Fireware XTMWeb UI v11.3 Gua del Usuario
Fireware XTM
Web UIv11.3 Gua del Usuario
WatchGuard XTMDevicesFirebox XPeak e-SeriesFirebox XCore e-SeriesFirebox XEdge e-Series
ii Fireware XTMWeb UI
Acerca de esta Gua del usuarioLa Gua del usuario de la interfaz de usuario web del Fireware XTM se actualiza con cada lanzamiento deproducto importante. Para lanzamientos de productos menores, slo se actualiza el sistema de Ayuda de lainterfaz de usuario web del Fireware XTM. El sistema de Ayuda tambin incluye ejemplos deimplementacin especficos, basados en tareas que no estn disponibles en la Gua del usuario.
Para acceder a la documentacin del producto ms reciente, consulte la Ayuda de la interfaz de usuarioweb del Fireware XTM en el sitio web de WatchGuard en:http://www.watchguard.com/help/documentation/.
La informacin de esta gua est sujeta a cambios sin previo aviso. Las empresas, los nombres y los datosutilizados en los ejemplos de este documento son ficticios, salvo indicacin en contrario. Ninguna parte deesta gua podr reproducirse ni transmitirse en ninguna forma y por ningn medio, electrnico o mecnico,para ningn propsito, sin el consentimiento expreso por escrito de WatchGuard Technologies, Inc.
Gua revisada: 15 de julio de 2010
Informacin sobre copyright, marcas comerciales y patentesCopyright 19982010 WatchGuard Technologies, Inc. Todos los derechos reservados. Todas las marcas onombres comerciales mencionados en el presente, si los hubiere, son propiedad de sus respectivosdueos.
En la Gua de copyright y licencias podr encontrar informacin completa sobre copyright, marcascomerciales, patentes y licencias. Puede consultar este documento en el sitio web:http://www.watchguard.com/help/documentation/.
Nota Este producto es slo para uso interno.
Acerca de WatchGuard
WatchGuard ofrece soluciones de seguridad de contenido y red todoen uno a un precio accesible, las cuales ofrecen proteccin enprofundidad y ayudan a satisfacer los requisitos de cumplimientoreglamentarios. La lneaWatchGuard XTM combina firewall, VPN,GAV, IPS, bloqueo de spam y filtrado de URL para proteger su red despam, virus, malware e intrusiones. La nueva lnea XCS ofreceseguridad para contenido web y correo electrnico combinada conprevencin de prdida de datos. Las soluciones extensibles deWatchGuard se adaptan para ofrecer seguridad en la medida justa,desde pequeas empresas hasta empresas con ms de 10,000empleados. WatchGuard crea dispositivos de seguridad simples,confiables y slidos que incluyen rpida implementacin,administracin integral y herramientas para la presentacin deinformes. Empresas del mundo entero confan en nuestras exclusivascajas rojas para maximizar la seguridad sin sacrificar la eficiencia y laproductividad.
Para obtener ms informacin, comunquese al 206.613.6600 o visitewww.watchguard.com.
Direccin505 Fifth Avenue SouthSuite 500Seattle, WA 98104
Soportewww.watchguard.com/supportEE.UU. y Canad +877.232.3531Todos los dems pases +1.206.521.3575
VentasEE.UU. y Canad +1.800.734.9905Todos los dems pases +1.206.613.0895
Gua del Usuario iii
ndice
Introduccin a la seguridad de red 1
Acerca de redes y seguridad de red 1
Acerca de las conexiones a Internet 1
Acerca de los Protocolos 2
Acerca de las Direcciones IP 3
Direcciones privadas y puertas de enlace 3
Acerca de las mscaras de subred 3
Acerca de las Notacin diagonal 3
Acerca del ingreso de Direcciones IP 4
estticas y dinmicas Direcciones IP 4
Acerca de las DNS (sistema de domain name) 5
Acerca de firewall 6
Acerca de servicios y polticas 7
Acerca de puertos 8
El dispositivo WatchGuard y la red 8
Introduccin a Fireware XTM 11
Introduccin a Fireware XTM 11
Componentes de Fireware XTM 12
el WatchGuard System Manager 12
WatchGuard Server Center 13
Fireware XTMWeb UI e interfaz de la lnea de comandos 14
Fireware XTMcon Actualizacin Pro 14
Servicio y soporte 17
Acerca de las Soporte de WatchGuard 17
LiveSecurity Service 17
LiveSecurity Service Gold 18
Expiracin del servicio 19
Introduccin 21
Antes de empezar 21
Verificar componentes bsicos 21
Obtener tecla de funcin del dispositivo WatchGuard 21
Recoger direcciones de red 22
Seleccione un modo configuracin de firewall 23
Acerca del Quick Setup Wizard 24
Ejecutar el Web Setup Wizard 24
Conctese al Fireware XTM Web UI 28
Conectarse a la Fireware XTMWeb UI desde una red externa 29
Acerca del Fireware XTMWeb UI 30
Seleccione el idioma de Fireware XTMWeb UI 31
Limitaciones de la Fireware XTMWeb UI 31
Concluya su instalacin 32
Personalizar su poltica de seguridad 33
Acerca de las LiveSecurity Service 33
Temas adicionales de instalacin 33
Conctese a un Firebox con Firefox v3 33
Identificar sus configuraciones de red 35
Configure su equipo para conectarse a su dispositivo WatchGuard 37
Desactive el proxy de HTTP en el explorador 39
Informacin bsica sobre configuracin y administracin 41
Acerca de las tareas bsicas de configuracin y administracin 41
Hacer una copia de seguridad de la imagen de Firebox 41
Restaurar imagen de copia de seguridad de Firebox 42
Utilice una unidad USB para realizar copias de respaldo y restaurar el sistema 42
Acerca de la unidad USB 42
Guardar una imagen de respaldo en una unidad USB conectada 42
Restaurar una imagen de respaldo desde una unidad USB conectada 43
Restaurar automticamente una imagen de respaldo desde un dispositivo USB 44
Estructura del directorio de la unidad USB 46
Guardar una imagen de respaldo en una unidad USB conectada a su de administracin 46
Restablecer un dispositivo Firebox o XTM a una configuracin anterior o nueva 48
Iniciar un dispositivo Firebox o XTM en modo seguro 48
iv Fireware XTMWeb UI
Gua del Usuario v
Restablecer un dispositivo Firebox X Edge e-Series o WatchGuard XTM 2 Series a lasconfiguraciones predeterminadas de fbrica 49
Ejecutar el Quick Setup Wizard 49
Acerca de las configuraciones predeterminadas de fbrica 49
Acerca de las teclas de funcin 51
Cuando compra una nueva funcin 51
Ver las funciones disponibles con la actual tecla de funcin 51
Obtener una tecla de funcin junto a LiveSecurity 52
Agregar una tecla de funcin a su Firebox 54
Reiniciar su Firebox 56
Reiniciar Firebox de modo local 57
Reiniciar Firebox de modo remoto 57
Activar NTP y agregar servidores NTP 57
Definir la zona horaria y las propiedades bsicas del dispositivo 58
Acerca del SNMP 59
Sondeos y capturas SNMP 60
Acerca de las Bases de Informacin de Administracin (MIBs) 60
Activar Sondeo de SNMP 61
Activar Capturas y estaciones de administracin de SNMP 62
Acerca de las frases de contrasea, claves de cifrado y claves compartidas de WatchGuard 64
Crear una contrasea, una clave de cifrado o una clave compartida segura 64
Frases de contrasea de Firebox 64
Frases de contrasea de usuario 65
Frases de contrasea del servidor 65
Claves de cifrado y claves compartidas 66
Alterar frases de contrasea de Firebox 66
Defina las configuraciones globales del Firebox 67
Defina las configuraciones globales de administracin de errores ICMP 68
Habilitar la comprobacin TCP SYN 69
Definir las configuraciones globales de ajuste de tamao mximo del segmento TCP 70
Activar o desactivar la administracin de trfico y QoS 70
Cambiar el puerto Web UI 70
Reinicio automtico 70
Consola externa 71
Acerca de los servidores WatchGuard System Manager 71
Administrar un Firebox desde una ubicacin remota 72
Configurar un Firebox como un dispositivo administrado 74
Editar la poltica WatchGuard 74
Configurar Dispositivo Administrado 76
Actualizar para una nueva versin del Fireware XTM 77
Instalar la actualizacin en su equipo administrado 77
Actualizar el Firebox 78
Descargue el archivo de configuracin 78
Configuracin de red 79
Acerca de las configuracin de interfaz de red 79
Modos de red 79
Tipos de interfaz 80
Acerca de las interfaces de red en el Edge e-Series 81
Modo de enrutamiento combinado 82
Configurar una interfaz externa 82
Configurar el DHCP en modo de enrutamiento mixto 86
Pgina Acerca de Servicio DNS dinmico 88
Configurar DNS dinmico 88
Acerca de la configuracin de red en modo directo 89
Utilizar modo directo para la configuracin de la interfaz de red 90
Configurar host relacionados 90
Configurar DHCP en modo directo 91
Modo Bridge 94
Configuraciones de interfaz comunes 95
Desactivar una interfaz 96
Configurar retransmisin de DHCP 97
Restringir el trfico de red mediante la direccin MAC 97
Agregar servidores WINS y Direcciones del servidor DNS 98
Configurar una secondary network 99
vi Fireware XTMWeb UI
Gua del Usuario vii
Acerca de la Configuraciones de interfaz 100
Configuracin de tarjeta de interfaz de red (NIC) 101
Determinar No fragmentar bit IPSec 102
Configuracin de la ruta de unidad de transmisin mxima (PMTU) para IPSec 103
Usar vnculo de direccin MAC esttico 103
Buscar la direccin MAC de una computadora 104
Acerca de los puentes LAN 105
Crear una configuracin de puente de red. 105
Asignar una interfaz de red a un puente. 106
Acerca de 106
Agregue una ruta esttica 107
Acerca de redes virtuales de rea local (VLAN) 108
Requisitos y restricciones de la VLAN 108
Acerca de las etiquetado 109
Definir un nuevo (red de rea local virtual) 109
Asignar interfaces a (red de rea local virtual) 111
Ejemplos de configuracin de red 112
Ejemplo: Configurar dos VLAN con la misma interfaz 112
Use Firebox X Edge con el bridge inalmbrico 3G Extend 115
WAN mltiple 119
Acerca de usar mltiples interfaces externas 119
Requisitos y condiciones de WAN mltiple 119
WAN mltiple y DNS 120
Acerca de las opciones de WAN mltiple 120
Orden de operacin por turnos 120
Conmutacin por error 121
Desbordamiento en la interfaz 121
Tabla de enrutamiento 122
Mdem serie (solamente Firebox XEdge) 122
Configurar la opcin de operacin por turnos de WAN mltiple 122
Antes de empezar 122
Configurar interfaces 122
Descubra cmo asignar pesos a interfaces 123
Configurar la opcin de conmutacin por error de WAN mltiple 124
Antes de empezar 124
Configurar interfaces 124
Configurar WAN mltiple Opcin de desbordamiento en la interfaz 125
Antes de empezar 125
Configurar interfaces 125
Configurar WAN mltiple opcin tabla de enrutamiento 126
Antes de empezar 126
Modo de tabla de enrutamiento y balance de carga 126
Configurar interfaces 126
Acerca de la tabla de enrutamiento de Firebox 127
Cuando usar los mtodos de WAN mltiple y enrutamiento 127
Conmutacin por error de mdem serie 128
Activar conmutacin por error de mdem serial 128
Configuraciones de la cuenta 129
Configuraciones de DNS 129
Configuracin de marcado 130
Configuraciones avanzadas 131
Configuracin de "Monitor de enlace" 131
Acerca de la configuracin avanzada de WAN mltiple 132
Define una duracin de Sticky Connection global 133
Definir accin de failback 133
Acerca del Estado de la interfaz de WAN 134
Tiempo necesario para que el Firebox actualice su tabla de enrutamiento 134
Definir un host de monitor de enlace 134
Traduccin de direccin de red (NAT) 137
Acerca de la Traduccin de direccin de red (NAT) 137
Tipos de NAT 137
Acerca de la dinmica basada en polticas 138
Agregar firewall a entradas de NAT dinmicas 138
Configurar NAT dinmica basada en polticas 141
viii Fireware XTMWeb UI
Gua del Usuario ix
Acerca de las 1-to-1 NAT 142
Acerca de 1-to-1 NAT y VPN 143
Configurar el firewall 1-to-1 NAT 144
Configurar basado en polticas 1-to-1 NAT 147
Configurar el bucle invertido de NAT con NAT esttica 148
Agregar una poltica para bucle invertido de NAT al servidor 148
Bucle invertido de NAT y 1-to-1 NAT 150
Acerca de la NAT esttica 153
Configurar Balance de carga en el servidor 154
Ejemplos de NAT 157
Ejemplo de 1-to-1 NAT 157
Configuracin inalmbrica 159
Acerca de la configuracin inalmbrica 159
Acerca de las configuracin del punto de acceso inalmbrico 160
Antes de empezar 161
Acerca de configuraciones 161
Activar/desactivar Broadcasts de SSID 163
Cambiar la SSID 163
Registro eventos de autenticacin 163
Cambiar la umbral de fragmentacin 163
Cambiar la Umbral de RTS 165
Acerca de configuraciones de seguridad 166
Definir inalmbricos mtodo de autenticacin 166
Definir nivel de cifrado 167
Habilitar conexiones inalmbricas a la red opcional o de confianza 167
Activar una red inalmbrica para invitados 170
Activar un hotspot inalmbrico 173
Establecer la configuracin del tiempo de espera 174
Personalizar la pantalla de presentacin del hotspot 174
Conctese a un hotspot inalmbrico 176
Consulte Conexiones hotspot inalmbricas 177
Configurar la interfaz externa como interfaz inalmbrica 178
Configurar la interfaz externa principal como interfaz inalmbrica 178
Configurar un tnel BOVPN para seguridad adicional 181
Acerca de configuraciones de radio en Firebox XEdge e-Series inalmbrico 181
Configurar la regin operativa y el canal 182
Definir modo de operacin inalmbrica 183
Acerca de las configuraciones de radio inalmbrico en el dispositivo inalmbrico WatchGuardXTM2 Series 183
El pas se configura automticamente 184
Seleccionar el modo de banda y el modo inalmbrico 185
Seleccionar el canal 186
Configurar la de red invitada inalmbrica en su computadora 186
Dynamic Routing 187
Acerca de dynamic routing 187
Acerca de archivos de configuracin de demonio de enrutamiento. 187
Acerca del Protocolo de Informacin de Enrutamiento (RIP) 188
Comandos del Protocolo de Informacin de Enrutamiento (RIP) 188
Configurar el Firebox para usar RIP v1 190
Configurar el Firebox para usar RIP v2 191
Muestra de archivo de configuracin del enrutamiento RIP 192
Acerca del Protocolo "Abrir Camino Ms Curto Primero" (OSPF) 194
Comandos de OSPF 194
Tabla de Costo de Interfaz de OSPF 197
Configurar el Firebox para usar OSPF 198
Muestra de archivo de configuracin del enrutamiento OSPF 199
Acerca del Border Gateway Protocol (BGP) 201
Comandos BGP 202
Configurar el Firebox para usar el BGP 204
Muestra de archivo de configuracin del enrutamiento BGP 206
Autenticacin 209
Acerca de la autenticacin de usuario 209
Usuario pasos de autenticacin 210
Administrar usuarios autenticados 211
x Fireware XTMWeb UI
Gua del Usuario xi
Use la autenticacin para restringir el trfico entrante 212
Use la autenticacin a travs de un Firebox de puerta de enlace 212
Definir valores de autenticacin global 212
Definir tiempos de espera de autenticacin 213
Permitir mltiples inicios de sesin concomitantes 214
Limitar sesiones de inicio 214
Direccionar usuarios automticamente al portal de inicio de sesin 215
Usar una pgina de inicio predeterminada personalizada 216
Definir tiempos de espera de Sesin de Administracin 216
Acerca de la poltica de Autenticacin de WatchGuard (WG-Autoriz) 216
Acerca de Single Sign-On (SSO) 217
Antes de empezar 218
Configurar SSO 218
Instalar el agente de Single Sign-On (SSO) de WatchGuard 218
Instale el cliente de Single Sign-On (SSO) de WatchGuard 220
Activar Single Sign-On (SSO) 220
Tipos de servidores de autenticacin 222
Acerca de la utilizacin de servidores de autenticacin de terceros 222
Use un servidor de autenticacin de resguardo 222
Configure su Firebox como servidor de autenticacin 223
Tipos de autenticacin de Firebox 223
Definir un nuevo usuario para autenticacin en Firebox 225
Definir un nuevo grupo para autenticacin de Firebox 227
Configurar autenticacin de servidor RADIUS 227
Clave de autenticacin 228
Losmtodos de autenticacin de RADIUS 228
Antes de empezar 228
Usar la autenticacin por servidor RADIUS con su dispositivo WatchGuard 228
Como la autenticacin del servidor RADIUS funciona 230
Configurado autenticacin de servidor VASCO 233
Configurar autenticacin SecurID 234
Configurar autenticacin LDAP 236
Acerca de las configuraciones opcionales de LDAP 238
Configurar autenticacin en Active Directory 239
Sobre la configuracin opcional del Active Directory 241
Encuentre su base de bsqueda del Active Directory 241
Alterar el puerto predeterminado de Active Directory Server 242
Usar las configuraciones opciones de Active Directory o de LDAP 243
Antes de empezar 243
Especificar Configuraciones opcionales de LDAP o Active Directory 243
Use una cuenta de usuario local para autenticacin 247
Use los usuarios y grupos autorizados en polticas 248
Polticas 251
Acerca de polticas 251
Polticas de filtro de paquetes y proxy 251
Acerca de cmo agregar polticas a Firebox 252
Acerca de la pgina de polticas de Firewall o VPN mvil 253
Agregar polticas en la configuracin 254
Agregar una poltica de la lista de plantillas 255
Desactivar o eliminar una poltica 256
Acerca de los alias 257
Miembros de alias 257
Crear un alias 258
Acerca de la precedencia de polticas 260
Orden de polticas automtico 260
Especificidad de la poltica y protocolos 260
Reglas de trfico 261
Acciones de firewall 261
Cronogramas 261
Nombres y tipos de polticas 262
Determinar precedencia manualmente 262
Crear Cronogramas para acciones de Firebox 262
Establecer un cronograma operativo 263
Acerca de las Polticas personalizadas 263
xii Fireware XTMWeb UI
Gua del Usuario xiii
Cree o edite una plantilla de poltica personalizada. 264
Acerca de propiedades de polticas 265
Pestaa Poltica 266
Pestaa Propiedades 266
Pestaa Avanzada 266
Configuraciones de proxy 266
Definir reglas de acceso a una poltica 267
Configurar el enrutamiento basado en la poltica 269
Configurar un tiempo de espera inactivo personalizado 270
Determinar Administracin de errores ICMP 271
Aplicar reglas NAT 271
Defina la duracin de sticky connection para una poltica 272
Configuraciones de proxy 273
Acerca de las polticas de proxy y ALG 273
Configuracin de proxy 273
Acerca de las configuraciones de Application Blocker 274
Configurar el Application Blocker 275
Acerca de Skype y el Application Blocker 276
Agregar una poltica de proxy a la configuracin 277
Acerca de las acciones de proxy 279
Configurar la accin de proxy 279
Editar, eliminar o clonar acciones de proxy 279
Acerca de acciones de proxy definidas por el usuario y predefinidas Acciones de proxy 280
Acerca del DNS proxy 280
Proxy DNS: Contenido 281
Proxy DNS: Configuracin 282
Pgina Acerca de Proxy FTP 284
Pestaa Poltica 284
Pestaa Propiedades 284
Pestaa Avanzada 285
Pestaas Configuracin y Contenido 285
FTP DNS: Contenido 285
Proxy FTP: Configuracin 286
Pgina Acerca de ALG H.323 287
ALG H.323: Contenido 289
ALG H.323: Configuracin 291
Pgina Acerca de Proxy HTTP 292
Pestaa Poltica 293
Pestaa Propiedades 294
Pestaa Avanzada 294
Pestaas Configuracin, Contenido y Application Blocker 294
Permitir actualizaciones de Windows a travs del proxy HTTP 294
Proxy HTTP: Pestaa Contenido 295
Proxy HTTP: Pestaa Configuracin 298
Proxy HTTP: Application Blocker 300
Pgina Acerca de Proxy HTTPS 301
Pestaa Poltica 301
Pestaa Propiedades 301
Pestaa Avanzada 302
Pestaas Configuracin y Contenido 302
Proxy deHTTPS:Contenido 302
Proxy HTTPS: Configuracin 304
Pgina Acerca de Proxy POP3 305
Pestaa Poltica 306
Pestaa Propiedades 306
Pestaa Avanzada 306
Pestaas Configuracin y Contenido 306
Proxy POP3: Contenido 307
Proxy POP3: Configuracin 308
Pgina Acerca de Proxy SIP 309
SIP ALG: Contenido 311
SIP ALG: Configuracin 313
Pgina Acerca de Proxy SMTP 314
Pestaa Poltica 314
xiv Fireware XTMWeb UI
Gua del Usuario xv
Pestaa Propiedades 315
Pestaa Avanzada 315
Pestaas Configuracin, Direccin y Contenido 315
Proxy SMTP: Direccin 315
Proxy SMTP: Contenido 316
Proxy SMTP: Configuracin 318
Configure el proxy SMTP para colocar mensajes de correo electrnico en cuarentena 319
Pgina Acerca de Proxy de TCP-UDP 319
Pestaa Poltica 319
Pestaa Propiedades 319
Pestaa Avanzada 320
Pestaas Configuracin y Contenido 320
Proxy de TCP-UDP: Contenido 320
Proxy de TCP-UDP: Configuracin 320
Administracin de trfico y QoS 323
Acerca de las Administracin de trfico y QoS 323
Activar administracin de trfico y QoS 323
Garantice ancho de banda 324
Restrinja el ancho de banda 325
Marcado QoS 325
Prioridad de trfico 325
Configurar el ancho de banda de interfaz saliente 325
Configure los lmites de la tasa de conexin 326
Acerca de las Marcado QoS 327
Antes de empezar 327
Marcado QoSpara interfaces y polticas 327
Marcado QoS y trfico IPSec 327
Marcado: tipos y valores 328
Activar marcado QoS para una interfaz 329
Activar el marcado QoS o configuraciones de priorizacin para una poltica 330
Control de trfico y definiciones de polticas 332
Definir un Accin de administracin de trfico 332
Agregar una Accin de administracin de trfico a una poltica 334
Default Threat Protection 335
Acerca de la Default Threat Protection 335
Acerca de las opciones de administracin predeterminada de paquetes 335
Acerca de los ataques de suplantacin de paquetes 337
Acerca de los Ataques de ruta de origen de IP IP 337
Acerca de las pruebas de espacio de direccin y espacio del puerto 338
Acerca de los ataques de congestin del servidor 340
Acerca de los paquetes no controlados 342
Acerca de ataques de negacin de servicio distribuidos 343
Acerca de los sitios bloqueados 343
Sitios permanentemente bloqueados 344
Lista de Sitios de bloqueo automtico/Sitios temporalmente bloqueados 344
Ver y editar los sitios en la lista de Sitios Bloqueados 344
Bloquear un sitio permanentemente 344
Crear Excepciones sitios bloqueados 345
Bloquear sitios temporalmente con configuracin de polticas 346
Cambiar la duracin de los sitios que son bloqueados automticamente 347
Acerca de los puertos bloqueados 347
Puertos bloqueados predeterminados 348
Bloquear un puerto 349
Registro y Notificacin 351
Acerca de la generacin de registros y archivos de registro 351
Log Servers 351
Syslog de estado del sistema 352
Generacin de registros y notificacin en aplicaciones y servidores 352
Acerca de las mensajes de registro 352
Tipos de mensajes de registro 352
Enviar mensajes de registro al WatchGuard Log Server 353
Agregar, editar o alterar la prioridad de Log Servers 354
Enviar informacin de registro a un host de Syslog 355
Configurar Registros 356
xvi Fireware XTMWeb UI
Gua del Usuario xvii
Defina el nivel de registro de diagnstico 357
Configurar registros y notificacin para una poltica 359
Determinar preferencias de registro y notificacin 360
Use el Syslog para ver los datos de mensaje de registro 361
Ver, Ordenar y Filtrar datos de mensaje de registro 361
Actualizar datos de mensaje de registro 363
Monitorear su Firebox 365
Monitorear su Firebox 365
El Panel de control 365
Pginas Estado del sistema 367
Tabla ARP 368
Autenticaciones 369
Medidor de ancho de banda 370
Estado de sitios bloqueados 370
Agregar o editar sitios bloqueados temporalmente 371
Suma de comprobacin 372
Conexiones 372
Lista de componentes 372
Uso de CPU 373
Concesiones de protocolo de configuracin dinmica de host (DHCP) 373
Diagnsticos 374
Ejecutar un comando de diagnstico bsico 374
Utilizar argumentos de comandos 374
DNS dinmico 375
Tecla de funcin 376
Cuando compra una nueva funcin 376
Ver las funciones disponibles con la actual tecla de funcin 376
Interfaces 377
LiveSecurity 378
Memoria 379
Lista de acceso saliente 379
Procesos 379
Rutas 380
Syslog 381
Administracin de trfico 381
Estadsticas de VPN 382
Estadsticas inalmbricas 383
Conexiones hotspot inalmbricas 384
Certificates 385
Acerca de los certificados 385
Usar mltiples certificados para determinar la confianza 385
Cmo el Firebox usa certificados 386
CRLs y caducidad de certificados 386
Solicitudes de firmas y autoridades de certificacin 387
Autoridades de Certificacin confiadas por Firebox 387
Ver y administrar Certificados de Firebox 393
Crear una CSR con el OpenSSL 395
Usar OpenSSL para generar una CSR 395
Firme un certificado con Microsoft CA 396
Emitir el certificado 396
Descargar el certificado 396
Usar Certificados para el proxy de HTTPS 397
Proteger un servidorHTTPS privado 397
Examinar contenido de los servidores HTTPS externos 398
Exportar el certificado de inspeccin de contenidoHTTPS 398
Importar los certificados en dispositivos clientes 399
Solucionar problemas con la inspeccin de contenidoHTTPS 399
Use certificados autenticados para el tnel VPN Mobile con IPSec 399
Usar un certificado para autenticacin del tnel BOVPN 400
Verificar el certificado con el FSM 401
Verificar los certificados de VPN con servidor de LDAP 401
Configure el certificado del servidor web para la autenticacin de Firebox 402
Importar un certificado en un dispositivo cliente 404
Importar un certificado en formatoPEM con el Windows XP 404
xviii Fireware XTMWeb UI
Gua del Usuario xix
Importar un certificado en formatoPEM con el Windows Vista 404
Importar un certificado en formatoPEM con Mozilla Firefox 3.x 405
Importar un certificado en formatoPEM con el Mac OSX10.5 405
Redes Privada Virtual (VPN) 407
Introduccin a VPNs 407
Branch Office VPN (BOVPN) 407
Mobile VPN 408
Acerca de la VPNs de IPSec 408
Acerca de los algoritmos y protocolos de IPSec 408
Acerca de las negociaciones VPN de IPSec 410
Configuraciones de Fase 1 y Fase 2 412
Acerca de Mobile VPNs 413
Seleccione unaMobile VPN 413
Opciones de acceso a Internet para usuarios de Mobile VPN 415
Descripcin de configuracin de Mobile VPN 416
Tneles de BOVPN manuales 417
Lo que necesita para crear un BOVPN 417
Acerca de tneles BOVPN manuales 418
Lo que necesita para crear un VPN 418
Cmo crear un tnel BOVPN manual 419
Tneles de una direccin 419
Failover de VPN 419
Configuraciones de VPN Global 419
Estado del tnelBOVPN 420
Regenerar clave de tnelesBOVPN 420
Muestra cuadro de informacin de direccin de VPN 420
Definir puertas de enlace 421
Definir extremos de puerta de enlace 424
Configurar modo y transformaciones (Configuraciones de la Fase 1) 426
Editar y eliminar puertas de enlace 430
Desactivar inicio automtico de tnel 430
Si su Firebox est detrs de un dispositivo que hace NAT 430
Establezca tneles entre los extremos de puertas de enlace 431
Definir un tnel 431
Agregar rutas para un tnel 434
Configuraciones de Fase 2 434
Agregar una Propuesta de Fase 2 436
Cambiar el orden de tneles 438
Acerca de las configuraciones de VPN Global 438
Activar puerto de transferencia IPSec 439
Activar TOS para IPSec 439
Activar servidor LDAP para verificacin de certificado 440
Usar 1-to-1 NAT a travs de un tnel BOVPN 440
1-to-1 NAT y VPNs 440
Otras razones por las cuales usar una 1-to-1 NAT por una VPN 441
Alternativa al uso de NAT 441
Cmo configurar la VPN 441
Ejemplo 442
Configurar el tnel local 442
Configurar el tnel remoto 445
Definir una ruta para todo el trfico hacia Internet 447
Configurar el tnel BOVPN en el Firebox remoto 447
Configurar el tnel BOVPN en el Firebox central 448
Agregar una entrada de NAT dinmica en el Firebox central 449
Activar enrutamiento de multidifusin a travs de un tnel BOVPN 450
Activar un dispositivo WatchGuard para enviar trfico de multidifusin a travs de un tnel 451
Active el otro dispositivo WatchGuard para recibir trfico de multidifusin a travs de un tnel453
Activar el enrutamiento de difusin a travs de un tnel BOVPN 453
Activar el enrutamiento de difusin para el Firebox local 454
Configurar enrutamiento de difusin para el Firebox en el otro extremo del tnel 455
Configurar Failover de VPN 456
Definir mltiples pares de puertas de enlace 456
Vea Estadsticas de VPN 458
xx Fireware XTMWeb UI
Gua del Usuario xxi
Regenerar clave de tneles BOVPN 458
Preguntas relacionadas 459
Por qu necesito una direccin externa esttica? 459
Cmo obtengo una direccin IP externa esttica? 459
Cmo soluciono problemas de la conexin? 459
Por qu el ping no est funcionando? 459
Cmo configuro ms que el nmero de tneles VPN permitido en mi Edge? 460
Mejorar la disponibilidad del tnel BOVPN 460
Mobile VPN con PPTP 465
Acerca del Mobile VPN con PPTP 465
Requisitos de Mobile VPN con PPTP 465
Niveles de cifrado 466
Configurar Mobile VPN with PPTP 466
Autenticacin 467
Configuraciones de cifrado 468
Agregar al conjunto de direcciones IP 468
Configuraciones de pestaas avanzadas 469
Configurar servidores WINS y DNS 470
Agregar nuevos usuarios al grupo de usuarios de PPTP 471
Configurar polticas para permitir el trfico de Mobile VPN con PPTP 473
Configurar polticas para permitir el trfico de Mobile VPN con PPTP 474
Permitir a los usuarios de PPTP acceder a una red de confianza 474
Usar otros grupos o usuarios en una poltica de PPTP 475
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con PPTP 475
VPN de ruta predeterminada 475
Dividir VPN de tnel 476
Configuracin de VPN de ruta predeterminada para Mobile VPN with PPTP 476
Configuracin de VPN de tnel dividido para Mobile VPN with PPTP 476
Preparar computadoras cliente para PPTP 477
Preparar una computadora cliente con Windows NT o 2000: Instalar MSDUN y los paquetes deservicio 477
Crear y conectar unaMobile VPN with PPTP paraWindows Vista 478
Cree y conecte unaMobile VPN with PPTP paraWindows XP 479
Cree y conecte unaMobile VPN with PPTP paraWindows 2000 480
Realizar conexiones PPTP salientes desde detrs de un Firebox 480
Mobile VPN con IPSec 481
Acerca del Mobile VPN con IPSec 481
Configurar una conexin de Mobile VPN con IPSec 481
Requisitos del sistema 482
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con IPSec 482
Acerca de archivos de configuracin de cliente MobileVPN 483
Configurar el Firebox para Mobile VPN with IPSec 483
Agregar usuarios a un grupo de Mobile VPN de Firebox 491
Modificar un perfil de grupo existente de Mobile VPN con IPSec 493
Configurado servidores WINS y DNS. 505
Bloquear un perfil del usuario final 506
Archivos de configuracin de Mobile VPN con IPSec 507
Configurar polticas para filtrar trfico de Mobile VPN 507
Distribuir el software y los perfiles 508
Tpicos adicionales de Mobile VPN 509
Configurar Mobile VPN with IPSec para una direccin IP dinmica 510
Pgina Acerca de cliente Mobile VPNwith IPSec 512
Requisitos del cliente 512
Instalar el software cliente de Mobile VPN con IPSec 512
Conecte y desconecte el cliente Mobile VPN 515
Vea los mensajes de registro del Mobile VPN 517
Proteger su equipo con el firewall de Mobile VPN 517
Instrucciones de usuario final para la instalacin del cliente VPN Mobile con IPSec deWatchGuard 526
Configuracin del Mobile VPN paraWindows Mobile 531
Los requisitos del cliente Mobile VPN WMConfigurator y de IPSec de Windows Mobile 531
Instalar el software Mobile VPN WMConfigurator 532
Seleccione un certificado e ingrese el PIN 533
Importar un perfil del usuario final 533
xxii Fireware XTMWeb UI
Gua del Usuario xxiii
Instale el software cliente del Windows Mobile en el dispositivo Windows Mobile 534
Cargar el perfil de usuario final en el dispositivo Windows Mobile 535
Conecte y desconecte el Cliente Mobile VPN paraWindows Mobile 537
Proteger su dispositivo Windows Mobile con el firewall de Mobile VPN 540
Detener el WatchGuard Mobile VPN Service 540
Desinstalar el Configurator, Service y Monitor 541
Mobile VPN con SSL 543
Acerca del Mobile VPN con SSL 543
Configurar el dispositivo Firebox o XTM paraMobile VPN with SSL 543
Realizar configuraciones de autenticacin y conexin 544
Realice las configuraciones de Red y Conjunto de direcciones IP 544
Realizar configuraciones avanzadas para Mobile VPN with SSL 547
Configurar la autenticacin de usuario para Mobile VPN with SSL 549
Configurar polticas para controlar el acceso de clientes de Mobile VPN con SSL 549
Elegir un puerto y protocolo para Mobile VPN with SSL 550
Opciones de acceso a Internet a travs de un tnel de Mobile VPN con SSL 551
Determinacin del nombre para Mobile VPN with SSL 552
Instalar y conectar el cliente de Mobile VPN con SSL 554
Requisitos de la computadora cliente 555
Descargar el software cliente 555
Desinstalar el software cliente 556
Conectarse a su red privada 556
Controles del cliente de Mobile VPN con SSL 557
Se debe distribuir e instalar en formamanual el software cliente de Mobile VPN con SSL y elarchivo de configuracin 558
Desinstale el cliente de Mobile VPN con SSL. 559
WebBlocker 561
Acerca de las WebBlocker 561
Configurar un WebBlocker Server local 562
Activacin de WebBlocker 562
Antes de empezar 562
Cree perfiles de WebBlocker 562
Activar anulacin local 566
Seleccione categoras para bloquear 566
Utilice el perfil de WebBlocker con servidores proxy HTTP y HTTPS 567
Agregar excepciones de WebBlocker 568
Usar anulacin local de WebBlocker 568
Acerca de las Categoras de WebBlocker 569
Consultar si un sitio est categorizado 570
Agregar, eliminar o cambiar una categora 571
Acerca de las Excepciones de WebBlocker 572
Defina la accin para las sitios que no tienen coincidencias Excepciones 572
Componentes de las reglas de excepcin 572
Excepciones con parte de una URL 572
Agregar WebBlocker Excepciones 573
Renovar suscripciones de seguridad 575
Acerca del vencimiento de los servicios de suscripcin de WebBlocker 575
spamBlocker 577
Acerca de las spamBlocker 577
Requisitos de spamBlocker 579
Acciones, etiquetas y categoras de spamBlocker 581
Configurado spamBlocker 583
Acerca de las Excepciones de spamBlocker 587
Configurar acciones de Virus Outbreak Detection para una poltica 593
Configure spamBlocker para colocar mensajes de correo electrnico en cuarentena 595
Acerca de la utilizacin spamBlocker con servidores proxy mltiples 597
Configure los parmetros globales de spamBlocker 597
Utilice un servidor proxy HTTP para spamBlocker 599
Agregar reenviadores de correo electrnico de confianza para mejorar la precisin decalificacin del spam 600
Active y configure los parmetros de la Virus Outbreak Detection (VOD) 601
Acerca de spamBlocker y los lmites de escaneo de la VOD 602
Cree reglas para su lector de correo electrnico 602
Enviar correos electrnicos spam o masivos a carpetas especiales en Outlook 603
xxiv Fireware XTMWeb UI
Gua del Usuario xxv
Enviar un informe acerca de falsos positivos o falsos negativos 604
Utilice el registro RefID en lugar de un mensaje de texto 605
Buscar la categora a la cual est asignado un mensaje 605
La Defensa de reputacin activada 607
Acerca de la Defensa de reputacin activada 607
Umbrales de reputacin 607
Calificaciones de reputacin 608
Comentario sobre la Defensa de reputacin activada 608
Configurar la Defensa de reputacin activada 608
Antes de empezar 608
Configurar la Defensa de reputacin activada para una accin de proxy 609
Configurar los umbrales de reputacin 610
Enviar los resultados de escaneo del Gateway Antivirus aWatchGuard 611
Gateway AntiVirus e Intrusion Prevention 613
Acerca de las Gateway AntiVirus y prevencin de intrusiones 613
Instale y actualice el Gateway AntiVirus/IPS 614
Acerca del Gateway AntiVirus/la Intrusion Prevention y las polticas de proxy 614
Configurar el servicio del Gateway AntiVirus 615
Configure el servicio del Gateway AntiVirus 615
Configurar acciones del Gateway AntiVirus 616
Configurado Gateway AntiVirus a colocar mensajes de correo electrnico en cuarentena 619
Acerca de los lmites de escaneo del Gateway AntiVirus 620
Actualice la configuracin del Gateway AntiVirus/IPS 620
Si utiliza un cliente antivirus de terceros 621
Establezca la configuracin de descompresin del Gateway AntiVirus 621
Configurar el servidor de actualizacin del Gateway AntiVirus/IPS 622
Ver estado de servicios de suscripcin y actualizar firmas manualmente 623
Configurar el Intrusion Prevention Service 624
Antes de empezar 625
Configurar el Intrusion Prevention Service 625
Configurar acciones del IPS 627
Establezca la configuracin del IPS 631
Configurado excepciones de firma 633
Quarantine Server 635
Pgina Acerca de Quarantine Server 635
Configure Firebox para que ponga correos electrnicos en cuarentena 636
Definir la ubicacin del Quarantine Server en Firebox 636
xxvi Fireware XTMWeb UI
Gua del Usuario 1
1 Introduccin a la seguridad de red
Acerca de redes y seguridad de redUna red esun grupode equipos y otrosdispositivos que se conectan entre s. Puede tratarse de dosequiposen la mismahabitacin, decenasde equiposen unaorganizacin omuchos equiposen elmundo enteroconectadosa travsde Internet. Los equiposen lamisma redpueden trabajar juntos y compartir datos.
Aunque las redes como Internet brindan acceso a una gran cantidad de informacin y oportunidadescomerciales, tambin pueden exponer la red a atacantes. Muchas personas creen que sus equipos noguardan informacin importante o que un hacker no estar interesado en sus equipos. Se equivocan. Unhacker puede utilizar su equipo como plataforma para atacar a otros equipos o redes. La informacin de suorganizacin, incluida la informacin personal acerca de usuarios, empleados o clientes, tambin es valiosapara los hackers.
El dispositivo WatchGuard y la suscripcin a LiveSecurity pueden ayudar a prevenir estos ataques. Unabuena poltica de seguridad de red o un conjunto de reglas de acceso para usuarios y recursos, tambinpueden ayudar a detectar y prevenir ataques a su equipo o red. Recomendamos configurar el Firebox paraque coincida con la poltica de seguridad y considerar las amenazas tanto internas como externas de laorganizacin.
Acerca de las conexiones a InternetLos ISP (proveedores de servicio de Internet) son empresas que ofrecen acceso a Internet a travs deconexiones de red. La velocidad con la cual una conexin de red puede enviar datos se conoce comoancho de banda: por ejemplo, 3 megabits por segundo (Mbps).
Una conexin a Internet de alta velocidad, como mdem por cable o DSL (lnea de suscriptor digital), seconoce como conexin de banda ancha. Las conexiones de banda ancha son mucho ms rpidas que lasconexiones telefnicas. El ancho de banda de una conexin telefnica es inferior a .1 Mbps, mientras queuna conexin de mdem por cable puede ser de 5 Mbps o ms.
Las velocidades tpicas para los mdem por cable en general son inferiores a las velocidades mximas,porque cada equipo en un barrio es miembro de una LAN. Cada equipo en esa LAN usa parte del ancho debanda. Debido a este sistema de medio compartido, las conexiones de mdem por cable pueden volverselentas cuando ms usuarios estn en la red.
Las conexiones DSL proveen ancho de banda constante, pero en general son ms lentas que las conexionesde mdem por cable. Adems, el ancho de banda slo es constante entre el hogar u oficina y la oficinacentral de DSL. La oficina central de DSL no puede garantizar una buena conexin a un sitio web o red.
Cmo viaja la informacin en Internet
Los datos que se envan por Internet se dividen en unidades o paquetes. Cada paquete incluye la direccinde Internet del destino. Los paquetes que componen una conexin pueden usar diferentes rutas a travsde Internet. Cuando todos llegan a destino, vuelven a agruparse en el orden original. Para asegurar quetodos los paquetes lleguen a destino, se agrega informacin de direccin a los paquetes.
Acerca de los ProtocolosUn protocolo es un conjunto de reglas que permiten a los equipos conectarse a travs de una red. Losprotocolos son la gramtica del lenguaje que utilizan los equipos cuando se comunican a travs de una red.El protocolo estndar para conectarse a Internet es el IP (Protocolo de Internet). Este protocolo es ellenguaje comn de los equipos en Internet.
Un protocolo tambin indica el modo en que los datos se envan a travs de una red. Los protocolosutilizados con ms frecuencia son TCP (Protocolo de control de transmisin) y UDP (Protocolo de datagramade usuario). TCP/IP es el protocolo bsico utilizado por los equipos que se conectan a Internet.
Se deben conocer algunas de las configuraciones de TCP/IP cuando se configura el dispositivo WatchGuard.Para obtener ms informacin sobre TCP/IP, consulte Buscar las propiedades TCP/IP en la pgina 36.
Introduccin a la seguridad de red
2 Fireware XTMWeb UI
Introduccin a la seguridad de red
Gua del Usuario 3
Acerca de las Direcciones IPPara realizar un envo postal comn a una persona, se debe conocer su direccin. Para que un equipo enInternet enve datos a un equipo diferente, debe conocer la direccin de ese equipo. Una direccin deequipo se conoce como direccin de protocolo de Internet (IP). Todos los dispositivos en Internet tienendirecciones IP nicas, que permiten a otros dispositivos en Internet encontrarlos e interactuar con ellos.
Una direccin IP consta de cuatro octetos (secuencias de nmeros binarios de 8 bits) expresados enformato decimal y separados por puntos. Cada nmero entre los puntos debe estar en el rango de 0 a 255.Algunos ejemplos de direcciones IP son:
n 206.253.208.100n 4.2.2.2n 10.0.4.1
Direcciones privadas y puertas de enlaceMuchas empresas crean redes privadas que tienen su propio espacio de direccin. Las direcciones 10.x.x.xy 192.168.x.x estn reservadas para direcciones IPprivadas. Los equipos en Internet no pueden usar estasdirecciones. Si su equipo est en una red privada, se conecta a Internet a travs de un dispositivo de puertade enlace que tiene una direccin IP pblica.
En general, la puerta de enlace predeterminada es un enrutador que se encuentra entre la red del usuarioe Internet. Despus de instalar el Firebox en la red, se convierte en la puerta de enlace predeterminadapara todos los equipos conectados a sus interfaces de confianza u opcionales.
Acerca de las mscaras de subredDebido a cuestiones de seguridad y rendimiento, las redes a menudo se dividen en porciones mspequeas llamadas subred. Todos los dispositivos en una subred tienen direcciones IP similares. Porejemplo, todos los dispositivos que tienen direcciones IP cuyos tres primeros octetos son 50.50.50pertenecen a la misma subred.
La subnet mask o mscara de red de una direccin IP de red es una serie de bits que enmascaran seccionesde la direccin IP que identifican qu partes de la direccin IP son para la red y qu partes son para el host.Una puede escribirse del mismo modo que una direccin IP o en notacin diagonal o CIDR (enrutamientode interdominios sin clases).
Acerca de las Notacin diagonalFirebox utiliza notacin diagonal para muchos fines, entre ellos la configuracin de polticas. La notacindiagonal, conocida tambin como notacin CIDR (enrutamiento de interdominios sin clases), es un modocompacto de mostrar o escribir una mscara de subred. Cuando se usa notacin diagonal, se escribe ladireccin IP, una barra diagonal hacia adelante (/) y el nmero de mscara de subred.
Para encontrar el nmero de mscara de subred el usuario debe:
1. Convertir la representacin decimal de la mscara de subred a una representacin binaria.2. Contar cada "1" en la mscara de subred. El total es el nmero de mscara de subred.
Por ejemplo, el usuario desea escribir la direccin IP 192.168.42.23 con una mscara de subred de255.255.255.0 en notacin diagonal.
1. Convertir la mscara de subred a una representacin binaria.En este ejemplo, la representacin binaria de 255.255.255.0 es:11111111.11111111.11111111.00000000.
2. Contar cada "1" en la mscara de subred.En este ejemplo, hay veinticuatro (24).
3. Escribir la direccin IP original, una barra diagonal hacia adelante (/) y luego el nmero del paso 2.El resultado es 192.168.42.23/24.
La siguiente tabla muestra mscaras de red comunes y sus equivalentes en notacin diagonal.
Mscara de red Equivalente diagonal
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
Acerca del ingreso de Direcciones IPCuando se ingresan direcciones IP en el Quick Setup Wizard o en cuadros de dilogo, se deben ingresar losdgitos y decimales en la secuencia correcta. No se debe usar la tecla TAB, las teclas de flecha, la barraespaciadora ni el mouse para colocar el cursor despus de los decimales.
Por ejemplo si ingresa ladireccin IP 172.16.1.10,no ingrese unespacio despusde ingresar 16.No intentecolocar el cursor despusdel decimal subsiguiente para ingresar 1. Ingrese undecimal directamente despusde 16 y luego ingrese 1.10. Presione la teclade barra inclinada (/) paradesplazarse a lamscarade red.
estticas y dinmicas Direcciones IPLos ISP (proveedores de servicios de Internet) asignan una direccin IP a cada dispositivo en la red. Ladireccin IP puede ser esttica o dinmica.
Introduccin a la seguridad de red
4 Fireware XTMWeb UI
Introduccin a la seguridad de red
Gua del Usuario 5
Direcciones IP estticas
Una direccin IP esttica es una direccin IP que permanece siempre igual. Si tiene un servidor web, unservidor FTP u otro recurso de Internet que debe tener una direccin que no puede cambiar, puedeobtener una direccin IP esttica de su ISP. Una direccin IP esttica generalmente es ms costosa que unadireccin IP dinmica. Algunos ISP no proveen direcciones IP estticas. La direccin IP esttica debeconfigurarse en formamanual.
Direcciones IP dinmicas
Una direccin IP dinmica es una direccin IP que el ISP permite utilizar en forma temporal a un usuario. Siuna direccin dinmica no est en uso, puede ser asignada automticamente a un dispositivo diferente. Lasdirecciones IP dinmicas se asignan a travs de DHCP o PPPoE.
Acerca de DHCP
El Protocolo de Configuracin Dinmica de Host (DHCP) es un protocolo de Internet que los equipos en redutilizan para obtener direcciones IP y otra informacin como la puerta de enlace predeterminada. Cuandoel usuario se conecta a Internet, un equipo configurado como un servidor DHPC en el ISP le asignaautomticamente una direccin IP. Podra ser la misma direccin IP que tena anteriormente o podra seruna nueva. Cuando se cierra una conexin a Internet que usa una direccin IP dinmica, el ISP puedeasignar esa direccin IP a un cliente diferente.
El dispositivo WatchGuard se puede configurar como servidor DHCP para las redes detrs del dispositivo. Seasigna un rango de direcciones para que el servidor DHCP use.
Acerca de PPPoE
Algunos ISP asignan direcciones IP a travs del Protocolo punto a punto por Ethernet (PPPoE). PPPoE agregaalgunas de las funciones de Ethernet y del protocolo punto a punto (PPP) a una conexin de accesotelefnico estndar. Este protocolo de red permite al ISP utilizar los sistemas de facturacin, autenticacin yseguridad de su infraestructura telefnica con productos DSL de mdem y de mdem por cable.
Acerca de las DNS (sistema de domain name)Con frecuencia se puede encontrar la direccin de una persona desconocida en el directorio telefnico. EnInternet, el equivalente a un directorio telefnico es el DNS(sistema de domain name). El DNS es una redde servidores que traducen direcciones IP numricas en direcciones de Internet legibles y viceversa. ElDNS toma el domain name amistoso que el usuario ingresa cuando desea ver un sitio web particular, comowww.example.com y encuentra la direccin IP equivalente, como 50.50.50.1. Los dispositivos de rednecesitan la direccin IP real para encontrar el sitio web, pero para los usuarios es mucho ms fcilingresar y recordar los domain names que las direcciones IP.
Un servidor DNS es un servidor que realiza esta traduccin. Muchas organizaciones tienen un servidor DNSprivado en su red que responde a solicitudes de DNS. Tambin se puede usar un servidor DNS en la redexterna, como un servidor DNS proporcionado por el ISP (proveedor de servicios de Internet).
Acerca de firewallUn dispositivo de seguridad de red, como un firewall, separa a las redes internas de las conexiones de lared externa para disminuir el riesgo de un ataque externo. La siguiente figura muestra el modo en que elfirewall protege de Internet a los equipos de una red de confianza.
Los firewall usan polticas de acceso para identificar y filtrar diferentes tipos de informacin. Tambinpueden controlar qu polticas o puertos pueden usar los equipos protegidos en Internet (acceso saliente).Por ejemplo, muchos firewall tienen polticas de seguridad de prueba que permiten slo tipos de trficoespecficos. Los usuarios pueden seleccionar la poltica ms conveniente para ellos. Otros firewall, porejemplo los dispositivos WatchGuard como el Firebox, permiten al usuario personalizar estas polticas.
Para ms informaciones, vea Acerca de servicios y polticas en la pgina 7 y Acerca de puertos en la pgina 8
Introduccin a la seguridad de red
6 Fireware XTMWeb UI
Introduccin a la seguridad de red
Gua del Usuario 7
Los firewall pueden ser hardware o software. Un firewall protege a las redes privadas de usuarios noautorizados en Internet y examina el trfico que ingresa a redes protegidas o sale de stas. El firewallrechaza el trfico de red que no coincide con los criterios o polticas de seguridad.
En algunos firewall cerrados o de rechazo predeterminado, todas las conexiones de red son rechazadas amenos que exista una regla especfica para permitir la conexin. Para implementar este tipo de firewall, sedebe tener informacin detallada acerca de las aplicaciones de red requeridas para satisfacer lasnecesidades de una organizacin. Otros firewall permiten todas las conexiones de red que no han sidorechazadas explcitamente. Este tipo de firewall abierto es ms fcil de implementar, pero no es tan seguro.
Acerca de servicios y polticasEl usuario utiliza un servicio para enviar diferentes tipos de datos (como correo electrnico, archivos ocomandos) desde una computadora a otra a travs de una red o a una red diferente. Estos servicios utilizanprotocolos. Los servicios de Internet utilizados con frecuencia son:
n El acceso a la World Wide Web utiliza el Protocolo de transferencia de hipertexto (HTTP).n El correo electrnico utiliza el Protocolo simple de transferencia de correo (SMTP) o el Protocolo de
Oficina de Correos (POP3).n La transferencia de archivos utiliza el Protocolo de transferencia de archivos (FTP).n Resolver un domain name a una direccin de Internet utiliza el Servicio de Domain Name (DNS).n El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).
Cuando se autoriza o se rechaza un servicio, se debe agregar una poltica a la configuracin del dispositivoWatchGuard. Cada poltica que se agrega tambin puede sumar un riesgo de seguridad. Para enviar y recibirdatos, se debe abrir una puerta en la computadora, lo cual pone en riesgo a la red. Recomendamos agregarslo las polticas necesarias para la empresa.
Como ejemplo del modo en que se utiliza una poltica, supongamos que el administrador de red de unaempresa desea activar una conexin de servicios de terminal de Windows al servidor web pblico de laempresa en la interfaz opcional del Firebox. Peridicamente administra el servidor web con una conexin
de Escritorio Remoto. Al mismo tiempo desea asegurarse de que ningn otro usuario de la red puedautilizar los servicios de terminal del Protocolo de Escritorio Remoto a travs del Firebox. El administradorde red debe agregar una poltica que permita conexiones RDP slo desde la direccin IP de su propioequipo de escritorio a la direccin IP del servidor web pblico.
Cuando se configura el dispositivo WatchGuard con el Quick Setup Wizard, el asistente slo agregaconectividad saliente limitada. Si el usuario tiene ms aplicaciones de software y trfico de red para queexamine Firebox, debe:
n Configurar las polticas en Firebox para que transfieran en trfico necesario.n Definir las propiedades y hosts aprobados para cada poltican Equilibrar el requisito para proteger la red contra los requisitos de los usuarios de obtener acceso a
recursos externos.
Acerca de puertosAunque los equipos tienen puertos de hardware que se utilizan como puntos de conexin, los puertostambin son nmeros utilizados para asignar trfico a un proceso particular en un equipo. En estos puertos,tambin llamados puertos TCP y UDP los programas transmiten datos. Si una direccin IP es como ladireccin de una calle, un nmero de puerto es como un nmero de departamento o edificio dentro deesa calle. Cuando un equipo enva trfico a travs de Internet a un servidor u otro equipo, utiliza unadireccin IP para identificar al servidor o equipo remoto y un nmero de puerto para identificar el procesoen el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que deseamos ver una pgina web en particular. El explorador web intenta crearuna conexin en el puerto 80 (el puerto utilizado para trfico HTTP) para cada elemento de la pgina web.Cuando el explorador recibe los datos que solicita al servidor HTTP, como una imagen, cierra la conexin.
Muchos puertos se usan slo para un tipo de trfico, como el puerto 25 para SMTP (Protocolo simple detransferencia de correo ). Algunos protocolos, como SMTP, tienen puertos con nmeros asignados. A otrosprogramas se les asignan nmeros de puerto en forma dinmica para cada conexin. IANA (InternetAssigned Numbers Authority) mantiene una lista de puertos conocidos. Se puede acceder a esta lista atravs de:http://www.iana.org/assignments/port-numbers
La mayora de las polticas que se agregan a la configuracin del Firebox tienen un nmero de puerto entre0 y 1024, pero los nmeros de puerto posibles pueden ser entre 0 y 65535.
Los puertos estn abiertos o cerrados. Si un puerto est abierto, el equipo acepta informacin y utiliza elprotocolo identificado con ese puerto para crear conexiones a otros equipos. Sin embargo, un puertoabierto es un riesgo de seguridad. Para protegerse contra riesgos creados por los puertos abiertos, sepueden bloquear los puertos utilizados por los hackers para atacar a la red. Para ms informaciones, veaAcerca de los puertos bloqueados en la pgina 347.
El dispositivo WatchGuard y la redEl dispositivo WatchGuard es un dispositivo de seguridad de red altamente eficaz que controla todo eltrfico entre la red externa y la red de confianza. Si equipos con confianza combinada se conectan a la red,tambin se puede configurar una interfaz de red opcional que est separada de la red de confianza. Luegose puede configurar el firewall en el dispositivo para detener todo el trfico sospechoso de la red externa a
Introduccin a la seguridad de red
8 Fireware XTMWeb UI
Introduccin a la seguridad de red
Gua del Usuario 9
las redes de confianza y opcionales. Si se enruta todo el trfico para los equipos de confianza combinada atravs de la red opcional, se puede aumentar la seguridad para esas conexiones a fin de sumar msflexibilidad a la solucin de seguridad. Por ejemplo, los clientes con frecuencia usan la red opcional para losusuarios remotos o para servidores pblicos como un servidor web o un servidor de correo electrnico.
Algunos clientes que adquieren un dispositivo WatchGuard no conocen demasiado sobre redesinformticas o seguridad de red. LaWeb UI (interfaz de usuario basada en la web) de Fireware XTM proveemuchas herramientas de autoayuda para estos clientes. Los clientes con ms experiencia pueden utilizar laintegracin avanzada y las mltiples funciones de soporte WAN del Fireware Appliance Software XTM Propara conectar un dispositivo WatchGuard a una red de rea ancha mayor. El dispositivo WatchGuard seconecta a un mdem por cable, DSL de mdem o enrutador ISDN.
LaWeb UI puede utilizarse para administrar sin percances las configuraciones de seguridad de red desdediferentes ubicaciones y en cualquier momento. As se obtiene ms tiempo y recursos para utilizar en otrosequipos de la empresa.
Introduccin a la seguridad de red
Gua del Usuario 10
Gua del Usuario 11
2 Introduccin a Fireware XTM
Introduccin a Fireware XTMFireware XTM le ofrece una forma sencilla y eficiente de visualizar, administrar y monitorear cada Fireboxen su red. La solucin Fireware XTM incluye cuatro aplicaciones de software:
n WatchGuard System Manager (WSM)n Fireware XTMWeb UIn Command Line Interface (CLI) de Fireware XTMn WatchGuard Server Center
Posiblemente sea necesario utilizar ms de una aplicacin Fireware XTM para configurar la red de unaorganizacin. Por ejemplo, si se tiene slo un producto Firebox X Edge e-Series, la mayora de las tareas deconfiguracin pueden realizarse con la Fireware XTMWeb UI o la Command Line Interface de FirewareXTM. Sin embargo, para funciones de administracin y registro ms avanzadas, se debe utilizar WatchGuardServer Center. Si el usuario administra ms de un dispositivo WatchGuard o si ha comprado Fireware XTMcon una actualizacin Pro, recomendamos utilizar WatchGuard System Manager (WSM). Si el usuario decideadministrar y monitorear la configuracin con la Fireware XTMWeb UI, algunas funciones no puedenconfigurarse.
Para obtener ms informacin acerca de estas limitaciones, consulte Limitaciones de la Fireware XTMWebUI en la pgina 31.
Para obtener ms informacin acerca de cmo conectarse a Firebox con el WatchGuard System Manager ola Command Line Interface de Fireware XTM, consulte la Ayuda en lnea o la Gua del usuario para esosproductos. Se puede visualizar y descargar la documentacin ms reciente para estos productos en lapgina Documentacin del producto de Fireware XTM:http://www.watchguard.com/help/documentation/xtm.asp.
Nota Los trminos Firebox y dispositivo WatchGuard que se encuentran a lo largo detoda esta documentacin se refieren a productos deWatchGuard que usanFireware XTM, como el dispositivo Firebox X Edge e-Series.
Componentes de Fireware XTMPara iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,seleccione el acceso directo desde el men de Inicio. WatchGuard Server Center tambin puede iniciarsedesde un cono en la bandeja del sistema. Desde estas aplicaciones, se pueden iniciar otras herramientasque ayudan a administrar la red. Por ejemplo, se puede iniciar HostWatch o el Policy Manager desdeWatchGuard System Manager (WSM).
el WatchGuard System ManagerWatchGuard System Manager (WSM) es la principal aplicacin para la administracin de red con Firebox.WSM se puede utilizar para administrar muchos dispositivos Firebox diferentes, incluso aquellos que usandistintas versiones de software. WSM incluye un conjunto integral de herramientas que ayudan amonitorear y controlar el trfico de red.
Policy Manager
Se puede utilizar el Policy Manager para configurar el firewall. El Policy Manager incluye un conjuntocompleto de filtrados de paquetes preconfigurados, polticas de proxy y puertas de enlace de lacapa de aplicacin (ALG). El usuario tambin puede establecer un filtrado de paquetespersonalizado, una poltica de proxy o ALG en los cuales se configuran los puertos, los protocolos yotras opciones. Otras funciones del Policy Manager ayudan a detener los intentos de intrusin en lared, como ataques de congestin del servidor SYN, ataques de suplantacin de paquetes y sondeosde espacio entre puertos o direcciones.
Firebox System Manager (FSM)
El Firebox System Manager provee una interfaz para monitorear todos los componentes deldispositivo WatchGuard. Desde FSM, se puede ver el estado en tiempo real de Firebox y suconfiguracin.
Introduccin a Fireware XTM
12 Fireware XTMWeb UI
Introduccin a Fireware XTM
Gua del Usuario 13
HostWatch
HostWatch es un monitor de conexin en tiempo real que muestra el trfico de red entrediferentes interfaces de Firebox. HostWatch tambin muestra informacin acerca de usuarios,conexiones, puertos y servicios.
LogViewer
El LogViewer es la herramienta del WatchGuard System Manager usada para ver datos del archivode registro. Puede mostrar los datos de registro pgina por pgina, o buscar y exhibir por palabrasclaves o campos de registro especificados.
Report Manager
El Report Manager puede usarse para generar informes de los datos reunidos desde los Log Serverspara todos los dispositivos WatchGuard. Desde el Report Manager, se pueden ver los InformesWatchGuard disponibles para los dispositivos WatchGuard.
Administrador de CA
El Administrador de la autoridad de certificacin (CA) muestra una lista completa de certificados deseguridad instalados en el equipo de administracin con Fireware XTM. Esta aplicacin puedeutilizarse para importar, configurar y generar certificados para uso con tneles VPN y otros fines deautenticacin.
WatchGuard Server CenterWatchGuard Server Center es la aplicacin donde se configuran y monitorean todos los servidoresWatchGuard.
Management Server
El Management Server funciona en un equipo Windows. Con este servidor, se pueden administrartodos los dispositivos de firewall y crear tneles de red privada virtual (VPN) utilizando una simplefuncin de arrastrar y soltar. Las funciones bsicas del Management Server son:
n Autoridad de certificacin para distribuir certificados para tneles de seguridad del protocolode Internet (IPSec).
n Administracin de la configuracin del tnel VPN.n Administracin de mltiples dispositivos Firebox y Firebox X Edge.
Log Server
El Log Server rene los mensajes de registro de cada Firebox de WatchGuard. Estos mensajes deregistro estn cifrados cuando se envan al Log Server. El formato del mensaje de registro es XML(texto sin formato). La informacin reunida de dispositivos de firewall incluye los siguientesmensajes de registro: trfico, evento, alarma, depuracin (diagnstico) y estadstica.
WebBlocker Server
El WebBlocker Server funciona con el proxy HTTP del Firebox para denegar el acceso de usuarios acategoras especficas de sitios web. Durante la configuracin del Firebox, el administrador establecelas categoras de sitios web para permitir o bloquear.
Para obtener ms informacin sobre WebBlocker y el WebBlocker Server, consulte Acerca de lasWebBlocker en la pgina 561.
Quarantine Server
El Quarantine Server rene y asla mensajes de correo electrnico que segn la sospecha despamBlocker son spam o pueden tener un virus.
Para ms informaciones, vea Pgina Acerca de Quarantine Server en la pgina 635.
Report Server
El Report Server peridicamente agrupa los datos reunidos por los Log Servers en los dispositivosWatchGuard y luego genera informes en forma peridica. Una vez que los datos se encuentran en elReport Server, se puede utilizar el Report Manager para generar y ver los informes.
Fireware XTMWeb UI e interfaz de la lnea de comandosLa Fireware XTMWeb UI y la Command Line Interface son soluciones de administracin alternativas quepueden realizar la mayora de las mismas tareas que WatchGuard System Manager y el Policy Manager .Algunas opciones y funciones de configuracin avanzada, como las configuraciones de FireCluster o polticade proxy, no estn disponibles en la Fireware XTMWeb UI o la Command Line Interface.
Para ms informaciones, vea Acerca del Fireware XTMWeb UI en la pgina 30.
Fireware XTMcon Actualizacin ProLa actualizacin Pro a Fireware XTM provee varias funciones avanzadas para clientes con experiencia,como balance de carga en el servidor y tneles SSL VPN adicionales. Las funciones disponibles con unaactualizacin Pro dependen del tipo y el modelo de Firebox:
FuncinCore e-Series
Core/Peak e-Seriesy XTM XTM1050(Pro)
Edge e-Series
Edge e-Series(Pro)
FireCluster X
VLANs 75 mx.75 mx. (Core)200 mx. (Peak/XTM1050)
20 mx. 50 mx.
Dynamic Routing (OSPF y BGP) X
Enrutamiento basado en la poltica X X
Balance de carga en el servidor X
Tneles SSLVPN mximos X X
Conmutacin por error de WANmltiples
X X X
Balance de carga de WANmltiples
X X
Introduccin a Fireware XTM
14 Fireware XTMWeb UI
Introduccin a Fireware XTM
Gua del Usuario 15
Para adquirir Fireware XTM con una actualizacin Pro, comunquese con su revendedor local.
Introduccin a Fireware XTM
Gua del Usuario 16
Gua del Usuario 17
3 Servicio y soporte
Acerca de las Soporte de WatchGuardWatchGuard sabe qu importante resulta el soporte cuando debe asegurar su red con recursos limitados.Nuestros clientes requieren ms conocimiento y asistencia en un mundo donde la seguridad es deimportancia crtica. LiveSecurity Service le proporciona el respaldo que necesita, con una suscripcin querespalda su dispositivo WatchGuard desde el momento del registro.
LiveSecurity ServiceSu dispositivo WatchGuard incluye una suscripcin al innovador LiveSecurity Service, que se activa en lneacuando registra el producto. En el momento de la activacin, la suscripcin de LiveSecurity Service leotorga acceso a un programa de soporte y mantenimiento sin comparacin en la industria.
LiveSecurity Service viene con los siguientes beneficios:
Garanta de hardware con reemplazo de hardware avanzado
Una suscripcin activa de LiveSecurity extiende la garanta de hardware de un ao incluida con cadadispositivo WatchGuard. Su suscripcin adems ofrece el reemplazo de hardware avanzado paraminimizar el tiempo de inactividad en caso de una falla de hardware. Si tiene una falla de hardware,WatchGuard le enviar una unidad de reemplazo antes de que tenga que enviar el hardwareoriginal.
Actualizaciones de software
Su suscripcin de LiveSecurity Service le proporciona acceso a las actualizaciones del softwareactual y a las mejoras funcionales para sus productos WatchGuard.
Soporte tcnico
Cuando necesita asistencia, nuestros equipos expertos estn listos para ayudarlo:
n Representantes disponibles 12 horas al da, 5 das a la semana en su zona horaria local*n Tiempo mximo de respuesta inicial focalizada de cuatro horas
n Acceso a foros para usuarios en lnea moderados por ingenieros generales de soporte
Recursos y alertas de soporte
Su suscripcin de LiveSecurity Service le brinda acceso a una variedad de videos instructivos deproduccin profesional, cursos de capacitacin interactivos en Internet y herramientas en lneadiseadas especficamente para responder las preguntas que pueda tener acerca de la seguridad dered en general o los aspectos tcnicos de la instalacin, la configuracin y el mantenimiento de susproductos WatchGuard.
Nuestro Equipo de respuesta rpida, un grupo dedicado de expertos en seguridad de red,monitorea Internet para identificar las amenazas emergentes. Luego, emite Transmisiones deLiveSecurity para indicarle de manera especfica lo que debe hacer para encargarse de cada nuevaamenaza. Puede personalizar sus preferencias de alerta para seleccionar cuidadosamente el tipo deavisos y alertas que le enva LiveSecurity Service.
LiveSecurity Service GoldLiveSecurity Service Gold est disponible para las compaas que requieren disponibilidad las 24 horas.Este servicio de soporte de primera calidad otorga una mayor cantidad de horas de cobertura y tiempos derespuesta ms rpidos gracias a la asistencia de soporte remoto las 24 horas. LiveSecurity Service Gold esnecesario en cada unidad de su organizacin para contar con una cobertura completa.
Caractersticas del servicio LiveSecurity ServiceLiveSecurityService Gold
Horarios de soporte tcnicoDe lunes a viernes, de 6.00a.m. a 6.00p.m.*
las 24 horas
Nmero de incidentes de soporte(en lnea o por telfono)
5 por ao Ilimitada
Tiempo de respuesta inicial focalizada 4 horas 1 hora
Foro de soporte interactivo S S
Actualizaciones de software S S
Herramientas de autoayuda y capacitacin en lnea S S
Transmisiones de LiveSecurity S S
Asistencia de instalacin Opcional Opcional
Paquete de soporte de tres incidentes Opcional N/A
Actualizacin de respuesta de prioridadde una hora, para un solo incidente
Opcional N/A
Actualizacin para un solo incidente fuera delhorario de trabajo habitual
Opcional N/A
Servicio y soporte
18 Fireware XTMWeb UI
Servicio y soporte
Gua del Usuario 19
* En la regin del pacfico asitico, los horarios de soporte estndar son de lunes a viernes, de 9.00a.m. a 9.00p.m.(GMT +8).
Expiracin del servicioLe recomendamos mantener su suscripcin activa para asegurar su organizacin. Cuando su suscripcin deLiveSecurity expira, usted pierde el acceso a advertencias de seguridad actualizadas y actualizaciones desoftware peridicas, lo que puede poner su red en peligro. El dao a la red resulta mucho ms costoso queuna renovacin de la suscripcin de LiveSecurity Service. Si realiza la renovacin dentro de 30 das, no sele cobrar una tarifa de reingreso.
Servicio y soporte
Gua del Usuario 20
Gua del Usuario 21
4 Introduccin
Antes de empezarAntes de empezar el proceso de instalacin, asegrese de concluir las tareas descritas en las siguientessecciones.
Nota En esas instrucciones de instalacin, suponemos que su dispositivo WatchGuardtenga una interfaz de confianza, una externa y una opcional configurada. Paraconfigurar interfaces adicionales en su dispositivo, use las herramientas yprocedimientos de configuracin descritos en los tpicos Configuracin de red yConfiguracin.
Verificar componentes bsicosAsegurarse de que tiene esos tems:
n Un equipo de tarjeta de interfaz de red Ethernet 10/100BaseT y un explorador web instaladosn Un dispositivo Firebox o XTM de WatchGuardn Un cable serial (azul)
solamente modelos Firebox X Core, Peak y XTM de WatchGuardn Un cable cruzado de Ethernet (rojo)
solamente modelos Firebox X Core, Peak y XTM de WatchGuardn Un cable recto de Ethernet (verde)n Cable de energa o adaptador de energa CA
Obtener tecla de funcin del dispositivo WatchGuardPara habilitar todas las funciones de su dispositivo WatchGuard, debe registrar el dispositivo en el sitio webde LiveSecurity de WatchGuard y obtener su tecla de funcin. El Firebox tiene slo una licencia de usuario(licencia por puesto) hasta que aplica su tecla de funcin.
Si registra su dispositivo WatchGuard antes de usar el Quick Setup Wizard, puede pegar una copia de sutecla de funcin en el asistente. El asistente entonces la aplica a su dispositivo. Si no pega su tecla de funcinen el asistente, an puede finalizarlo. Hasta que se agregue la tecla de funcin, slo una conexin espermitida a Internet.
Tambin se obtiene una nueva tecla de funcin para cualquier producto o servicio opcional cuando loscompra. Despus de registrar su dispositivo WatchGuard o cualquier nueva funcin, puede sincronizar sutecla de funcin del dispositivo WatchGuard con las teclas guardadas en su perfil de registro en el sitio deLiveSecurity de WatchGuard. Puede usar Fireware XTMWeb UI en cualquier momento para obtener sutecla de funcin.
Para saber cmo registrar su dispositivo WatchGuard y obtener una tecla de funcin, vea Obtener una teclade funcin junto a LiveSecurity en la pgina 52.
Recoger direcciones de redRecomendamos que registre su informacin de red antes y despus de configurar su dispositivoWatchGuard. Use la primera tabla abajo para sus direcciones IP de red antes de poner su dispositivo enfuncionamiento. Para ms informacin acerca de cmo identificar sus direcciones IP de red, vea Identificarsus configuraciones de red en la pgina 35.
WatchGuard usa la notacin diagonal para mostrar la Subnet Mask. Para ms informaciones, vea Acerca delas Notacin diagonal en la pgina 3. Para ms informacin acerca de las direcciones IP, vea Acerca de lasDirecciones IP en la pgina 3.
Tabla 1: Direcciones IP de red sin el dispositivo WatchGuard
Red de rea Amplia _____._____._____._____ / ____
Puerta de enlace predeterminada _____._____._____._____
Red de rea local _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Servidor(es) Pblico(s) (si corresponde) _____._____._____._____
_____._____._____._____
_____._____._____._____
Use la segunda tabla para sus direcciones IP de red despus de poner su dispositivo WatchGuard enfuncionamiento.
Interfaz externa
Conecta a la red externa (generalmente Internet) que no sea de confianza.
Interfaz de confianza
Conecta a la red interna o LAN (red de rea local) privada que desea proteger.
Introduccin
22 Fireware XTMWeb UI
Introduccin
Gua del Usuario 23
Interfaz opcional
Generalmente conecta a un rea de confianza combinada de su red, tales como servidores en DMZ(zona desmilitarizada). Puede usar interfaces opcionales para crear zonas en la red con diferentesniveles de acceso.
Tabla 1: Direcciones IP de red con el dispositivo WatchGuard
Puerta de enlace predeterminada _____._____._____._____
Interfaz externa _____._____._____._____/ ____
Interfaz de confianza _____._____._____._____ / ____
Interfaz opcional _____._____._____._____ / ____
Secondary Network (si corresponde) _____._____._____._____ / ____
Seleccione un modo configuracin de firewallDebe elegir cmo desea conectar el dispositivo WatchGuard a su red antes de ejecutar el Quick SetupWizard. La forma como conecta el dispositivo controla la configuracin de la interfaz. Cuando conecta eldispositivo, selecciona el modo de configuracin enrutado o directo que mejor de adecue a su redactual.
Muchas redes funcionan mejor con la configuracin de enrutamiento combinado, pero recomendamos elmodo directo si:
n Ya asign un gran nmero de direcciones IP estticas y no desea alterar su configuracin de red.n No se puede configurar los equipos en redes de confianza y opcional que tengan direcciones IP
pblicas con direcciones IP privadas.
Esa tabla y las descripciones abajo de ella muestran tres condiciones que pueden ayudar a seleccionar elmodo configuracin del firewall.
Modo de enrutamiento combinado Modo directo
Todas las interfaces del dispositivo WatchGuardestn el redes diferentes.
Todas las interfaces del dispositivo WatchGuardestn en la misma red y tienen la misma direccinIP.
Las interfaces de confianza y opcional deben estaren redes diferentes. Cada interfaz tiene unadireccin IP en su red.
Los equipos en las interfaces de confianza u opcionalpueden tener una direccin IP pblica.
Use la NAT (traduccin de direccin de red)esttica para asignar direcciones pblicas adirecciones privadas detrs de las interfaces deconfianza u opcionales.
La NAT no es necesaria porque los equipos conacceso pblico tienen direcciones IP.
Para ms informacin acerca del modo directo, vea Acerca de la configuracin de red en modo directo enla pgina 89.
Para ms informacin acerca del modo de enrutamiento combinado, veaModo de enrutamientocombinado en la pgina 82.
El dispositivo WatchGuard tambin soporta un tercer modo configuracin llamado modo puente. Ese modoes usado con menos frecuencia. Para ms informacin acerca del modo puente, veaModo Bridge en lapgina 94.
Nota Puede usar el Web Setup Wizard o el Quick Setup Wizard del WSM para crear suconfiguracin inicial. Cuando ejecuta el Web Setup Wizard, la configuracinfirewall es automticamente definida en modo de enrutamiento combinado.Cuando ejecuta el Quick Setup Wizard del WSM, puede configurar el dispositivo enmodo de enrutamiento combinado o modo directo.
Ahora puede iniciar el Quick Setup Wizard. Para ms informaciones, vea Acerca del Quick Setup Wizard enla pgina 24.
Acerca del Quick Setup WizardSe puede usar la Quick Setup Wizard para crear una configuracin bsica para su dispositivo WatchGuard. Eldispositivo usa ese archivo de configuracin bsica cuando se inicia por primera vez. Eso permite quefuncione como un firewall bsico. Puede usar ese mismo procedimiento a cualquier momento pararestablecer el dispositivo en una configuracin bsica nueva. Eso es til para la recuperacin del sistema.
Cuando configura su dispositivo WatchGuard con el Quick Setup Wizard, se definen slo las polticas bsicas(TCP y UDP salientes), filtrado de paquetes del FTP, ping y WatchGuard) y direcciones IP de interfaz. Si tienems aplicaciones de software y trfico de red para que el dispositivo busque, debe:
n Configurar las polticas en el dispositivo WatchGuard para dejar pasar el trfico necesarion Definir las propiedades y hosts aprobados para cada poltican Balancear el requisito para proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos
Para instrucciones acerca de cmo ejecutar el asistente a partir del explorador web, vea Ejecutar el WebSetup Wizard en la pgina 24.
Ejecutar el Web Setup Wizard
Nota Esas instrucciones son para el Web Setup Wizard en un Firebox que usa el FirewareXTM v11.0 o posterior. Si su dispositivo WatchGuard usa una versin anterior delsoftware, debe actualizar para el Fireware XTM antes de usar esas instrucciones.Vea las Notas de versin para las instrucciones de actualizacin para su modelo deFirebox.
Puede usar el Web Setup Wizard para hacer una configuracin bsica en un dispositivo WatchGuard XTM oFirebox X e-Series. El Web Setup Wizard automticamente configura el Firebox en el modo deenrutamiento combinado.
Introduccin
24 Fireware XTMWeb UI
Introduccin
Gua del Usuario 25
Para usar el Web Setup Wizard, debe hacer una conexin de red directa hacia el dispositivo WatchGuard yusar un explorador web para iniciar el asistente. Cuando configura su dispositivo WatchGuard, l usa DHCPpara enviar una nueva direccin IP a su equipo.
Antes de iniciar el Web Setup Wizard, asegrese de:
n Registrar su dispositivo WatchGuard con el LiveSecurity Servicen AlmacenarunacopiadelatecladefuncindeldispositivoWatchGuardenunarchivodetextoensuequipo
Iniciar el Web Setup Wizard
1. Use el cable cruzado de Ethernet que viene con su Firebox para conectar el equipo deadministracin a la interfaz de confianza del Firebox.
n Paraun dispositivo Firebox X Core,Peak e-Series,o XTM, la interfazde confianzaes lanmero 1n Para un Firebox X Edge E-Series, la interfaz de confianza es la LAN0
2. Conecte el cable de energa a la entrada de energa del dispositivo WatchGuard y a una fuente deenerga.
3. Inicie el Firebox en modo predeterminado de fbrica. En los modelos Core, Peak y XTM, eso seconoce como modo seguro.
Para ms informaciones, vea Restablecer un dispositivo Firebox o XTM a una configuracin anterioro nueva en la pgina 48.
4. Asegrese de que su equipo est configurado para aceptar una direccin IP asignada por DHCP.
Si su equipo usaWindows XP:
n En el men Windows Inicio, seleccione Todos los programas > Panel de control > Conexionesde red > Conexiones de rea local.
n Haga clic en Propiedades.n Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades.n Asegrese de que Obtener una direccin IP automticamente est seleccionado.
Para instrucciones ms detalladas, vea Identificar sus configuraciones de red en la pgina 35.
5. Si su explorador usa un servidor proxy de HTTP, debe desactivar temporalmente la configuracinproxy HTTP en su explorador.
Para ms informaciones, vea Desactive el proxy de HTTP en el explorador en la pgina 39.
6. Abra el explorador web e ingrese la direccin IP predeterminada de fbrica de interfaz 1.Para un Firebox XCore o Peak, o un dispositivo WatchGuard XTM, la direccin IP es:https://10.0.1.1:8080.Para un Firebox XEdge, la direccin es: https://192.168.111.1:8080.Si usa el Internet Explorer, asegrese de ingresar el https:// al principio de la direccin IP. Esoestablece una conexin HTTP segura entre su equipo de administracin y el dispositivo WatchGuard.El Web Setup Wizard se inicia automticamente.
7. Registre las credenciales de cuenta del administrador:Nombre de usuario:adminFrase de contrasea: lecturaescritura
8. Complete las siguientes pantallas del asistente.
El Web Setup Wizard incluye ese grupo de cuadros de dilogo. Algunos cuadros de dilogo aparecenslo si selecciona ciertos mtodos de configuracin:
Ingresar
Ingresar con las credenciales de cuenta del administrador. ParaNombre de usuario, seleccioneadmin. Para Frase de contrasea, use la frase:lecturaescritura.
Bienvenido
La primera pantalla le informa sobre el asistente.
Seleccione un tipo de configuracin.
Seleccione si prefiere crear una nueva configuracin o restaurar una configuracin a partir deuna imagen de copia de seguridad guardada.
Acuerdo de licencia
Debe aceptar el acuerdo de licencia para continuar con el asistente.
Opciones de tecla de funcin, Retener tecla de funcin, Aplicar tecla de funcin
Si su Firebox todava no tiene una tecla de funcin, el asistente provee opciones para quedescargue o importe una tecla de funcin. El asistente slo puede descargar una tecla defuncin si tiene una conexin a Internet. Si descarg una copia local de la tecla de funcin a suequipo, puede pegarla en el asistente de configuracin.
Si el Firebox no tiene una conexin a Internet mientras ejecuta el asistente y no se registr eldispositivo ni descarg la tecla de funcin a su equipo antes de haber iniciado el asistente,puede elegir no aplicar una tecla de funcin.
AdvertenciaSi no aplica una tecla de funcin en el Web Setup Wizard, debe registrar eldispositivo y aplicar la tecla de funcin en el Fireware XTMWeb UI. Lafuncionalidad del dispositivo es limitada hasta que se aplique una tecla de funcin.
Configurar la interfaz externa de su Firebox
Seleccione el mtodo que su ISP usa para asignar su direccin IP. Las opciones son DHCP, PPPoEo esttica.
Configurar la interfaz externa para DHCP
Ingrese su identificacin de DHCP, tal como su ISP la provee.
Configurar la interfaz externa para PPPoE
Ingrese su informacin de PPPoE, tal como su ISP la provee.
Configurar la interfaz externa con una direccin IP esttica
Ingrese su direccin IP esttica, tal como su ISP la provee.
Configurar los servidores DNS y WINS
Ingresar las direcciones de DNS de dominio y servidor WINS que desea que el Firebox utilice
Configurar la interfaz de confianza del Firebox
Introduccin
26 Fireware XTMWeb UI
Introduccin
Gua del Usuario 27
Ingrese la direccin IP de la interfaz de confianza. Como opcin, puede activar el servidor DHCPpara la interfaz de confianza.
Inalmbrico (Firebox X Edge e-Series inalmbrico solamente)
Define la regin de funcionamiento, canal y modo inalmbrico. La lista de regiones defuncionamiento inalmbrico que puede seleccionar puede ser diferente segn donde hayaadquirido su Firebox.
Para ms informaciones, vea Acerca de configuraciones de radio en Firebox XEdge e-Seriesinalmbrico en la pgina 181.
Crear frases de contrasea para su dispositivo
Ingrese una frase de contrasea para el estado (slo lectura) y cuentas de administracinadmin (lectura/escritura) en el Firebox.
Habilitar administracin remota
Active la administracin remota si desea administrar ese dispositivo desde la interfaz externa.
Agregue la informacin de contacto para su dispositivo
Puede ingresar un nombre de dispositivo, ubicacin e informacin de contacto y guardar losdatos de administracin para ese dispositivo. Por defecto, el nombre del dispositivo seconfigura con el nmero de modelo de su Firebox. Recomendamos que elija un nombre nicoque pueda usar para identificar fcilmente ese dispositivo, especialmente si usa administracinremota.
Configurar la zona horaria
Seleccione la zona horaria en la que el Firebox est ubicado.
El Quick Setup Wizard est concluido
Despus de concluir el asistente, el dispositivo WatchGuard se reinicia.
Si deja el Web Setup Wizard ocioso por 15 minutos o ms, debe volver al Paso 3 e iniciar nuevamente.
Nota Si cambia la direccin IP de la interfaz deconfianza, debecambiar su configuracindered para asegurarse deque su direccin IP coincide con la subred de la red deconfianza antes deconectase al Firebox. Si usa DHCP, reinicie su equipo. Si usadirecciones estticas, veaUse una direccin IP esttica en la pgina 38.
Despus que el asistente se concluye
Despus que completa todas las pantallas en el asistente, se hace una configuracin bsica del dispositivoWatchGuard que incluye cuatro polticas (TCP saliente, filtrado de paquetes del FTP, ping y WatchGuard) ylas direcciones IP de interfaz especificadas. Puede usar Fireware XTM Web UI para expandir o cambiar laconfiguracin para su dispositivo WatchGuard.
n Para ms informacin acerca de como concluir la instalacin de su dispositivo WatchGuard despusque se concluye el Web Setup Wizard, vea Concluya su instalacin en la pgina 32.
n Para ms informacin acerca de cmo conectarse al Fireware XTMWeb UI, vea Conctese alFireware XTM Web UI en la pgina 28.
Si tiene problemas con el asistente
Si el Web Setup Wizard no puede instalar el Fireware Appliance Software XTM en el dispositivoWatchGuard, el tiempo de espera del asistente se agota. Si tiene problemas con el asistente, verifique esto:
n El archivo del software de la aplicacin Fireware XTM descargado del sitio web LiveSecurity podraestar corrompido. Si la imagen del software est corrompida, en un dispositivo Firebox X Core, Peako XTM, este mensaje aparece en la interfaz de LCD: Error de archivo truncado.
Si ese mensaje aparece, descargue el software nuevamente y pruebe el asistente una vez ms.
n Si usa