de Internet (IPSec) para proteger
la conexin.
Esos tpicos incluyen instrucciones para ayudar a configurar un tnel Mobile VPN entre el cliente de
Mobile VPN con IPSec y un dispositivo WatchGuard con Fireware XTMinstalado.
Configurar una conexin de Mobile VPN con IPSec
Puede configurar el dispositivo WatchGuard para que funcione como un extremo para los tneles Mobile
VPN con IPSec.
En el Policy Manager, seleccione VPN>Mobile VPN> IPSec.
El usuario debe ser un miembro de un grupo de Mobile VPN para poder establecer una conexin de
Mobile VPN con IPSec. Se crea el grupo Mobile VPN con Asistente para Agregar Mobile VPN with IPSec.
Cuando el asistente termina, el Policy Manager hace dos cosas:
n Guarda un perfil de usuario final (archivo .wgx) en el equipo de estacin de administracin que cre
la cuenta de Mobile VPN. El usuario debe tener ese archivo .wgx para configurar el equipo cliente
de Mobile VPN. Si usa un certificado para autenticacin, se generan los archivos .p12 y cacert.pem.
Esos archivos pueden ser encontrados en la misma ubicacin que el perfil de usuario final de .wgx.
n Automticamente agrega una poltica Cualquiera a la pestaa Mobile VPN que permite que el
trfico pase desde y hacia el usuario autenticado de Mobile VPN.
Para restringir el acceso del cliente Mobile VPN, elimine la poltica Cualquiera y aada polticas al Mobile
VPN with IPSec que permitan el acceso a recursos. Para instrucciones acerca de cmo agregar polticas,
vea Acerca del Policy Manager en la pgina 336.
Cuando el dispositivo WatchGuard est configurado, el equipo cliente debe ser configurado con el software
cliente Mobile VPN con IPSec. Para ms informacin acerca de cmo instalar el software cliente Mobile
VPN con IPSec, vea Instalar el software cliente de Mobile VPN con IPSec en la pgina 932.
Cuando el equipo del usuario est correctamente configurado, el usuario hace la configuracin de Mobile
VPN. Si las credenciales usadas para la autenticacin coinciden con una entrada en la base de datos de
usuarios del dispositivo WatchGuard, y si el usuario est en el grupo Mobile VPN creado, la sesin Mobile
VPN es autenticada.
Requisitos del sistema
Antes de configurar su dispositivo WatchGuard para Mobile VPN with IPSec, asegrese de comprender los
requisitos del sistema para la computadora de administracin de WatchGuard y la computadora del cliente
usuario mvil.
WatchGuard System Manager con cifrado de alta seguridad
Debido a que se aplican estrictas restricciones de exportacin en el software de alto cifrado,
WatchGuard System Manager se ofrece con dos niveles de cifrado. Para generar un perfil de usuario
final para Mobile VPN with IPSec, debe asegurarse de configurar su dispositivo WatchGuard con el
WatchGuard System Manager con cifrado de alta seguridad. El estndar IPSec requiere un cifrado
mnimo de 56bits. Para ms informaciones, vea Instale el software WatchGuard System Manager en
la pgina 22.
Computadora del cliente usuario mvil
Puede instalar el Mobile VPN con software cliente IPSec en cualquier computadora con Windows
2000 Professional, Windows XP (32bits y 64bits) o Windows Vista (32bits y 64-bits). Antes de
instalar el software cliente, asegrese de que el equipo remoto no tenga un software cliente Mobile
User VPN de IPSec instalado. Tambin debe desinstalar cualquier software de firewall de escritorio
(que no sea el software de firewall de Microsoft) de cada equipo remoto. Para ms informaciones,
vea Requisitos del cliente en la pgina 932.
Nota Slo necesita usar WatchGuard System Manager si desea distribuir el perfil de
usuario final como archivo cifrado (.wgx). Se recomienda esta accin. Puede usar
la Fireware XTMWeb UI para configurar el Mobile VPN with IPSec y generar el
perfil de usuario final sin cifrar (.ini). Para obtener ms informacin sobre los dos
tipos de archivos de configuracin de perfil de usuario final, consulte Acerca de
archivos de configuracin de cliente MobileVPN en la pgina 905.
Opciones de acceso a Internet a travs de un tnel de Mobile
VPN con IPSec
Puede permitir que los usuarios remotos accedan a Internet a travs de un tnel de Mobile VPN. Esa
opcin afecta su seguridad porque el trfico de Internet no es filtrado ni cifrado. Tiene dos opciones de
rutas de tnel de Mobile VPN: la VPN de ruta predeterminada y la VPN de tnel dividido.
Gua del Usuario 905
VPN de ruta predeterminada
La opcin ms segura es requerir que todo el trfico de Internet del usuario remoto sea enrutado a travs
del tnel VPN hacia el Firebox. Desde el Firebox, el trfico luego es enviado de vuelta a Internet. Con esa
configuracin (conocida como VPN de ruta predeterminada), el Firebox puede examinar todo el trfico y
ofrecer mayor seguridad, aunque se use ms potencia de procesamiento y ancho de banda. Al usar una
VPN de ruta predeterminada, una poltica de NAT dinmica debe incluir el trfico saliente de la red remota.
Eso permite que usuarios remotos naveguen en Internet cuando envan todo el trfico hacia el Firebox.
Para ms informacin acerca de NAT dinmica, vea Agregar firewall a entradas de NAT dinmicas en la
pgina 162.
Dividir VPN de tnel
Otra opcin de configuracin es activar el tnel dividido. Esa configuracin permite que los usuarios
naveguen por Internet normalmente. El tnel dividido disminuye la seguridad porque las polticas de
Firebox no son aplicadas al trfico de Internet, pero el desempeo aumenta. Si usa el tnel dividido, sus
equipos clientes deberan tener un firewall de software.
Acerca de archivos de configuracin de cliente MobileVPN
Con Mobile VPN with IPSec, el administrador de seguridad de red controla los perfiles del usuario final. El
Policy Manager es usado para crear el grupo de Mobile VPN con IPSec y crear un perfil de usuario final, con
la extensin .wgx o .imi. Los archivos .wgx e .ini contienen la clave compartida, identificacin del usuario,
direcciones IP y configuraciones usadas para crear un tnel seguro entre el equipo remoto y el dispositivo
WatchGuard.
El archivo .wgx est cifrado con una frase de contrasea con ocho caracteres de extensin o ms. Tanto el
administrador como el usuario remoto deben conocer esa frase de contrasea. Cuando usa el software
cliente de Mobile VPN con IPSec para importar el archivo .wgx, la frase de contrasea es usada para
descifrar el archivo y configurar el cliente. El archivo .wgx no configura la Administracin de Lnea.
El archivo de configuracin .ini no est cifrado. Slo debe ser usado si la configuracin de Administracin
de Lnea fue alterada para algo diferente de Manual. Para ms informacin, vea Administracin de Lnea
en la pestaa Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la pgina 913.
Despus de usar el asistente para Agregar VPN de usuario mvil, puede crear o recrear un archivo .wgx en
cualquier momento. Para ms informaciones, vea Archivos de configuracin de Mobile VPN con IPSec en la
pgina 926
Si desea bloquear los perfiles para usuarios mviles, puede convertirlos en solo lectura. Para ms
informaciones, vea Bloquear un perfil del usuario final en la pgina 925.
Configurar el Firebox para Mobile VPN with IPSec
Puede activar el Mobile VPN with IPSec para un grupo de usuarios creado, o puede crear un nuevo grupo
de usuarios. Los usuarios en el grupo pueden autenticarse sea en el Firebox o en un servidor de
autenticacin de terceros incluido en su configuracin del Firebox.
Para ms informacin acerca de cmo aadir usuarios a un grupo para autenticacin local de Firebox, vea
Agregar usuarios a un grupo de Mobile VPN de Firebox en la pgina 911. Si usa un servidor de autenticacin
de terceros, siga las instrucciones ofrecidas en la documentacin del fabricante.
Aparece el cuadro de dilogo de "Configuracin de Mobile VPN con IPSec".
Aparece el Asistente de Agregar VPN de usuario mvil con IPSec.
Gua del Usuario 907
Aparece la pantalla "Seleccionar un servidor de autenticacin de usuario".
4. En la lista desplegable Servidor de autenticacin, seleccione un servidor de autenticacin.
Puede autenticar usuarios al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o
Active Directory Server. Asegrese de que ese mtodo de autenticacin est activado en el Policy
Manager. Seleccione Configurar > Autenticacin > Servidores de Autenticacin para ver esas
configuraciones.
5. En el campo Nombre de grupo, ingrese el nombre del grupo.
Puede ingresar el nombre de un grupo Mobile VPN ya creado o insertar un nombre de grupo para
un nuevo grupo de Mobile VPN. Asegrese que el nombre es exclusivo entre los nombres de grupo
de VPN, as como todos los nombres de tneles VPN e interfaces.
Nota El Nombre de Grupo seleccionado aqu debe coincidir con el nombre de grupo
Para ms informacin acerca de autenticacin de grupo de VPN, vea Tipos de autenticacin de
Aparece la pantalla "Seleccionar un mtodo de autenticacin de tnel".
7. Seleccione una opcin para autenticacin de tnel:
n Usar esa frase de contrasea
Ingresar y confirmar la frase de contrasea.
n Usar un certificado RSA emitido por su WatchGuard Management Server
Ingresar la Direccin IP de su Management Server y la Frase de contrasea de Administracin.
Aparece la pantalla "Dirigir flujo de trfico de Internet".
Gua del Usuario 909
9. Seleccione una opcin para trfico de Internet:
n No, permitir que el trfico de Internet vaya directamente al ISP de los usuarios mviles.
(Tnel dividido)
n S, forzar todo el trfico de Internet para que fluya a travs del tnel.
(VPN de ruta predeterminada)
Para ms informacin acerca de tnel dividido y VPN de ruta predeterminada, vea Opciones de
acceso a Internet a travs de un tnel de Mobile VPN con IPSec en la pgina 904.
Aparece la pantalla "Identifique los recursos accesible a travs del tnel".
11. Haga clic en Agregar para especificar el host y las direcciones IP de red a las cuales los usuarios
puede conectarse a travs del tnel VPN.
Aparece la pantalla "Crear conjunto de direcciones IP virtuales".
13. Haga clic en Agregar para agregar una direccin IP o un rango de direcciones IP.
Para aadir ms direcciones IP virtuales, repita esos pasos.
Se asigna una de esas direcciones IP a los usuarios de Mobile VPN cuando se conectan a la red. El
nmero de direcciones IP debera ser mesmo que el nmero de usuarios de Mobile VPN. Si la Alta
disponibilidad est configurada, debe aadir dos direcciones IP virtuales para cada usuario de Mobile
VPN. Las direcciones IP no pueden ser usadas para nada ms en la red.
Aparece la pantalla "El asistente para agregar Mobile VPN with IPSec ha concluido con xito".
Gua del Usuario 911
El archivo de configuracin del usuario final del grupo de Mobile VPN con IPSec est disponible en la
ubicacin especificada en esta pantalla.
15. Para aadir usuarios al nuevo grupo de Mobile VPN con IPSec, selecciona la casilla de verificacin
Agregar usuarios a.
Configurar el servidor de autenticacin externo
Si crea un grupo de usuarios Mobile VPN que se autentica en un servidor externo, asegrese de crear un
grupo en el servidor que tenga el mismo nombre que se aadi al asistente para el grupo Mobile VPN.
Si usa Active Directory como su servidor de autenticacin, los usuarios deben pertenecer a un grupo de
seguridad de Active Directory con el mismo nombre que el nombre de grupo configurado para Mobile VPN
with IPSec.
Para RADIUS, VASCO o SecurID, asegrese de que el servidor RADIUS enva un atributo Filtro-Id (atributo 11
de RADIUS) cuando un usuario se autentica con xito, para informar al Firebox a qu grupo el usuario
pertenece. El valor para el atributo Filtro-Id debe coincidir con el nombre del grupo de Mobile VPN, tal
como aparece en el Policy Manager. Todos los usuarios de Mobile VPN que se autentiquen en el servidor
deben pertenecer a ese grupo.
Agregar usuarios a un grupo de Mobile VPN de Firebox
Para crear un tnel de Mobile VPN con el Firebox, los usuarios remotos ingresan su nombre de usuario y
contrasea para autenticarse. El WatchGuard System Manager usa esa informacin para autenticar el
usuario en el Firebox.
Para autenticarse, los usuarios deben formar parte del grupo creado en el Asistente para agregar VPN de
usuario mvil. Si usa la autenticacin de Firebox, use las instrucciones abajo. Si usa un servidor de
autenticacin de terceros, use las instrucciones en la documentacin de su proveedor.
Para ms informacin acerca de grupos Firebox, vea Tipos de autenticacin de Firebox en la pgina 305.
2. Seleccione la pestaa Firebox.
3. Para agregar un nuevo usuario, haga clic en el botn Agregar abajo de la lista Usuarios.
Gua del Usuario 913
4. Ingrese un nombre de usuario y una frase de contrasea para el nuevo usuario. La contrasea debe
tener al menos ocho caracteres. Ingrese la frase de contrasea nuevamente para confirmarla.
La descripcin no es obligatoria. No altere los valores para tiempo de espera de sesin y tiempo de espera
inactivo, excepto que sea necesario.
5. En el rea Grupos de autenticacin de Firebox , seleccione el nombre de grupo y haga clic en las
flechas horizontales para hacer que el nuevo usuario sea miembro del grupo creado en el asistente.
6. Haga clic en OK.
Aparece el nuevo usuario en la lista Usuarios en el cuadro de dilogo "Servidores de autenticacin". El cuadro
de dilogo se mantiene abierto para que pueda aadir ms usuarios, si lo quiere.
7. Para cerrar el cuadro de dilogo Servidores de autenticacin, haga clic en Aceptar.
Modificar un perfil de grupo existente de Mobile VPNcon IPSec
Despus de usar el asistente de VPN de usuario mvil para crear un nuevo archivo .wgx, puede editar el
perfil para:
n Cambiar la clave compartida
n Agregar acceso a ms hosts y redes
n Restringir acceso a un nico destination port, puerto de origen o protocolo
n Cambiar las configuraciones de Fase 1 y Fase 2.
Para modificar un perfil de grupo de Mobile VPN con IPSec:
2. Seleccione el grupo que desea cambiar en la lista.
Aparece el cuadro de dilogo de "Editar Mobile VPN with IPSec".
Gua del Usuario 915
4. Use los siguientes campos en la pestaa General para editar el perfil del grupo:
Servidor de autenticacin
Seleccione el autenticacin que usar para ese grupo de Mobile VPN. Puede autenticar usuarios
con la base de datos interna de Firebox (Firebox-DB) o con un servidor RADIUS, VASCO,
SecurID, LDAP o Active Directory Server.
Para configurar su servidor de autenticacin, seleccione Configurar > Autenticacin >
Servidores de autenticacin en la barra del men en el Policy Manager.
frases de contrasea
Ingrese una frase de contrasea para cifrar el perfil de Mobile VPN (archivo .wgx) que
dinstribuye en ese grupo. La clave compartida puede contener slo caracteres ASCII
estndares. Si usa un certificado para autenticacin, ese es el PIN para el certificado.
Confirmar
Ingrese la frase de contrasea nuevamente.
Principal
Seleccione o ingrese la direccin IP externa principal o dominio al cual los usuarios de Mobile
VPN en ese grupo pueden conectarse.
Resguardo
Seleccione o ingrese la direccin IP externa de resguardo o dominio al cual los usuarios de
Mobile VPN en ese grupo pueden conectarse. Esa direccin IP de resguardo es opcional. Si
aade una direccin IP de resguardo, asegrese de que sea una direccin IP asignada a una
interfaz externa de Firebox.
Sesin
Seleccione el tiempo mximo en minutos por el cual una sesin de Mobile VPN puede estar
activa.
Inactivo
Seleccione el tiempo en minutos antes que el Firebox cierre una sesin ociosa de Mobile VPN.
Los valores de tiempo de espera inactivo y sesin son predeterminados si el servidor de
autenticacin no usa configuraciones diferentes. Si usa el Firebox como servidor de
autenticacin, debe definir los tiempos de espera en las cuentas de usuario individuales de
Firebox.
La sesin y los tiempos de espera inactivos no pueden ser ms extensos que el valor en el
campo de Duracin de SA. Para definir ese campo, en la pestaa Tnel IPSec del cuadro de
dilogo Editar Grupo de Autenticacin Extendido de MUVPN, haga clic en Avanzado. El valor
predeterminado es de 8 horas.
5. Haga clic en la pestaa Tnel IPSec.
Gua del Usuario 917
6. Editar las configuraciones de la pestaa Tnel IPSec:
Use la frase de contrasea del perfil de usuario final como la clave precompartida
Seleccione esa configuracin para usar la frase de contrasea del perfil del usuario final como
la clave precompartida para la autenticacin de tnel. Debe usar la misma clave compartida en
el dispositivo remoto. Use solamente caracteres ASCII estndares en la clave compartida.
Usar un certificado
Seleccione esa opcin para usar un certificado para autenticacin de tnel.
Para ms informaciones, vea Use certificados autenticados para el tnel VPN Mobile con IPSec
en la pgina 792.
Direccin IP de CA
(Ese campo aparece solo si elige usar un certificado)
Ingrese la direccin IP del Management Server que est configurado como autoridad de
certificacin.
Tiempo de espera
(Ese campo aparece solo si elige usar un certificado)
Ingrese el tiempo en segundos antes que el tiempo de espera de la solicitud de autoridad de
certificacin se agote.
Configuracin de Fase1
Seleccione los mtodos de autenticacin y cifrado para los tneles de Mobile VPN.
Para realizar configuraciones avanzadas, tal como NAT Traversal o grupo de clave, haga clic en
el botn Avanzado y vea el procedimiento descrito en Definir configuraciones avanzadas de
Fase 1 en la pgina 921. Las opciones de Cifrado estn en la lista en orden del ms simple y
menos seguro al ms complejo y ms seguro.
DES
3DES
AES (128 bits)
AES (192 bits)
AES (256 bit)
Configuracin de Fase2
Seleccione la configuracin de propuesta y caducidad de clave para el tnel de Mobile VPN.
Tambin puede activar Perfect Forward Secrecy (PFS) y definir el grupo Diffie-Hellman.
Para alterar otras configuraciones de propuesta, haga clic en el botn Propuesta y vea el
procedimiento descrito en Definir configuraciones avanzadas Configuraciones de Fase 2 en la
pgina 923.
7. Haga clic en la pestaa Recursos.
Gua del Usuario 919
8. Agregue o quite recursos de red permitidos y direcciones IP virtuales:
Lista de Recursos Permitidos
Esta lista muestra los recursos a los cuales los usuarios en el grupo pueden acceder en la red.
Para agregar una direccin IP del host o una direccin IP de red a la lista de recursos de red,
haga clic en Agregar.
Para eliminar la direccin IP del host o la direccin IP de red de la lista de recursos, seleccione
un recurso y haga clic en Remover.
Forzar todo el trfico a travs del tnel
Seleccione esa casilla para enviar todo el trfico de Internet de usuario de Mobile VPN a travs
del tnel VPN. Cuando esa opcin est seleccionada, el trfico de Internet del usuario de
Mobile VPN es enviado a travs de la VPN, pero los sitios web pueden ser ms lentos para esos
usuarios. Si no est seleccionado, el trfico de Internet de Mobile VPN no es examinado por las
polticas de Firebox, pero los usuarios pueden navegar por Internet ms rpidamente.
Conjunto de direcciones IP virtuales
Esa lista muestra las direcciones IP internas que son usadas por los usuarios de Mobile VPN por
el tnel. Esas direcciones solo son usadas cuando necesarias. Haga clic en Agregar para aadir
una direccin IP de host o un rango de direcciones IP de host al conjunto de direcciones IP
virtuales. Haga clic en Remover para quitar la direccin IP de host o un rango de direcciones IP
de host seleccionado del conjunto de direcciones IP virtuales.
10. Configurar la Administracin de Lnea:
Modo de conexin
Manual En ese modo, el cliente no intenta reiniciar el tnel VPN automticamente caso est
desactivado. Esa es la configuracin predeterminada.
Para reiniciar el tnel VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin, o
hacer clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
Automtico En ese modo, el cliente intenta iniciar la conexin cuando su equipo enva
trfico a un destino que puede alcanzar a travs de la VPN. El cliente tambin intenta reiniciar
el tnel VPN automticamente caso est desactivado.
Gua del Usuario 921
Variable En ese modo, el cliente intenta reiniciar el tnel VPN automticamente hasta que
se haga clic en Desconectar. Despus de desconectar, el cliente no intenta reiniciar el tnel
VPN nuevamente hasta que se haga clic en Conectar.
Tiempo de espera de inactividad
Si define el Modo de conexin Automtico o Variable, el software cliente de Mobile VPNwith
IPSec no intenta renegociar la conexin de VPN nuevamente por el tiempo especificado.
Nota Las configuraciones predeterminadas de Administracin de Lnea son Manual y 0
segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el
software cliente.
Se debe guardar la configuracin en el Firebox. Los usuarios finales que son miembros del grupo editado no
pueden conectarse hasta que reciban un nuevo archivo de configuracin y lo importen en el software
cliente Mobile VPN con IPSec. Se debe generar el archivo de configuracin y luego proveerlo a los usuarios
finales.
Para ms informaciones, vea Archivos de configuracin de Mobile VPN con IPSec en la pgina 926.
Definir configuraciones avanzadas de Fase 1
Puede definir las configuraciones avanzadas de Fase 1 para su perfil del usuario de Mobile VPN.
1. En la pestaa Tnel IPSec del cuadro de dilogo Editar Mobile VPN with IPSec, seleccione
Avanzado.
Aparece el cuadro de dilogo "Configuracin Avanzada de Fase 1".
2. Configure las opciones de su perfil. Recomendamos que use las configuraciones predeterminadas.
Duracin de SA
Seleccione una duracin de SA (asociacin de seguridad) y seleccione Hora o Minuto en la lista
desplegable. Cuando la SA caduca, se inicia una nueva negociacin de Fase 1. Una duracin
ms corta de SA es ms segura pero la negociacin de SA puede producir errores en las
conexiones existentes.
Grupo de claves
Seleccione un grupo Diffie-Hellman. Puede elegir entre los grupos 1, 2 y 5.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de
intercambio de claves. Cuanto ms alto sean los nmeros, mayor la seguridad, pero se usa ms
tiempo y recursos en el equipo cliente y el dispositivo WatchGuard debe generar las claves.
NAT Traversal
Seleccione esta casilla de verificacin para establecer un tnel de Mobile VPN entre el Firebox
y otro dispositivo que est detrs de un dispositivo NAT. La NAT Traversal, o la Encapsulacin de
UDP, permite que el trfico sea enrutado a los destinos correctos.
IKE keep-alive
Seleccione esta casilla de verificacin solo si este grupo se conecta a un dispositivo WatchGuard
ms antiguo y no soporta la Dead Peer Detection. Todos los dispositivos WatchGuard con
Fireware v9.x o inferior, Edge v8.x o inferior y todas las versiones del WFS no soportan la Dead
Peer Detection. Para esos dispositivos, seleccione esta casilla de verificacin para activar el
dispositivo WatchGuard para que enve mensajes a su punto IKE para mantener el tnel VPN
abierto. No seleccionar IKEkeep-alive y Deteccin de punto.
Intervalo de mensajes
Seleccione el nmero de segundos para el intervalo de mensajes de mantener conexin IKE.
Mx. de fallas
Estipule un nmero mximo de veces que el dispositivo WatchGuard espera una respuesta de
los mensajes de IKE keep-alive antes de terminar la conexin de VPN e iniciar nueva
negociacin de Fase 1.
Dead Peer Detection
Seleccione esta casilla de verificacin para activar la Dead Peer Detection (DPD). Su dispositivo
WatchGuard debe soportar la DPD. Todos los dispositivos WatchGuard con Fireware v10.x y
Edge v10.x o superior soportan la DPD. No seleccionar IKEkeep-alive y Deteccin de punto.
La DPD est basada en RFC 3706 y usa estndares de trfico de IPSec para determinar si una
conexin est activa antes que se enve un paquete. Cuando selecciona la DPD, el Firebox
intenta conectarse al punto cuando no se recibi trfico por el perodo de tiempo
seleccionado. Si la DPD determina que un punto no est disponible, no se hacen intentos
adicionales de conexin.
Tiempo de espera inactivo de trfico
Defina el nmero de segundos que el dispositivo WatchGuard espera antes de intentar
conectarse al punto.
Cantidad mxima de reintentos
Gua del Usuario 923
Defina el nmero mximo de veces sin recibir respuesta antes que el Firebox determine que la
conexin del punto no est disponible, termine la conexin de VPN e inicie nueva negociacin
de Fase 1.
3. Haga clic en OK.
Definir configuraciones avanzadas Configuraciones de Fase 2
Puede definir las configuraciones avanzadas de Fase 2 para su perfil del usuario de Mobile VPN.
1. En la pestaa Tnel IPSec del cuadro de dilogo Editar Mobile VPN with IPSec, seleccione
Propuesta.
Aparece el cuadro de dilogo Propuesta de Fase 2.
2. Configure las opciones de su perfil. Recomendamos que use las configuraciones predeterminadas.
Tipo
Las dos opciones de mtodo de propuesta son ESP o AH. Slo el ESP es compatible
actualmente.
Autenticacin
Seleccione en la lista desplegable SHA1 o MD5 como mtodo de autenticacin.
Cifrado
Seleccione un mtodo en lalista desplegable. Las opciones estn en la lista en orden de la ms
simple y menos segura a la ms compleja y ms segura.
n DES
n 3DES
n AES (128 bits)
n AES (192 bits)
n AES (256 bit)
Forzar Caducidad de Clave
Seleccione esa casilla de verificacin para regenerar los extremos de puerta de enlace e
intercambiar nuevas claves despus de un perodo de tiempo o despus que pase una cantidad
de trfico por la puerta de enlace.
En los campos abajo de Forzar caducidad de clave, seleccione una duracin y un nmero de
kilobytes despus de los cuales una clave caduca.
Si Forzar caducidad de clave est desactivado, o si est activado y la hora y el nmero de
kylobytes estn puestos en cero, el Firebox intenta usar la hora del caducidad de la clave
definida para el punto. Si sta tambin est desactivada o en cero, Firebox usa una hora
predeterminada de caducidad de clave de 8 horas. El tiempo mximo antes que una clave
caduque es de un ao.
3. Haga clic en OK.
Configurado servidores WINS y DNS
Los clientes de Mobile VPN dependen de direcciones compartidas de servidores Windows Internet Name
Service (WINS) y Sistema de domain name (DNS). DNS traduce los nombres de host en direcciones IP. WINS
determina los nombres NetBIOS en direcciones IP. Estos servidores deben ser accesibles desde la interfaz
de confianza Firebox.
Asegrese de utilizar slo un servidor DNS interno. No utilice servidores DNS externos.
1. Desde el Administrador de la poltica, seleccione Configuracin de > red.
2. Seleccione la pestaa WINS/DNS.
Aparece la informacin para los servidores WINS y DNS.
Gua del Usuario 925
3. Ingrese un domain name para el servidor DNS.
4. En los cuadros de texto Servidores DNS y Servidores WINS , ingrese las direcciones de los servidores
WINS y DNS.
5. Haga clic en OK.
Bloquear un perfil del usuario final
Puede bloquear el perfil del usuario final para que los usuarios puedan ver algunas configuraciones, pero no
alterarlas, y ocultar otras configuraciones para que los usuarios no puedan verlas ni alterarlas.
Recomendamos que bloquee todos los perfiles, para que los usuarios no puedan hacer alteraciones en sus
perfiles. Esa configuracin es para los archivos de perfil del usuario final .wgx. No se puede transformar los
archivos .ini de perfil del usuario final en solo lectura.
1. En el Policy Manager, seleccione VPN> Mobile VPN>IPSec.
2. Haga clic en Avanzado.
Aparece el cuadro de dilogo "Preferencias avanzadas de exportacin de archivos".
3. Para dar a los usuarios mviles acceso de solo lectura a sus perfiles, seleccione la casilla
Transformar la poltica de seguridad en solo lectura en el cliente de Mobile VPN.
4. Haga clic en OK.
Guardar el perfil en un Firebox
Para activar un nuevo Mobile VPN perfil del usuario, se debe guardar la configuracin en el Firebox.
Desde el Policy Manager , haga clic en .
O seleccione Archivo > Guardar > en Firebox.
Archivos de configuracin de Mobile VPN con IPSec
Para configurar el cliente Mobile VPN con IPSec, se importa un archivo de configuracin. El archivo de
configuracin tambin se llama perfil del usuario final. Hay dos tipos de archivos de configuracin.
.wgx
Los archivos .wgx son cifrados y pueden ser configurados para que el usuario mvil no pueda
cambiar las configuraciones en el software cliente Mobile VPN con IPSec. Para ms informaciones,
vea Bloquear un perfil del usuario final en la pgina 925. Un archivo .wgx no puede configurar la
Administracin de Lnea en el software cliente. Si configura la Administracin de Lnea en otro
modo que no sea Manual, debe usar un archivo de configuracin .ini.
.ini
El archivo .ini slo debe ser usado si la configuracin de Administracin de Lnea fue alterada para
algo diferente de Manual. Para ms informacin, vea Administracin de Lnea en la pestaa
Avanzado en Modificar un perfil de grupo existente de Mobile VPN con IPSec en la pgina 913. El
archivo de configuracin .ini no est cifrado.
Cuando configura un grupo Mobile VPN with IPSec por primera vez, o si hace un cambio en las
configuraciones de un grupo, debe generar el archivo de configuracin para el grupo y proveerlo a los
usuarios mviles. Archivos de configuracin o perfiles del Mobile VPN estn ubicados en:
C:\Documents and Settings\All Users\
Shared Watchguard\muvpn\ip_address\config_name\wgx\config_name.wgx
y
Gua del Usuario 927
C:\Documents and Settings\All Users\
Shared Watchguard\muvpn\ip_address\config_name\ini\config_name.ini
Si usa certificados para autenticacin, los archivos de certificado tambin son creados.
Para usar el Policy Manager para generar un archivo de perfil de usuario final para un grupo:
2. Seleccione el grupo Mobile VPN y haga clic en Generar.
Ahora puede distribuir el archivo de configuracin a los usuarios mviles.
Configurar polticas para filtrar trfico de Mobile VPN
En una configuracin predeterminada, los usuarios de Mobile VPN con IPSec tienen acceso completo a los
recursos de Firebox con la poltica Cualquiera. La poltica Cualquiera permite el trfico en todos los puertos
y protocolos entre el usuario de Mobile VPN y los recursos de red disponibles a travs del tnel Mobile
VPN. Para restringir el trfico del usuario de la VPN por puerto y protocolo, la poltica Cualquiera en la
pestaa Mobile VPN with IPSec puede ser eliminada y remplazada por polticas para restringir acceso.
Agregar polticas individuales
1. En el Policy Manager, haga clic en la pestaa Mobile VPN with IPSec.
2. En la lista desplegable Mostrar, seleccione el nombre del grupo de Mobile VPN para el cual desea
aadir una poltica. Debe seleccionar un grupo antes de aadir una poltica.
3. Agregar, editar y eliminar polticas, tal como se describe en Acerca de polticas en la pgina 335.
4. Guarde su archivo de configuracin en el Firebox despus de hacer esos cambios.
Cambiar la vista
Puede elegir ver la lista de polticas como iconos grandes o como una lista detallada.
n Para ver iconos grandes sin detalles, seleccione Ver >Iconos grandes.
n Para ver ms informacin en una lista detallada, seleccione Ver > Detalles.
En Grupo MVPN, el Policy Manager muestra el servidor de autenticacin para el grupo Mobile VPN
en parntesis.
Distribuir el software y los perfiles
WathGuard recomienda que distribuya los perfiles del usuario final a travs de correo electrnico cifrado u
otro mtodo seguro. Cada equipo cliente debe tener:
n Paquete de instalacin de software
El paquete de instalacin WatchGuard Mobile VPN with IPSec est ubicado en el sitio web de
LiveSecurity Service en:https://www.watchguard.com/archive/softwarecenter.asp
Para descargar el software, debe registrarse en el sitio con su nombre de usuario y contrasea de
LiveSecurity Service.
n El perfil de usuario final
Ese archivo contiene el nombre del grupo, la clave compartida y las configuraciones que permiten
que un equipo remoto se conecte con seguridad por Internet a una red privada y protegida. El perfil
de usuario final tiene el nombre de archivo nombregrupo.wgx. La ubicacin predetermina del
archivo .wgx es:
C:\Documents and Settings\All Users\Shared WatchGuard WatchGuard
\muvpn\<IP address of Firebox>\<Mobile VPN with IPsec nombre grupo\wgx
n Dos archivos de certificado, si usa certificados para autenticarse
Esos son el archivo .p12, que es un archivo cifrado con el certificado, y el cacert.pem, que contiene
el certificado raz (CA). Los archivos .p12 y cacert.pem pueden ser encontrados en la misma
ubicacin que el .wgx del perfil de usuario final.
n Documentacin del usuario
La documentacin para ayudar el usuario remoto a instalar el cliente de Mobile VPN e importar el
archivo de configuracin de Mobile VPN puede ser encontrada en los Acerca de archivos de
configuracin de cliente MobileVPN tpicos.
n Frases de contrasea
Paraimportar el perfil de usuariofinal, el usuariodebe ingresar unafrase de contrasea. Esaclave
descifrael archivoe importalapolticade seguridadenel cliente de Mobile VPN. Lafrase de
contraseaes definidacuandose creael grupoMobile VPNenel Policy Manager. Paracambiar laclave
compartida, veaModificar un perfil degrupo existentedeMobileVPNcon IPSec enlapgina913.
Nota La frase de contrasea, nombre de usuario y contrasea del perfil de usuario final
son informaciones altamente confidenciales. Por cuestiones de seguridad,
recomendamos que no ofrezca esa informacin por correo electrnico. Como el
correo electrnico no es seguro, un usuario no autorizado puede obtener la
informacin y conseguir el acceso a su red interna. Provea la informacin al
usuario contndola verbalmente o a travs de un mtodo que no permita que
personas no autorizadas la intercepten.
Gua del Usuario 929
Tpicos adicionales de Mobile VPN
Esa seccin describe los tpicos especiales para Mobile VPN with IPSec.
Estableciendo conexiones salientes de IPSec detrs de un Firebox
Un usuario puede tener que hacer conexiones de IPSec hacia un Firebox detrs de otro Firebox. Por
ejemplo, si un empleado mvil viaja al local del cliente que tiene un Firebox, l puede hacer conexiones de
IPSec hacia su red. Para que el Firebox local administre correctamente la conexin saliente de IPSec, debe
configurar una poltica de IPSec que incluya el filtro de paquetes de IPSec.
Para ms informacin acerca de cmo activar polticas, vea Acerca de polticas en la pgina 335.
Como la poltica de IPSec activa un tnel para el servidor de IPSec y no realiza ninguna verificacin de
seguridad en el firewall, agregue a esa poltica slo los usuarios en los que confa.
Terminar conexiones de IPSec
Para detener completamente las conexiones de VPN, el Firebox debe ser reiniciado. Las conexiones
actuales no se detienen cuando quita la poltica de IPSec.
Las configuraciones de VPN Global en su Firebox se aplican a todos los tneles BOVPN, tneles
administrados y tneles de Mobile VPN. Puede usar esas configuraciones para:
n Activar puerto de transferencia IPSec.
n Limpie o mantennga las configuraciones de paquetes con conjunto de sealadores de Tipo de
Servicio (TOS).
n Usar un servidor de LDAP para verificar los certificados.
Para cambiar esa configuracin, en el Policy Manager, seleccione VPN>Configuraciones de VPN.. Para ms
informaciones acerca de esas configuraciones, vea Acerca de las configuraciones de VPN Global en la
pgina 850.
Ver el nmero de licencias de Mobile VPN
Puede ver el nmero de licencias de Mobile VPN que estn instaladas en la Tecla de Funcin.
1. En el Policy Manager, seleccione Configurar > Teclas de Funcin.
Aparece el cuadro de dilogo Tecla de Funcin de Firebox.
2. Deslice hacia abajo hasta Usuarios de Mobile VPN en la columna Funcin, y busque el nmero en la
columna Valor. Ese es el nmero mximo de usuarios de Mobile VPN que pueden conectarse al
mismo tiempo.
Adquirir licencias adicionales de Mobile VPN
El Mobile VPN with IPSec de WatchGuard es una funcin opcional. Cada dispositivo Firebox X incluye
algunas licencias de Mobile VPN. Es posible adquirir ms licencias para Mobile VPN.
Las licencias estn disponibles a travs de su revendedor local o en el sitio web de WatchGuard:
http://www.watchguard.com/sales
Agregar teclas de funcin
Para ms informacin acerca de cmo aadir teclas de funcin, vea Acerca de las teclas de funcin en la
pgina 61.
Mobile VPN y failover de VPN
Puede configurar tneles VPN para hacer conmutacin por error a un extremo de resguardo si el extremo
principal queda no disponible. Para ms informacin acerca del failover de VPN, vea Configurar Failover de
VPN en la pgina 873.
Si la conmutacin por error (failover) de VPN est configura y ocurre una conmutacin por error, las
sesiones de Mobile VPN no tienen continuidad. Debe autenticar su cliente de Mobile VPN nuevamente
para hacer un nuevo tnel de Mobile VPN.
Para configurar un failover de VPN para tneles de Mobile VPN:
2. Seleccione un grupo de usuarios mviles en la lista y haga clic en Editar.
Aparece el cuadro de dilogo de "Editar Mobile VPN with IPSec".
4. En la seccin Direcciones IP de Firebox, ingrese la direccin IP de interfaz WAN de resguardo en el
campo Direccin .
Puede especificar slo una interfaz de resguardo hacia la cual los tneles conmutan por error,
aunque tenga interfaces WAN adicionales.
Configurar Mobile VPN with IPSec para una direccin IP
dinmica
Recomendamos que use o una direccin IP esttica para un Firebox que sea un extremo de VPN o use DNS
dinmico. Para ms informacin acerca del DNS dinmico, vea Pgina Acerca de Servicio DNS dinmico en
la pgina 103.
Si ninguna de esas opciones es posible y la direccin IP externa del Firebox cambia, debe otorgar un nuevo
archivo de configuracin .wgx a los usuarios de IPSec remoto o pedirles que editen la configuracin cliente
para que sta incluya la nueva direccinIP siempre que la direccinIP cambie. De lo contrario, los usuarios
IPSec no pueden conectarse hasta que obtengan el nuevo archivo de configuracin o direccinIP.
Use estas instrucciones para configurar el Firebox y dar soporte a los usuarios del cliente IPSec si el Firebox
tiene una direccinIP dinmica y no puede usar un DNS dinmico.
Mantenga un registro de la direccinIP actual
Use ese procedimiento para encontrar la direccinIP actual de la interfaz externa de Firebox:
Gua del Usuario 931
1. En el Policy Manager, seleccione Red > Configuracin.
2. Busque la interfaz con el tipo Externo y busque la direccinIP en la columna IP. Esa es la direccin
IP externa del Firebox.
Esa es la direccinIP guardada en los archivos de configuracin .wgx. Cuando los usuarios remotos dicen
que no pueden conectarse, verifique la direccinIP externa del Firebox para ver si la direccin IP cambi.
Configurar los equipos clientes Firebox e IPSec
El Firebox debe tener una direccinIP asignada a la interfaz externa antes que se descarguen los archivos
.wgx. Esa es la nica diferencia de la configuracin normal de los equipos clientes Firebox e IPSec.
Actualizar las configuracin del cliente cuando cambia la direccin
Cuando la direccinIP externa del Firebox cambia, los equipos clientes de Mobile VPN con IPSec remoto no
pueden conectarse hasta que sean configurados con una nueva direccinIP. Se puede cambiar la direccin
IP de dos maneras.
n Otorgue un nuevo archivo de configuracin .wgx a los usuarios remotos para que lo importen.
n Solicite a los usuarios remotos que editen manualmente la configuracin del cliente IPSec. Para esa
opcin, debe configurar el Firebox para que los usuarios remotos puedan editar la configuracin.
Para ms informaciones, vea Bloquear un perfil del usuario final Bloquear un perfil del usuario final
en la pgina 925.
Para otorgar un nuevo archivo de configuracin .wgx a los usuarios remotos:
2. Seleccione un grupo de usuarios de Mobile VPN y haga clic en Generar para crear y descargar los
archivos .wgx.
3. Distribuya los archivos .wgx a los usuarios remotos.
4. Solicite que los usuarios remotos Importar el perfil de usuario final.
Para que los usuarios editen manualmente la configuracin cliente:
1. Otorgue a los usuarios remotos la nueva direccinIP externa del Firebox y solicite que sigan los
prximos cinco pasos.
2. En el equipo cliente IPSec seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Mobile VPN Monitor.
3. Seleccione Configuracin > Configuracin de perfil.
4. Seleccione el perfil y haga clic en Configurar.
5. En la columna de la izquierda, seleccione Configuracin general de IPSec.
6. Para Puerta de enlace, ingrese la nueva direccinIP externa del Firebox.
Pgina Acerca de cliente Mobile VPNwith IPSec
El cliente Mobile VPN con IPSec de WatchGuard es instalado en un equipo cliente mvil, caso el usuario
viaje o trabaje desde su casa. El usuario se conecta con una conexin a Internet estndar y activa el cliente
Mobile VPN para acceder a los recursos protegidos de red.
El cliente Mobile VPN crea un tnel cifrado hacia sus redes de confianza y opcional, que estn protegidas
por un Firebox de WatchGuard. El cliente Mobile VPN permite proveer acceso remoto a sus redes internas
y no comprometer su seguridad.
Requisitos del cliente
Antes de instalar el cliente, asegrese que entiende esos requisitos y recomendaciones.
Debe configurar su Firebox para que funcione con Mobile VPN with IPSec. Si todava no lo hizo, vea los
tpicos que describen cmo configurar su Firebox para usar Mobile VPN.
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000,
Windows XP (32 bits y 64 bits), Windows Vista (32 bits y 64 bits) o Windows 7 (32 bits y 64 bits).
Antes de instalar el software cliente, asegrese de que el equipo remoto no tenga un software
cliente Mobile User VPN de IPSec instalado. Tambin debe desinstalar cualquier software de
firewall de escritorio (que no sea el software de firewall de Microsoft) de cada equipo remoto.
n Si el equipo cliente usa Windows XP, debe iniciar sesin usando una cuenta que tenga derechos de
administrador para instalar el software cliente Mobile VPN e importar el archivo de configuracin
.wgx o .ini. Despus que el cliente haya sido instalado y configurado, los derechos de administrador
no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, debe iniciar sesin usando una cuenta que tenga derechos
de administrador para instalar el software cliente Mobile VPN. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse despus que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estn instalados antes de
instalar el software cliente Mobile VPN.
n Se obtiene la configuracin de WINS y DNS para el cliente Mobile VPN en el perfil del cliente que
importa cuando configura su cliente Mobile VPN.
n Recomendamos que no altere la configuracin de ningn cliente Mobile VPN que no est
explcitamente descrita en esta documentacin.
Instalar el software cliente de Mobile VPN con IPSec
El proceso de instalacin consiste de dos partes: instalar el software cliente en el equipo remoto e importar
el perfil de usuario final en el cliente. Antes de iniciar la instalacin, asegrese de tener los siguientes
componentes de instalacin:
n El archivo de instalacin de Mobile VPN
n Un perfil de usuario final, con una extensin de archivo .wgx o .ini
n frases de contrasea
n Un archivo cacert.pem y un .p12 (si usa certificados para autenticar)
n Nombre de usuario y contrasea
Nota Tome nota de la clave compartida y mantngala en un lugar seguro. Debe usarla
durante los pasos finales del procedimiento de instalacin.
Para instalar el cliente:
Gua del Usuario 933
1. Copie el archivo de instalacin de Mobile VPN en el equipo remoto y extraiga los contenidos del
archivo.
2. Copie el perfil del usuario final (el archivo .wgx o .ini) en el directorio raz en el equipo remoto
(cliente o usuario). No ejecute el software de instalacin a partir de un CD u otra unidad externa.
Si usa certificados para autenticarse, copie los archivos cacert.pem y .p12 en el directorio raz.
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el WatchGuard Mobile VPN
Installation wizard. Debe reiniciar su equipo cuando el asistente de instalacin se reinicia.
Para instrucciones detalladas para usuarios finales clientes de Mobile VPN con IPSec, vea Instrucciones de
usuario final para la instalacin del cliente VPN Mobile con IPSec de WatchGuard en la pgina 946.
Importar el perfil de usuario final
Cuando el equipo se reinicia, abre el cuadro de dilogo WatchGuard Mobile VPN Connection Monitor.
Cuando el software se inicia por primera vez despus de instalarlo, encuentra este mensaje:
No hay perfil para el marcado de VPN! Desea usar el asistente de configuracin
para crear un perfil ahora?
Haga clic en No.
Para apagar la funcionalidad de inicio automtico del Connection Monitor, seleccione Ver > Inicio
automtico > No iniciar automticamente.
Para importar un archivo .wgx o .ini de configuracin de Mobile VPN:
1. En el escritorio del Windows, seleccione Inicio > Todos los programas > WatchGuard Mobile VPN >
Monitor de Mobile VPN.
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Importar perfil.
Se inicia el Asistente de Importacin de Perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicacin del archivo de configuracin .wgx
o .ini.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contrasea. La
frase de contrasea distingue maysculas de minsculas.
7. En la pantalla Sobrescribir o agregar perfil, puede seleccionar sobrescribir un perfil con el mismo
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx para importar.
9. En la pantalla Autenticacin, puede seleccionar si desea ingresar el nombre de usuario y contrasea
que usa para autenticar el tnel VPN.
Si mantiene esos campos vacos, se solicita que inserte su nombre de usuario y contrasea siempre
que se conecte.
Si inserta su nombre de usuario y contrasea, el Firebox los almacena y no hace falta inserir esa
informacin siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambin
puede ingresar slo su nombre de usuario y mantener el campo contrasea vaco.
El equipo ahora est listo para usar el Mobile VPN with IPSec.
Seleccione un certificado e ingrese el PIN
Si usa certificados para autenticacin, debe seleccionar el certificado correcto para la conexin. Debe tener
un archivo cacert.pem y un .p12.
1. Seleccione Configuracin> Certificados.
2. Haga doble clic en una configuracin de certificado para abrirla.
3. En la pestaa Certificado de usuario, seleccione del archivo PKS#12 en la lista desplegable
Certificado.
4. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botn y examine la ubicacin
del archivo .p12.
5. Haga clic en OK.
6. Seleccione Conexin > Insertar PIN.
7. Ingrese el PIN y haga clic en Aceptar.
El PIN es la frase de contrasea insertada para cifrar el archivo cuando est ejecutando el "Add Mobile User
VPN Wizard".
Desinstalar el cliente Mobile VPN
Puede ser necesario desinstalar el cliente Mobile VPN. Recomendamos que use la herramienta de
Windows Agregar/Quitar programas para desinstalar el cliente Mobile VPN. Despus que se instala el
software cliente Mobile VPN por primera vez, no es necesario desinstalarlo antes de aplicar una
actualizacin al software cliente.
Antes de iniciar, desconecte todos los tneles y cierre el Mobile VPN Connection Monitor. Desde el
escritorio de Windows:
1. Haga clic en Inicio > Configuracin > Panel de control.
Aparece la ventana "Panel de control".
2. Haga doble clic en el icono de Agregar/Quitar Programas.
Aparece la ventana Agregar/Quitar Programas.
3. Seleccione WatchGuard Mobile VPN y haga clic en Alterar/Quitar.
Aparece la venta del Asistente InstallShield.
4. Haga clic en Quitar y despus en Siguiente.
Aparece el cuadro de dilogo Confirmar eliminacin de archivo.
5. Haga clic en Aceptar para remover completamente todos los componentes. Si no selecciona esa
casilla de verificacin al final de la desinstalacin, la prxima vez que instala el software Mobile VPN,
la configuracin de conexin de esa instalacin ser usada para la nueva instalacin.
Conecte y desconecte el cliente Mobile VPN
El software cliente Mobile VPN con IPSec de WatchGuard establece una conexin segura por Internet
desde un equipo remoto hacia su red protegida. Para iniciar esa conexin, debe conectarse a Internet y
usar el cliente Mobile VPN para conectarse a la red protegida.
Establezca su conexin a Internet a travs de una conexin de red de marcado o una conexin LAN. Luego,
use las instrucciones abajo para seleccionar su perfil, conectar y desconectar, haciendo clic con el botn
derecho en el icono en su barra de herramientas de Windows.
Gua del Usuario 935
2. En la lista desplegable Perfil, seleccione el nombre del perfil creado para sus conexiones de Mobile
VPN al Firebox.
3. Haga clic en para conectarse.
Desconectar el cliente Mobile VPN
En el cuadro de dilogo Monitor de Mobile VPN, haga clic en para desconectar.
Controlar el comportamiento de conexin
Para cada perfil importado, puede controlar la accin que el software cliente Mobile VPN toma cuando el
tnel VPN deja de estar disponible por cualquier motivo. Puede hacer esas configuraciones en el dispositivo
WatchGuard y usar un archivo .ini para configurar el software cliente. Un archivo .wgx no cambia esas
configuraciones.
Para definir manualmente el comportamiento del cliente Mobile VPN cuando el tnel VPN deja de estar
disponible:
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Perfiles.
2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administracin de lnea.
4. Use la lista desplegable Modo de conexin para definir un comportamiento de conexin para ese
perfil.
n Manual Cuando selecciona el modo de conexin manual, el cliente no intenta
reiniciar el tnel VPN automticamente caso est desactivado. Para reiniciar el tnel
VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin, o hacer clic con el
botn derecho en el icono de Mobile VPN en la barra de herramientas del escritorio
Windows y hacer clic en Conectar.
Gua del Usuario 937
n Automtico Cuando selecciona el modo de conexin automtico, el cliente intenta
iniciar la conexin cuando su equipo enva trfico a un destino que puede alcanzar a
travs de la VPN. El cliente tambin intenta reiniciar el tnel VPN automticamente caso
est desactivado.
n Variable Cuando selecciona el modo de conexin variable, el cliente intenta reiniciar
el tnel VPN automticamente hasta que se haga clic en Desconectar. El cliente no
intenta reiniciar el tnel VPN nuevamente hasta que se haga clic en Conectar.
5. Haga clic en OK.
Icono del cliente Mobile User VPN
El El icono de Mobile User VPN aparece en la bandeja de sistema del escritorio de Windows mostrando el
estado del firewall de escritorio, del firewall de enlace y de la red VPN. Puede hacer clic con el botn
derecho en el icono para conectar y desconectar el Mobile VPN y ver cul perfil est en uso.
Vea los mensajes de registro del Mobile VPN
Puede usar el archivo de registro del cliente Mobile VPN para solucionar problemas con la conexin del
cliente VPN.
Para ver los mensajes de registro de Mobile VPN, seleccione Registro> Libro de registro del Monitor de
Conexin.
Aparece el cuadro de dilogo "Libro de Registros".
Proteger su equipo con el firewall de Mobile VPN
El cliente Mobile VPN con IPSec de WatchGuard incluye dos componentes de firewall:
Firewall de enlace
El firewall de enlace no est activado por defecto. Cuando el firewall de enlace est activado, su
equipo desecha los paquetes recibidos de otros equipos. Puede elegir activar el firewall de enlace
slo cuando un tnel de Mobile VPN est activo, mantngalo habilitado todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su equipo. Puede definir redes
conocidas y definir reglas de acceso separadamente para redes desconocidas o conocidas.
Activar el firewall del enlace
Cuando el firewall de enlace est activado, el software cliente Mobile VPN desecha los paquetes enviados a
su equipo desde otros hosts. Slo permite paquetes enviados a su equipo en respuesta a paquetes a su vez
enviados por su equipo. Por ejemplo, si enva una solicitud a un servidor HTTP a travs de un tnel desde su
equipo, el trfico de respuesta desde el servidor HTTP est permitido. Si un host intenta enviar una solicitud
HTTP a su equipo a travs del tnel, sta es negada.
Para activar el firewall de enlace:
2. Seleccione el perfil para el cual desea activar el firewall de enlace y seleccione Editar.
3. En el panel izquierdo, seleccione Firewall de enlace.
4. En la lista desplegable Inspeccin de estado, seleccione cuando conectado o siempre. Si selecciona
"cuando conectado", el firewall de enlace funciona solo cuando el tnel VPN est activo para este
perfil.
Si selecciona siempre, el firewall de enlace est siempre activo, est el tnel VPN activo o no.
5. Haga clic en OK.
Gua del Usuario 939
Pgina Acerca de firewall de escritorio
Cuando activa una regla en sus configuraciones de firewall, debe especificar a qu tipo de red la regla se
aplica. En el cliente Mobile VPN, hay tres tipos diferentes de redes:
Redes VPN
Redes definidas para el cliente en el perfil del cliente que importan.
Redes desconocidas
Cualquier rede no especificada en el firewall.
Redes conocidas
Cualquier red especificada en el firewall como conocida.
Para ms informacin acerca de cmo activar un firewall de escritorio, vea Activar firewall de escritorio en
la pgina 939.
Activar firewall de escritorio
Para activar el firewall de escritorio completo:
1. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Firewall.
El firewall est desactivado por defecto.
2. Cuando activa el firewall, debe elegir entre dos modos de firewall:
n Configuracin bsica bloqueada Cuando activa ese modo, el firewall niega todas las
conexiones hacia o desde su equipo, excepto si cre una regla para permitir la conexin.
n Configuracin bsica abierta Cuando activa ese modo, el firewall permite todas las
conexiones, excepto si cre una regla para negar la conexin.
3. Haga clic en OK.
Despus de activar el firewall de escritorio, puede configurar su firewall.
Para ms informacin acerca de cmo definir redes conocidas y crear reglas de firewall, vea Definir redes
conocidas en la pgina 940 y Crear reglas de firewall en la pgina 941.
Definir redes conocidas
Puede generar un conjunto de reglas de firewall para redes conocidas especficas que usted defina. Por
ejemplo, si desea usar el cliente Mobile VPN en una red local en la cual desea que su equipo est
disponible para otros equipos, puede aadir la direccin de red de esa LAN como red conocida. Eso hace
que las reglas de firewall para esa LAN sean diferentes de las reglas de firewall creadas para conexiones
hacia Internet y redes VPN remotas.
1. En el cuadro de dilogo Configuracin de firewall, haga clic en la pestaa Redes conocidas.
2. Haga clic en Agregar para aadir una nueva red conocida.
La funcin de deteccin automtica de Red Conocida no funciona correctamente en esta versin del
software cliente Mobile VPN con IPSec.
Gua del Usuario 941
Crear reglas de firewall
Puede crear excepciones al modo de firewall definido en la activacin del firewall en la pestaa Reglas de
firewall del cuadro de dilogo Configuracin de firewall. Por ejemplo, si seleccion Configuracin bsica
bloqueada al activar el firewall, entonces las reglas creadas aqu permiten el trfico. Si seleccion
Configuracin bsica abierta, las reglas creadas aqu niegan el trfico. Las reglas de firewall pueden incluir
mltiples nmeros de puerto desde un nico protocolo.
Seleccione o limpie las casillas de verificacin abajo Ver configuracin para mostrar o ocultar categoras de
reglas de firewall. Algunas opciones no estn disponibles en el Mobile VPN para la versin de Windows
Mobile del firewall de escritorio.
Para crear una regla, haga clic en Agregar. Use las cuatro pestaas en el cuadro de dilogo Entrada de regla
de firewall para definir el trfico que desea controlar:
n Pestaa General
n Pestaa Local
n Pestaa Remoto
n Pestaa Aplicaciones
Pestaa General
Puede definir las propiedades bsicas de sus reglas de firewall en la pestaa General del cuadro de dilogo
Entrada de regla de firewall.
Nombre de la regla
Ingrese un nombre descriptivo para esa regla. Por ejemplo, puede crear una regla llamada
"navegacin web" que incluya trfico en puertos de TCP 80 (HTTP), 8080 (HTTP alternativo) y 443
(HTTPS).
Estado
Para hacer que una regla est inactiva, seleccione Desactivar. Las nuevas reglas son activas por
defecto.
Direccin
Para aplicar la regla al trfico proveniente de su equipo, seleccione saliente. Para aplicar la regla al
trfico que es enviado a su equipo, seleccione entrante. Para aplicar la regla a todo el trfico,
seleccione bidireccional.
Asignar regla a
Seleccionar las casillas al lado de los tipos de red a los que se aplica esa regla.
Protocolo
Use esa lista desplegable para seleccionar el tipo de trfico de red que desea controlar.
Gua del Usuario 943
Pestaa Local
Puede definir los puertos y las direcciones IP locales que son controlados por su regla de firewall en la
pestaa Local en el cuadro de dilogo Entrada de regla de firewall. Recomendamos que, en cualquier
regla, configure las Direcciones IP locales para activar el botn de radio Cualquier direccin IP. Si configura
una poltica entrante, puede aadir los puertos con los cuales controlar esa poltica en la configuracin de
Puertos Locales. Si desea controlar ms de un puerto a en la misma poltica, seleccione Varios puertos o
rangos. Haga clic en Nuevo para agregar cada puerto.
Si seleccione el botn de radio Explicitar direccin IP, asegrese de que especifica una direccin IP. La
direccin IP no debe estar definida en 0.0.0.0.
Pestaa Remoto
Puede definir los puertos y direcciones IP remotas que son controlados por esa regla en la pestaa Remoto
del cuadro de dilogo Entrada de regla de firewall.
Por ejemplo, si su firewall est definido para que niegue todo el trfico y desea crear una regla para
permitir conexiones POP3 salientes, agregue la direccin IP de su servidor POP3 como Explicitar direccin
IP en la seccin Direcciones IP remotas. Despus, en la seccin Puertos remotos, especifique el puerto
110 como un Explicitar puerto para esa regla.
Si seleccione el botn de radio Explicitar direccin IP, asegrese de que especifica una direccin IP. La
direccin IP no debe estar definida en 0.0.0.0.
Gua del Usuario 945
Pestaa Aplicaciones
Puede limitar su regla de firewall para que se aplique solo cuando se usa un programa especificado.
1. En la pestaa Aplicaciones en el cuadro de dilogo "Entrada de regla de firewall", seleccione la
casilla Vincular regla a la aplicacin abajo. Esa pestaa no est disponible en el Mobile VPN para la
versin de Windows Mobile del firewall de escritorio.
2. Haga clic en Seleccionar aplicacin para examinar su equipo local en busca de una lista de
aplicaciones disponibles.
3. Haga clic en OK.
Instrucciones de usuario final para la instalacin del cliente
VPN Mobile con IPSec de WatchGuard
Nota Esas instrucciones estn escritas para usuarios finales del cliente Mobile VPN con
IPSec. Ellas informan a los usuarios finales que contacten a su administrador de
red para obtener instrucciones acerca de cmo instalar un firewall de escritorio o
configurar el firewall que forme parte del software cliente, y para obtener la
configuracin para controlar el comportamiento de conexin caso no usen un
archivo .ini. Puede imprimir esas instrucciones o usarlas para crear un conjunto de
instrucciones para sus usuarios finales.
El cliente Mobile VPN con IPSec de WatchGuard crea una conexin cifrada entre su equipo y el Firebox con
una conexin a Internet estndar. El cliente Mobile VPN le permite tener acceso a recursos protegidos de
red desde cualquier ubicacin remota con una conexin a Internet.
Antes de instalar el cliente, asegrese de entender esos requisitos y recomendaciones:
Gua del Usuario 947
n Puede instalar el software cliente Mobile VPN con IPSec en cualquier equipo con Windows 2000
Pro, Windows XP (32 bits y 64 bits) o Windows Vista (32 bits y 64 bits).
n Asegrese de que el equipo no tenga ningn otro software cliente Mobile User VPN de IPSec
instalado.
n Desinstale cualquier software de firewall de escritorio (que no sea el software de firewall de
Microsoft) de su equipo.
n Si el equipo cliente usa el Windows XP para instalar el software cliente Mobile VPN y para importar
el archivo de configuracin .wgx, debe iniciar sesin con una cuenta que tenga derechos de
administrador. Despus que el cliente haya sido instalado y configurado, los derechos de
administrador no son requeridos para conectarse.
n Si el equipo cliente usa Windows Vista, para instalar el software cliente Mobile VPN, debe iniciar
sesin usando una cuenta que tenga derechos de administrador. Los derechos de administrador no
son necesarios para importar un archivo .wgx o .ini o para conectarse despus que el cliente haya
sido instalado.
n Recomendamos que se asegure de que todos los service packs disponibles estn instalados antes de
instalar el software cliente Mobile VPN.
n Recomendamos que no altere la configuracin de ningn cliente Mobile VPN que no est
explcitamente descrita en esta documentacin.
Antes de iniciar la instalacin, asegrese de tener los siguientes componentes de instalacin:
n Archivo de instalacin del software Mobile VPN with IPSec
n Perfil de usuario final, con una extensin de archivo .wgx o .ini.
n Frase de contrasea (caso el perfil de usuario final sea un archivo .wgx o la conexin use certificados
para autenticacin)
n Nombre de usuario y contrasea
n Archivo de certificado cacert.pem y .p12 (caso la conexin use certificados para autenticacin)
Instale el software cliente
1. Copie el archivo .zip del Mobile VPN en el equipo remoto y extraiga los contenidos del archivo hacia
el directorio raz en el equipo remoto (cliente o usuario). No ejecute el software de instalacin a
partir de un CD u otra unidad externa.
2. Copie el perfil del usuario final (archivo .wgx o .ini) en el directorio raz.
Si usa certificados para autenticarse, copie tambin los archivos cacert.pem e .p12 en el directorio raz.
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el Asistente de Instalacin del
Mobile VPN de WatchGuard. Debe reiniciar su equipo cuando el asistente de instalacin se reinicia.
4. Haga clic en la secuencia del asistente y acepte todas las configuraciones predeterminadas.
5. Reinicie su equipo cuando el asistente de instalacin se concluye.
6. Cuando el equipo se reinicia, aparece el cuadro de dilogo WatchGuard Mobile VPN Connection
Monitor. Cuando el software se inicia por primera vez despus de instalarlo, encuentra este
mensaje:
No hay perfil para el marcado de VPN!
Desea usar el asistente de configuracin para crear un perfil ahora?
7. Haga clic en No.
8. Seleccione Ver >Inicio automtico > No iniciar automticamente para que el programa no se
ejecute automticamente.
Despus de instalar el software cliente, reinstale el software del firewall de escritorio o configure el firewall
que forme parte del software cliente. Si usa un firewall de escritorio de terceros, asegrese de configurarlo
para permitir que el trfico establezca el tnel VPN y que fluya trfico por ese tnel. Contacte su
administrador de red para obtener instrucciones.
Importar el perfil del usuario final
El archivo del perfil del usuario final configura el cliente Mobile VPN con los ajustes necesarios para crear
un tnel VPN.
Para importar un archivo .wgx o .ini de configuracin de Mobile VPN:
2. En el WatchGuard Mobile VPN Connection Monitor, seleccione Configuracin > Importar perfil.
3. En la pantalla Seleccionar perfil de usuario, vaya hacia la ubicacin del archivo de configuracin .wgx
o .ini.
5. Si usa un archivo .wgx, en la pantalla Descifrar persil de usuario, ingrese la frase de contrasea. La
frase de contrasea distingue maysculas de minsculas.
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx para importar.
9. En la pantalla Autenticacin, puede seleccionar si desea ingresar el nombre de usuario y contrasea
que usa para autenticar el tnel VPN.
Si mantiene esos campos vacos, debe insertar su nombre de usuario y contrasea siempre que se
conecte.
Si inserta su nombre de usuario y contrasea, el Firebox los almacena y no hace falta inserir esa
informacin siempre que se conecte. No obstante, eso representa un riesgo de seguridad. Tambin
puede ingresar slo su nombre de usuario y mantener el campo contrasea vaco.
Seleccione un certificado e ingrese el frase de contrasea
Complete esa seccin slo si tiene un archivo cacert.pem y un .p12.
Certificado.
3. Al lado del cuadro de texto Nombre de archivo PKS#12, haga clic en el botn y examine la ubicacin
del archivo .p12.
4. Haga clic en OK.
6. Ingrese su frase de contrasea y haga clic en Aceptar.
Gua del Usuario 949
Conecte y desconecte el cliente Mobile VPN
Conctese a Internet a travs de una conexin de red de marcado o una conexin LAN. Luego, use las
instrucciones abajo para seleccionar su perfil, conectarse y desconectarse.
Para seleccionar su perfil y conectarse al cliente Mobile VPN:
Aparece el cuadro de dilogo Mobile VPN de WatchGuard.
2. En la lista desplegable Perfil, seleccione el nombre del perfil importado.
3. Haga clic en para conectarse.
El icono del cliente Mobile User VPN aparece en la bandeja de sistema de Windows cuando est conectado.
Para desconectar el cliente Mobile VPN:
1. Cuadro de dilogo Restaurar el Monitor de Mobile VPN.
2. Haga clic en para desconectarse.
Controlar comportamiento de conexin
El comportamiento de conexin controla la accin que el software cliente Mobile VPN toma cuando el
tnel VPN se vuelve no disponible por cualquier motivo. Por defecto, debe reconectar manualmente. No
se requiere que altere el comportamiento de conexin, pero puede seleccionar reconectar de forma
automtica o variable. Contacte su administrador de red para obtener una sugerencia de configuracin.
Nota Si importa un archivo .ini para configurar el software cliente, no altere ninguna
configuracin de la Administracin de Lnea. El archivo .ini realiza esas
configuraciones.
Para definir el comportamiento del cliente Mobile VPN cuando el tnel VPN deja de estar disponible:
2. Seleccione el nombre del perfil y haga clic en Editar.
3. En el panel izquierdo, seleccione Administracin de lnea.
4. Use la lista desplegable Modo de conexin para definir un comportamiento de conexin para ese
perfil.
o
Manual Cuando selecciona el modo de conexin manual, el cliente no intenta reiniciar el
tnel VPN automticamente caso est desactivado.
Para reiniciar el tnel VPN, debe hacer clic en el botn Conectar en el Monitor de Conexin,
o hacer clic con el botn derecho en el icono de Mobile VPN en la barra de herramientas del
escritorio Windows y hacer clic en Conectar.
Gua del Usuario 951
o
Automtico Cuando selecciona el modo de conexin automtico, el cliente intenta iniciar
la conexin cuando su equipo enva trfico a un destino que puede alcanzar a travs de la
VPN. El cliente tambin intenta reiniciar el tnel VPN automticamente caso est desactivado.
o
Variable Cuando selecciona el modo de conexin variable, el cliente intenta reiniciar el
tnel VPN automticamente hasta que se haga clic en Desconectar. Despus de desconectar,
el cliente no intenta reiniciar el tnel VPN nuevamente hasta que se haga clic en Conectar.
5. Haga clic en OK.
Icono del cliente Mobile User VPN
El El icono del Mobile User VPN aparece en la bandeja de sistema de Windows mostrando el estado de la
conexin de VPN. Puede hacer clic con el botn derecho en el icono para reconectar y desconectar el
Mobile VPN y para ver el perfil en uso.
Configuracindel Mobile VPNparaWindows
Mobile
El Mobile VPN de WatchGuard para Windows Mobile usa la conexin de datos en un dispositivo que ejecuta
el sistema operativo de Windows Mobile para establecer una conexin de VPN segura a redes protegidas
por un Firebox compatible con el Mobile VPN with IPSec. El Mobile VPN para Windows Mobile tiene dos
componentes:
n El WatchGuard Mobile VPN WM Configurator es ejecutado en un equipo que puede establecer
una conexin con el dispositivo Windows Mobile usando el Microsoft ActiveSync. El Configurator
configura y sube el software cliente al dispositivo Windows Mobile.
n El software cliente Mobile VPN de WatchGuard se ejecuta en el dispositivo Windows Mobile. El
WatchGuard Mobile VPN Service debe estar en ejecucin para que se establezca una conexin de
VPN. El WatchGuard Mobile VPN Monitor permite seleccionar un perfil de usuario final cargado y
conectarse a la VPN.
El Mobile VPN para Windows Mobile usa los mismos archivos .wgx de perfil de usuario final que son usados
para configurar el Mobile VPN with IPSec. Para crear el perfil de usuario final, vea Configurar el Firebox
para Mobile VPN with IPSec en la pgina 905.
Los requisitos del cliente Mobile VPN WM Configurator y de
IPSec de Windows Mobile
Antes de instalar el cliente, asegrese que entiende esos requisitos y recomendaciones para trabajar con el
Mobile VPN with IPSec. Si todava no lo hizo, vea los tpicos que describen cmo configurar su Firebox para
usar Mobile VPN.
Debe Configurar el Firebox para Mobile VPN with IPSec. Ese proceso crea el perfil del usuario final
necesario para configurar el software cliente de Windows Mobile.
Los requisitos de sistema del Mobile VPN WMConfigurator son:
Sistema Operativo (OS) Microsoft ActiveSync Versin
Windows 2000 4.5 o posterior
Windows XP (32 bits y 64 bits) 4.5 o posterior
Windows Vista 6.1
Los requisitos del dispositivo cliente de IPSec de Windows Mobile son:
n Windows Mobile 5.0
n Windows Mobile 6.0
Los dispositivos compatibles incluyen:
n Symbol MC70 (Windows Mobile 5 Premium Phone)
n T-Mobile Dash (Windows Mobile 6 Smartphone)
n Samsung Blackjack (Windows Mobile 5 Smartphone)
Nota Los dispositivos de esa lista fueron probados con el Mobile VPN de WatchGuard
para Windows Mobile. Para aprender si otros usuarios configuraron otro
dispositivo con xito, verifique el Foro de Usuario WatchGuard, en
http://forum.watchguard.com/.
Para instalar el Mobile VPNWMConfigurator de Windows Mobile en algunos sistemas operativos, debe
iniciar sesin en el equipo con una cuenta con derechos de administrador e importar el archivo de
configuracin .wgx. Los derechos de administrador no son necesarios para subir el cliente y la configuracin
al dispositivo Windows Mobile.
Instalar el software Mobile VPN WM Configurator
El software Mobile VPN WMConfigurator debe ser instalado en un equipo que puede conectarse al
dispositivo Windows Mobile a travs de ActiveSync. Antes de iniciar la instalacin, asegrese de tener estos
componentes de instalacin:
n El archivo de instalacin del Mobile VPN WMConfigurator de WatchGuard
n Un perfil de usuario final, con una extensin de archivo .wgx
n Clave compartida
n Un archivo de certificado .p12 (si la VPN se conecta a un Firebox X Core o Peak y usa certificado
para autenticarse)
n Nombre de usuario y contrasea (si la VPN se conecta a un Firebox X Core o Peak y usa
Autenticacin Extendida)
Nota Tome nota de la clave compartida y mantngala en un lugar seguro. Debe usarla
cuando importe el perfil de usuario final.
Para instalar el Configurator:
1. Copie el archivo .zip del Mobile VPN WMConfigurafor en el equipo y extraiga los contenidos de
archivo.
2. Copie el perfil del usuario final (archivo .wgx) en el directorio raz del equipo remoto.
Gua del Usuario 953
3. Haga doble clic en el archivo .exe extrado en el Paso 1. Eso inicia el WatchGuard Mobile VPN WM
Installation Wizard.
4. Siga los pasos en el asistente. En el cuadro de dilogo Asistente InstallShield Concluido mantenga el
casilla de verificacin Iniciar instalacin de PDA seleccionado slo si el dispositivo Windows Mobile
est actualmente conectado a travs del ActiveSync.
Seleccione un certificado e ingrese el PIN
Si la VPN usa un certificado para autenticarse, debe:
1. Guardar el archivo .p12 en el directorio \certs\. La ubicacin predeterminada es C:\Program
Files\WatchGuard\Mobile VPN WM\certs\.
2. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>WatchGuard Mobile VPN
WM para iniciar el Configurator.
Certificado.
5. Al lado del cuadro de textoNombre de archivo PKS#12, ingrese
%installdir%\certs\mycert.p12. Reemplace mycert.p12 por el nombre de su archivo .p12.
Haga clic en OK.
7. Ingrese el PIN y haga clic en Aceptar.
El PIN es la clave compartida ingresada para cifrar el archivo en el Add Mobile User VPN Wizard.
Importar un perfil del usuario final
Para importar un archivo .wgx de configuracin de Mobile VPN:
1. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>WatchGuard Mobile VPN
2. Seleccione Configuracin > Importar perfil.
3. En la pantalla Seleccionar perfil de usuario, navegue hasta la ubicacin del archivo de configuracin
.wgx provisto por su administrador de red. Haga clic en Siguiente.
4. En la pantalla Descifrar Perfil del usuario, ingrese la clave compartida o frase de contrasea provista
por su administrador de red. La clave compartida distingue maysculas de minsculas. Haga clic en
Siguiente.
nombre. Eso es til si su administrador de red le ofrece un nuevo archivo .wgx y hace falta
importarlo nuevamente. Haga clic en Siguiente.
6. En la pantalla Autenticacin, puede ingresar el el nombre de usuario y contrasea que usa para
autenticar el tnel VPN. Si inserta su nombre de usuario y contrasea aqu, el Firebox los almacena y
no hace falta ingresar esa informacin siempre que se conecte. No obstante, eso representa un
riesgo de seguridad. Puede ingresar slo su nombre de usuario y mantener el campo contrasea
vaco. Eso minimiza la cantidad de datos necesarios para la conexin de VPN.
Si mantiene esos campos vacos, debe ingresar su nombre de usuario y contrasea la primera vez
que se conecta a la VPN. La vez siguiente, el campo del nombre de usuario estar automticamente
llenado con el ltimo nombre de usuario insertado.
Nota Si la contrasea que usa es la misma del Active Directory o del Servidor de LDAP y
elije almacenarla, la contrasea se vuelve invlida cuando cambia en el servidor de
autenticacin.
Instale el software cliente del Windows Mobile en el
dispositivo Windows Mobile
Despus de importar el perfil del usuario final hacia el Configurator, conecte el Configurator al dispositivo
Windows Mobile. El equipo y el dispositivo Windows Mobile deben tener una conexin de ActiveSync
cuando inicia el Configurator.
Nota Despus que el software WatchGuard Mobile VPN est instalado en su dispositivo
Windows Mobile, debe reiniciarlo.
1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.
2. Para iniciar el Configurator, seleccione Inicio >Todos los programas >WatchGuard Mobile VPN>
WatchGuard Mobile VPN WM.
3. Si el software WatchGuard Mobile VPN WMtodava no fue instalado en el dispositivo Windows
Mobile, se abre el cuadro de dilogo Confirmacin. Haga clic en S.
Gua del Usuario 955
4. Se abre un cuadro de dilogo de Informacin. Haga clic en OK.
5. El software cliente WatchGuard Mobile VPN WMse ejecuta en el dispositivo Windows Mobile. Haga
clic en OK.
6. Reiniciar el dispositivo Windows Mobile.
Cargar el perfil de usuariofinal enel dispositivoWindows Mobile
Despus que el software Windows Mobile est instalado, puede cargar el perfil de usuario final en el
dispositivo Windows Mobile.
1. Conecte su dispositivo Windows Mobile a su equipo con el Microsoft ActiveSync.
2. Seleccione Inicio >Todos los programas >WatchGuard Mobile VPN >WatchGuard Mobile VPN
3. En la lista desplegable Perfil, seleccione el perfil que desea cargar en el dispositivo Windows Mobile.
4. Haga clic en Cargar.
5. Cuandose termine de cargar, el reade estadodel Configurator muestra Carga realizada conxito!
Gua del Usuario 957
Si la VPN usa un certificado para autenticarse, debe cargarlo en el dispositivo Windows Mobile. Antes de
cargar el certificado, el Configurator debe ser configurado para usar el certificado.
Para obtener ms informacin, vea seleccionar un certificado e insertar el PIN.
Para cargar un certificado:
1. En el Configurator, seleccione Configuracin > Cargar archivo PKS#12.
2. Examinar para encontrar archivo PKS#12 y seleccionarlo. Haga clic en Abrir.
Conecteydesconecteel ClienteMobileVPNparaWindows
Mobile
El software cliente WatchGuard Mobile VPN para Windows Mobile usa la conexin de datos del dispositivo
Windows Mobile para establecer una conexin segura a las redes protegidas por un Firebox. El dispositivo
Windows Mobile debe poder establecer una conexin de datos a Internet.
1. En el dispositivo Windows Mobile, seleccione Inicio > Programas > WatchGuard Mobile VPN
Monitor.
Si el WatchGuard Mobile VPN Servive no est en ejecucin, se abre un cuadro de dilogo. Haga clic
en S para iniciar servicio.
2. Se abre el cuadro de dilogo WatchGuard Mobile VPN. Seleccione el perfil del usuario final de la
lista desplegable en la parte superior del cuadro de dilogo de WatchGuard Mobile VPN.
3. Haga clic en Conectar e ingrese su nombre de usuario y contrasea. Haga clic en OK.
Gua del Usuario 959
Nota Despus de establecer la primera conexin VPN con xito, el cliente guarda el
nombre de usuario y slo solicita una contrasea. Para alterar el nombre de
usuario, haga clic en Aceptar con el rea del contrasea limpia. Se abre uncuadro
de dilogo en el cual puede ingresar un nombre de usuario y contrasea
diferentes.
4. Aparece una lnea amarilla con la palabra Conectando entre telfono y equipo en el cuadro de
dilogo de WatchGuard Mobile VPN. La lnea se pone verde cuando el tnel VPN est listo.
Para desconectar el cliente Mobile VPN:
Monitor.
2. Haga clic en Desconectar. La lnea verde cambia al amarillo.
Cuando no hay una lnea entre el telfono y el equipo, la VPN est desconectada.
Proteger su dispositivo Windows Mobile con el firewall de
Mobile VPN
El Mobile VPN de WatchGuard para Windows Mobile incluye dos componentes de firewall:
Firewall de enlace
El firewall de enlace no est activado por defecto. Cuando el firewall de enlace est activado, su
dispositivo Windows Mobile desecha los paquetes recibidos desde otros equipos. Puede elegir
activar el firewall de enlace slo cuando un tnel de Mobile VPN est activo, mantngalo habilitado
todo el tiempo.
Firewall de escritorio
Ese firewall completo puede controlar las conexiones hacia y desde su dispositivo Windows Mobile.
Puede definir redes conocidas y definir reglas de acceso separadamente para redes desconocidas o
conocidas.
Para ms informaciones, vea Activar el firewall del enlace en la pgina 938 y Activar firewall de escritorio en
la pgina 939.
Detener el WatchGuard Mobile VPN Service
El WatchGuard Mobile VPN Service debe estar en ejecucin en el dispositivo Windows Mobile para usar el
WatchGuard Mobile VPN Monitor para crear tnelesVPN. Cuando cierra el Monitor, el Service no se
detiene. Debe detener el servicio manualmente.
Service.
Gua del Usuario 961
2. Se abre el cuadro de dilogo WatchGuard Mobile VPN. Haga clic en S para detener el servicio.
Desinstalar el Configurator, Service y Monitor
Para desinstalar el WatchGuard Mobile VPN para Windows Mobile, debe desinstalar el software de su PC
con Windows y de su dispositivo Windows Mobile.
Desinstalar el Configurator de su PC con Windows
1. En su PC con Windows, seleccione Inicio >Panel de control.
2. Haga doble clic en Agregar/Quitar Programas.
3. Haga clic en WatchGuard Mobile VPN WM y haga clic en Alterar/Quitar.
4. Haga clic en S para desinstalar la aplicacin.
5. Haga clic en Aceptar cuando la desinstalacin est concluida.
Desinstale el WatchGuard Mobile VPN Service y Monitor de su
dispositivo Windows Mobile.
1. En su dispositivo Windows Mobile, seleccione Inicio >Configuracin.
2. En Configuracin, haga clic en la pestaa Sistema y doble clic en Quitar programas.
3. Seleccione WatchGuard Mobile VPN y haga clic en Quitar.
4. Se abre el cuadro de dilogo Quitar programa. Haga clic en S para quitar el software.
5. Un cuadro de dilogo pregunta si desea reiniciar el dispositivo ahora. Haga clic en S para reiniciar el
dispositivo. Haga clic en No para reiniciar ms tarde. La deinstalacin del programa no se termina
hasta que se reinicie el dispositivo.
Gua del Usuario 963
30
Mobile VPN con SSL
Acerca del Mobile VPN con SSL
El cliente de Mobile VPN con SSL WatchGuard es una aplicacin de software que est instalada en un
equipo remoto. El cliente hace una conexin segura desde el equipo remoto hacia su red protegida a travs
de una red desprotegida, tal como la Internet. El cliente de Mobile VPN utiliza SSL (nivel de seguridad en las
conexiones) para asegurar la conexin.
Configurar el dispositivo Firebox o XTM para
Mobile VPN with SSL
De el Policy Manager, cuando se activa Mobile VPN con SSL, se crean un grupo de usuarios "SSLVPN-Users"
y una poltica "WatchGuard SSLVPN" para permitir conexiones VPN con SSL desde Internet a su interfaz
externa.
Realizar configuraciones de autenticacin y conexin
1. Seleccione VPN > Mobile VPN > SSL.
Aparece el cuadro de dilogo Configuracin de Mobile VPN con SSL.
2. Seleccione la casilla de verificacin Activar Mobile VPN with SSL.
3. Seleccione un Servidor de autenticacin en la lista desplegable. Puede autenticar usuarios con la
base de datos interna del dispositivo Firebox o XTM(Firebox-DB) o con un servidor RADIUS,
VACMAN Middleware, SecurID, LDAP o de Active Directory.
Asegrese de que el mtodo de autenticacin est activado (seleccione Configuracin >
Autenticacin > Servidores de autenticacin). Para obtener ms informacin, consulte Configurar
autenticacin de usuario para Mobile VPN with SSL.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 965
4. Si selecciona RADIUS o SecurID como servidor de autenticacin, puede seleccionar la casilla de
verificacin Forzar usuarios a autenticar despus que se pierde una conexin para obligar a los
usuarios a autenticarse despus de perder la conexin con Mobile VPN with SSL. Recomendamos
seleccionar esta casilla de seleccin si usa autenticacin de dos factores con contrasea de un solo
uso, como SecurID o Vasco.
Si no obliga a los usuarios a autenticarse despus de perder la conexin, el intento de conexin
automtica puede fallar. El cliente de Mobile VPN con SSL automticamente intenta reconectarse
despus de perder la conexin con la contrasea de un solo uso que el usuario ingres
originalmente, lo cual ya no es correcto.
5. En la lista desplegable Principal, seleccione o ingrese un domain name o una direccin IP pblica.
Los clientes de Mobile VPN con SSL se conectan a esta direccin IP o domain name en forma
predeterminada.
6. Si su dispositivo Firebox o XTMtiene ms de una conexin WAN, seleccione una direccin IP pblica
diferente en la lista desplegable Copia de respaldo. Un cliente de Mobile VPN con SSL se conecta a
la direccin IP de copia de respaldo cuando no puede establecer una conexin con la direccin IP
principal.
Realice las configuraciones de Red y Conjunto de direcciones IP
En la seccin Configuraciones de red y conjunto de direcciones IP, configure los recursos de red que los
clientes de Mobile VPN with SSL pueden usar.
1. Desde la lista desplegable en la seccin Configuraciones de red y conjunto de direcciones IP,
seleccione el mtodo que utilizar el dispositivo Firebox o XTMpara enviar trfico a travs de los
tneles VPN.
n Seleccione Bridge de trfico de VPN para el bridge del trfico de VPN con SSL a una red que
especifique. Esta es la configuracin predeterminada para Firebox X Edge. Cuando selecciona
esta opcin, no puede filtrar el trfico entre los usuarios de VPN con SSL y la red a la que se
conecta el trfico de VPN con SSL.
n Seleccione Trfico de VPN enrutado para enrutar el trfico de VPN hacia redes y recursos
especficos. Esta es la configuracin predeterminada para los dispositivos Firebox X Core o Peak
e-Series y WatchGuard XTM.
2. Seleccione o desmarque la casilla de seleccin Forzar todo el trfico de cliente a travs del tnel.
n Seleccione Forzar todo el trfico de cliente a travs del tnel para enviar todo el trfico de
red privada e Internet a travs del tnel. Esta opcin enva todo el trfico externo a travs de
las polticas del dispositivo Firebox o XTMque usted crea y ofrece una seguridad constante a los
usuarios mviles. Sin embargo, debido a que requiere mayor capacidad de procesamiento en
el dispositivo Firebox o XTM, el acceso a los recursos de Internet puede ser muy lento para el
usuario mvil. Para permitir a los clientes acceder a Internet cuando esta opcin est
seleccionada, consulte Opciones de acceso a Internet a travs de un tnel de Mobile VPN con
SSL en la pgina 970.
n Desmarque la casilla de seleccin Forzar todo el trfico de cliente a travs del tnel para
enviar slo la informacin de la red privada a travs del tnel. Esta opcin permite a los
usuarios una mejor velocidad de red al enrutar slo el trfico necesario a travs del dispositivo
Firebox o XTM, pero el acceso a los recursos de Internet no est restringido por las polticas del
dispositivo Firebox o XTM. Para restringir el acceso del cliente de Mobile VPN con SSL slo a los
dispositivos especificados en su red privada, seleccione el botn de radioEspecificar recursos
autorizados. Ingrese la direccin IP del recurso de red en notacin diagonal y haga clic en
Agregar.
3. Configurar las direcciones IP que el dispositivo Firebox o XTMasigna a las conexiones de los clientes
de Mobile VPN with SSL. Las direcciones IP virtuales en este conjunto de direcciones no pueden
formar parte de una red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede
a travs de una ruta o BOVPN, asignada por DHCP a un dispositivo detrs del dispositivo Firebox o
XTM, o utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL.
Trfico de VPN enrutado
Para el conjunto de direcciones IP virtuales, mantenga la configuracin predeterminada de
192.168.113.0/24 o ingrese un rango diferente. Ingrese la direccin IP de la subnet en
notacin diagonal. Las direcciones IP de esta subnet se asignan automticamente a
conexiones cliente de Mobile VPN con SSL. No puede asignar una direccin IP a un usuario.
Las direcciones IP virtuales en este conjunto de direcciones no pueden formar parte de una
red protegida por el dispositivo Firebox o XTM, ninguna red a la que se accede a travs de
una ruta o BOVPN, asignada por DHCP a un dispositivo detrs del dispositivo Firebox o XTM, o
utilizada para conjuntos de direcciones de Mobile VPN with IPSec o Mobile VPN with PPTP.
Bridge de trfico de VPN
En la lista desplegable Bridge a interfaz, seleccione el nombre de la interfaz con la que desea
conectar. En los campos Inicio y Finalizacin, ingrese la primera y la ltima direccin IP en el
rango asignado a las conexiones cliente de Mobile VPN con SSL. Las direcciones IP de Inicio y
Finalizacin deben encontrarse en la misma subred que la interfaz puenteada.
Nota La opcin Bridge a interfaz no conecta el trfico de VPN con SSL a ninguna
secondary network en la interfaz seleccionada.
4. Haga clic en OK.
Despus de guardar los cambios en el dispositivo Firebox o XTM, debe configurar la autenticacin de
usuario para Mobile VPN with SSL antes de que los usuarios puedan descargar e instalar el software. Todo
cambio que realice se distribuye a los clientes en forma automtica la prxima vez que se conectan
utilizando Mobile VPN with SSL.
Para obtener ms informacin sobre el uso de notacin diagonal, consulte Acerca de las Notacin diagonal
en la pgina 3.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 967
Realizar configuraciones avanzadas para Mobile VPN with SSL
1. Seleccione VPN > Mobile VPN > SSL.
Aparece el cuadro de dilogo Configuracin de Mobile VPN con SSL.
Las opciones que puede configurar en esta pestaa incluyen:
Autenticacin
Mtodo de autenticacin utilizado para establecer la conexin. Las opciones son MD5, SHA, SHA-1,
SHA-256 y SHA-512.
Cifrado
Algoritmo que se utiliza para cifrar el trfico. Las opciones son Blowfish, DES, 3DES, AES (128bits),
AES (192bits) o AES (256bits). Los algoritmos se muestran en orden del de menor seguridad al de
mayor seguridad, con la excepcin de Blowfish, que usa una clave de 128bits para cifrado de alta
seguridad.
Para un rendimiento ptimo con un alto nivel de cifrado, recomendamos seleccionar autenticacin
MD5 con cifrado Blowfish.
Canal de datos
El protocolo y puerto Mobile VPN with SSL se utiliza para enviar datos despus de establecer una
conexin de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo
y puerto predeterminado para Mobile VPN with SSL es el puerto TCP 443. ste es tambin el
protocolo y puerto estndar para trfico HTTPS. La Mobile VPN with SSL puede compartir el puerto
443 con HTTPS.
Para ms informacin, vea Elegir un puerto y protocolo para Mobile VPN con SSL.
Canal de configuracin
El protocolo y puerto Mobile VPN with SSL se utiliza para negociar el canal de datos y para descargar
archivos de configuracin. Si configura el protocolo del canal de datos en TCP, el canal de
configuracin utiliza automticamente el mismo puerto y protocolo. Si configura el protocolo del
canal de datos en UDP, puede establecer el protocolo del canal de configuracin en TCP o UDP y
puede utilizar un puerto diferente al canal de datos.
Mantener conexin
Define la frecuencia con la que el dispositivo Firebox o XTMenva trfico a travs del tnel para
mantener la actividad del tnel cuando no se enva otro trfico a travs del tnel.
Tiempo de espera
Define durante cunto tiempo el dispositivo Firebox o XTMespera una respuesta. Si no hay
respuesta antes del valor de tiempo de espera, el tnel se cierra y el cliente debe volver a
conectarse.
Renegociar el canal de datos
Si una conexin Mobile VPN with SSL ha estado activa durante la cantidad de tiempo especificada en
el cuadro de texto Renegociar el canal de datos, el cliente de Mobile VPN con SSL debe crear un
tnel nuevo. El valor mnimo es de 60 minutos.
Servidores DNS y WINS
Puede utilizar servidores DNS y WINS para determinar las direcciones IP de recursos que estn
protegidos por el dispositivo Firebox o XTM. Si desea que los clientes de Mobile VPN with SSL usen
un servidor DNS o WINS detrs del dispositivo Firebox o XTMen lugar de los servidores asignados
por la red remota a la que estn conectados, ingrese el domain name y las direcciones IP de los
servidores DNS y WINS en su red. Para obtener ms informacin sobre DNS y WINS, consulte
Determinacin del nombre para Mobile VPN with SSL en la pgina 971.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 969
Restablecer valores predeterminados
Haga clic en la pestaa Avanzada para restablecer los valores predeterminados. Se elimina toda la
informacin de los servidores DNS y WINS en la pestaa Avanzada.
Configurar la autenticacin de usuario para Mobile VPNwith SSL
Para permitir a los usuarios autenticarse en el dispositivo Firebox o XTMy conectarse con Mobile VPN with
SSL, debe configurar la autenticacin de usuario en el dispositivo Firebox o XTM. Puede configurar el
dispositivo Firebox o XTMcomo servidor de autenticacin o usar un servidor de autenticacin de terceros.
Cuando activa Mobile VPN with SSL, automticamente se crea un grupo Usuarios-SSLVPN.
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexin de Mobile VPN
con SSL. Los usuarios no pueden conectarse si son miembros de un grupo que forma parte del grupo
Usuarios-SSLVPN. El usuario debe ser miembro directo del grupo Usuarios-SSLVPN.
Para ms informacin, vea Configure su Firebox como servidor de autenticacin en la pgina 305 y Acerca
de la utilizacin de servidores de autenticacin de terceros en la pgina 304.
Configurar polticas para controlar el acceso de clientes de
Mobile VPN con SSL
Cuando se activa Mobile VPN with SSL, se agrega una poltica Permitir Usuarios-SSLVPN. No tiene
restricciones respecto del trfico que permite desde clientes SSL a recursos de red protegidos por el
dispositivo Firebox o XTM. Para restringir el acceso de clientes de Mobile VPN con SSL, desactive la poltica
Permitir Usuarios-SSLVPN. Luego, agregue nuevas polticas a su configuracin o agregue el grupo con
acceso Mobile VPN with SSL a la seccin Desde de polticas existentes.
Nota Si asigna direcciones de una red de confianza a usuarios de Mobile VPN con SSL, el
trfico desde el usuario de Mobile VPN con SSL no se considera de confianza. De
manera predeterminada, todo trfico de Mobile VPN con SSL no es de confianza.
Independientemente de la direccin IP asignada, deben crearse polticas para
permitir el acceso de los usuarios de Mobile VPN con SSL a los recursos de red.
Permitir a los usuarios de Mobile VPN con SSL el acceso a una red de
confianza
En este ejemplo, se utiliza el Policy Manager para agregar la opcin Cualquier poltica para otorgar acceso a
los recursos a todos los miembros del grupo Usuarios-SSLVPN en todas las redes de confianza.
1.
Haga clic en .
2. Ample la carpeta Filtros de paquetes.
Aparece una lista de plantillas para filtros de paquetes.
3. Seleccione Cualquiera y haga clic en Agregar.
Se abre el cuadro de dilogo Nuevas propiedades de polticas.
4. Ingrese un nombre para la poltica en el cuadro de texto Nombre. Elija un nombre que le ayude a
identificar esta poltica en su configuracin.
5. En la pestaa Poltica, en la seccin Desde , seleccione Cualquiera de confianza y haga clic en
Remover.
Aparece el cuadro de dilogo Agregar Direccin.
7. Haga clic en Agregar usuario. En las dos listas desplegables Tipo, seleccione SSL VPN en la primera y
Grupo en la segunda.
8. Seleccione Usuarios-SSLVPN, haga clic en Seleccionar.
Despus de Usuarios-SSLVPN se encuentra el nombre del mtodo de autenticacin entre parntesis.
9. Haga clic en OK para cerrar el cuadro de dilogo Agregar direccin .
10. En la seccin Desde, seleccione Cualquiera externo y haga clic en Remover.
11. En la seccin Hasta, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar Direccin.
12. En el Miembros disponibles seleccione Cualquiera de confianzay haga clic en Agregar..
13. Haga doble clic en Aceptar. Haga clic en Cerrar.
14. Guarde los cambios en el dispositivo Firebox o XTM.
Para ms informacin acerca de polticas, vea Agregar polticas en la configuracin en la pgina 342.
Usar otros grupos o usuarios en una poltica de Mobile VPN con SSL
Los usuarios deben ser miembros del grupo Usuarios-SSLVPN para establecer una conexin de Mobile VPN
con SSL. Puede usar polticas con otros grupos para restringir acceso a recursos despus de que el usuario
se conecta. Puede usar Policy Manager para seleccionar un usuario o grupo distinto de Usuarios-SSLVPN.
1. Haga doble clic en la poltica a la que desea agregar el usuario o grupo.
2. En la pestaa Poltica, en la seccin Desde , haga clic en Agregar.
4. En las dos listas desplegables Tipo, seleccione Firewall en la primera y Usuario o Grupo en la
segunda.
5. Seleccione el usuario o grupo que desea agregar y haga clic en Seleccionar.
Para obtener ms informacin sobre cmo utilizar usuarios y grupos en polticas, consulte Use los usuarios y
grupos autorizados en polticas en la pgina 331.
Opciones de acceso a Internet a travs de un tnel de Mobile
VPN con SSL
Forzar todo el trfico de cliente a travs del tnel
sta es la opcin ms segura. Requiere que todo el trfico de Internet de usuarios remotos se enrute a
travs del tnel VPN a Firebox. Desde el Firebox, el trfico luego es enviado de vuelta a Internet. Con esta
configuracin (conocida tambin como VPN de ruta-predeterminada), Firebox puede examinar todo el
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 971
trfico y proveer mayor seguridad. Sin embargo, esto requiere ms capacidad de procesamiento y ancho
de banda de Firebox, lo cual puede afectar el rendimiento de la red si tiene un nmero grande de usuarios
de VPN. De manera predeterminada, una poltica denominada Permitir Usuarios-SSLVPN permite el acceso
a todos los recursos internos y a Internet.
Permitir acceso directo a Internet
Si selecciona Trfico de VPN enrutado en la configuracin de Mobile VPN con SSL y no se fuerza todo el
trfico cliente a travs del tnel, se deben configurar los recursos permitidos para los usuarios de SSL VPN.
Si selecciona Especificar recursos permitidos o Permitir acceso a redes conectadas a travs de redes de
confianza, opcional y VLAN, slo el trfico a esos recursos se enva a travs del tnel VPN. Todo el resto del
trfico va directamente a Internet y a la red a la que est conectada el usuario SSL VPN remoto. Esta opcin
puede afectar su seguridad porque cualquier trfico enviado a Internet o a la red cliente remota no est
cifrado ni sujeto a las polticas configuradas en Firebox.
Utilizar el proxy HTTP para controlar el acceso a Internet para usuarios
de Mobile VPN con SSL
Si configura Mobile VPN with SSL para forzar todo el trfico cliente a travs del tnel, puede usar polticas
de proxy HTTP para restringir el acceso a Internet. La poltica Permitir Usuarios-SSLVPN predeterminada no
tiene restricciones en el trfico que permite de clientes SSL a Internet. Para restringir el acceso a Internet,
puede utilizar la poltica de proxy HTTP que ya ha configurado o agregar una nueva poltica de proxy HTTP
para clientes SSL.
1. Haga doble clic en la poltica para abrir el cuadro de dilogo Editar propiedades de polticas.
2. En la pestaa Poltica, haga clic en Agregar en el rea Desde.
4. Para Tipo, seleccione SSL VPN y Grupo.
5. Seleccione Usuarios-SSLVPN y haga clic en Seleccionar.
6. Haga clic en OK para volver al cuadro de dilogo Editar propiedades de polticas.
La poltica de proxy HTTP prevalece sobre la poltica Cualquiera. Puede dejar que la poltica Cualquiera
administre el trfico que no sea HTTP o puede seguir estos mismos pasos con otra poltica para administrar
el trfico desde los clientes SSL.
Para obtener ms informacin sobre cmo configurar una poltica de proxy HTTP, consulte Pgina Acerca
de Proxy HTTP en la pgina 404.
Determinacin del nombre para Mobile VPN with SSL
El objetivo de una conexin Mobile VPN es permitir a un usuario conectarse a recursos de red como si
estuviera conectado localmente. Con una conexin de red local, el trfico NetBIOS en la red le permite
conectarse a dispositivos utilizando el nombre del dispositivo. No es necesario conocer la direccin IP de
cada dispositivo de red. Sin embargo, los tneles de Mobile VPN no pueden circular trfico de difusin y
NetBIOS depende del trfico de difusin para funcionar correctamente. Debe utilizarse un mtodo
alternativo para la determinacin de nombres.
Mtodos de determinacin de nombres a travs de una conexin de
Mobile VPN con SSL
Debe elegir uno de estos dos mtodos para la determinacin de nombres:
WINS/DNS (Windows Internet Name Service/Sistema de domain name)
Un servidor WINS mantiene una base de datos de determinacin de nombres NetBIOS para la red
local. DNS funciona de un modo similar. Si el dominio utiliza slo el Active Directory , debe usar DNS
para la determinacin de nombres.
Archivo LMHOSTS
Un archivo LMHOSTS es un archivo creado en forma manual que se instala en todas las
computadoras que tienen instalado Mobile VPN with SSL. El archivo contiene una lista de nombres
de recursos y sus direcciones IP asociadas.
Seleccione el mejor mtodo para su red.
Debido a los requisitos de administracin limitados y la informacin actualizada que provee, WINS/DNS es la
solucin preferida para la determinacin de nombres a travs de un tnel MVPN. El servidor WINS escucha
a la red local en forma constante y actualiza su informacin. Si un recurso cambia su direccin IP o se agrega
un nuevo recurso, no debe realizarse ningn cambio en el cliente SSL. Cuando el cliente intenta obtener
acceso a un recurso por nombre, se enva una solicitud a los servidores WINS/DNS y se entrega la
informacin ms actualizada.
Si an no tiene un servidor WINS, el archivo LMHOSTS es una forma rpida de proporcionar la
determinacin de nombres a clientes de Mobile VPN con SSL. Lamentablemente es un archivo esttico y
debe editarlo en forma manual cada vez que se produzca un cambio. Adems, los pares nombre de
recurso/direccin IP en el archivo LMHOSTS se aplican a todas las conexiones de red, no slo a la conexin
de Mobile VPN con SSL.
Configurar WINS o DNS para determinacin de nombres
Cada red es nica en los recursos disponibles y las habilidades de los administradores. El mejor recurso para
aprender cmo configurar un servidor WINS es la documentacin de su servidor, como el sitio web de
Microsoft. Cuando configure el servidor WINS o DNS, tenga en cuenta que:
n El servidor WINS debe configurarse para ser un cliente en s.
n Su Firebox debe ser la puerta de enlace predeterminada de los servidores WINS y DNS.
n Debe asegurarse de que los recursos de red no tengan ms de una direccin IP asignada a una sola
interfaz de red. NetBIOS slo reconoce la primera direccin IP asignada a una NIC. Para obtener ms
informacin, consulte http://support.microsoft.com/kb/q131641/.
Agregarservidores WINSy DNSa unaconfiguracindeMobile VPNconSSL
1. Desde el Administrador de la poltica, seleccione VPN > Mobile VPN > SSL.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 973
3. Ingrese las direcciones principal y secundaria de los servidores WINS y DNS. Tambin puede
ingresar un sufijo de dominio en el cuadro de texto Domain name para que un cliente use con
domain names no calificados.
5. La prxima vez que una computadora cliente SSL se autentique en Firebox, la nueva configuracin
se aplicar a la conexin.
ConfigurarunarchivoLMHOSTSparaproporcionardeterminacinde
nombre
Cuando usa un archivo LMHOSTS para obtener determinacin de nombres para sus clientes MUVPN, no se
requieren cambios en Firebox ni en el software cliente MUVPN. A continuacin se muestran instrucciones
bsicas para ayudarle a crear un archivo LMHOSTS. Para obtener ms informacin sobre archivos LMHOSTS,
consulte http://support.microsoft.com/kb/q150800/.
Editar un archivo LMHOSTS
1. Busque un archivo LMHOSTS en la computadora cliente de MUVPN. El archivo LMHOSTS (a veces
denominado lmhosts.sam) generalmente se encuentra en:
C:\WINDOWS\system32\drivers\etc
2. Si encuentra un archivo LMHOSTS en esa ubicacin, bralo con un editor de texto como Notepad. Si
no puede encontrar un archivo LMHOSTS, cree un nuevo archivo en un editor de texto.
3. Para crear una entrada en el archivo LMHOSTS, ingrese la direccin IP de un recurso de red, cinco
espacios y luego el nombre del recurso. El nombre del recurso debe tener 15 caracteres o menos.
El aspecto debe ser similar a ste:
192.168.42.252 server_name
4. Si comenz con un archivo LMHOSTS anterior, guarde el archivo con su nombre original. Si cre un
nuevo archivo en Notepad, gurdelo con el nombre lmhost en el directorio
C:\WINDOWS\system32\drivers\etc. Tambin debe seleccionar el tipo "Todos los archivos" en el
cuadro de dilogo Guardar o Notepad aade ".txt" al nombre de archivo.
5. Reinicie la computadora cliente SSL para que el archivo LMHOSTS se active.
Instalar y conectar el cliente de Mobile VPNconSSL
El software de Mobile VPN con SSL permite a los usuarios conectarse, desconectarse, reunir ms
informacin sobre la conexin y salir o dejar al cliente. El cliente de Mobile VPN con SSL agrega un cono a
la bandeja del sistema en el sistema operativo Windows o un cono en la barra de men en Mac OS X.
Puede usar este cono para controlar el software cliente.
Para usar Mobile VPN with SSL debe:
1. Verificar los requisitos del sistema.
2. Descargar el software cliente.
3. Instale el software cliente
4. Conectarse a su red privada.
Nota Si un usuario no puede conectarse al dispositivo WatchGuard o no puede
descargar el instalador desde el dispositivo WatchGuard, Se debe distribuir e
instalar en forma manual el software cliente de Mobile VPN con SSL y el archivo de
configuracin.
Requisitos de la computadora cliente
Puede instalar el software cliente de Mobile VPN con SSL en computadoras con los siguientes sistemas
operativos:
n Microsoft Windows 7
n Microsoft Windows Vista
n Microsoft Windows XP
n Mac OS X 10.5 (Leopard)
Si la computadora cliente tiene Windows Vista o Windows XP, debe ingresar con una cuenta que tenga
derechos de administrador para instalar el software cliente de Mobile VPN con SSL. No se requieren
derechos de administrador para conectarse despus de que el cliente de SSL ha sido instalado y
configurado. En Windows XP Professional, el usuario debe ser miembro del grupo Operadores de
configuracin de red para ejecutar el cliente de SSL.
Si la computadora cliente tiene Mac OS X, no se requieren derechos de administrador para instalar o utilizar
el cliente de SSL.
Descargar el software cliente
1. Conectarse a la siguiente direccin con un navegador de Internet:
https://<IP address of a Firebox interface>/sslvpn.html
or
https://<Host name of the Firebox>/sslvpn.html
2. Ingrese su nombre de usuario y contrasea para autenticarse en el dispositivo WatchGuard.
Aparece la pgina de descargas para clientes de VPNSSL.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 975
3. Haga clic en el botn Descargar en el instalador que desea utilizar. Las opciones disponibles son dos:
Windows (WG-MVPN-SSL.exe) y Mac OS X (WG-MVPN-SSL.dmg).
4. Guarde el archivo en su escritorio u otra carpeta que desee.
Nota Tambin puede conectarse a Firebox en el puerto 4100 para descargar el software
cliente de VPNSSL.
Desinstalar el software cliente
Para Microsoft Windows:
1. Haga doble clic en WG-MVPN-SSL.exe.
Se inicia el Asistente de Configuracin del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.
3. Si desea agregar un cono de escritorio o un cono de inicio rpido, seleccione la casilla de
verificacin correspondiente a esta opcin en el asistente. No es necesario un cono de escritorio o
de inicio rpido.
4. Finalice y salga del asistente.
Para Mac OS X:
1. Haga doble clic en WG-MVPN-SSL.dmg.
En su escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
Se inicia el instalador del cliente.
3. Acepte las configuraciones predeterminadas en cada pantalla del instalador.
4. Finalice y salga del instalador.
Despus de descargar e instalar el software cliente, el software cliente de Mobile VPN automticamente se
conecta al dispositivo WatchGuard. Cada vez que se conecta al dispositivo WatchGuard, el software cliente
verifica las actualizaciones de configuracin.
Conectarse a su red privada
1. Utilice uno de los tres mtodos siguientes para iniciar el software cliente:
o
En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o
Haga doble clic en el cono de Mobile VPN con SSL en su escritorio.
o
Haga clic en el cono de Mobile VPN con SSL en la barra de herramientas del inicio rpido.
2. Ingrese la informacin del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contrasea del usuario.
El servidor es la direccin IP de la interfaz externa principal del dispositivo WatchGuard. Si configur
Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo
Servidor ingrese la interfaz externa principal seguida de dos puntos y el nmero de puerto. Por
ejemplo, si Mobile VPN with SSL est configurada para usar el puerto 444 y la direccin IP externa
principal es 50.50.50.1., el Servidor es 50.50.50.1:444.
Para Mac OS X:
1. Abra una ventana del Buscador. Ingrese en Aplicaciones > WatchGuard y haga doble clic en la
aplicacin Mobile VPN with SSL WatchGuard.
Aparece el cono de Mobile VPN con SSL WatchGuard en la barra de men.
2. Haga clic en el cono en la barra de men y seleccione Conectar.
3. Ingrese la informacin del dispositivo WatchGuard al que desea conectarse y el nombre de usuario y
contrasea del usuario.
El servidor es la direccin IP de la interfaz externa principal del dispositivo WatchGuard. Si configur
Mobile VPN with SSL para que use un puerto distinto del puerto 443 predeterminado, en el campo
Servidor ingrese la interfaz externa principal seguida de dos puntos y el nmero de puerto. Por
ejemplo, si Mobile VPN with SSL est configurada para usar el puerto 444 y la direccin IP externa
principal es 50.50.50.1., el Servidor es 50.50.50.1:444.
El usuario cliente de SSL debe ingresar sus credenciales de inicio de sesin. Mobile VPN with SSL no es
compatible con ningn servicio de Single Sign-On (SSO). Si la conexin entre el cliente SSL y el dispositivo
WatchGuard se pierde momentneamente, el cliente SSL intenta restablecer la conexin.
Controles del cliente de Mobile VPN con SSL
Cuando se ejecuta el cliente de Mobile VPN con SSL, aparece el cono de Mobile VPN con SSL WatchGuard
en la bandeja del sistema (Windows) o a la derecha de la barra de men (Mac OS X). La lupa del cono
muestra el estado de conexin de VPN.
n No se establece la conexin de VPN.
n Se ha establecido la conexin de VPN. Puede conectarse en forma segura con los recursos detrs
del dispositivo WatchGuard.
n El cliente est en proceso de conexin o desconexin.
Para ver la lista de controles del cliente, haga clic con el botn derecho en el cono de Mobile VPN con SSL
en la bandeja del sistema (Windows) o haga clic en el cono de Mobile VPN con SSL en la barra de men
(Mac OS X). Puede seleccionar las siguientes acciones:
Conectar/Desconectar
Iniciar o detener la conexin SSL VPN.
Ver registros
Abrir el archivo de registro de conexin
Propiedades
Windows: Seleccione Iniciar programa en el inicio para iniciar al cliente cuando se inicia Windows.
Ingrese un nmero de Nivel de registro para cambiar el nivel de detalle incluido en los registros.
Mac OS X: Muestra informacin detallada sobre la conexin SSL VPN. Tambin puede establecer el
nivel de registro.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 977
Acerca de las
Se abre el cuadro de dilogo de Mobile VPN WatchGuard con informacin acerca del software
cliente.
Salir (Windows o Mac OS X)
Desconctese del dispositivo WatchGuard y apague al cliente.
Se debe distribuir e instalar en forma manual el software
cliente de Mobile VPN con SSL y el archivo de configuracin
Si por algn motivo los usuarios no pueden descargar el software cliente desde Firebox, puede
proporcionarles el software cliente y el archivo de configuracin en forma manual. Puede descargar el
software cliente de Mobile VPN con SSL desde la seccin Descargas de software del sitio web de
WatchGuard LiveSecurity. Siga los pasos a continuacin para obtener el archivo de configuracin de VPN
SSL para distribuir.
Obtener el archivo de configuracin desde Firebox
Debe configurar Firebox para usar Mobile VPN with SSL antes de utilizar este procedimiento.
2. Seleccione la pestaa Informe de estado y haga clic en Soporte.
3. Seleccione una ubicacin para guardar el archivo support.tgz y haga clic en Recuperar.
4. Extraiga el contenido de support.tgz en una carpeta de su computadora.
El archivo de configuracin de Mobile VPN con SSL se encuentra en var\sslvpn\client.wgssl.
Instale y configure el cliente SSL utilizando el software de instalacin y
el archivo de configuracin.
Debe tener dos archivos:
n Software de instalacin del cliente Mobile VPN con SSL VPN
WG-MVPN-SSL.exe (Microsoft Windows) o WG-MVPN-SSL.dmg (Mac OS X)
n Archivo de configuracin de Mobile VPN con SSL VPN
sslvpn_client.wgssl
1. Haga doble clic en WG-MVPN-SSL.exe.
Se inicia el Asistente de Configuracin del cliente de Mobile VPN con SSL.
2. Acepte las configuraciones predeterminadas en cada pantalla del asistente.
3. Si desea agregar un cono de escritorio o un cono de inicio rpido, seleccione la casilla de
verificacin correspondiente a esa opcin.
No es necesario un cono de escritorio o de inicio rpido. El cono de cliente se agrega al men de Inicio de
Windows de manera predeterminada.
4. Finalice y salga del asistente.
5. Utilice uno de los tres mtodos siguientes para iniciar el software cliente:
o
En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN
con SSL > Cliente de Mobile VPN con SSL.
o
Haga doble clic en el cono de cliente de Mobile VPN con SSL en el escritorio.
o
Haga clic en el cono de cliente de Mobile VPN con SSL en la barra de herramientas del inicio
rpido.
6. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Para Mac OS X:
1. Haga doble clic en WG-MVPN-SSL.dmg.
En el escritorio se crea un volumen con el nombre WatchGuard Mobile VPN (Mobile VPN WatchGuard).
2. En el volumen Mobile VPN WatchGuard, haga doble clic en WatchGuard Mobile VPN with SSL
Installer V15.mpkg.
3. Acepte la configuracin predeterminada en el instalador.
4. Finalice y salga del instalador.
5. Inicie el software cliente. Abra una ventana del Buscador e ingrese en Aplicaciones > WatchGuard.
6. Haga doble clic en la aplicacin Mobile VPN with SSL WatchGuard .
Aparece el logotipo de Mobile VPN con SSL WatchGuard en la barra de men.
7. Haga doble clic en sslvpn-client.wgssl para configurar el software cliente de Mobile VPN con SSL.
Actualizar la configuracin de una computadora que no puede
conectarse al dispositivo WatchGuard
Debe tener un archivo sslvpn-client.wgssl actualizado. Para recibir informacin sobre cmo obtener el
archivo sslvpn-client.wgssl, consulte Obtener el archivo de configuracin desde Firebox.
1. Haga doble clic en sslvpn-client.wgssl.
Se inicia el cliente SSL.
2. Ingrese su nombre de usuario y contrasea. Haga clic en Conectar.
El SSL VPN se conecta con la nueva configuracin.
Desinstale el cliente de Mobile VPN con SSL.
Puede usar la aplicacin desinstalar para eliminar al cliente de Mobile VPN con SSL de una computadora.
Windows Vista y Windows XP
1. En el Men Inicio, seleccione Todos los programas > WatchGuard > Cliente de Mobile VPN con SSL
> Desinstalar cliente de Mobile VPN con SSL.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
2. Haga clic en S para eliminar el cliente de Mobile VPN con SSL y todos sus componentes.
3. Cuando el programa haya terminado, haga clic en OK.
Mac OS X
1. En una ventana del Buscador, ingrese en la carpeta Aplicaciones > WatchGuard.
2. Haga doble clic en la aplicacin Desinstalar WGSSL VPN para iniciar el programa de desinstalacin.
Se inicia el programa para desinstalar el cliente de Mobile VPN con SSL.
Mobile VPN con SSL
Mobile VPN con SSL
Gua del Usuario 979
3. Haga clic en OK en el cuadro de dilogo Advertencia.
4. Haga clic en OK en el cuadro de dilogo Listo.
5. En una ventana del Buscador, ingrese en la carpeta Aplicaciones.
6. Arrastre la carpeta WatchGuard a la Papelera de reciclaje.
Mobile VPN con SSL
Gua del Usuario 980
Gua del Usuario 981
31
WebBlocker
Acerca de las WebBlocker
Si les otorga a los usuarios acceso ilimitado a los sitios web, es posible que su compaa sufra una prdida de
productividad y una reduccin en el ancho de banda. La navegacin en Internet sin controles tambin
puede aumentar los riesgos de seguridad y las responsabilidades legales. La suscripcin de seguridad de
WebBlocker le brinda el control de los sitios web que estn disponibles para sus usuarios.
WebBlocker utiliza una base de datos de direcciones de sitios web controlada por SurfControl, una
compaa lder en filtros web. Cuando un usuario de su red intenta conectarse a un sitio web, el dispositivo
WatchGuard examina la base de datos de WebBlocker. Si el sitio web no est en la base de datos y no est
bloqueado, la pgina se abre. Si el sitio web est en la base de datos de WebBlocker y est bloqueado,
aparece una notificacin y el sitio web no se muestra.
WebBlocker funciona con servidores proxy HTTP y HTTPS para filtrar la navegacin web. Si no configur un
proxy HTTP o HTTPS, el proxy se configura y activa de manera automtica cuando activa WebBlocker.
El WebBlocker Server alberga la base de datos de WebBlocker que el dispositivo WatchGuard utiliza para
filtrar el contenido web. Si utiliza WebBlocker en un dispositivo WatchGuard cualquiera distinto de Edge,
primero debe configurar un WebBlocker Server local en su estacin de administracin. Por defecto,
WebBlocker en Edge utiliza un WebBlocker Server albergado y mantenido por WatchGuard.
El WebBlocker Server se instala como parte de la instalacin de WatchGuard System Manager. Para
aprender a configurar un WebBlocker Server, consulte Configurar el WebBlocker Server en la pgina 982.
Para configurar WebBlocker en el dispositivo WatchGuard, debe tener una license key de WebBlocker y
registrarla en el sitio web de LiveSecurity. Despus de registrar la License Key, LiveSecurity le otorgar una
tecla de funcin.
Para obtener ms informacin acerca de las teclas de funcin, consulte Acerca de las teclas de funcin en la
pgina 61.
Configurar el WebBlocker Server
Instale el software del WebBlocker Server
Asegrese de haber instalado el software del WebBlocker Server en su estacin de administracin. Por lo
general, esto se hace cuando selecciona los componentes del servidor que desea instalar en el Instalador
de WatchGuard System Manager. Si no lo hizo, ejecute el procedimiento de configuracin como se
describe en Instale el software WatchGuard System Manager en la pgina 22, pero seleccione slo el
componente del WebBlocker Server.
Administrar el WebBlocker Server
El WebBlocker Server se administra desde el WatchGuard Server Center. Para acceder a la configuracin
general del WebBlocker Server:
Center.
4. En el diagrama Servidores, seleccione WebBlocker Server.
Aparece la pgina Configuracin general de WebBlocker.
Los botones disponibles en la pestaa Configuracin general del WebBlocker Server dependen de si
descarg la base de datos de WebBlocker completa.
n Si todava no descarg la base de datos de WebBlocker, aparecer el botn Descargar en la pestaa
Configuracin general.
n Despus de descargar la base de datos de WebBlocker, aparecer el botn Actualizar en la pestaa
Configuracin general.
Utilice los botones de la pestaa Configuracin general para administrar el WebBlocker Server.
WebBlocker
WebBlocker
Gua del Usuario 983
n Haga clic en Descargar a Descargar base de datos de WebBlocker desde WatchGuard.
n Haga clic en Actualizar a Mantener actualizada la base de datos de WebBlocker con actualizaciones
en aumento desde WatchGuard.
n Haga clic en Estado para ver la fecha y hora de la ltima actualizacin de la base de datos de
WebBlocker y otra informacin de estado.
n Haga clic en Cambiar puerto a Cambiar el puerto del WebBlocker Server. Se recomienda no cambiar
el puerto.
Descargar base de datos de WebBlocker
Despus de instalar por primera vez el servidor WebBlocker, debe descargar la base de datos completa de
WebBlocker. Puede utilizar este procedimiento para descargar una nueva versin de la base de datos en
cualquier momento.
Nota La base de datos de WebBlocker tiene ms de 240MB de datos. Su velocidad de
conexin determina la velocidad de descarga, que puede ser superior a 30
minutos. Asegrese de que su unidad de disco rgido tenga un mnimo de 250MB
de espacio libre.
Para descargar la base de datos de WebBlocker:
Center.
5. Para descargar la base de datos completa de WebBlocker, haga clic en Descargar.
Aparece el cuadro de dilogo Descargar base de datos de WebBlocker.
6. Para descargar la carpeta a una ubicacin distinta de la predeterminada, haga clic en Buscar y
seleccione una carpeta nueva.
La ubicacin predeterminada de la base de datos es C:\Documents and
Settings\WatchGuard\wbserver\db.
No puede guardar la base de datos de WebBlocker en un directorio raz, como por ejemplo, c:\.
7. Para descargar la base de datos nueva, haga clic en Descargar.
El progreso de la descarga aparece en un cuadro de dilogo independiente.
8. Haga clic en OK dos veces para cerrar el cuadro de dilogo de descarga de la base de datos y el
cuadro de dilogo de informacin.
9. Para iniciar el servidor WebBlocker, haga clic con el botn derecho en WebBlocker Server en el
WatchGuard Server Center y seleccione Iniciar servidor.
Nota La base de datos de WebBlocker no se actualiza de manera automtica. Para
mantener actualizada la base de datos de WebBlocker, le recomendamos que
utilice el Programador de tareas de Windows para configurar actualizaciones de
la base de datos automticas, peridicas y en aumento. Para aprender cmo,
consulte Mantener actualizada la base de datos de WebBlocker en la pgina 984.
Mantener actualizada la base de datos de WebBlocker
La base de datos de WebBlocker no se actualiza de manera automtica. Puede actualizar la base de datos de
WebBlocker en cualquier momento. Para descargar la base de datos completa, utilice el procedimiento de
descarga que se describe en Descargar base de datos de WebBlocker en la pgina 983.
Para mantener actualizada la base de datos de WebBlocker, le recomendamos que utilice el Programador
de tareas de Windows para configurar las actualizaciones de la base de datos.
Obtener una actualizacin en aumento
Center.
4. En el diagrama Servidores, haga clic derecho en WebBlocker Server y seleccione Detener servidor.
5. Haga clic en S.
6. En la pestaa Configuracin general de WebBlocker, haga clic en Actualizar.
WebBlocker
WebBlocker
Gua del Usuario 985
7. Para iniciar el servidor, haga clic derecho en WebBlocker Server y seleccione Iniciar servicio.
Automatizar descargas de la base de datos de WebBlocker
El mejor procedimiento para mantener su base de datos de WebBlocker actualizada es utilizar el
Programador de tareas de Windows. Puede utilizar el Programador de tareas de Windows para programar
el proceso updatedb.bat, que se crea automticamente en su directorio C:\Program
Files\WatchGuard\wsm11.0\bin.
1. Abra el Programador de tareas de Windows.
En Windows XP, seleccione Inicio > Todos los programas > Accesorios > Herramientas del sistema
> Tareas programadas.
2. Haga clic en Agregar tarea programada.
Se inicia el asistente de Tareas programadas.
Aparece una lista de programas.
4. Haga clic en Buscar y dirjase a C:\Program Files\WatchGuard\wsm11\bin.
5. Seleccione updatedb.bat.
6. Seleccione el intervalo de tiempo dentro del cual desea realizar esta tarea. Le recomendamos que
actualice su base de datos todos los das. Puede realizar la actualizacin con mejor frecuencia si
tiene un ancho de banda reducido. Haga clic en Siguiente.
7. Ingrese el horario y la frecuencia en que desea iniciar el procedimiento. Como el archivo del lote de
actualizacin detiene y reinicia el WebBlocker Server, le recomendamos que programe las
actualizaciones fuera de sus horarios habituales de operacin.
8. Seleccione una fecha de inicio. Haga clic en Siguiente.
9. Ingrese el nombre de usuario y la frase de contrasea para este procedimiento. Asegrese de que
este usuario tenga acceso a los archivos necesarios. Haga clic en Siguiente.
Ver el estado de la base de datos
Aparece la pgina Configuracin general del WebBlocker Server.
2. Haga clic en Estado.
Aparece el cuadro de dilogo Estado de base de datos de WebBlocker.
3. Revise el estado de la base de datos.
4. Haga clic en OK.
Cambiar el puerto del WebBlocker Server
El dispositivo WatchGuard enva consultas de WebBlocker a su WebBlocker Server mediante el puerto UDP
5003. Por defecto, Firebox utiliza el puerto TCP 5003 para verificar la conexin con su WebBlocker Server.
Su WebBlocker Server escucha las comunicaciones del dispositivo WatchGuard en esos puertos. Se
recomienda no cambiar el nmero de puerto. El nico motivo para cambiar el nmero de puerto de
WebBlocker es si la computadora que desea utilizar como WebBlocker Server utiliza otro software que
escucha por el puerto TCP o UDP 5003 (por ejemplo, Filemaker Pro).
Cambiar el puerto de escucha del WebBlocker Server
Center.
5. Haga clic en Cambiar puerto.
Aparece el cuadro de dilogo Configuracin de WebBlocker.
6. En el cuadro de texto Puerto de escucha del servidor , ingrese o seleccione el nuevo nmero de
puerto. Haga clic en OK.
Se cambia el nmero de puerto. El cambio no entra en vigor hasta que detiene y reinicia el WebBlocker Server.
7. Para detener el servidor, en el diagrama Servidores, haga clic con el botn derecho en WebBlocker
Server y seleccione Detener servidor.
8. Para reiniciar el servidor, en el diagrama Servidores, haga clic con el botn derecho en WebBlocker
Server y seleccione Iniciar servidor.
WebBlocker
WebBlocker
Gua del Usuario 987
Cambiar el puerto del WebBlocker Server que utiliza Firebox
Despus de cambiar el nmero de puerto para el WebBlocker Server, debe editar el archivo de
configuracin para cada Firebox que utilice WebBlocker.
2. Seleccione Configuracin > Acciones > WebBlocker.
Aparece el cuadro de dilogo Configuraciones de WebBlocker.
3. Seleccione la configuracin de WebBlocker. Haga clic en Editar.
Aparece el cuadro de dilogo Editar configuracin de WebBlocker.
4. Seleccione el WebBlocker Server. Haga clic en Editar.
Aparece el cuadro de dilogo Editar WebBlocker Server.
5. En el campo Puerto, ingrese o seleccione el nmero de puerto que estableci en la configuracin
del WebBlocker Server.
6. Haga clic en OK para cerrar cada uno de los cuadros de dilogo de WebBlocker abiertos.
Copie la base de datos de WebBlocker de un WebBlocker
Server a otro
Despus de instalar WebBlocker, por lo general descargar la base de datos de WebBlocker completa
desde WatchGuard. Si ya tiene un WebBlocker Server, puede copiar la base de datos de WebBlocker de ese
servidor al servidor nuevo. La base de datos de WebBlocker supera los 250MB. Segn la velocidad de su
conexin a Internet, es posible que le resulte ms rpido copiar la base de datos de WebBlocker desde un
servidor local, que descargar la base de datos completa desde WatchGuard.
Antes de empezar
Antes de copiar la base de datos de WebBlocker, debe instalar el WebBlocker Server en el segundo
servidor.
Nota Debe instalar el WebBlocker Server en la misma ubicacin en ambos servidores.
Por lo general, esto se hace cuando selecciona los componentes del servidor que desea instalar en el
Instalador de WatchGuard System Manager. Si no lo hizo, ejecute el procedimiento de configuracin como
se describe en Instale el software WatchGuard System Manager en la pgina 22, pero seleccione slo el
componente del WebBlocker Server.
Estas instrucciones utilizan la ubicacin de instalacin predeterminada para WatchGuard System Manager
11.0. El nmero de versin forma parte de la ruta de instalacin. Si utiliza una versin diferente, debe
cambiar la ruta en algunos de estos pasos para que coincida con su nmero de versin. Si instal el servidor
en una ubicacin diferente en ambos servidores, utilice esa ruta.
Copie la base de datos y los archivos de configuracin de WebBlocker
1. Copie los contenidos de \documents and settings\watchguard\wbserver\db desde el
servidor existente a la misma ubicacin en el nuevo servidor.
2. Copie el archivo \documents and settings\watchguard\wbserver\conf\CSPConfig.ini
desde el servidor existente a la misma ubicacin en el nuevo servidor.
3. En el nuevo servidor, abra \documents and settings\watchguard\wbserver\wbserver.ini
en un editor de texto como el Bloc de notas.
4. Agregue estas dos lneas en la parte inferior del archivo (incluya las comillas y el corte de lnea):
SurfConfigFile = "\
C:\\Documents and Settings\\WatchGuard\\wbserver\\conf\\CSPConfig.ini"
Nota Si no completa este paso, el archivo de configuracin no se reconocer y el
WebBlocker Server no se iniciar.
5. En el nuevo servidor, copie el archivo \program
files\watchguard\wsm11.0\wbserver\conf\license.ini
al directorio del servidor de destino \documents and settings\watchguard\wbserver\conf.
Ejecute la utilidad para instalar el servicio de WebBlocker
Por lo general, este paso se realiza de manera automtica cuando descarga la base de datos. Si copia una
base de datos local, debe ejecutar este comando manualmente.
1. En el men inicio de Windows, seleccione Inicio > Ejecutar.
2. Ingrese (incluya las comillas):
"C:\program files\watchguard\wsm11.0\wbserver\bin\wbserver" -config
Inicie el WebBlocker Server en el servidor de destino
Center.
4. En el diagrama Servidores, haga clic derecho en WebBlocker Server.
5. Seleccione Iniciar servidor.
El WebBlocker Server se inicia y utiliza la base de datos copiada.
Le recomendamos que utilice el Programador de tareas de Windows para configurar actualizaciones de la
base de datos automticas, peridicas y en aumento. Para ms informaciones, vea Mantener actualizada la
base de datos de WebBlocker en la pgina 984.
WebBlocker
WebBlocker
Gua del Usuario 989
Introduccin a WebBlocker
Antes de empezar
n Si todava no lo hizo, Configurar el WebBlocker Server.
n Descargue la base de datos de WebBlocker para el WebBlocker Server. Para obtener instrucciones,
vea Descargar base de datos de WebBlocker en la pgina 983.
n Obtener una tecla de funcin junto a LiveSecurity para WebBlocker, y luego importe la tecla de
funcin a su dispositivo WatchGuard.
Para ms informaciones, vea Agregar una tecla de funcin a su Firebox en la pgina 64.
Active WebBlocker en el dispositivo WatchGuard
El Policy Manager se utiliza para activar WebBlocker en el dispositivo WatchGuard.
2. Seleccione Servicios de suscripcin > WebBlocker > Activar.
Se inicia el asistente para Activacin de WebBlocker.
Aparecela primera pgina del asistente. La pgina que se ve depende de su configuracin.
4. Complete el asistente. Este asistente tiene tres pginas que se describen en las secciones
subsiguientes.
Configure las polticas de WebBlocker
Si todava no defini una poltica de proxy HTTP o de proxy HTTPS, esta pgina no aparecer. El asistente
crea una poltica de proxy HTTP predeterminada de manera automtica.
Si ya cre una poltica de proxy HTTP o de proxy HTTPS en su Firebox, aparecer en esta pgina. Para
agregar una accin de WebBlocker a una poltica de la lista, marque la casilla de verificacin para esa
poltica.
Si no seleccion ninguna poltica, se crear una nueva poltica de proxy HTTP con una accin de
WebBlocker.
Identificar los Servidores de WebBlocker
Si tiene un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, debe configurar por lo menos un
WebBlocker Server.
Para agregar un WebBlocker Server
WebBlocker
WebBlocker
Gua del Usuario 991
2. En el cuadro de texto IP del servidor, ingrese la direccin IP del WebBlocker Server.
3. Si es necesario, cambie el nmero de puerto.
Puede agregar un WebBlocker Server de respaldo al cual pueda conmutarse Firebox si no puede
conectarse con el servidor principal. El primer servidor de la lista es el servidor principal.
Para desplazar un servidor en la lista:
1. Seleccione un servidor.
2. Haga clic en Mover hacia arriba o Mover hacia abajo.
Si su dispositivo WatchGuard es un Firebox X Edge, WebBlocker utiliza un WebBlocker Server albergado por
WatchGuard de manera predeterminada. Puede configurar WebBlocker para utilizar un WebBlocker Server
con configuracin local:
1. Seleccione Personalizar servidor WebBlocker.
3. En el cuadro de texto IP del servidor, ingrese la direccin IP del WebBlocker Server.
4. Si es necesario, cambie el nmero de puerto.
Para agregar un WebBlocker Server despus de completar el asistente:
2. Seleccione Configuracin > Acciones > WebBlocker.
4. Haga clic en la pestaa Servidores.
Seleccione categoras para bloquear
n Para seleccionar las categoras a bloquear, marque la casilla de verificacin junto a cada categora de
sitio web.
La categora Otro est habilitada de manera predeterminada.
Para obtener ms informacin acerca de las categoras de WebBlocker, consulte Acerca de las
Categoras de WebBlocker en la pgina 996.
n Para leer la descripcin de una categora, haga clic en la categora. La descripcin aparece en la
parte inferior de la pgina.
n Si desea bloquear el acceso a los sitios web que coinciden con todas las categoras, marque la casilla
de verificacin Negar todas las categoras.
n Para asegurarse de que los usuarios no pueden acceder a sitios web que ocultan sus identidades
para intentar eludir WebBlocker, seleccione bloquear la categora Servidores proxy &Traductores.
Utilice reglas de excepcin para restringir el acceso a sitios web
Puede elegir utilizar reglas de excepcin para restringir el acceso a sitios web en lugar de utilizar las
categoras.
1. Limpie las casillas de verificacin de todas las categoras.
2. Seleccione Negar acceso al sitio web, como se describe en Acerca de las Excepciones de
WebBlocker
WebBlocker
Gua del Usuario 993
Configurado WebBlocker
Despus de utilizar el Asistente de activacin de WebBlocker para activar WebBlocker y crear una
configuracin bsica, puede establecer ms configuraciones de WebBlocker.
Establecer la configuracin de WebBlocker para una poltica
1. Desde el Policy Manager , seleccione Servicios de suscripcin > WebBlocker > Configurar.
Aparece el cuadro de dilogo Configuracin de WebBlocker y muestra las polticas HTTP o HTTPS que ya fueron
creadas.
2. Seleccione la poltica que desea configurar y haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de WebBlocker para esa poltica.
El cuadro de dilogo Configuracin de WebBlocker incluye pestaas que puede utilizar para:
n Agregar nuevos servidores de WebBlocker o cambiar el orden de los ya existentes
n Alterar categoras a bloquear
n Agregar WebBlocker Excepciones
n Definir configuraciones avanzadas Opciones de WebBlocker
n Defina WebBlocker alarmas
Copiar configuraciones de WebBlocker de una poltica a otra
Si tiene ms de una poltica de WebBlocker, puede utilizar los botones Copiar y Pegar para copiar esas
configuraciones de una poltica a otra.
1. Haga clic en la poltica que desea configurar y luego en Copiar.
El botn Pegar se muestra activo.
2. Haga clic en la poltica a la cual desea copiar la configuracin y luego haga clic en Pegar.
La configuracin de WebBlocker se copia a la segunda poltica que seleccion.
3. Haga clic en Configurar para ver la configuracin de la poltica.
La configuracin de la poltica es igual a la de la poltica que copi en el paso 1.
Agregar nuevos servidores de WebBlocker o cambiar el orden
de los ya existentes
Puede agregar hasta cinco Servidores de WebBlocker. Si el dispositivo WatchGuard no puede conectarse
con el primer servidor de la lista, intentar conectarse con el siguiente. El primer servidor de la lista es el
servidor principal.
Agregar un servidor
1. En la pestaa Servidores del cuadro de dilogo Configuracin de WebBlocker, haga clic en Agregar.
Aparece el cuadro de dilogo Agregar WebBlocker Server.
WebBlocker
WebBlocker
Gua del Usuario 995
2. Junto a IP del servidor, ingrese la direccin IP del WebBlocker Server. Si es necesario, cambie el
nmero de puerto. Haga clic en OK.
Cambiar el orden de las servidores
1. Puede cambiar el orden de los servidores para definir el orden en el cual Firebox accede a los
servidores de respaldo. Para desplazar un servidor hacia arriba de la lista, seleccinelo y haga clic en
Mover hacia arriba. Para desplazarlo hacia abajo, seleccinelo y haga clic en Mover hacia abajo.
2. Haga clic en OK.
Para obtener informacin acerca de la configuracin de tiempo de espera del servidor, consulte Definir
configuraciones avanzadas Opciones de WebBlocker en la pgina 999.
Si su dispositivo WatchGuard es un Firebox X Edge, WebBlocker utiliza un WebBlocker Server albergado por
WatchGuard de manera predeterminada. Si desea que WebBlocker utilice un WebBlocker Server con
configuracin local, seleccione WebBlocker Server personalizado y configure un WebBlocker Server local.
Acerca de las Categoras de WebBlocker
La base de datos de WebBlocker contiene nueve grupos de categoras, con 54 categoras de sitios web.
Un sitio web se agrega a una categora cuando los contenidos del sitio web coinciden con el criterio
correcto. Los sitios web que ofrecen opiniones o material educativo acerca del tema de la categora no
estn incluidos. Por ejemplo, la categora Drogas ilegales niega los sitios que indican cmo utilizar la
marihuana. No niegan los sitios que contienen informacin acerca del consumo histrico de marihuana.
SurfControl peridicamente agrega nuevas categoras de sitios web. Las nuevas categoras no aparecen en
la pgina de configuracin de WebBlocker hasta que WatchGuard actualiza el software para agregar las
nuevas categoras.
Para bloquear los sitios que cumplen con los criterios para una nueva categora de SurfControl que todava
no forma parte de una actualizacin del software de WebBlocker, seleccione la categora Otro.
Para bloquear los sitios que no cumplen con los criterios para ninguna otra categora, seleccione la
categora Sin categorizar.
Alterar categoras a bloquear
Cuando utiliz el Asistente para Activar WebBlocker, seleccion las categoras de sitios web que desea
bloquear. Haga clic en la pestaa Categoras en el cuadro de dilogo Configuracin de WebBlocker para
realizar cambios a su configuracin original.
Este cuadro de dilogo es muy similar a la pantalla del asistente que se describe en Introduccin a
WebBlocker en la pgina 989. La diferencia principal es que las categoras estn agrupadas bajo
encabezados. Por ejemplo, el encabezado Compras incluye Avisos publicitarios, Comida & bebida, Vehculos
automotores, Bienes races y Compras. Si desea seleccionar todos los sitios bajo el encabezado Compras,
puede marcar la casilla de verificacin adyacente a Compras. Todos los sitios debajo del encabezado se
seleccionan de manera automtica. Si desea seleccionar slo una categora bajo el encabezado de Compras,
o ms de una, pero no todas, desmarque la casilla de verificacin Compras y seleccione slo las categoras
que desea restringir.
Para obtener informacin acerca de las categoras de WebBlocker, consulte Acerca de las Categoras de
Enviar una alarma cuando se niega un sitio
Puede definir WebBlocker para que enve una alarma si un usuario intenta dirigirse a un sitio y ste resulta
negado. En la seccin Acciones a realizar en la parte inferior del cuadro de dilogo, seleccione Alarma, si
negado.
Paraconfigurar los parmetros de las alarmas, hagaclic enlapestaaAlarma. Paraobtener informacinenlos
campos eneste cuadrode dilogo, veaDeterminar preferencias deregistro y notificacin enlapgina649.
WebBlocker
WebBlocker
Gua del Usuario 997
Registro Acciones de WebBlocker
Puede definir WebBlocker para que enve un mensaje al archivo de registro si un usuario intenta dirigirse a
un sitio y ste resulta negado. En la seccin Acciones a realizar en la parte inferior del cuadro de dilogo,
seleccione Registrar esta accin.
Consultar si un sitio est categorizado
Para ver si WebBlocker niega el acceso a un sitio web como parte de un bloque de categora, dirjase a la
pgina Probar un sitio en el sitio web de SurfControl.
1. Abra un explorador web y dirjase a:
http://mtas2.surfcontrol.com/mtas/WatchGuardTest-a-Site_MTAS.asp.
Se abre la pgina Probar un sitio de WatchGuard.
2. Ingrese la URL o direccin IP del sitio que desea probar.
3. Haga clic en Probar sitio.
Aparece la pgina Resultados de Probar un sitio de WatchGuard.
Agregar, eliminar o cambiar una categora
Si recibe un mensaje que indica que la URL que ingres no figura en la lista de SurfControl, puede enviarla
en la pgina Resultados de prueba.
1. En la pgina Resultados de prueba, haga clic en Enviar un sitio.
Aparece la pgina Enviar un sitio.
WebBlocker
WebBlocker
Gua del Usuario 999
2. Seleccione si desea Agregar un sitio, Borrar un sitio o Cambiar la categora.
3. Ingrese la URL del sitio.
4. Si desea solicitar que se cambie la categora a la cual fue asignado un sitio, seleccione la nueva
categora desde el men desplegable.
Definir configuraciones avanzadas Opciones de WebBlocker
Para configurar las opciones avanzadas de WebBlocker, haga clic en la pestaa Configuracin avanzada.
Anulacin Local
Si desea permitir que los usuarios eludan WebBlocker si conocen una frase de contrasea, marque la casilla
de verificacin Utilizar esta frase de contrasea y el tiempo de espera de inactividad para permitir la
anulacin local de WebBlocker. Ingrese una frase de contrasea en la casilla de texto Frase de contrasea
y luego vuelva a ingresar la misma frase de contrasea en la casilla de texto Confirmar. Si lo desea, cambie
el Tiempo de espera de inactividad.
Cuando permite la anulacin local de WebBlocker, al usuario que intente visitar un sitio negado por
WebBlocker se le solicitar que ingrese la contrasea de anulacin. Cuando el usuario ingresa la contrasea
correcta, WebBlocker le permite acceder al sitio web de destino hasta que alcance el tiempo de espera de
inactividad o hasta que cierre sesin un usuario autenticado. Esta funcin se admite solamente con las
polticas de proxy HTTP. Para obtener ms informacin acerca de la anulacin local, consulte Usar
anulacin local de WebBlocker en la pgina 1015.
Tamao de cach
Cambie esta configuracin para mejorar el rendimiento de WebBlocker.
WebBlocker
WebBlocker
Gua del Usuario 1001
Tamao de cach
Utilice las flechas para cambiar el nmero de entradas de cach o ingrese un nmero.
Tiempo agotado del servidor
Si su dispositivo WatchGuard no puede conectarse al servidor WebBlocker en
Configure la cantidad de segundos para intentar conectarse con el servidor antes de que Firebox
agote el tiempo de espera.
Alarma
Seleccione para enviar una alarma cuando Firebox no se puede conectar con el WebBlocker Server
y se agota el tiempo de espera. Para configurar los parmetros de las alarmas, haga clic en la pestaa
Alarma. Para obtener informacin acerca de la configuracin en la pestaa Alarma, consulte
Registrar esta accin
Seleccione para enviar un mensaje al archivo de registro si Firebox agota el tiempo de espera.
Permitir al usuario ver el sitio web
Seleccione si desea permitir que el usuario vea el sitio web si Firebox agota el tiempo de espera y
no se conecta con el servidor WebBlocker.
Negar acceso al sitio web
Seleccione si desea negar el acceso si Firebox agota el tiempo de espera.
El dispositivo WatchGuard intenta comunicarse con el WebBlocker Server incluso cuando ste no est
disponible. Si permite el trfico web cuando el servidor no est disponible, cada usuario que enva una
solicitud web debe esperar la cantidad de tiempo que se indica en el campo de arriba para intentar
conectarse al servidor WebBlocker y agotar el tiempo de espera. Despus de esta cantidad de segundos, el
dispositivo WatchGuard permite el acceso al sitio web. Cuando el dispositivo WatchGuard puede conectarse
nuevamente con el WebBlocker Server, comienza a aplicar otra vez las reglas de WebBlocker.
Para agregar o eliminar servidores, o para cambiar su orden de prioridad, consulte Agregar nuevos
servidores de WebBlocker o cambiar el orden de los ya existentes en la pgina 994.
Derivacin de licencia
La configuracin de derivacin de licencia controla si los usuarios de su red pueden acceder a los sitios web
si WebBlocker est activado y la suscripcin de seguridad de WebBlocker expira.
Desde el cuadro desplegable Cuando la licencia del WebBlocker expira, el acceso a todos los sitios est,
seleccione una de estas opciones:
negado
Seleccione para bloquear el acceso a todos los sitios web cuando la licencia del WebBlocker expira
permitido
Seleccione para permitir el acceso a todos los sitios web cuando la licencia del WebBlocker expira
Por defecto, la derivacin de licencia est configurada para bloquear el acceso a todos los sitios web si la
suscripcin de seguridad de WebBlocker expir. sta es la opcin ms segura si debe bloquear a sus
usuarios de tipos de contenido especficos.
Para obtener informacin acerca de cmo renovar su suscripcin de seguridad, consulte Renovar
suscripciones de seguridad en la pgina 91.
Defina WebBlocker alarmas
Para configurar los parmetros de notificacin para las alarmas de WebBlocker, haga clic en la pestaa
Alarma.
Puede enviar una alarma cuando el dispositivo WatchGuard no puede conectarse con el WebBlocker
Server y se agota el tiempo de espera, o bien, cuando el dispositivo WatchGuard agota el tiempo de espera
y se niega el acceso a un sitio. Para obtener informacin acerca de la configuracin de la pestaa Alarma,
consulte Determinar preferencias de registro y notificacin en la pgina 649.
Para cambiar la configuracin de agotamiento del tiempo de espera del servidor, consulte Definir
configuraciones avanzadas Opciones de WebBlocker en la pgina 999.
Acerca de las Excepciones de WebBlocker
WebBlocker podra negar un sitio web que es necesario para su negocio. Usted puede anular a WebBlocker
cuando define un sitio web que WebBlocker suele negar como una excepcin para permitir que los
usuarios tengan acceso a ste. Por ejemplo, supongamos que los empleados de su compaa utilizan con
frecuencia sitios web que contienen informacin mdica. Algunos de estos sitios web estn prohibidos por
WebBlocker porque recaen en la categora de educacin sexual. Para anular a WebBlocker, especifique la
direccin IP del sitio web o su domain name. Tambin puede negar sitios que WebBlocker suele permitir
Las excepciones de WebBlocker se aplican solamente al trfico HTTP. Si niega un sitio con WebBlocker, el
sitio no se agrega automticamente a la lista de Sitios bloqueados.
Para agregar excepciones de WebBlocker, consulte Agregar WebBlocker Excepciones en la pgina 1003.
Defina la accin para las sitios que no tienen coincidencias
Excepciones
En la seccin Usar lista de categora debajo de la lista de reglas de excepcin, puede configurar la accin
que desea que ocurra si la URL no coincide con las excepciones que configura. Por defecto, el botn de
radio Use la lista de categora de WebBlocker para determinar accesibilidad est seleccionado y
WebBlocker compara los sitios contra las categoras seleccionadas en la pestaa Categoras para
determinar la accesibilidad.
Tambinpuede elegir no utilizar las categoras en absolutoy encambio, utilizar reglas de excepcin slopara
restringir el accesoa sitios web. Parahacer esto, haga clic en el botn de radio Negar acceso al sitio web.
Alarma
Seleccione para enviar una alarma cuando Firebox niega una excepcin de WebBlocker. Para configurar los
parmetros de las alarmas, haga clic en la pestaa Alarma. Para obtener informacin acerca de los campos
de la pestaa Alarma, consulte Determinar preferencias de registro y notificacin en la pgina 649.
WebBlocker
WebBlocker
Registrar esta accin
Seleccione para enviar un mensaje al archivo de registro cuando Firebox niega una excepcin de
WebBlocker.
Componentes de las reglas de excepcin
Las reglas de excepcin se pasan en direcciones IP o en un patrn basado en direcciones IP. Puede hacer
que el dispositivo WatchGuard bloquee o permita una URL que contenga una coincidencia exacta. Por lo
general, es ms conveniente que el dispositivo WatchGuard busque patrones de URL. Los patrones de URL
no incluyen "http://" al comienzo. Para generar coincidencias de rutas de URL en todos los sitios web, el
patrn debe contener /* como rastro.
El host en la URL puede ser el nombre de host especificado en la solicitud HTTP o la direccin IP del
servidor.
Las direcciones de red no se admiten, no obstante, puede usar subredes en el patrn (por ejemplo,
10.0.0.*).
Para los servidores que se encuentran en el puerto 80, no incluya el puerto. Para los servidores que se
encuentren en otro puerto distinto de 80, agregue :puerto, por ejemplo: 10.0.0.1:8080. Tambin puede
utilizar un comodn para el puerto (por ejemplo, 10.0.0.1:*) pero esto no se aplica al puerto 80.
Excepciones con parte de una URL
Puede crear excepciones de WebBlocker mediante el uso de cualquier parte de una URL. Puede configurar
un nmero de puerto, nombre de ruta o cadena que debe bloquearse para un sitio web en especial. Por
ejemplo, si es necesario bloquear slo www.espaciocompartido.com/~dave porque contiene fotografas
inapropiadas, ingrese www.espaciocompartido.com/~dave/*. Esto permite que los usuarios puedan
navegar a www.espaciocompartido.com/~julia, que puede tener contenidos que desea que sus usuarios
puedan ver.
Para bloquear las URL que contengan la palabra sexo en la ruta, puede ingresar */*sexo*. Para
bloquear las URL que contengan la palabra sexo en la ruta o en el nombre de host, ingrese *sexo*.
Puede bloquear los puertos de una URL. Por ejemplo, observe la URL
http://www.hackerz.com/warez/index.html:8080. Esta URL hace que el navegador utilice el protocolo
HTTP en el puerto TCP 8080 en lugar del mtodo predeterminado que utiliza el puerto TCP 80. Puede
bloquear el puerto al generar la coincidencia *8080.
Agregar WebBlocker Excepciones
Puede agregar una excepcin, que es una coincidencia exacta de una URL, o puede utilizar el smbolo
comodn "*" en la URL para que coincida con cualquier carcter. Por ejemplo, si agrega
"www.algunsitio.com" a la lista de Sitios permitidos y un usuario ingresa "www.algunsitio.com/noticias", la
solicitud resultar negada. Si agrega "www.algunsitio.com/*" a la lista de Sitios permitidos, WebBlocker
permite que las solicitudes se dirijan a todas las rutas de URL en el sitio web www.algunsitio.com.
Para agregar excepciones:
Tambin puede elegir no utilizar las categoras en absoluto y en cambio, utilizar reglas de excepcin
slo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botn de radio Negar
acceso al sitio web.
1. Para crear excepciones a las categoras de WebBlocker, haga clic en la pestaa Excepciones.
2. Haga clic en Agregar para agregar una nueva regla de excepcin.
Aparece el cuadro de dilogo Nueva excepcin de WebBlocker.
WebBlocker
WebBlocker
3. Desde la lista desplegable Tipo de coincidencia, seleccione una de estas opciones:
Coincidencia de patrn
Las coincidencias de patrn buscan la coincidencia de un patrn en la URL o direccin, por
ejemplo, patron en www.patron.com. Asegrese de no incluir http:// al comienzo y de
s incluir /*" al final. Use el smbolo comodn, *, para buscar coincidencia de cualquier
carcter. Se puede usar ms de un comodn por patrn. Por ejemplo, el patrn
www.algunsitio.com/* generar coincidencias de todas las rutas de URL en el sitio web
www.algunsitio.com. Para insertar una direccin de red, use una coincidencia de patrn que
termine en un comodn. Por ejemplo, para generar coincidencias de todos los sitios web en
1.1.1.1 por el puerto 8080, configure el directorio en *.
Coincidencia exacta
Las coincidencias exactas hacen concordar una URL o direccin IP exacta, carcter por
carcter. No puede utilizar comodines, y debe insertar cada carcter exactamente como
desea encontrarlo en el resultado. Por ejemplo, si ingresa una excepcin para permitir
www.yahoo.com solamente como coincidencia exacta y un usuario ingresa
www.yahoo.com/news, la solicitud resulta negada.
Expresin regular
Las coincidencias de expresin regular utilizan una expresin regular compatible con Perl
para generar una coincidencia. Por ejemplo, \.[onc][eor][gtm] hace coincidir .org, .net, .com,
o cualquier otra combinacin de tres letras de una letra de cada corchete, en orden.
Asegrese de no incluir http:// al comienzo. Se admiten los comodines utilizados en la
cadena shell. Por ejemplo, la expresin (www)?\.watchguard\.[com|org|net] coincidir
con rutas de URL incluidas www.watchguard.com, www.watchguard.net y
www.watchguard.org. La expresin 1.1.1.[1-9] coincidir con todas las direcciones IP de
1.1.1.1 a 1.1.1.9. Para obtener ayuda acerca de cmo utilizar expresiones regulares, consulte
Acerca de expresiones regulares en la pgina 372.
4. Desde la lista desplegable Tipo, ingrese el tipo de sitio web: URL o direccin IP de host.
5. Si elige una URL, ingrese el patrn, el valor o la expresin, segn el valor que seleccion para el Tipo
de coincidencia.
Si elige una direccin IP de host, ingrese la direccin, el puerto y el directorio que debe coincidir.
6. Haga clic en OK para cerrar el cuadro de dilogo Nueva excepcin de WebBlocker.
7. Haga clic en la columna Accin para acceder a la lista desplegable Accin. Seleccione si desea que
WebBlocker permita o niegue la excepcin.
8. Ingrese un nombre para la excepcin en el cuadro de texto Nombre. El nombre predeterminado es
Regla[nmero] de WB.
Puede utilizar cualquiera de estas opciones para las excepciones de WebBlocker:
n Puede utilizar las listas desplegables de los campos Tipo de coincidencia y Patrn se desea cambiar
la configuracin que realiz en el cuadro de dilogo Nueva excepcin de WebBlocker.
n Haga clic en la casilla de verificacin Registro si desea generar un mensaje de registro cuando se
realiza una accin sobre una excepcin de WebBlocker.
n Para desactivar la excepcin pero mantenerla en su configuracin para utilizarla posiblemente en el
futuro, limpie la casilla de verificacin Activada.
n En la seccin Usar lista de categora debajo de la lista de reglas de excepcin, puede configurar la
accin que desea realizar si la URL no coincide con las excepciones que configura. La configuracin
predeterminada es que el botn de radio Use la lista de categora de WebBlocker para determinar
accesibilidad est seleccionado y WebBlocker compare los sitios contra las categoras seleccionadas
en la pestaa Categoras para determinar la accesibilidad.
n Tambin puede elegir no utilizar las categoras en absoluto y en cambio, utilizar reglas de excepcin
slo para restringir el acceso a sitios web. Para hacer esto, haga clic en el botn de radio Negar
acceso al sitio web.
Cambiar el orden de las reglas de excepciones
El orden de aparicin de las reglas de excepcin en el cuadro de dilogo muestra el orden en el cual los
sitios se comparan con las reglas. WebBlocker compara los mensajes con la primera regla de la lista y
contina secuencialmente desde arriba hacia abajo. Cuando un mensaje coincide con una regla,
WebBlocker realiza la accin relacionada. No realiza otras acciones, incluso aunque un sitio coincida con
una o ms reglas que se encuentren ms adelante en la lista.
Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botn
Arriba o Abajo para desplazar la regla hacia arriba o abajo en la lista.
WebBlocker
WebBlocker
Importar o exportar reglas de excepcin de spamBlocker
Si administra varios dispositivos WatchGuard o utiliza WebBlocker con ms de una definicin de proxy,
puede importar y exportar las reglas de excepcin entre ellos. Esto ahorra tiempo porque el usuario debe
definir las reglas slo una vez.
Puede transferir las reglas de excepcin entre servidores proxy o dispositivos WatchGuard de dos maneras.
Puede escribir un archivo ASCII que define las reglas e importarlo a otros dispositivos o servidores proxy de
WatchGuard. O bien, puede utilizar la interfaz del usuario de WebBlocker para definir las reglas de
excepcin, exportar el archivo a un archivo ASCII e importar ese archivo a otro archivo de configuracin de
dispositivo o a una definicin de proxy.
Escribir conjuntos de reglas en un archivo ASCII
Puede escribir reglas en un archivo ASCII normal que utiliza el juego de caracteres estndar UTF-8.
Debe incluir slo una regla por lnea. La sintaxis para las reglas es:
[nombre_regla, accin,activada|desactivada, registro|sin registro, tipo_coincidencia,] patrn_valor
donde:
nombre_regla es el nombre de la regla como aparece en la lista de excepciones. La configuracin
predeterminada es Regla WB n.
accin = Permitir o Negar. La accin predeterminada es Permitir.
activada|desactivada = Indica si la regla est activada o desactivada actualmente. La configuracin
predeterminada es activada.
registro|sin registro = Especifica si desea generar un mensaje de registro cuando se realiza la
accin. La configuracin predeterminada es sin registro.
tipo_coincidencia = Especifica el tipo de coincidencia: coincidencia exacta, expresin regular o
coincidencia de patrn. La configuracin predeterminada es coincidencia de patrn.
valor = valor que debe coincidir.
Los campos encerrados entre corchetes son opcionales. Si los omite, se utilizarn los valores
predeterminados.
Para agregar comentarios a un archivo, coloque un cardinal (#) antes del comentario. Asegrese de que el
comentario se ubique en su propia lnea.
A continuacin se ofrece un ejemplo de archivo de excepciones.
#
# Aqu tiene cinco reglas de excepcin
#
PermitirFB, permitir, activada, Sin registro,*.firebox.net/*
negar, desactivada, Registro, muy.malsitio.com/*
ReglaExcepcin1,*.buensitio.com/"
coincidencia exacta, 10.0.0.1
*.xyz.*/
La prxima seccin, Importe un archivo de excepciones ASCII, muestra cmo se vera el archivo anterior
si lo importara a WebBlocker.
Importe un archivo de excepciones ASCII
1. Desde la pestaa Excepciones del cuadro de dilogo Configuracin de WebBlocker, haga clic en
Importar.
2. Busque el archivo ASCII y haga clic en Abrir.
3. Si ya estn definidas las excepciones en WebBlocker, se le pregunta si desea reemplazar las reglas
existentes o anexar las reglas importadas a la lista de reglas existentes. Haga clic en Reemplazar o
Anexar.
Si hace clic en Anexar, las reglas importadas aparecen en el bloque Excepciones debajo de las reglas
existentes. Si desea cambiar el orden de las reglas de excepcin, consulte Cambiar el orden de las
reglas de excepciones en la pgina 1006.
Si importa el archivo de ejemplo de la seccin anterior en WebBlocker, se ver de esta manera:
Exporte reglas a un archivo ASCII
Cuando exporta reglas de excepcin desde una definicin de proxy, Firebox guarda las reglas actuales en un
archivo de texto ASCII en el formato que se describe anteriormente.
1. Desde la pestaa Excepciones del cuadro de dilogo Configuracin de WebBlocker, defina las
excepciones como se describe en Agregar WebBlocker Excepciones en la pgina 1003.
3. En el cuadro de dilogo Abrir, seleccione dnde desea guardar el archivo de excepciones y haga clic
en Guardar.
Ahora puede abrir otra definicin de proxy HTTP en el mismo archivo de configuracin del
dispositivo WatchGuard o en uno diferente e importar el archivo de excepciones.
WebBlocker
WebBlocker
Restringir usuarios a un conjunto especfico de sitios web
Puede configurar WebBlocker para que les brinde acceso a los usuarios solamente a un sitio web o a una
lista de sitios web permitidos. Para hacer esto, debe agregar una excepcin permitida a la lista de
excepciones para cada sitio web al cual desea que los usuarios tengan acceso. Luego, debe configurar
WebBlocker para que niegue el acceso a cualquier sitio que no coincida con los sitios permitidos. En esta
configuracin, WebBlocker no utiliza la lista de categoras de WebBlocker para determinar el acceso.
Para permitir que los usuarios accedan slo a los sitios web permitidos especficamente sobre la base de un
patrn de URL:
Aparece el cuadro de dilogo Configuracin de WebBlocker y muestra las polticas HTTP o HTTPS que ya fueron
creadas.
2. Seleccione la poltica que desea configurar. Haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de WebBlocker para esa poltica.
3. Haga clic en la pestaa Excepciones.
La pestaa Excepciones muestra cualquier excepcin que haya definido con anterioridad.
4. Haga clic en Agregar para agregar una nueva regla de excepcin.
Aparece el cuadro de dilogo Nueva excepcin de WebBlocker.
WebBlocker
WebBlocker
5. Desde la lista desplegable Tipo de coincidencia, seleccione Coincidencia de patrn.
6. Desde la lista desplegable Tipo, seleccione URL.
7. En el cuadro de texto Patrn, ingrese el patrn de URL que coincida con el sitio web al cual desea
permitir el acceso. Por ejemplo, el patrn www.micompania.com/* permite el acceso a todas las
rutas de URL del sitio web www.micompania.com.
Cuando ingrese una URL, no incluya http:// al comienzo. Incluya una barra oblicua (/) al final del
patrn de URL para generar la coincidencia con todas las rutas de URL de ese sitio. Use el smbolo
comodn asterisco (*) para buscar coincidencia de cualquier carcter. Se puede usar ms de un
comodn por patrn.
8. Haga clic en OK para cerrar el cuadro de dilogo Nueva excepcin de WebBlocker.
La Configuracin de WebBlocker muestra la excepcin que acaba de agregar.
9. Si desea editar la excepcin que acaba de agregar, haga clic en la columna Nombre en la excepcin.
El nombre predeterminado es Regla[nmero] de WB.
10. Repita los pasos 2 al 7 para agregar excepciones permitidas para cualquier otro sitio al cual desee
permitir que sus usuarios tengan acceso.
11. Despus de haber agregado todos los sitios permitidos a la lista de excepciones, haga clic en el botn
de radio Negar acceso al sitio web. Estos ajustes configuran a WebBlocker para negar el acceso a
todos los sitios web que no estn explcitamente permitidos en la lista de excepciones.
Usar Acciones de WebBlocker endefiniciones de
proxy
La configuracin bsica que cre con Servicios de suscripcin > WebBlocker > Configurar es una accin de
WebBlocker (un conjunto de configuraciones de WebBlocker) que puede aplicar a una definicin de proxy
HTTP o HTTPS. Puede definir acciones de WebBlocker adicionales si desea aplicar diferentes
configuraciones a servidores proxy distintos.
Definir acciones de WebBlocker adicionales
1. Desde el Policy Manager , seleccione Configuracin > Acciones > WebBlocker.
Aparece el cuadro de dilogo Configuraciones de WebBlocker.
WebBlocker
WebBlocker
2. Haga clic en Agregar. O bien, si desea definir una nueva accin sobre la base de una accin
existente, seleccione esa accin y haga clic en Clonar.
3. Configure la accin de WebBlocker como se describe en Configurado WebBlocker en la pgina 993.
Agregar acciones de WebBlocker a una poltica
1. Haga doble clic en el cono de la poltica HTTP para abrir el cuadro de dilogo Editar propiedades de
polticas.
3. Haga clic en el cono Ver/Editar proxy .
Aparece el cuadro de dilogo Configuracin de accin de proxy HTTP.
4. En la lista de categoras a la izquierda, seleccione WebBlocker.
5. Desde la lista desplegable WebBlocker, seleccione la accin de WebBlocker que desea aplicar.
Para ver dos ejemplos acerca de cmo utilizar las acciones de WebBlocker con polticas, consulte:
Configurar polticas de WebBlocker para grupos con autenticacin en Firebox
Configure las polticas de WebBlocker para grupos con la Autenticacin en Active Directory en la
pgina 1023
Programar acciones de WebBlocker
Puede configurar un cronograma de funcionamiento para la poltica. Puede utilizar la configuracin
predeterminada en la lista desplegable o crear cronogramas personalizados. Estos perodos de tiempo se
utilizan para configurar reglas con respecto a cundo bloquear diferentes sitios web. Por ejemplo, puede
bloquear los sitios web de deportes durante los horarios laborales habituales de funcionamiento, pero
permitir que los usuarios naveguen durante el almuerzo, por la noche y los fines de semana.
Para configurar un cronograma para una poltica:
1. Abra la poltica para editarla y haga clic en la pestaa Configuracin avanzada.
2. Seleccione un cronograma en la lista desplegable o haga clic en el cono Nuevo/Clonar para crear
un cronograma nuevo.
Para ms informaciones, vea Crear Cronogramas para acciones de Firebox en la pgina 349.
3. Configure una poltica HTTP que utilice el cronograma.
Tambin puede configurar dos polticas HTTP o HTTPS, pero crear un cronograma para una sola de ellas.
Cada poltica utiliza una de las acciones de proxy. Cada una de estas acciones de proxy apunta a una de al
menos dos acciones de WebBlocker.
Acerca del vencimiento de los servicios de
suscripcin de WebBlocker
Si su sitio utiliza WebBlocker, debe renovar o desactivar su suscripcin de WebBlocker cuando venza para
evitar una interrupcin en la navegacin web. WebBlocker tiene una configuracin predeterminada que
bloquea todo el trfico cuando se agota el tiempo de espera de las conexiones con el servidor. Cuando su
WebBlocker se vence, ya no se comunica con el servidor. Para Firebox, esto aparece como el agotamiento
del tiempo de espera del servidor. Todo el trfico HTTP se bloquea a menos que esta configuracin
predeterminada se cambie antes del vencimiento.
Para cambiar esta configuracin, dirjase al cuadro de dilogo Configuracin de WebBlocker y haga clic en la
pestaa Configuracin avanzada. Cambie la configuracin de la seccin Derivacin de licencia a Permitida.
WebBlocker
WebBlocker
Ejemplos
Usar anulacin local de WebBlocker
La anulacin local de WebBlocker es una funcin que permite que un usuario ingrese una contrasea de
anulacin para dirigirse a un sitio web que est bloqueado por una poltica de WebBlocker. Por ejemplo, en
una escuela, un maestro podra utilizar la contrasea de anulacin para permitir que un estudiante acceda a
un sitio aprobado que est bloqueado por las categoras de contenido de WebBlocker.
Cuando un usuario intenta dirigirse a un sitio bloqueado por la poltica de WebBlocker, si est activada la
anulacin local, el usuario ve un deny message en el navegador.
Si el dispositivo WatchGuard utiliza un certificado autofirmado para la autenticacin, es posible que el
usuario tambin vea una advertencia de certificado. Le recomendamos que instale un certificado de
confianza en Firebox con este fin, o importe el certificado autofirmado en el dispositivo de cada cliente.
Para obtener acceso al sitio solicitado, el usuario debe ingresar el destino de anulacin y la contrasea de
anulacin.
1. En el cuadro de texto Destino de anulacin, ingrese la URL a la cual desea permitir el acceso. Por
defecto, el destino de anulacin se configura como la URL que se bloque. Puede utilizar comodines
en el destino de anulacin para otorgar acceso a ms de un sitio o a ms pginas de un mismo sitio.
Ejemplos de destinos de anulacin que utilizan comodines:
*.amazon.com
permite acceder a todos los subdominios de amazon.com
*amazon.com
permite acceder a todos los domain names que terminan con amazon.com, como images-
amazon.com
www.amazon.com/books-used-books-textbooks/*
permite acceder solamente a las pginas que se encuentran en esa ruta
2. En el cuadro de texto Contrasea de anulacin, ingrese la contrasea de anulacin configurada en
el perfil de WebBlocker.
Despus de que el usuarioingresa lacontrasea de anulacin correcta, Firebox le permite acceder al destino
de anulacin hastaque unusuario autenticadocierre sesino hastaque nohaya trficoa unsitio con
coincidenciadurante lacantidad de tiempo especificadaen el tiempo de espera de inactividad de anulacin
local de WebBlocker. En lapestaa de Configuracin avanzadaen laconfiguracin de WebBlocker, se activa
anulacinlocal y se establece el tiempode esperade inactividadde laanulacin local.
Para obtener ms informacin acerca de cmo configurar la anulacin local de WebBlocker, consulte
Definir configuraciones avanzadas Opciones de WebBlocker en la pgina 999.
Usar un WebBlocker Server protegido por otro dispositivo de
WatchGuard
Si tiene dispositivos WatchGuard en diferentes ubicaciones de la oficina, puede configurar WebBlocker en
el dispositivo de una sucursal para utilizar el WebBlocker Server protegido por un dispositivo WatchGuard
central. Existen dos maneras de configurar esto.
n Enviar el trfico de WebBlocker mediante un tnel BOVPN. Este trfico est cifrado.
n Enviar el trfico de WebBlocker en texto limpio a travs de Internet. Este trfico no est cifrado.
En estos procedimientos, el dispositivo WatchGuard central es el dispositivo que protege el WebBlocker
Server. El dispositivo WatchGuard de la sucursal es el dispositivo que desea configurar para utilizar el
WebBlocker Server protegido por el dispositivo WatchGuard central.
Enve el trfico de WebBlocker mediante el tnel BOVPN
Si tiene un tnel BOVPN entre dos dispositivos WatchGuard, utilice estos pasos para enviar el trfico de
WebBlocker a travs del tnel. Le recomendamos esta configuracin porque todo el trfico entre el
dispositivo de la sucursal y el WebBlocker Server central est cifrado.
En cada dispositivo WatchGuard de la sucursal, configure la direccin del WebBlocker Server:
1. En el Policy Manager , seleccione Servicios de suscripcin > WebBlocker > Configurar.
Aparece el cuadro de dilogo Configurar WebBlocker.
WebBlocker
WebBlocker
2. Haga clic en el nombre de la poltica para seleccionarlo. Haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de la poltica de WebBlocker para esa poltica.
3. Haga clic en Agregar para agregar una direccin IP nueva para el WebBlocker Server. O bien, haga
clic en la direccin IP actual para seleccionarla. Haga clic en Editar.
4. En el campo IP del servidor, ingrese la direccin IP real (privada) del WebBlocker Server protegido
por el dispositivo WatchGuard central.
En cada dispositivo WatchGuard de la sucursal, agregue una ruta de tnel para el WebBlocker Server:
1. En el Policy Manager, seleccione VPN > Tneles para sucursales.
Aparece el cuadro de dilogo Tneles IPSec de la sucursal.
2. Haga clic en el tnel del dispositivo WatchGuard central. Haga clic en Editar.
Aparece el cuadro de dilogo Editar tnel.
Aparece el cuadro de dilogo Configuracin de la ruta del tnel.
4. En Local, ingrese la direccin IP externa de este dispositivo WatchGuard de la sucursal.
5. En Remoto, ingrese la direccin IP privada del WebBlocker Server.
6. Guarde la configuracin en el dispositivo.
En el dispositivo WatchGuard central, agregue una ruta de tnel para el WebBlocker Server de cada
dispositivo WatchGuard de la sucursal:
1. En el Policy Manager, seleccione VPN > Tneles para sucursales.
2. Haga clic en el tnel del dispositivo WatchGuard de la sucursal para seleccionarlo. Haga clic en
Editar.
4. En Local, ingrese la direccin IP privada del WebBlocker Server.
5. En Remoto, ingrese la direccin IP externa del dispositivo WatchGuard de la sucursal.
6. Si tiene ms de un dispositivo WatchGuard de sucursal con el cual desee utilizar este WebBlocker
Server, repita estos pasos para crear una ruta de tnel desde el WebBlocker Server hacia el
dispositivo WatchGuard de cada sucursal.
El dispositivo WatchGuard de la sucursal ahora puede utilizar el WebBlocker Server protegido por el
dispositivo WatchGuard central mediante el tnel VPN cifrado.
Enviar trfico de WebBlocker por Internet sin cifrar
No se recomienda enviar trfico de WebBlocker por Internet sin cifrarlo. Este procedimiento puede ser til
si necesita una ruta secundaria al WebBlocker Server cuando no tiene disponible un tnel VPN. Para
obtener ms informacin acerca de cmo configurar una conexin secundaria, consulte Configure una
conexin de respaldo con el WebBlocker Server a continuacin.
En cada dispositivo WatchGuard de la sucursal, configure la direccin del WebBlocker Server:
WebBlocker
WebBlocker
Aparece el cuadro de dilogo Configurar WebBlocker.
2. Haga clic en el nombre de la poltica para seleccionarlo. Haga clic en Configurar.
Aparece el cuadro de dilogo Configuracin de la poltica de WebBlocker para esa poltica.
3. Haga clic en Agregar para agregar una direccin IP nueva para el WebBlocker Server.
O bien, haga clic en la direccin IP existente del WebBlocker Server para seleccionarla. Haga clic en
Editar.
4. En el campo IP del servidor, ingrese la direccin IP externa del dispositivo WatchGuard central que
protege el WebBlocker Server.
5. Haga clic en OK.
En el dispositivo WatchGuard central, configure la poltica WB-WebBlocker:
1. En el Administrador de la poltica, seleccione Editar > Agregar poltica.
2. Haga clic en el signo ms (+) en el lado izquierdo de la carpeta para ampliar la carpeta Filtrado de
paquetes.
3. Haga doble clic en la poltica WB-WebBlocker para agregarla.
4. En la seccin De, haga clic en Cualquiera de confianza. Haga clic en Eliminar.
WebBlocker
WebBlocker
6. Si el dispositivo WatchGuard de la sucursal tiene una direccin IP externa dinmica, en la lista
Miembros disponibles, seleccione Cualquiera Externo. Haga clic en Agregar.
7. Si el dispositivo WatchGuard de la sucursal tiene una direccin IP externa esttica, utilice estos pasos
para agregar la direccin IP de host para cada dispositivo WatchGuard que deba utilizar este
WebBlocker Server.
n Haga clic en Agregar otras.
n Desde la lista desplegable Elegir tipo, seleccione IP-Host.
n En el cuadro de texto Valor, ingrese la direccin IP externa del dispositivo WatchGuard de la
sucursal. Haga clic en OK.
9. En el cuadro de dilogo Nuevas propiedades de polticas, en la seccin Para, seleccione Cualquiera
Externo. Haga clic en Eliminar.
12. Desde la lista desplegable Tipo, seleccione NAT esttica.
13. Desde la lista desplegable Direccin IP externa, seleccione la direccin IP de la interfaz externa.
14. Enel cuadroDireccinIPinterna,ingreseladireccinIPprivadadel WebBlockerServer.HagaclicenOK.
El dispositivo WatchGuard de la sucursal ahora puede utilizar el WebBlocker Server protegido por el
dispositivo WatchGuard central.
Configure una conexin de respaldo con el WebBlocker Server
Si configura un dispositivo WatchGuard para que enve consultas de WebBlocker mediante el tnel VPN y el
tnel VPN se cae, WebBlocker pierde el acceso al WebBlocker Server. Para obtener redundancia, puede
utilizar Internet como la ruta secundaria al WebBlocker Server.
Si configura las dos conexiones, asegrese de configurar WebBlocker en el dispositivo WatchGuard de la
sucursal para que utilice la direccin IP privada del WebBlocker Server como el primer WebBlocker Server
de la lista.
Con esta configuracin redundante, el WebBlocker del dispositivo WatchGuard de la sucursal siempre
intenta acceder primero al WebBlocker Server mediante el tnel VPN. Si no se puede conectar con el
WebBlocker Server por el tnel VPN, intentar conectarse fuera del tnel.
WebBlocker
WebBlocker
Configure las polticas de WebBlocker para grupos con la
Autenticacin en Active Directory
Muchas organizaciones desean permitir distintos niveles de acceso a los sitios web para diferentes grupos
de usuarios. Para poder hacer esto, primero debe configurar la autenticacin de usuario. Luego podr
establecer diferentes configuraciones de WebBlocker para cada grupo de usuarios. En un nivel alto, los
pasos son los siguientes:
n Activar y configurar la Autenticacin en Active Directory .
n Definir los grupos de usuario para que coincidan con los nombres de los grupos de usuario de su
servidor de Active Directory .
n Agregar polticas para cada grupo de usuarios. Esta poltica incluye la configuracin de WebBlocker
para ese grupo.
n Eliminar o modificar la poltica saliente predeterminada.
n Establecer la configuracin de autenticacin para que redirija a los usuarios de manera automtica a
la pgina de autenticacin de WatchGuard.
n (Opcional) Configurar Single Sign-On (SSO).
Escenario de ejemplo
Para mostrar cmo establecer esta configuracin, utilizamos una escuela que desea establecer diferentes
niveles de acceso web para tres grupos distintos:
n Estudiantes (acceso ms restringido)
n Maestros (acceso menos restringido)
n TI (acceso sin restricciones)
Configure la autenticacin de usuario
Antes de establecer la configuracin de WebBlocker, debe configurar la autenticacin de usuario. Puede
utilizar cualquier mtodo de autenticacin, como Active Directory , autenticacin local, Radius o LDAP. Para
obtener ms informacin acerca de los mtodos de autenticacin admitidos, consulte Tipos de servidores
de autenticacin en la pgina 304. En este ejemplo, suponemos que la escuela desea utilizar la
Autenticacin en Active Directory con Single Sign-On.
Activar autenticacin en Active Directory
Puede utilizar un servidor de autenticacin en Active Directory para que los usuarios puedan autenticarse a
Firebox con sus credenciales de red actuales. Antes de configurar su Firebox para utilizar la autenticacin
en Active Directory , asegrese de que sus usuarios pueden autenticarse exitosamente con el servidor de
Active Directory .
Para este ejemplo, la escuela tiene un servidor de Active Directory en la direccin IP 10.0.1.100.
Aparece el cuadro de dilogo Servidores de autenticacin.
3. Seleccione la casilla de verificacin Activar servidor de Active Directory .
4. En el campo direccin IP, ingrese la direccin IP del Active Directory Server principal.
Para este ejemplo, ingrese 10.0.1.100.
El servidor de Active Directory puede ubicarse en cualquier interfaz de Firebox. Tambin es posible
configurar el dispositivo para usar un Active Directory Server disponible a travs de un tnel VPN.
5. Haga clic en la flecha hacia arriba o hacia abajo del campo Puerto para seleccionar el nmero de
puerto TCP utilizado para conectarse con el servidor de Active Directory . El nmero de puerto
predeterminado es 389.
Si su Active Directory Server es un servidor de catlogo global, puede ser til alterar el puerto
predeterminado. Para ms informaciones, vea Alterar el puerto predeterminado de Active Directory
6. En el campo Base de bsqueda, ingrese la ubicacin en el directorio para comenzar la bsqueda.
El formato estndar para la configuracin de base de bsqueda es: ou=<name of organizational
unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server
name that appears after the dot>.
La base de bsqueda se configura para establecer lmites sobre los directorios en el servidor de
autenticacin que Firebox utiliza para buscar una coincidencia de autenticacin. Recomendamos
que determine la base de bsqueda en la raz del dominio. Eso permite encontrar todos los usuarios
y grupos a los que pertenecen los mismos.
WebBlocker
WebBlocker
Para este ejemplo, el domain name raz en la base de datos del Active Directory es
escuelaexcelente.edu, entonces, para la Base de bsqueda debemos ingresar
C=escuelaexcelente,DC=edu.
Para obtener ms informacin acerca de cmo encontrar su base de bsqueda en el servidor del
Active Directory , consulte Encuentre su base de bsqueda del Active Directory en la pgina 322.
7. En el campo Cadena de grupo, ingrese la cadena de atributos que se utiliza para mantener la
informacin grupal del usuario en el servidor de Active Directory . Si no cambi su esquema de
Active Directory, la cadena de grupo siempre es memberOf.
8. En el cuadro de texto DN del usuario que realiza la bsqueda, ingrese el nombre completo (DN)
No es necesario insertar nada en este cuadro de texto si mantiene el atributo de inicio de sesin de
sAMAccountName. Si altera el atributo del inicio de sesin, debe agregar un valor en el campoDN del
usuario de bsqueda para su configuracin. Puede usar cualquier DN de usuario con el privilegio de
bsqueda en el Active Directory/LDAP, como un Administrador. No obstante, un DN de usuario ms
dbil, slo con un privilegio de bsqueda, suele ser suficiente.
9. En el campo Contrasea del usuario que realiza la bsqueda, ingrese la contrasea relacionada con
el nombre completo para una operacin de bsqueda.
10. En el cuadro de texto Atributo de inicio de sesin, ingrese un atributo de inicio de sesin de Active
Directory para utilizar durante la autenticacin.
El atributo de inicio de sesin es el nombre que se utiliza para conectarse con la base de datos de
Active Directory . El atributo de inicio de sesin predeterminado es sAMAccountName. Si utiliza
sAMAccountName, puede dejar los campos DN del usuario que realiza la bsqueda y Contrasea
del usuario que realiza la bsqueda vacos.
11. Haga clic en la flecha hacia arriba o hacia abajo en el campo Tiempo inactivo para establecer el
tiempo despus del cual un servidor inactivo vuelve a marcarse como activo. Seleccione minutos o
horas en la lista desplegable al lado para determinar la duracin.
queda marcado como inactivo. Los intentos de autenticacin subsiguientes no utilizarn este
servidor hasta que vuelva a marcarse como activo.
Defina los usuarios y grupos autorizados
Antes de poder utilizar los grupos de Active Directory en las polticas, debe definir los grupos en la
configuracin de Firebox. Los nombres de grupo de agregue deben coincidir con los grupos en su servidor
de Active Directory .
1. Desde el Policy Manager , seleccione Configuracin > Autenticacin > Usuarios/Grupos
autorizados.
Aparece el cuadro de dilogo Usuarios y grupos autorizados.
Aparece el cuadro de dilogo "Definir nuevo usuario o grupo autorizado".
3. En el cuadro de texto Nombre, ingrese el nombre del grupo en el servidor de Active Directory .
Para este ejemplo, los estudiantes estn en el grupo de Active Directory llamado Estudiantes,
entonces, debemos ingresar Estudiantes.
4. (Opcional) En el cuadro de texto Descripcin, ingrese una descripcin para el grupo.
5. Asegrese de el Tipo est configurado como Grupo.
6. Desde la lista desplegable Servidor de autenticacin, seleccione Active Directory .
Repita estos pasos para crear grupos para Maestros y TI.
Cree una poltica de proxy HTTP para los estudiantes
Firebox utiliza dos categoras de polticas parafiltrar el trfico de red: filtrado de paquetes y servidores proxy.
Poltica de filtrado de paquetes
Un filtro de paquetes examina la direccin IP y el encabezado TCP/UDP de cada paquete. Si la
informacin en el encabezado del paquete est permitida por la configuracin del filtro de
paquetes, entonces Firebox permite el paquete. De lo contrario, Firebox lo rechaza.
Poltica de proxy
Un proxy examina tanto la informacin del encabezado como el contenido de cada paquete. Si la
informacin del encabezado del paquete y el contenido del paquete estn permitidos por la
configuracin del proxy, entonces Firebox permite el paquete. De lo contrario, Firebox lo rechaza.
Para bloquear el acceso a categoras de sitios web para un grupo de usuarios, debe crear una poltica de
proxy HTTP para esos usuarios y definir una accin de WebBlocker para esa poltica. El proxy HTTP luego
podr inspeccionar el contenido y permitirles o negarles a los usuarios el acceso a un sitio web sobre la
base de las categoras de WebBlocker configuradas para esa poltica.
1. Desde el Administrador de la poltica, seleccione Editar > Agregar polticas.
2. En la carpeta Servidores proxy, seleccione Proxy HTTP. Haga clic en Agregar.
Aparece el cuadro de dilogo Propiedades de nueva poltica.
WebBlocker
WebBlocker
3. Cambie el nombre de la poltica de proxy para que describa al grupo al cual debe aplicarse.
En este ejemplo, denominamos la poltica de proxy como proxy-HTTP-estudiantes.
4. En la pestaa Poltica, en la seccin De, haga clic en Cualquiera de confianza. Luego, haga clic en
Eliminar.
5. En la seccin De, haga clic en Agregar para agregar el grupo del usuario para esta poltica.
6. Haga clic en Agregar usuario. Seleccione Firewall y Grupo en las listas desplegables.
7. Seleccione el grupo Estudiantes. Haga clic en Seleccionar, luego haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas con el grupo Estudiantes (Active Directory ) en la
seccin De de la poltica.
8. En el cuadro de dilogo Nuevas propiedades de polticas, seleccione la pestaa Propiedades.
9. Haga clic en .
WebBlocker
WebBlocker
10. Desde la lista de categoras en el lado izquierdo, haga clic en WebBlocker.
Aparece la configuracin de WebBlocker.
11. Junto a la lista desplegable WebBlocker, haga clic en .
Aparece el cuadro de dilogo Nueva configuracin de WebBlocker.
12. En el cuadro de texto Nombre, ingrese un nombre para esta configuracin de WebBlocker.
Para este ejemplo, colquele a esta configuracin el nombre Estudiantes.
13. En la pestaa Servidores, haga clic en Agregar e ingrese la direccin IP del WebBlocker Server.
14. Haga clic en la pestaa Categoras para mostrar las categoras de contenido que se pueden
bloquear.
15. Seleccione la casilla de verificacin de cada categora de contenido que desee bloquear para los
usuarios del grupo Estudiantes.
Cree una poltica de proxy HTTP para los maestros
Repita los mismos pasos para configurar una poltica diferente para el grupo Maestros.
WebBlocker
WebBlocker
En este ejemplo, denominamos la poltica de proxy como proxy-HTTP-maestros.
Eliminar para eliminarla.
Para este ejemplo, agregue el grupo Maestros.
7. Seleccione el grupo Maestros. Haga clic en Seleccionar, luego haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas con el grupo Maestros (Active Directory ) en la
9. Haga clic en .
10. Desde la lista de categoras en el lado izquierdo, haga clic en WebBlocker.Aparece la configuracin de
WebBlocker.
En este ejemplo, utilizamos el nombre Maestros.
bloquear.
WebBlocker
WebBlocker
usuarios del grupo Maestros.
Cree una poltica de filtrado de paquetes HTTP para el grupo TI
El equipo TI necesita tener acceso a Internet sin restricciones. Como no necesitamos una poltica que
inspeccione el contenido de los paquetes HTTP para estos usuarios, creamos una poltica de filtrado de
paquetes HTTP en lugar de una poltica de proxy HTTP.
2. En la carpeta Filtrado de paquetes, seleccione HTTP. Haga clic en Agregar.
En este ejemplo, denominamos la poltica de proxy como HTTP-TI.
Para este ejemplo, agregue el grupo TI.
7. Seleccione el grupo TI. Haga clic en Seleccionar, luego haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas con el grupo TI (Active Directory ) en la seccin
WebBlocker
WebBlocker
De de la poltica.
8. Haga clic en OK.
Los miembros del grupo TI ya no se ven afectados por las restricciones de WebBlocker.
Eliminar o modificar la poltica saliente.
Despus de configurar su proxy HTTP para agregar un perfil de WebBlocker, debe asegurarse de que la
poltica saliente predeterminada no permita que los clientes de la red visiten sitios web sin autenticacin de
usuario. Para hacer esto, puede eliminar la poltica saliente y agregar cualquier otra poltica de red saliente
que necesite o bien, puede editar la poltica saliente para agregar sus grupos de usuarios de autenticacin
de WebBlocker. A continuacin se explican las dos opciones.
Opcin 1: Eliminar la poltica saliente y agregar otras polticas de red salientes
sta es la opcin que le recomendamos si desea tener un mayor control sobre el acceso de red saliente.
Debe saber qu puertos y protocolos son necesarios para satisfacer las necesidades de su organizacin.
Primero, elimine la poltica saliente:
1. Desde el Policy Manager , seleccione la poltica Saliente.
2. Seleccione Editar > Eliminar poltica.
3. Haga clic en S para confirmar.
Luego, agregue una poltica de filtrado de paquetes del DNS para permitir las consultas del DNS salientes:
2. En la carpeta Filtrado de paquetes, seleccione DNS. Haga clic en Agregar.
3. Agregue todas sus redes internas a la seccin De de la poltica.
4. Haga clic en OK para guardar la poltica.
Por ltimo, agregue otras polticas personalizadas:
Agregue polticas personalizadas para cualquier otro trfico saliente necesario. Algunos ejemplos de
otras polticas personalizadas que posiblemente desee agregar incluyen los siguientes:
n SMTP (si tiene un servidor de correo)
Para obtener informacin acerca de cmo agregar una poltica personalizada, consulte Acerca de las
Polticas personalizadas en la pgina 352.
Opcin 2: Agregue sus grupos de autenticacin de usuario a la poltica saliente
Si no est seguro de qu otros puertos y protocolos salientes son necesarios para su negocio, o si se siente
cmodo con el mismo nivel de control saliente que tiene cuando utiliza la configuracin predeterminada,
puede modificar la poltica saliente para agregar sus grupos de autenticacin.
1. Desde el Policy Manager , haga doble clic en la poltica Saliente.
2. En la seccin De de la poltica, haga clic en Cualquiera de confianza. Luego, haga clic en Eliminar
para eliminarla.
3. En la seccin De de la poltica, haga clic en Cualquiera opcional. Luego, haga clic en Eliminar para
eliminarla.
4. En la seccin De de la poltica, haga clic en Agregar.
6. Haga clic en uno de los grupos de autenticacin de usuario que cre. Luego haga clic en Seleccionar.
7. Repita los pasos 5 al 6 para agregar todos los grupos de autenticacin.
WebBlocker
WebBlocker
8. Haga clic en OK.
Aparece el cuadro de dilogo Editar propiedades de polticas para la poltica saliente. Los grupos aparecen en
la seccin De de la poltica.
Direccionar usuarios automticamente al portal de inicio de sesin
Puede establecer la configuracin de autenticacin global para enviar de manera automtica a los usuarios
que todava no se autenticaron al portal de inicio de sesin de autenticacin cuando intenten acceder a
Internet.
1. Desde el Policy Manager , seleccione Configuracin > Autenticacin > Configuracin de
autenticacin.
Se abre el cuadro de dilogo Configuracin de autenticacin.
2. Seleccione la casilla de verificacin Redirigir automticamente a los usuarios a la pgina de
autenticacin para que se autentiquen.
Ahora, WebBlocker est configurado para utilizar diferentes polticas para diferentes grupos de usuarios
autenticados y redirige a los usuarios no autenticados de manera automtica a una pgina de autenticacin.
Configurar Single Sign-On (SSO)
Cuando los usuarios inician la sesin en los equipos en su red, deben presentar un nombre de usuario y
contrasea. Si usa la autenticacin en Active Directory en su Firebox para restringir el trfico de red saliente
a usuarios o grupos determinados, ellos tambin deben iniciar sesin nuevamente cuando se autentican
manualmente al dispositivo para acceder a recursos de red, como la Internet. Puede utilizar Single Sign-On
(SSO) para que los usuarios de las redes de confianza u opcionales se autentiquen automticamente a
Firebox cuando inicien sesin en sus computadoras.
Para utilizar SSO, debe instalar el software del agente SSO en una de las computadoras en su dominio. Para
un entorno como el de una escuela, donde ms de una persona utiliza la misma computadora, le
recomendamos instalar el software cliente SSO en cada computadora.
Para obtener ms informacin acerca de Single Sign-On, consulte Acerca de Single Sign-On (SSO) en la
pgina 298
Configurar polticas de WebBlocker para grupos con
autenticacin en Firebox
Muchas organizaciones desean permitir distintos niveles de acceso a los sitios web para diferentes grupos
de usuarios. Para poder hacer esto, primero debe configurar la autenticacin de usuario. Luego podr
establecer diferentes configuraciones de WebBlocker para cada grupo de usuarios. En un nivel alto, los
pasos son los siguientes:
n Configurar la autenticacin de usuario.
n Agregue a los usuarios a los grupos conforme a quines desee que tengan diferentes niveles de
acceso.
n Agregue una poltica de proxy HTTP para cada grupo de usuarios. Esta poltica incluye la
configuracin de WebBlocker para ese grupo.
n Eliminar o modificar la poltica saliente predeterminada.
n Establecer la configuracin de autenticacin para que redirija a los usuarios de manera automtica a
la pgina de autenticacin de WatchGuard.
Escenario de ejemplo
Para mostrar cmo establecer esta configuracin, utilizamos una escuela que desea establecer diferentes
niveles de acceso web para tres grupos distintos:
n Estudiantes (acceso ms restringido)
n Maestros (acceso menos restringido)
n TI (acceso sin restricciones)
Configurar la autenticacin
Antes de establecer la configuracin de WebBlocker, debe configurar la autenticacin de usuario. Puede
utilizar cualquier mtodo de autenticacin, como Active Directory , autenticacin local, Radius o LDAP. Para
obtener informacin acerca de los mtodos de autenticacin admitidos, consulte Tipos de servidores de
autenticacin en la pgina 304. En este ejemplo, suponemos que la escuela desea utilizar la autenticacin
WebBlocker
WebBlocker
de Firebox.
Agregar usuarios para la autenticacin de Firebox
2. Desde la pestaa Firebox del cuadro de dilogo Servidores de autenticacin, haga clic en Agregar
debajo de la lista Usuarios.
3. Ingrese el Nombre y (opcional) una Descripcin del nuevo usuario.
El Nombre es el nombre de usuario que se utiliza para la autenticacin. El nombre no puede contener espacios.
4. Ingrese y confirme la Frase de contrasea que desea que la persona utilice para la autenticacin.
Nota Al definir esa frase de contrasea, los caracteres estn enmascarados y no
aparecen en el texto simple de nuevo. Si pierde la frase de contrasea, debe definir
una nueva.
5. En el campo Tiempo de espera de sesin, defina el perodo mximo de tiempo que el usuario
puede enviar trfico a la red externa.
6. En el campo Tiempo de espera inactivo, establezca la cantidad de tiempo que el usuario puede
permanecer autenticado mientras est inactivo (sin transmitir trfico hacia la red externa).
Aparece el cuadro de dilogo Servidores de autenticacin, con el nombre de usuario agregado a la lista de
Usuarios.
Repita estos pasos para agregar a cada usuario a la base de datos de autenticacin de Firebox. Para este
ejemplo, todos los estudiantes, los maestros y los miembros del equipo de TI.
WebBlocker
WebBlocker
Definir los grupos de autenticacin de Firebox
A continuacin, debe definir los grupos de usuario que corresponden a las diferentes polticas de
WebBlocker que desea utilizar. Cree un grupo para cada nivel diferente de acceso a sitios web que desee
permitir. En este ejemplo, definimos tres grupos, Maestros, Estudiantes y TI.
2. Haga clic en Agregar debajo de la lista Grupos de usuario.
Aparece el cuadro de dilogo "Configurar Grupo de Firebox".
4. Ingrese un nombre para el grupo. Para este ejemplo, el nombre del grupo es Maestros.
5. (Opcional) Ingrese una descripcin para el grupo.
6. Agregue los nombres de usuario de todos los maestros en este grupo. Para agregar un usuario al
grupo, seleccione el nombre de usuario en la lista Disponible. Haga clic en para desplazar el
nombre a la lista Miembro.
Tambin puede hacer doble clic en el nombre de usuario en la lista "Disponible".
7. Despus de agregar a todos los maestros al grupo, haga clic en OK.
Aparece el cuadro de dilogo Servidores de autenticacin, con el grupo de usuario Maestros agregado.
WebBlocker
WebBlocker
Repita los mismos pasos para crear un grupo llamado Estudiantes que contenga los nombres de usuario de
todos los estudiantes y un grupo llamado TI que contenga los nombres de usuario de todos los miembros
del equipo de TI.
Cree una poltica de proxy HTTP para los estudiantes
Firebox utiliza dos categoras de polticas parafiltrar el trfico de red: filtrado de paquetes y servidores proxy.
Poltica de filtrado de paquetes
Un filtro de paquetes examina la direccin IP y el encabezado TCP/UDP de cada paquete. Si la
informacin en el encabezado del paquete est permitida por la configuracin del filtro de
paquetes, entonces Firebox permite el paquete. De lo contrario, Firebox lo rechaza.
Poltica de proxy
Un proxy examina tanto la informacin del encabezado como el contenido de cada paquete. Si la
informacin del encabezado del paquete y el contenido del paquete estn permitidos por la
configuracin del proxy, entonces Firebox permite el paquete. De lo contrario, Firebox lo rechaza.
Para bloquear el acceso a categoras de sitios web para un grupo de usuarios, debe crear una poltica de
proxy HTTP para esos usuarios y definir una accin de WebBlocker para esa poltica. El proxy HTTP luego
podr inspeccionar el contenido y permitirles o negarles a los usuarios el acceso a un sitio web sobre la
base de las categoras de WebBlocker configuradas para esa poltica.
En este ejemplo, denominamos la poltica de proxy como proxy-HTTP-estudiantes.
Eliminar.
WebBlocker
WebBlocker
7. Seleccione el grupo Estudiantes. Haga clic en Seleccionar, luego haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas con el grupo Estudiantes (Firebox-DB) en la
9. Haga clic en .
WebBlocker
WebBlocker
Para este ejemplo, colquele a esta configuracin el nombre Estudiantes.
bloquear.
usuarios del grupo Estudiantes.
Cree una poltica de proxy HTTP para los maestros
Repita los mismos pasos para configurar una poltica diferente para el grupo Maestros.
En este ejemplo, denominamos la poltica de proxy como proxy-HTTP-maestros.
Para este ejemplo, agregue el grupo Maestros.
WebBlocker
WebBlocker
7. Seleccione el grupo Maestros. Haga clic en Seleccionar. Luego haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas con el grupo Maestros (Firebox-DB) en la
9. Haga clic en .
En este ejemplo, utilizamos el nombre Maestros.
13. En la pestaa Servidores, haga clic en Agregar, luego ingrese la direccin IP del WebBlocker Server.
14. Haga clic en la pestaa Categoras para exhibir las categoras de contenido que se pueden bloquear.
usuarios del grupo Maestros.
Cree una poltica de filtrado de paquetes HTTP para el grupo TI
El equipo TI necesita tener acceso a Internet sin restricciones. Como no necesitamos una poltica que
inspeccione el contenido de los paquetes HTTP para estos usuarios, creamos una poltica de filtrado de
paquetes HTTP en lugar de una poltica de proxy HTTP.
2. En la carpeta Filtrado de paquetes, seleccione HTTP. Haga clic en Agregar.
WebBlocker
WebBlocker
En este ejemplo, denominamos la poltica de proxy como HTTP-TI.
Para este ejemplo, agregue el grupo TI.
7. Seleccione el grupo TI. Haga clic en Seleccionar. Luego haga clic en OK.
Aparece el cuadro de dilogo Nuevas propiedades de polticas con el grupo TI (Firebox-DB) en la seccin De de
la poltica.
8. Haga clic en OK.
Los miembros del grupo TI ya no se ven afectados por las restricciones de WebBlocker.
Eliminar o modificar la poltica saliente.
Despus de configurar su proxy HTTP para agregar un perfil de WebBlocker, debe asegurarse de que la
poltica saliente predeterminada no permita que los clientes de la red visiten sitios web sin autenticacin de
usuario. Para hacer esto, puede eliminar la poltica saliente y agregar cualquier otra poltica de red saliente
que necesite o bien, puede editar la poltica saliente para agregar sus grupos de usuarios de autenticacin
de WebBlocker. A continuacin se explican las dos opciones.
Opcin 1: Eliminar la poltica saliente y agregar otras polticas de red salientes
sta es la opcin que le recomendamos si desea tener un mayor control sobre el acceso de red saliente.
Debe saber qu puertos y protocolos son necesarios para satisfacer las necesidades de su organizacin.
Primero, elimine la poltica saliente:
1. Desde el Policy Manager , seleccione la poltica Saliente.
2. Seleccione Editar > Eliminar poltica.
WebBlocker
WebBlocker
3. Haga clic en S para confirmar.
Luego, agregue una poltica de filtrado de paquetes del DNS para permitir las consultas del DNS salientes:
2. En la carpeta Filtrado de paquetes, seleccione DNS. Haga clic en Agregar.
3. Agregue todas sus redes internas a la seccin De de la poltica.
4. Haga clic en OK para guardar la poltica.
Por ltimo, agregue otras polticas personalizadas:
Agregue polticas personalizadas para cualquier otro trfico saliente necesario. Algunos ejemplos de
otras polticas personalizadas que posiblemente desee agregar incluyen los siguientes:
n SMTP (si tiene un servidor de correo)
Para obtener informacin acerca de cmo agregar una poltica personalizada, consulte Acerca de las
Polticas personalizadas en la pgina 352.
Opcin 2: Agregue sus grupos de autenticacin de usuario a la poltica saliente
Si no est seguro de qu otros puertos y protocolos salientes son necesarios para su negocio, o si se siente
cmodo con el mismo nivel de control saliente que tiene cuando utiliza la configuracin predeterminada,
puede modificar la poltica saliente para agregar sus grupos de autenticacin.
1. Desde el Policy Manager , haga doble clic en la poltica Saliente.
2. En la seccin De de la poltica, haga clic en Cualquiera de confianza. Luego, haga clic en Eliminar
para eliminarla.
3. En la seccin De de la poltica, haga clic en Cualquiera opcional. Luego, haga clic en Eliminar para
eliminarla.
4. En la seccin De de la poltica, haga clic en Agregar.
6. Haga clic en uno de los grupos de autenticacin de usuario que cre. Luego haga clic en Seleccionar.
7. Repita los pasos 5 al 6 para agregar todos los grupos de autenticacin.
8. Haga clic en OK.
Aparece el cuadro de dilogo Editar propiedades de polticas para la poltica saliente. Los grupos aparecen en
la seccin De de la poltica.
Direccionar usuarios automticamente al portal de inicio de sesin
Puede establecer la configuracin de autenticacin global para enviar de manera automtica a los usuarios
que todava no se autenticaron al portal de inicio de sesin de autenticacin cuando intenten acceder a
Internet.
1. Desde el Policy Manager , seleccione Configuracin > Autenticacin > Configuracin de
autenticacin.
Se abre el cuadro de dilogo Configuracin de autenticacin.
2. Seleccione la casilla de verificacin Redirigir automticamente a los usuarios a la pgina de
autenticacin para que se autentiquen.
Ahora, WebBlocker est configurado para utilizar diferentes polticas para diferentes grupos de usuarios
autenticados y redirige a los usuarios no autenticados de manera automtica a una pgina de autenticacin.
WebBlocker
32
spamBlocker
Acerca de las spamBlocker
Los correos electrnicos no deseados, tambin conocidos como spam, llenan una bandeja de entrada
promedio a una velocidad asombrosa. Un gran volumen de spam disminuye el ancho de banda, degrada la
productividad del empleado y desperdicia recursos de red. La opcin spamBlocker de WatchGuard utiliza
una tecnologa de deteccin de patrones lder en la industria proporcionada por Commtouch para bloquear
el spam en su puerta de enlace de Internet y mantenerlo alejado de su Servidor de correo electrnico.
Los filtros de correo comerciales utilizan muchos mtodos para detectar el spam. Las listas negras guardan
una lista de dominios que son utilizados por fuentes de spam conocidas y son rels abiertos para el spam.
Los filtros de contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo
electrnico. La deteccin de URL compara una lista de dominios utilizados por fuentes de spam conocidas
con el enlace publicitado en el cuerpo del mensaje de correo electrnico. No obstante, todos estos
procedimientos escanean cada mensaje de correo electrnico individual. Los atacantes pueden evitar
fcilmente esos algoritmos fijos. Pueden enmascarar la direccin del emisor para evitar una lista negra,
cambiar las palabras clave, integrar palabras en una imagen o utilizar mltiples idiomas. Tambin pueden
crear una cadena de servidores proxy para camuflar la URL publicitada.
spamBlocker utiliza la solucin Deteccin de patrones recurrentes (Recurrent-Pattern Detection, RPD)
creada por Commtouch para detectar estos ataques de spam difciles de advertir. La RPD es un mtodo
innovador que navega Internet para detectar los ataques de spam en tiempo real. La RPD detecta los
patrones del ataque, no slo el patrn de mensajes de spam individuales. Como no utiliza el contenido ni el
encabezado de un mensaje, puede identificar el spam en cualquier idioma, formato o codificacin. Para ver
un ejemplo de anlisis de ataque de spam en tiempo real, visite el Monitor de ataques de Commtouch en:
http://www.commtouch.com/Site/ResearchLab/map.asp
spamBlocker adems proporcionaunafuncinopcional de Virus Outbreak Detection. Params
informaciones, veaActivey configurelos parmetros dela Virus Outbreak Detection (VOD) enlapgina1073.
Puede ver las estadsticas de la actividad actual de spamBlocker en Firebox, como se describe en
Estadsticas de spamBlocker en la pgina 709.
Requisitos de spamBlocker
Antes de activar spamBlocker, debe tener:
n Una tecla de funcin de spamBlocker: para obtener una tecla de funcin, comunquese con su
revendedor de WatchGuard o dirjase al sitio web de WatchGuard LiveSecurity en:
http://www.watchguard.com/store
n Un servidor de correo electrnico POP3 o SMTP: spamBlocker trabaja con los servidores proxy
SMTP entrantes y POP3 de WatchGuard para escanear su correo electrnico. Si no configur el
proxy POP3 o SMTP, estos se activarn cuando configure el servicio de spamBlocker. Si tiene ms de
una poltica de proxy para POP3 o para SMTP, spamBlocker trabajar con todas.
n El DNS debe estar configurado en su Firebox: en el Administrador de la poltica, seleccione Red >
Configuracin. Haga clic en la pestaa WINS/DNSe ingrese las direcciones IP de los servidores DNS
que su Firebox utiliza para resolver los nombres de host.
n Una conexin a Internet disponible
Acciones, etiquetas y categoras de spamBlocker
El dispositivo WatchGuard utiliza las acciones de spamBlocker para aplicar decisiones acerca de la entrega
de mensajes de correo electrnico. Cuando un mensaje es asignado a una categora, se aplica la accin
relacionada. No se admiten todas las acciones cuando utiliza spamBlocker con el proxy POP3.
Permitir
Permitir que el mensaje de correo electrnico pase por Firebox.
Agregar etiqueta de asunto
Permitir que el mensaje de correo electrnico pase por Firebox pero insertar texto en la lnea de
asunto del mensaje de correo electrnico para marcarlo como spam o posible spam. Puede
mantener las etiquetas predeterminadas o personalizarlas, como se describe en la seccin de
etiquetas de spamBlocker a continuacin. Tambin puede crear reglas en su lector de correo
electrnico para clasificar el spam de manera automtica, como se describe en Cree reglas para su
lector de correo electrnico en la pgina 1074.
Poner en cuarentena (slo SMTP)
Enviar el mensaje de correo electrnico al Quarantine Server. Tenga en cuenta que la opcin Poner
en cuarentena est admitida slo si utiliza spamBlocker con el proxy SMTP. El proxy POP3 no admite
esta opcin.
Negar (slo SMTP)
Evita que el mensaje de correo electrnico sea entregado al servidor de correo. Firebox enva este
mensaje SMTP 571 al servidor de correo electrnico enviante: Entrega no autorizada, mensaje
rechazado. La opcin Negar se admite slo si utiliza spamBlocker con el proxy SMTP. El proxy POP3
no admite esta opcin.
spamBlocker
spamBlocker
Abandonar (slo SMTP)
Abandonar la conexin inmediatamente. El dispositivo WatchGuard no le brinda ningn mensaje de
error al servidor enviante. La opcin Abandonar est admitida slo si utiliza spamBlocker con el
proxy SMTP. El proxy POP3 no admite esta opcin.
Etiquetas de spamBlocker
Si selecciona la accin de spamBlocker para agregar una etiqueta a determinados mensajes de correo
electrnico, Firebox agrega una cadena de texto a la lnea de asunto del mensaje. Puede utilizar las
etiquetas predeterminadas provistas o crear etiquetas personalizadas. La longitud mxima de la etiqueta es
de 30 caracteres.
Este ejemplo muestra la lnea de sujeto de un mensaje de correo electrnico confirmado como spam. La
etiqueta que se agreg fue la predeterminada: ***SPAM***.
Asunto: ***SPAM*** Cotizacin gratuita de seguro automotor
Este ejemplo muestra una etiqueta personalizada: [SPAM]
Asunto: [SPAM] Ha sido aprobado!
Categoras de spamBlocker
La solucin Deteccin de patrones recurrentes (RPD) de Commtouch (RPD) clasifica los ataques de spam
por severidad en su base de datos Centro de deteccin anti-spam. spamBlocker consulta esta base de datos
y le asigna una categora a cada mensaje de correo electrnico.
spamBlocker tiene tres categoras:
La categora Spam confirmado incluye los mensajes de correo electrnico que vienen de emisores de
spam conocidos. Si utiliza spamBlocker con el proxySMTP, le recomendamos que utilice la accin Negar
para este tipo de correo electrnico. Si utiliza spamBlocker con el proxy POP3, le recomendamos que
utilice la accin Agregar etiqueta de asunto para este tipo de correo electrnico.
La categora Masivo incluye a los mensajes de correo electrnico que no provienen de emisores conocidos
pero que coinciden con algunos patrones de estructura de spam conocidos. Le recomendamos que utilice
la accin Agregar etiqueta de asunto para este tipo de correo electrnico, o bien, la accin Poner en
cuarentena si utiliza spamBlocker con el proxy SMTP.
La categora Sospechoso incluye a los mensajes de correo electrnico que parecen poder asociarse con un
nuevo ataque de spam. Con frecuencia, estos mensajes son mensajes de correo electrnico legtimos. Le
recomendamos que considere los mensajes de correo electrnico sospechosos como un falso positivo y en
consecuencia, no como spam, a menos que haya verificado que no se trata de un falso positivo para su red.
Tambin le recomendamos que utilice la accin Permitir para el correo electrnico sospechoso, o bien, la
accin Poner en cuarentena si utiliza spamBlocker con el proxy SMTP.
Consulte la categora de spamBlocker de un mensaje
Despus de que spamBlocker categoriza un mensaje, agrega la categora de spam al encabezado del
mensaje de correo electrnico completo como una calificacin de spam.
Para encontrar la calificacin de spam de un mensaje, abra el encabezado completo del mensaje de correo
electrnico.
Si tiene Microsoft Outlook, abra el mensaje, seleccione Ver > Opciones y busque en el cuadro de dilogo
Encabezados de Internet.
La calificacin de spam aparece en esta lnea:
X-WatchGuard-Spam_Score:
Por ejemplo:
X-WatchGuard-Spam-Score: 3, masivo; 0, sin virus
El primer nmero en esta lnea es la categora de spam. Este nmero tiene uno de estos valores:
0 - limpio
1 - limpio
2 - sospechoso
3 - masivo
4 - spam
Si activa la Virus Outbreak Detection (VOD) en su configuracin de spamBlocker, la calificacin de spam en
el encabezado del mensaje de correo electrnico tendr un nmero secundario, la categora de VOD. Este
nmero tiene uno de estos valores:
0 - sin virus
1 - sin virus
2 - posible amenaza de virus
3 - alta amenaza de virus
Activar spamBlocker
Debe utilizar un asistente para activar la caracterstica de spamBlocker en el proxy SMTP, el proxy POP3 o
ambos. Tambin puede utilizar este asistente para agregar un nuevo proxy SMTP o un nuevo proxy POP3 a
la configuracin de su dispositivo WatchGuard.
1. Asegrese de cumplir con todos los requisitos de spamBlocker, como se describen en Requisitos de
spamBlocker en la pgina 1056.
2. Importe la tecla de funcin de spamBlocker al dispositivo WatchGuard, como se describe en
Agregar una tecla de funcin a su Firebox en la pgina 64.
3. Desde WatchGuard System Manager, seleccione el dispositivo WatchGuard que desea que utilice
spamBlocker.
4. Haga clic en el cono del Policy Manager .
O bien, seleccione Herramientas > Policy Manager.
5. Desde el Policy Manager, seleccione Servicios de suscripcin > spamBlocker > Activar.
Se inicia el asistente Activar spamBlocker.
spamBlocker
spamBlocker
6. Haga clic siguiendo el asistente y aada la informacin solicitada. El asistente tiene una o dos
pantallas segn su configuracin actual del dispositivo WatchGuard.
Aplicar configuraciones de spamBlocker a sus polticas
Esta pantalla aparece si ya defini una o ms polticas de proxy SMTP o POP3 en su dispositivo WatchGuard.
Desde la lista, seleccione las polticas de proxy para las cuales desea activar spamBlocker. La casilla de
verificacin Seleccionar se ver oscurecida para las polticas que ya tengan activado spamBlocker.
Crear polticas de proxy nuevas
Esta pantalla aparece si todava no se crearon polticas de proxy SMTP ni POP3 en su dispositivo
WatchGuard, o bien si su dispositivo WatchGuard tiene SMTP o POP3 pero no ambas. El asistente puede
crear una de estas polticas o ambas por usted. Para cualquiera de las polticas, debe tener por lo menos
una interfaz externa con direccin IP esttica.
n Para crear una poltica POP3, seleccione la casilla de verificacin POP3.
n Para crear una poltica SMTP, seleccione la casilla de verificacin SMTP entrante. Ingrese la
direccin IP del servidor de correo electrnico.
n La poltica SMTP creada por este asistente contiene Cualquiera externa para el campo De y una
entrada NAT esttica para el campo Para. La entrada NAT esttica utiliza la primera direccin IP
externa esttica configurada en Firebox. Activa la opcin NAT esttica para la direccin IP del
servidor de correo electrnico que ingresa en el asistente. Si esta poltica SMTP NAT esttica
predeterminada no es la mejor opcin para su organizacin, puede utilizar el Polciy Manager para
crear una poltica SMTP antes de utilizar el asistente.
Para obtener informacin acerca de cmo agregar una poltica al Policy Manager, consulte Agregar
una poltica de la lista de plantillas en la pgina 344.
Despus de terminar el asistente, puede hacer clic en la casilla de verificacin en la parte inferior de la
pantalla para comenzar a configurar spamBlocker, como se describe en Configurado spamBlocker en la
pgina 1060.
Configurado spamBlocker
Despus de utilizar el asistente Activar spamBlocker para activar spamBlocker, puede configurar otros
parmetros.
1. Si no hizo clic en la casilla de verificacin en la pantalla final del asistente Activar spamBlocker para
configurar spamBlocker, puede hacerlo desde el Policy Manager . Seleccione Servicios de
suscripcin > spamBlocker > Configurar.
Aparece el cuadro de dilogo spamBlocker, con una lista de los servidores proxy SMTP y POP3 en su dispositivo
WatchGuard y una indicacin de si spamBlocker est activado para cada uno.
Aparece la pgina de configuracin de spamBlocker para esa poltica.
spamBlocker
spamBlocker
3. Seleccione la casilla de verificacin Activar spamBlocker.
4. Configure las acciones que spamBlocker aplicar para cada categora de correo electrnico en las
listas desplegables adyacentes a spam Confirmado,Masivo y Sospechoso. Si selecciona Agregar
etiqueta de asunto para cualquier categora, puede cambiar la etiqueta predeterminada que
aparece en el cuadro de texto a la derecha de la lista desplegable.
Para obtener ms informacin acerca de las etiquetas de spamBlocker, consulte Acciones, etiquetas
y categoras de spamBlocker en la pgina 1056.
5. Si desea enviar un mensaje de registro cada vez que spamBlocker realiza una accin, seleccione la
casilla de verificacin Enviar mensaje de registro de la accin que corresponde. Si no desea grabar
los mensajes de registro de una accin, desmarque esta casilla de verificacin.
6. La lista desplegable Cuando el servidor de spamBlocker no est disponible, el acceso al correo
electrnico POP3/SMTP est especifique cmo debe administrar el correo electrnico entrante el
dispositivo WatchGuard cuando no se puede comunicar con el servidor de spamBlocker. Le
recomendamos que utilice la accin predeterminada Permitido.
n Si configura esta opcin como Negado para el proxy POP3 o SMTP, esto causar un conflicto
con Microsoft Outlook. Cuando Outlook inicia una conexin con el servidor de correo
electrnico, spamBlocker intenta comunicarse con el servidor de spamBlocker. Si el servidor
de spamBlocker no est disponible, spamBlocker detiene la descarga de correos electrnicos.
Cuando esto ocurre, comienza un ciclo. Outlook intenta descargar los correos electrnicos y
spamBlocker detiene la descarga. Esto contina hasta que el dispositivo WatchGuard logra
conectarse al servidor de spamBlocker, se abandona la solicitud porque se vencen los tiempos
de proxy o usted cancela la solicitud.
n Si configura esta opcin como Negado con el proxy SMTP, el dispositivo WatchGuard enva este
mensaje SMTP 450 al servidor de correo electrnico enviante: La casilla de correo no est
disponible por el momento.
7. La casilla de verificacin Enviar mensaje de registro para cada correo electrnico clasificado como
no spam especifica si se agrega un mensaje al archivo de registro si un mensaje de correo
electrnico es escaneado por spamBlocker pero no es designado como spam Confirmado, Masivo ni
Sospechoso. Seleccione esta casilla de verificacin si desea agregar un mensaje al archivo de
registro en esta situacin.
8. (Opcional) Agregue reglas de excepcin a spamBlocker, como se describe en Acerca de las
Excepciones de spamBlocker en la pgina 1062.
9. Configure las acciones de Virus Outbreak Detection, como se describe en Configurar acciones de
Virus Outbreak Detection para una poltica en la pgina 1066.
Nota Si tiene algn firewall perimetral entre el dispositivo WatchGuard que utiliza
spamBlocker e Internet, ste no debe bloquear el trfico HTTP. El protocolo HTTP se
utiliza para enviar solicitudes desde el dispositivo WatchGuard hasta el servidor de
spamBlocker.
Despus de activar spamBlocker para una accin o poltica de proxy, puede definir la configuracin global
de spamBlocker. Estos ajustes se aplican a todas las configuraciones de spamBlocker. Haga clic en
Configuracin para ver o modificar la configuracin global de spamBlocker. Para ms informaciones, vea
Configure los parmetros globales de spamBlocker en la pgina 1069.
Acerca de las Excepciones de spamBlocker
Puede crear una lista de excepciones a las acciones generales de spamBlocker que se base en la direccin
del emisor o del destinatario. Por ejemplo, si desea permitir un boletn de noticias que spamBlocker
identifica como correo electrnico masivo, puede agregar a ese emisor a la lista de excepciones y utilizar la
accin Permitir independientemente de la categora de spamBlocker a la cual est asignado el emisor. O
bien, si desea aplicar una etiqueta a un emisor que spamBlocker designa como seguro, tambin puede
agregar eso a la lista de excepciones.
Asegrese de utilizar la direccin real del emisor, que figura en el campo Correo de en el encabezado del
mensaje de correo electrnico, que posiblemente no coincida con la direccin del campo De: que ve en
la parte superior del mensaje de correo electrnico. Para obtener la direccin real para la excepcin,
busque el encabezado completo del mensaje de correo electrnico (desde Microsoft Outlook, con el
mensaje abierto, seleccione Ver > Opciones y busque en el cuadro Encabezados de Internet). Las
direcciones del emisor y el destinatario estn en estas lneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepcin. Los emisores de spam pueden replicar la
informacin del encabezado. Cuanto ms especficas sean las direcciones de su lista de excepciones, ms
difcil ser replicarlas.
Paraagregar unaregla de excepcin, consulte Agregar spamBlocker reglas deexcepciones enla pgina1063.
spamBlocker
spamBlocker
Para cambiar el orden de las reglas enumeradas en el cuadro de dilogo, consulte Cambiar el orden de las
Excepciones en la pgina 1064.
Tambin puede agregar reglas de excepciones escribindolas en un archivo ASCII e importndolas a la
configuracin de su dispositivo WatchGuard. Vea Importar y exportar con spamBlocker reglas de
excepciones en la pgina 1065.
Agregar spamBlocker reglas de excepciones
Despus de activar spamBlocker, puede definir excepciones que permitan que los correos electrnicos de
emisores especficos deriven a spamBlocker.
1. Desde el Policy Manager , seleccione Servicios de suscripcin > spamBlocker > Configurar.
2. Seleccione una poltica de proxy y haga clic en Configurar. Haga clic en la pestaa Excepciones.
3. Haga clic en Agregar. Seleccionar una accin de la regla: Permitir, Agregar etiqueta de asunto,
Poner en cuarentena, Negar o Abandonar. (Recuerde que el proxy POP3 slo admite las acciones
Permitir y Agregar etiqueta de asunto en spamBlocker).
4. Ingrese un emisor, un destinatario o ambos. Puede ingresar la direccin de correo electrnico
completa o utilizar comodines.
Asegrese de utilizar la direccin real del emisor. Puede encontrar esta direccin en el campo
Correo de en el encabezado del correo electrnico. Es posible que esta direccin no coincida con
la que aparece en el campo De: que ve en la parte superior del mensaje de correo electrnico.
Para obtener la direccin real para la excepcin, busque el encabezado completo del mensaje de
correo electrnico (desde Microsoft Outlook, con el mensaje abierto, seleccione Ver > Opciones y
busque en el cuadro Encabezados de Internet). Las direcciones del emisor y el destinatario estn
en estas lneas:
X-WatchGuard-Mail-From:
X-WatchGuard-Mail-Recipients:
Tenga cuidado cuando agrega comodines a una excepcin. Los emisores de spam pueden replicar
la informacin del encabezado. Cuanto ms especficas sean las direcciones de su lista de
excepciones, ms difcil ser replicarlas.
5. Haga clic en OK.
La excepcin se agrega en la parte inferior de la lista de excepciones.
6. Si desea enviar un mensaje de registro cada vez que un correo electrnico coincida con una de las
excepciones, haga clic en la casilla de verificacinCasilla de verificacin Enviar mensaje de registro
para cada correo electrnico que coincida con una de las excepciones arriba
Las excepciones se procesan en el mismo orden en que aparecen en la lista. De ser necesario, haga clic en
los botones Arriba y Abajo para Cambiar el orden de las Excepciones.
Cambiar el orden de las Excepciones
El orden de aparicin de las reglas de excepciones de spamBlocker en el cuadro de dilogo refleja el orden
en que los mensajes de correo electrnico se comparan con las reglas. La poltica de proxy compara los
mensajes con la primera regla de la lista y contina secuencialmente desde arriba hacia abajo. Cuando un
mensaje coincide con una regla, el dispositivo WatchGuard realiza la accin relacionada. No realiza ninguna
otra accin, incluso aunque el mensaje coincida con una o ms reglas posteriores de la lista.
Para cambiar el orden de las reglas, seleccione la regla cuyo orden desea cambiar. Haga clic en el botn
Arriba o Abajo para desplazar la regla seleccionada hacia arriba o abajo de la lista.
spamBlocker
spamBlocker
Importar y exportar con spamBlocker reglas de excepciones
Si administra varios dispositivos WatchGuard o utiliza spamBlocker con ms de una definicin de proxy,
puede importar y exportar las reglas de excepcin entre ellos. Esto ahorra tiempo porque el usuario debe
definir las reglas slo una vez.
Puede transferir las reglas de excepcin entre servidores proxy o dispositivos WatchGuard de dos maneras.
n Puede escribir un archivo ASCII que define las reglas e importarlo a otros dispositivos WatchGuard o
polticas de proxy.
n Puede utilizar la interfaz del usuario de spamBlocker para definir las reglas de excepcin, exportar el
archivo a un archivo ASCII e importar ese archivo a otro archivo de configuracin o a una definicin
de proxy del dispositivo WatchGuard.
Escritura Conjuntos de reglas en un archivo ASCII
Puede escribir reglas en un archivo ASCII normal que utiliza el juego de caracteres estndar UTF-8.
Debe incluir slo una regla por lnea. La sintaxis para las reglas es:
[accin, <tag>,] remitente [, destinatario]
donde:
accin = Permitir, Agregar etiqueta de asunto <tag>, Poner en cuarentena, Negar o Abandonar. (El
proxy POP3 no admite Poner en cuarentena, Negar y Abandonar). La accin predeterminada es
Permitir.
etiqueta = El identificador que desea agregar a los mensajes de correo electrnico. El identificador
debe estar encerrado entre corchetes.
remitente = Direccin de correo electrnico (abc@mywatchguard.com) o un patrn
(*@firebox.net). La opcin predeterminada es todos los remitentes.
destinatario = Direccin de correo electrnico (abc@mywatchguard.com) o un patrn
(*@firebox.net). La opcin predeterminada es todos los destinatarios.
Los campos encerrados entre corchetes son opcionales. Si los omite, se utilizarn los valores
predeterminados.
Para agregar comentarios a un archivo, coloque un cardinal (#) antes del comentario. Asegrese de que el
comentario se ubique en su propia lnea.
Aqu tiene un ejemplo de archivo de reglas de excepcin de spamBlocker:
# permitir todos los correos electrnicos de firebox.net *@firebox.net
# utilizar la etiqueta **SPAM** en todos los correos electrnicos de xyz.com
Agregar etiqueta de asunto, <**SPAM**>, *@xyz.com
# negar todos los correos electrnicos de desconocido.com a abc@mywatchguard.com
Negar, *@desconocido.com, abc@mywatchguard.com
Importe un archivo de excepciones ASCII
1. Desde el bloque Excepciones del cuadro de dilogo Configuracin de spamBlocker, haga clic en
Importar.
2. Busque el archivo ASCII y haga clic en Abrir.
3. Si ya estn definidas las excepciones en spamBlocker, se le pregunta si desea reemplazar las reglas
existentes o anexar las reglas importadas a la lista de reglas existentes. Haga clic en Reemplazar o
Anexar.
Si hace clic en Anexar, las reglas importadas aparecen en el bloque Excepciones debajo de las reglas
existentes. Si desea cambiar el orden de las reglas de excepcin, consulte Cambiar el orden de las
Excepciones en la pgina 1064.
Nota Si importa una regla con la excepcin Negar en el proxy POP3, recibe un mensaje
de error.
Exporte reglas a un archivo ASCII
Cuando exporta reglas de excepcin desde una definicin de proxy, Firebox guarda las reglas actuales en un
archivo de texto ASCII.
1. Desde el bloque Excepciones del cuadro de dilogo Configuracin de spamBlocker, defina las
excepciones como se describe en Agregar spamBlocker reglas de excepciones en la pgina 1063.
3. En el cuadro de dilogo Abrir, seleccione dnde desea guardar el archivo de excepciones y haga clic
en Guardar.
Ahora puede abrir otra definicin de proxy SMTP o POP3 en el mismo archivo de configuracin de
Firebox o en uno diferente e importar el archivo de excepciones.
Excepciones de registro
Seleccione la casilla de verificacin Enviar mensaje de registro para cada correo electrnico que coincida
con una de las excepciones arriba si desea escribir un mensaje en el archivo de registro cada vez que un
mensaje de correo electrnico coincide con una regla de excepcin.
Configurar acciones de Virus Outbreak Detection para una
poltica
La Virus Outbreak Detection (VOD) es una tecnologa que utiliza el anlisis del trfico para identificar los
ataques de virus por correo electrnico en todo el mundo en pocos minutos y luego ofrece proteccin
contra esos virus. Suministrada por Commtouch, un lder de la industria en proteccin contra spam y virus
en correos electrnicos, la VOD est incorporada en el servicio de suscripcin de spamBlocker. Despus de
activar spamBlocker, puede configurar la Virus Outbreak Detection.
Para configurar las acciones de Virus Outbreak Detection:
spamBlocker
spamBlocker
2. Asegrese de que la Virus Outbreak Detection est activada:
n En spamBlocker cuadro de dilogo, haga clic en Configuracin.
n En el cuadro de dilogo Configuracin de spamBlocker, haga clic en la pestaa Configuracin
general.
n Seleccione la casilla de verificacin Activar Virus Outbreak Detection (VOD).
Para ms informaciones, vea Active y configure los parmetros de la Virus Outbreak Detection
(VOD) en la pgina 1073.
n Haga clic en OK.
3. En spamBlocker cuadro de dilogo, seleccione una poltica de proxy y haga clic en Configurar. Haga
clic en la pestaa Virus Outbreak Detection.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la accin que debe realizar el
dispositivo WatchGuard si VOD detecta un virus en un mensaje de correo electrnico.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la accin que debe
realizar el dispositivo WatchGuard cuando VOD no puede escanear un mensaje de correo
electrnico o un adjunto.
Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados
archivos cifrados o archivos que utilizan un tipo de compresin no admitido como los archivos Zip
protegidos por contrasea.
6. Seleccione las casillas de verificacin Registrar esta accin para enviar un mensaje de registro
cuando se detecta un virus o cuando ocurre un error de escaneo.
7. Seleccione las casillas de verificacin Alarma para enviar una alarma cuando se detecta un virus o
cuando ocurre un error de escaneo.
El proxy SMTP admite las acciones Permitir, Bloquear, Eliminar, Poner en cuarentena, Abandonar y
Bloquear. El proxy POP3 slo admite las acciones Permitir, Bloquear y Eliminar.
Para obtener ms informacin acerca de estas acciones, consulte Acciones, etiquetas y categoras de
spamBlocker en la pgina 1056.
Configure spamBlocker para colocar mensajes de correo
Para configurar spamBlocker para que ponga correos electrnicos en cuarentena:
1. Cuando ejecute el asistente Activar spamBlocker (como se describe en Activar spamBlocker en la
pgina 1058), debe asegurarse de utilizar spamBlocker con el proxy SMTP. El proxy POP3 no admite
el Quarantine Server.
2. Cuando configura las acciones que spamBlocker aplicar a las diferentes categoras de correo
electrnico (como se describe en Configurado spamBlocker en la pgina 1060), asegrese de
seleccionar la accin Poner en cuarentena por lo menos para una de las categoras. Cuando se
Tambin puede seleccionar la accin Poner en cuarentena para los mensajes de correo electrnico
identificados por Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea
Configurar acciones de Virus Outbreak Detection para una poltica en la pgina 1066.
Acerca de la utilizacin spamBlocker con servidores proxy
mltiples
Puede configurar ms de una poltica de proxy SMTP o POP3 para utilizar spamBlocker. Esto le permite
crear reglas personalizadas para grupos diferentes dentro de una organizacin. Por ejemplo, puede
permitir todos los correos electrnicos para sus empleados administrativos y utilizar una etiqueta de spam
para el equipo de mercadeo.
Si desea utilizar ms de una poltica de proxy con spamBlocker, su red debe utilizar una de estas
configuraciones:
n Cadapolticadeproxydebeenviarloscorreoselectrnicosaunservidordecorreoelectrnicointerno
diferente.
o
n Debeconfigurarlasfuentesexternasquepuedenenviarcorreoselectrnicosparacadapolticadeproxy.
spamBlocker
spamBlocker
Configure los parmetros globales de
spamBlocker
Puede usar configuracin global de spamBlocker para optimizar spamBlocker para su propia instalacin.
Como la mayora de estos parmetros afectan la cantidad de memoria que utiliza spamBlocker en el
dispositivo WatchGuard, debe equilibrar el rendimiento de spamBlocker con las dems funciones de su
Nota Para realizar las configuraciones globales de spamBlocker, debe activar
spamBlocker por lo menos para una poltica de proxy.
2. Haga clic en Configuraciones.
Aparece el cuadro de dilogo Configuracin de spamBlocker.
3. spamBlocker crea una conexin para cada mensaje que procesa. Esta conexin incluye informacin
acerca del mensaje que se utiliza para generar su calificacin de spam. spamBlocker establece un
nmero mximo predeterminado de conexiones que pueden analizarse simultneamente con
memoria intermedia segn el modelo de su dispositivo WatchGuard. Puede utilizar el campo
Nmero mximo de conexiones para aumentar o reducir este valor. Si la cantidad de trfico que
administran sus polticas de proxy es reducida, puede aumentar el nmero de conexiones admitidas
para spamBlocker sin afectar el rendimiento. Si tiene memoria disponible limitada en el dispositivo
WatchGuard, es posible que desee reducir el valor de este campo.
4. Utilice el campo Tamao mximo de archivo para escanear para configurar la cantidad de bytes
que debe tener un mensaje de correo electrnico para que pase a escanearse en spamBlocker. Por
lo general, de 20 a 40K resultan suficientes para que spamBlocker detecte el spam correctamente.
No obstante, si el spam a base de imgenes representa un problema para su organizacin, puede
aumentar el tamao mximo del archivo para bloquear ms mensajes de spam a base de imgenes.
Para obtener informacin sobre los lmites de escaneo predeterminados y mximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los lmites de escaneo de la
VOD en la pgina 1073.
5. En el campo Tamao de cach, ingrese el nmero de entradas que spamBlocker almacena
localmente para los mensajes que fueron categorizados como spam y masivos. Un cach local
puede mejorar el rendimiento porque no requiere trfico de red a Commtouch. Por lo general, no
tiene que cambiar este valor.
Puede configurar el campo Tamao de cach en 0 para que todos los correos electrnicos se
enven a Commtouch. Normalmente, esto slo se utiliza para detectar y solucionar problemas.
6. Desmarque la casilla de verificacin Activado al lado de Patrones proactivos si desea desactivar la
funcin de Patrones proactivos del motor de CT de Commtouch. Esta funcin est activada de
manera automtica. Utiliza una gran cantidad de memoria mientras se actualiza la base de datos
local. Si tiene recursos de memoria o procesador limitados, es posible que desee desactivar esta
funcin.
7. El cuadro de texto Anulacin de cadena de conexin slo se utiliza cuando debe detectar y
solucionar un problema de spamBlocker con un representante de soporte tcnico. No cambie este
valor a menos que se le solicite que proporcione informacin de depuracin adicional para un
problema de soporte tcnico.
8. Tambin puede definir varios parmetros opcionales ms para spamBlocker:
n Active y configure los parmetros de la Virus Outbreak Detection (VOD)
n Utilice un servidor proxy HTTP para spamBlocker
n Agregar reenviadores de correo electrnico de confianza para mejorar la precisin de
calificacin del spam
9. Haga clic en OK.
Para restablecer la configuracin predeterminada de spamBlocker en cualquier momento, haga clic en
Restablecer la configuracin predeterminada.
Utilice un servidor proxy HTTP para spamBlocker
Si spamBlocker debe utilizar un servidor proxy HTTP para conectarse con el servidor de CommTouch a
travs de Internet, debe configurar el servidor proxy HTTP desde Configuraciones de spamBlocker cuadro
de dilogo.
1. En el cuadro de dilogo de spamBlocker, haga clic en Configuracin.
2. Haga clic en la pestaa Servidor proxy HTTP.
spamBlocker
spamBlocker
3. En la pestaa Servidor proxy HTTP, seleccione la casilla de verificacin Contactar el servidor de
spamBlocker usando un servidor proxy HTTP.
4. Utilice los otros campos de esta pestaa para configurar los parmetros del servidor proxy, que
incluyen la direccin del servidor proxy, el puerto que debe utilizar el dispositivo WatchGuard para
comunicarse con el servidor proxy y las credenciales de autenticacin que debe utilizar el
dispositivo WatchGuard para las conexiones con el servidor proxy (si el servidor proxy las requiere).
Agregar reenviadores de correo electrnico de confianza para
mejorar la precisin de calificacin del spam
Parte de la calificacin de spam de un mensaje de correo electrnico se calcula mediante la direccin IP del
servidor desde el cual se recibi el mensaje. Si se utiliza un servicio de reenvo de correo electrnico, la
direccin IP del servidor reenviante se utiliza para calcular la calificacin del spam. Como el servidor
reenviante no es el servidor de correo electrnico fuente inicial, es posible que la calificacin del spam no
sea precisa.
Para mejorar la precisin de la calificacin del spam, puede ingresar uno o ms nombres de host o domain
names de servidores de correo electrnico en los cuales confe para que reenven el correo electrnico a
su servidor de correo electrnico. Si utiliza un servidor SMTP, ingrese uno o ms nombres de host o domain
names de los servidores de correo electrnico SMTP en los cuales confe para que reenven los mensajes a
su servidor de correo electrnico. Si utiliza un servidor POP3, ingrese los domain names de proveedores
POP3 conocidos o comnmente utilizados en los cuales confa para descargar sus mensajes por medio de
ellos.
Despus de que agrega un reenviador de correo electrnico de confianza o varios, spamBlocker ignora al
reenviador de correos electrnicos de confianza en los encabezados de los mensajes de correo
electrnico. La calificacin del spam se calcula utilizando la direccin IP del servidor de correo electrnico
fuente.
1. Desde el cuadro de dilogo Configuracin de spamBlocker, haga clic en la pestaa Reenviadores de
correo electrnico de confianza.
2. Ingrese un nombre de host o de dominio en el campo de texto en la parte inferior del cuadro de
dilogo. Haga clic en Agregar.
Si agrega un domain name, asegrese de agregar un punto al principio (.) del nombre, como en
.firebox.net.
3. (Opcional) Repita el paso 2 para agregar ms reenviadores de correo electrnico de confianza.
4. Haga clic en OK.
spamBlocker
spamBlocker
Active y configure los parmetros de la Virus Outbreak
Detection (VOD)
La Virus Outbreak Detection (VOD) es una tecnologa que identifica los ataques de virus por correo
electrnico de todo el mundo en minutos y luego ofrece proteccin contra esos virus. Ofrecida por
Commtouch, un lder de la industria en lo que respecta a proteccin contra virus y spam por correo
electrnico, VOD atrapa los virus incluso ms rpido que los sistemas basados en firmas.
Para activar y configurar VOD:
1. Desde el cuadro de dilogo Configuracin de spamBlocker, seleccione la pestaa Configuracin
general.
2. Seleccione la casilla de verificacin Activar Virus Outbreak Detection (VOD).
3. De modo predeterminado, VOD analiza los mensajes de correo electrnico entrantes hasta un lmite
de tamao predeterminado que resulta ptimo para el modelo de Firebox. Puede aumentar o
reducir este lmite mediante las flechas adyacentes a Tamao mximo de archivo VOD para
escanear.
modelo de dispositivo WatchGuard, consulte Acerca de spamBlocker y los lmites de escaneo de la
VOD en la pgina 1073.
VOD utiliza el valor mayor de los tamaos de archivo mximos configurados para la VOD o el spamBlocker.
Si el valor global para spamBlocker del campo Tamao mximo de archivo para escanear configurado en
Configuraciones de spamBlocker cuadro de dilogo es mayor que el valor de Tamao mximo de archivo
VOD para escanear, VOD utilizar el valor global para spamBlocker. Para obtener informacin acerca de la
configuracin global de spamBlocker, consulte Configure los parmetros globales de spamBlocker en la
pgina 1069.
En las definiciones de proxy para spamBlocker, puede configurar las acciones que desea que spamBlocker
realice cuando encuentre un virus, como se describe en Configurar acciones de Virus Outbreak Detection
para una poltica en la pgina 1066.
Acerca de spamBlocker y los lmites de escaneo de la VOD
spamBlocker escanea cada archivo hasta un conteo de kilobytes especfico. Todos los bytes adicionales en el
archivo no se examinan. Esto permite al proxy escanear parcialmente archivos muy grandes sin ocasionar
un efecto considerable en el rendimiento. Los lmites de escaneo predeterminado y mximo son diferentes
para cada modelo de dispositivo WatchGuard.
Lmites de escaneo del archivo por modelo de dispositivo WatchGuard,
en kilobytes
Modelo Mnimo Mximo Predeterminado
Firebox X Edge e-Series 1 40 40
Firebox X Core e-Series 1 2000 60
Firebox X Peak e-Series 1 2000 100
WatchGuard XTMXTMSerie2 1 1000 60
WatchGuard XTM5 Series 1 2000 100
WatchGuard XTM8 Series 1 2000 100
WatchGuard XTM1050 1 2000 100
Para obtener informacin acerca de cmo configurar el tamao mximo del archivo a escanear mediante
spamBlocker y la VOD, consulte Configure los parmetros globales de spamBlocker en la pgina 1069 y
Active y configure los parmetros de la Virus Outbreak Detection (VOD) en la pgina 1073
Cree reglas para su lector de correo electrnico
Para utilizar la accin de Etiqueta en spamBlocker, lo mejor es que configure su lector de correo
electrnico para clasificar los mensajes. La mayora de los lectores de correo electrnico, como Outlook,
Thunderbird y Mac Mail, le permiten configurar reglas que envan automticamente los mensajes de correo
electrnico etiquetados a una subcarpeta. Algunos lectores de correo electrnico adems permiten crear
una regla para eliminar los mensajes automticamente.
Como puede utilizar una etiqueta diferente para cada categora de spamBlocker, puede configurar una
regla diferente para cada categora. Por ejemplo, puede configurar una regla para trasladar todos los
mensajes de correo electrnico que contengan la etiqueta ***MASIVO*** en la lnea de asunto a una
subcarpeta para correos masivos en su bandeja de entrada. Puede configurar otra regla que elimine todos
los mensajes de correo electrnico que contengan la etiqueta ***SPAM*** en la lnea de asunto.
Para obtener instrucciones acerca de cmo configurar el cliente de correo electrnico Microsoft Outlook,
consulte Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook en la pgina 1075.
Para obtener informacin acerca de cmo utilizar este procedimiento en otros tipos de clientes de correo
electrnico, consulte la documentacin del usuario de esos productos.
Nota Si utiliza spamBlocker con el proxy SMTP, puede hacer que los correos electrnicos
spamse enven al QuarantineServer. Para obtener ms informacin sobreel
QuarantineServer, consultePgina Acerca de QuarantineServer en la pgina 1111.
spamBlocker
spamBlocker
Enviar correos electrnicos spam o masivos a carpetas
especiales en Outlook
Este procedimiento le muestra los pasos para crear reglas para los correos electrnicos masivos y
sospechosos en Microsoft Outlook. Puede hacer que los correos electrnicos que contienen las etiquetas
spam o masivo se enven directamente a carpetas especiales en Outlook. Cuando cree estas carpetas,
mantendr los correos electrnicos que posiblemente sean spam fuera de sus carpetas habituales de
Outlook pero podr acceder a ellos si fuera necesario.
Antes de comenzar, asegrese de configurar spamBlocker para agregar una etiqueta a los correos
electrnicos spam y masivos. Puede utilizar las etiquetas predeterminadas o crear etiquetas personalizadas.
Los siguientes pasos describen cmo crear carpetas con las etiquetas predeterminadas.
1. En su bandeja de entrada de Outlook, seleccione Herramientas > Reglas y alertas.
2. Haga clic en Nueva regla para iniciar el asistente Reglas.
3. Seleccione Comenzar desde una regla en blanco.
4. Seleccione Comprobar los mensajes cuando llegan. Haga clic en Siguiente.
5. Seleccione la casilla de verificacin de condicin: con palabras especficas en el asunto. Luego, en
el panel inferior, edite la descripcin de la regla haciendo clic en especificar.
6. En el cuadro de dilogo Buscar texto, ingrese la etiqueta de spam como ***SPAM***. Si utiliza una
etiqueta personalizada, ingrsela aqu en lugar de la anterior.
7. Haga clic en Agregar y luego haga clic en OK.
9. El asistente le pregunta qu desea hacer con el mensaje. Seleccione la casilla de verificacin
moverlo a la carpeta especificada. Luego, en el panel inferior, haga clic en especificada para
seleccionar la carpeta de destino.
10. En el cuadro de dilogo Elegir una carpeta, haga clic en Nueva.
11. En el campo de nombre de la carpeta, ingrese Spam. Haga clic en OK.
12. Haga clic en Siguiente dos veces.
13. Para completar la configuracin de la regla, ingrese un nombre para su regla de spam y haga clic en
Terminar.
Repita estos pasos para crear una regla para el correo electrnico masivo, utilizando la etiqueta correo
electrnico masivo. Puede enviar el correo electrnico masivo a la misma carpeta o crear una carpeta
independiente para el correo electrnico masivo.
Enviar un informe acerca de falsos positivos o
falsos negativos
Un mensaje de correo electrnico falso positivo es un mensaje legtimo que spamBlocker identifica
incorrectamente como spam. Un mensaje de correo electrnico falso negativo es un mensaje de spam que
spamBlocker no identifica correctamente como spam. Si encuentra un mensaje de correo electrnico falso
positivo o falso negativo, puede enviar un informe directamente a Commtouch. Tambin puede enviar un
informe acerca de un falso positivo para un mensaje de correo electrnico masivo solicitado. ste es un
mensaje que spamBlocker identifica como correo masivo cuando un usuario en realidad solicit el mensaje
de correo electrnico.
Nota No enve un informe acerca de un falso positivo cuando el correo electrnico fue
asignado a la categora Sospechoso. Como sta no es una categora permanente,
Commtouch no investiga los informes de error de spam sospechoso.
Debe tener acceso al mensaje de correo electrnico para enviar un informe de falso positivo o falso
negativo a Commtouch. Tambin debe conocer la categora (Spam confirmado, Masivo) en la cual
spamBlocker coloc el mensaje de correo electrnico. Si no conoce la categora, consulte la seccin
"Buscar la categora a la cual est asignado un mensaje" a continuacin.
1. Guarde el mensaje de correo electrnico como un archivo .msg o .eml.
No puede reenviar el correo electrnico inicial porque Commtouch debe ver el encabezado del
correo electrnico. Si utiliza un software de correo electrnico como Microsoft Outlook o Mozilla
Thunderbird, puede arrastrar y soltar el mensaje de correo electrnico hasta una carpeta en el
escritorio de la computadora. Si utiliza un software de correo electrnico que no tiene la funcin de
arrastrar y soltar, debe seleccionar Archivo > Guardar como para guardar el mensaje de correo
electrnico en una carpeta.
2. Cree un mensaje de correo electrnico nuevo destinado a:
reportfp@blockspam.biz para los falsos positivos
reportfn@blockspam.biz para los falsos negativos
reportso@blockspam.biz para los correos electrnicos masivos solicitados que se detectan como
falsos positivos
3. Ingrese lo siguiente en la lnea de asunto de su mensaje de correo electrnico:
Informe de FP <Your Company Name> <Date of submission> para los falsos positivos
Informe de FN <Your Company Name> <Date of submission> para los falsos negativos
Informe de FP <Your Company Name> <Date of submission> para los correos electrnicos
masivos solicitados que se detectan como falsos positivos
4. Adjunte el archivo .msg o .eml al mensaje de correo electrnico y envelo.
Si tiene muchos mensajes acerca de los cuales desea informar a Commtouch, puede incluirlos a todos en
un archivo Zip. No coloque el archivo Zip dentro de un archivo Zip. El archivo Zip slo se puede comprimir
un nivel para que Commtouch pueda analizarlo de manera automtica.
Utilice el registro RefID en lugar de un mensaje de texto
Si desea enviarle un informe a Commtouch pero no puede enviar el mensaje de correo electrnico inicial
porque la informacin del mensaje es confidencial, puede utilizar el registro RefID desde el encabezado del
correo electrnico en su lugar. El registro RefID es el nmero de referencia de la transaccin entre Firebox
y el Centro de deteccin de Commtouch.
spamBlocker le agrega un encabezado de X-WatchGuard-Spam-ID a cada correo electrnico. El encabezado
tiene este aspecto:
X-WatchGuard-Spam-ID: 0001.0A090202.43674BDF.0005-G-gg8BuArWNRyK9/VKO3E51A==
La larga secuencia de nmeros y letras despus de la parte X-WatchGuard-Spam-ID: del encabezado es
el registro RefID.
spamBlocker
spamBlocker
En lugar de adjuntar el correo electrnico inicial, coloque el registro de referencia en el cuerpo de su
mensaje de correo electrnico. Si tiene ms de un mensaje de correo electrnico acerca del cual desea
enviar un informe, coloque cada registro RefID en una lnea independiente.
Para ver los encabezados de los correos electrnicos si utiliza Microsoft Outlook:
1. Abra el mensaje de correo electrnico en una ventana nueva o seleccinelo en Outlook.
2. Si abre el correo electrnico en una ventana independiente, seleccione Ver > Opciones.
Si resalta el correo electrnico en Outlook, haga clic con el botn derecho sobre el mensaje de
correo electrnico y seleccione Opciones.
Los encabezados aparecen en la parte inferior de la ventana Opciones de mensaje.
Para ver los encabezados de los correos electrnicos si utiliza Microsoft Outlook Express:
1. Abra el mensaje de correo electrnico en una ventana nueva o resltelo en Outlook Express.
2. Si abre el correo electrnico en una ventana independiente, seleccione Archivo > Propiedades.
Si destaca el correo electrnico en Outlook Express, haga clic derecho sobre ste y seleccione
Propiedades.
3. Haga clic en la pestaa Detalles para ver los encabezados.
Para ver los encabezados de los correos electrnicos si utiliza Mozilla Thunderbird:
1. Abra los mensajes de correo electrnico en una ventana nueva.
2. Seleccione Ver > Encabezados > Todos.
Buscar la categora a la cual est asignado un mensaje
Las etiquetas de los mensajes representan la nica forma de saber a qu categora est asignado un
mensaje. Cambie la accin a Agregar etiqueta de asunto y utilice una secuencia nica de caracteres para
agregar al comienzo de la lnea de asunto del correo electrnico. Para obtener ms informacin acerca de
cmo utilizar las etiquetas de spamBlocker, consulte Acciones, etiquetas y categoras de spamBlocker en la
pgina 1056.
32
La Defensa de reputacin
activada
Acerca de la Defensa de reputacin activada
En los dispositivos WatchGuard XTM2 Series, 5 Series, 8 Series o XTM1050, puede utilizar la suscripcin de
seguridad de Defensa de reputacin activada (RED) para aumentar el desempeo y mejorar la seguridad de
su dispositivo XTM.
Nota La Defensa de reputacin activada no se admite en los modelos Firebox X e-Series.
La RED de WatchGuard utiliza un servidor de reputacin de WatchGuard basado en nube que asigna una
calificacin de reputacin entre 1 y 100 a cada URL. Cuando un usuario se dirige a un sitio web, la RED enva
la direccin web (o URL) solicitada al servidor de reputacin de WatchGuard. El servidor de WatchGuard
responde con una calificacin de reputacin para esa URL. Sobre la base de la calificacin de reputacin y
de los umbrales configurados localmente, la RED determina si el dispositivo XTMdebe eliminar el trfico,
permitir el trfico y escanearlo de manera local o permitirlo sin un escaneo local. Esto aumenta el
rendimiento, porque el Gateway AntiVirus no necesita escanear las URL que tienen una reputacin buena o
mala reconocida.
Umbrales de reputacin
Puede configurar dos umbrales de calificacin de reputacin:
n Umbral de reputacin mala Si la calificacin de una URL supera el umbral de reputacin Mala, el
proxy HTTP niega el acceso sin inspeccionar nada ms.
n Umbral de reputacin buena Si la calificacin de una URL es inferior al umbral de reputacin
Buena y el Gateway AntiVirus est activado, el proxy HTTP deriva el escaneo del Gateway Antivirus.
Si la calificacin de una URL es igual o se encuentra entre los umbrales de reputacin configurados y el
Gateway Antivirus est activado, el contenido es escaneado en busca de virus.
La Defensa de reputacin activada
Calificaciones de reputacin
La calificacin de reputacin de una URL se basa en los comentarios recolectados de dispositivos de todo el
mundo. Incorpora los resultados de escaneo de dos motores contra el malware principales: Kaspersky y
AVG. La Defensa de reputacin activada utiliza la inteligencia colectiva de la nube para mantener la
seguridad de la navegacin por Internet y optimizar el rendimiento en la puerta de enlace.
Una calificacin de reputacin ms cercana a 100 indica que es bastante probable que la URL contenga una
amenaza. Una calificacin de reputacin ms cercana a 1 indica que es mucho menos probable que la URL
contenga una amenaza. Si el servidor de la RED no tiene una calificacin previa para una direccin web
determinada, le asignar una calificacin neutral de 50. La calificacin de reputacin cambia desde la
calificacin predeterminada de 50 sobre la base de una cantidad de factores.
Estos factores puedenhacer que lacalificacinde reputacinde unaURL aumente, ose desplace haciael 100:
n Resultados de escaneo negativos
n Resultados de escaneo negativos para un enlace remitido
Estos factores puedenhacer que la calificacinde reputacinde unaURL disminuya, o se desplace haciael 1:
n Mltiples escaneos limpios
n Escaneos limpios recientes
Las calificaciones de reputacin pueden cambiar con el paso del tiempo. Para un mejor rendimiento, el
dispositivo XTMalmacena las calificaciones de reputacin de las direcciones web a las que se accedi
recientemente en una cach local.
Comentario sobre la Defensa de reputacin activada
Si el Gateway AntiVirus est activado, puede elegir si desea enviar los resultados de los escaneos locales del
Gateway Antivirus al servidor de WatchGuard. Tambin puede elegir si desea cargar los resultados de
escaneo del Gateway Antivirus en WatchGuard incluso si la Defensa de reputacin activada no est activada
o no tiene licencia en su dispositivo. Se cifran todas las comunicaciones entre su red y el servidor de
Defensa de reputacin activada.
Le recomendamos que active la carga de los resultados de escaneo local a WatchGuard para mejorar la
cobertura y precisin general de la Defensa de reputacin activada.
Puede activar la Defensa de reputacin activada (RED) para aumentar la seguridad y el rendimiento de las
polticas de proxy HTTP de su dispositivo XTM. No puede activar esta funcin en un dispositivo e-Series.
Antes de empezar
La Defensa de reputacin activada es un servicio de suscripcin. Antes de configurar la RED, debe Obtener
una tecla de funcin junto a LiveSecurity en la pgina 63 y Agregar una tecla de funcin a su Firebox en la
pgina 64.
Activar la Defensa de reputacin activada
Para activar la Defensa de reputacin activada en su dispositivo XTM:
1. En el Policy Manager, seleccione Servicios de suscripcin > Defensa de reputacin activada.
Aparece el cuadro de dilogo Defensa de reputacin activada.
2. Seleccione la poltica de proxy HTTP para la cual desea activar la red y haga clic en Activar. Debe
configurar por lo menos una poltica de proxy HTTP para utilizar la RED.
El estado de la Defensa de reputacin activada cambia a Activado.
Aparecen las configuraciones de la Defensa de reputacin activada para esa poltica.
4. Marque la casilla de seleccin Bloquear de inmediato las URL que tengan mala reputacin para
bloquear el acceso a los sitios con calificaciones superiores al umbral de reputacin Mala
configurado.
5. Marque la casilla de seleccin Derivar cualquier escaneo de virus configurado para las URL que
tengan buena reputacin para hacer que el Gateway AntiVirus ignore los sitios que tengan una
calificacin inferior al umbral de reputacin Buena configurado.
6. Si desea activar una alarma para la accin, marque la casilla de seleccin Alarma para esa accin de
la RED. Si no desea utilizar la alarma, desmarque la casilla de seleccin Alarma para esa accin.
7. Si desea guardar los mensajes de registro de la accin, marque la casilla de seleccin Registro para
esa accin de la RED. Si no desea guardar los mensajes de registro para una respuesta de la RED,
limpie la casilla de seleccin Registro para esa accin.
Configurar los umbrales de reputacin
Puede cambiar los umbrales de reputacin en la configuracin avanzada.
1. En de configuracin de la Defensa de reputacin activada cuadro de dilogo, haga clic en Avanzado.
Aparece el cuadro de dilogo Configuracin Avanzada.
2. En el cuadro de texto Umbral de mala reputacin, ingrese o seleccione la calificacin de umbral
para la mala reputacin.
El proxy puede bloquear el acceso a los sitios que tengan una reputacin superior a este umbral.
3. En el cuadro de texto Umbral de buena reputacin, ingrese o seleccione la calificacin de umbral
para la buena reputacin.
El proxy puede derivar el escaneo del Gateway AntiVirus para los sitios que tienen una calificacin de
reputacin inferior a este umbral.
4. Haga clic en Restaurar la configuracin predeterminada si desea restablecer los umbrales de
reputacin a los valores predeterminados.
Tambin puede configurar la Defensa de reputacin activada desde el cuadro de dilogo Editar
propiedades de poltica:
1. Haga doble clic sobre la poltica.
3. Haga clic en .
4. Seleccione Defensa de reputacin activada en la lista Categoras.
Configurar la notificacin de alarma para las acciones de la RED
Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al trfico de
red. Si activa las alarmas para una accin de proxy, tambin debe configurar el tipo de alarma que desea
utilizar en la poltica de proxy.
Para configurar el tipo de alarma que desea utilizar para una poltica de proxy HTTP:
1. Haga doble clic sobre la poltica.
3. Haga clic en .
4. Seleccione la categora Alarmas de proxy y antivirus
5. Configure las alarmas de proxy y antivirus tal como se describe en Determinar preferencias de
registro y notificacin en la pgina 649.
Enviar los resultados de escaneo del Gateway
Antivirus a WatchGuard
Cuando activa la Defensa de reputacin activada, la configuracin predeterminada permite que su
dispositivo XTMenve los resultados de los escaneos locales del Gateway AntiVirus a los servidores de
WatchGuard. Esta accin ayuda a mejorar los resultados de la Defensa de reputacin activada para todos los
usuarios de Fireware XTM. Si tiene el Gateway AntiVirus, pero no tiene la Defensa de reputacin activada,
an as puede enviar los resultados de escaneo del Gateway AntiVirus a WatchGuard.
Para ver o cambiar la configuracin de comentarios, seleccione Servicios de suscripcin > Defensa de
reputacin activada.
La casilla de seleccin Enviar resultados de escaneo cifrados a los servidores de WatchGuard para
mejorar la cobertura y precisin general controla el hecho de si el dispositivo XTMenva los resultados de
escaneo del Gateway AntiVirus a los servidores de WatchGuard. Esta casilla de seleccin se marca de forma
predeterminada cuando configura la Defensa de reputacin activada.
n Marque esta casilla de seleccin para enviar los resultados de escaneo del Gateway AntiVirus a
WatchGuard.
n Limpie esta casilla de seleccin si no desea enviar los resultados de escaneo del Gateway AntiVirus.
Le recomendamos que permita que el dispositivo XTMenve los resultados de escaneo del antivirus a
WatchGuard. Esto puede ayudar a mejorar el rendimiento, porque los resultados de escaneo ayudan a
mejorar la precisin de las calificaciones de reputacin. Todo comentario enviado al servicio de Defensa de
reputacin activada de WatchGuard ser cifrado.
33
Gateway AntiVirus e Intrusion
Prevention
Acerca de las Gateway AntiVirus y prevencin de
intrusiones
Los piratas informticos pueden utilizar muchos mtodos para atacar computadoras mediante Internet. Las
dos categoras principales de ataque son los virus y las intrusiones.
Los virus, incluidos los gusanos y los troyanos, son programas de computadora maliciosos que se
autorreplican y colocan copias de s mismos en otros cdigos ejecutables o documentos de su
computadora. Cuando una computadora est infectada, el virus puede destruir archivos o registrar
pulsaciones.
Las intrusiones son ataques directos a su computadora. Por lo general, el ataque explota una vulnerabilidad
en una aplicacin. Estos ataques son creados para daar su red, obtener informacin importante o utilizar
sus computadoras para atacar otras redes.
Para ayudar a proteger su red de virus e intrusiones, puede adquirir el Gateway AntiVirus/Intrusion
Prevention Service (Gateway AntiVirus/IPS) opcional para que el dispositivo de WatchGuard identifique y
evite los ataques. El servicio de Intrusion Prevention y el Gateway AntiVirus funcionan con los servidores
proxy SMTP, POP3, HTTP, FTP y TCP-UDP. Cuando se identifica un nuevo ataque, se registran las
caractersticas que hacen nico a ese ataque de virus o intrusin. Estas caractersticas registradas se
conocen como la firma. El Gateway AntiVirus/IPS utiliza estas firmas para detectar virus y ataques de
intrusiones cuando son escaneados por el proxy.
Cuando activa el Gateway AntiVirus/IPS para un proxy, el Gateway AntiVirus/IPS escanea los tipos de
contenido configurados para ese proxy.
Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los
siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy
HTTP: texto/*, imagen/*, audio/*, video/*, aplicacin/javascript, aplicacin/x-
javascript y aplicacin/x-shockwave-flash. Los tipos de contenido aparecen en la
configuracin de la accin de proxy del cliente HTTP para Edge, pero el Gateway
AntiVirus no escanea estos tipos de contenido.
El Gateway AntiVirus/IPS puede escanear estos tipos de archivo comprimido: .zip, .gzip, .tar, .jar, .rar, .chm,
.lha, .pdf, contenedor XML/HTML, contenedor OLE (documentos de Microsoft Office), MIME
(principalmente los mensajes de correo electrnico en formato EML), .cab, .arj, .ace, .bz2 (Bzip), .swf (flash;
con soporte limitado).
Nota WatchGuard no puede garantizar que el Gateway AntiVirus/IPS pueda detener
todos los virus o todas las intrusiones o evitar los daos a sus sistemas o redes
causados por un ataque de virus o intrusiones.
Puede adquirir la actualizacin del Gateway AntiVirus/IPS para utilizar estos servicios. Para obtener ms
informacin visite el sitio web WatchGuard LiveSecurity en http://www.watchguard.com/store o
comunquese con su revendedor de WatchGuard.
Puede observar las estadsticas acerca de la actividad actual del Gateway AntiVirus y el servicio de Intrusion
Prevention en el dispositivo de WatchGuard, como se describe en Estadsticas de Gateway AntiVirus en la
pgina 707 y Estadstica del Intrusion Prevention Service en la pgina 708.
Instale y actualice el Gateway AntiVirus/IPS
Para instalar el Gateway AntiVirus o el Intrusion Prevention Service, debe Obtener una tecla de funcin
junto a LiveSecurity en la pgina 63 y Agregar una tecla de funcin a su Firebox en la pgina 64.
En Internet, aparecen con frecuencia nuevos virus y mtodos de intrusin. Para asegurarse de que el
Gateway AntiVirus/IPS le proporcione la mejor proteccin, debe actualizar las firmas con frecuencia. Puede
configurar el dispositivo WatchGuard para actualizar las firmas automticamente desde WatchGuard, como
de describe en Configurar el servidor de actualizacin del Gateway AntiVirus/IPS en la pgina 1096.
Tambin puede Ver estado de servicios de suscripcin y actualizar firmas manualmente.
Acerca del Gateway AntiVirus/la Intrusion Prevention y las
polticas de proxy
El Gateway AntiVirus puede trabajar con los servidores proxy SMTP, POP3, HTTP, FTP y TCP-UDP de
Watchguard. La Intrusion Prevention puede trabajar con esos servidores proxy adems de hacerlo con el
proxy DNS. Cuando activa el Gateway AntiVirus o la prevencin de intrusiones, estos servidores proxy
examinan varios tipos de trfico y realizan una accin especificada por usted, como abandonar la conexin
o bloquear el paquete y agregar su direccin de origen a la lista de Sitios bloqueados.
El Gateway AntiVirus y el IPS pueden escanear distintos tipos de trfico conforme a con qu polticas de
proxy usted utiliza la caracterstica:
n Proxy SMTP o POP3: El Gateway AntiVirus/IPS busca virus e intrusiones codificados con mtodos de
adjuntos de correo electrnico utilizados con frecuencia. Tambin puede utilizar el Gateway
AntiVirus y el proxy SMTP para enviar correos electrnicos infectados con virus al Quarantine
Gateway AntiVirus e Intrusion Prevention
Server. Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 1111 y
Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena en la
pgina 1093.
n Proxy HTTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los sitios web que los usuarios
intentan descargar.
n Proxy de TCP-UDP: Este proxy escanea el trfico en los puertos dinmicos. Reconoce el trfico de
muchos tipos de servidores proxy diferentes, incluidos los servidores proxy HTTP y FTP. El proxy
TCP-UDP luego enva el trfico al proxy adecuado para escanearlo y detectar virus e intrusiones.
Tambin puede utilizar el proxy TCP-UDP para bloquear los servicios de mensajera instantnea (IM)
o punto a punto (P2P). Para ms informaciones, vea Proxyde TCP-UDP: Bloqueo de aplicaciones en
la pgina 463.
n Proxy FTP: El Gateway AntiVirus/IPS busca virus e intrusiones en los archivos cargados o
descargados.
n Proxy DNS: El Gateway AntiVirus/IPS busca intrusiones en los paquetes DNS.
Cada proxy que utiliza el Gateway AntiVirus/IPS est configurado con opciones especiales para ese proxy.
Por ejemplo, las categoras de elementos que puede escanear son diferentes para cada proxy.
En todos los servidores proxy, usted puede limitar el escaneo de archivos a un conteo de kilobytes
especificado. El lmite de escaneo predeterminado y los lmites de escaneo mximos son diferentes para
cada modelo de dispositivo WatchGuard. Firebox escanea el comienzo de cada archivo hasta el conteo de
kilobytes especificado. Esto permite que los archivos de gran tamao pasen con un escaneo parcial.
Para obtener ms informacin acerca de los lmites de escaneo predeterminados y mximos para cada
modelo de dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus en la
pgina 1094.
Nota Para asegurarse de que el Gateway AntiVirus tenga firmas actualizadas, puede
activar las actualizaciones automticas para el servidor del Gateway AntiVirus,
como se describe en Configurar el servidor de actualizacin del Gateway
AntiVirus/IPS en la pgina 1096.
Activar Gateway AntiVirus
Existen dos maneras de activar el Gateway AntiVirus:
n Active el Gateway AntiVirus mediante un asistente desde el Policy Manager
n Activar Gateway AntiVirus desde las definiciones de proxy
Cuando utiliza el asistente Activar el Gateway AntiVirus, puede crear servidores proxy en un paso y activar
el Gateway AntiVirus para varios servidores proxy al mismo tiempo. Si planea utilizar el Gateway AntiVirus
para ms de un proxy, puede ahorrar tiempo utilizando el asistente.
Active el Gateway AntiVirus mediante un asistente desde el
Policy Manager
1. Desde WatchGuard System Manager, seleccione el dispositivo de WatchGuard en el cual desea
utilizar el Gateway AntiVirus.
2. Haga clic en .
3. Desde el Policy Manager , seleccione Servicios de suscripcin > Gateway AntiVirus > Activar.
Se inicia el asistente Activar el Gateway AntiVirus.
5. Complete el asistente. El asistente muestra diferentes pantallas dependiendo de si usted ya tiene
polticas de proxy en su configuracin. Si no las tiene, el asistente lo ayuda a crear una o ms
polticas de proxy. El asistente tiene algunas de las siguientes pantallas o todas stas segn su
configuracin actual.
Aplique la configuracin del Gateway AntiVirus a sus polticas
Esta pantalla incluye una lista de las polticas de proxy que ya se encuentran en su dispositivo WatchGuard.
Desde la lista, seleccione las polticas de proxy para las cuales desea activar el Gateway AntiVirus. Las casillas
de comprobacin Seleccionar de todas las polticas estn desactivadas o es posible que aquellas que ya
tengan activado el Gateway AntiVirus aparezcan oscurecidas.
Tambin puede activar automticamente el Gateway AntiVirus para los servidores proxy SMTP, POP3, HTTP,
FTP o TCP si cambia la configuracin en la definicin de proxy, como se describe en Activar Gateway
AntiVirus desde las definiciones de proxy en la pgina 1088.
Esta pantalla aparece si su dispositivo WatchGuard todava no tiene polticas creadas para SMTP entrante,
POP3, TCP, FTP o cliente HTTP.
Para crear una poltica, seleccione la casilla de verificacin correspondiente. Si selecciona SMTP, ingrese la
direccin IP del Servidor de correo electrnico.
Si selecciona crear una poltica SMTP, el asistente crea una poltica SMTP predeterminada, que es una
poltica NAT esttica. Para crear esta poltica SMTP predeterminada, debe tener por lo menos una interfaz
externa con direccin IP esttica o PPPoE. Se crea slo una poltica, incluso si tiene ms de una interfaz
externa. El campo Para de la poltica es una entrada NAT esttica (la direccin IP esttica de la primera
interfaz externa a la direccin IP del servicio de correo electrnico especificada). Si esta poltica
predeterminada no satisface sus requisitos, puede crear una poltica SMTP en el Policy Manager antes de
ejecutar este asistente.
Activar Gateway AntiVirus desde las definiciones de proxy
Puede activar el Gateway AntiVirus mientras edita una definicin de proxy.
1. Agregue un proxy SMTP, POP3, HTTP, FTP o TCP-UDP que desee utilizar con el Gateway AntiVirus.
Para obtener ms informacin acerca de cmo agregar polticas, consulteAgregar una poltica de
proxy a la configuracin en la pgina 383 .
2. Haga doble clic sobre la poltica en el Policy Manager .
Aparece el cuadro de dilogo Editar propiedades de poltica.
4. Haga clic en el cono Ver/Editar proxy (el cono hacia la derecha junto a la lista desplegable Accin
de proxy).
5. El Gateway AntiVirus puede escanear el trfico que coincide con las reglas de varias categoras para
cada proxy. Por ejemplo, en el caso de los servidores proxy SMTP y POP3, el Gateway AntiVirus
puede escanear el trfico que coincide con las reglas que se encuentran en las categoras Tipos de
contenido y Nombres de archivos. Desde la lista Categoras del lado izquierdo de la ventana
Configuracin de accin de proxy, haga clic en una de las siguientes categoras.
Proxy
FTP
Proxy
SMTP
Proxy
POP3
Proxy HTTP
Proxy TCP-UDP (trfico
HTTP/SMTP por puertos
dinmicos)
Descargar
Tipos de
contenido
Tipos de
contenido
Solicitudes: Rutas de URL Solicitud: Rutas de URL
Subir
Nombres
de
archivo
Nombres
de
archivo
Respuestas: Tipos de contenido,
Tipos de contenido del cuerpo
Respuestas: Tipos de contenido,
Tipos de contenido del cuerpo
6. Desde las listas desplegables Si coincide o Ninguna coincidencia, seleccione Escaneo de antivirus si
desea que el trfico que coincide o o no coincide con una regla determinada sea escaneado en
busca de virus. (Para obtener informacin acerca de cmo configurar las reglas en una definicin de
proxy, consulte Agregar, cambiar o eliminar reglas en la pgina 368.)
7. Haga clic en OK.
El Gateway AntiVirus est activado y habilitado automticamente para el proxy. Para utilizar el Gateway
AntiVirus con otros servidores proxy, debe repetir este procedimiento para cada proxy.
Nota Con el objetivo de mejorar el rendimiento, Firebox X Edge e-Series no escanea los
siguientes tipos de contenido cuando utiliza el Gateway AntiVirus con el proxy
HTTP: texto/*, imagen/*, audio/* y video/*. Los tipos de contenido aparecen en la
configuracin de la accin de proxy del cliente HTTP para Edge, pero el Gateway
AntiVirus no escanea estos tipos de contenido.
Configurar acciones del Gateway AntiVirus
Cuando activa el Gateway AntiVirus, debe configurar las medidas a tomar si se encuentra un virus o un
error en un mensaje de correo electrnico (mediante un servidor proxy SMTP o POP3), sitio web (proxy
HTTP) o archivo cargado o descargado (proxy FTP).
Las opciones para acciones de antivirus son:
Permitir
Negar (slo proxy FTP)
Niega el archivo y enva un mensaje de negacin.
Bloquear (slo servidores proxy SMTP y POP3)
Poner en cuarentena (slo proxy SMTP)
Cuando utiliza el proxy SMTP con la suscripcin de seguridad de spamBlocker, puede enviar los
mensajes de correo electrnico que contengan virus o posibles virus al Quarantine Server. Para
obtener ms informacin sobre el Quarantine Server, consulte Pgina Acerca de Quarantine Server
en la pgina 1111. Para obtener informacin sobre cmo configurar el Gateway AntiVirus para que
funcione con el Quarantine Server, consulte Configurado Gateway AntiVirus a colocar mensajes de
correo electrnico en cuarentena en la pgina 1093.
Eliminar (slo servidores proxy SMTP y POP3)
Abandonar (no admitido en proxy POP3)
Bloquear (no admitido en proxy POP3)
segura.
Configure las medidas del Gateway AntiVirus para una accin
de proxy
1. Desde el Policy Manager , seleccione Servicios de suscripcin > Gateway AntiVirus > Configurar.
Aparece el cuadro de dilogo Gateway AntiVirus.
2. Seleccione la poltica para la cual desea activar el Gateway AntiVirus y haga clic en Activar.
El estado del Gateway AntiVirus cambia a Activado.
Aparece la configuracin del Gateway AntiVirus para esa poltica.
4. Desde la lista desplegable Cuando se detecta un virus, seleccione la accin que debe realizar el
dispositivo WatchGuard si se detecta un virus en un mensaje de correo electrnico, en un archivo o
en una pgina web. Consulte el comienzo de esta seccin para obtener una descripcin de las
acciones.
5. Desde la lista desplegable Cuando ocurre un error de escaneo, seleccione la accin que debe
realizar el dispositivo WatchGuard cuando no puede escanear un objeto o un adjunto. Los adjuntos
que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos
cifrados o archivos que utilizan un tipo de compresin no admitido por el Gateway AntiVirus como
los archivos Zip protegidos por contrasea. Consulte el comienzo de esta seccin para obtener una
descripcin de las acciones.
6. Si desea guardar los mensajes de registro de la accin, seleccione la casilla de verificacin Registro
para la respuesta del antivirus. Si no desea guardar los mensajes de registro de una respuesta del
antivirus, desmarque la casilla de verificacin Registro.
7. Si desea activar una alarma para la accin, seleccione la casilla de verificacin Alarma para la
respuesta del antivirus. Si no desea utilizar la alarma, desmarque la casilla de verificacin Alarma
para esa accin.
8. El Gateway AntiVirus escanea cada archivo hasta un total de kilobytes especfico. Todos los bytes
adicionales en el archivo no se examinan. Esto permite al proxy escanear parcialmente archivos
muy grandes sin ocasionar un efecto considerable en el rendimiento. Ingrese el lmite de escaneo
de archivos en el campo Limitar el escaneo a primero
modelo de dispositivo WatchGuard, consulte Acerca de los lmites de escaneo del Gateway AntiVirus
en la pgina 1094.
Tambin puede configurar las acciones del Gateway AntiVirus en el cuadro de dilogo Editar propiedades
de polticas.
1. Haga doble clic sobre la poltica en el Policy Manager .
3. Haga clic en .
4. Seleccione el Antivirus en la lista Categoras.
Configure la notificacin de alarma para las acciones del
antivirus
Una alarma es un mecanismo para informar a los usuarios cuando una regla de proxy se aplica al trfico de
red.Si activa las alarmas para una accin del antivirus de proxy, tambin debe configurar el tipo de alarma
que desea utilizar en la poltica de proxy.
Para configurar el tipo de alarma que desea utilizar para una poltica de proxy:
1. Desde el Policy Manager , haga doble clic sobre la poltica para editarla.
3. Haga clic en el cono Ver/Editar proxy .
4. Seleccione la categora Alarmas de proxy y antivirus
5. Configure las alarmas de proxy y antivirus tal como se describe en Determinar preferencias de
registro y notificacin en la pgina 649.
Desbloquee un archivo bloqueado por el Gateway AntiVirus
WatchGuard System Manager ofrece un archivo ejecutable para desbloquear los adjuntos bloqueados por
el Gateway AntiVirus. Cuando el Gateway AntiVirus bloquea un archivo, el archivo bloqueado permanece
adjunto al mensaje de correo electrnico, pero tiene una extensin anexa de .clk. Entonces, por ejemplo, si
el nombre del archivo adjunto original era ejemplo.zip, el nombre del archivo adjunto bloqueado ser
ejemplo.zip.clk. Para desbloquear un archivo, debe guardar el archivo adjunto .clk en la computadora
donde instal WatchGuard System Manager.
La utilidad de archivo ejecutable para desbloquear archivos se encuentra en:
C:\Program Files\WatchGuard\wsm11\bin\unlock.exe
Para abrir un archivo bloqueado:
1. Guarde el archivo adjunto en una ubicacin de la computadora en donde instal WatchGuard
System Manager. Puede que le resulte ms fcil copiar el archivo a la misma ubicacin de la utilidad
unlock.exe.
2. Abrir un aviso de comando.
3. Tipo: Desbloquee <path and filename of locked file>.
Por ejemplo, si el archivo bloqueado se llama ejemplo.zip.clk y est ubicado en el directorio raz (C:\), debe
ingresar:
desbloquear c:\ejemplo.zip.clk
La utilidad guarda el archivo desbloqueado, sin la extensin .clk en el directorio local. En este ejemplo, la
utilidad escribe el archivo desbloqueado, ejemplo.zip, en el directorio C:\Program
Files\WatchGuard\wsm11\bin\.
Despus de desbloquear el archivo, le recomendamos que utilice una herramienta antivirus diferente para
escanearlo y examinar su contenido.
Configurado Gateway AntiVirus a colocar mensajes de correo
Para configurar el Gateway AntiVirus para que ponga correos electrnicos en cuarentena:
1. Cuando ejecuta el asistente Activar el Gateway AntiVirus (como se describe en Activar Gateway
AntiVirus en la pgina 1085), debe asegurarse de utilizar el Gateway AntiVirus con el proxy SMTP. El
proxy POP3 no admite el Quarantine Server.
2. Cuando configura las acciones que spamBlocker aplicar a las diferentes categoras de correo
electrnico (como se describe en Configurado spamBlocker en la pgina 1060), asegrese de
seleccionar la accin Poner en cuarentena por lo menos para una de las categoras. Cuando se
Tambin puede seleccionar la accin Poner en cuarentena para los mensajes de correo electrnico
identificados por Virus Outbreak Detection como portadores de virus. Para ms informaciones, vea
Configurar acciones de Virus Outbreak Detection para una poltica en la pgina 1066.
Acerca de los lmites de escaneo del Gateway AntiVirus
ocasionar un efecto considerable en el rendimiento. Los lmites de escaneo predeterminado y mximo son
diferentes para cada modelo de dispositivo WatchGuard.
Lmites de escaneo del archivo por modelo de dispositivo WatchGuard,
en kilobytes
Modelo Mnimo Mximo Predeterminado
Firebox X Edge e-Series 250 1024 250
Firebox X Core e-Series 250 20.480 1024
Firebox X Peak e-Series 250 30.720 1024
WatchGuard XTMXTMSerie2 250 5120 512
WatchGuard XTMSerie5 250 30.720 1024
WatchGuard XTMSerie8 250 30.720 1024
WatchGuard XTM1050 250 30.720 1024
Para obtener informacin acerca de cmo configurar el lmite de escaneo, consulte Configurar acciones del
Gateway AntiVirus en la pgina 1089.
Actualice la configuracin del Gateway
AntiVirus/IPS
El dispositivo de WatchGuard tiene varias configuraciones para el motor del Gateway AntiVirus
independientemente de con qu proxy est configurado para funcionar. Para ms informaciones, vea
Establezca la configuracin de descompresin del Gateway AntiVirus en la pgina 1095.
Es importante que actualice las firmas del Gateway AntiVirus/Intrusion Prevention Service. Puede actualizar
las firmas de dos maneras:
n Configurar el servidor de actualizacin del Gateway AntiVirus/IPS para activar las actualizaciones
automticas
n Actualice las firmas manualmente en el Firebox System Manager, como se describe en Ver estado
de servicios de suscripcin y actualizar firmas manualmente en la pgina 1098.
Si utiliza un cliente antivirus de terceros
Si utiliza un servicio de antivirus de terceros en computadoras protegidas por su dispositivo WatchGuard,
podra tener problemas con las actualizaciones del servicio de terceros. Cuando el cliente de ese servicio
secundario intenta actualizar su base de datos de firmas en el puerto 80, el servicio de Gateway
AntiVirus/IPS de Watchguard, trabajando mediante el proxy HTTP, reconoce las firmas y las destruye antes
de que puedan descargarse al cliente. El servicio secundario no puede actualizar su base de datos. Para
evitar este problema, debe agregar Proxy HTTP Excepciones a la poltica que niega el trfico de
actualizacin. Debe conocer el nombre de host de la base de datos de firmas del tercero. Luego, podr
agregar ese nombre de host como una excepcin permitida.
Siga estos pasos para configurar una excepcin en el dispositivo WatchGuard que protege las computadoras
que desean descargar firmas de IPS o antivirus:
1. Abra la definicin de la poltica de proxy HTTP que niega el trfico de actualizacin.
2. Desde la seccin Categoras, seleccione Excepciones de proxy HTTP.
3. En el cuadro de texto adyacente al botn Agregar, ingrese el nombre de host del servidor de
actualizaciones. Si desea permitir que todos los subdominios deriven al proxy, utilice el smbolo
comodn (*) antes y despus del nombre de host. Por ejemplo, *watchguard.com* permite todos
los subdominios de watchguard.com, como antivirus.watchguard.com y updates.watchguard.com.
4. Haga clic en Agregar. Repita los pasos 4 y 5 para todas las excepciones adicionales que desee
agregar.
5. Haga clic en OK dos veces para cerrar los dos cuadros de dilogo. Guardar el archivo de
configuracin.
Establezca la configuracin de descompresin del Gateway
AntiVirus
El Gateway AntiVirus puede escanear el interior de los archivos comprimidos si activa la descompresin en
la configuracin del Gateway AntiVirus.
Aparece el cuadro de dilogo Gateway AntiVirus.
2. En la pestaa En el cuadro de dilogo Gateway AntiVirus, haga clic en Configuracin.
Aparece el cuadro de dilogo Configuracin de descompresin del Gateway AntiVirus.
3. Para escanear el interior de los adjuntos comprimidos, seleccione la casilla de verificacin Activar
descompresin. Seleccione o ingrese el nmero de niveles de descompresin que desea escanear.
Si activa la descompresin en un dispositivo Firebox XCore, Peak o WatchGuard XTM, le
recomendamos que mantenga la configuracin predeterminada de los niveles de diagrama, a
menos que su organizacin deba utilizar un valor mayor. Si especifica un nmero mayor, es posible
que el dispositivo WatchGuard enve el trfico con demasiada lentitud. El Gateway AntiVirus admite
hasta seis niveles. Si el Gateway AntiVirus detecta que la profundidad del archivo es superior al valor
configurado en este campo, generar un error de escaneo para el contenido.
Los adjuntos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de
compresin que no admitimos como los archivos Zip protegidos por contrasea. Para configurar la
accin que desea que Firebox realice cuando encuentre un mensaje que no pueda escanear,
seleccione una accin para Cuando ocurre un error de escaneo en la categora General de la
configuracin de la poltica.
4. Haga clic en Restaurar la configuracin predeterminada si desea restablecer la interfaz del usuario
a su configuracin predeterminada.
5. Haga clic en OK.
Nota Le recomendamos no activar la descompresin en el dispositivo Firebox XEdge e-
Series porque esto puede reducir su rendimiento.
Configurar el servidor de actualizacin del Gateway
AntiVirus/IPS
El Gateway AntiVirus y el IPS utilizan el mismo servidor de actualizacin. Cuando configure el servidor de
actualizacin para el Gateway AntiViruso para el IPS, la configuracin se aplicar a ambos servicios.
O bien, seleccione Servicios de suscripcin > Intrusion prevention > Configurar.
2. Haga clic en Servidor de actualizaciones.
Aparece el cuadro de dilogo Servidor de actualizaciones.
3. Para activar las actualizaciones automticas del servidor, seleccione la casilla de verificacin Activar
actualizaciones automticas. Ingrese el nmero de horas que deben transcurrir entre las
actualizaciones automticas en la lista desplegable Intervalo.
n Si desea que el dispositivo WatchGuard descargue un nuevo juego de firmas de Intrusion
Prevention en este intervalo, seleccione la casilla de verificacin Firmas de prevencin
de intrusiones.
n Si desea que Firebox descargue un nuevo juego de firmas del Gateway AntiVirus en este
intervalo, seleccione la casilla de verificacin Firmas del Gateway AntiVirus.
4. No cambie la URL del servidor de actualizaciones para el Gateway AntiVirus o el IPS a menos que
WatchGuard le indique hacerlo. Si cambia la URL por accidente o incorrectamente, haga clic en
Restaurar la configuracin predeterminada para restablecer la configuracin predeterminada.
5. Haga clic en OK.
Conctese al servidor de actualizaciones mediante unservidor proxy HTTP
Si su dispositivo WatchGuard debe conectarse mediante un proxy HTTP para acceder al servidor de
actualizaciones del Gateway AntiVirus/IPS, debe agregar la informacin acerca del servidor proxy HTTP a la
configuracin del Gateway AntiVirus/IPS.
1. Desde el cuadro de dilogo Gateway AntiVirus o Intrusion Prevention, haga clic en Servidor de
actualizaciones.
2. Seleccione la casilla de verificacin Comunicarse con el servidor de actualizaciones del Gateway
AntiVirus/Intrusion Prevention mediante un servidor proxy HTTP.
3. Desde la lista desplegable Direccin del servidor, seleccione si desea identificar el servidor proxy
HTTP por nombre de host o direccin IP. Ingrese el nombre de host o la direccin IP en el campo
adjunto.
4. La mayora de los servidores proxy HTTP reciben las solicitudes en el puerto 8080. Si su proxy HTTP
utiliza un puerto diferente, ingrselo en el campo Puerto del servidor.
5. Desde la lista desplegable Autenticacin del servidor, seleccione el tipo de autenticacin que utiliza
su servidor proxy HTTP. Seleccione Sin autenticacin si su servidor proxy no requiere autorizacin.
Si su servidor proxy HTTP requiere autenticacin NTLM o Bsica, ingrese su nombre de usuario,
dominio de usuario y contrasea en los campos correctos.
6. Haga clic en OK.
Bloquee el acceso desde la red de confianza hacia el servidor de
actualizacin
Si no desea permitir que todos los usuarios de su red de confianza tengan acceso sin filtrar a la direccin IP
de la base de datos de firmas, puede utilizar un servidor interno en su red de confianza para recibir las
actualizaciones. Puede crear una nueva poltica de proxy HTTP con Proxy HTTP Excepciones o una poltica de
filtrado de paquetes HTTP que slo permita el trfico desde la direccin IP de su servidor interno hacia la
base de datos de firmas.
Ver estado de servicios de suscripcin y actualizar firmas
manualmente
Los servicios de suscripcin pueden configurarse para actualizar las firmas de manera automtica, como se
describe en Configurar el servidor de actualizacin del Gateway AntiVirus/IPS en la pgina 1096. Tambin
puede actualizar las firmas de manera manual. Si las firmas del dispositivo WatchGuard no estn
actualizadas, usted no est protegido de los ltimos virus e intrusiones.
Puede ver el estado del Gateway AntiVirus/IPS y obtener actualizaciones en la pestaa Servicios de
suscripcin en el Firebox System Manager.
Vea el estado del servicio
La pestaa Servicios de suscripcin en el Firebox System Manager le muestra si la proteccin se encuentra
activa. Tambin puede ver informacin acerca de las versiones de firmas.
Para ver el estado del servicio:
2. Haga clic en la pestaa Servicios de suscripcin.
La ventana muestra el estado de los servicios de suscripcin instalados. Deben estar instaladas las
teclas de funcin de estas caractersticas para que pueda ver la informacin de estado.
Consulte el historial de actualizacin
Desde la pestaa Servicios de suscripcin, haga clic en Historial para ver una lista de las actualizaciones de
los servicios.
Actualice los servicios de manera manual
Desde la pestaa Servicios de suscripcin, haga clic en Actualizar para el servicio que desea actualizar. Debe
ingresar su frase de contrasea de configuracin.
El dispositivo WatchGuard descarga la actualizacin de firmas ms reciente que se encuentre disponible
para el Gateway AntiVirus o el servicio de proteccin de intrusiones.
Activar Intrusion Prevention Service (IPS)
Los piratas informticos pueden utilizar muchos mtodos para atacar computadoras mediante Internet. El
objetivo de estos ataques es daar su red, obtener informacin importante o utilizar sus computadoras para
atacar otras redes. Estos ataques se conocen como intrusiones.
El Intrusion Prevention Service (IPS) se utiliza junto a las polticas de proxy para detectar y detener las
intrusiones. El IPS examina el trfico DNS, FTP, HTTP, POP3 y SMTP. Utiliza el proxy TCP/UDP para HTTP y FTP
en puertos no estndar.
Nota Como el proxy TCP-UDP tiene un juego de opciones adicional para el IPS, no se
puede utilizar este procedimiento para las polticas de proxy TCP-UDP. Para utilizar
el IPS con el proxy TCP-UDP, consulte Activar y configurar el Servicio de Intrusion
Prevention para TCP-UDP en la pgina 1109. Tambin puede utilizar el proxy TCP-
UDP para detectar y luego permitir o negar los servicios de mensajera instantnea
(IM) o punto a punto (P2P). No obstante, esta caracterstica forma parte del
producto base. No es necesario que adquiera el Intrusion Prevention Service para
poder usarlo. Para ms informaciones, vea Proxyde TCP-UDP: Bloqueo de
aplicaciones en la pgina 463.
Antes de utilizar el IPS en una poltica de proxy, debe activar la caracterstica y crear una configuracin
bsica. Puede ejecutar el asistente Activar la Intrusion Prevention o utilizar el conjunto de reglas de
Intrusion Prevention en la definicin del proxy, como se describe en Intrusion prevention en definiciones de
proxy en la pgina 383. Le recomendamos que utilice el asistente. Para ejecutar el asistente Activar la
prevencin de intrusiones:
1. Obtener una tecla de funcin junto a LiveSecurity para IPS y Agregar una tecla de funcin a su
Firebox.
2. Desde WatchGuard System Manager, conctese al dispositivo WatchGuard que desea configurar y
Abrir el Policy Manager.
3. Desde el Policy Manager , seleccione Servicios de suscripcin> Intrusion prevention > Activar.
Se inicia el asistente Activar la prevencin de intrusiones.
5. Haga clic siguiendo el asistente y aada la informacin solicitada. El asistente muestra diferentes
pantallas dependiendo de si usted ya tiene polticas de proxy en su configuracin. Si no las tiene, el
asistente lo ayuda a crear una poltica de proxy. Puede volver a utilizar el asistente para configurar el
IPS o ver las instrucciones en la seccin siguiente. El asistente tiene las siguientes pantallas.
Seleccionar las polticas de proxy que desea activar
Esta pgina del asistente muestra una lista de las polticas de proxy que ya estn definidas en su Firebox.
Desde la lista, haga clic en la casilla de verificacin Seleccionar para cada poltica de proxy a la cual desee
aplicarle la configuracin del ISP. No puede hacer clic en las casillas de verificacin Seleccionar de ninguna
poltica que ya tenga el ISP activado.
Esta pgina del asistente muestra los tipos de proxy que todava no tienen sus polticas correspondientes. Si,
por ejemplo, ya cre una poltica SMTP, sta no aparecer en la lista.
Para crear una poltica, seleccione la casilla de verificacin correspondiente. Si selecciona SMTP, ingrese la
direccin IP del Servidor de correo electrnico. Este asistente crea una poltica SMTP predeterminada, que
es una poltica NAT esttica. Para crear esta poltica SMTP predeterminada, debe tener por lo menos una
interfaz externa con direccin IP esttica o PPPoE.
Se crea slo una poltica, incluso si tiene ms de una interfaz externa. El campo Para de la poltica es una
entrada NAT esttica (la direccin IP esttica de la primera interfaz externa a la direccin IP del servidor de
correo electrnico especificado). Si esta poltica predeterminada no satisface sus requisitos, puede crear
una poltica SMTP en el Policy Manager antes de ejecutar este asistente.
Seleccione la configuracin avanzada de la prevencin de
intrusiones
Si activa la Intrusion Prevention para el proxy de un cliente HTTP, aparecer la pgina Seleccione la
configuracin avanzada de la prevencin de intrusiones . La configuracin avanzada se aplica al trfico que
pasa por el proxy HTTP. Las opciones disponibles dependen de qu servidores proxy que utilice.
Cuando haya completado el asistente, puede Configurado Intrusion Prevention Service (IPS) para cualquier
proxy que haya seleccionado para que utilice el IPS.
Configurado Intrusion Prevention Service (IPS)
Despus de utilizar el asistente Activar la Intrusion Prevention para activar el IPS y crear una configuracin
bsica, puede hacer otros cambios en la configuracin.
Si activ el IPS desde una definicin de proxy, como se describe en Intrusion prevention en definiciones de
proxy en la pgina 383, no es necesario que utilice este procedimiento. Ya configur el servicio cuando
utiliz la ventana de la definicin de proxy para activar el IPS. No obstante, puede utilizar este
procedimiento para hacer cambios en la configuracin del IPS en cualquier momento.
1. Desde el Policy Manager , seleccione Servicios de suscripcin> Intrusion prevention > Configurar.
Aparece el cuadro de dilogo Intrusion Prevention.
Aparece el cuadro de dilogo Configuracin del IPS para esa poltica.
3. Configurar acciones del IPS.
Configurar acciones del IPS
Puede utilizar el Policy Manager para establecer la configuracin del IPS para una poltica de proxy.
1. Seleccione Servicios de suscripcin > Intrusion prevention > Configurar.
2. En la lista Polticas de prevencin de intrusiones, seleccione una poltica de proxy. Haga clic en
Configurar.
Aparece el cuadro de dilogo Configuracin de prevencin de intrusiones.
3. Seleccione la casilla de verificacin Activar prevencin de intrusiones.
4. Para seleccionar las acciones que desea que el proxy realice para amenazas de diferentes niveles de
gravedad, en la lista Accin , seleccione una o ms casillas de comprobacin.
n AUTOBLOQUEAR: si el contenido coincide con una firma de un nivel de severidad igual o
superior al nivel de severidad de umbral que usted estableci, abandone la conexin y agregue
la direccin IP del emisor a la lista de sitios bloqueados. No puede seleccionar
AUTOBLOQUEAR para el proxy SMTP.
n ABANDONAR: si el contenido coincide con una firma de un nivel de severidad dentro del rango
de severidad que usted estableci, abandone la conexin. No se enva informacin al origen del
mensaje.
n PERMITIR (CON REGISTRO): permitir la transaccin incluso si el contenido coincide con una
firma de un nivel de severidad dentro del rango de severidad que usted seleccion. Las
transacciones permitidas que se realicen dentro de este rango de severidad se registrarn de
manera automtica en el archivo de registro.
n PERMITIR (SIN REGISTRO): si configur un valor que permite las amenazas sobre un nivel de
severidad mnima, las transacciones que alcancen un nivel de severidad inferior a ese nmero
se permitirn de manera automtica y no sern registradas en el archivo de registro. Los
nmeros que aparecen en la lista Severidad de amenaza para esta accin no pueden
cambiarse.
Nota Si cambia el umbral de severidad mnimo para la accin PERMITIR (CON
REGISTRO) a un nmero superior a 1, todas las transacciones que coinciden con
una firma de amenaza de menor severidad se permitirn y no sern registradas en
el archivo de registro.
5. Para configurar un nivel de severidad mnimo para las acciones de AUTOBLOQUEAR, ABANDONAR
o PERMITIR (CON REGISTRO), en el cuadro de texto Severidad de amenaza de cada accin, ingrese
o seleccione el nmero del umbral de severidad de amenaza para cada accin. Las amenazas de
intrusos son clasificadas en una escala de severidad creciente del 1 al 100. De manera
predeterminada, todas las amenazas se abandonan y se graban en el archivo de registro.
6. Para enviar un mensaje de registro por una accin de proxy, seleccione la casilla de verificacin
Registro para la accin del IPS.
Si no desea enviar un mensaje de registro por una respuesta del IPS, desmarque la casilla de
verificacin Registro.
7. Para activar una alarma para una accin de proxy, seleccione la casilla de verificacin Alarma para la
accin del IPS.
Si no desea utilizar la alarma, desmarque la casilla de verificacin Alarma para esa accin.
8. (slo proxyTCP-UDP) Seleccione el Tipo de proteccin: Cliente o Servidor. Existen conjuntos de
firmas diferentes para los puntos terminales del cliente y el servidor.
Nota El IPSutiliza un conjunto de firmas diferente para proteger a los clientes que el que
utiliza para proteger a los servidores. El tipo de proteccin determina qu conjunto
de firmas utilizar el IPScon el proxy. En el caso de los servidores proxy DNS, FTP,
HTTP, SMTP y POP3, el tipo de proteccin se configura de manera automtica. En
el caso del proxyTCP-UDP, puede configurar el tipo de proteccin como Cliente o
Servidor. Cliente es la opcin predeterminada y suele ser la mejor opcin.
9. (Slo para servidores proxy HTTP y TCP-UDP) Para activar la proteccin contra el spyware,
seleccione la casilla de verificacin Activar proteccin contra spyware.
En el caso del proxy TCP-UDP,slo puede activar la proteccin contra spyware si seleccion Cliente
como el tipo de proteccin. Cuando activa la proteccin contra spyware, el motor del IPS utiliza las
firmas de proteccin contra spyware del proyecto de fuente abierta denominado Emerging Threats
(Amenazas emergentes) adems de las firmas del IPS.
Para obtener ms informacin acerca del proyecto Emerging Threats, consulte
http://www.emergingthreats.net.
10. (Slo proxy HTTP) Seleccione la casilla de verificacin Escaneo del contenido del texto. Esto ofrece
una proteccin ms potente pero puede reducir el rendimiento.
11. Para configurar la generacin de registros y las notificaciones para el IPS, haga clic en Generacin de
registros y notificacin.
Para obtener informacin acerca de la configuracin de la generacin de registros y la notificacin,
consulte Determinar preferencias de registro y notificacin en la pgina 649.
Tambin puede configurar las acciones de Intrusion Prevention desde el cuadro de dilogo Editar
propiedades de polticas del Administrador de la poltica.
Nota Debe utilizar este procedimiento para configurar las acciones de Intrusion
Prevention para el proxy TCP-UDP. Las polticas del proxy TCP-UDP no aparecen en
el cuadro de dilogo Intrusion Prevention.
1. Para editar una poltica, seleccinela y haga doble clic sobre ella.
3. Haga clic en .
4. Desde la lista Categoras, seleccione Intrusion Prevention.
5. Establezca la configuracin de Intrusion Prevention como se describe en la seccin anterior.
Configurado excepciones de firma
Cuando activa la caracterstica del IPS en una poltica de proxy, sta examina el trfico para detectar
patrones de trfico que coincidan con las firmas de intrusiones conocidas. Cuando ocurre una coincidencia
de firma del IPS, el dispositivo WatchGuard niega el contenido y se bloquea la intrusin. Si desea permitir el
trfico bloqueado por la caracterstica del IPS, puede buscar el nmero de identificacin de la firma y
agregarla a la lista de excepciones del IPS.
Cada firma utilizada por el IPS tiene un nmero de ID nico. Puede encontrar el nmero de ID de una firma
mediante la herramienta Firebox System Manager.
Encontrar el nmero de ID de una firma
1. Abra el Firebox System Manager. Seleccione la pestaa Servicios de suscripcin.
2. En la seccin Intrusion Prevention, haga clic en Mostrar.
Aparece el cuadro de dilogo Firmas.
La ID de la firma se utiliza para agregar una excepcin de firmas.
Agregue una excepcin de firmas del IPS
1. Desde el Policy Manager , seleccione Servicios de suscripcin> Intrusion Prevention > Configurar
2. Haga clic en Excepciones de firma.
Aparece el cuadro de dilogo Excepcin de ID de firmas.
3. En el cuadro de texto ID de firma, ingrese la ID de firma de la firma que desea desactivar. Haga clic
en Agregar.
4. Haga clic en OK.
Copiar la configuracin del IPS a otras polticas
Despus de configurar el IPS para una poltica de proxy, puede copiar la misma configuracin a otras
polticas de proxy. No obstante, puede copiar la configuracin del IPS slo entre polticas compatibles con la
configuracin del IPS:
n Entre polticas FTP, DNS, POP3 y SMTP
n Entre polticas TCP mltiples
n Entre polticas HTTP mltiples
Para copiar la configuracin del IPS:
1. En la pestaa En el cuadro de dilogo Intrusion Prevention, seleccione el proxy cuya configuracin
desea copiar, haga clic derecho y seleccione Copiar configuracin del IPS.
2. Desde el mismo cuadro de dilogo, seleccione el proxy o los servidores proxy a donde desea copiar
la configuracin, haga clic derecho y seleccione Pegar configuracin del IPS.
Activar y configurar el Servicio de Intrusion
Prevention para TCP-UDP
Como puede configurar ms parmetros para el IPS con el proxy TCP-UDP que para los otros servidores
proxy, no puede utilizar el asistente Activar IPS para activar o configurar el IPS para las polticas del proxy
TCP-UDP.
1. Si todava no agreg el proxy TCP a su configuracin de Firebox, Abrir el Policy Manager, haga clic
en el signo ms (+) en la barra de herramientas del Policy Manager , ample la carpeta Servidores
proxy y haga doble clic en Proxy TCP.
2. En el cuadro de dilogo Nuevas propiedades de polticas, seleccione la pestaa Propiedades y haga
clic en .
3. Desde la seccin Categoras, seleccione Intrusion Prevention.
4. Configure elIPS como se describe en Configurar acciones del IPS en la pgina 1104.
5. Para configurar el proxy TCP-UDP para que bloquee los servicios de mensajera instantnea (IM) o
punto a punto (P2P), consulte Proxyde TCP-UDP: Bloqueo de aplicaciones en la pgina 463.
34
Quarantine Server
Pgina Acerca de Quarantine Server
El WatchGuard Quarantine Server ofrece un mecanismo seguro para poner en cuarentena cualquier
mensaje de correo electrnico que se sospeche o se sepa que es spam o contiene virus. El Quarantine
Server es un depsito para los mensajes de correo electrnico que el proxy SMTP decide poner en
cuarentena sobre la base del anlisis de spamBlocker o del Gateway AntiVirus. El control granular le
permite configurar preferencias de eliminacin de correos, asignacin de almacenamiento y otros
parmetros.
Nota El proxy SMTP requiere un Quarantine Server si lo configura para poner en
cuarentena los correos electrnicos que spamBlocker clasifique como spam o si
configura el Gateway AntiVirus para poner en cuarentena los correos electrnicos
de una categora especfica.
El Quarantine Server ofrece herramientas tanto para los usuarios como para los administradores. Los
usuarios reciben notificaciones peridicas por correo electrnico del Quarantine Server cuando tienen
correos electrnicos almacenados en el Quarantine Server. Luego, pueden hacer clic en el enlace que
aparece en el mensaje de correo electrnico para dirigirse al sitio web del Quarantine Server. En el sitio
web del Quarantine Server, pueden ver el emisor y el asunto de los mensajes de correo electrnico
sospechosos. Desde correo electrnico spam, el usuario puede liberar los mensajes de correo electrnico
que desee recibir en su bandeja de entrada y eliminar los dems mensajes. Los administradores pueden
configurar el Quarantine Server para eliminar automticamente los futuros mensajes de un dominio o
emisor especfico, o aquellos que contengan un texto especfico en la lnea de asunto.
El administrador puede ver estadsticas acerca de la actividad del Quarantine Server, como por ejemplo, la
cantidad de mensajes en cuarentena durante un intervalo de fechas especfico y la cantidad de mensajes
que posiblemente sean spam.
El proxy SMTP agrega los mensajes a diferentes categoras sobre la base de los anlisis realizados por
spamBlocker y por el Gateway AntiVirus. El Quarantine Server muestra estas clasificaciones para los
mensajes en cuarentena:
n Spam sospechoso: El mensaje puede ser spam, pero no hay suficiente informacin para decidir con
seguridad.
n Spam confirmado: El mensaje es spam.
n Masivo: El mensaje fue enviado como correo electrnico masivo comercial.
n Virus: El mensaje contiene un virus.
n Posible virus:Es posible que el mensaje contenga un virus, pero no hay suficiente informacin para
decidir con seguridad.
Configurar el Quarantine Server
Instalar el software del Quarantine Server
Asegrese de haber instalado el software del Quarantine Server en su estacin de administracin. Por lo
general, esto se hace al seleccionar los componentes del servidor que desea instalar cuando configura
WatchGuard System Manager. Si no lo hizo, ejecute nuevamente el procedimiento de instalacin como se
describe en Instale el software WatchGuard System Manager en la pgina 22, pero seleccione slo el
componente del Quarantine Server.
Ejecute el WatchGuard Server Center Setup Wizard
El WatchGuard Server Center Setup Wizard configura el Quarantine Server y cualquier otro servidor que
tenga instalado. El WatchGuard Server Center Setup Wizard se inicia automticamente la primera vez que
abre el WatchGuard Server Center.
En la computadora donde instal el software del Quarantine Server:
Center.
2. Revise la informacin en la primera pgina del asistente para asegurarse de que tiene todas las
informaciones necesarias para completar el asistente. Haga clic en Siguiente.
3. Ingrese el nombre de su organizacin. Haga clic en Siguiente.
4. Ingrese y confirme la Frase de contrasea del administrador que usar con todos sus servidores
WatchGuard. Haga clic en Siguiente.
5. (Opcional) Ingrese la direccin IP de su Firebox de puerta de enlace. Haga clic en Agregar. Haga clic
en Siguiente.
6. (Opcional) Ingrese su license key del Management Server. Haga clic en Siguiente.
7. Ingrese la Clave de cifrado del log server. Haga clic en Siguiente.
8. Ingrese el dominio para el cual desea poner mensajes en cuarentena. Haga clic en Agregar. Haga clic
en Siguiente.
9. (Opcional) Descargue e instale del base de datos del WebBlocker. Haga clic en Siguiente.
Es posible que la descarga e instalacin de la base de datos demore bastante tiempo. Si elije no instalar la
base de datos en el asistente, podr instalarla despus.
10. Revise la configuracin seleccionada. Haga clic en Siguiente.
El asistente configura sus servidores.
Paramsinformacin,veael completoConfigurar ServidoresdeWatchGuardSystemManager enlapgina501.
Quarantine Server
Quarantine Server
Nota Si instala el software del Quarantine Server despus de haber configurado otros
servidores de WatchGuard, el asistente no se iniciar automticamente cuando
abra el WatchGuard Server Center. En cambio, el asistente se inicia cuando abre el
WatchGuard Server Center y hace clic en el cono del Quarantine Server.
Establezca la configuracin del Quarantine Server
En la computadora donde instal el software del Quarantine Server:
1. Haga clic derecho en en la bandeja del sistema y seleccione Abrir el WatchGuard Server Center.
3. En el diagrama Servidores, seleccione Quarantine Server.
Aparece la pgina del Quarantine Server.
n Para cambiar la configuracin del servidor, consulte Determinar parmetros generales del
servidor en la pgina 1115.
n Para cambiar la configuracin de mantenimiento de la base de datos, consulte Cambie la
configuracin de eliminacin y los dominios aceptados en la pgina 1116.
n Para cambiar las configuraciones de notificacin, consulte Alterar configuraciones de
n Para cambiar las configuraciones de generacin de registros, consulte Configurar registros para
el Quarantine Server en la pgina 1120.
n Para cambiar las reglas que determinan cmo se ponen en cuarentena los correos, consulte
Cambiar las reglas del Quarantine Server reglas en la pgina 1121.
5. Haga clic en Aceptar cuando haya terminado.
Configure Firebox para que ponga correos electrnicos en
cuarentena
Despus de instalar y configurar el Quarantine Server, deber actualizar la configuracin de Firebox para
enviar correos al Quarantine Server.
Esta accin requiere dos pasos:
1. Configurar la direccinIP del Quarantine Server como se describe en Definir la ubicacin del
Quarantine Server en Firebox en la pgina 1122.
2. Configure las acciones de spamBlocker y el Gateway AntiVirus para que el proxy SMTP ponga
correos en cuarentena.
Para ms informaciones, vea Configure spamBlocker para colocar mensajes de correo electrnico en
cuarentena en la pgina 1068, y Configurado Gateway AntiVirus a colocar mensajes de correo
electrnico en cuarentena en la pgina 1093.
Para abrir la pgina de Configuracin del Quarantine Server:
1. Haga clic derecho en en la barra de herramientas de Windows y seleccione Abrir el WatchGuard
Server Center.
2. Ingrese la frase de contrasea del administrador.
3. Haga clic en el cono del Quarantine Server .
Aparecer la configuracin del Quarantine Server.
Cuando configure el Quarantine Server, tendr estas opciones:
n Determinar parmetros generales del servidor.
n Cambie la configuracin de eliminacin y los dominios aceptados: Cundo eliminar o por cunto
tiempo guardar los mensajes, y agregar y eliminar dominios de usuario. Slo los usuarios que utilizan
los dominios que figuran en la lista pueden recibir mensajes enviados al Quarantine Server.
n Alterar configuraciones de notificacin: Se enva un mensaje a los usuarios, indicndoles que tienen
mensajes en el Quarantine Server.
n Configurar registros para el Quarantine Server .
n Cambiar las reglas del Quarantine Server reglas: Agregar, modificar o eliminar las reglas que
determinan qu mensajes eliminar automticamente el Quarantine Server.
Quarantine Server
Quarantine Server
Determinar parmetros generales del servidor
Server Center.
3. Haga clic en .
Configuracin de la base de datos
Tamao preferido de la base de datos
Esta configuracin es para todas las notificaciones por correo electrnico. No limita el tamao
mximo de la base de datos del Quarantine Server. Se utiliza para calcular el umbral de advertencia
para los mensajes de notificacin.
Ingrese el tamao preferido de la base de datos para los mensajes de notificacin de advertencia de
la base de datos del Quarantine Server. El tamao de la base de datos puede variar de 1 a 10.000
MB. La configuracin predeterminada es de 10.000MB.
El cuadro de dilogo muestra el tamao actual de la base de datos y la cantidad de espacio sin usar.
Enviar un correo electrnico de advertencia si la base de datos alcanza el umbral de advertencia
Seleccione esta casilla de verificacin para recibir un mensaje de advertencia cuando la base de
datos est por llegar al lmite seleccionado.
Umbral de advertencia
Para especificar en qu momento desea que la base de datos le enve un mensaje de advertencia
de umbral, haga clic en la flecha hacia arriba o en la flecha hacia abajo.
Enviar mensaje de advertencia a
Ingrese la direccin de correo electrnico completa de la cuenta a donde desea enviar las
notificaciones.
Por ejemplo, supongamos que selecciona recibir un mensaje de advertencia. Si configura el umbral de
advertencia predeterminado al 90% y el tamao preferido de la base de datos en 1000MB, el Quarantine
Server le enviar un mensaje de advertencia cuando el tamao de la base de datos del Quarantine Server
llegue a los 900MB.
Configuracin del servidorSMTP
Servidor de correo electrnico saliente (SMTP)
Ingrese la direccin del servidor de correo electrnico SMTP saliente.
Utilice la informacin de inicio de sesin para el servidor de correo electrnico
Si su servidor de correo electrnico requiere autenticacin, seleccione esta casilla de verificacin.
Nombre de usuario
Ingrese el nombre de usuario para el servidor de correo electrnico. Si su servidor SMTP no
requiere nombre de usuario, puede dejar este campo en blanco.
Contrasea
Ingrese la contrasea para el servidor de correo electrnico. Si su servidor SMTP no requiere
contrasea, puede dejar este campo en blanco.
Cambie la configuracin de eliminacin y los dominios
aceptados
Server Center.
3. Haga clic en .
4. Haga clic en la pestaa Mantenimiento de la base de datos.
Quarantine Server
Quarantine Server
5. En el campo Mantener mensajes de correo electrnico en el Quarantine Server por, ingrese la
cantidad de das que se deben mantener los mensajes en el Quarantine Server. Los mensajes de
correo electrnico se mantienen por 30das de manera predeterminada.
6. En el campo Borrar mensajes vencidos a las, ingrese la hora del da para borrar los mensajes
vencidos despus de que haya transcurrido la cantidad de das del campo anterior.
Agregar o eliminar dominios aceptados
La pestaa Mantenimiento de la base de datos del cuadro de dilogo Configuracin del Quarantine Server
muestra los domain names de los cuales el Quarantine Server acepta mensajes de correo electrnico. Slo
los usuarios que utilizan los dominios que figuran en la lista pueden recibir mensajes enviados mediante el
Quarantine Server. Los mensajes enviados a usuarios que no figuran en uno de estos dominios son
eliminados.
1. Para agregar o eliminar un domain name del servidor, haga clic en Actualizar.
Aparecer el cuadro de dilogo Agregar dominios.
2. Para agregar un dominio, ingrselo en el cuadro de texto Especificar domain name y haga clic en
Agregar.
3. Para eliminar un dominio, seleccinelo en la lista y haga clic en Eliminar.
Alterar configuraciones de notificacin
Los usuarios reciben peridicamente mensajes de correo electrnico en su cliente de correo electrnico
que incluyen una lista de los mensajes actualmente almacenados para ellos en el Quarantine Server. Puede
especificar la cuenta desde la cual se envan estos mensajes. Tambin puede especificar el ttulo y el cuerpo
del mensaje. Puede configurar el intervalo que utilizar el Quarantine Server para enviar las notificaciones,
aunque no puede ser ms de una vez al da. Tambin puede configurar la hora y los minutos del da.
Server Center.
3. Haga clic en .
4. Haga clic en la pestaa Notificacin.
Quarantine Server
Quarantine Server
5. Para activar o desactivar la notificacin (y los campos de este cuadro de dilogo), utilice la casilla de
verificacin Enviar una notificacin por correo electrnico a los usuarios cuando tengan mensajes
en el Quarantine Server.
completa desde la cual desea que se enve el mensaje de notificacin.
Nota La direccin de correo electrnico debe terminar en un dominio vlido de alto nivel
(TLD).
7. En el cuadro de texto Asunto , ingrese un nombre para el asunto de los mensajes de notificacin. La
opcin predeterminada es Notificacin del WatchGuard Quarantine Server.
8. En el cuadro de texto Cuerpo , ingrese el cuerpo del mensaje de notificacin. Puede utilizar el
formato de texto o HTML en el cuerpo del mensaje.
Nota El correo electrnico de notificacin siempre estar en formato HTML, con enlaces
a los mensajes en cuarentena. El mensaje de notificacin no se muestra de la
manera adecuada en lectores de correo electrnico que no soporten el formato
HTML en el cuerpo del mensaje.
9. Junto a la etiqueta Enviar notificacin de correo electrnico cada, ingrese un intervalo de tiempo
para la notificacin y el horario del da en el que desea que se enven las notificaciones. De manera
predeterminada, la notificacin de correo electrnico se enva una vez al da. Si desea enviar
notificaciones a todos los usuarios inmediatamente, haga clic en Enviar ahora.
Nota Algunos lectores de correo electrnico marcan el mensaje de notificacin enviado
por el Quarantine Server como un correo electrnico "basura" o de "suplantacin
de identidad". Esto ocurre porque estos lectores clasifican a cualquier URL que
utilice una direccin IP como una URL sospechosa. La URL que otorga a los
usuarios el acceso al Quarantine Server incluye la direccin IP del Quarantine
Server en lugar de un nombre de host.
Configurar registros para el Quarantine Server
Desde el WatchGuard Server Center, puede configurar la ubicacin a la cual el Quarantine Server enviar
los datos de los mensajes de registro. Puede elegir enviar mensajes de registro a un WatchGuard Log Server
, Visor de Eventos del Windows y/o a un archivo de registro.
1. En el diagrama Servidores , seleccione Quarantine Server.
3. Ajuste la configuracin de su Quarantine Server.
Para obtener ms informacin acerca de la configuracin del servidor, consulte Definir la
configuracin de Registros para sus servidores WatchGuard en la pgina 635.
Quarantine Server
Quarantine Server
Cambiar las reglas del Quarantine Server reglas
Usted configura reglas para eliminar automticamente mensajes de correo electrnico que provienen de
un dominio o emisor especfico o que contienen texto especfico en la lnea de asunto.
Server Center.
3. Haga clic en .
4. Haga clic en la pestaa Reglas.
5. Para modificar una regla, haga clic sobre sta para seleccionarla.
La descripcin de la regla aparece en el bloque Descripcin de regla.
6. Haga clic en las palabras subrayadas en la descripcin de la regla para comprobar el dominio, el
emisor o la cadena de texto en la lnea de asunto.
Aparece el cuadro de dilogo Editar regla de eliminacin automtica.
7. Para agregar un nuevo dominio, emisor o cadena, ingrselo en el cuadro de texto Ingresar texto a
coincidir y haga clic en Agregar.
8. Para eliminar un dominio, un emisor o una cadena, seleccinelo en la lista y haga clic en Eliminar.
Las reglas que puede crear tienen tres restricciones:
n Las reglas no admiten caracteres comodn. Por ejemplo, no puede crear la regla Eliminar de manera
automtica los mensajes de *.gov para eliminar automticamente los correos electrnicos de todos
los dominios que utilicen la extensin .gov.
n Cuando elimina un dominio, un emisor o una cadena, el Quarantine Server slo elimina los mensajes
subsiguientes que coinciden con esa regla. No elimina los mensajes actuales que estn en la base de
datos y coinciden con la nueva regla.
n Las reglas que bloquean automticamente los mensajes que coinciden con una cadena de texto
especfica se aplican solamente al texto que aparece en la lnea de asunto. Si este texto aparece en
el cuerpo del mensaje, pero no en la lnea de asunto, el mensaje no se eliminar.
Definir la ubicacin del Quarantine Server en
Firebox
Debe definir la ubicacin del Quarantine Server en la configuracin de Firebox. Firebox enva los mensajes
de correo electrnico que deben ponerse en cuarentena al Quarantine Server ubicado en esta direccin IP.
1. Desde el Administrador de la poltica, seleccione Servicios de suscripcin > Quarantine Server.
Aparece el cuadro de dilogo del Quarantine Server.
Quarantine Server
Quarantine Server
2. Ingrese la direccin IP del Quarantine Server. Le recomendamos que no cambie el puerto del
Quarantine Server a menos que se lo solicite un representante de WatchGuard Technical Support.
3. Para enviar todos los mensajes que administra spamBlocker o el Gateway AntiVirus al Quarantine
Server, seleccione la casilla de verificacin Activar la depuracin para SMTP.
Si un mensaje de correo electrnico no es administrado por spamBlocker porque coincide con una
excepcin de spamBlocker, no ser enviado al Quarantine Server.
4. Si desea cancelar los cambios que realiz en este cuadro de dilogo y regresar a los ingresos
predeterminados, haga clic en Restaurar la configuracin predeterminada.
Acerca del Quarantine Server Client
El Quarantine Server Client le permite administrar los mensajes y usuarios del Quarantine Server. Puede
iniciar el Quarantine Server Client desde el WatchGuard System Manager.
1. Desde el WatchGuard System Manager, haga clic en .
O bien, seleccione Herramientas >Quarantine Server Client.
2. Desde el campo Nombre/DireccinIP, seleccione un servidor por su nombre de host o su direccin
IP.
Tambin puede ingresar la direccin IP o el nombre de host. Si su Quarantine Server est instalado
en la misma computadora que el WatchGuard System Manager, puede ingresar el host local en el
campo Nombre/DireccinIP.
3. En el campo Nombre de usuario, ingrese el nombre de usuario. Este usuario debe tener privilegios
de Super administrador.
Para obtener informacin acerca de la administracin basada en roles, consulte Acerca de la
administracin basada en roles en la pgina 597.
4. En el campo Contrasea, ingrese la contrasea para el usuario Super administrador.
5. Haga clic en OK.
Aparece el cuadro de dilogo Mensaje del Quarantine Server y de Administracin de usuarios.
Desde el cuadro de dilogo Mensaje del Quarantine Server y de Administracin de usuarios, puede:
n Administrar los mensajes en cuarentena
n Administrar los usuarios del Quarantine Server
n Obtener estadsticas acerca de la actividad del Quarantine Server
Quarantine Server
Quarantine Server
Administrar los mensajes en cuarentena
Puede ver todos los mensajes del Quarantine Server en el Quarantine Server Client. Puede clasificar los
mensajes por usuario, estado de cuarentena, remitente, asunto y fecha y hora de recepcin.
Ver los mensajes en cuarentena
Para iniciar el Quarantine Server Client desde el WatchGuard System Manager, seleccione Herramientas >
Quarantine Server Client. Para obtener ms detalles, consulte Acerca del Quarantine Server Client en la
pgina 1123. Aparece el cuadro de dilogo Mensaje del Quarantine Server y de Administracin de
usuarios. Los mensajes en cuarentena aparecen en la pestaa Mensajes.
Configure las opciones de visualizacin de los mensajes
Haga clic en el encabezado de cualquier columna para clasificar la lista de mensajes. Puede utilizar la lista
desplegable Filtrar por para ver todos los mensajes o slo aquellos que tienen un estado de cuarentena
especfico.
Para ver el cuerpo de un mensaje, seleccione la casilla de verificacin Ver cuerpo del mensaje. Seleccione
cualquier mensaje. Aparece un segundo panel en la parte inferior del cuadro de dilogo para mostrar el
cuerpo del mensaje. Tambin puede seleccionar cualquier mensaje y seleccionar Editar > Ver cuerpo del
mensaje o hacer clic derecho en cualquier mensaje y seleccionar Ver cuerpo del mensaje.
Guardar Mensajes a archivo local
Puede guardar en un archivo la copia de un mensaje que se encuentra en el Quarantine Server.
1. En la pestaa Mensajes del cuadro de dilogo Mensaje del Quarantine Server y de administracin
de usuarios, seleccione el mensaje que desea guardar. Slo puede guardar un mensaje por vez.
2. Haga clic en .
O bien, seleccione Archivo > Guardar como.
O bien, haga clic derecho sobre el mensaje y seleccione Guardar como.
3. Ingrese o seleccione la ubicacin en donde desea guardar el archivo. Haga clic en Guardar.
Libere los mensajes en cuarentena al destinatario
Slo puede liberar mensajes de correo electrnico spam a los usuarios. No puede liberar mensajes que
contengan o se sospeche que contengan virus.
1. En la pestaa Mensajes, seleccione el mensaje o los mensajes que desea liberar.
o
Para seleccionar una variedad de mensajes seguidos, haga clic sobre el primer mensaje,
presione la tecla Mayscula y haga clic en el ltimo mensaje.
o
Para seleccionar mensajes mltiples que no estn uno seguido del otro, presione Ctrl a
medida que selecciona cada mensaje.
o
Para seleccionar todos los mensajes, seleccione Editar >Seleccionar todos. O bien, haga clic
derecho en cualquier mensaje y seleccione Seleccionar todos.
2. Seleccione Editar > Liberar mensaje. O incluso, haga clic derecho sobre el mensaje seleccionado y
seleccione Liberar mensaje.
El mensaje se elimina de la pestaa Mensajes despus de ser enviado al usuario.
Eliminar mensajes manualmente
1. En la pestaa Mensajes, seleccione el mensaje o los mensajes que desea eliminar.
o
o
medida que selecciona mensajes.
o
2. Haga clic en .
O bien, seleccione Edicin > Eliminar.
Quarantine Server
Quarantine Server
Eliminar mensajes automticamente
Puede hacer que el Quarantine Server elimine automticamente todos los mensajes de correo electrnico
futuros de un dominio o remitente especfico o que elimine automticamente los mensajes que contienen
un texto especfico en la lnea de asunto. Todos los mensajes subsiguientes enviados a cualquier usuario y
que contengan esas prioridades sern eliminados automticamente.
1. En la pestaa Mensajes, seleccione el mensaje o los mensajes con las propiedades que desea
eliminar automticamente.
o
o
medida que selecciona mensajes.
o
2. Elija una opcin para la eliminacin automtica.
o
Desde el men Editar, seleccione Autoeliminar > dominio del remitente, Autoeliminar >
remitente o Autoeliminar > asunto. Estas opciones tambin estn disponibles desde el men
al que se accede mediante elclic derecho (contextual).
o
Tambin puede utilizar los conos equivalentes para seleccionar estas opciones.
Administrar los usuarios del Quarantine Server
El Quarantine Server mantiene una lista de todos los usuarios que tienen un mensaje de correo electrnico
almacenado en el Quarantine Server. Puede utilizar el Quarantine Server Client para ver, agregar y eliminar
usuarios, como tambin para cambiar la configuracin de la notificacin de usuarios.
Ver los usuarios del Quarantine Server
Parainiciar el Quarantine Server Client desde el WatchGuardSystemManager, seleccione Herramientas >
Quarantine Server Client. Params informaciones, veaAcerca del QuarantineServer Client enlapgina1123.
Cuando aparezca el cuadro de dilogo Mensaje del Quarantine Server y de Administracin de usuarios
haga clic en la pestaa Usuarios.
La pestaa Usuarios muestra:
n Las direcciones de correo electrnico de usuarios que pueden hacer que sus mensajes de correo
electrnico se enven al Quarantine Server.
n Si los usuarios reciben una notificacin cuando tienen correos electrnicos en el Quarantine Server.
n Si los usuarios estnvalidados onovalidados. Unusuarioestvalidadocuandorecibe unmensaje enun
cliente de correoelectrnicoacercade los mensajes enel Quarantine Server y hace clic enel enlace
paradirigirse al Quarantine Server. Muchos "usuarios" que se muestranenel Quarantine Server nunca
sonvalidados porque ladireccinde correoelectrniconocoincide conunusuarioreal.
n La cantidad de mensajes que actualmente se encuentran en el Quarantine Server destinados a ese
usuario. Si desea ver solamente los usuarios validados o los no validados, desde la lista desplegable
Filtrar por, seleccione Usuarios validados o Usuarios no validados.
Quarantine Server
Quarantine Server
Agregar usuarios
Los usuarios se agregan de manera automtica cuando se envan mensajes para ellos al Quarantine Server.
Utilice este procedimiento para agregar usuarios de manera manual:
1. Inicie el Quarantine Server Client.
2. Desde el cuadro de dilogo Mensaje del Quarantine Server y de Administracin de usuarios, haga
clic en la pestaa Usuarios.
3. Seleccione Edicin > Agregar usuario.
Aparecer el cuadro de dilogo Agregar usuario.
4. Ingrese la direccin de correo electrnico completa del usuario, como por ejemplo
nombre@ejemplo.com.
5. Seleccione el botn de radio Enviar notificacin para este usuario o No enviar notificacin para
especificar si desea notificar al usuario cuando el Quarantine Server reciba un mensaje para l.
6. Haga clic en OK.
Para ms informaciones, vea Acerca del Quarantine Server Client en la pgina 1123.
Eliminar usuarios
Cuando elimina un usuario, todos los mensajes de correo electrnico almacenados en el Quarantine Server
para ese usuario tambin se eliminan.
2. Seleccione el usuario que desea eliminar y haga clic en .
O bien, seleccione Edicin > Eliminar.
Cambiar la opcin de notificacin para un usuario
Puede notificar automticamente a los usuarios cuando tengan mensajes de correo electrnico
almacenados en el Quarantine Server.
2. Para activar la notificacin para un usuario, seleccione el usuario y haga clic en .
O bien, seleccione Edicin > Notificar usuario > S.
3. Para desactivar la notificacin para un usuario, seleccione el usuario y haga clic en .
O bien, seleccione Edicin > Notificar usuario > No.
Obtener estadsticas acercade laactividad del Quarantine Server
El Quarantine Server almacena la cantidad total de mensajes, el motivo por el cual se puso el mensaje en
cuarentena y la cantidad de mensajes eliminados de manera manual o automtica. Puede ver estas
estadsticas desde el Quarantine Server Client.
1. Para iniciar el Quarantine Server Client desde el WatchGuard System Manager, seleccione
Herramientas >Quarantine Server Client. Para obtener ms detalles, consulte Acerca del
Quarantine Server Client en la pgina 1123.
2. En el cuadro de dilogo Mensaje del Quarantine Server y de Administracin de usuarios,
seleccione Ver > estadsticas.
Consulte estadsticas de fechas especficas
Puede limitar las estadsticas para ver solamente los mensajes de un intervalo de fechas especfico:
1. Desde el cuadro de dilogo Estadsticas del Quarantine Server, seleccione el botn de radio
Seleccionar fechas.
Quarantine Server
Quarantine Server
2. Ingrese las fechas de inicio y finalizacin en los campos Desde y Hasta.
Consulte tipos de mensajes especficos
Puede especificar si desea ver las estadsticas slo de los mensajes de spam sospechoso, spam confirmado
o parte de los correos masivos o aquellos que contienen o pueden contener virus. Seleccione el botn de
radio Seleccionar slo estos mensajes, y luego elija los tipos de mensajes que desea ver.
Agrupe las estadsticas por mes, semana o da
De manera predeterminada se muestra slo un resumen de los datos. Puede ver los datos agrupados por
mes, semana o da.
1. Desde el cuadro de dilogo Estadsticas del Quarantine Server, seleccione el botn de radio Dividir
los datos en grupos.
2. Seleccione uno de los botones de radio: Por mes, Por semana o Por da.
Exportar e imprimir las estadsticas
Para exportar las estadsticas del Quarantine Server a un formato de hoja de clculo de Microsoft Excel
(.xls):
Desde el cuadro de dilogo Estadsticas del Quarantine Server, seleccione Archivo > Exportar a
Excel.
Para exportar las estadsticas del Quarantine Server a un formato de valores separados por comas (.csv):
Desde el cuadrode dilogoEstadsticas del Quarantine Server, seleccione Archivo> Exportar a Csv.
Para imprimir las estadsticas del Quarantine Server:
Desde el cuadro de dilogo Estadsticas del Quarantine Server, seleccione Archivo > Imprimir.
Ejemplos
Configurar la notificacin de los usuarios con el Servidor
Microsoft Exchange 2003 2007
El Servidor Microsoft Exchange tiene requisitos de autenticacin especficos que debe considerar cuando
configure su Quarantine Server. Si utiliza un Servidor Microsoft Exchange 2003 2007 como su servidor
SMTP y desea activar la notificacin del usuario en el Quarantine Server, es posible que deba completar
algunas tareas de configuracin adicionales. Las tareas que deba completar dependern de si su Servidor
Microsoft Exchange requiere autenticacin o no. Las secciones subsiguientes son dos ejemplos de mtodos
que puede utilizar para cambiar los ajustes de su configuracin en el Quarantine Server y en el Servidor
Microsoft Exchange. El primer ejemplo corresponde a los servidores que no requieren autenticacin. El
segundo es para los servidores que requieren autenticacin.
Nota El WatchGuard ofrece instrucciones de interoperabilidad para ayudar nuestros
clientes a configurar los productos WatchGuard para que funcionen con
productos creados por otras organizaciones. Si necesita ms informacin o
soporte tcnico acerca de cmo configurar un producto ajeno a WatchGuard,
consulte la documentacin y los recursos de soporte de ese producto.
En estos ejemplos, la direccinIP del Quarantine Server es 192.168.2.100. El Servidor Microsoft Exchange
(SMTP/POP3) est instalado en la misma computadora.
Configure la notificacin del usuario si su Servidor Microsoft Exchange
no requiere autenticacin
Utilice estos ajustes de configuracin si su Servidor Microsoft Exchange est configurado para no requerir
autenticacin.
Server Center.
Aparecer la Configuracin del Quarantine Server.
4. En la seccin Configuracin del servidorSMTP, en el cuadro de texto Servidor de correo
electrnico saliente (SMTP), ingrese el domain name o la direccinIP del servidorSMTP. Para este
ejemplo, ingrese 192.168.2.100.
5. Asegrese de que la casilla de verificacin Utilizar informacin de inicio de sesin para el servidor
de correo electrnico no est seleccionada.
7. Seleccione la casilla de verificacin Enviar una notificacin por correo electrnico a los usuarios
cuando tengan mensajes en el Quarantine Server.
8. Establecer la configuracin de Notificacin de usuarios para el correo electrnico de notificacin.
9. Haga clic en OK.
El Quarantine Server enva un correo electrnico a todas las cuentas de usuarios que tuvieron alguna vez un
correo electrnico en cuarentena.
Para obtener informacin acerca de la configuracin de la notificacin de usuarios, consulte Alterar
configuraciones de notificacin.
Configure el Servidor Microsoft Exchange (2007)
Para permitir que su servidor Exchange acepte notificaciones por correo electrnico del Quarantine
Server, utilice la Consola de administracin de Exchange para configurar un Conector de recepcin que
reciba los mensajes del Quarantine Server. Antes de comenzar este procedimiento, asegrese de que todas
las dems configuraciones del Servidor Exchange estn correctamente establecidas para la entrega de
correos electrnicos.
Quarantine Server
Quarantine Server
1. Abra la Consola de administracin de Exchange.
2. Desde el diagrama de la consola en el panel izquierdo, haga clic en el nodo Configuracin del
servidor para expandirlo.
3. Debajo del nodo Configuracin del servidor, haga clic en el nodo Transporte concentrador.
4. En el panel de trabajo, seleccione la pestaa Conectores de recepcin.
5. Seleccione Crear nuevo conector de recepcin.
6. Seleccione la pestaa Red.
7. En la lista Recibir correo de servidores remotos que tengan estas direccionesIP, haga clic en
Agregar.
8. Agregue la direccinIP de su Quarantine Server. Para este ejemplo, agregue 192.168.2.100.
9. Seleccione la pestaa Grupos de permisos.
10. Seleccione Usuarios annimos.
11. No cambie las dems configuraciones.
Despus de completar estos cambios en la configuracin, deben funcionar la notificacin programada del
Quarantine Server y la funcin Enviar notificacin ahora.
Configure la notificacin del usuario si su Servidor Microsoft Exchange
requiere autenticacin
Utilice estos ajustes de configuracin si su Servidor Microsoft Exchange est configurado para requerir
autenticacin.
Server Center.
Aparecer la Configuracin del Quarantine Server.
4. En la seccin Configuracin del servidorSMTP, en el cuadro de texto Servidor de correo
electrnico saliente (SMTP), ingrese el domain name o la direccinIP del servidorSMTP. Para este
ejemplo, ingrese 192.168.2.100.
5. Seleccione la casilla de verificacin Utilizar informacin de inicio de sesin para el Servidor de
correo electrnico.
6. En el cuadro de texto Nombre de usuario, ingrese la direccin de correo electrnico de un usuario
que sea Administrador de dominio en el Servidor Microsoft Exchange. Por ejemplo, ingrese
ricky@wgrd-tech.com.
7. En el cuadro de texto Contrasea, ingrese la contrasea de correo electrnico de este usuario.
9. Seleccione la casilla de verificacin Enviar una notificacin por correo electrnico a los usuarios
cuando tengan mensajes en el Quarantine Server .
10. Establecer la configuracin de Notificacin de usuarios para el correo electrnico de notificacin.
El Quarantine Server enva un correo electrnico a todas las cuentas de usuarios que tuvieron alguna vez un
correo electrnico en cuarentena.
Para obtener informacin acerca de la configuracin de la notificacin de usuarios, consulte Alterar
configuraciones de notificacin.
Configure el Servidor Microsoft Exchange (2007)
Para permitir que su servidor Exchange acepte notificaciones por correo electrnico del Quarantine
Server, le recomendamos que utilice las configuraciones que se indican en los pasos subsiguientes.
1. Abra la Consola de administracin de Exchange.
2. Desde el diagrama de la consola en el panel izquierdo, haga clic en el nodo Configuracin del
servidor para expandirlo.
3. Debajo del nodo Configuracin del servidor, haga clic en el nodo Transporte concentrador.
4. En el panel de trabajo, seleccione la pestaa Conectores de recepcin.
5. Seleccione Crear nuevo conector de recepcin.
6. Seleccione la pestaa Red.
7. En la lista Recibir correo de servidores remotos que tengan estas direccionesIP, haga clic en
Agregar.
8. Agregue la direccinIP de su Quarantine Server. Para este ejemplo, agregue 192.168.2.100.
9. Seleccione la pestaa Grupos de permisos.
10. Seleccione Servidores Exchange.
11. Seleccione la pestaa Autenticacin.
12. Seleccione Autenticacin bsica.
13. Asegrese de que el usuario que agreg a la configuracin del Quarantine Server sea miembro del
grupo Administradores de dominio. Para este ejemplo, asegrese de que el usuario ricky sea
miembro del grupo Administradores de dominio.
Despus de completar estos cambios en la configuracin, deben funcionar la notificacin programada del
Quarantine Server y la funcin Enviar notificacin ahora.
Quarantine Server

v11 3 WSM UserGuide (Es-419)

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

v11 3 WSM UserGuide (Es-419)

Caricato da

Copyright:

Formati disponibili

WatchGuard System Manager v11.

3 Gua del Usuario

Potrebbero piacerti anche