Implementar Firebox Cloud en Microsoft Azure

Antes de crear una máquina virtual de Firebox Cloud, debe crear una cuenta de Microsoft Azure. Cuando configura su cuenta, especifica la información de facturación y las credenciales que usa para conectarse al portal de Microsoft Azure. Firebox Cloud requiere una cuenta de almacenamiento. Puede crear una cuenta de almacenamiento antes de implementar el Firebox Cloud o puede crear una como parte de la implementación.

Identificar su Plan de Software Firebox Cloud y el Tipo de Licencia

Cuando cree una Firebox Cloud VM en Azure, seleccione uno de estos dos planes de software.

Firebox Cloud (BYOL)

Con el plan de software Bring Your Own License (BYOL), compre una licencia de Firebox Cloud para un tamaño específico, Pequeño, Mediano, Grande o Extra Grande. La licencia de Firebox Cloud define el número máximo de núcleos Azure CPU que puede usar la Firebox Cloud VM.

Cuando cree una Firebox Cloud (BYOL) VM, seleccione un Tipo de Licencia. Para implementar su VM con recursos apropiados, seleccione el Tipo de Licencia que coincida con el tamaño de licencia de Firebox Cloud.

Firebox Cloud (PAYG)

Con el plan de software Pay As You Go (PAYG), no compra una licencia Firebox Cloud. La opción PAYG incluye una prueba gratuita de 30 días.

Para obtener más información sobre las opciones y licencias, consulte Opciones de Licencia de Firebox Cloud.

Crear un Par de Claves para la Autenticación SSH

Antes de crear una instancia de Firebox Cloud, debe generar una dirección pública SSH-2 RSA/par de llaves públicas. Puede usar una herramienta como, puttygen o el comando ssh-keygen en Linux, para generar el par de llaves.

  • Use la llave pública cuando implemente su instancia de Firebox Cloud.
  • Use la llave privada para las conexiones ssh a la Command Line Interface (CLI) de Fireware para su instancia de Firebox Cloud.

Para usar la utilidad puttygen para generar un par de claves RSA SSH-2:

  1. Descargue e instale la utilidad PuTTYgen disponible en www.putty.org.
  2. Inicie PuTTYgen.
  3. Haga clic en Generar.
  4. Mueva el cursor sobre el área en blanco para generar un poco de aleatoriedad.
    PuTTYgen usa los movimientos del cursor como entrada para generar el par de llaves.

Screen shot of the PuTTY Key Generator

  1. Para guardar la llave pública generada en un archivo, haga clic en Guardar llave pública.
  2. (Opcional) Especifique una contraseña para proteger el archivo de llave privada.
  3. Para guardar la llave privada generada en un archivo, haga clic en Guardar llave privada.

Guarde la llave privada en una ubicación segura. Debe proporcionar la llave privada para conectarse al Fireware command line interface.

Implementar Firebox Cloud

Para crear la instancia de Firebox Cloud:

  1. Inicie sesión en el portal de Azure con las credenciales de su cuenta de Microsoft Azure.
  2. Haga clic en Crear un recurso.
    Se abre el Azure Marketplace.
  3. En el cuadro de texto Buscar, escriba Firebox Cloud.
  4. Seleccione WatchGuard Firebox Cloud.
    Se abren las opciones de licencia de WatchGuard Firebox Cloud.

Screen shot of the Firebox Cloud license options

  1. En la lista despegable Seleccione un plan de software, elija WatchGuard Firebox Cloud (BYOL) o WatchGuard Firebox Cloud (PAYG).
  2. Haga clic en Crear.
    Se abren los pasos de configuración de la máquina virtual.

Screen shot of the Firebox Cloud template steps in Microsoft Azure

  1. En el paso Básico, especifique la información básica sobre su máquina virtual.

Suscripción

El nombre de la suscripción de Azure donde se almacenan la máquina virtual y los recursos. Esta es la cuenta que Microsoft factura por el uso y almacenamiento de la máquina virtual.

Grupo de recursos

Un grupo de recursos es una colección de recursos que comparten el mismo ciclo de vida, los mismos permisos y las mismas políticas. Todos los objetos, como redes e interfaces, y los datos para la instancia de Firebox Cloud se asociarán con el grupo de recursos que especifique. El grupo de recursos no afecta las redes o la conectividad de Firebox a los recursos existentes de Azure.

Microsoft Azure no admite la implementación de una aplicación administrada a un grupo de recursos con recursos existentes. Debe crear un nuevo grupo de recursos o use un grupo de recursos vacío.

Ubicación

La región de Azure para esta instancia de Firebox Cloud.

Nombre de la Firebox Cloud VM

El nombre de la máquina virtual de Firebox Cloud en el portal de Azure.

  1. Haga clic en Siguiente: Ajustes de la Máquina Virtual si está utilizando la opción BYOL, o bien Siguiente: Tamaño de la Máquina Virtual y Datos de la Llave si está utilizando la opción PAYG.
    Se abren los pasos de Configuración de Máquinas Virtuales.

Screen shot of the Virtual Machines Settings page in Azure

  1. En el paso Ajustes de la Máquina Virtual, especifique los detalles de configuración de la máquina virtual.

El Tipo de Licencia Firebox Cloud y el Tamaño de la VM — para Firebox Cloud (BYOL)

Para una licencia BYOL, seleccione el Firebox Cloud License Type. Esta es la licencia Firebox Cloud que adquirió de WatchGuard o de un distribuidor de WatchGuard. Seleccione Pequeño, Mediano, Grande o Extra Grande. Después de seleccionar el Tipo de Licencia, se selecciona un tamaño de VM apropiado de manera predeterminada. Para seleccionar un tamaño diferente, haga clic en Cambiar tamaño. Se crea un Conjunto de Disponibilidad como parte de la implementación de BYOL.

Nivel del Azure VM y Tamaño de la VM — para Firebox Cloud (PAYG)

Para una licencia PAYG, seleccione el nivel del Azure VM para la máquina virtual. Seleccione Nivel Elegible Gratuito o Estándar. Después de seleccionar el nivel de VM, se selecciona un tamaño de VM apropiado de manera predeterminada. Para seleccionar un tamaño diferente, haga clic en Cambiar tamaño.

Llave pública SSH

La llave pública de este Firebox. Puede usar una herramienta como, puttygen o el comando ssh-keygen en Linux, para generar el par de llaves. Debe usar la llave privada asociada con esta llave pública para conectarse a la CLI de Firebox Cloud.

Cuenta de almacenamiento

El nombre de la cuenta de almacenamiento para almacenar los archivos de registro de diagnóstico de inicio. La cuenta de almacenamiento que seleccione no debe estar en otro grupo de recursos en su suscripción. Los archivos de registro de diagnóstico de inicio contienen información que puede ayudar a WatchGuard a resolver problemas.

  1. Haga clic en Siguiente: Ajustes de la Red si utiliza la opción BYOL, o bien Red si utiliza la opción PAYG.

Screen shot of the Network Settings page in the Firebox Cloud Azure Wizard

  1. En el paso Ajustes de la Red, especifique la información de configuración de red requerida.

Red virtual

La red virtual que se usa para este Firebox Cloud. Por defecto, se selecciona un nuevo espacio de direcciones disponible con una máscara de red/16. Puede usar la red virtual predeterminada, editar la red virtual predeterminada o elegir otra red virtual existente.

Subred Externa (Pública)

Revise y configure la subred que se usará para la red Externa (Pública).

Subred De confianza (Privada)

Revise y configure la subred que se usará para la red De confianza (Privada).

Grupo de Seguridad de Red Externa

Un grupo de seguridad de red contiene reglas de seguridad que permiten o rechazan el tráfico de red entrante a la máquina virtual o saliente de esta. Si selecciona Ninguno, no se aplica ningún grupo de seguridad de red externa. Si selecciona Solo Administración, se aplica un grupo de seguridad de red externa que permite el tráfico entrante en TCP 8080, TCP 4118, TCP 4117 para las conexiones de Web UI, CLI y WatchGuard System Manager al Firebox. Si selecciona Permitir Todo, se permite todo el tráfico entrante al Firebox.

Dirección IP pública

Seleccione o cree una dirección IP pública para usar en su interfaz externa de Firebox Cloud. Para una nueva dirección IP pública, especifique un nombre y seleccione el tipo de SKU (Básico o Estándar). Si selecciona un tipo de SKU Básico, seleccione el tipo de asignación de dirección IP, Dinámica o Estática.

Las conexiones entrantes a una dirección IP pública con el tipo SKU Estándar fallan hasta que cree y asocie un grupo de seguridad de red y permita explícitamente el tráfico entrante deseado. Para más información, consulte el artículo tipos de dirección IP y métodos de asignación en Azure en la documentación de Microsoft Azure.

Para asignar una dirección IP secundaria, consulte Asignar varias direcciones IP a máquinas virtuales mediante el portal Azure.

Etiqueta del Nombre de Dominio

Especifique la etiqueta DNS para la dirección IP pública de Firebox Cloud. Deben ser todas letras minúsculas y números.

  1. Haga clic en Siguiente: Revisar + Crear.
  2. En el paso Siguiente: Revisar + Crear, revise la información y corrija los errores, si los hubiera.
  3. Haga clic en Crear.
    Se inicia la implementación.

Una vez finalizada la implementación, puede ir al grupo de recursos o anclar la máquina virtual al panel de control de Microsoft Azure.

Ubicación de la ID de la Instancia (ID de la VM)

Después de implementar su instancia de Firebox Cloud, debe encontrar la ID de la Instancia, también conocida como ID de la VM. Necesitará esta ID para activar su licencia e iniciar sesión en Fireware Web UI para ejecutar el Firebox Cloud Setup Wizard. Puede encontrar la ID de la instancia en el nombre del contenedor de almacenamiento para los registros de diagnóstico de inicio.

Para encontrar la ID de la Instancia de Firebox Cloud:

  1. En el menú de navegación izquierdo de Azure, seleccione cuentas de Almacenamiento.
  2. Haga clic en el nombre de la cuenta de almacenamiento asociada a su instancia de Firebox Cloud.
  3. En la sección Servicio Blob, seleccione Contenedores.
  4. Busque el contenedor de diagnóstico de inicio. El nombre del contenedor de diagnóstico de inicio tiene el siguiente formato:
    <bootdiagnostics>-<vmname>-<vmid>
    Por ejemplo:
    bootdiagnostics-fbcloud-11111111-2222-3333-4444-f86331913a6d
  5. Copie la ID de la VM al final del nombre del contenedor.

Debe tener esta ID de la instancia para activar su licencia de Firebox Cloud y para ejecutar el Firebox Cloud Setup Wizard.

Activar su Licencia de Firebox Cloud

Para Firebox Cloud con una licencia BYOL, debe activar el número de serie de Firebox Cloud en el portal de WatchGuard. Antes de poder activar Firebox Cloud, debe tener el número de serie de Firebox Cloud que recibió de WatchGuard y debe conocer la ID de la Instancia de Firebox Cloud.

Para activar su licencia de Firebox Cloud:

  1. Vaya a www.watchguard.com.
  2. Haga clic en Soporte.
  3. Haga clic en Activar Productos.
  4. Inicie sesión en su cuenta del portal de Cliente o Socio de WatchGuard. Si no tiene una cuenta, puede crear una.
  5. Si es necesario, navegue hasta el Centro de Soporte y seleccione Mi WatchGuard > Activar Producto.
  6. Cuando se le solicite, proporcione el número de serie de su Firebox Cloud y la ID de la Instancia.
  7. Cuando se complete la activación, copie la llave de licencia y guárdela en un archivo local.

Para obtener más información sobre cómo activar su licencia de Firebox Cloud, consulte Activar un Dispositivo o Función de WatchGuard.

Ejecutar el Firebox Cloud Setup Wizard

Después de implementar Firebox Cloud, puede conectarse a Fireware Web UI a través de la dirección IP pública para ejecutar el Firebox Cloud Setup Wizard. Usará el asistente para configurar las contraseñas administrativas para Firebox Cloud.

Para ejecutar el Firebox Cloud Setup Wizard:

  1. Conéctese a Fireware Web UI para su Firebox Cloud con la dirección IP pública:
    https://<eth0_public_IP>:8080
  2. Inicie sesión con el nombre de usuario y la contraseña predeterminados de la cuenta de Administrator:
    • Nombre de usuario — admin
    • Contraseña — El Firebox Cloud Instance ID

    Se abre la página de bienvenida de Firebox Cloud Setup Wizard.

  3. Haga clic en Siguiente.
    Se inicia el asistente de configuración.
  4. Lea y acepte el Acuerdo de Licencia. Haga clic en Siguiente.

Screen shot of the Create passphrases step in the Web Setup Wizard

  1. Especifique nuevas contraseñas para las cuentas de usuario integradas estado y admin.
  2. Haga clic en Siguiente.
    La configuración se guarda en Firebox Cloud y el asistente termina.

Conectarse a Fireware Web UI

Para conectarse a Fireware Web UI y administrar Firebox Cloud:

  1. Abra un explorador web y vaya a la dirección de la IP pública para su instancia de Firebox Cloud en:
    https://<eth0_public_IP>:8080
  2. Inicie sesión con la cuenta de usuario admin. Asegúrese de especificar la contraseña que configuró en el Firebox Cloud Setup Wizard.

De forma predeterminada, Firebox Cloud permite que más de un usuario con credenciales de Administrador de Dispositivos inicie sesión al mismo tiempo. Para evitar que más de un administrador realice cambios al mismo tiempo, la configuración se bloquea de manera predeterminada. Para desbloquear la configuración y poder hacer cambios, haga clic en el ícono de Bloqueado.

Si prefiere permitir que solo un Administrador de Dispositivos inicie sesión al mismo tiempo, seleccione Sistema > Configuración Global y desmarque la casilla de selección Habilitar más de un Administrador de Dispositivos para iniciar sesión al mismo tiempo.

Microsoft Azure finaliza automáticamente su conexión de administración en el Firebox Cloud después de 30 minutos de inactividad. Para evitar la desconexión inesperada de su sesión de administración, no configure el Tiempo de Espera Inactivo de la Sesión de Administración en la página Autenticación > Ajustes de Fireware a un valor superior a 30 minutos.

Agregar la Llave de Licencia

Si ha recibido o descargado la llave de licencia de Firebox Cloud en un archivo local, en el asistente Feature Key Wizard, seleccione Sí, tengo una copia local de la llave de licencia y péguela en el asistente.

Si activó una licencia de Firebox Cloud en el portal de WatchGuard, su llave de licencia está disponible directamente en WatchGuard. Debe agregar esta llave de licencia a la configuración de Firebox Cloud para habilitar todas las funciones y opciones de configuración en Firebox Cloud.

Después de agregar la llave de licencia, Firebox Cloud se reinicia automáticamente con un nuevo número de serie.

Para agregar la llave de licencia, desde Fireware Web UI:

  1. Seleccione Sistema > Llave de Licencia.
    Se abre la página de Feature Key Wizard.

Screen shot of the Feature Key Wizard welcome page

  1. Para desbloquear el archivo de configuración, haga clic en el ícono de Bloqueado.
  2. Para descargar e instalar la llave de licencia, haga clic en Siguiente.
  3. En la página Resumen, verifique que su llave de licencia se haya instalado correctamente.
    Cuando su llave de licencia se haya instalado, aparecerá el mensaje Llave de Licencia Recuperada con Éxito en la página Resumen.

Screen shot of the Feature Key wizard Summary page

  1. Haga clic en Siguiente.
    El asistente se completa y Firebox Cloud se reinicia con un nuevo número de serie.

Próximos Pasos

Después de ejecutar el asistente de configuración y agregar la llave de licencia, puede usar el Fireware Web UI o Policy Manager para configurar los ajustes de Firebox Cloud.

Habilitar la Sincronización de Llaves de Licencia

Habilite a Firebox Cloud para verificar automáticamente las actualizaciones de la llave de licencia cuando los servicios estén próximos a expirar.

Para habilitar la sincronización de llaves de licencia, en Fireware Web UI:

  1. Seleccione Sistema > Llave de Licencia.
  2. Marque la casilla de selección Habilitar la sincronización automática de llaves de licencia.
  3. Haga clic en Guardar.

Para habilitar la sincronización de llaves de licencia, en Policy Manager:

  1. Conéctese a Firebox Cloud en WatchGuard System Manager.
  2. Abre el Policy Manager.
  3. Seleccione Sistema > Llaves de Licencia.
  4. Marque la casilla de selección Habilitar la sincronización automática de llaves de licencia.
  5. Haga clic en Guardar.

Configurar Firebox Cloud para Enviar Retroalimentación a WatchGuard

Para habilitar Firebox Cloud para enviar retroalimentación, en el Fireware Web UI:

  1. Seleccione Sistema > Configuración Global.
  2. Marque la casilla de selección Enviar retroalimentación del dispositivo a WatchGuard.
  3. Seleccione la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.

Para habilitar Firebox Cloud para enviar retroalimentación, en Policy Manager:

  1. Conéctese a Firebox Cloud en WatchGuard System Manager.
  2. Abre el Policy Manager.
  3. Seleccione Configurar > Configuraciones Globales.
  4. Marque la casilla de selección Enviar retroalimentación del dispositivo a WatchGuard.
  5. Seleccione la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.

Configurar Políticas y Servicios de Firewall

Las políticas predeterminadas WatchGuard y WatchGuard Web UI permiten conexiones de administración desde cualquier equipo en las redes de confianza, opcionales o externas. Si no desea permitir conexiones de administración desde la red externa, edite las políticas de WatchGuard y de WatchGuard Web UI para eliminar el alias Cualquiera-Externo de la lista Desde. Para permitir la administración solo desde un equipo específico en la red externa, puede agregar la dirección de ese equipo de administración a la lista Desde en estas políticas.

Configure otras políticas y servicios como lo haría con cualquier otro Firebox.

Firebox Cloud no es compatible con todas las funciones de Fireware. Para obtener un resumen de las diferencias entre Firebox Cloud y otros modelos de Firebox, consulte Diferencias de las Funciones de Firebox Cloud.