You are on page 1of 87

1.

Introducción a la seguridad de la red


Acerca de las redes y la seguridad de la red
Una red es un grupo de ordenadores y otros dispositivos que están conectados entre sí. Pueden ser dos
ordenadores en la misma habitación, docenas de ordenadores en una organización, o muchos ordenadores
alrededor del mundo conectadas a través de Internet. Los ordenadores de la misma red pueden trabajar
juntos y compartir datos.

Aunque redes como Internet le dan acceso a una gran cantidad de información y oportunidades de negocio,
también pueden abrir su red a los atacantes. Muchas personas piensan que sus ordenadores no tienen
información importante, o que un hacker no está interesado en sus ordenadores. Esto no es correcto. Un
hacker puede usar su ordenador como plataforma para atacar a otros ordenadores o redes. La información de
su organización, incluida información personal sobre usuarios, empleados o clientes, también es valiosa para
los piratas informáticos.

Su dispositivo Firebox o XTM y la suscripción de LiveSecurity pueden ayudarle a prevenir estos ataques. Una
buena política de seguridad de red, o un conjunto de reglas de acceso para usuarios y recursos, también
puede ayudarle a encontrar y prevenir ataques a su ordenador o red. Le recomendamos que configure su
dispositivo Firebox o XTM para que coincida con su política de seguridad y piense en amenazas tanto dentro
como fuera de su organización.

Acerca de las conexiones a Internet


Los ISP (proveedores de servicios de Internet) son empresas que dan acceso a Internet a través de conexiones
de red. La velocidad a la que una conexión de red puede enviar datos se conoce como ancho de banda: por
ejemplo, 3 megabits por segundo (Mbps).

Una conexión a Internet de alta velocidad, como un módem por cable o una línea DSL (Digital Subscriber Line),
se conoce como conexión de banda ancha. Las conexiones de banda ancha son mucho más rápidas que las
conexiones de acceso telefónico. El ancho de banda de una conexión de acceso telefónico es inferior a .1
Mbps, mientras que un módem por cable puede ser de 5 Mbps o más.

Las velocidades típicas para los módems de cable son generalmente más bajas que las velocidades máximas,
porque cada ordenador en un vecindario es un miembro de una LAN. Cada ordenador en esa LAN utiliza parte
del ancho de banda. Debido a este sistema de medio compartido, las conexiones de módem por cable pueden
llegar a ser lentas contra más usuarios estén en la red.

Las conexiones DSL proporcionan un ancho de banda constante, pero normalmente son más lentas que las
conexiones por cable módem. Además, el ancho de banda es sólo constante entre su casa u oficina y la oficina
central DSL. La oficina central DSL no puede garantizar una buena conexión a un sitio web o red.

Cómo viaja la información en Internet


Los datos que se envían a través de Internet se cortan en unidades o paquetes. Cada paquete incluye la
dirección de Internet del destino. Los paquetes que forman una conexión pueden utilizar diferentes rutas a
través de Internet. Cuando todos llegan a su destino, se reúnen en el orden original. Para asegurarse de que
los paquetes llegan al destino, se agrega información de dirección a los paquetes.
Acerca de los protocolos
Un protocolo es un grupo de reglas que permiten a los ordenadores conectarse a través de una red. Los
protocolos son la gramática del lenguaje que usan los ordenadores cuando hablan entre sí a través de una red.
El protocolo estándar cuando se conecta a Internet es el IP (Protocolo de Internet). Este protocolo es el
lenguaje habitual de los ordenadores en Internet.

Un protocolo también indica cómo se envían los datos a través de una red. Los protocolos más utilizados son
TCP (Transmission Control Protocol) y UDP (User Datagram Protocol). TCP / IP es el protocolo básico utilizado
por los ordenadores que se conectan a Internet.

Debe conocer algunos de los ajustes de TCP / IP cuando configura su dispositivo Firebox o XTM. Para obtener
más información sobre TCP / IP, consulte Búsqueda de propiedades de TCP / IP en la página 36.

Acerca de las direcciones IP


Para enviar el correo ordinario a una persona, debemos saber su dirección de calle. Para que un ordenador en
Internet envíe datos a un ordenador diferente, debe conocer la dirección de ese ordenador. Una dirección de
equipo se conoce como una dirección de Protocolo de Internet (IP). Todos los dispositivos en Internet tienen
direcciones IP únicas, que permiten a otros dispositivos encontrarlos e interactuar con ellos.

Una dirección IP consta de cuatro octetos (secuencias de números binarios de 8 bits) expresados en formato
decimal y separados por puntos. Cada número entre los períodos debe estar dentro del rango de 0 y 255.
Algunos ejemplos de direcciones IP son: 192.168.0.5; 4.2.2.2; 10.0.4.1

Direcciones privadas y gateways


Muchas compañías crean redes privadas que tienen su propio espacio de direcciones. Las direcciones 10.x.x.x
y 192.168.x.x están reservadas para direcciones IP privadas. Los ordenadores en Internet no pueden usar estas
direcciones. Si su ordenador está en una red privada, se conecta a Internet a través de un dispositivo de
puerta de enlace que tiene una dirección IP pública.

Por lo general, la puerta de enlace predeterminada es el enrutador que se encuentra entre su red e Internet.
Después de instalar el dispositivo Firebox o XTM en su red, se convierte en la puerta de enlace
predeterminada para todos los equipos conectados a sus interfaces de confianza u opcionales.

Acerca de las máscaras de subred


Debido a consideraciones de seguridad y rendimiento, las redes a menudo se dividen en porciones más
pequeñas, llamadas subredes. Todos los dispositivos de una subred tienen direcciones IP similares. Por
ejemplo, todos los dispositivos que tienen direcciones IP cuyos primeros tres octetos son 50.50.50
pertenecerían a la misma subred.

Una máscara de subred de una dirección IP de red o máscara de red es una serie de bits que enmascaran
secciones de la dirección IP que identifican qué partes de la dirección IP son para la red y qué partes son para
el host. Una máscara de subred se puede escribir de la misma manera que una dirección IP, o en barra
diagonal o notación CIDR.

Acerca de la notación de barra


Su dispositivo Firebox o XTM usa la notación de barras para muchos propósitos, incluida la configuración de
políticas. La notación de barras, también conocida como notación CIDR (Classless Inter-Domain Routing), es
una forma compacta de mostrar o escribir una máscara de subred. Cuando se utiliza la notación de barras, se
escribe la dirección IP, una barra diagonal (/) y el número de máscara de subred.
Para buscar el número de máscara de subred:

1. Convierta la representación decimal de la máscara de subred en una representación binaria.

2. Contar cada "1" en la máscara de subred. El total es el número de máscara de subred.

Por ejemplo, desea escribir la dirección IP 192.168.42.23 con una máscara de subred de 255.255.255.0 en
notación de barras.

1. Convierta la máscara de subred en binario.

En este ejemplo, la representación binaria de 255.255.255.0 es:

11111111.11111111.11111111.00000000.

2. Contar cada "1" en la máscara de subred.

En este ejemplo, hay veinticuatro (24).

3. Escriba la dirección IP original, una barra diagonal (/) y, a continuación, el número del paso 2.

El resultado es 192.168.42.23/24.

Esta tabla muestra las máscaras de red comunes y sus equivalentes en la notación de barras:

Acerca de la introducción de direcciones IP


Al escribir direcciones IP en el asistente de configuración rápida o en los cuadros de diálogo, escriba los dígitos
y decimales en la secuencia correcta. No utilice la tecla TAB, las teclas de flecha, la barra espaciadora o el
ratón para colocar el cursor después de los decimales.

Por ejemplo, si escribe la dirección IP 172.16.1.10, no escriba un espacio después de escribir 16. No intente
colocar el cursor después del decimal siguiente para escribir 1. Escriba un decimal directamente después de 16
y, a continuación, escriba 1.10.

Pulse la barra (/) para desplazarse a la máscara de red.


Direcciones IP estáticas y dinámicas
Los ISP (proveedores de servicios de Internet) asignan una dirección IP a cada dispositivo de su red. La
dirección IP puede ser estática o dinámica.

 Direcciones IP estáticas
Una dirección IP estática es una dirección IP que siempre permanece igual. Si tiene un servidor web,
servidor FTP u otro recurso de Internet que debe tener una dirección que no puede cambiar, puede
obtener una dirección IP estática de su ISP. Una dirección IP estática suele ser más cara que una dirección
IP dinámica, y algunos ISP no proporcionan direcciones IP estáticas. Debe configurar manualmente una
dirección IP estática.

 Direcciones IP dinámicas
Una dirección IP dinámica es una dirección IP que un ISP le permite utilizar temporalmente. Si no se
utiliza una dirección dinámica, se puede asignar automáticamente a un dispositivo diferente. Las
direcciones IP dinámicas se asignan mediante DHCP o PPPoE.

Acerca de DHCP
El Protocolo de configuración dinámica de host (DHCP) es un protocolo de Internet que utilizan los
ordenadores de una red para obtener direcciones IP y otra información, como la puerta de enlace
predeterminada. Cuando se conecta a Internet, un ordenador configurado como un servidor DHCP en el ISP
asigna automáticamente una dirección IP. Puede ser la misma dirección IP que tenía antes, o puede ser una
nueva. Al cerrar una conexión a Internet que utiliza una dirección IP dinámica, el ISP puede asignar esa
dirección IP a un cliente diferente.

Puede configurar su dispositivo Firebox o XTM como servidor DHCP para redes detrás del dispositivo. Asigna
un rango de direcciones para el servidor DHCP a utilizar.

Acerca de PPPoE
Algunos ISP asignan direcciones IP a través de Protocolo punto a punto a través de Ethernet (PPPoE). PPPoE
añade algunas de las características de Ethernet y PPP a una conexión de acceso telefónico estándar. Este
protocolo de red permite al ISP utilizar los sistemas de facturación, autenticación y seguridad de su
infraestructura de acceso telefónico con módem DSL y productos de cable módem.

Acerca de DNS (Sistema de nombres de dominio)


Con frecuencia puede encontrar la dirección de una persona que no conoce en el directorio telefónico. En
Internet, el equivalente a una guía telefónica es el DNS (Domain Name System). DNS es una red de servidores
que traducen direcciones IP numéricas en direcciones de Internet legibles y viceversa. DNS toma el nombre de
dominio que escribe cuando desea ver un sitio web determinado, como www.example.com, y encuentra la
dirección IP equivalente, como 50.50.50.1. Los dispositivos de red necesitan la dirección IP real para encontrar
el sitio web, pero los nombres de dominio son mucho más fáciles de escribir y recordar que las direcciones IP.

Un servidor DNS es un servidor que realiza esta traducción. Muchas organizaciones tienen un servidor DNS
privado en su red que responde a las solicitudes de DNS. También puede utilizar un servidor DNS en su red
externa, como un servidor DNS proporcionado por su ISP (Proveedor de servicios de Internet).
Acerca de los firewalls
Un dispositivo de seguridad de red, como un firewall, separa sus redes internas de las conexiones de red
externas para disminuir el riesgo de un ataque externo. La siguiente figura muestra cómo un firewall protege
los equipos de una red de confianza de Internet.

Los firewalls utilizan políticas de acceso para identificar y filtrar diferentes tipos de información. También
pueden controlar qué políticas o puertos pueden utilizar en Internet los ordenadores protegidos (acceso
saliente). Por ejemplo, muchos firewalls tienen ejemplos de políticas de seguridad que permiten sólo tipos de
tráfico especificos. Los usuarios pueden seleccionar la política que es mejor para ellos. Otros firewalls, como
los dispositivos Firebox o XTM, permiten al usuario personalizar estas políticas.

Para obtener más información, consulte Acerca de los servicios y políticas en la página 7 y Acerca de los
puertos en la página 8.
Los firewalls pueden ser en forma de hardware o software. Un firewall protege las redes privadas de usuarios
no autorizados en Internet. El tráfico que entra o sale de las redes protegidas es examinado por el firewall. El
firewall deniega el tráfico de red que no coincide con los criterios o políticas de seguridad.

En algunos firewalls cerrados o predeterminados, todas las conexiones de red se deniegan a menos que exista
una regla específica para permitir la conexión. Para implementar este tipo de firewall, debe tener información
detallada sobre las aplicaciones de red necesarias para satisfacer las necesidades de su organización. Otros
firewalls permiten todas las conexiones de red que no se han negado explícitamente. Este tipo de firewall
abierto es más fácil de implementar, pero no es tan seguro.

Acerca de los servicios y las políticas


Utiliza un servicio para enviar diferentes tipos de datos (como correo electrónico, archivos o comandos) de un
ordenador a otro a través de una misma red o una red diferente. Estos servicios utilizan protocolos. Los
servicios de Internet de uso frecuente son:

 El acceso a la World Wide Web utiliza Hypertext Transfer Protocol (HTTP).


 El correo electrónico utiliza Protocolo simple de transferencia de correo (SMTP) o Protocolo de oficina
postal (POP3).
 La transferencia de archivos utiliza Protocolo de transferencia de archivos (FTP).
 Resolver el nombre de dominio en una dirección de Internet utiliza Servicio de nombres de dominio
(DNS).
 El acceso a un terminal remoto utiliza Telnet o SSH (Secure Shell).

Cuando se permite o se deniega un servicio, debe agregar una directiva a la configuración del dispositivo
Firebox o XTM. Cada política que agregue también puede agregar un riesgo de seguridad. Para enviar y recibir
datos, debe “abrir una puerta” en su ordenador, lo que pone en riesgo su red. Le recomendamos que añada
sólo las políticas necesarias para su empresa.

Un ejemplo de cómo puede utilizar una política, suponga que el administrador de red de una empresa desea
activar una conexión de servicios de terminal de Windows con el servidor web público de la empresa en la
interfaz opcional del dispositivo Firebox o XTM. Él o ella administraran rutinariamente el servidor web con un
control remoto.

Conexión de escritorio remoto, al mismo tiempo, desea asegurarse de que ningún otro usuario de la red
pueda utilizar los servicios del terminal de Escritorio remoto a través del dispositivo Firebox o XTM. El
administrador de red añadiría una directiva que permita conexiones RDP sólo desde la dirección IP de su
propio equipo de escritorio a la dirección IP del servidor web público.

Cuando configura su dispositivo Firebox o XTM con el Asistente de configuración rápida, el asistente añade
sólo conectividad saliente limitada. Si tiene más aplicaciones de software y tráfico de red para que su
dispositivo Firebox o XTM lo examine, debe:

 Configurar las directivas en su dispositivo Firebox o XTM para pasar el tráfico necesario.
 Establecer los hosts y propiedades aprobados para cada directiva.
 Equilibrar el requisito de proteger su red contra los requisitos de sus usuarios para obtener acceso a
recursos externos.

Acerca de los puertos


Aunque los equipos tienen puertos que usan como puntos de conexión, también son números utilizados para
asignar el tráfico a un proceso concreto en un equipo. Estos puertos, también llamados puertos TCP y UDP,
son por donde los programas transmiten datos. Si una dirección IP es como una dirección de calle, un número
de puerto es como un número de casa o número de edificio dentro de esa dirección. Cuando un equipo envía
tráfico a través de Internet a un servidor u otro equipo, utiliza una dirección IP para identificar el servidor o el
equipo remoto y un número de puerto para identificar el proceso en el servidor o equipo que recibe los datos.
Por ejemplo, supongamos que desea ver una página web en particular. Su navegador web intenta crear una
conexión en el puerto 80 (el puerto utilizado para el tráfico HTTP) para cada elemento de la página web.
Cuando su navegador recibe los datos que solicita del servidor HTTP, como una imagen, cierra la conexión.

Muchos puertos se utilizan para un solo tipo de tráfico, como el puerto 25 para SMTP (Simple Mail Transfer
Protocol). Algunos protocolos, como SMTP, tienen puertos con números asignados. A otros programas se les
asignan dinámicamente números de puerto para cada conexión. La IANA (Internet Assigned Numbers
Authority) mantiene una lista de puertos conocidos. Puede ver esta lista en:

http://www.iana.org/assignments/port-numbers

La mayoría de las políticas que agregamos a la configuración del dispositivo Firebox o XTM tienen un número
de puerto entre 0 y 1024, pero los números de puerto posibles pueden ser de 0 a 65535.

Los puertos están abiertos o cerrados. Si un puerto está abierto, el equipo acepta información y utiliza el
protocolo identificado con ese puerto para crear conexiones con otros equipos. Sin embargo, un puerto
abierto es un riesgo de seguridad. Para protegerse contra los riesgos creados por los puertos abiertos, puede
bloquear los puertos utilizados por los piratas informáticos para atacar su red.

Para obtener más información, consulte Acerca de los puertos bloqueados en la página 347.

El dispositivo Firebox o XTM y su red


Su dispositivo Firebox o XTM es un potente dispositivo de seguridad de red que controla todo el tráfico entre
la red externa y la red de confianza. Si los ordenadores con confianza mixta se conectan a la red, también
puede configurar una interfaz de red opcional separada de la red de confianza. A continuación, puede
configurar el firewall en su dispositivo para detener todo el tráfico sospechoso de la red externa a sus redes de
confianza y opcionales. Si dirige todo el tráfico de los equipos de confianza mixta a través de su red opcional,
puede aumentar la seguridad de esas conexiones para agregar más flexibilidad a su solución de seguridad. Por
ejemplo, los clientes suelen utilizar la red opcional para sus usuarios remotos o para servidores públicos, como
un servidor web o un servidor de correo electrónico.

Algunos clientes que compran un dispositivo Firebox o XTM no saben mucho acerca de las redes informáticas
o la seguridad de la red. Fireware XTM Web UI (interfaz de usuario basada en web), proporciona muchas
herramientas de autoayuda para estos clientes. Los clientes avanzados pueden utilizar la integración avanzada
y varias funciones de soporte de WAN del sistema operativo Fireware XTM con una actualización Pro para
conectar un dispositivo Firebox o XTM a una red más amplia. El dispositivo Firebox o XTM se conecta a un
módem por cable, módem DSL o enrutador ISDN.

Puede usar la interfaz web para administrar con seguridad la configuración de seguridad de red desde
diferentes ubicaciones en cualquier momento. Esto le da más tiempo y recursos para otros componentes de
su negocio.

2. Introducción a Fireware XTM


Acerca de Fireware XTM
Fireware XTM le ofrece una manera fácil y eficiente de ver, administrar y monitorear cada Firebox o XTM en su
red. La solución Fireware XTM incluye cuatro aplicaciones de software:

 WatchGuard System Manager (WSM)


 FireWire XTM Web UI
 Fireware XTM Interfaz de línea de comandos (CLI)
 WatchGuard Server Center

Puede utilizar una o más de las aplicaciones de Fireware XTM para configurar la red.
Por ejemplo, si sólo tiene un producto Firebox X Edge serie e, puede realizar la mayoría de la configuración de
tareas con Fireware XTM Web UI o Fireware XTM Command Line Interface. Sin embargo, para el registro y
generación de informes, debe utilizar WatchGuard Server Center. Si gestiona más de una Firebox o XTM, o si
ha adquirido Fireware XTM con una actualización Pro, recomendamos que utilice WatchGuard System
Manager (WSM). Si decide administrar y supervisar su configuración con Fireware XTM Web UI, hay algunas
características que no se podrán configurar.

Para obtener más información acerca de estas limitaciones, consulte Limitaciones de la interfaz de usuario
Web de Fireware XTM.

Para obtener más información sobre cómo conectarse a su dispositivo Firebox o XTM con WatchGuard System
Manager o la interfaz de línea de comandos de Fireware XTM, consulte la Ayuda o la Guía del usuario de
dichos productos. Puede ver y descargar la documentación más actualizada de estos productos en el producto
Fireware XTM

Página de documentación:

http://www.watchguard.com/help/documentation/xtm.asp

Componentes de Fireware XTM


Para iniciar WatchGuard System Manager o WatchGuard Server Center desde el escritorio de Windows,
seleccione el acceso directo desde el Escritorio. También puede iniciar WatchGuard Server Center desde un
icono en el Panel de control. Desde estas aplicaciones, puede lanzar otras herramientas que le ayuden a
administrar su red. Por ejemplo, puede iniciar HostWatch o Policy Manager desde WatchGuard System
Manager (WSM).

Administrador del sistema de WatchGuard:


WatchGuard System Manager (WSM) es la aplicación principal para la administración de la red con su
dispositivo Firebox o XTM. Puede utilizar WSM para administrar muchos dispositivos Firebox o XTM
diferentes, incluso aquellos que utilizan diferentes versiones de software.WSM incluye un conjunto completo
de herramientas para ayudarle a monitorear y controlar el tráfico de red.

 Gerente de Políticas:

Puede utilizar Policy Manager para configurar el firewall. Policy Manager incluye un conjunto completo de
filtros de paquetes preconfigurados, políticas de proxy y gateways de capa de aplicación (ALG). También
puede crear un filtro de paquetes personalizado, una política de proxy o ALG en el que establezca los
puertos, los protocolos y otras opciones.
Otras funciones de Policy Manager le ayudan a detener los intentos de intrusión en la red, como los
ataques SYN Flood, los ataques de suplantación de identidad y las sondas de espacio de puerto o de
dirección.

 Firebox System Manager (FSM):

Firebox System Manager le ofrece una interfaz para supervisar todos los componentes de su dispositivo
Firebox o XTM. Desde FSM, puede ver el estado en tiempo real de su dispositivo Firebox o XTM y su
configuración.

 HostWatch:

HostWatch es un monitor de conexión en tiempo real que muestra el tráfico de red entre diferentes
interfaces de dispositivos Firebox o XTM. HostWatch también muestra información sobre usuarios,
conexiones, puertos y servicios.

 LogViewer:

LogViewer es la herramienta que se utiliza para ver los datos del archivo de registro. Puede mostrar la
página de datos de registro por página o buscar y mostrar mediante palabras clave o campos de registro
especificados.

 Administrador de informes:

Puede utilizar el Administrador de informes para generar informes de los datos recopilados de sus
servidores de registro para todos sus dispositivos Firebox o XTM. Desde el Gestor de informes, puede ver
los informes de WatchGuard disponibles para los dispositivos Firebox o XTM.

 CA Manager:

El administrador de la Certificación de Autoridad (CA) muestra una lista completa de los certificados de
seguridad instalados en su ordenador para la gestión de Fireware XTM. Puede utilizar esta aplicación para
importar, configurar y generar certificados para su uso con túneles VPN y otros propósitos de
autenticación.

Centro de servidores de WatchGuard:


WatchGuard Server Center es la aplicación donde se configura y monitoriza todos los servidores de
WatchGuard.

 Servidor de administración:

El servidor de administración funciona en un equipo con Windows. Con este servidor, puede administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) utilizando una simple
función de arrastrar y soltar. Las funciones básicas del servidor de administración son:

o Autoridad de certificación para distribuir certificados para túneles de seguridad de protocolo de


Internet (IPSec)
o Gestión de la configuración del túnel VPN
o Gestión de varios dispositivos Firebox o XTM
 Servidor de registro:

El servidor de registro recopila mensajes de registro de cada dispositivo WatchGuard Firebox o XTM.
Estos mensajes de registro se cifran cuando se envían al servidor de registro. El formato del mensaje de
registro es XML (texto sin formato). La información recogida de los dispositivos de firewall incluye estos
mensajes de registro: tráfico, evento, alarma, depuración (diagnóstico) y estadística.

 Servidor WebBlocker:

El servidor WebBlocker funciona con el proxy HTTP del dispositivo Firebox o XTM para denegar el acceso
del usuario a determinadas categorías de sitios web. Durante la configuración del dispositivo Firebox o
XTM, el administrador establece las categorías de sitios web para permitir o bloquear.

Para obtener más información sobre WebBlocker y el servidor WebBlocker, consulte Acerca de
WebBlocker.

 Servidor de cuarentena:

El servidor de cuarentena recopila y aísla los mensajes de correo electrónico que spamBlocker sospecha
que son spam de correo electrónico o correos electrónicos que se sospecha que tienen un virus.

Para obtener más información, consulte Acerca del servidor de cuarentena.

 Servidor de informes:

El servidor de informes periódicamente consolida los datos recopilados por los servidores de registro de
los dispositivos Firebox o XTM y genera periódicamente informes. Una vez que los datos están en el
servidor de informes, puede utilizar el Administrador de informes para generar y ver informes.

Interfaz de usuario e interfaz de línea de comandos de Fireware XTM


Web:
La Interfaz Web de Fireware XTM y la Interfaz de Línea de Comando son soluciones de administración
alternativas que pueden realizar las mismas tareas que WatchGuard System Manager y Policy Manager.

Algunas opciones y características de configuración avanzadas, como FireCluster o la configuración de la


política de proxy, no están disponibles en la interfaz de usuario web de Fireware XTM o la interfaz de línea de
comandos.

Para obtener más información, consulte Acerca de FireWire XTM Web UI.

Fireware XTM con una actualización Pro


La actualización Pro de Fireware XTM ofrece varias funciones avanzadas para clientes experimentados, como
balanceo de carga del servidor y túneles SSL VPN adicionales. Las funciones disponibles con una actualización
Pro dependen del tipo y modelo de su dispositivo Firebox o XTM:
Para adquirir Fireware XTM con una actualización Pro, póngase en contacto con su distribuidor local.

3. Servicio y soporte
Acerca del soporte WatchGuard
WatchGuard® sabe lo importante que es el soporte cuando asegura su red con recursos limitados. Nuestros
clientes requieren un mayor conocimiento y asistencia en un mundo donde la seguridad es crítica. El servicio
LiveSecurity® le brinda la copia de seguridad que necesita, con una suscripción que le da soporte tan pronto
como registre su dispositivo Firebox o XTM.

 Servicio LiveSecurity
Su dispositivo Firebox o XTM incluye una suscripción a nuestro innovador servicio LiveSecurity, que se activa
en línea al registrar su producto. Tan pronto como se activa, su suscripción a LiveSecurity Service le da acceso
a un programa de soporte y mantenimiento sin igual en la industria.

LiveSecurity Service incluye los siguientes beneficios:

 Garantía de hardware con reemplazo avanzado de hardware:

Una suscripción LiveSecurity activa amplía la garantía de hardware de un año que se incluye con cada
dispositivo Firebox o XTM. Su suscripción también proporciona un reemplazo de hardware avanzado para
minimizar el tiempo de inactividad en caso de un fallo de hardware. Si tiene un fallo de hardware,
WatchGuard le enviará una unidad de reemplazo antes de que tenga que devolver el hardware original.
 Actualizaciones de software:

Su suscripción al Servicio LiveSecurity le da acceso a actualizaciones del software actual y mejoras


funcionales para sus productos WatchGuard.

 Soporte técnico:

Cuando necesite ayuda, los miembros de nuestro equipo de expertos estarán listos para ayudarle:
o Representantes disponibles 12 horas al día, 5 días a la semana en su zona horaria local *.
o Tiempo máximo de respuesta inicial de cuatro horas.
o Acceso a foros de usuarios en línea moderados por ingenieros de soporte sénior.

 Recursos de soporte y alertas:

Su suscripción a LiveSecurity Service le ofrece acceso a una variedad de videos de instrucción producidos
profesionalmente, cursos interactivos de capacitación en línea y herramientas en línea específicamente
diseñadas para responder a preguntas que pueda tener acerca de la seguridad de la red en general o los
aspectos técnicos de instalación, configuración y mantenimiento de su producto WatchGuard.
Nuestro Equipo de Respuesta Rápida, un grupo dedicado de expertos en seguridad de redes, monitorea
Internet para identificar amenazas emergentes. A continuación, entregan LiveSecurity Broadcasts para
decirle específicamente lo que puede hacer para hacer frente a cada nueva amenaza. Puede personalizar
sus preferencias de alerta para ajustar el tipo de asesoramiento y alertas que le envía el Servicio
LiveSecurity.

 Servicio LiveSecurity Gold


LiveSecurity Service Gold está disponible para empresas que requieren disponibilidad las 24 horas. Este
servicio de soporte premium brinda amplias horas de cobertura y tiempos de respuesta más rápidos para
asistencia remota las 24 horas del día. LiveSecurity Service Gold se requiere en cada unidad de su
organización para una cobertura completa.
Características del servicio LiveSecurity Service LiveSecurity Service Gold
6 Am – 6 Pm de Lunes a
Horas de soporte técnico 24/7
Viernes
Número de incidencias
5 al año Ilimitadas
(En línea o por teléfono)
Tiempo de respuesta inicial 4 horas 1 hora
Foro de soporte interactivo Si Si
Actualizaciones de Software Si Si
Herramientas de autoayuda
Si Si
y formación en línea
Transmisiones de
Si Si
LiveSecurity
Asistencia para la instalación Opcional Opcional
Paquete de soporte para
Opcional N/A
tres incidentes
Una hora, un solo incidente
Actualización de respuesta Opcional N/A
prioritaria
Actualización después de las
Opcional N/A
horas de incidente único

* En la región de Asia y el Pacífico, las horas estándar de asistencia son 9 AM-9 PM, de lunes a viernes
(GMT +8).
Caducidad del servicio
Le recomendamos que mantenga activa su suscripción para proteger su organización. Cuando caduca la
suscripción de LiveSecurity, pierde el acceso a avisos de seguridad de última hora y actualizaciones regulares
de software, lo que puede poner en peligro su red. Los daños a su red son mucho más costosos que la
renovación de su suscripción a LiveSecurity Service. Si usted renueva dentro de 30 días, no hay coste de
reinstalación.

4. Empezando
Antes de que empieces
Antes de comenzar el proceso de instalación, asegúrese de completar las tareas descritas en las siguientes
secciones.

Nota: En estas instrucciones de instalación, suponemos que su dispositivo Firebox o XTM tiene una interfaz de
confianza, una externa y una opcional configurada. Para configurar interfaces adicionales en su dispositivo,
utilice las herramientas y procedimientos de configuración descritos en los temas Configurar y configurar la
red.

 Verificar los componentes básicos


Asegúrese de tener estos elementos:

o Un ordenador con una tarjeta de interfaz de red Ethernet 10 / 100BaseT y un navegador web
instalado
o Un dispositivo WatchGuard Firebox o XTM
o Un cable serie (azul)
Sólo modelos Firebox X Core, Peak y WatchGuard XTM
o Un cable Ethernet cruzado (rojo)
Sólo modelos Firebox X Core, Peak y WatchGuard XTM
o Un cable Ethernet recto (verde)
o Cable de alimentación o adaptador de alimentación de CA
 Obtener una clave de función de dispositivo Firebox o XTM
Para activar todas las funciones de su dispositivo Firebox o XTM, debe registrar el dispositivo en el sitio
web de WatchGuard LiveSecurity y obtener su clave de activación. El dispositivo Firebox o XTM sólo tiene
una licencia de usuario (licencia de prueba) hasta que aplique su clave de activación.

Si registra su dispositivo Firebox o XTM antes de utilizar el Asistente de configuración rápida, puede pegar
una copia de su clave de activación en el asistente. A continuación, el asistente lo aplica al dispositivo. Si
no pega la clave de activación en el asistente, todavía puede terminar el asistente. Hasta que no agregue
su clave de activación, sólo se permite una conexión a Internet.

También obtendrá una nueva clave de activación para cualquier producto o servicio opcional cuando lo
compre. Después de registrar su dispositivo Firebox o XTM o cualquier nueva función, puede sincronizar
la clave de activación de su dispositivo Firebox o XTM con las teclas de función que hay en su perfil de
registro en el sitio de WatchGuard LiveSecurity. Puede utilizar la interfaz de usuario Web de Fireware
XTM en cualquier momento para obtener su clave de activación.

Para obtener más información sobre cómo registrar su dispositivo Firebox o XTM y obtener una clave de
activación, consulte Obtener una clave de función de LiveSecurity en la página 52.
 Reunir direcciones de red
Le recomendamos que registre su información de red antes y después de configurar su dispositivo
Firebox o XTM. Utilice la primera tabla que aparece a continuación para las direcciones IP de red antes de
poner el dispositivo en funcionamiento. Para obtener información sobre cómo identificar las direcciones
IP de red, consulte Identificar la configuración de red en la página 35.

WatchGuard utiliza la notación de barras para mostrar la máscara de subred. Para obtener más
información, consulte Acerca de la notación de barras en la página 3. Para obtener más información sobre
las direcciones IP, consulte Acerca de las direcciones IP en la página 3.

Tabla 1: Direcciones IP de red sin el dispositivo Firebox o XTM

Red de área amplia _____._____._____._____ / ____

Puerta de enlace predeterminada _____._____._____._____

Red de área local ____._____._____._____ / ____

Red secundaria (si corresponde) ____._____._____._____ / ____

Servidor/es públicos (si corresponde) _____._____._____._____

_____._____._____._____

_____._____._____._____

Utilice la segunda tabla para las direcciones IP de red después de poner en funcionamiento el dispositivo
Firebox o XTM.

 Interfaz externa:

Se conecta a la red externa (normalmente Internet) que no es de confianza.

 Interfaz de confianza:

Se conecta a la LAN privada (red de área local) o a la red interna que desea proteger.

 Interfaz/es opcional/es:

Normalmente se conecta a un área de confianza mixta de su red, como servidores en una zona DMZ
(zona desmilitarizada). Puede utilizar interfaces opcionales para crear zonas en la red con diferentes
niveles de acceso.

Tabla 2: Direcciones IP de red con el dispositivo Firebox o XTM

Puerta de enlace predeterminada _____._____._____._____

Interfaz externa _____._____._____._____/ ____

Interfaz de confianza _____._____._____._____/ ____

Interfaz opcional _____._____._____._____/ ____

Red secundaria (si corresponde) _____._____._____._____/ ____


 Seleccione un modo de configuración de firewall
Debe decidir cómo desea conectar el dispositivo Firebox o XTM a su red antes de ejecutar el Asistente de
configuración rápida. La forma en que conecta el dispositivo controla la configuración de la interfaz.
Cuando conecte el dispositivo, seleccione el modo de configuración enrutada o de inserción que mejor se
adapte a su red actual.

Muchas redes funcionan mejor con la configuración de enrutamiento mixto, pero recomendamos el
modo desplegable si:

 Ya has asignado una gran cantidad de direcciones IP estáticas y no quieres cambiar tu configuración
de red.
 No puede configurar las computadoras en sus redes confiables y opcionales que tienen direcciones
IP públicas con direcciones IP privadas.

Esta tabla y las descripciones debajo de la tabla muestran tres condiciones que pueden ayudarlo a
seleccionar un modo de configuración del firewall.

Modo de enrutamiento mixto Modo de inserción


Todas las interfaces del dispositivo Firebox o Todas las interfaces del dispositivo Firebox o
XTM se encuentran en redes diferentes. XTM están en la misma red y tienen la misma
dirección IP.
Las interfaces de confianza y opcionales deben Los ordenadores de las interfaces de confianza u
estar en redes diferentes. Cada interfaz tiene opcionales pueden tener una dirección IP
una dirección IP en su red. pública.
Use NAT estática (traducción de direcciones de NAT no es necesario porque los ordenadores
red) para asignar direcciones públicas a que tienen acceso público tienen direcciones IP
direcciones privadas detrás de interfaces de públicas.
confianza u opcionales.

Para obtener más información sobre el modo de inserción, consulte Modo de inserción en la página 91.

Para obtener más información sobre el modo de enrutamiento mixto, consulte Modo de enrutamiento
mixto en la página 84.

El dispositivo Firebox o XTM también es compatible con un tercer modo de configuración llamado modo
puente. Este modo se usa menos. Para obtener más información sobre el modo puente, consulte Modo
puente en la página 96.

Nota: Puede usar el Asistente de configuración web o el Asistente de configuración rápida WSM para
crear su configuración inicial. Cuando ejecuta el Asistente de configuración web, la configuración del
firewall se configura automáticamente en el modo de enrutamiento mixto. Cuando ejecuta el Asistente
de configuración rápida de WSM, puede configurar el dispositivo en modo de enrutamiento mixto o en
modo de inserción.

Ahora puede iniciar el Asistente de configuración rápida. Para obtener más información, consulte Acerca
del Asistente de configuración rápida en la página 24.

Acerca del asistente de configuración rápida


Puede usar el Asistente de configuración rápida para crear una configuración básica para su dispositivo
Firebox o XTM. El dispositivo usa este archivo de configuración básico cuando se inicia por primera vez. Esto le
permite funcionar como un servidor de seguridad básico. Puede usar este mismo procedimiento en cualquier
momento para restablecer el dispositivo a una nueva configuración básica. Esto es útil para la recuperación
del sistema.
Cuando configura su dispositivo Firebox o XTM con el Asistente de configuración rápida, configure solo las
políticas básicas (TCP y UDP salientes, filtro de paquetes FTP, ping y WatchGuard) e interfaz de direcciones IP.
Si tiene más aplicaciones de software y tráfico de red para que el dispositivo las examine, debe:

 Configurar las políticas en el dispositivo Firebox o XTM para dejar pasar el tráfico necesario.
 Establecer los hosts y propiedades aprobados para cada política.
 Equilibrar el requisito de proteger su red contra los requisitos de sus usuarios para conectarse a
recursos externos

Para obtener instrucciones sobre cómo ejecutar el asistente desde un navegador web, consulte Ejecución del
Asistente de configuración web en la página 25.

 Ejecute el asistente de configuración web


Nota: Estas instrucciones son para el Asistente de configuración web en un dispositivo Firebox o XTM que
use Fireware XTM v11.0 o posterior. Si su dispositivo Firebox o XTM usa una versión de software anterior,
debe actualizar a Fireware XTM antes de usar estas instrucciones. Consulte las Notas de la versión para
obtener instrucciones de actualización para su modelo de dispositivo Firebox o XTM.

Puede usar el Asistente de configuración Web para una configuración básica en cualquier dispositivo
Firebox Xe-Series o WatchGuard XTM. El Asistente de Configuración Web configura automáticamente el
dispositivo Firebox o XTM para el modo de enrutamiento mixto.

Para usar el Asistente de configuración web, debe tener una conexión de red directa al dispositivo Firebox
o XTM y usar un navegador web para iniciar el asistente. Cuando configura su dispositivo Firebox o XTM,
usa DHCP para asignar una nueva dirección IP a su ordenador.

Antes de iniciar el Asistente de configuración web, asegúrese de que:

 Ha registrado su dispositivo Firebox o XTM con LiveSecurity Service.


 Ha guardado una copia de su clave de activación del dispositivo Firebox o XTM en un archivo de
texto en su ordenador.

 Iniciar el Asistente de configuración web


1. Utilice el cable Ethernet cruzado rojo que se entrega con su dispositivo Firebox o XTM para conectar el
ordenador de administración a la interfaz confiable del dispositivo Firebox o XTM.

 Para un Firebox X Core o Peak e-Series o un dispositivo XTM, la interfaz de confianza es la interfaz
número 1.
 Para un Firebox X Edge e-Series, la interfaz de confianza es LAN0

2. Conecte el cable de alimentación a la entrada de alimentación del dispositivo Firebox o XTM y a una
fuente de alimentación.

3. Inicie el dispositivo Firebox o XTM en el modo predeterminado de fábrica. En los modelos Core, Peak y
XTM, esto se conoce como modo seguro.

Para obtener más información, consulte Resetear el dispositivo Firebox o XTM a una configuración
anterior o nueva en la página 48.

4. Asegúrese de que su ordenador esté configurado para aceptar una dirección IP asignada por DHCP.

 En el menú Inicio de Windows, seleccione Todos los programas > Panel de control > Conexiones de
red > Conexiones de área local.
 Haga clic en Propiedades.
 Seleccione Protocolo de Internet (TCP / IP) y haga clic en Propiedades.
 Asegúrese de que se ha seleccionado Obtener una dirección IP automáticamente.
Para obtener instrucciones más detalladas, consulte Identificar la configuración de red en la página 35.

5. Si su navegador utiliza un servidor proxy HTTP, debe desactivar temporalmente la configuración del
proxy HTTP en su navegador.

Para obtener más información, consulte Deshabilitar el proxy HTTP en el navegador en la página 39.

6. Abra un navegador web y escriba la dirección IP predeterminada de fábrica de la interfaz 1.

Para un Firebox X Core o Peak, o un dispositivo WatchGuard XTM, la dirección IP es:

https://10.0.1.1:8080.

Para un Firebox X Edge, la dirección es: https://192.168.111.1:8080.

Si usa Internet Explorer, asegúrese de escribir https:// al comienzo de la dirección IP. Esto abre una
conexión HTTP segura entre su ordenador de administración y el dispositivo Firebox o XTM.

El Asistente de configuración web se inicia automáticamente.

7. Inicie sesión con las credenciales de cuenta de administrador predeterminadas:

Nombre de usuario: admin

Contraseña: readwrite

8. Complete las pantallas posteriores del asistente.

El Asistente de configuración web incluye este conjunto de cuadros de diálogo. Algunos cuadros de
diálogo aparecen solo si selecciona ciertos métodos de configuración:

 Iniciar sesión:

Inicie sesión con las credenciales de cuenta de administrador predeterminadas. Para nombre de
usuario, seleccione admin. Para Frase de contraseña, use la contraseña: readwrite.

 Bienvenido:

La primera pantalla le informa sobre el asistente.

 Seleccione un tipo de configuración:

Seleccione crear una nueva configuración o restaurar una configuración desde una imagen de
respaldo guardada.

 Acuerdo de licencia:

Debe aceptar el acuerdo de licencia para continuar con el asistente.

 Recuperar clave de activación, Aplicar clave de activación, Opciones de clave de activación:

Si su dispositivo Firebox o XTM aún no tiene una clave de activación, el asistente le ofrece opciones
para descargar o importar una clave de activación. El asistente solo puede descargar una clave de
activación si tiene conexión a Internet. Si ha descargado una copia local de la clave de activación en
su ordenador, puede pegarla en el asistente de configuración.

Si el dispositivo Firebox o XTM no tiene una conexión a Internet mientras ejecuta el asistente, y no
registró el dispositivo y descargó la clave de activación en su ordenador antes de iniciar el asistente,
puede optar por no aplicar una clave de activación.

Nota: Si no aplica una clave de activación en el Asistente de configuración web, debe registrar el
dispositivo y aplicar la clave de activación en la interfaz de usuario Web Fireware XTM. La
funcionalidad del dispositivo está limitada hasta que aplique una clave de activación.
 Configurar la interfaz externa de tu Firebox:

Seleccione el método que usa su ISP para asignar su dirección IP. Las opciones son DHCP, PPPoE o
estático.

 Configurar la interfaz externa para DHCP:

Escriba su identificación de DHCP según lo provisto por su ISP.

 Configurar la interfaz externa para PPPoE:

Escriba su información de PPPoE según lo provisto por su ISP.

 Configurar la interfaz externa con una dirección IP estática:


Escriba su información de dirección IP estática tal como la proporciona su ISP.
 Configurar los servidores DNS y WINS:
Escriba las direcciones del servidor de dominio DNS y WINS que desea que use el dispositivo Firebox
o XTM.
 Configurar la interfaz de confianza del Firebox:
Escriba la dirección IP de la interfaz de confianza. Opcionalmente, puede habilitar el servidor DHCP
para la interfaz de confianza.

 Inalámbrico (sólo en la Firebox X Edge e-Series):


Establezca la región operativa, el canal y el modo inalámbrico. La lista de regiones operativas
inalámbricas que puede seleccionar puede ser diferente dependiendo de dónde haya comprado su
dispositivo Firebox o XTM.

Para obtener más información, consulte Acerca de la configuración de radio inalámbrica en el


dispositivo inalámbrico Firebox X Edge e-Series en la página 182.

 Cree una contraseña para su dispositivo:


Escriba una contraseña para las cuentas de administración de estado (solo lectura) y administración
(lectura / escritura) en el dispositivo Firebox o XTM.

 Habilitar la administración remota:


Habilite la administración remota si desea administrar este dispositivo desde la interfaz externa.

 Añade información de contacto para tu dispositivo:


Puede escribir un nombre de dispositivo, ubicación e información de contacto para guardar la
información de administración para este dispositivo. De forma predeterminada, el nombre del
dispositivo está configurado con el número de modelo de su dispositivo Firebox o XTM. Le
recomendamos que elija un nombre único que pueda usar para identificar fácilmente este
dispositivo, especialmente si usa la administración remota.

 Establecer la zona horaria:


Seleccione la zona horaria donde se encuentra el dispositivo Firebox o XTM.

 El asistente de configuración rápida está completo:


Después de completar el asistente, el dispositivo Firebox o XTM se reinicia.
Si deja el Asistente de configuración web inactivo durante 15 minutos o más, debe volver al Paso 3 y
comenzar de nuevo.
Nota: si cambia la dirección IP de la interfaz de confianza, debe cambiar la configuración de red para
asegurarse de que su dirección IP coincida con la subred de la red de confianza antes de conectarse
al dispositivo Firebox o XTM. Si usa DHCP, reinicie su ordenador. Si usa el direccionamiento estático,
consulte Usar una dirección IP estática en la página 38.

 Después de que el asistente termine


Después de completar todas las pantallas del asistente, el dispositivo Firebox o XTM se configura con una
configuración básica que incluye cuatro políticas (TCP saliente, filtro de paquetes FTP, ping y
WatchGuard) y las direcciones IP de la interfaz que especificó. Puede utilizar la interfaz de usuario Web
Fireware XTM para expandir o cambiar la configuración de su dispositivo Firebox o XTM.
 Para obtener información sobre cómo completar la instalación de su dispositivo Firebox o XTM
después del Asistente de configuración web, consulte Completar su instalación en la página 32.
 Para obtener información acerca de cómo conectarse a Fireware XTM Web UI, consulte Conectarse a
Fireware XTM Web UI en la página 28.

 Si tienes problemas con el asistente

Si el Asistente de configuración web no puede instalar el software del dispositivo Fireware XTM en el
dispositivo Firebox o XTM, el asistente agota el tiempo de espera. Si tiene problemas con el asistente,
compruebe estas cosas:

 El archivo de software de aplicación Fireware XTM que descargó del sitio web de LiveSecurity podría
estar dañado. Si la imagen del software está dañada, en un dispositivo Firebox X Core, Peak o XTM
puede ver este mensaje en la interfaz LCD: Error de truncamiento de archivo. Si aparece este mensaje,
descargue el software nuevamente e inténtelo nuevamente con el asistente.
 Si usa Internet Explorer 6, borre la memoria caché del archivo en su navegador web e inténtelo
nuevamente.

Para borrar la caché, en Internet Explorer, seleccione Herramientas > Opciones de Internet > Eliminar archivos.

Conéctese a Fireware XTM Web UI


Para conectarse a Fireware XTM Web UI, utilizaremos un navegador web para ir a la dirección IP de la interfaz
confiable u opcional del dispositivo Firebox o XTM sobre el número de puerto correcto. Las conexiones a la
interfaz de usuario web son siempre encriptadas con HTTPS; el mismo cifrado de alta resistencia utilizado por
los sitios web bancarios y de compras. Debe usar https cuando escribe la URL en la barra de direcciones de su
navegador en lugar de http.

De forma predeterminada, el puerto utilizado para la interfaz de usuario web es 8080. La URL para conectarse
a la interfaz de usuario web en su navegador es:

https: // <firebox-ip-address>: 8080

Donde <firebox-ip-address> es la dirección IP asignada a la interfaz de confianza u opcional. Cuando realiza


esta conexión, el navegador carga el mensaje de inicio de sesión. La URL predeterminada para la interfaz de
confianza es diferente para Edge que para los otros modelos de dispositivos Firebox o XTM.

 La URL predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM es:

https://10.0.1.1:8080.

 La URL predeterminada para un Firebox X Edge es:


https://192.168.111.1:8080.
Puede cambiar la dirección IP de la red de confianza a una dirección IP diferente. Para obtener más
información, consulte Configuración de la interfaz común en la página 98.

Por ejemplo, para usar la URL predeterminada para conectarse a Firebox X Edge:

1. Abra su navegador web y vaya a https://192.168.111.1:8080.

Aparece una notificación de certificado de seguridad en el navegador.

2. Cuando vea la advertencia de certificado, haga clic en Continuar a este sitio web (IE 7) o Agregar excepción
(Firefox 3).

Esta advertencia aparece porque el certificado que utiliza el dispositivo Firebox o XTM está firmado por la
autoridad de certificación WatchGuard, que no figura en la lista de autoridades de confianza de su navegador.

Nota Esta advertencia aparece cada vez que se conecta al dispositivo Firebox o XTM a menos que acepte
permanentemente el certificado o genere e importe un certificado para que el dispositivo lo utilice. Para
obtener más información, consulte Acerca de los certificados en la página 383.

Nota: Esta advertencia aparece cada vez que se conecta al dispositivo Firebox o XTM a menos que acepte
permanentemente el certificado o genere e importe un certificado para que el dispositivo lo utilice. Para
obtener más información, consulte Acerca de los certificados en la página 383.

3. En la lista desplegable Nombre de usuario, seleccione el nombre de usuario.

4. En el cuadro de texto Contraseña, escriba la contraseña.

 Si seleccionó el administrador de nombre de usuario, escriba la contraseña de configuración (lectura-


escritura).
 Si seleccionó el estado del nombre de usuario, escriba la frase de estado (de solo lectura).

Nota: de manera predeterminada, la configuración del dispositivo Firebox o XTM solo permite conexiones a
Fireware XTM Web UI desde redes confiables y opcionales. Para cambiar la configuración para permitir las
conexiones a la interfaz de usuario Web desde la red externa, consulte Conectar a Fireware XTM Web UI
desde una red externa en la página 29.

Conectarse a Fireware XTM Web UI desde una red externa


La configuración del dispositivo Fireware XTM tiene una política denominada WatchGuard Web UI. Esta
política controla qué interfaces del dispositivo Firebox o XTM pueden conectarse a Fireware XTM Web UI. De
forma predeterminada, esta política solo permite conexiones desde redes Any-Trusted y Any Opcionales. Si
desea permitir el acceso a la interfaz de usuario web desde la red externa, debe editar la política de la interfaz
de usuario web de WatchGuard y agregar Any-External a la lista From.

En Fireware XTM Web UI:

1. Seleccione Firewall > Políticas de firewall.

2. Haga doble clic en la política de la interfaz web de WatchGuard para editarla.


3. Seleccione la pestaña Política.

4. En la sección From, haga clic en Agregar.

5. Seleccione Externo.

6. Haga clic en Aceptar.

7. Haga clic en Guardar.

Acerca de Fireware XTM Web UI


La interfaz de usuario web Fireware XTM le permite controlar y administrar cualquier dispositivo que use
Fireware XTM versión 11 o posterior sin ningún software adicional instalado en su ordenador. El único
software que necesita es un navegador con soporte para Adobe Flash.

Debido a que no hay software para instalar, puede usar la interfaz de usuario web desde cualquier ordenador
que tenga conectividad TCP / IP y un navegador. Esto significa que puede administrar su dispositivo Firebox o
XTM desde un ordenador con Windows, Linux, Mac OS o cualquier otra plataforma, siempre que tenga un
navegador compatible con Adobe Flash 9 y conectividad de red.

La interfaz de usuario web es una herramienta de gestión en tiempo real. Esto significa que cuando usa la
interfaz de usuario Web para realizar cambios en un dispositivo, los cambios que realice generalmente surten
efecto de inmediato. La interfaz de usuario Web no le permite crear una lista de cambios en un archivo de
configuración almacenado localmente, para enviar muchos cambios al dispositivo a la vez más adelante. Esto
es diferente del Fireware XTM Policy Manager, que es una herramienta de configuración fuera de línea.

Los cambios que realice en un archivo de configuración almacenado localmente con Policy Manager no
tendrán efecto hasta que guarde la configuración en el dispositivo.

Nota: debe completar el Asistente de configuración rápida para poder ver la interfaz de usuario Web Fireware
XTM. Para obtener más información, consulte Ejecutar el Asistente de configuración web en la página 25.
También debe usar una cuenta con privilegios de acceso administrativo completo para ver y cambiar las
páginas de configuración.

En el lado izquierdo de Fireware XTM Web UI está la barra de navegación del menú principal que usa para
seleccionar un conjunto de páginas de configuración.

El elemento superior en la barra de navegación es el Panel de control, que le lleva a la página del Panel de
control de Fireware XTM que ve cuando se conecta por primera vez a la Interfaz de usuario Web de Fireware
XTM.

Todos los demás elementos en la barra de navegación contienen elementos secundarios del menú que utiliza
para configurar las propiedades de esa característica.
 Para ver estos elementos secundarios del menú, haga clic en el nombre del elemento del menú. Por
ejemplo, si hace clic en Autenticación, aparecerán estos elementos secundarios del menú: Servidores,
Configuración, Usuarios y Grupos, Web, Certificado de servidor e Inicio de sesión único.
 Para ocultar los elementos del menú secundario, haga clic nuevamente en el elemento del menú de nivel
superior.

Para mostrar los elementos de menú amplíe o haga clic, la documentación usa el símbolo de la flecha hacia la
derecha (>). Los nombres de los menús están en negrita.
Por ejemplo, el comando para abrir la página de Configuración de autenticación aparece en el texto como
Autenticación > Configuración.

 Seleccione el lenguaje de Fireware XTM Web UI


Fireware XTM Web UI admite cinco idiomas. El nombre del idioma seleccionado actualmente se muestra
en la parte superior de cada página.

Para cambiar a un idioma diferente:


1. Haga clic en el nombre del idioma.
Aparece una lista desplegable de idiomas.

2. Seleccione el idioma de la lista.


Fireware XTM Web UI usa el idioma seleccionado.

 Limitaciones de Fireware XTM Web UI


Puede usar Fireware XTM Web UI, WatchGuard System Manager y Fireware XTM Command Line
Interface (CLI) para configurar y monitorear su dispositivo Fireware XTM. Cuando desee cambiar un
archivo de configuración del dispositivo, puede usar cualquiera de estos programas. Sin embargo, hay
varios cambios en la configuración del dispositivo que no puede realizar con la IU de Fireware XTM Web.

Algunas de las tareas que puede completar en Policy Manager, pero no con la interfaz de usuario Web
incluyen:

 Consultar o configurar las opciones avanzadas del proxy


o La vista avanzada de tipos de contenido de proxy no está disponible.
o Algunas otras opciones de configuración de proxy no están disponibles (varía según el proxy).
 Editar reglas de NAT estáticas (solo puede agregar y eliminar)
 Exportar un certificado o ver los detalles sobre un certificado (solo puede importar certificados)
 Habilitar el registro de diagnóstico o cambiar los niveles de registro de diagnóstico.
 Cambiar el registro de las opciones predeterminadas de manejo de paquetes.
 Habilitar o deshabilitar la notificación de eventos VPN de sucursales.
 Agregar o eliminar entradas ARP estáticas en la tabla ARP del dispositivo
 Obtener manualmente el VPN móvil con el archivo de configuración SSL
 Obtener la configuración VPN móvil cifrada (.wgx) con IPSec para el usuario final (solo puede obtener
el archivo equivalente, pero no cifrado, .ini)
 Editar el nombre de una política
 Agregar una dirección personalizada a una política
 Usar un nombre de host (búsqueda de DNS) para agregar una dirección IP a una política
 Utilizar la administración basada en funciones (también conocida como control de acceso basado en
roles o RBAC)
 Ver o cambiar la configuración de un dispositivo que es miembro de un FireCluster

El grupo de aplicaciones que viene con WatchGuard System Manager incluye muchas otras herramientas
para monitorear e informar. Algunas de las funciones proporcionadas por HostWatch, LogViewer, Report
Manager y WSM tampoco están disponibles en la interfaz de usuario Web.

Para usar algunas funciones de Fireware XTM relacionadas con los servidores WatchGuard, debe instalar
WatchGuard Server Center. No es necesario que use WatchGuard System Manager para instalar
WatchGuard Server Center. Puede usar WatchGuard Server Center para configurar estos servidores
WatchGuard:

 Servidor de administración
 Servidor de registro
 Servidor de informes
 Servidor de cuarentena
 Servidor WebBlocker

Para obtener información acerca de cómo configurar funciones que no son compatibles con la interfaz de
usuario web o cómo usar WatchGuard Server Center, consulte la Ayuda del administrador del sistema
WatchGuard X11 de Fireware XTM en:

http://www.watchguard.com/help/docs/wsm/11/en-US/index.html.

Para obtener más información sobre la CLI, consulte Referencia de la interfaz de línea de comandos
WatchGuard en:

http://www.watchguard.com/help/documentation.

Completa tu instalación
Una vez que haya terminado con el Asistente de configuración web, debe completar la instalación de su
dispositivo Firebox o XTM en su red.

1. Coloque el dispositivo Firebox o XTM en su ubicación física permanente.

2. Asegúrese de que la puerta de enlace del ordenador de administración y el resto de la red de confianza sea
la dirección IP de la interfaz de confianza de su dispositivo Firebox o XTM.

3. Para conectarse a su dispositivo Firebox o XTM con Fireware XTM Web UI, abra un navegador web y
escriba:

https: // [Dirección IP de la interfaz de confianza del dispositivo]: 8080.

 La URL predeterminada para un dispositivo Firebox X Core, Peak o XTM es https://10.0.1.1:8080.


 La URL predeterminada para un Firebox X Edge es https://192.168.111.1:8080.
Para obtener más información, consulte Connect to Fireware XTM Web UI en la página 28.

4. Si utiliza una configuración enrutada, asegúrese de cambiar la puerta de enlace predeterminada en todos
los ordenadores que se conecten a su dispositivo Firebox o XTM para que coincida con la dirección IP de la
interfaz de confianza del dispositivo Firebox o XTM.

5. Personalice su configuración según sea necesario para los propósitos de seguridad de su negocio.

Para obtener más información, consulte la sección Personalizar su política de seguridad posterior.

 Personaliza tu política de seguridad


Su política de seguridad controla quién puede entrar y salir de su red, y dónde pueden ingresar en su red.
El archivo de configuración de su dispositivo Firebox o XTM gestiona las políticas de seguridad.

Cuando completó el Asistente de configuración rápida, el archivo de configuración que creó fue solo una
configuración básica. Puede modificar esta configuración para alinear su política de seguridad con los
requisitos comerciales y de seguridad de su empresa. Puede agregar políticas de proxy y filtro de
paquetes para configurar lo que permite y deniega su red. Cada política puede tener un efecto en su red.
Las políticas que aumentan la seguridad de su red pueden disminuir el acceso a su red. Y las políticas que
aumentan el acceso a su red pueden poner en riesgo la seguridad de su red. Para obtener más
información sobre las políticas, consulte Acerca de las políticas en la página 251.

Para una instalación nueva, le recomendamos que use solo políticas de filtro de paquetes hasta que todos
sus sistemas funcionen correctamente. Según sea necesario, puede agregar políticas de proxy.

 Acerca del servicio LiveSecurity


Su dispositivo Firebox o XTM incluye una suscripción al servicio LiveSecurity. Su suscripción:

 Asegura que obtenga la protección de red más nueva con las actualizaciones de software más
recientes.
 Brinda soluciones a sus problemas con recursos completos de soporte técnico.
 Previene interrupciones del servicio con mensajes y ayuda de configuración para los problemas de
seguridad más recientes.
 Le ayuda a obtener más información sobre la seguridad de la red a través de recursos de
capacitación.
 Extiende su seguridad de red con software y otras características
 Extiende su garantía de hardware con reemplazo avanzado

Para obtener más información sobre el servicio LiveSecurity, consulte Acerca del servicio WatchGuard en
la página 17.

Temas de instalación adicionales


 Conéctese a un dispositivo Firebox o XTM con Firefox v3.
Los navegadores web usan certificados para garantizar que el dispositivo en el otro lado de una conexión
HTTPS sea el dispositivo que espera. Los usuarios ven una advertencia cuando un certificado es auto
firmado o cuando hay una discrepancia entre la dirección IP o el nombre de host solicitado y la dirección
IP o el nombre de host en el certificado. De manera predeterminada, su dispositivo Firebox o XTM usa un
certificado auto firmado que puede usar para configurar su red rápidamente. Sin embargo, cuando los
usuarios se conectan al dispositivo Firebox o XTM con un navegador web, aparece un mensaje de
advertencia de Conexión segura fallida.
Para evitar este mensaje de advertencia, le recomendamos que agregue un certificado válido firmado por
una CA (Autoridad de certificación) a su configuración. Este certificado de CA también se puede usar para
mejorar la seguridad de la autenticación VPN. Para obtener más información sobre el uso de certificados
con dispositivos Firebox o XTM, consulte Acerca de los certificados en la página 383.

Si continúa utilizando el certificado auto firmado predeterminado, puede agregar una excepción para el
dispositivo Firebox o XTM en cada ordenador cliente. Las versiones actuales de la mayoría de los
navegadores web proporcionan un enlace en el mensaje de advertencia que el usuario puede hacer clic
para permitir la conexión. Si su organización usa Mozilla Firefox v3, sus usuarios deben agregar una
excepción de certificado permanente antes de que puedan conectarse al dispositivo Firebox o XTM.

Las acciones que requieren una excepción incluyen:


 Acerca de la autenticación de usuario
 Instalar y conecte la VPN móvil con el cliente SSL
 Ejecutar el Asistente de configuración web
 Conectarse a Fireware XTM Web UI
Las URL comunes que requieren una excepción incluyen:
https:// Dirección IP o nombre de host de una interfaz de dispositivo Firebox o XTM:8080
https:// Dirección IP o nombre de host de una interfaz de dispositivo Firebox o XTM:4100
https:// Dirección IP o nombre de host del dispositivo Firebox o XTM:4100/sslvpn.html

 Agregar una excepción de certificado a Mozilla Firefox v3


Si agrega una excepción en Firefox v3 para el certificado del dispositivo Firebox o XTM, el mensaje de
advertencia no aparece en las conexiones posteriores. Debe agregar una excepción por cada dirección IP,
nombre de host y puerto utilizado para conectarse al dispositivo Firebox o XTM. Por ejemplo, una
excepción que utiliza un nombre de host no funciona correctamente si se conecta con una dirección IP.
Del mismo modo, una excepción que especifica el puerto 4100 no se aplica a una conexión en la que no
se especifica ningún puerto.
Nota: una excepción de certificado no hace que su ordenador sea menos seguro. Todo el tráfico de red
entre su ordenador y el dispositivo Firebox o XTM permanece cifrado de forma segura con SSL.
Hay dos métodos para agregar una excepción. Debe poder enviar tráfico al dispositivo Firebox o XTM
agregar una excepción
 Haga clic en el enlace del mensaje de advertencia de Conexión segura fallida.
 Utilice el Administrador de certificados de Firefox v3 para agregar excepciones.
En el mensaje de advertencia de Conexión segura fallida:
1. Haga clic en O puede agregar una excepción.
2. Haga clic en Agregar excepción.
Aparece el cuadro de diálogo Agregar excepción de seguridad.
3. Haga clic en Obtener certificado.
4. Seleccione la casilla de verificación Guardar permanentemente esta excepción.
5. Haga clic en Confirmar excepción de seguridad.
Para agregar varias excepciones:
1. En Firefox, selecciona Herramientas > Opciones.
Aparece el cuadro de diálogo Opciones.
2. Seleccione Avanzado.
3. Haga clic en la pestaña Cifrado, luego haga clic en Ver certificados.
Se abre el cuadro de diálogo Administrador de certificados.
4. Haga clic en la pestaña Servidores, luego haga clic en Agregar excepción.
5. En el cuadro de texto Ubicación, escriba la URL para conectarse al dispositivo Firebox o XTM. Las URL
más comunes se enumeran arriba.
6. Cuando aparezca la información del certificado en el área Estado del certificado, haga clic en Confirmar
excepción de seguridad.
7. Haga clic en Aceptar. Para agregar más excepciones, repita los pasos 4-6.

 Identifica tu configuración de red


Para configurar su dispositivo Firebox o XTM, debe conocer cierta información sobre su red. Puede usar
esta sección para aprender a identificar la configuración de su red.
Para obtener una descripción general de los conceptos básicos de la red, consulte Acerca de las redes y la
seguridad de la red en la página 1.

 Requisitos de direccionamiento de red


Antes de comenzar la instalación, debe saber cómo obtiene su ordenador una dirección IP. Su proveedor
de servicios de Internet (ISP) o administrador de redes corporativas puede brindarle esta información.
Use el mismo método para conectar el dispositivo Firebox o XTM a Internet que usa para su ordenador.
Por ejemplo, si conecta su ordenador directamente a Internet con una conexión de banda ancha, puede
poner el dispositivo Firebox o XTM entre su ordenador e Internet y usar la configuración de red de su
ordenador para configurar la interfaz externa del dispositivo Firebox o XTM.
Puede usar una dirección IP estática, DHCP o PPPoE para configurar la interfaz externa del dispositivo
Firebox o XTM.
Para obtener más información sobre el direccionamiento de red, consulte Configurar una interfaz externa
en la página 84.
Su ordenador debe tener un navegador web. Utiliza el navegador web para configurar y administrar el
dispositivo Firebox o XTM. Su ordenador debe tener una dirección IP en la misma red que el dispositivo
Firebox o XTM.
En la configuración predeterminada de fábrica, el dispositivo Firebox o XTM asigna a su ordenador una
dirección IP con DHCP (Dynamic Host Configuration Protocol). Puede configurar su ordenador para que
use DHCP y luego puede conectarse al dispositivo para administrarla. También puede proporcionar a su
ordenador una dirección IP estática que esté en la misma red que la dirección IP de confianza del
dispositivo Firebox o XTM. Para obtener más información, consulte Configurar su ordenador para
conectarse a su dispositivo Firebox o XTM en la página 38

 Encuentre sus propiedades TCP / IP


Para conocer las propiedades de su red, vea las propiedades de TCP / IP de su ordenador o cualquier otro
ordenador en la red. Debe tener esta información para instalar su dispositivo Firebox o XTM:

 Dirección IP
 Máscara de subred
 Puerta de enlace predeterminada
 Si su computadora tiene una dirección IP estática o dinámica
 Direcciones IP de servidores DNS primarios y secundarios
Nota: si su ISP le asigna a su ordenador una dirección IP que comience con 10, 192.168 o 172.16 a 172.31,
su ISP usará NAT (Traducción de direcciones de red) y su dirección IP será privada. Le recomendamos que
obtenga una dirección IP pública para su dirección IP externa del dispositivo Firebox o XTM. Si usa una
dirección IP privada, puede tener problemas con algunas funciones, como la red privada virtual.
 Encuentre sus propiedades de TCP / IP en Microsoft Windows Vista
1. Seleccione Inicio > Programas > Accesorios > Símbolo del sistema.
Aparece el cuadro de diálogo Símbolo del sistema.
2. En el símbolo del sistema, escriba ipconfig/ all y presione Enter.
3. Anote los valores que ve para el adaptador de red principal.
 Encuentre sus propiedades de TCP / IP en Microsoft Windows 2000, Windows 2003 y Windows XP
1. Seleccione Inicio > Todos los programas > Accesorios > Símbolo del sistema.
Aparece el cuadro de diálogo Símbolo del sistema.
2. En el símbolo del sistema, escriba ipconfig/ all y presione Entrar.
3. Anote los valores que ve para el adaptador de red principal.
 Encuentre sus propiedades TCP / IP en Microsoft Windows NT
1. Seleccione Inicio > Programas > Símbolo del sistema.
Aparece el cuadro de diálogo Símbolo del sistema.
2. En el símbolo del sistema, escriba ipconfig/ all y presione Entrar.
3. Anote los valores que ve para el adaptador de red principal.
 Encuentre sus propiedades de TCP / IP en Macintosh OS 9
1. Seleccione el menú Apple > Paneles de control > TCP / IP.
Aparece el cuadro de diálogo TCP / IP.
2. Anote los valores que ve para el adaptador de red principal.
 Encuentre sus propiedades de TCP / IP en Macintosh OS X 10.5
1. Seleccione el menú Apple > Preferencias del sistema, o seleccione el ícono del Dock.
Aparece el cuadro de diálogo Preferencias del sistema.
2. Haga clic en el ícono de red.
Aparece el panel de preferencia de red.
3. Seleccione el adaptador de red que utiliza para conectarse a Internet.
4. Anote los valores que ve para el adaptador de red.
 Encuentre sus propiedades TCP / IP en otros sistemas operativos (Unix, Linux)
1. Lea la guía del sistema operativo para encontrar la configuración de TCP / IP.
2. Anote los valores que ve para el adaptador de red principal.

 Buscar configuraciones PPPoE


Muchos proveedores de servicios de Internet usan el protocolo de punto a punto sobre Ethernet (PPPoE)
porque es fácil de usar con una infraestructura de acceso telefónico. Si su ISP usa PPPoE para asignar
direcciones IP, debe obtener esta información:
 Nombre de inicio de sesión
 Dominio (opcional)
 Contraseña
 Configura tu ordenador para conectarte a tu dispositivo Firebox o XTM
Antes de poder usar el Asistente de configuración web, debe configurar su ordenador para conectarse a
su dispositivo Firebox o XTM. Puede configurar su tarjeta de interfaz de red para usar una dirección IP
estática, o usar DHCP para obtener una dirección IP automáticamente.

 Usar DHCP
Si su ordenador no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones sobre cómo configurar su ordenador para que use DHCP.
Para configurar un ordenador con Windows XP para usar DHCP:
1. Seleccione Inicio > Panel de control.
Aparece la ventana del Panel de control.
2. Haga doble clic en Conexiones de red.
3. Haga doble clic en Conexión de área local.
Aparece la ventana Estado de conexión de área local.
4. Haga clic en Propiedades.
Aparece la ventana Propiedades de conexión de área local.
5. Haga doble clic en Protocolo de Internet (TCP / IP).
Aparece el cuadro de diálogo Propiedades del Protocolo de Internet (TCP / IP).
6. Seleccione Obtener una dirección IP automáticamente y Obtenga la dirección del servidor DNS
automáticamente.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del Protocolo de Internet (TCP / IP).
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
9. Cierre las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su ordenador está listo para conectarse al dispositivo Firebox o XTM.
10. Cuando el dispositivo Firebox o XTM esté listo, abra un navegador web.
11. En la barra de direcciones del navegador, escriba la dirección IP de su dispositivo Firebox o XTM y
presione Entrar.
12. Si aparece una advertencia del certificado de seguridad, acepte el certificado.
Se inicia el Asistente de configuración rápida.
Nota: La dirección IP predeterminada para un Firebox X Edge es https://192.168.111.1/.
La dirección IP predeterminada para un Firebox X Core o Peak, o el dispositivo WatchGuard XTM es
https://10.0.1.1/
13. Ejecute el Asistente de configuración web.

 Use una dirección IP estática


Si su ordenador no usa el sistema operativo Windows XP, lea la ayuda del sistema operativo para obtener
instrucciones sobre cómo configurar su ordenador para que use una dirección IP estática. Debes
seleccionar una dirección IP en la misma subred que la red de confianza.
Para configurar un ordenador con Windows XP para usar una dirección IP estática:
1. Seleccione Inicio > Panel de control.
Aparece la ventana del Panel de control.
2. Haga doble clic en Conexiones de red.
3. Haga doble clic en Conexión de área local.
Aparece la ventana Estado de conexión de área local.
4. Haga clic en Propiedades.
Aparece la ventana Propiedades de conexión de área local.
5. Haga doble clic en Protocolo de Internet (TCP / IP).
Aparece el cuadro de diálogo Propiedades del Protocolo de Internet (TCP / IP).
6. Seleccione Usar la siguiente dirección IP.
7. En el campo de la dirección IP, escriba una dirección IP en la misma red que la interfaz confiable del
dispositivo Firebox o XTM.
Recomendamos estas direcciones:
 Firebox X Edge: 192.168.111.2
 Firebox X Core o Peak, o dispositivo WatchGuard XTM - 10.0.1.2
La red de interfaz de confianza predeterminada para un Firebox X Edge es 192.168.111.0.
La red de interfaz de confianza predeterminada para un dispositivo Firebox X Core, Peak o
WatchGuard XTM es 10.0.1.0.
8. En el campo Máscara de subred, escriba 255.255.255.0.
9. En el campo Puerta de enlace predeterminada, escriba la dirección IP de la interfaz confiable del
dispositivo Firebox o XTM.
La dirección de interfaz confiable de Edge predeterminada es 192.168.111.1.
10. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del Protocolo de Internet (TCP / IP).
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de conexión de red de área local.
12. Cierre las ventanas Estado de conexión de área local, Conexiones de red y Panel de control.
Su computadora está lista para conectarse al dispositivo Firebox o XTM.
13. Cuando el dispositivo Firebox o XTM esté listo, abra un navegador web.
14. En la barra de direcciones del navegador, escriba la dirección IP de su dispositivo Firebox o XTM y
presione Entrar.
15. Si aparece una advertencia de certificado de seguridad, acepte el certificado.
Se inicia el Asistente de configuración rápida.
Nota: La dirección IP predeterminada para un Firebox X Edge es https://192.168.111.1/. La dirección IP
predeterminada para un dispositivo Firebox X Core, Peak o WatchGuard XTM es https://10.0.1.1/.
16. Ejecute el Asistente de configuración web.
 Deshabilitar el proxy HTTP en el navegador
Muchos navegadores web están configurados para usar un servidor proxy HTTP para aumentar la
velocidad de descarga de las páginas web. Para administrar o configurar el dispositivo Firebox o XTM con
la interfaz de usuario web, su navegador debe conectarse directamente al dispositivo. Si usa un servidor
proxy HTTP, debe desactivar temporalmente la configuración del proxy HTTP en su navegador. Puede
habilitar la configuración del servidor proxy HTTP en su navegador nuevamente después de configurar el
dispositivo Firebox o XTM.
Use estas instrucciones para deshabilitar el proxy HTTP en Firefox, Safari o Internet Explorer. Para otros
navegadores, use el sistema de ayuda del navegador para encontrar la información necesaria. Muchos
navegadores deshabilitan automáticamente la función de proxy HTTP.
 Deshabilite el proxy HTTP en Internet Explorer 6.xo 7.x
1. Abra Internet Explorer.
2. Seleccione Herramientas > Opciones de Internet.
Aparece el cuadro de diálogo Opciones de Internet.
3. Seleccione la pestaña Conexiones.
4. Haga clic en Configuración de LAN.
Aparece el cuadro de diálogo Configuración de red de área local (LAN).
5. Borre la casilla Usar un servidor proxy para su LAN.
6. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de la red de área local (LAN).
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.
 Deshabilitar el proxy HTTP en Firefox 2.x
1. Abra Firefox.
2. Seleccione Herramientas > Opciones.
Aparece el cuadro de diálogo Opciones.
3. Haga clic en Avanzado.
4. Seleccione la pestaña Red.
5. Haga clic en Configuración.
6. Haga clic en Configuración de conexión.
Aparece el cuadro de diálogo Configuración de conexión.
7. Asegúrese de que está seleccionada la opción Conexión directa a Internet.
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de conexión.
9. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones.
 Deshabilitar el proxy HTTP en Safari 2.0
1. Abra Safari.
2. Seleccione Preferencias.
Aparece el cuadro de diálogo de preferencias Safari.
3. Haga clic en Avanzado.
4. Haga clic en Cambiar configuración.
Aparece el cuadro de diálogo Preferencia del sistema.
5. Borre la casilla de verificación Web Proxy (HTTP).
6. Haga clic en Aplicar ahora.

5. Conceptos básicos de configuración y administración


Acerca de las tareas básicas de configuración y administración
Una vez que su dispositivo Firebox o XTM está instalado en su red y está configurado con un archivo de
configuración básico, puede comenzar a agregar ajustes de configuración personalizados. Los temas de esta
sección lo ayudan a completar estas tareas básicas de administración y mantenimiento.

Realice una copia de seguridad de la imagen del dispositivo Firebox o XTM


Una imagen de respaldo del dispositivo Firebox o XTM es una copia cifrada y guardada de la imagen del disco
flash del dispositivo Firebox o XTM. Incluye el sistema operativo Firebox o XTM, el archivo de configuración,
las licencias y los certificados. Puede guardar una imagen de copia de seguridad en su ordenador o en un
directorio de su red. La imagen de copia de seguridad para un Firebox X Edge no incluye el sistema operativo
del dispositivo.
Le recomendamos que haga regularmente copias de seguridad del dispositivo Firebox o XTM. También le
recomendamos que cree una imagen de respaldo del dispositivo Firebox o XTM antes de realizar cambios
significativos en su archivo de configuración, o antes de actualizar su dispositivo Firebox o XTM o su sistema
operativo. Puede utilizar Fireware XTM Web UI para hacer una copia de seguridad de la imagen de su
dispositivo.
1. Seleccione Sistema > Imagen de respaldo.
2. Escriba y confirme una clave de cifrado. Esta clave se usa para cifrar el archivo de copia de seguridad. Si
pierde u olvida esta clave de cifrado, no puede restaurar el archivo de copia de seguridad.
3. Haga clic en Copia de seguridad.
4. Seleccione una ubicación para guardar el archivo de imagen de copia de seguridad y escriba un nombre de
archivo.
La imagen de la copia de seguridad se guarda en la ubicación que especifique.

Restaurar una imagen de copia de seguridad del dispositivo Firebox o XTM


Puede utilizar Fireware XTM Web UI para restaurar una imagen de copia de seguridad creada previamente en
su dispositivo Firebox o XTM. Si su dispositivo está administrado de forma centralizada, debe abrir el
Administrador de políticas para su dispositivo desde su Servidor de administración para restaurar una imagen
de respaldo en su dispositivo.
Para obtener más información sobre la administración centralizada y cómo actualizar un dispositivo
administrado completamente, consulte la Ayuda del administrador del sistema Fireware XTM WatchGuard.
1. Seleccione Sistema > Restaurar imagen.
2. Haga clic en Restaurar imagen.
3. Haga clic en Examinar.
4. Seleccione el archivo de imagen de copia de seguridad guardada. Haga clic en Abrir.
5. Haga clic en Restaurar.
6. Escriba la clave de cifrado que utilizó cuando creó la imagen de copia de seguridad.
El dispositivo Firebox o XTM restaura la imagen de la copia de seguridad. Se reinicia y utiliza la imagen de la
copia de seguridad. Espere dos minutos antes de volver a conectarse al dispositivo Firebox o XTM.
Si no puede restaurar correctamente la imagen del dispositivo Firebox o XTM, puede reiniciar el dispositivo
Firebox o XTM. Según el modelo de dispositivo Firebox o XTM que tenga, puede restablecer un dispositivo
Firebox o XTM a su configuración predeterminada de fábrica o volver a ejecutar el Asistente de configuración
rápida para crear una nueva configuración.
Para obtener más información, consulte Restablecer un dispositivo Firebox o XTM a una configuración anterior
o nueva en la página 48.

Utilice una unidad USB para la copia de seguridad y restauración del


sistema.
Una imagen de copia de seguridad del dispositivo WatchGuard XTM es una copia encriptada y guardada de la
imagen del disco flash del dispositivo XTM. El archivo de imagen de copia de seguridad incluye el SO del
dispositivo XTM, el archivo de configuración, la tecla de función y los certificados.
Para los dispositivos WatchGuard XTM 2 Series, 5 Series, 8 Series o XTM 1050, puede conectar una unidad USB
o dispositivo de almacenamiento al puerto USB en el dispositivo XTM para realizar copias de seguridad del
sistema y restaurar los procedimientos. Cuando guarda una imagen de copia de seguridad del sistema en una
unidad USB conectada, puede restaurar su dispositivo XTM a un estado conocido más rápido.
Nota: no puede usar esta función en un dispositivo e-Series, ya que los dispositivos e-Series no tienen un
puerto USB.

 Acerca del disco USB


La unidad USB debe formatearse con el sistema de archivos FAT o FAT32. Si la unidad USB tiene más de
una partición, Fireware XTM solo usa la primera partición. Cada imagen de copia de seguridad del sistema
puede ser tan grande como 30 MB. Le recomendamos que use una unidad USB lo suficientemente grande
como para almacenar varias imágenes de copia de seguridad.

 Guarde una imagen de copia de seguridad en un disco USB conectado


Para realizar este procedimiento, se debe conectar una unidad USB a su dispositivo XTM.
1. Seleccione Sistema > Unidad USB.
Aparece la página Copia de seguridad / Restaurar a USB.
2. En la sección Nueva imagen de copia de seguridad, escriba un nombre de archivo para la imagen de
copia de seguridad.
3. Escriba y confirme una clave de cifrado. Esta clave se usa para cifrar el archivo de copia de seguridad. Si
pierde u olvida esta clave de cifrado, no puede restaurar el archivo de copia de seguridad.
4. Haga clic en Guardar en unidad USB.
La imagen guardada aparece en la lista de imágenes de copia de seguridad del dispositivo disponibles
después de completar el guardado.

 Restaurar una imagen de copia de seguridad desde un disco USB conectado


Para realizar este procedimiento, se debe conectar una unidad USB a su dispositivo XTM.
1. Seleccione Sistema > Unidad USB.
Aparecerá la página Copia de seguridad / Restaurar desde dispositivo USB.

2. En la lista Imágenes de copia de seguridad disponibles, seleccione un archivo de imagen de copia de


seguridad para restaurar.
3. Haga clic en Restaurar imagen seleccionada.
4. Escriba la clave de cifrado que utilizó cuando creó la imagen de copia de seguridad.
5. Haga clic en Restaurar.
El dispositivo XTM restaura la imagen de la copia de seguridad. Se reinicia y utiliza la imagen de la copia
de seguridad.

 Restaurar automáticamente una imagen de copia de seguridad desde un disco USB


Si un dispositivo USB está conectado a un dispositivo WatchGuard XTM en modo de recuperación, el
dispositivo puede restaurar automáticamente la imagen respaldada previamente desde el disco USB. Para
usar la función de restauración automática, primero debe seleccionar una imagen de respaldo en la
unidad USB como la que desea usar para el proceso de restauración.
Debe usar Fireware XTM Web UI, Firebox System Manager o Fireware XTM Command Line Interface para
seleccionar esta imagen de copia de seguridad.
Puede usar la misma imagen de copia de seguridad para más de un dispositivo, si todos los dispositivos
pertenecen a la misma familia de modelos WatchGuard XTM. Por ejemplo, puede usar una imagen de
copia de seguridad guardada de un XTM 560 como imagen de copia de seguridad para cualquier otro
dispositivo de la serie XTM 5.

 Seleccione la imagen de la copia de seguridad para restaurar automáticamente


1. Seleccione el sistema > Unidad USB.
Aparecerá la página Copia de seguridad / Restauración de la unidad USB. Los archivos de imagen
guardados aparecen en la parte superior de la página.

2. En la lista Imágenes de copia de seguridad disponibles, seleccione un archivo de imagen de copia de


seguridad.
3. Haga clic en Usar imagen seleccionada para restauración automática.
4. Escriba la clave de cifrado utilizada para crear la imagen de copia de seguridad. Haga clic en Aceptar.
El dispositivo XTM guarda una copia de la imagen de copia de seguridad seleccionada en la unidad USB.
Si guardó una imagen de restauración automática anterior, el archivo de restauración automática se
reemplaza por una copia de la imagen de respaldo que seleccionó.
Advertencia: Si su dispositivo XTM ha utilizado una versión del Fireware XTM OS antes de v11.3, debe
actualizar la imagen del software del modo de recuperación en el dispositivo a v11.3 para que funcione la
función de restauración automática. Consulte las Notas de la versión Fireware XTM 11.3 para obtener
instrucciones de actualización.

 Restaure la imagen de copia de seguridad para un dispositivo XTM 5 Series, 8


Series o XTM 1050
1. Conecte la unidad USB con la imagen de restauración automática a un puerto USB en el dispositivo
XTM.
2. Apague el dispositivo XTM.
3. Presione la flecha hacia arriba en el panel frontal del dispositivo mientras enciende el dispositivo.
4. Mantenga presionado el botón hasta que aparezca "Modo de inicio de recuperación" en la pantalla
LCD.
El dispositivo restaura la imagen de copia de seguridad desde la unidad USB y utiliza automáticamente la
imagen restaurada después de que se reinicia.
Si la unidad USB no contiene una imagen de restauración automática válida para esta familia de modelos
de dispositivos XTM, el dispositivo no se reinicia y, por el contrario, se inicia en el modo de recuperación.
Si reinicia el dispositivo nuevamente, usa su configuración actual. Cuando el dispositivo está en modo de
recuperación, puede usar el Asistente de configuración rápida de WSM para crear una nueva
configuración básica.
Para obtener información sobre el Asistente de configuración rápida de WSM, consulte Ejecutar el
Asistente de configuración rápida de WSM.

 Restaure la imagen de copia de seguridad para un dispositivo de la serie XTM 2


1. Conecte la unidad USB con la imagen de restauración automática a un puerto USB en el dispositivo de
la serie XTM 2.
2. Desconecte la fuente de alimentación.
3. Mantenga presionado el botón Restablecer en la parte posterior del dispositivo.
4. Conecte la fuente de alimentación mientras mantiene presionado el botón Restablecer.
5. Después de 10 segundos, suelte el botón Restablecer.
El dispositivo restaura la imagen de copia de seguridad desde la unidad USB y utiliza automáticamente la
imagen restaurada después de que se reinicia.
Si la unidad USB no contiene una imagen de restauración automática de serie 2 válida, la restauración
automática falla y el dispositivo no se reinicia. Si el proceso de restauración automática no tiene éxito,
debe desconectar y volver a conectar la fuente de alimentación para iniciar el dispositivo de la Serie 2 con
la configuración predeterminada de fábrica.
Para obtener información sobre la configuración predeterminada de fábrica, consulte Acerca de la
configuración predeterminada de fábrica.

 Estructura de directorios de unidades USB


Cuando guarda una imagen de copia de seguridad en una unidad USB, el archivo se guarda en un
directorio en la unidad USB con el mismo nombre que el número de serie de su dispositivo XTM. Esto
significa que puede almacenar imágenes de copia de seguridad para más de un dispositivo XTM en la
misma unidad USB. Cuando restaura una imagen de copia de seguridad, el software recupera
automáticamente la lista de imágenes de copia de seguridad almacenadas en el directorio asociado con
ese dispositivo.
Para cada dispositivo, la estructura de directorio en el dispositivo USB es la siguiente, donde sn se
reemplaza por el número de serie del dispositivo XTM:
\sn\flash-images\
\sn\configs\
\sn\feature-keys\
\sn\certs\
Las imágenes de copia de seguridad de un dispositivo se guardan en el directorio \sn\flash-images. El
archivo de imagen de copia de seguridad guardado en el directorio flash-images contiene el SO Fireware
XTM, la configuración del dispositivo, las teclas de función y los certificados. Los subdirectorios \configs,
\feature-keys y \certs no se utilizan para ninguna operación de copia de seguridad y restauración de
unidades USB. Puede usarlos para almacenar claves de funciones adicionales, archivos de configuración y
certificados para cada dispositivo.
También hay un directorio en el nivel raíz de la estructura de directorio que se utiliza para almacenar la
imagen de copia de seguridad de restauración automática designada.
\auto-restore\
Cuando designa una imagen de copia de seguridad para usarla para la restauración automática, una copia
del archivo de imagen de copia de seguridad seleccionado se cifra y almacena en el directorio \auto-
restore con el nombre de archivo auto-restore.fxi. Puede tener una sola imagen de restauración
automática guardada en cada unidad USB. Puede usar la misma imagen de copia de seguridad de
restauración automática para más de un dispositivo, si ambos dispositivos son la misma familia de
modelos WatchGuard XTM. Por ejemplo, puede usar una imagen de restauración automática guardada
de un XTM 560 como la imagen de restauración automática para cualquier otro dispositivo de la serie
XTM 5.
Debe usar el comando Sistema > Unidad USB para crear una imagen de restauración automática. Si copia
y renombra manualmente una imagen de copia de seguridad y la almacena en este directorio, el proceso
de restauración automática no funciona correctamente.

 Guarde una imagen de copia de seguridad en una unidad USB conectada a su


ordenador
Puede usar la interfaz de usuario web Fireware XTM para guardar una imagen de copia de seguridad en
una unidad USB o dispositivo de almacenamiento conectado a su ordenador. Si guarda los archivos de
configuración para múltiples dispositivos en la misma unidad USB, puede conectar la unidad USB a
cualquiera de esos dispositivos XTM para la recuperación.
Si usa el comando Sistema > Unidad USB para hacer esto, los archivos se guardan automáticamente en el
directorio correcto en la unidad USB. Si utiliza el comando Sistema > Copia de seguridad de la imagen, o si
usa Windows u otro sistema operativo para copiar manualmente los archivos de configuración en el
dispositivo USB, debe crear manualmente el número de serie correcto y los directorios de imágenes flash
para cada dispositivo (si no existe).

 Antes de que empieces


Antes de comenzar, es importante que comprenda la estructura del directorio de la unidad USB utilizada
por la función de copia de seguridad y restauración del USB. Si no guarda la imagen de la copia de
seguridad en la ubicación correcta, el dispositivo no puede encontrarla cuando conecta la unidad USB al
dispositivo.

 Guardar la imagen de la copia de seguridad


Para guardar una imagen de copia de seguridad en una unidad USB conectada a su ordenador, utilice los
pasos descritos en Realizar una copia de seguridad de la imagen del dispositivo Firebox o XTM. Cuando
selecciona la ubicación para guardar el archivo, seleccione la letra de la unidad USB conectada a su
ordenador. Si desea que la imagen de la copia de seguridad que guarda sea reconocida por el dispositivo
XTM al conectar la unidad USB, asegúrese de guardar la copia de seguridad en el directorio \flash-images
bajo el directorio que se nombra con el número de serie de su dispositivo XTM.
Por ejemplo, si su número de serie del dispositivo XTM es 70A10003C0A3D, guarde el archivo de imagen
de copia de seguridad en esta ubicación en la unidad USB:
\70A10003C0A3D\flash-images\
 Designar una imagen de copia de seguridad para restauración automática
Para designar una imagen de copia de seguridad para usar con la función de restauración automática,
debe conectar la unidad USB al dispositivo y designar la imagen de copia de seguridad que se utilizará
para la restauración automática como se describe en Usar una unidad USB para la copia de seguridad y
restauración del sistema. Si guarda manualmente una imagen de copia de seguridad en el directorio de
restauración automática, el proceso de restauración automático no funciona correctamente.

Restablecer un dispositivo Firebox o XTM a una configuración anterior o


nueva.
Si su dispositivo Firebox o XTM tiene un grave problema de configuración, puede restablecer el dispositivo a su
configuración predeterminada de fábrica. Por ejemplo, si no conoce la contraseña de configuración o si una
interrupción de alimentación provoca daños en el SO Fireware XTM, puede usar el Asistente de configuración
rápida para volver a generar su configuración o restaurar una configuración guardada.
Para obtener una descripción de la configuración predeterminada de fábrica, consulte Acerca de la
configuración predeterminada de fábrica en la página 49.
Nota: si tiene un dispositivo WatchGuard XTM, también puede usar el modo seguro para restaurar
automáticamente una imagen de respaldo del sistema desde un dispositivo de almacenamiento USB. Para
obtener más información, consulte Restaurar automáticamente una imagen de copia de seguridad desde una
unidad USB.

 Inicie un dispositivo Firebox o XTM en modo seguro


Para restablecer la configuración predeterminada de fábrica para una Firebox X Core e-Series, Peak e-
Series, WatchGuard XTM 5 Series, 8 Series o 10 Series, primero debe iniciar el dispositivo Firebox o XTM
en modo seguro.
1. Apague el dispositivo Firebox o XTM.
2. Presione la flecha hacia abajo en el panel frontal del dispositivo mientras enciende el dispositivo
Firebox o XTM.
3. Mantenga presionado el botón de flecha hacia abajo hasta que aparezca el mensaje de inicio del
dispositivo en la pantalla LCD:
 Para un dispositivo Firebox X Core e-Series o Peak e-Series, WatchGuard Technologies aparece en la
pantalla.
 Para un dispositivo WatchGuard XTM, Safe Mode Starting ... aparece en la pantalla.
Cuando el dispositivo está en modo seguro, la pantalla muestra el número de modelo seguido de la
palabra "seguro".
Cuando inicia un dispositivo en modo seguro:

 El dispositivo utiliza temporalmente la configuración de red y seguridad predeterminada de fábrica.


 La tecla de función actual no se elimina. Si ejecuta el Asistente de configuración rápida para crear
una nueva configuración, el asistente utiliza la tecla de función que importó anteriormente.
 Su configuración actual se elimina solo cuando guarda una nueva configuración. Si reinicia el
dispositivo Firebox o XTM antes de guardar una nueva configuración, el dispositivo vuelve a utilizar
su configuración actual.

 Restablezca un Firebox X Edge e-Series o el dispositivo WatchGuard XTM 2 Series a


la configuración predeterminada de fábrica
Cuando reinicia un Firebox X Edge e-Series o un dispositivo de la serie XTM 2, las configuraciones
originales se reemplazan por las configuraciones predeterminadas de fábrica. Para restablecer el
dispositivo a la configuración predeterminada de fábrica:
1. Desconecte la fuente de alimentación.
2. Mantenga presionado el botón Restablecer en la parte posterior del dispositivo.
3. Mientras continúa presionando el botón Restablecer, conecte la fuente de alimentación.
4. Mantenga presionado el botón Restablecer hasta que el indicador amarillo Attn permanezca
iluminado. Esto muestra que el dispositivo restauró con éxito la configuración predeterminada de fábrica.
Para una Firebox X Edge e-Series, este proceso puede tardar 45 segundos o más. Para un dispositivo de la
Serie 2, este proceso puede tardar 75 segundos o más.
5. Suelte el botón Restablecer.
Nota: Debe volver a iniciar el dispositivo antes de poder conectarse a él. Si no reinicia, cuando intente
conectarse al dispositivo, aparecerá una página web con este mensaje: Su dispositivo se está ejecutando
desde una copia de seguridad del firmware. También puede ver este mensaje si el botón de
restablecimiento se queda atascado. Si continúa viendo este mensaje, verifique el botón Restablecer y
reinicie el dispositivo.
6. Desconecte la fuente de alimentación.
7. Vuelva a conectar la fuente de alimentación.
El indicador de encendido se enciende y su dispositivo se reinicia.

 Ejecute el Asistente de configuración rápida


Después de restablecer la configuración predeterminada de fábrica, puede usar el Asistente de
configuración rápida para crear una configuración básica o restaurar una imagen de copia de seguridad
guardada.
Para obtener más información, consulte Acerca del Asistente de configuración rápida en la página 24.

Acerca de la configuración predeterminada de fábrica


El término configuración predeterminada de fábrica se refiere a la configuración en el dispositivo Firebox o
XTM cuando la recibe por primera vez antes de realizar cualquier cambio. También puede restablecer el
dispositivo Firebox o XTM a la configuración predeterminada de fábrica como se describe en Restaurar un
dispositivo Firebox o XTM en una configuración anterior o nueva en la página 48.
Las propiedades de configuración y red predeterminadas para el dispositivo Firebox o XTM son:

 Red de confianza (Firebox X Edge e-Series)


La dirección IP predeterminada para la red de confianza es 192.168.111.1. La máscara de subred para la
red de confianza es 255.255.255.0.
La dirección IP y el puerto por defecto para Fireware XTM Web UI son https://192.168.111.1:8080.
Firebox está configurado para proporcionar direcciones IP a las computadoras de la red de confianza con
DHCP. De forma predeterminada, estas direcciones IP pueden ser de 192.168.111.2 a 192.168.111.254.

 Red confiable (dispositivos Firebox X Core y Peak e-Series y WatchGuard XTM)


La dirección IP predeterminada para la red de confianza es 10.0.1.1. La máscara de subred para la red de
confianza es 255.255.255.0.
La dirección IP y el puerto por defecto para la IU web de Fireware XTM son https://10.0.1.1:8080.
El dispositivo Firebox o XTM está configurado para proporcionar direcciones IP a los ordenadores de la
red confiable a través de DHCP. De forma predeterminada, estas direcciones IP pueden ser de 10.0.1.2 a
10.0.1.254.
 Red externa
El dispositivo Firebox o XTM está configurado para obtener una dirección IP con DHCP.

 Red opcional
La red opcional está deshabilitada.

 Configuración del firewall


Se deniega todo el tráfico entrante. La política de salida permite todo el tráfico saliente. Las solicitudes de
ping recibidas de la red externa son denegadas.

 Sistema de seguridad
El dispositivo Firebox o XTM tiene el administrador de cuentas de administrador integrado (acceso de
lectura y escritura) y el estado (acceso de solo lectura). Cuando configura por primera vez el dispositivo
con el Asistente de configuración rápida, configura las frases de contraseña de estado y configuración.
Después de completar el Asistente de configuración rápida, puede iniciar sesión en Fireware XTM Web UI
con las cuentas de administrador o de administrador de estado. Para acceder al administrador completo,
inicie sesión con el nombre de usuario de administrador y escriba la frase de contraseña de configuración.
Para el acceso de solo lectura, inicie sesión con el nombre de usuario de estado y escriba la frase de
contraseña de solo lectura.
De forma predeterminada, el dispositivo Firebox o XTM está configurado para la gestión local solo de la
red de confianza. Se deben realizar cambios de configuración adicionales para permitir la administración
desde la red externa.

 Opciones de actualización
Para habilitar opciones de actualización como WebBlocker, spamBlocker y Gateway AV/IPS, debe pegar o
importar la tecla de función que habilita estas funciones en la página de configuración o usar el comando
Obtener clave de función para activar las opciones de actualización. Si inicia el dispositivo Firebox o XTM
en modo seguro, no tiene que volver a importar la tecla de función.

Acerca de las claves de función


Una clave de función es una licencia que le permite usar un conjunto de características en su dispositivo
Firebox o XTM. Aumentas la funcionalidad de tu dispositivo cuando compras una opción o mejora y obtienes
una nueva clave de función.

 Cuando compra una nueva función


Cuando compra una nueva función para su dispositivo Firebox o XTM, debe:

 Obtener una clave de función de LiveSecurity


 Agregar una tecla de función a su dispositivo Firebox o XTM
Ver funciones disponibles con la tecla de función actual
Su dispositivo Firebox o XTM siempre tiene una tecla de función actualmente activa. Para ver las
funciones disponibles con esta tecla de función:
1. Conéctese a Fireware XTM Web UI.
2. Seleccione Sistema > Tecla de función.
Aparece la página de la tecla de función.
La sección Características incluye:

 Una lista de características disponibles


 Si la función está habilitada o deshabilitada.
 El valor asignado a la función, como la cantidad de interfaces VLAN permitidas
 Fecha de caducidad de la función
 Estado actual al vencimiento, como cuántos días quedan antes de que caduque la función
 El número máximo de direcciones IP permitidas para el acceso saliente (solo para dispositivos
Firebox X Edge XTM)

 Obtenga una clave de función de LiveSecurity


Antes de activar una nueva función o renovar un servicio de suscripción, debe contar con un certificado
de clave de licencia de WatchGuard que aún no esté registrado en el sitio web de LiveSecurity. Cuando
activa la clave de licencia, puede obtener la clave de función que habilita la función activada en el
dispositivo Firebox o XTM. También puede recuperar una clave de función existente más adelante.

 Active la clave de licencia para una función


Para activar una clave de licencia y obtener la tecla de función para la función activada:
1. Abra un navegador web y vaya a https://www.watchguard.com/activate.
Si aún no ha iniciado sesión en LiveSecurity, aparece la página de inicio de sesión de LiveSecurity.
2. Escriba su nombre de usuario y contraseña de LiveSecurity.
Aparecerá la página Activar productos.
3. Escriba el número de serie o la clave de licencia del producto tal como aparece en su
certificado impreso. Asegúrate de incluir cualquier guión.
Use el número de serie para registrar un nuevo dispositivo Firebox o XTM, y la clave de licencia
para registrar las características del complemento.
4. Haga clic en Continuar.
Aparece la página Elegir producto para actualizar.
5. En la lista desplegable, seleccione el dispositivo para actualizar o renovar.
Si agregó un nombre de dispositivo cuando registró su dispositivo Firebox o XTM, ese nombre
aparece en la lista.
6. Haga clic en Activar.
Aparecerá la página Recuperar clave de función.
7. Copie la tecla de función completa en un archivo de texto y guárdelo en su ordenador.
8. Haga clic en Finalizar.
 Obtenga una clave de función actual

Puede iniciar sesión en el sitio web de LiveSecurity para obtener una clave de función actual, o
puede usar la interfaz de usuario web Fireware XTM para recuperar la clave de función actual y
agregarla directamente a su dispositivo Firebox o XTM.
Cuando vaya al sitio web de LiveSecurity para recuperar su clave de función, puede elegir descargar
una o más teclas de función en un archivo comprimido. Si selecciona varios dispositivos, el archivo
comprimido contiene un archivo de clave de función para cada dispositivo.
Para recuperar una clave de función actual del sitio web de LiveSecurity:
1. Abra un navegador web y vaya a https://www.watchguard.com/archive/manageproducts.asp.
Si aún no ha iniciado sesión en LiveSecurity, aparece la página de inicio de sesión de LiveSecurity.
2. Escriba su nombre de usuario y contraseña de LiveSecurity.
Aparecerá la página Administrar productos.
3. Seleccione las teclas de función.
Aparecerá la página Recuperar clave de funciones, con una lista desplegable para seleccionar un
producto.
4. En la lista desplegable, seleccione su dispositivo Firebox o XTM.
5. Haga clic en Obtener clave.
Aparecerá una lista de todos sus dispositivos registrados. Aparece una marca de verificación al
lado del dispositivo que seleccionó.
6. Seleccione Mostrar teclas de función en la pantalla.
7. Haga clic en Obtener clave.
Aparecerá la página Recuperar clave de función.
8. Copie la tecla de función a un archivo de texto y guárdelo en su ordenador.
Para usar la interfaz de usuario web Fireware XTM para recuperar la clave de función actual:
1. Conéctese a Fireware XTM Web UI.
Aparece el Tablero de interfaz de usuario web Fireware XTM.
2. Seleccione Sistema > Tecla de función.
Aparece la página Resumen de la clave de funciones.
3. Haga clic en Obtener clave de función.
Su clave de función se descarga de LiveSecurity y se actualiza automáticamente en su dispositivo
Firebox o XTM.

 Agregue una clave de función a su dispositivo Firebox o XTM

Si compra una nueva opción o actualiza su dispositivo Firebox o XTM, puede usar la Fireware XTM
Web UI para agregar una nueva clave de función para habilitar las nuevas características. Antes de
instalar la nueva clave de función, debe eliminar por completo la tecla de función anterior.
1. Seleccione Sistema > Claves de funciones.
Aparece la página Clave de la función de Firebox.
Las características disponibles con esta clave de función aparecen en esta página. Esta página
también incluye:

 Si cada función está habilitada o deshabilitada


 Un valor asignado a la función, como la cantidad de interfaces VLAN permitidas
 La fecha de caducidad de la función
 La cantidad de tiempo que queda antes de que caduque la función.
2. Haga clic en Eliminar para eliminar la clave de función actual.
Toda la información de las claves de función se borra de la página.
3. Haga clic en Importar. Haga clic en Actualizar.
Aparecerá la página de la tecla de función Añadir Firebox.

4. Copie el texto del archivo de la clave de función y péguelo en el cuadro de texto.


5. Haga clic en Guardar.
La página de la clave de función reaparece con la nueva información de la clave de función.
 Eliminar una clave de función

1. Seleccione Sistema> Teclas de funciones.


Aparece la página Clave de la función de Firebox.
2. Haga clic en Eliminar.
Toda la información de las teclas de función se borra de la página.
3. Haga clic en Guardar.

Reinicie su dispositivo Firebox o XTM


Puede utilizar la interfaz de usuario Web Fireware XTM para reiniciar su dispositivo Firebox o XTM desde una
computadora en la red de confianza. Si habilita el acceso externo, también puede reiniciar el dispositivo
Firebox o XTM desde una computadora en Internet. Puede configurar la hora del día en que su dispositivo
Firebox o XTM se reinicia automáticamente.

 Reinicie localmente el dispositivo Firebox o XTM.

Para reiniciar localmente el dispositivo Firebox o XTM, puede usar la IU web de Fireware XTM o puede
apagar y encender el dispositivo.
 Reinicio desde Fireware XTM Web UI

Para reiniciar el dispositivo Firebox o XTM desde Fireware XTM Web UI, debe iniciar sesión con
acceso de lectura y escritura.
1. Seleccione Tablero> Sistema.
2. En la sección Información del dispositivo, haga clic en Reiniciar.
 Ciclo de poder

En el Firebox X Edge:
1. Desconecte la fuente de alimentación del Firebox X Edge.
2. Espere un mínimo de 10 segundos.
3. Vuelva a conectar la fuente de alimentación.
En el dispositivo Firebox X Core o Peak, o WatchGuard XTM:
1. Use el interruptor de encendido para apagar el dispositivo.
2. Espere un mínimo de 10 segundos.
3. Encienda el dispositivo.

 Reinicie el dispositivo Firebox o XTM de forma remota

Antes de que pueda conectarse a su dispositivo Firebox o XTM para administrarlo o reiniciarlo desde un
ordenador remoto externo al dispositivo Firebox o XTM, primero debe configurar el dispositivo Firebox o
XTM para permitir la administración desde la red externa.
Para obtener más información, consulte Administrar un dispositivo Firebox o XTM desde una ubicación
remota en la página 72.
Para reiniciar el dispositivo Firebox o XTM de manera remota desde Fireware XTM Web UI:
1. Seleccione Tablero > Sistema.
2. En la sección Información del dispositivo, haga clic en Reiniciar.

Habilite NTP y agregue servidores NTP


El protocolo de tiempo de red (NTP) sincroniza los tiempos de reloj del ordenador en una red. Su dispositivo
Firebox o XTM puede usar NTP para obtener la hora correcta automáticamente desde los servidores NTP en
Internet. Debido a que el dispositivo Firebox o XTM utiliza el tiempo de su reloj del sistema para cada mensaje
de registro que genera, la hora debe configurarse correctamente. Puede cambiar el servidor NTP que utiliza el
dispositivo Firebox o XTM. También puede agregar más servidores NTP o eliminar los existentes, o puede
configurar la hora manualmente.
Para usar NTP, la configuración de su dispositivo Firebox o XTM debe permitir DNS. DNS está permitido en la
configuración predeterminada por la política de salida. También debe configurar servidores DNS para la
interfaz externa antes de configurar NTP.
Para obtener más información sobre estas direcciones, consulte Agregar direcciones de servidor WINS y DNS.
1. Seleccione Sistema> NTP.
Aparece el cuadro de diálogo Configuración de NTP.
2. Seleccione la casilla de verificación Activar servidor NTP.
3. Para agregar un servidor NTP, seleccione IP de host o Nombre de host (búsqueda) en la lista desplegable
Elegir tipo, luego escriba la dirección IP o el nombre de host del servidor NTP que desea usar en el cuadro de
texto adyacente.
Puede configurar hasta tres servidores NTP
4. Para eliminar un servidor, seleccione la entrada del servidor y haga clic en Eliminar.
5. Haga clic en Guardar.

Establezca la zona horaria y las propiedades básicas del dispositivo.


Cuando ejecuta el Asistente de configuración web, establece la zona horaria y otras propiedades básicas del
dispositivo.
Para cambiar las propiedades básicas del dispositivo:
1. Conéctese a Fireware XTM Web UI.
2. Seleccione Sistema> Sistema.
Aparecen las configuraciones de configuración del dispositivo.

3. Configure estas opciones:

 Modelo Firebox

El número de modelo del dispositivo Firebox o XTM, según lo determina Quick Setup Wizard. Si
agrega una nueva clave de función al dispositivo Firebox o XTM con una actualización del modelo, el
modelo de dispositivo Firebox o XTM en la configuración del dispositivo se actualizará
automáticamente.
 Nombre

El nombre descriptivo del dispositivo Firebox o XTM. Puede darle al dispositivo Firebox o XTM un
nombre amigable que aparece en sus archivos de registro e informes. De lo contrario, los archivos de
registro y los informes utilizan la dirección IP de la interfaz externa del dispositivo Firebox o XTM.
Muchos clientes usan un nombre de dominio completamente calificado como el nombre descriptivo
si registran tal nombre con el sistema DNS.
Debe dar un nombre descriptivo al dispositivo Firebox o XTM si utiliza el Servidor de administración
para configurar túneles VPN y certificados.

 Ubicación, contacto

Escriba cualquier información que pueda ser útil para identificar y mantener el dispositivo Firebox o
XTM.
El Asistente de configuración rápida rellena estos campos si ingresó esta información allí.

 Zona horaria

Seleccione la zona horaria para la ubicación física del dispositivo Firebox o XTM. La configuración de
zona horaria controla la fecha y la hora que aparecen en el archivo de registro y en herramientas
como LogViewer, WatchGuard Reports y WebBlocker.
4. Haga clic en Guardar.

Acerca de SNMP
SNMP (Simple Network Management Protocol) se usa para monitorear dispositivos en su red. SNMP utiliza
bases de información de gestión (MIB) para definir qué información y eventos se controlan. Debe configurar
una aplicación de software independiente, a menudo llamada visor de eventos o un explorador MIB, para
recopilar y administrar datos SNMP.
Hay dos tipos de MIB: estándar y empresarial. Las MIB estándar son definiciones de eventos de red y
hardware utilizados por muchos dispositivos diferentes. Las MIB de empresa se utilizan para proporcionar
información sobre eventos específicos de un único fabricante. Su dispositivo Firebox o XTM admite ocho MIB
estándar:
IP-MIB, IF-MIB, TCP-MIB, UDP-MIB, SNMPv2-MIB, SNMPv2-SMI, RFC1213-MIB y RFC1155 SMI-MIB. También
es compatible con dos MIB empresariales: WATCHGUARD-PRODUCTS-MIB y WATCHGUARD-SYSTEM-CONFIG-
MIB.

 Encuestas y trampas SNMP

Puede configurar su dispositivo Firebox o XTM para aceptar sondeos SNMP desde un servidor SNMP. El
dispositivo Firebox o XTM informa al servidor SNMP de datos como el recuento de tráfico de cada
interfaz, el tiempo de actividad del dispositivo, la cantidad de paquetes TCP recibidos y enviados y cuándo
se modificó por última vez cada interfaz de red en el dispositivo Firebox o XTM.
Una trampa SNMP es una notificación de evento que su dispositivo Firebox o XTM envía a una estación de
administración SNMP.
La trampa identifica cuándo ocurre una condición específica, como un valor que es mayor que su umbral
predefinido. Su dispositivo Firebox o XTM puede enviar una trampa para cualquier política en Policy
Manager.
Una solicitud de informe SNMP es similar a una trampa, pero el receptor envía una respuesta. Si su
dispositivo Firebox o XTM no recibe una respuesta, envía la solicitud de información nuevamente hasta
que el administrador de SNMP envíe una respuesta. Una trampa se envía solo una vez, y el receptor no
envía ningún reconocimiento cuando recibe la trampa.
 Acerca de las bases de información de administración (MIB)

Fireware XTM admite dos tipos de bases de información de gestión (MIB).

 MIB estándar

Las MIB estándar son definiciones de eventos de red y hardware utilizados por muchos dispositivos
diferentes. Su dispositivo Firebox o XTM admite estas ocho MIB estándar:
 IP-MIB
 IF-MIB
 TCP-MIB
 UDP-MIB
 SNMPv2-MIB
 SNMPv2-SMI
 RFC1213-MIB
 RFC1155 SMI-MIB
Estas MIB incluyen información sobre la información de red estándar, como las direcciones IP y la
configuración de la interfaz de red.

 Enterprise MIBs

Las MIB de empresa se utilizan para proporcionar información sobre eventos específicos de un único
fabricante.
Su dispositivo Firebox o XTM admite estas MIB empresariales:
 WATCHGUARD-PRODUCTS-MIB
 WATCHGUARD-SYSTEM-CONFIG-MIB
 UCD-SNMP-MIB
Estas MIB incluyen información más específica sobre el hardware del dispositivo.
Cuando instala WatchGuard System Manager, las MIB están instaladas en el directorio\My
Documents\My WatchGuard\Shared WatchGuard\SNMP.

 Habilite el sondeo SNMP

Puede configurar su dispositivo Firebox o XTM para aceptar sondeos SNMP desde un servidor SNMP. Su
dispositivo Firebox o XTM reporta información al servidor SNMP, como el recuento de tráfico de cada
interfaz, el tiempo de actividad del dispositivo, la cantidad de paquetes TCP recibidos y enviados, y
cuándo se modificó por última vez la interfaz de red.
1. Seleccione Sistema> SNMP.
2. Para habilitar SNMP, en la lista desplegable Versión, seleccione v1, v2c o v3.
3. Si seleccionó v1 o v2c para la versión SNMP, escriba la secuencia de comunidad que utiliza el servidor
SNMP cuando contacta con el dispositivo Firebox o XTM. La cadena de comunidad es como una ID de
usuario o contraseña que permite el acceso a las estadísticas de un dispositivo.
Si seleccionó v3 para la versión SNMP, escriba el nombre de usuario que utiliza el servidor SNMP cuando
contacta con el dispositivo Firebox o XTM.
4. Si su servidor SNMP usa autenticación, en la lista desplegable Protocolo de autenticación, seleccione
MD5 o SHA y escriba la Contraseña de autenticación dos veces.
5. Si su servidor SNMP utiliza cifrado, en la lista desplegable Protocolo de privacidad, seleccione DES y
escriba la Contraseña de cifrado dos veces.
6. Haga clic en Guardar.
Para permitir que su dispositivo Firebox o XTM reciba sondeos SNMP, también debe agregar una política
SNMP.
1. Seleccione Firewall > Políticas de firewall.
2. Haga clic en Agregar.
3. Expanda la categoría Filtros de paquete y seleccione SNMP. Haga clic en Agregar.
Aparece la página Configuración de la política.
4. Debajo del cuadro De, haga clic en Agregar.
Aparece la ventana Agregar miembro.
5. En la lista desplegable Tipo de miembro, seleccione IP de host.
6. Escriba la dirección IP de su servidor SNMP en el cuadro de texto adyacente. Haga clic en Aceptar.
7. Elimine la entrada Any-Trusted de la lista From.
8. Debajo del cuadro Para, haga clic en Agregar.
Aparece la ventana Agregar miembro.
9. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en Aceptar.
10. Elimine la entrada Any-External de la lista To.
11. Haga clic en Guardar.

 Habilitar estaciones de administración SNMP y trampas

Una trampa SNMP es una notificación de evento que su dispositivo Firebox o XTM envía a una estación de
administración SNMP. La trampa identifica cuándo ocurre una condición específica, como un valor que es
más que su umbral predefinido. Su dispositivo Firebox o XTM puede enviar una trampa para cualquier
política.
Una solicitud de información de SNMP es similar a una trampa, pero el receptor envía una respuesta. Si
su dispositivo Firebox o XTM no obtiene una respuesta, envía la solicitud de información nuevamente
hasta que el administrador de SNMP envíe una respuesta. Una trampa se envía solo una vez, y el receptor
no envía ningún reconocimiento cuando atrapa la trampa.
Una solicitud de información es más confiable que una trampa porque su dispositivo Firebox o XTM sabe
si se recibió la solicitud de información. Sin embargo, las solicitudes de información consumen más
recursos. Se mantienen en la memoria hasta que el emisor recibe una respuesta. Si se debe enviar una
solicitud de información más de una vez, los intentos aumentarán el tráfico. Le recomendamos que
considere si el recibo de cada notificación de SNMP merece el uso de la memoria en el enrutador y
aumenta el tráfico de la red.
Para habilitar las solicitudes de información de SNMP, debe usar SNMPv2 o SNMPv3. SNMPv1 solo
admite capturas, no informa las solicitudes.

 Configurar estaciones de administración SNMP

1. Seleccione Sistema > SNMP.


La página SNMP aparece.

2. En la lista desplegable Capturas de SNMP, seleccione la versión de trampa o informe que desea usar.
SNMPv1 solo admite capturas, no informa las solicitudes.
3. En el cuadro de texto Estaciones de administración de SNMP, escriba la dirección IP de su servidor
SNMP. Haga clic en Agregar.
4. Para eliminar un servidor en la lista, seleccione la entrada y haga clic en Eliminar.
5. Haga clic en Guardar.
 Agregar una política de SNMP

Para habilitar su dispositivo Firebox o XTM para recibir encuestas SNMP, también debe agregar una
política SNMP.
1. Seleccione Firewall > Políticas de firewall.
2. Haga clic en Agregar.
3. Expanda la categoría Filtros de paquetes y seleccione SNMP. Haga clic en Agregar política.
La página de configuración de política aparece.
4. En el cuadro de texto Nombre, escriba un nombre para la política.
5. Seleccione la casilla de verificación Habilitar.
6. En la sección From, haga clic en Agregar.
La ventana Agregar miembro aparece.
7. En la lista desplegable Tipo de miembro, seleccione IP de host.
8. En el cuadro de texto adyacente, escriba la dirección IP de su servidor SNMP, luego haga clic en
Aceptar.
9. Elimine la entrada Any-Trusted de la lista From.
10. En la sección Para, haga clic en Agregar.
La ventana Agregar miembro aparece.
11. En el cuadro de diálogo Agregar miembro, seleccione Firebox. Haga clic en Aceptar.
12. Elimine la entrada Any-External de la lista To.
13. Haz clic en Guardar.

 Enviar una captura de SNMP para una política

Su dispositivo Firebox o XTM puede enviar una trampa SNMP cuando una política filtra el tráfico. Debe
tener al menos una estación de administración SNMP configurada para habilitar capturas SNMP.
1. Seleccione Firewall > Políticas de firewall.
2. Haz doble clic en una política.
O bien, seleccione una política y haga clic en Editar.
La página de configuración de política aparece.
3. Haga clic en la pestaña Propiedades.
4. En la sección Registro, seleccione la casilla de verificación Enviar trampa SNMP.
5. Haga clic en Guardar.
Acerca de las frases de paso de WatchGuard, las claves de cifrado y las
claves compartidas
Como parte de su solución de seguridad de red, usa frases clave, claves de encriptación y claves compartidas.
Este tema incluye información sobre la mayoría de las frases de contraseña, las claves de cifrado y las claves
compartidas que utiliza para los productos WatchGuard. No incluye información sobre contraseñas o frases
clave de terceros.
La información sobre restricciones para frases de contraseña, claves de cifrado y claves compartidas también
se incluye en los procedimientos relacionados.

 Crear una frase de contraseña segura, clave de cifrado o clave compartida

Para crear una frase de contraseña segura, clave de cifrado o clave compartida, le recomendamos que:

 Utilice una combinación de caracteres ASCII en mayúsculas y minúsculas, números y caracteres


especiales (por ejemplo, Im4e @ tiN9).
 No utilice palabras de diccionarios estándar, incluso si las usa en una secuencia diferente o en un
idioma diferente.
 No use un nombre. Es fácil para un atacante encontrar un nombre comercial, un nombre familiar o el
nombre de una persona famosa.
Como medida de seguridad adicional, le recomendamos que cambie sus frases de contraseña, claves de
cifrado y claves compartidas a intervalos regulares.

 Firebox o XTM device Passphrases

Un dispositivo Firebox o XTM usa dos frases de contraseña:


 Frase de contraseña de estado:
La contraseña de solo lectura o contraseña que permite el acceso al dispositivo Firebox o XTM.
Cuando inicie sesión con esta frase de contraseña, puede revisar su configuración, pero no puede
guardar los cambios en el dispositivo Firebox o XTM. La frase de contraseña de estado está asociada
con el estado del nombre de usuario.

 Frase de contraseña de configuración:


La contraseña de lectura / escritura o frase de contraseña que permite a un administrador el acceso
completo al dispositivo Firebox o XTM. Debe usar esta frase de contraseña para guardar los cambios
de configuración en el dispositivo Firebox o XTM. Esta es también la frase de contraseña que debe
usar para cambiar las frases de contraseña de su dispositivo Firebox o XTM.La frase de contraseña de
configuración está asociada con el nombre de usuario admin.
Cada una de estas contraseñas del dispositivo Firebox o XTM debe tener al menos 8 caracteres.

 User Passphrases

Puede crear nombres de usuario y frases de contraseña para usar con la autenticación de Firebox y la
administración basada en roles.

 Contraseña del usuario para la autenticación de Firebox:


Después de establecer esta frase de contraseña del usuario, los caracteres están enmascarados y no
aparece de nuevo en el texto simple. Si se pierde la frase de contraseña, debe establecer una nueva
frase de contraseña. El rango permitido para esta frase de contraseña es de 8-32 caracteres.
 Contraseña del usuario para la administración basada en roles
Después de establecer esta frase de contraseña del usuario, no aparece de nuevo en el cuadro de
diálogo Propiedades de usuario y grupo. Si se pierde la frase de contraseña, debe establecer una
nueva frase de contraseña. Esta frase de contraseña debe tener al menos 8 caracteres.

 Frases de contraseña del servidor


 Frase de contraseña del administrador:
La frase de contraseña del administrador se utiliza para controlar el acceso al Centro de servidores
WatchGuard. También usa esta frase de contraseña cuando se conecta a su Servidor de
administración desde WatchGuard System Manager (WSM). Esta frase de contraseña debe tener al
menos 8 caracteres. La frase de contraseña del administrador está asociada con el nombre de
usuario admin.
 Servidor de autenticación secreto compartido:
El secreto compartido es la clave que el dispositivo Firebox o XTM y el servidor de autenticación usan
para proteger la información de autenticación que pasa entre ellos. El secreto compartido distingue
entre mayúsculas y minúsculas y debe ser el mismo en el dispositivo Firebox o XTM y en el servidor
de autenticación. Los servidores de autenticación RADIUS, SecurID y VASCO usan una clave
compartida.

 Claves de cifrado y claves compartidas


 Clave de cifrado del servidor de registro:
La clave de cifrado se usa para crear una conexión segura entre el Firebox o el dispositivo XTM y los
servidores de registro, y para evitar los ataques de hombre en el medio. El rango permitido para la
clave de cifrado es de 8-32 caracteres. Puede usar todos los caracteres, excepto espacios y barras
inclinadas (/ o \).
 Copia de seguridad / Restaurar clave de cifrado:
Esta es la clave de cifrado que se crea para encriptar un archivo de respaldo de su configuración de
dispositivo Firebox o XTM. Cuando restaura un archivo de copia de seguridad, debe usar la clave de
encriptación que seleccionó cuando creó el archivo de copia de seguridad de configuración. Si pierde
u olvida esta clave de cifrado, no puede restaurar el archivo de respaldo. La clave de cifrado debe
tener al menos 8 caracteres y no puede tener más de 15 caracteres.

 Clave compartida VPN:


La clave compartida es una frase de contraseña utilizada por dos dispositivos para cifrar y descifrar
los datos que pasan por el túnel. Los dos dispositivos usan la misma frase de contraseña. Si los
dispositivos no tienen la misma frase de contraseña, no pueden cifrar y descifrar los datos
correctamente.

Cambiar las frases de contraseña del dispositivo Firebox o XTM


Un dispositivo Firebox o XTM usa dos frases de contraseña:

 Frase de contraseña de estado:


La contraseña de solo lectura o contraseña que permite el acceso al dispositivo Firebox o XTM.

 Frase de contraseña de configuración:


La contraseña de lectura / escritura o frase de contraseña que permite a un administrador el acceso
completo al dispositivo Firebox o XTM.
Para obtener más información sobre las frases de contraseña, consulte Acerca de las frases de contraseña
de WatchGuard, las claves de cifrado y las claves compartidas en la página 64.
Para cambiar las frases de contraseña:
1. Seleccione Sistema> Frase de contraseña.
Aparece la página Frase de contraseña.

2. Escriba y confirme las nuevas frases de contraseña de estado (solo lectura) y de configuración (lectura /
escritura). La frase de contraseña de estado debe ser diferente de la frase de contraseña de
configuración.
3. Haga clic en Guardar.

Definir la configuración global del dispositivo Firebox o XTM


Desde la interfaz de usuario web de Fireware XTM, puede seleccionar las configuraciones que controlan las
acciones de muchas características del dispositivo Firebox y XTM. Usted establece los parámetros básicos
para:

 Manejo de errores ICMP


 Comprobación TCP SYN
 Ajuste de tamaño máximo de TCP
 Gestión del tráfico y QoS
 Puerto de interfaz de usuario web
Para cambiar la configuración global:
1. Seleccione Sistema > Configuración global.
Aparece el cuadro de diálogo Configuración global.

2. Configure las diferentes categorías de configuraciones globales como se describe en las secciones
siguientes.
3. Haga clic en Guardar.
 Definir la configuración global de manejo de errores ICMP

El Protocolo de mensajes de control de Internet (ICMP) controla los errores en las conexiones. Se usa para
dos tipos de operaciones:
 Informar a los clientes anfitriones sobre las condiciones de error
 Para probar una red para encontrar características generales sobre la red
El dispositivo Firebox o XTM envía un mensaje de error ICMP cada vez que ocurre un evento que coincide
con uno de los parámetros que seleccionó. Estos mensajes son buenas herramientas para usar cuando
resuelve problemas, pero también pueden disminuir la seguridad porque exponen información sobre su
red. Si niega estos mensajes ICMP, puede aumentar la seguridad si evita las pruebas de red, pero esto
también puede causar demoras en el tiempo de espera para las conexiones incompletas, lo que puede
causar problemas en las aplicaciones.
Las configuraciones para el manejo de errores ICMP global son:

 Requerimiento de fragmentación (PMTU):


Seleccione esta casilla de verificación para permitir los mensajes de solicitud de fragmentación de
ICMP. El dispositivo Firebox o XTM usa estos mensajes para encontrar la ruta MTU.
 Tiempo excedido:
Seleccione esta casilla de verificación para permitir mensajes ICMP de Tiempo excedido. Un
enrutador generalmente envía estos mensajes cuando ocurre un bucle de ruta.
 Red inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de red inalcanzable. Un
enrutador normalmente envía estos mensajes cuando un enlace de red está roto.

 Host inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de Host inalcanzable. Su red
generalmente envía estos mensajes cuando no puede usar un host o servicio.
 Puerto inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de Puerto inalcanzable. Un
servidor o firewall generalmente envía estos mensajes cuando un servicio de red no está disponible
o no está permitido.
 Protocolo inalcanzable:
Seleccione esta casilla de verificación para permitir los mensajes ICMP de protocolo inalcanzable.
Para anular esta configuración ICMP global para una política específica, desde la IU web de Fireware XTM:
1. Seleccione Firewall > Políticas de firewall.
2. Haga doble clic en la política para editarla.
La página de configuración de política aparece.
3. Seleccione la pestaña Avanzado.
3. Seleccione la casilla de verificación Utilizar manejo de errores ICMP basado en políticas.
4. Seleccione la casilla de verificación solo para la configuración que desea habilitar.
5. Haga clic en Guardar.
 Habilitar comprobación SYN de TCP

La comprobación de TCP SYN asegura que el handshake de tres vías TCP se completa antes de que el
dispositivo Firebox o XTM permita una conexión de datos.

 Definir la configuración global de ajuste de tamaño de segmento máximo de TCP

El segmento TCP se puede establecer en un tamaño específico para una conexión que debe tener más
sobrecarga de nivel 3 de TCP / IP (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configurado
correctamente, los usuarios no pueden obtener acceso a algunos sitios web. La configuración de ajuste
de tamaño de segmento máximo de TCP global es:

 Ajuste automático:
El dispositivo Firebox o XTM examina todas las negociaciones de tamaño de segmento máximo (MSS)
y cambia el valor de MSS por el aplicable.

 Sin ajuste:
El dispositivo Firebox o XTM no cambia el valor del MSS.
 Limitado a:
Establece un límite de ajuste de tamaño.

 Habilitar o deshabilitar Traffic Management y QoS

Para pruebas de rendimiento o depuración de red, puede desactivar las características de gestión del
tráfico y QoS.

 Para habilitar estas características:


Seleccione la casilla de verificación Habilitar todas las funciones de gestión del tráfico y
características de calidad del servicio.
 Para deshabilitar estas características:
Desactive la casilla de verificación Habilitar todas las funciones de gestión del tráfico y características
de calidad del servicio.

 Cambiar el puerto de IU web

De manera predeterminada, Fireware XTM Web UI usa el puerto 8080.


Para cambiar este puerto:
1. En el cuadro de texto Puerto de interfaz de usuario web, escriba o seleccione un número de puerto
diferente.
2. Utilice el nuevo puerto para conectarse a la interfaz de usuario web de Fireware XTM y pruebe la
conexión con el nuevo puerto.

 Reinicio automático

Puede programar su dispositivo Firebox o XTM para que se reinicie automáticamente el día y la hora que
especifique.
Para programar un reinicio automático para su dispositivo:
1. Seleccione la casilla Programar la hora para reiniciar.
2. En la lista desplegable adyacente, seleccione Diario para reiniciar a la misma hora todos los días, o
seleccione un día de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, escriba o seleccione la hora y los minutos del día (en formato de 24
horas) que desea que comience el reinicio.

 Consola externa

Esta opción solo está disponible para dispositivos y configuraciones de Firebox X Edge. Seleccione esta
casilla de verificación para usar el puerto serie para las conexiones de la consola, como Fireware XTM CLI
(interfaz de línea de comando). No puede usar el puerto serie para la migración tras error del módem
cuando esta opción está seleccionada, y debe reiniciar el dispositivo para cambiar esta configuración.

Acerca de los servidores WatchGuard


Cuando instala el software WatchGuard System Manager, puede elegir instalar uno o más de los servidores
WatchGuard. También puede ejecutar el programa de instalación y seleccionar instalar solo uno o más de los
servidores, sin WatchGuard System Manager. Cuando instala un servidor, el programa WatchGuard Server
Center se instala automáticamente. WatchGuard Server Center es una aplicación única que puede usar para
configurar, realizar copias de seguridad y restaurar todos sus servidores WatchGuard System Manager.
Cuando utiliza la interfaz de usuario web de Fireware XTM para administrar sus dispositivos Firebox o XTM,
también puede optar por utilizar los servidores WatchGuard y WatchGuard Server Center. Para obtener más
información sobre el Administrador del sistema WatchGuard, los servidores WatchGuard y el Centro del
servidor WatchGuard, consulte la Ayuda de FireWare XTM WatchGuard System Manager v11.x y la Guía del
usuario de Fireware XTM WatchGuard System Manager v11.x.
Los cinco servidores WatchGuard son:
 Servidor de gestión
 Servidor de registro
 Servidor de informes
 Servidor de cuarentena
 Servidor WebBlocker
Para obtener más información sobre WatchGuard System Manager y los servidores WatchGuard, consulte la
Guía de usuario de FireWare XTM WatchGuard System Manager v11.x o v11.x.
Cada servidor tiene una función específica:

 Servidor de administración:
El servidor de administración opera en un ordenador con Windows. Con este servidor, puede administrar
todos los dispositivos de firewall y crear túneles de red privada virtual (VPN) con una simple función de
arrastrar y soltar. Las funciones básicas de Management Server son:
o Autoridad de certificación para distribuir certificados para túneles de seguridad de protocolo de
Internet (IPSec)
o Gestión de configuración de túnel VPN
o Gestión para múltiples dispositivos Firebox o XTM
Para obtener más información sobre el Servidor de administración, consulte Acerca del servidor de
administración de WatchGuard la Guía de usuario de FireWare XTM WatchGuard System Manager v11.x
o v11.x.

 Servidor de registro:
El servidor de registro recoge los mensajes de registro de cada dispositivo Firebox y XTM y los almacena
en una base de datos PostgreSQL. Los mensajes de registro se cifran cuando se envían al servidor de
registro. El formato del mensaje de registro es XML (texto sin formato). Los tipos de mensajes de registro
que recopila el servidor de registro incluyen mensajes de registro de tráfico, mensajes de registro de
eventos, alarmas y mensajes de diagnóstico.
Para obtener más información acerca de Servidores de registro, consulte la Guía de usuario de Fireware
XTM WatchGuard System Manager v11.x o v11.x.
 Servidor de informes:
El servidor de informes consolida periódicamente los datos recopilados por sus servidores de registro
desde sus dispositivos Firebox y XTM, y los almacena en una base de datos PostgreSQL. El servidor de
informes luego genera los informes que especifique. Cuando los datos están en el Servidor de informes,
puede revisarlos con el Administrador de informes o la IU web de informes.
Para obtener más información acerca de cómo usar la IU web de informes, consulte la Ayuda de IU web
de informes.
Para obtener más información sobre el Servidor de informes, consulte la Guía de usuario de FireWare
XTM WatchGuard System Manager v11.x o v11.x.
 Servidor de cuarentena:
El servidor de cuarentena recopila y aísla los mensajes de correo electrónico que el bloqueador de spam
identifica como posible correo no deseado.
Para obtener más información sobre el servidor de cuarentena, consulte Acerca del servidor de
cuarentena en la página 613.
 Servidor WebBlocker:
El servidor WebBlocker funciona con el proxy HTTP para denegar el acceso del usuario a categorías
específicas de sitios web. Cuando configura un dispositivo Firebox o XTM, configura las categorías de
sitios web que desea permitir o bloquear.
Para obtener más información sobre WebBlocker y el servidor WebBlocker, consulte Acerca de
WebBlocker en la página 555.

Administre un dispositivo Firebox o XTM desde una ubicación remota


Cuando configura un dispositivo Firebox o XTM con el Asistente de configuración rápida, se crea
automáticamente una política llamada la política WatchGuard. Esta política le permite conectarse y
administrar el dispositivo Firebox o XTM desde cualquier ordenador en las redes confiables u opcionales. Si
desea administrar el dispositivo Firebox o XTM desde una ubicación remota (cualquier ubicación externa al
dispositivo Firebox o XTM), debe modificar la política WatchGuard para permitir las conexiones
administrativas desde la dirección IP de su ubicación remota.
La política WatchGuard controla el acceso al dispositivo Firebox o XTM en estos cuatro puertos TCP: 4103,
4105, 4117, 4118. Cuando permite conexiones en la política WatchGuard, permite conexiones a cada uno de
estos cuatro puertos.
Antes de modificar la política de WatchGuard, le recomendamos que considere la posibilidad de conectarse al
dispositivo Firebox o XTM con una VPN. Esto aumenta la seguridad de la conexión. Si esto no es posible, le
recomendamos que permita el acceso desde la red externa solo a ciertos usuarios autorizados y al menor
número posible de ordenadores. Por ejemplo, su configuración es más segura si permite conexiones desde un
solo ordenador en lugar de desde el alias "Cualquiera-Externo".
1. Seleccione Firewall > Políticas de firewall.
2. Haga doble clic en la política de WatchGuard.
O bien, haga clic en la política de WatchGuard y seleccione Editar.
La página de configuración de política aparece.
3. En la sección From, haga clic en Agregar.
Aparecerá el cuadro de diálogo Agregar miembro.
4. Agregue la dirección IP del ordenador externo que se conecta al dispositivo Firebox o XTM: en la lista
desplegable Tipo de miembro, seleccione IP de host y haga clic en Aceptar. Escriba la dirección IP.
5. Para dar acceso a un usuario autorizado desde la lista desplegable Tipo de miembro, seleccione Alias.
Para obtener información acerca de cómo crear un alias, vea Crear un alias en la página 258.
Configure un dispositivo Firebox o XTM como un dispositivo administrado
Si su dispositivo Firebox o XTM tiene una dirección IP dinámica, o si el Servidor de administración no puede
conectarse a él por algún otro motivo, puede configurar el dispositivo Firebox o XTM como dispositivo
administrado antes de agregarlo al Servidor de administración.

 Edite la política de WatchGuard

1. Seleccione Firewall > Políticas de firewall.


Aparece la página de políticas de firewall.
2. Haga doble clic en la política de WatchGuard para abrirla.
Aparece la página Configuración de política para la política WatchGuard.

3. En la lista desplegable Conexiones, asegúrese de que esté seleccionado Permitido.


4. En la sección From, haga clic en Agregar.
Aparecerá el cuadro de diálogo Agregar miembro.
5. En la lista desplegable Tipo de miembro, seleccione IP de host.
6. En el cuadro de texto adyacente, escriba la dirección IP de la interfaz externa de Firebox de la puerta de
enlace.
Si no tiene un Firebox de puerta de enlace que proteja el Servidor de administración de Internet, escriba
la dirección IP estática de su Servidor de administración.
7. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar miembro.
8. Asegúrese de que la sección Para incluye una entrada de Firebox o Cualquiera.
9. Haz clic en Guardar.
Ahora puede agregar el dispositivo a la configuración de su servidor de administración. Cuando agrega
este dispositivo Firebox o XTM a la configuración del servidor de administración, el servidor de gestión se
conecta automáticamente a la dirección IP estática y configura el dispositivo Firebox o XTM como un
dispositivo administrado.

 Configurar el dispositivo administrado

(Opcional) Si su dispositivo Firebox o XTM tiene una dirección IP dinámica o si el Servidor de


administración no puede encontrar la dirección IP del dispositivo Firebox o XTM por algún motivo, puede
usar este procedimiento para preparar su dispositivo Firebox o XTM para que se administre por el
servidor de administración.
1. Seleccione Sistema > Dispositivo administrado.
Aparece la página Dispositivo administrado.

2. Para configurar un dispositivo Firebox o XTM como dispositivo administrado, seleccione la casilla de
verificación Administración centralizada.
3. En el cuadro de texto Nombre del dispositivo administrado, escriba el nombre que desea darle al
dispositivo Firebox o XTM cuando lo agregue a la configuración del Servidor de administración.
Este nombre distingue entre mayúsculas y minúsculas y debe coincidir con el nombre que usa cuando
agrega el dispositivo a la configuración del servidor de administración.
4. En la lista Direcciones IP del servidor de gestión, seleccione la dirección IP del servidor de gestión si
tiene una dirección IP pública.
O bien, seleccione la dirección IP pública de la puerta de enlace Firebox para el servidor de
administración.
5. Para agregar una dirección, haga clic en Agregar.
El dispositivo Firebox o XTM que protege el servidor de gestión supervisa automáticamente todos los
puertos utilizados por el servidor de gestión y reenvía cualquier conexión en estos puertos al servidor de
gestión configurado. Cuando utiliza el Asistente de configuración del servidor de administración, el
asistente agrega una política de servidor WGMgmt a su configuración para manejar estas conexiones. Si
no usó el Asistente de configuración del servidor de administración en el Servidor de administración, o si
omitió el paso de Firebox de puerta de enlace en el asistente, debe agregar manualmente la política del
Servidor WG-Mgmt a la configuración de Firebox de su puerta de enlace.
6. En los campos Shared Secret y Confirm, escriba el secreto compartido.
El secreto compartido que escriba aquí debe coincidir con el secreto compartido que escriba cuando
agregue el dispositivo Firebox o XTM a la configuración del servidor de administración.
7. Copie el texto del archivo de certificado de CA de su servidor de gestión y péguelo en el cuadro de
texto Certificado de servidor de gestión.
8. Haga clic en Guardar.
Cuando guarda la configuración en el dispositivo Firebox o XTM, el dispositivo Firebox o XTM se habilita
como dispositivo administrado. El dispositivo Firebox o XTM gestionado intenta conectarse a la dirección
IP del servidor de gestión en el puerto TCP 4110. Las conexiones de gestión están permitidas desde el
servidor de gestión a este dispositivo gestionado Firebox o XTM.
Ahora puede agregar el dispositivo a la configuración de su servidor de administración. Para obtener más
información, consulte la Ayuda o la Guía del usuario de WatchGuard System Manager.
También puede usar WSM para configurar el modo de administración para su dispositivo. Para obtener
más información, consulte la Ayuda o la Guía del usuario de WatchGuard System Manager.

Actualice a una nueva versión de Fireware XTM


Periódicamente, WatchGuard hace que las nuevas versiones del software Fireware XTM estén disponibles
para los usuarios de los dispositivos Firebox o XTM con suscripciones activas de LiveSecurity. Para actualizar de
una versión de Fireware XTM a una nueva versión de Fireware XTM, use los procedimientos en las secciones
siguientes.

 Instale la actualización en su computadora de administración

1. Descargue el software Fireware XTM actualizado de la sección Descargas de software del sitio web
WatchGuard en http://www.watchguard.com.
2. Inicie el archivo que descargó del sitio web de LiveSecurity y utilice el procedimiento en pantalla para
instalar el archivo de actualización de Fireware XTM en el directorio de instalación de WatchGuard en su
ordenador de administración.
Por defecto, el archivo está instalado en una carpeta en:
C:\Archivos de programa\Archivos comunes\WatchGuard\resources\FirewareXTM\11.0

 Actualice el dispositivo Firebox o XTM

1. Seleccione Sistema > Imagen de copia de seguridad para guardar una imagen de copia de seguridad de
su dispositivo Firebox o XTM.
Para obtener más información, consulte Realizar una copia de seguridad de la imagen del dispositivo
Firebox o XTM en la página 41.
2. Seleccione Sistema > Actualizar sistema operativo.
3. Escriba el nombre de archivo o haga clic en Examinar para seleccionar el archivo de actualización del
directorio donde está instalado.
El nombre del archivo termina con .sysa_dl.
4. Haga clic en Actualizar.
El procedimiento de actualización puede tardar hasta 15 minutos y reinicia automáticamente el
dispositivo Firebox o XTM.
Si su dispositivo Firebox o XTM ha estado en funcionamiento durante algún tiempo antes de la
actualización, es posible que deba reiniciar el dispositivo antes de comenzar la actualización para borrar
la memoria temporal.

Descargue el archivo de configuración


Desde Fireware XTM Web UI, puede descargar la configuración de su dispositivo Firebox o XTM en un archivo
comprimido. Esto puede ser útil si desea abrir el mismo archivo de configuración en Fireware XTM Policy
Administrador, pero no pueden conectarse al dispositivo desde Policy Manager. Esto también puede ser útil si
desea enviar su archivo de configuración a un representante de soporte técnico de WatchGuard.
1. Seleccione Sistema> Configuración.
Aparece la página de descarga del archivo de configuración.
2. Haga clic en Descargar el archivo de configuración.
Aparece el cuadro de diálogo Seleccionar ubicación para descargar.
3. Seleccione una ubicación para guardar el archivo de configuración.
El archivo de configuración se guarda en un formato de archivo comprimido (.gz). Antes de poder usar este
archivo con el Administrador de políticas de Fireware XTM, debe extraer el archivo comprimido en una
carpeta en su ordenador.
Para obtener más información sobre Policy Manager, consulte la Ayuda de WatchGuard System Manager.

Acerca de las opciones de actualización


Puede agregar actualizaciones a su dispositivo Firebox o XTM para habilitar servicios de suscripción
adicionales, características y capacidad.
Para obtener una lista de opciones de actualización disponibles, consulte
www.watchguard.com/products/options.asp.

 Actualizaciones de los servicios de suscripción


 WebBlocker:
La actualización de WebBlocker le permite controlar el acceso al contenido web.
Para obtener más información, consulte Acerca de WebBlocker en la página 555.
 SpamBlocker:
La actualización de spamBlocker le permite filtrar el spam y el correo electrónico masivo.
Para obtener más información, consulte Acerca de spamBlocker en la página 569.
 Gateway AV/IPS:
La actualización de Gateway AV/IPS le permite bloquear virus y prevenir intentos de intrusión por
parte de hackers.
Para obtener más información, consulte Acerca de Gateway AntiVirus y Prevención de intrusos en la
página 593.
 Actualizaciones de dispositivos y software
 Pro:
La actualización Pro a Fireware XTM proporciona varias funciones avanzadas para clientes
experimentados, como el equilibrio de carga del servidor y túneles SSL VPN adicionales. Las
funciones disponibles con una actualización Pro dependen del tipo y modelo de su dispositivo
Firebox o XTM.
Para obtener más información, consulte Fireware XTM con una actualización Pro en la página 15.
 Actualizaciones del modelo:
Para algunos modelos de dispositivos Firebox o XTM, puede comprar una clave de licencia para
actualizar el dispositivo a un modelo superior en la misma familia de productos. Una actualización de
modelo le da a su Firebox o dispositivo XTM las mismas funciones que un modelo superior.
Para comparar las características y capacidades de diferentes modelos de dispositivos Firebox o
XTM, vaya a http://www.watchguard.com/products/compare.asp.

 Cómo aplicar una actualización

Cuando compra una actualización, registra la actualización en el sitio web de WatchGuard LiveSecurity.
Luego descarga una clave de función que habilita la actualización en su dispositivo Firebox o XTM.
Para obtener información sobre las claves de función, consulte Acerca de las claves de función en la
página 51.

6. Configuración de la red
Acerca de la configuración de interfaz de red
Un componente principal de la configuración de su dispositivo Firebox o XTM es la configuración de las
direcciones IP de la interfaz de red. Cuando ejecuta el Asistente de configuración rápida, las interfaces
externas y de confianza se configuran para que el tráfico pueda fluir de dispositivos protegidos a una red
externa. Puede usar los procedimientos en esta sección para cambiar la configuración después de ejecutar el
Asistente de configuración rápida o agregar otros componentes de su red a la configuración. Por ejemplo,
puede configurar una interfaz opcional para servidores públicos, como un servidor web.

Su dispositivo Firebox o XTM separa físicamente las redes en su red de área local (LAN) de las de una red de
área amplia (WAN) como Internet. Su dispositivo usa el enrutamiento para enviar paquetes desde redes que
protege a redes externas a su organización. Para hacer esto, su dispositivo debe saber qué redes están
conectadas en cada interfaz.

Le recomendamos que registre información básica sobre su red y configuración de VPN en caso de que
necesite ponerse en contacto con el soporte técnico. Esta información puede ayudar a su técnico a resolver su
problema rápidamente.

 Modos de red

Su dispositivo Firebox o XTM admite varios modos de red:

 Modo de enrutamiento mixto:

En el modo de enrutamiento mixto, puede configurar su dispositivo Firebox o XTM para enviar
tráfico de red entre una amplia variedad de interfaces de redes físicas y virtuales.
Este es el modo de red predeterminado, y este modo ofrece la mayor cantidad de flexibilidad para
diferentes configuraciones de red.

Sin embargo, debe configurar cada interfaz por separado, y es posible que tenga que cambiar la
configuración de red para cada ordenador o cliente protegido por su dispositivo Firebox o XTM. El
dispositivo Firebox o XTM utiliza la Traducción de direcciones de red (NAT) para enviar información
entre las interfaces de red.

Para obtener más información, consulte Acerca de la traducción de direcciones de red en la página
139.

Los requisitos para un modo de enrutamiento mixto son:

 Todas las interfaces del dispositivo Firebox o XTM deben configurarse en diferentes subredes. La
configuración mínima incluye las interfaces externas y confiables. También puede configurar
una o más interfaces opcionales.
 Todos los ordenadores conectados a las interfaces confiables y opcionales deben tener una
dirección IP de esa red.

 Modo Drop-in:

En una configuración de acceso directo, su dispositivo Firebox o XTM está configurado con la misma
dirección IP en todas las interfaces. Puede colocar su dispositivo Firebox o XTM entre el enrutador y
la LAN y no tener que cambiar la configuración de ningún ordenador local. Esta configuración se
conoce como drop-in porque su dispositivo Firebox o XTM se coloca en una red existente. Algunas
funciones de red, como puentes y VLAN (redes de área local virtuales), no están disponibles en este
modo.

Para la configuración drop-in, debe:

 Asignar una dirección IP externa estática al dispositivo Firebox o XTM.


 Usar una red lógica para todas las interfaces.
 No configurar multi-WAN en modo Round-robin o Failover.

Para obtener más información, vea Modo Drop-in en la página 91.

 Modo Puente:

El modo puente es una función que le permite colocar su dispositivo Firebox o XTM entre una red
existente y su puerta de enlace para filtrar o administrar el tráfico de la red. Cuando habilita esta
función, su dispositivo Firebox o XTM procesa y reenvía todo el tráfico de red entrante a la dirección
IP de la puerta de enlace que especifique. Cuando el tráfico llega a la puerta de enlace, parece que se
envió desde el dispositivo original. En esta configuración, su dispositivo Firebox o XTM no puede
realizar varias funciones que requieren una dirección IP pública y única. Por ejemplo, no puede
configurar un dispositivo Firebox o XTM en modo puente para que actúe como un punto final para
una VPN (red privada virtual).

Para obtener más información, vea Modo Puente en la página 96.

 Tipos de interfaz

Utiliza tres tipos de interfaz para configurar su red en el modo de enrutamiento mixto o drop-in:

 Interfaces externas:

Se usa una interfaz externa para conectar su dispositivo Firebox o XTM a una red fuera de su
organización. A menudo, una interfaz externa es el método por el cual conecta su dispositivo Firebox
o XTM a Internet. Puede configurar un máximo de cuatro interfaces físicas externas.
Cuando configura una interfaz externa, debe elegir el método que utiliza su proveedor de servicios
de Internet (ISP) para proporcionarle una dirección IP para su dispositivo Firebox o XTM. Si no
conoce el método, obtenga esta información de su ISP o administrador de red.

 Interfaces de confianza:

Las interfaces de confianza se conectan a la LAN privada (red de área local) o a la red interna de su
organización. Una interfaz de confianza generalmente proporciona conexiones para los empleados y
recursos internos seguros.

 Interfaces opcionales:

Las interfaces opcionales son entornos de confianza mixta o DMZ que están separados de su red de
confianza. Ejemplos de ordenadores que a menudo se encuentran en una interfaz opcional son
servidores web públicos, servidores FTP y servidores de correo.

Para obtener más información sobre los tipos de interfaz, consulte Configuración de interfaz común en la
página 98.

Si tiene un Firebox X Edge, puede usar la interfaz de usuario web de Fireware XTM para configurar el
failover con un módem externo sobre el puerto serie.

Para obtener más información, consulte Conmutación por falla de módems en serie en la página 131.

Cuando configura las interfaces en su dispositivo Firebox o XTM, debe usar la notación de barra para
indicar la máscara de subred. Por ejemplo, debe ingresar el rango de red 192.168.0.0 máscara de subred
255.255.255.0 como 192.168.0.0/24. Una interfaz de confianza con la dirección IP de 10.0.1.1/16 tiene
una máscara de subred de 255.255.0.0.

Para obtener más información sobre la notación de barra, consulte Acerca de la notación de barra en la
página 3.

 Acerca de las interfaces de red en Edge e-Series

Cuando utiliza Fireware XTM en una Firebox X Edge e-Series, los números de interfaz de red que aparecen
en la interfaz de usuario web de Fireware XTM no coinciden con las etiquetas de interfaz de red que
aparecen debajo de las interfaces físicas en el dispositivo. Use la tabla siguiente para comprender cómo
los números de interfaz en la interfaz de usuario web se asignan a las interfaces físicas en el dispositivo.

Número de interfaz en Fireware XTM Etiqueta de interfaz en el hardware Firebox X Edge e-Series
0 WAN 1
1 LAN 0, LAN 1, LAN 2
2 WAN 2
3 Opt

Puede considerar las interfaces etiquetadas LAN 0, LAN 1 y LAN 2 como un concentrador de red de tres
interfaces que está conectado a una sola interfaz de Firebox. En Fireware XTM, configura estas interfaces
juntas como Interfaz 1.

Modo de enrutamiento mixto


En el modo de enrutamiento mixto, puede configurar su dispositivo Firebox o XTM para enviar tráfico de red
entre muchos tipos diferentes de interfaces de red físicas y virtuales. El modo de enrutamiento mixto es el
modo de red predeterminado. Si bien la mayoría de las funciones de red y seguridad están disponibles en este
modo, debe verificar cuidadosamente la configuración de cada dispositivo conectado a su dispositivo Firebox
o XTM para asegurarse de que su red funcione correctamente.
Una configuración de red básica en el modo de enrutamiento mixto utiliza al menos dos interfaces. Por
ejemplo, puede conectar una interfaz externa a un módem por cable u otra conexión a Internet, y una interfaz
confiable a un enrutador interno que conecta a los miembros internos de su organización. A partir de esa
configuración básica, puede agregar una red opcional que proteja los servidores, pero que permita un mayor
acceso desde redes externas, configure VLAN y otras funciones avanzadas, o establezca opciones adicionales
de seguridad, como restricciones de direcciones MAC. También puede definir cómo se envía el tráfico de red
entre las interfaces.

Para comenzar con la configuración de la interfaz en el modo de enrutamiento mixto, consulte Configuración
de la interfaz común en la página 98.

Es fácil olvidar las direcciones IP y los puntos de conexión en su red en el modo de enrutamiento mixto,
especialmente si usa VLAN (redes de área local virtuales), redes secundarias y otras funciones avanzadas. Le
recomendamos que registre información básica sobre su red y configuración de VPN en caso de que necesite
ponerse en contacto con el soporte técnico. Esta información puede ayudar a su técnico a resolver su
problema rápidamente.

 Configurar una interfaz externa

Se usa una interfaz externa para conectar su dispositivo Firebox o XTM a una red fuera de su
organización. A menudo, una interfaz externa es el método por el cual conecta su dispositivo a Internet.
Puede configurar un máximo de cuatro interfaces físicas externas.

Cuando configura una interfaz externa, debe elegir el método que utiliza su proveedor de servicios de
Internet (ISP) para darle una dirección IP para su dispositivo. Si no conoce el método, obtenga esta
información de su ISP o administrador de red.

Para obtener información sobre los métodos utilizados para establecer y distribuir direcciones IP,
consulte Direcciones IP estáticas y dinámicas en la página 4.

 Use una dirección IP estática

1. Seleccione Red > Interfaces.

Aparece la página Interfaces de red.

2. Seleccione una interfaz externa. Haga clic en Configurar.

3. En la lista desplegable Modo de configuración, seleccione IP estático.

4. En el cuadro de texto Dirección IP, escriba la dirección IP de la interfaz.

5. En el cuadro de texto Puerta de enlace predeterminada, escriba la dirección IP de la puerta de


enlace predeterminada.

6. Haga clic en Guardar.


 Use la autenticación PPPoE

Si su ISP usa PPPoE, debe configurar la autenticación PPPoE antes de que su dispositivo pueda enviar
tráfico a través de la interfaz externa.

1. Seleccione Red > Interfaces.

Aparece la página Interfaces de red.

2. Seleccione una interfaz externa. Haga clic en Configurar.

3. En la lista desplegable Modo de configuración, seleccione PPPoE.

4. Seleccione una opción:

 Obtener una dirección IP automáticamente


 Utilice esta dirección IP (proporcionada por su proveedor de servicios de Internet)

5. Si seleccionó Usar esta dirección IP, en el cuadro de texto adyacente, escriba la dirección IP.

6. Escriba el nombre de usuario y la contraseña. Escriba la contraseña nuevamente.

Los ISP usan el formato de la dirección de correo electrónico para los nombres de usuario, como
user@example.com.

7. Haga clic en Configuración de PPPoE avanzada para configurar opciones PPPoE adicionales.

Su ISP puede decirle si debe cambiar los valores de tiempo de espera o LCP.
8. Si su ISP requiere la etiqueta Host-Uniq para los paquetes de descubrimiento PPPoE, seleccione la
casilla de verificación Usar etiqueta de host-Uniq en paquetes de descubrimiento PPPoE.

9. Seleccione cuando el dispositivo se conecta al servidor PPPoE:

 Always-on: el dispositivo Firebox o XTM mantiene una conexión PPPoE constante. No es


necesario que el tráfico de red pase por la interfaz externa.

Si selecciona esta opción, escriba o seleccione un valor en el cuadro de texto Intervalo de


reintento de inicialización PPPoE para establecer el número de segundos que PPPoE
intentará inicializar antes de que se agote el tiempo.

 Dial-on-Demand: el dispositivo Firebox o XTM se conecta al servidor PPPoE solo cuando


recibe una solicitud para enviar tráfico a una dirección IP en la interfaz externa. Si su ISP
regularmente restablece la conexión, seleccione esta opción.

Si selecciona esta opción, en el cuadro de texto Tiempo de inactividad, establezca el período


de tiempo que un cliente puede permanecer conectado cuando no se envía tráfico. Si no
selecciona esta opción, debe reiniciar manualmente el dispositivo Firebox o XTM cada vez
que se restablezca la conexión.

10. En la falla de eco LCP en el cuadro de texto, escriba o seleccione la cantidad de solicitudes de eco
LCP fallidas permitidas antes de que la conexión PPPoE se considere inactiva y cerrada.

11. En el tiempo de espera de eco de LCP en el cuadro de texto, escriba o seleccione el período de
tiempo, en segundos, que debe recibirse la respuesta a cada tiempo de espera de eco.

12. Para configurar el Firebox o el dispositivo XTM para reiniciar automáticamente la conexión PPPoE
diaria o semanalmente, seleccione la casilla de verificación Programar la hora para el reinicio
automático.

13. En la lista desplegable Hora programada para el reinicio automático, seleccione Diariamente para
reiniciar la conexión a la misma hora todos los días, o seleccione un día de la semana para reiniciar
semanalmente. Seleccione la hora y los minutos del día (en formato de 24 horas) para reiniciar
automáticamente la conexión PPPoE.

14. En el cuadro de texto Nombre del servicio, escriba un nombre de servicio PPPoE.

Este es un nombre de ISP o una clase de servicio que se configura en el servidor PPPoE. Por lo
general, esta opción no se usa. Selecciónelo solo si hay más de un concentrador de acceso o si sabe
que debe usar un nombre de servicio específico.

15. En el cuadro de texto Nombre del concentrador de acceso, escriba el nombre de un concentrador
de acceso PPPoE, también conocido como servidor PPPoE. Por lo general, esta opción no se usa.
Selecciónelo solo si sabe que hay más de un concentrador de acceso.

16. En el cuadro de texto Reintentos de autenticación, escriba o seleccione la cantidad de veces que
el dispositivo Firebox o XTM puede intentar establecer una conexión.

El valor predeterminado es tres intentos de conexión.

17. En el cuadro de texto Tiempo de espera de autenticación, escriba un valor para la cantidad de
tiempo entre reintentos.

El valor predeterminado es 20 segundos entre cada intento de conexión.

18. Haga clic en Volver a la configuración PPPoE principal.

19. Guarde su configuración.


 Use DHCP

1. En la lista desplegable Modo de configuración, seleccione DHCP.

2. Si su ISP o servidor DHCP externo requiere un identificador de cliente, como una dirección MAC,
en el cuadro de texto del Cliente, escriba esta información.

3. Para especificar un nombre de host para identificación, escríbalo en el cuadro de texto Nombre de
host.

4. Para asignar manualmente una dirección IP a la interfaz externa, escríbala en el cuadro de texto
Usar esta dirección IP.

Para configurar esta interfaz para obtener una dirección IP automáticamente, borre este el cuadro
de texto Usar esta dirección IP.

5. Para cambiar el tiempo de arrendamiento, seleccione la casilla de verificación Tiempo de


arrendamiento y seleccione el valor que desea de la lista desplegable adyacente.

Las direcciones IP asignadas por un servidor DHCP tienen un arrendamiento de un día por defecto;
cada dirección es válida por un día.

 Configurar DHCP en modo de enrutamiento mixto

DHCP (Protocolo de configuración dinámica de host) es un método para asignar direcciones IP


automáticamente a clientes de red. Puede configurar su dispositivo Firebox o XTM como un servidor
DHCP para las redes que protege. Si tiene un servidor DHCP, le recomendamos que continúe usando ese
servidor para DHCP.

Si su dispositivo Firebox o XTM está configurado en modo desplegable, consulte Configurar DHCP en el
modo de inserción en la página 93.

Nota: No puede configurar DHCP en ninguna interfaz para la que FireCluster esté habilitado.

 Configurar DHCP

1. Seleccione Red > Interfaces.

2. Seleccione una interfaz de confianza o una opcional. Haga clic en Configurar.


3. En la lista desplegable Modo de configuración, seleccione Usar servidor DHCP.
4. Para agregar un grupo de direcciones IP para asignar a los usuarios en esta interfaz, escriba una
Dirección IP inicial y una Dirección IP final desde la misma subred, luego haga clic en Agregar.

El grupo de direcciones debe pertenecer a la subred IP primaria o secundaria de la interfaz.

Puede configurar un máximo de seis rangos de direcciones. Los grupos de direcciones se utilizan de
principio a fin. Las direcciones de cada grupo se asignan por número, de menor a mayor.

5. Para cambiar el tiempo de alquiler predeterminado, seleccione una opción diferente en la lista
desplegable Tiempo de arrendamiento.

Este es el intervalo de tiempo que un cliente DHCP puede usar una dirección IP que recibe del
servidor DHCP. Cuando el tiempo de arrendamiento está a punto de expirar, el cliente envía datos al
servidor DHCP para obtener una nueva concesión.

6. De forma predeterminada, cuando está configurado como servidor DHCP, su dispositivo Firebox o
XTM proporciona la información del servidor DNS y WINS configurada en la pestaña Configuración de
red> WINS / DNS. Para especificar información diferente para que su dispositivo asigne cuando da
direcciones IP, haga clic en la pestaña DNS / WINS.

 Escriba un nombre de dominio para cambiar el dominio DNS predeterminado.


 Para crear una nueva entrada de servidor DNS o WINS, haga clic en Agregar adyacente al tipo de
servidor que desee, escriba una dirección IP y haga clic en Aceptar.
 Para cambiar la dirección IP del servidor seleccionado, haga clic en Editar.
 Para eliminar el servidor seleccionado de la lista adyacente, haga clic en Eliminar.

 Configurar reservas DHCP

Para reservar una dirección IP específica para un cliente:

1. Escriba un nombre para la reserva, la dirección IP que desea reservar y la dirección MAC de la
tarjeta de red del cliente.

2. Haga clic en Agregar.

 Acerca del servicio de DNS dinámico

Puede registrar la dirección IP externa de su dispositivo Firebox o XTM con el servicio dinámico del
Sistema de nombres de dominio (DNS) DynDNS.org. Un servicio DNS dinámico se asegura de que la
dirección IP adjunta a su nombre de dominio cambie cuando su ISP le proporcione a su dispositivo una
nueva dirección IP. Esta función está disponible en el modo de configuración de red de enrutamiento
mixto o de acceso directo.

Si usa esta característica, su dispositivo Firebox o XTM obtiene la dirección IP de members.dyndns.org


cuando se inicia. Se asegura de que la dirección IP sea correcta cada vez que se reinicia y con un intervalo
de cada veinte días. Si realiza cambios en la configuración de su DynDNS en su dispositivo Firebox o XTM,
o si cambia la dirección IP de la puerta de enlace predeterminada, actualiza DynDNS.com
inmediatamente.

Para obtener más información sobre el servicio DNS dinámico o para crear una cuenta DynDNS, vaya a

http://www.dyndns.com.

Nota: WatchGuard no está afiliado a DynDNS.com.


 Configurar DNS dinámico

1. Seleccione Red > DNS dinámico.

Aparece la página del cliente de DNS dinámico.

2. Seleccione una interfaz de red, luego haga clic en Configurar.

La página de configuración de DNS dinámico aparece.

3. Seleccione la casilla de verificación Habilitar DNS dinámico.

4. Escriba el nombre de usuario y la contraseña.

5. En el cuadro de texto Confirmar, escriba la contraseña nuevamente.

6. En el cuadro de texto Dominio, escriba el dominio de su organización.

7. En la lista desplegable Tipo de servicio, seleccione el sistema para usar para DNS dinámico:

 dyndns: envía actualizaciones para un nombre de host de DNS dinámico. Utilice la opción dyndns
cuando no tenga control sobre su dirección IP (por ejemplo, no es estático, y cambia regularmente).
 personalizado: envía actualizaciones para un nombre de host DNS personalizado. Esta opción es
utilizada con frecuencia por las empresas que pagan para registrar su dominio con dyndns.com.

Para obtener una explicación de cada opción, consulte http://www.dyndns.com/services/.

8. En el cuadro de texto Opciones, escriba una o más de estas opciones:

 mx = mailexchanger & - Especifica un intercambiador de correo (MX) para usar con el nombre de
host.
 backmx = YES | NO & - Solicita que el MX en el parámetro anterior esté configurado como un MX de
respaldo (incluye el host como un MX con un valor de preferencia más bajo).
 comodín = ON | OFF | NOCHG & - Habilita o deshabilita los comodines para este host (ON para
habilitar).
 fuera de línea = SÍ | NO - Establece el nombre de host en modo fuera de línea. Una o más opciones
se pueden encadenar junto con el carácter comercial. Por ejemplo:
& mx = backup.kunstlerandsons.com & backmx = YES & wildcard = ON

Para obtener más información, consulte http://www.dyndns.com/developers/specs/syntax.html.

9. Haz clic en Enviar.


Modo Drop-in
En una configuración de acceso directo, su dispositivo Firebox o XTM está configurado con la misma
dirección IP en todas las interfaces. El modo de configuración de acceso directo distribuye el rango de
direcciones lógicas de la red en todas las interfaces de red disponibles. Puede colocar su dispositivo
Firebox o XTM entre el enrutador y la LAN y no tener que cambiar la configuración de ningún ordenador
local. Esta configuración se conoce como modo de inserción porque su dispositivo Firebox o XTM se
coloca en una red previamente configurada.

En modo drop-in:
 Debe asignar la misma dirección IP primaria a todas las interfaces en su dispositivo Firebox o XTM
(externo, de confianza y opcional).
 Puede asignar redes secundarias en cualquier interfaz.
 Puede mantener las mismas direcciones IP y puertas de enlace predeterminadas para hosts en sus
redes confiables y opcionales, y agregar una dirección de red secundaria a la interfaz externa
principal para que su dispositivo Firebox o XTM pueda enviar tráfico correctamente a los hosts en
estas redes.
 Los servidores públicos detrás de su dispositivo Firebox o XTM pueden continuar usando direcciones
IP públicas.

La traducción de direcciones de red (NAT) no se usa para enrutar el tráfico desde fuera de su red a sus
servidores públicos.

Las propiedades de una configuración drop-in son:


 Debe asignar y usar una dirección IP estática en la interfaz externa.
 Utilizar una red lógica para todas las interfaces.
 No puede configurar más de una interfaz externa cuando su dispositivo Firebox o XTM está
configurado en modo de inserción. La funcionalidad de múltiples WAN se desactiva
automáticamente.

A veces es necesario borrar el caché ARP de cada ordenador protegido por el dispositivo Firebox o XTM,
pero esto no es común.

Nota: si mueve una dirección IP de un ordenador ubicado detrás de una interfaz a un ordenador ubicado
detrás de una interfaz diferente, puede pasar varios minutos antes de que el tráfico de red se envíe a la
nueva ubicación. Su dispositivo Firebox o XTM debe actualizar su tabla de enrutamiento interno antes de
que este tráfico pueda pasar. Los tipos de tráfico que se ven afectados incluyen las conexiones de
administración de dispositivos de registro, SNMP y Firebox o XTM.

Puede configurar sus interfaces de red con el modo de inserción cuando ejecuta el Asistente de
configuración rápida. Si ya ha creado una configuración de red, puede usar Policy Manager para cambiar
al modo de instalación.

Para obtener más información, consulte Ejecutar el Asistente de configuración web en la página 25.

 Usar el modo desplegable para la configuración de la interfaz de red

1. Seleccione Red > Interfaces.

Aparecerá el cuadro de diálogo Interfaces de red.

2. Desde la lista desplegable Configure Interfaces en, seleccione el modo Drop-In transparente.

3. En el cuadro de texto Dirección IP, escriba la dirección IP que desea usar como dirección principal para
todas las interfaces en su dispositivo Firebox o XTM.
4. En el cuadro de texto Pasarela, escriba la dirección IP de la puerta de enlace. Esta dirección IP se agrega
automáticamente a la lista de Hosts relacionados.

5. Haga clic en Guardar.

 Configure los hosts relacionados

En una configuración drop-in o bridge, el dispositivo Firebox o XTM está configurado con la misma
dirección IP en cada interfaz. Su dispositivo Firebox o XTM descubre automáticamente nuevos
dispositivos que están conectados a estas interfaces y agrega cada nueva dirección MAC a su tabla de
enrutamiento interno. Si desea configurar manualmente las conexiones de dispositivos, o si la función
Asignación automática de hosts no funciona correctamente, puede agregar una entrada de hosts
relacionada. Una entrada de hosts relacionados crea una ruta estática entre la dirección IP del host y una
interfaz de red. Recomendamos que desactive la asignación automática de host en las interfaces para las
que crea una entrada de hosts relacionada.

1. Seleccione Red > Interfaces.

Aparece la página Interfaces de red.

2. Configure las interfaces de red en modo drop-in o puente. Haga clic en Propiedades.

Aparece la página Propiedades del modo Drop-In.

3. Desactive la casilla de verificación para cualquier interfaz para la que desee agregar una entrada de
hosts relacionada.

4. En el cuadro de texto Host, escriba la dirección IP del dispositivo para el que desea construir una ruta
estática desde el dispositivo Firebox o XTM. Seleccione la interfaz de la lista desplegable adyacente, luego
haga clic en Agregar.

Repita este paso para agregar dispositivos adicionales.


5. Haga clic en Guardar.

 Configurar DHCP en modo drop-in

Cuando utiliza el modo de inserción para la configuración de red, puede configurar opcionalmente el
dispositivo Firebox o XTM como servidor DHCP para las redes que protege, o hacer que el dispositivo
Firebox o XTM sea un agente de retransmisión DHCP. Si tiene un servidor DHCP configurado, le
recomendamos que continúe usando ese servidor para DHCP.

 Use DHCP

De forma predeterminada, su dispositivo Firebox o XTM proporciona la información del servidor DNS
/ WINS de configuración cuando está configurado como un servidor DHCP. Puede configurar
información DNS / WINS en esta página para anular la configuración global. Para obtener más
información, consulte las instrucciones en Agregar direcciones de servidor WINS y DNS en la página
101.

1. Seleccione Red > Interfaces.

Aparece la página Interfaces de red.

2. Haga clic en Propiedades.

3. Seleccione la pestaña Configuración de DHCP.


4. Para agregar un grupo de direcciones desde el cual su dispositivo Firebox o XTM puede dar
direcciones IP: en los cuadros de texto Inicio y finalización de IP, escriba un rango de direcciones IP
que estén en la misma subred que la dirección IP adicional. Haga clic en Agregar.

Repita este paso para agregar más grupos de direcciones.

Puede configurar un máximo de seis grupos de direcciones.

5. Para reservar una dirección IP específica de un grupo de direcciones para un dispositivo o cliente,
en la sección Direcciones reservadas:

 Escriba un Nombre de reserva para identificar la reserva.


 Escriba la dirección IP reservada que desea reservar.
 Escriba la dirección MAC para el dispositivo.
 Haga clic en Agregar.

Repita este paso para agregar más reservas de DHCP.

6. Si es necesario, agregue direcciones de servidor WINS y DNS.

7. Para cambiar el tiempo de alquiler de DHCP, seleccione una opción diferente en la lista
desplegable Tiempo de arrendamiento.

8. En la parte superior de la página, haga clic en Volver.

9. Haz clic en Guardar.

 Use el relevo DHCP

1. Seleccione Red > Interfaces.

Aparece la página Interfaces de red.

2. Seleccione cualquier interfaz de confianza u opcional y haga clic en Configurar.

O bien, haga doble clic en una interfaz de confianza u opcional.

Aparece la página de configuración de la interfaz.

3. Junto al cuadro de texto Dirección IP, seleccione Usar retransmisión DHCP.

4. Escriba la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de agregar una ruta
estática al servidor DHCP, si es necesario.

5. Haga clic en Guardar. Haga clic en Guardar nuevamente.

 Especifique la configuración de DHCP para una sola interfaz

Puede especificar diferentes configuraciones de DHCP para cada interfaz de confianza u


opcional en su configuración. Para modificar estas configuraciones:

1. Desplácese hasta la parte inferior del cuadro de diálogo Configuración de red.

2. Seleccione una interfaz.

3. Haz clic en Configurar.


4. Para usar la misma configuración DHCP que configuró para el modo desplegable,
seleccione Usar configuración DHCP del sistema.

Para deshabilitar DHCP para clientes en esa interfaz de red, seleccione Deshabilitar DHCP.

Para configurar diferentes opciones de DHCP para clientes en una red secundaria, seleccione
Usar servidor DHCP para red secundaria.

5. Para agregar grupos de direcciones IP, establecer el tiempo de concesión predeterminado


y administrar los servidores DNS / WINS, complete los pasos 3 a 6 de la sección Usar DHCP.

6. Haga clic en Aceptar.

Modo Puente
El modo puente es una función que le permite instalar su dispositivo Firebox o XTM entre una red existente y
su puerta de enlace para filtrar o administrar el tráfico de la red. Cuando habilita esta función, su dispositivo
Firebox o XTM procesa y reenvía todo el tráfico de red a otros dispositivos de puerta de enlace. Cuando el
tráfico llega a una puerta de enlace desde el dispositivo Firebox o XTM, parece que se envió desde el
dispositivo original.

Para usar el modo puente, debe especificar una dirección IP que se use para administrar su dispositivo Firebox
o XTM. El dispositivo también utiliza esta dirección IP para obtener actualizaciones de AV / IPS de Gateway y
para enrutar a servidores DNS, NTP o WebBlocker internos según sea necesario. Debido a esto, asegúrese de
asignar una dirección IP enrutable en Internet.

Cuando utiliza el modo puente, su dispositivo Firebox o XTM no puede completar algunas funciones que
requieren que el dispositivo funcione como una puerta de enlace. Estas funciones incluyen:

 Multi-WAN
 VLAN (redes de área local virtuales)
 Puentes de red
 Rutas estáticas
 FireCluster
 Redes secundarias
 Servidor DHCP o relé DHCP
 Conmutación por falla del módem serial (Firebox X Edge solamente)
 NAT de 1 a 1, dinámico o estático
 Enrutamiento dinámico (OSPF, BGP o RIP)
 Cualquier tipo de VPN para el cual el dispositivo Firebox o XTM sea un punto final o puerta de enlace
 Algunas funciones proxy, incluido HTTP Web Cache Server

Si ha configurado previamente estas características o servicios, se desactivan cuando cambia al modo puente.
Para volver a utilizar estas características o servicios, debe usar un modo de red diferente. Si regresa al modo
de enrutamiento mixto o drop-in, es posible que deba configurar algunas características nuevamente.

Nota: Cuando habilita el modo puente, cualquier interfaz con un puente de red o una VLAN previamente
configurada está deshabilitada. Para utilizar esas interfaces, primero debe cambiar al modo de enrutamiento
mixto o de doble entrada, y configurar la interfaz como Externo, Opcional o Confiable, luego volver al modo
puente. Las funciones inalámbricas de los dispositivos inalámbricos Firebox o XTM funcionan correctamente
en modo puente.

Para habilitar el modo puente:

1. Seleccione Red > Interfaces.

Aparece la página Interfaces de red.

2. Desde la lista desplegable Configurar interfaces en, seleccione Modo puente.


3. Si se le solicita que desactive las interfaces, haga clic en Sí para deshabilitar las interfaces o en No para
regresar a su configuración anterior.

4. Escriba la dirección IP de su dispositivo Firebox o XTM en notación de barra.

Para obtener más información sobre la notación de barra, consulte Acerca de la notación de barra en la página
3.

5. Escriba la dirección IP de la puerta de enlace que recibe todo el tráfico de red del dispositivo.

6. Haga clic en Guardar.

Configuración de interfaz común


Con el modo de enrutamiento mixto, puede configurar su dispositivo Firebox o XTM para enviar tráfico de red
entre una amplia variedad de interfaces de red físicas y virtuales. Este es el modo de red predeterminado, y
ofrece la mayor cantidad de flexibilidad para diferentes configuraciones de red. Sin embargo, debe configurar
cada interfaz por separado, y es posible que tenga que cambiar la configuración de red para cada ordenador o
cliente protegido por su dispositivo Firebox o XTM.

Para configurar su Firebox o dispositivo XTM con el modo de enrutamiento mixto:

1. Seleccione Red > Interfaces.

Aparecerá el cuadro de diálogo Interfaces de red.

2. Seleccione la interfaz que desea configurar, luego haga clic en Configurar. Las opciones disponibles
dependen del tipo de interfaz que seleccionó.

Aparecerá el cuadro de diálogo Configuración de interfaz.

3. En el campo Nombre de interfaz (Alias), puede conservar el nombre predeterminado o cambiarlo por uno
que refleje más fielmente su propia red y sus propias relaciones de confianza.

Asegúrese de que el nombre sea único entre los nombres de la interfaz, así como también todos los nombres
de los grupos MVPN y los nombres de los túneles. Puede usar este alias con otras funciones, como políticas de
proxy, para administrar el tráfico de red para esta interfaz.

4. (Opcional) Introduzca una descripción de la interfaz en el campo Descripción de la interfaz.


5. En la lista desplegable Modo de configuración, seleccione el tipo de interfaz. Puede seleccionar Externo,
Confiable, Opcional, Puente, Deshabilitado o VLAN. Algunos tipos de interfaz tienen configuraciones
adicionales.

 Para obtener más información sobre cómo asignar una dirección IP a una interfaz externa, consulte
Configuración de una interfaz externa en la página 84. Para configurar la dirección IP de una interfaz de
confianza u opcional, escriba la dirección IP en notación de barra.
 Para asignar direcciones IP automáticamente a clientes en una interfaz de confianza u opcional, consulte
Configurar DHCP en el modo de enrutamiento mixto en la página 87 o Configurar el Retransmisión DHCP
en la página 100.
 Para usar más de una dirección IP en una única interfaz de red física, vea Configurar una red secundaria
en la página 102.
 Para obtener más información sobre las configuraciones de VLAN, consulte Acerca de las redes de área
local virtuales (VLAN) en la página 110.
 Para eliminar una interfaz de su configuración, consulte Desactivar una interfaz en la página 100.

6. Configure su interfaz como se describe en uno de los temas anteriores.


7. Haga clic en Guardar.

 Deshabilitar una interfaz


Deshabilitar una interfaz
1. Seleccione Red > Configuración.
Aparecerá el cuadro de diálogo Configuración de red.
2. Seleccione la interfaz que desea deshabilitar. Haga clic en Configurar.
Aparecerá el cuadro de diálogo Configuración de interfaz.
3. En la lista desplegable Tipo de interfaz, seleccione Deshabilitado. Haga clic en Aceptar.
En el cuadro de diálogo Configuración de red, la interfaz ahora aparece como tipo Deshabilitado.
 Configurar la retransmisión DHCP
Una forma de obtener direcciones IP para los ordenadores en las redes confiables u opcionales es usar un
servidor DHCP en una red diferente. Puede usar la retransmisión DHCP para obtener direcciones IP para
los ordenadores en la red confiable u opcional. Con esta característica, el dispositivo Firebox o XTM envía
solicitudes de DHCP a un servidor en una red diferente.
Si el servidor DHCP que desea utilizar no está en una red protegida por su dispositivo Firebox o XTM, debe
configurar un túnel VPN entre su Firebox o dispositivo XTM y el servidor DHCP para que esta
característica funcione correctamente.

Nota: No puede usar el repetidor DHCP en ninguna interfaz en la que FireCluster esté habilitado.
Para configurar el relevo DHCP:
1. Seleccione Red > Interfaces.
Aparece la página Interfaces de red.
2. Seleccione una interfaz de confianza u opcional y haga clic en Configurar.
3. En la lista desplegable debajo de la dirección IP de la interfaz, seleccione Usar retransmisión DHCP.
4. Escriba la dirección IP del servidor DHCP en el campo relacionado. Asegúrese de agregar una ruta
estática al servidor DHCP, si es necesario.
5. Haga clic en Guardar.

 Restringir el tráfico de red por dirección MAC


Puede usar una lista de direcciones MAC para administrar qué dispositivos pueden enviar tráfico en la
interfaz de red que especifique. Cuando habilita esta función, su dispositivo Firebox o XTM verifica la
dirección MAC de cada ordenador o dispositivo que se conecta a la interfaz especificada. Si la dirección
MAC de ese dispositivo no está en la lista de control de acceso MAC para esa interfaz, el dispositivo no
puede enviar tráfico.

Esta característica es especialmente útil para evitar el acceso no autorizado a su red desde una ubicación
dentro de su oficina. Sin embargo, debe actualizar la lista de Control de direcciones MAC para cada
interfaz cuando se agrega un nuevo ordenador autorizado a la red.

Nota: Si elige restringir el acceso por la dirección MAC, debe incluir la dirección MAC del ordenador que
usa para administrar su dispositivo Firebox o XTM.

Para habilitar MAC Access Control para una interfaz de red:


1. Seleccione Red > Interfaces.
Aparece la página Interfaces de red.
2. Seleccione la interfaz en la que desea habilitar el Control de acceso MAC, luego haga clic en Configurar.
Aparece la página de configuración de la interfaz.
3. Seleccione la pestaña Control de acceso MAC.
4. Seleccione la casilla de verificación Restringir el acceso por la dirección MAC.
5. Escriba la dirección MAC del ordenador o dispositivo para darle acceso a la interfaz especificada.
6. (Opcional) Escriba un nombre para el ordenador o dispositivo para identificarlo en la lista.
7. Haga clic en Agregar.
Repita los pasos 5 a 7 para agregar más ordenadores o dispositivos a la lista de Control de acceso MAC.
 Agregue direcciones de servidor WINS y DNS
Su dispositivo Firebox o XTM comparte las direcciones IP del servidor de nombres de Internet de
Windows (WINS) y del servidor del Sistema de nombres de dominio (DNS) para algunas funciones. Estas
características incluyen DHCP y Mobile VPN. Se debe poder acceder a los servidores WINS y DNS desde la
interfaz de confianza del dispositivo Firebox o XTM.

Esta información se usa con dos propósitos:

 El dispositivo Firebox o XTM usa el servidor DNS para resolver los nombres de las direcciones IP para
VPN IPSec y para las funciones spamBlocker, Gateway AV e IPS para que funcionen correctamente.
 Las entradas WINS y DNS son utilizadas por los clientes DHCP en las redes confiables u opcionales, y
por los usuarios de Mobile VPN para resolver las consultas DNS.

Asegúrese de usar solo un servidor interno WINS y DNS para DHCP y Mobile VPN. Esto ayuda a asegurarse
de no crear políticas que tengan propiedades de configuración que impidan que los usuarios se conecten
al servidor DNS.

1. Seleccione Red> Interfaces.


2. Desplácese a la sección Servidores DNS y Servidores WINS.
3. En el cuadro de texto Servidor DNS o Servidor WINS, escriba las direcciones primaria y secundaria para
cada servidor WINS y DNS.
4. Haga clic en Agregar.
5. Repita los pasos 3 a 4 para especificar hasta tres servidores DNS.
6. (Opcional) En el cuadro de texto Nombre de dominio, escriba un nombre de dominio para que un
cliente DHCP lo use con nombres no calificados como watchguard_mail.

 Configurar una red secundaria


Una red secundaria es una red que comparte una de las mismas redes físicas que una de las interfaces de
dispositivo Firebox o XTM. Cuando agrega una red secundaria, crea (o agrega) un alias de IP a la interfaz.
Este alias de IP es la puerta de enlace predeterminada para todas los ordenadores en la red secundaria.
La red secundaria le dice al dispositivo Firebox o XTM que hay una red más en la interfaz del dispositivo
Firebox o XTM.

Por ejemplo, si configura un dispositivo Firebox o XTM en modo de inserción, le da a cada interfaz de
dispositivo Firebox o XTM la misma dirección IP. Sin embargo, probablemente use un conjunto diferente
de direcciones IP en su red de confianza. Puede agregar esta red privada como una red secundaria a la
interfaz confiable de su dispositivo Firebox o XTM. Cuando agrega una red secundaria, crea una ruta
desde una dirección IP en la red secundaria a la dirección IP de la interfaz del dispositivo Firebox o XTM.

Si su dispositivo Firebox o XTM está configurado con una dirección IP estática en una interfaz externa,
también puede agregar una dirección IP en la misma subred que su interfaz externa principal como una
red secundaria. A continuación, puede configurar NAT estática para más de uno del mismo tipo de
servidor. Por ejemplo, configure una red secundaria externa con una segunda dirección IP pública si tiene
dos servidores SMTP públicos y desea configurar una regla NAT estática para cada uno.

Puede agregar hasta 2048 redes secundarias por interfaz de dispositivo Firebox o XTM. Puede usar redes
secundarias con una configuración de red enrutada o sin cargo. También puede agregar una red
secundaria a una interfaz externa de un dispositivo Firebox o XTM si esa interfaz externa está configurada
para obtener su dirección IP a través de PPPoE o DHCP.

Para definir una dirección IP secundaria, debe tener:

 Una dirección IP no utilizada en la red secundaria para asignar a la interfaz del dispositivo Firebox
o XTM
 Una dirección IP no utilizada en la misma red que la interfaz externa del dispositivo Firebox o XTM

Para definir una dirección IP secundaria:

1. Seleccione Red > Interfaces.


Aparece la página Interfaces de red.
2. Seleccione la interfaz para la red secundaria y haga clic en Configurar, o haga doble clic en una interfaz.
Aparece la página de configuración de la interfaz.
3. En la sección Redes secundarias, escriba una dirección IP de host no asignada en notación de barra
desde la red secundaria. Haga clic en Agregar. Repita este paso para agregar redes secundarias
adicionales.

4. Haz clic en Guardar.


5. Haz clic en Guardar nuevamente.
Nota: Asegúrese de agregar direcciones de red secundarias correctamente. El dispositivo Firebox o XTM
no le dice si la dirección es correcta. Recomendamos que no cree una subred como una red secundaria en
una interfaz que sea un componente de una red más grande en una interfaz diferente. Si hace esto,
puede producirse suplantación y la red no puede funcionar correctamente.

Acerca de la configuración avanzada de la interfaz


Puede usar varias configuraciones avanzadas para las interfaces de dispositivos Firebox o XTM:

 Configuración de tarjeta de interfaz de red (NIC)

Configura los parámetros de velocidad y dúplex para las interfaces del dispositivo Firebox o XTM a la
configuración automática o manual. Le recomendamos que mantenga la velocidad del enlace configurada
para la negociación automática. Si utiliza la opción de configuración manual, debe asegurarse de que el
dispositivo al que se conecta el dispositivo Firebox o XTM también se configure manualmente con la
misma velocidad y los mismos parámetros que el dispositivo Firebox o XTM. Use la opción de
configuración manual solo cuando debe anular los parámetros de la interfaz automática del dispositivo
Firebox o XTM para operar con otros dispositivos en su red.

 Establecer ancho de banda de interfaz saliente

Cuando utiliza la configuración de gestión del tráfico para garantizar el ancho de banda a las políticas,
esta configuración garantiza que no se garantiza más ancho de banda de lo que realmente existe para una
interfaz. Esta configuración también le ayuda a asegurarse de que la suma de las configuraciones de
ancho de banda garantizado no llene el enlace de modo que no pueda pasar el tráfico no garantizado.

 Habilitar Marcado de QoS para una interfaz

Crea diferentes clasificaciones de servicio para diferentes tipos de tráfico de red. Puede establecer el
comportamiento de marcado predeterminado a medida que el tráfico sale de una interfaz. Estas
configuraciones pueden ser anuladas por la configuración definida para una política.

 Establecer bit DF para IPSec

Determina la configuración del bit Do not Fragment (DF) para IPSec.

 Configuración de PMTU para IPSec

(Interfaces externas solamente) Controla el período de tiempo que el dispositivo Firebox o XTM reduce la
MTU para un túnel VPN IPSec cuando obtiene un paquete ICMP Request to Fragment de un enrutador
con una configuración de MTU inferior en Internet.

 Use un enlace de dirección MAC estático

Utiliza direcciones de hardware (MAC) para controlar el acceso a una interfaz de dispositivo Firebox o
XTM.
 Configuración de tarjeta de interfaz de red (NIC)
1. Seleccione Red > Interfaces.

2. Seleccione la interfaz que desea configurar. Haga clic en Configurar.

3. Haga clic en Configuración general avanzada.

4. En la lista desplegable Velocidad de enlace, seleccione Negociar automáticamente si desea que el


dispositivo Firebox o XTM seleccione la mejor velocidad de red. También puede seleccionar una de las
velocidades semidúplex o dúplex completo que sepa que es compatible con sus otros equipos de red.
Negociación automática es la configuración predeterminada. Le recomendamos encarecidamente que no
cambie esta configuración a menos que así se lo indique el Soporte técnico. Si configura manualmente la
velocidad del enlace y otros dispositivos en su red no admiten la velocidad que selecciona, esto puede
causar un conflicto que no permite que la interfaz del dispositivo Firebox o XTM se vuelva a conectar
después de la conmutación por error.
5. En el cuadro de texto Unidad máxima de transmisión (MTU), seleccione el tamaño máximo de paquete,
en bytes, que se puede enviar a través de la interfaz. Recomendamos que utilice el valor predeterminado,
1500 bytes, a menos que su equipo de red requiera un tamaño de paquete diferente.
Puede establecer la MTU de un mínimo de 68 a un máximo de 9000.

6. Para cambiar la dirección MAC de la interfaz externa, seleccione la casilla de verificación Anular
dirección MAC y escriba la nueva dirección MAC.
Para obtener más información sobre las direcciones MAC, consulte la sección siguiente.

7. Haga clic en Guardar.


8. Haz clic en Guardar nuevamente.

 Acerca de las direcciones MAC


Algunos ISP usan una dirección MAC para identificar las computadoras en su red. Cada dirección MAC
obtiene una dirección IP estática. Si su ISP usa este método para identificar su computadora, entonces
debe cambiar la dirección MAC de la interfaz externa del dispositivo Firebox o XTM. Use la dirección MAC
del cablemódem, módem DSL o enrutador que se conectó directamente al ISP en su configuración
original.
La dirección MAC debe tener estas propiedades:

 La dirección MAC debe usar 12 caracteres hexadecimales. Los caracteres hexadecimales tienen un
valor entre 0 y 9 o entre "a" y "f".
 La dirección MAC debe operar con:
o Una o más direcciones en la red externa.
o La dirección MAC de la red confiable para el dispositivo.
o La dirección MAC de la red opcional para el dispositivo.
 La dirección MAC no se debe configurar en 000000000000 o ffffffffffff.

Si la casilla de verificación Anular dirección MAC no está seleccionada cuando se reinicia el dispositivo
Firebox o XTM, el dispositivo usa la dirección MAC predeterminada para la red externa.
Para disminuir los problemas con las direcciones MAC, el dispositivo Firebox o XTM se asegura de que la
dirección MAC que asigne a la interfaz externa sea única en su red. Si el dispositivo Firebox o XTM
encuentra un dispositivo que usa la misma dirección MAC, el dispositivo Firebox o XTM cambia de nuevo
a la dirección MAC estándar para la interfaz externa y comienza de nuevo.

 Establecer bit DF para IPSec


Cuando configure la interfaz externa, seleccione una de las tres opciones para determinar la
configuración del bit No Fragmentar (DF) para la sección IPSec.

 Copiar:
Seleccione Copiar para aplicar la configuración del bit DF del fotograma original al paquete cifrado
IPSec. Si un marco no tiene los bits DF configurados, Fireware XTM no establece los bits DF y
fragmenta el paquete si es necesario. Si un marco está configurado para no fragmentarse, Fireware
XTM encapsula todo el marco y establece los bits DF del paquete cifrado para que coincida con el
marco original.
 Conjunto:

Seleccione Establecer si no desea que su dispositivo Firebox o XTM fragmente el marco


independientemente de la configuración de bit original. Si un usuario debe realizar conexiones IPSec
a un dispositivo Firebox o XTM desde detrás de un dispositivo Firebox o XTM diferente, debe
desactivar esta casilla de verificación para habilitar la característica de paso a través de IPSec. Por
ejemplo, si los empleados móviles se encuentran en una ubicación de cliente que tiene un
dispositivo Firebox o XTM, pueden realizar conexiones IPSec a su red con IPSec. Para que su
dispositivo local Firebox o XTM permita correctamente la conexión saliente de IPSec, también debe
agregar una política de IPSec.

 Borrar:

Seleccione Borrar para dividir el cuadro en piezas que puedan caber en un paquete IPSec con el
encabezado ESP o AH, independientemente de la configuración de bit original.

 Configuración de PMTU para IPSec


Esta configuración de interfaz avanzada se aplica solo a interfaces externas.

La configuración Unidad de transmisión máxima de ruta (PMTU) controla la cantidad de tiempo que el
dispositivo Firebox o XTM reduce la MTU para un túnel VPN IPSec cuando obtiene un paquete ICMP
Solicitud para fragmentar desde un enrutador con una configuración de MTU inferior en Internet.
Le recomendamos que mantenga la configuración predeterminada. Esto puede protegerlo de un
enrutador en Internet con una configuración MTU muy baja.