Mover una Configuración a un Firebox Nuevo

Cada Firebox usa un archivo XML para almacenar los ajustes de configuración. Puede guardar la configuración del Firebox en un archivo XML local y luego usar ese archivo para configurar un otro Firebox. Para obtener más información sobre el archivo de configuración, consulte Administrar el Firebox desde Policy Manager.

No puede utilizar una imagen de copia de seguridad guardada para migrar una configuración. Una imagen de copia de seguridad incluye información específica del dispositivo, como el número de serie, certificados y llaves privadas.

Antes de comenzar, revise los requisitos, los métodos de migración y los pasos de configuración adicionales que podrían ser necesarios para configurar completamente el Firebox nuevo o de reemplazo.

El archivo de configuración XML no incluye ajustes específicos del Firebox, como la llave de licencia, los certificados y las credenciales del usuario de administración. De forma predeterminada, el nuevo Firebox usa certificados diferentes a los del Firebox original.

Si usa Mobile VPN with IKEv2 o Mobile VPN with SSL y el cliente OpenVPN, debe completar pasos adicionales después de la migración antes de que los clientes VPN puedan conectarse al nuevo Firebox. Para obtener más información, consulte Pasos de Migración Adicionales.

Para un Firebox que es miembro de FireCluster:

Requisitos

Para migrar la configuración de un Firebox a otro, debe tener lo siguiente:

  • Una copia guardada del archivo de configuración XML del Firebox original
  • La llave de licencia para el nuevo Firebox
  • Archivo JSON (solo para Firebox Cloud)

Para guardar el archivo de configuración del Firebox original, puede usar Policy Manager o Fireware Web UI.

Cada vez que guarda una actualización de la configuración en el Firebox, Policy Manager guarda automáticamente el archivo de configuración en su computadora de administración. Si el Firebox original no funciona, busque el archivo de configuración más reciente guardado en su computadora de administración. Los archivos de configuración son guardados de forma predeterminada por Policy Manager en el directorio Documentos\Mi WatchGuard\configs.

Si puede conectarse al Firebox original, puede usar Policy Manager para guardar la configuración actual del dispositivo en un archivo XML local. Para más información, consulte Guardar el archivo de configuración.

Si puede conectarse al dispositivo original con Fireware Web UI, puede guardar manualmente la configuración actual en un archivo XML.

Para descargar el archivo de configuración desde Fireware Web UI:

  1. Seleccione Sistema > Archivo de Configuración.
  2. Haga clic en Descargar Archivo de Configuración.

Para más información, consulte Administrar el Archivo de Configuración del Firebox.

La llave de licencia para el nuevo Firebox está disponible para descargarse después de activar el dispositivo en su cuenta de WatchGuard. Para un dispositivo RMA, WatchGuard activa el nuevo dispositivo. Para obtener la llave de licencia para el nuevo dispositivo, puede utilizar uno de estos métodos:

Un Firebox que se inicia con los ajustes predeterminados de fábrica se conecta automáticamente a WatchGuard para descargar su llave de licencia.

Para descargar la llave de licencia al nuevo Firebox:

  1. Conecte la interfaz 0 del Firebox a una red con acceso a Internet y DHCP.
  2. Inicie el Firebox con las configuraciones predeterminadas de fábrica.
    El Firebox se conecta a WatchGuard para descargar la llave de licencia.

Para ver los pasos para restablecer un Firebox a los ajustes predeterminados de fábrica, consulte Restablecer un Firebox.

Si la descarga falla, el Firebox automáticamente continúa intentando descargar la llave de licencia si el Firebox tiene una conexión a Internet activa.

Puede descargar la llave de licencia manualmente desde la cuenta de WatchGuard donde activó el Firebox. Debe utilizar este método para obtener la llave de licencia para los dispositivos virtuales FireboxV y XTMv. Puede ser útil descargar la llave de licencia manualmente para cualquier modelo de Firebox en caso de que el Firebox no pueda conectarse para descargar automáticamente la llave de licencia.

Para descargar manualmente la llave de licencia de un nuevo Firebox:

  1. Inicie sesión en su cuenta de WatchGuard.
  2. Vaya al Support Center.
  3. Seleccione Mi WatchGuard > Administrar Productos.
  4. Busque su dispositivo y haga clic en el número de serie del dispositivo
    Se abre la página Detalles del Producto.
  5. Haga clic en Obtener su llave de licencia.
  6. Copie la llave de licencia completa en un archivo de texto local.

Para más información, consulte Acerca de la Página de Detalles del Producto.

Para Firebox Cloud, también debe guardar una copia del archivo JSON porque contiene la información de la interfaz. Guarde el archivo JSON y el archivo XML en el mismo directorio para que Policy Manager pueda abrir la configuración. Para obtener información sobre cómo guardar una copia del archivo JSON, consulte Abra el Archivo de Configuración para una Instancia de Firebox Cloud.

Migrar la Configuración

Para migrar una configuración guardada a un nuevo dispositivo, debe guardar el archivo de configuración XML del dispositivo original en el nuevo dispositivo. Para habilitar las funciones y servicios configurados, el nuevo dispositivo también debe tener una llave de licencia con una licencia para esos servicios.

Para migrar una configuración a un dispositivo virtual FireboxV o XTMv, o a Firebox Cloud, debe usar Policy Manager.

Puede usar varios métodos para configurar el nuevo Firebox:

Para usar este método, debe tener WatchGuard System Manager instalado en una computadora de administración con Windows. En WatchGuard System Manager, usted usa Policy Manager para actualizar el archivo de configuración del Firebox original y guardarlo en el nuevo Firebox.

Para conectarse al nuevo Firebox:

  1. Conecte la interfaz 0 a una red con un Servidor DHCP y acceso a Internet.
  2. Encienda el Firebox con los ajustes predeterminados de fábrica.
  3. Conecte su equipo de administración a la interfaz 1.
    Si el Firebox puede conectarse a Internet a través de la interfaz 0, se conecta automáticamente a WatchGuard para descargar su llave de licencia.

A continuación, use Policy Manager para actualizar el archivo de configuración del dispositivo original con la nueva llave de licencia.

Para editar el archivo de configuración, en Policy Manager:

  1. O bien seleccione Archivo > Abrir > Archivo de Configuración.
  2. Seleccione el archivo de configuración XML que guardó del Firebox original.
  3. Haga clic en Abrir.
  4. Para actualizar la llave de licencia, seleccione Configuración > Llaves de Licencia.
    Se abre el cuadro de diálogo Llave de Licencia del Firebox.
  5. Para descargar la llave de licencia del nuevo Firebox, haga clic en Descargar.
    Se abre el cuadro de diálogo Obtener Llave de Licencia del Firebox.

Screen shot of the Get Firebox Feature Keys dialog box in Policy Manager

  1. En el cuadro de texto Dirección IP o Nombre, escriba la dirección IP de la interfaz 1 del Firebox. Para un Firebox con los ajustes predeterminados de fábrica, la dirección IP es 10.0.1.1.
  2. En el cuadro de texto Contraseña, ingrese la contraseña para la cuenta de usuario status. Para un Firebox con los ajustes predeterminados de fábrica, la contraseña es readonly.
  3. Haga clic en Aceptar.
    Policy Manager se conecta al nuevo Firebox y descarga la llave de licencia. Esta es la llave de licencia que el Firebox descargó cuando comenzó con los ajustes predeterminados de fábrica. En el cuadro de diálogo Llaves de Licencia del Firebox, las secciones Resumen y Funciones muestran información de la llave de licencia.

Screen shot of the Get Firebox Feature Keys dialog box in Policy Manager

  1. Si no puede conectarse al dispositivo para obtener la llave de licencia, o si el dispositivo no tiene una llave de licencia, puede agregar manualmente la llave de licencia que descargó de la página Detalles del Producto. Para actualizar manualmente la llave de licencia:
    1. Haga clic en Importar.
    2. Pegue el texto de la llave de licencia o haga clic en Navegar y seleccione el archivo de texto en el que lo guardó.
    3. Haga clic en Aceptar.
  2. Después de descargar o actualizar manualmente la llave de licencia, haga clic en Aceptar.
    Policy Manager actualiza el modelo de Firebox en la configuración del dispositivo para que coincida con el modelo en la llave de licencia.
  3. Para verificar o actualizar el nombre del dispositivo y la zona horaria:
    1. Seleccione Configurar > Sistema.
      Se abre el cuadro de diálogo Configuración del Dispositivo. La información del Modelo de Firebox coincide con el modelo en la llave de licencia del nuevo Firebox. El nombre sigue siendo el mismo que el del Firebox original.

    2. Actualice el Nombre y la Zona Horaria según sea necesario.
    3. Haga clic en Aceptar.
  4. Seleccione Red > Configuración y revise la configuración de interfaz de red.
  5. Si el nuevo Firebox ejecuta una versión diferente de Fireware OS, actualice el ajuste de Compatibilidad del Sistema Operativo a la versión del sistema operativo que utiliza el nuevo Firebox.
  6. Si usa certificados de terceros, consulte Pasos de Migración Adicionales.
  7. Para guardar la configuración en el nuevo Firebox:
    1. Seleccione Archivo > Guardar > A Firebox.
    2. En el cuadro de texto Dirección IP o Nombre, escriba la dirección IP de la interfaz 1 del Firebox. Para un Firebox con los ajustes predeterminados de fábrica, la dirección IP es 10.0.1.1.
    3. En el cuadro de texto Contraseña del Administrador, escriba la frase de contraseña de la cuenta de usuario admin. Para un Firebox con los ajustes predeterminados de fábrica, la contraseña es readwrite.
    4. Haga clic en Aceptar.
    5. Si Policy Manager le pregunta si desea continuar con el guardado, haga clic en .

Después de guardar la configuración en el Firebox, edite las cuentas de usuario administrativo para cambiar las contraseñas a opciones más seguras. Para más información, consulte Administrar Usuarios y Roles en Su Firebox.

Si su nuevo Firebox tiene módulos de interfaz extraíbles, el número de interfaces configurables que aparecen en Policy Manager depende de los módulos de interfaz instalados en el Firebox. Después de guardar la configuración en el nuevo Firebox, debe abrir el archivo de configuración desde el nuevo Firebox para actualizar la lista de interfaces.

Para configurar un dispositivo con RapidDeploy, debe cargar un archivo de configuración a los servidores WatchGuard para que se descargue el nuevo dispositivo. Cuando enciende el nuevo Firebox con los ajustes predeterminados de fábrica, se conecta automáticamente a WatchGuard para descargar el archivo de configuración de RapidDeploy y la llave de licencia.

El archivo de configuración que carga para RapidDeploy debe especificar el modelo de Firebox correcto.

  • Si el nuevo Firebox es el mismo modelo que el Firebox original, use el archivo de configuración del Firebox original como el archivo RapidDeploy para el nuevo Firebox.
  • Si el nuevo Firebox es un modelo de Firebox diferente, use Policy Manager para cambiar el modelo de Firebox en el archivo de configuración, luego use el archivo de configuración actualizado como el archivo RapidDeploy para el nuevo Firebox.

El archivo de configuración que usa para RapidDeploy también debe ser para una versión de Fireware que no sea más nueva que la versión de Fireware actualmente instalada en el Firebox. Si tiene un nuevo Firebox que nunca actualizó, asegúrese de que el archivo de configuración que use para RapidDeploy no sea más reciente que la versión de Fireware instalada de fábrica en el Firebox. ¡Consejo!

Para obtener más información sobre los requisitos del archivo de configuración de RapidDeploy, consulte Crear un Archivo de Configuración para RapidDeploy.

Una vez que tenga el archivo de configuración listo, use uno de estos métodos para cargar el archivo de configuración para RapidDeploy en el nuevo Firebox:

En Fireware v12.2 y superior, puede usar Fireware Web UI para descargar el archivo de configuración del Firebox original y luego cargarlo en el nuevo Firebox.

Para usar Fireware Web UI para migrar la configuración, el Firebox original y el nuevo deben tener la misma cantidad de interfaces. Si los Fireboxes tienen diferentes cantidades de interfaces, siga los pasos para usar Policy Manager para migrar la configuración.

Para preparar el nuevo Firebox:

  1. Use el asistente Web Setup Wizard para configurar el nuevo Firebox con una nueva configuración básica temporal. Para más información, consulte Ejecutar el Asistente Web Setup Wizard.
  2. Si la versión de Fireware en el dispositivo es inferior a v12.2, o es inferior a la versión instalada en el Firebox original, actualice a la versión de Fireware más reciente. En Fireware Web UI, seleccione Sistema > Actualizar Sistema Operativo. Para más información, consulte Actualizar Fireware OS o WatchGuard System Manager.

Para migrar la configuración del Firebox original, desde la Firebox Web UI:

  1. Seleccione Sistema > Archivo de Configuración.
    Se abre la página Archivo de Configuración.

Screen shot of Configuration File page

  1. Haga clic en Elegir Archivo o Explorar y seleccione el archivo de configuración que se cargará.
    El nombre del botón depende del explorador web que utilice.
  2. Haga clic en Restablecer.
    La configuración del Firebox se actualiza a la configuración del archivo de configuración.

Para más información, consulte Administrar el Archivo de Configuración del Firebox.

Si guarda un archivo de configuración que modifica la dirección IP de la interfaz del Firebox a la que se conecta su equipo, antes de poder conectarse con el dispositivo debe asegurarse de que su equipo tenga una dirección IP en la misma red que la dirección IP de la interfaz actualizada.

El nuevo Firebox tiene una dirección MAC diferente a la del Firebox original. Los dispositivos en su red que se conectaron previamente al Firebox original pueden fallar en comunicarse con el nuevo Firebox hasta que sus entradas ARP antiguas para la dirección IP del Firebox expiren. Esto puede tomar hasta 60 minutos o requerir que reinicie los dispositivos afectados. Si un dispositivo de su red tiene una entrada ARP estática configurada para la dirección IP del Firebox, debe cambiarla en ese dispositivo.

Pasos de Migración Adicionales

Después de migrar la configuración al nuevo Firebox, es posible que deba realizar otros cambios de configuración en el Firebox y los clientes de red.

Certificados

De forma predeterminada, todos los certificados son diferentes en el nuevo Firebox. Si usa los certificados predeterminados, los clientes de red no confían automáticamente en el certificado del nuevo Firebox.

Si el Firebox original usó un certificado de terceros, y usted desea usar el certificado de terceros en el nuevo Firebox:

  1. En el nuevo Firebox, seleccione la opción de certificado predeterminado en los ajustes de las funciones del Firebox que usan un certificado de terceros. Debe completar este paso para poder guardar la configuración en el nuevo Firebox. Por ejemplo, puede utilizar un certificado de terceros para la inspección de contenido HTTPS entrante, BOVPN, Mobile VPN with IKEv2 y Mobile VPN with L2TP.
  1. Después de guardar la configuración en el nuevo Firebox, importe el certificado de terceros después de migrar la configuración. Para información sobre cómo importar un certificado, consulte Administrar Certificados del Dispositivo (Web UI), y Administrar Certificados del Dispositivo (WSM).
  2. Aplique el certificado a las funciones según sea necesario. Por ejemplo, si usó el certificado de terceros para la inspección de contenido HTTPS entrante en el Firebox antiguo, puede optar por usar el certificado de terceros importado para la inspección de contenido HTTPS en su nuevo Firebox. Es posible que también deba hacer esto en las configuraciones de BOVPN, Mobile VPN with IKEv2 y Mobile VPN with L2TP.

Para obtener información general acerca de cómo el Firebox usa certificados, consulte Acerca de los Certificados.

Mobile VPN with IKEv2

Si usa Mobile VPN with IKEv2 y usa el certificado Firebox IKEv2 predeterminado, debe realizar una de las siguientes acciones:

  • Distribuir un perfil de cliente VPN actualizado a todos los dispositivos cliente VPN, que distribuirán el nuevo certificado Firebox IKEv2 predeterminado a los clientes. Para más información, consulte Configurar los Dispositivos Cliente para Mobile VPN with IKEv2.
  • Distribuya solo el nuevo certificado Firebox IKEv2 predeterminado a todos los dispositivos cliente VPN (si no desea distribuir un perfil VPN actualizado a los clientes).

Si el Firebox original usó un certificado de terceros y usted actualiza el nuevo Firebox para usar el mismo certificado de terceros, no es necesario distribuir un perfil de cliente VPN actualizado. Los clientes VPN existentes pueden conectarse después de que actualice el nuevo Firebox para usar el certificado de terceros.

Mobile VPN with SSL

La primera vez que el cliente Mobile VPN with SSL de WatchGuard se conecta al nuevo Firebox, los usuarios deben responder a un aviso para confiar en el certificado.

Para los dispositivos que utilizan el cliente OpenVPN para conectarse con Mobile VPN with SSL, los usuarios deben importar un nuevo perfil de cliente VPN y eliminar el antiguo perfil de cliente VPN. Para más información, vea Utilizar Mobile VPN with SSL con un Cliente OpenVPN

Ver También

Acerca del Policy Manager

Administrar el Firebox desde Policy Manager

Acerca de las Llaves de Licencia