Implementar FireboxV o XTMv en VMware ESXi
Este procedimiento de instalación describe cómo implementar y configurar una máquina virtual FireboxV o XTMv en un host de VMware vSphere ESXi.
Prerrequisitos de Instalación
Requisitos del sistema para WatchGuard FireboxV VMware:
- VMware ESXi 6.0, 6.5, 6.7, o 7.0
Requisitos del sistema para WatchGuard XTMv VMware:
- VMware ESXi 6.0
Hardware y Recursos del Sistema
- Los requisitos de hardware para FireboxV y XTMv son los mismos que los requisitos de hardware para VMware ESXi.
Para obtener información sobre la compatibilidad de hardware de VMware, consulte la Guía de Compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php.
- Cada máquina virtual FireboxV o XTMv requiere 5 GB de espacio en disco.
- Otros recursos del sistema varían según el modelo de FireboxV
| Modelo de FireboxV | Memoria Total Mínima | Memoria Recomendada | vCPUs máximas |
|---|---|---|---|
| Pequeño |
2048 MB* |
4096 MB | 2 |
| Medio | 4096 MB | 4096 MB | 4 |
| Grande | 4096 MB | 8192 MB | 8 |
| Extra Grande | 4096 MB | 16384 MB | 16 |
* Se requieren 4096 MB de memoria para habilitar Access Portal e IntelligentAV, así como para usar el conjunto de firmas Completo para IPS/Application Control
| Modelo de XTMv | Memoria | vCPUs recomendados |
|---|---|---|
| Edición para Oficina Pequeña | 2048 MB | 1 |
| Edición para Oficina Mediana | 4096 MB | 2 |
| Edición para Oficina Grande | 4096 MB | 3 |
| Edición Datacenter | 4096 MB | 8 |
Algunos clientes de WatchGuard han utilizado vMotion con éxito para migrar una máquina virtual XTMv entre hosts ESXi mientras la máquina virtual XTMv está encendida y transitando el tráfico. Sin embargo, recomendamos que apague la máquina virtual FireboxV o XTMv, si es posible, antes de migrar entre hosts ESXi.
Antes de Empezar
Para prepararse para su instalación, asegúrese de tener:
- Número de serie del dispositivo FireboxV o XTMv
Recibirá el número de serie cuando compre el dispositivo virtual FireboxV o XTMv. - Llave de licencia de FireboxV o XTMv
La llave de licencia contiene el número de serie del dispositivo y las funciones incluidas en la licencia. - Archivo de Formato de Máquina Virtual Abierta (.ovf) de WatchGuard FireboxV o XTMv
- WatchGuard System Manager (opcional)
La versión de WSM debe ser la misma versión o superior a la versión de Fireware
Para obtener la llave de licencia:
- Vaya a www.watchguard.com/activate y active el número de serie del dispositivo.
El proceso de activación crea una llave de licencia para el Firebox. - Copie la llave de licencia en un archivo de texto local.
Para descargar el archivo de instalación y otro software para usar con su Firebox:
- Vaya a software.watchguard.com y seleccione FireboxV o XTMv para VMware.
- Descargue el archivo zip de FireboxV o el archivo de plantilla .ova de XTMv.
- Descargue WatchGuard System Manager (opcional).
Vista General de la Instalación
Para completar la instalación inicial:
- En VMware vSphere Client, implemente el dispositivo virtual FireboxV o XTMv en el host ESXi y encienda la máquina virtual FireboxV o XTMv.
- Conéctese a la máquina virtual FireboxV o XTMv y ejecute el Web Setup Wizard para ajustar una configuración básica.
- Asigne recursos adicionales a la máquina virtual de FireboxV o XTMv.
Esta guía describe cómo ejecutar el Web Setup Wizard para crear su configuración inicial para una máquina virtual FireboxV. Si ha instalado WatchGuard System Manager en un equipo en la red de confianza de FireboxV o XTMv, en lugar del Web Setup Wizard, puede ejecutar el Quick Setup Wizard en WatchGuard System Manager para descubrir la máquina virtual y ajustar la configuración básica.
Para activar su Firebox en el Web Setup Wizard, debe tener el número de serie del Firebox. No puede usar un número de serie que termine con 000000000, que es el número de serie de un dispositivo no activado.
Consideraciones de Red
Cuando crea un dispositivo virtual FireboxV o XTMv, se configura inicialmente con dos interfaces activas.
Interfaz externa
La interfaz externa, Interfaz 0, está configurada de forma predeterminada para solicitar una dirección IP desde un servidor DHCP. Para conectarse a esta interfaz para la configuración inicial del dispositivo, debe asignar esta interfaz a una red de destino que tenga un servidor DHCP.
Interfaz de confianza
La interfaz de confianza, Interfaz 1, tiene una dirección IP predeterminada de 10.0.1.1.
Cuando crea la máquina virtual FireboxV o XTMv en el entorno ESXi, antes de ejecutar el Fireware Web Setup Wizard, debe asignar cada una de estas interfaces a una red de destino.
Para obtener el mejor rendimiento y estabilidad de la red, le recomendamos que elija un adaptador de red virtual vmxnet3 para cada interfaz de Firebox. No use un adaptador de red virtual e1000.
Después de crear la máquina virtual FireboxV o XTMv, puede habilitar y configurar interfaces de red adicionales. Para que funcionen las interfaces adicionales, debe configurar la máquina virtual FireboxV o XTMv en vSphere Web Client para agregar la cantidad de adaptadores de red que desea habilitar en la configuración del dispositivo FireboxV.
Debe configurar las direcciones MAC de ESXi en orden creciente por el número de interfaz ESXi. Esto garantiza que las interfaces de Firebox se correspondan con las interfaces ESXi de la siguiente manera:
| Interfaz FireboxV o XTMv | Interfaz ESXi | Dirección MAC de la Interfaz ESXi |
|---|---|---|
| eth0 | 1 | 22:22:22:22:22:20 |
| eth1 | 2 | 22:22:22:22:22:21 |
| eth2 | 3 | 22:22:22:22:22:22 |
| eth3 | 4 | 22:22:22:22:22:23 |
Implementar el Dispositivo Virtual FireboxV o XTMv
Puede usar vSphere Client, vSphere Web Client o vCenter Server para implementar el dispositivo virtual FireboxV o XTMv (archivo de plantilla OVF). El archivo de plantilla OVF se instala como una máquina virtual de 64 bits.
Las diferentes versiones de VMware ESXi admiten diferentes clientes de VMware. Puede usar cualquier cliente admitido para implementar al archivo .ova y asignar los recursos necesarios al Firebox. Por ejemplo, VMware 6.5 admite estos clientes:
- VMware Host Client
- vSphere Client - HTML5
- vSphere Web Client
- vSphere Appliance Management UI (VAMI) - HTML5
- PSC Management UI - HTML5
Los siguientes procedimientos describen cómo implementar una máquina virtual en ESXi Host Client.
Para obtener información acerca de cómo implementar una máquina virtual y configurar los recursos necesarios para otro cliente de VMware, consulte la documentación de ese cliente de VMware.
Las versiones anteriores de ESXi admiten Windows vSphere Client, que no es admitido en las versiones v6.5 y superiores. Para obtener instrucciones sobre cómo usar el Windows vSphere Client para instalar una máquina virtual FireboxV o XTMv, consulte la versión v11.11 de la Guía de Configuración de WatchGuard XTMv disponible en la página de Documentación en https://www.watchguard.com/wgrd-help/documentation/xtm
Para usar VMware Host Client para implementar la máquina virtual FireboxV:
- Conéctese al VMware Host Client en https://<ESXi_Host>/UI.
Reemplace <ESXi_Host> con la FQDN o la dirección IP de su host ESXi. - En el panel del Navegador, seleccione Host.
- Seleccione Acciones > Crear/Registrar VM.
Se inicia el asistente New virtual machine wizard. - Complete los pasos en el Asistente de nueva máquina virtual.
El asistente lo ayuda a completar estos pasos:
Tipo de creación
Seleccione Implementar una máquina virtual desde un archivo OVF u OVA.
Acuerdo de licencia
Revise y acepte el Acuerdo de Licencia de WatchGuard.
Nombre
Especifique el nombre de la máquina virtual.
Archivo OVA
El archivo .ovf de FireboxV o XTMv que descargó de WatchGuard
Almacén de datos de destino
Seleccione un almacén de datos con al menos 5 GB de espacio disponible.
Asignaciones de red
Seleccione las redes para asignar a la Red 0 (Eth0: Externa) y a la Red 1 (eth1: De confianza). Eth) está configurado para usar DHCP para obtener una dirección IP por defecto. Seleccione un adaptador de red vmxnet3 para cada interfaz.
Aprovisionamiento de disco
Le recomendamos que seleccione Thick para asignar todo el almacenamiento de inmediato.
Ajustes adicionales
No ajuste configuraciones de red adicionales. Utilizará el Fireware Web Setup Wizard para configurar las redes de Firebox.
Una vez que finaliza el asistente y se completa la implementación, aparece la máquina virtual FireboxV o XTMv en la lista Máquinas Virtuales. La máquina virtual se enciende automáticamente.
Configuraciones Predeterminadas de Fábrica de FireboxV y XTMv
Cuando enciende una máquina virtual FireboxV o XTMv por primera vez, antes de ejecutar el asistente de configuración, comienza con las configuraciones predeterminadas de fábrica:
- Hay dos interfaces activas: externa y de confianza.
- La interfaz de confianza tiene la dirección IP 10.0.1.1.
- La interfaz externa está configurada para recibir una dirección IP a través de DHCP.
- La interfaz de confianza no está configurada para asignar direcciones IP con DHCP.
Esto es diferente del ajuste predeterminado para otros Fireboxes. - Tanto las interfaces de confianza como las externas aceptan conexiones de administración.
Esto es diferente del ajuste predeterminado para otros Fireboxes. - La contraseña de la cuenta de administrador es readwrite.
- El número de serie de un dispositivo FireboxV o XTMv no activado finaliza con 000000000.
Usted asigna el número de serie real durante la activación del dispositivo.
Para encontrar la dirección IP externa asignada:
- En la lista de máquinas virtuales, haga clic en la máquina virtual FireboxV o XTMv.
- En la sección Información General > Redes, busque las direcciones IP.
Usar el Web Setup Wizard para Crear una Configuración Básica
El Fireware Web Setup Wizard es muy similar para FireboxV que para cualquier otro Firebox. Una diferencia es que, para una máquina virtual FireboxV, usted puede conectarse a la interfaz de confianza o a la interfaz externa para ejecutar el Web Setup Wizard. Otra diferencia es que la máquina virtual se reinicia después de que se completa el asistente, de modo que la máquina virtual pueda reiniciarse con el nuevo número de serie.
Si no completa todos los pasos del asistente Web Setup Wizard en 15 minutos, el asistente no guardará ninguno de sus ajustes. Debe iniciar sesión y comenzar de nuevo.
El Web Setup Wizard incluye un paso para activar su dispositivo FireboxV. Debe activar el Firebox con una llave de licencia para obtener el número de serie y habilitar todas las funciones con licencia.
Para establecer la configuración básica en una máquina virtual FireboxV:
- Abra un explorador web y conéctese a Fireware Web UI en la interfaz externa o de confianza.
- Conéctar a la interfaz externa — desde cualquier computadora en la red externa de FireboxV, conéctese a:
https://<External_IP_Address>:8080
Para <External_IP_Address>, use la dirección IP asignada a la interfaz externa. - Conectarse a la interfaz de confianza — Desde cualquier equipo en la red de confianza FireboxV, conéctese a:
https://10.0.1.1:8080
- Inicie sesión en Fireware Web UI con las credenciales de cuenta del administrador predeterminado.
- Nombre de usuario — admin
- Contraseña — readwrite
- Seleccione Nueva Configuración.
- Complete los pasos en el Web Setup Wizard.
El Web Setup Wizard lo ayuda a completar estos pasos:
Configurar la interfaz Externa
Seleccione y configure el método que quiere que use su dispositivo para establecer una dirección IP externa. Las opciones son:
- DHCP — Ingrese la identificación DHCP tal como le fue provista por su ISP.
- PPPoE — Ingrese su información de PPPoE, tal como le fue provista por su ISP.
- Estática — Ingrese su dirección IP estática y de puerta de enlace, tal como le fue provista por su ISP.
Para obtener más información acerca de estos métodos, consulte Configurar una interfaz externa.
Configurar servidores DNS y WINS (Opcional)
Configure las direcciones de servidor DNS y WINS que desee que use el Firebox.
Configurar la interfaz de Confianza
Ingrese la dirección IP de la Interfaz de confianza. (Opcional) Si quiere que Firebox asigne direcciones IP a los equipos que se conectan a la red de confianza, puede habilitar el servidor DHCP y asignar un rango de direcciones IP en la misma subred que la dirección IP de la interfaz.
Crear contraseñas para su dispositivo
Establezca contraseñas nuevas para los estados (solo-lectura) y las cuentas de usuario integradas de admin (leer/escribir).
Habilitar administración remota (Opcional)
Habilite la administración remota si desea administrar este Firebox por medio de la interfaz externa.
Agregar información del dispositivo
Puede ingresar un nombre de dispositivo, ubicación e información de contacto y guardar los datos de administración para ese dispositivo. De manera predeterminada, el nombre del dispositivo es el número de modelo de su Firebox. Le recomendamos que elija un nombre único que pueda usar para identificar fácilmente este Firebox, especialmente si usa administración remota. La ubicación y la información de contacto son opcionales.
Configurar la zona horaria
Seleccione la zona horaria en la que el Firebox está ubicado.
Agregar la llave de licencia
Pegue el texto de la llave de licencia en el asistente de configuración.
Si no copió la llave de licencia cuando activó el número de serie de su Firebox, puede obtenerlo en la página de Detalles del Producto para su Firebox. Para más información, consulte Acerca de la Página de Detalles del Producto.
Configurar los servicios de suscripción
El asistente de configuración muestra una lista de servicios con licencia de la llave de licencia. El asistente de configuración habilita automáticamente los servicios enlistados con la configuración recomendada. Para WebBlocker, el asistente de configuración recomienda categorías de contenido para bloquear, y usted modifica esta configuración en el asistente.
Revisar la Configuración
Después de revisar los ajustes, el asistente de configuración los guarda en el Firebox.
Después que el Setup Wizard Finaliza
Después de completar el asistente, la máquina virtual FireboxV o XTMv se reinicia con el nuevo número de serie. El setup wizard crea una configuración básica que admite el tráfico saliente TCP, UDP y ping, y bloquea todo el tráfico no solicitado de la red externa. También utiliza las direcciones IP de interfaz y las contraseñas administrativas que especificó. El asistente habilita automáticamente las políticas y los servicios predeterminados con la configuración recomendada. Para más detalles acerca de las políticas y servicios predeterminados, consulte Políticas y Ajustes Predeterminados del Asistente Setup Wizard.
Si cambió la dirección IP de la interfaz que utilizó para conectarse al Web Setup Wizard de Fireware, debe usar la nueva dirección para conectarse y administrar el dispositivo.
Conexiones Administrativas al FireboxV y XTMv
Para una máquina virtual FireboxV o XTMv, las políticas predeterminadas de WatchGuard y de WatchGuard Web UI permiten conexiones de administración desde cualquier equipo en las redes de confianza, opcionales o externas. Esto es diferente de la configuración predeterminada para otros dispositivos WatchGuard, que no permiten conexiones de administración desde la red externa de forma predeterminada. Si no desea permitir conexiones de administración desde la red externa, edite las políticas de WatchGuard y de WatchGuard Web UI para eliminar el alias Cualquiera-Externo de la lista Desde. Para permitir la administración solo desde un equipo específico en la red externa, puede agregar la dirección de ese equipo de administración a la lista Desde en estas políticas.
Puede usar Fireware Web UI, WatchGuard System Manager o la Command Line Interface (CLI) de Fireware para cambiar la configuración de su máquina virtual FireboxV o XTMv. Puede conectarse a la interfaz de confianza o externa desde cualquier equipo en la misma red.
Para obtener más información, consulte:
Si necesita restablecer un dispositivo FireboxV o XTMv a los ajustes predeterminados de fábrica, puede usar la Command Line Interface de Fireware. Para más información, consulte Restablecer las Configuraciones Predeterminadas de Fábrica de FireboxV o XTMv.