Implementar FireboxV o XTMv en Hyper-V

Este procedimiento de instalación describe cómo implementar y configurar una máquina virtual FireboxV en Microsoft Windows Server 2012 con un rol de Hyper-V. Los pasos de instalación son similares a los de otros entornos de Hyper-V.

Requisitos del sistema para WatchGuard FireboxV Hyper-V:

  • Windows Server o Hyper-V Server 2012 R2, 2016, o 2019

Requisitos del sistema para WatchGuard XTMv Hyper-V:

  • Windows Server o Hyper-V Server 2012 R2 o 2016

FireCluster no es compatible con FireboxV o XTMv en Hyper-V.

Prerrequisitos de Instalación

El entorno de Microsoft Hyper-V debe cumplir estos requisitos:

Hyper-V

  • Para crear y ejecutar máquinas virtuales en Windows Server, debe instalar la función Hyper-V.
  • Asegúrese de que su software Windows Server o Hyper-V Server esté actualizado al último nivel de parche.
  • Los procedimientos en este documento usan el Hyper-V Manager en Windows Server 2012 R2 para implementar, configurar y aprovisionar la máquina virtual FireboxV en el entorno de Hyper-V. También puede usar la interfaz de System Center Virtual Machine Manager (VMM) o una función de Hyper-V en una computadora cliente en lugar del Hyper-V Manager.

Hardware y Recursos del Sistema

  • Hardware: cualquier hardware que cumpla con los requisitos para Hyper-V Server o Windows Server
  • Cada máquina virtual FireboxV requiere 5 GB de espacio en disco
  • Otros recursos del sistema varían según el modelo de FireboxV o XTMv
Modelo de FireboxV Memoria Total Mínima Memoria Recomendada vCPUs máximas
Pequeño

2048 MB*

 4096 MB 2
Medio 4096 MB 4096 MB 4
Grande 4096 MB 8192 MB 8
Extra Grande 4096 MB 16384 MB 16

* Se requieren 4096 MB de memoria para habilitar Access Portal e IntelligentAV, así como para usar el conjunto de firmas Completo para IPS/Application Control

Modelo de XTMv Memoria vCPUs recomendados
Edición para Oficina Pequeña 2048 MB 1
Edición para Oficina Mediana 4096 MB 2
Edición para Oficina Grande 4096 MB 3
Edición Datacenter 4096 MB 8

Puede asignar hasta un total de 8 adaptadores de red adicionales que correspondan con las interfaces 0-7 en la configuración de Fireware.

Todos los modelos FireboxV y XTMv admiten un máximo de 10 interfaces. Como usted no puede usar adaptadores de red heredados con una máquina virtual FireboxV o XTMv, el límite práctico para FireboxV o XTMv en un entorno Hyper-V es ocho.

Antes de Empezar

Para prepararse para su instalación, asegúrese de tener:

  • Hyper-V instalado en Windows Server o Hyper-V Server 2012 R2, 2016 o 2019
  • Número de serie de FireboxV o XTMv.
    Usted recibe el número de serie cuando compra el dispositivo virtual FireboxV.
  • Llave de licencia de FireboxV o XTMv
    La llave de licencia contiene el número de serie del dispositivo y las funciones incluidas en la licencia.
  • Archivo de disco duro virtual (.vhd) de WatchGuard FireboxV
    El nombre del archivo es fireboxv_<versión>.vhd, donde <versión> es la versión de Fireware.
  • WatchGuard System Manager (opcional)
    La versión de WSM debe ser de la misma versión o superior que la versión de Fireware

Para obtener la llave de licencia:

  1. Vaya a www.watchguard.com/activate y active el número de serie del dispositivo.
    El proceso de activación crea una llave de licencia para el Firebox.
  2. Copie la llave de licencia en un archivo de texto local.

Para descargar el archivo de instalación y otro software para usar con su Firebox:

  1. Vaya a software.watchguard.com y seleccione FireboxV o XTMv para Hyper-V.
  2. Descargue el archivo zip de FireboxV o el archivo zip de XTMv.
  3. Descargue WatchGuard System Manager (opcional).

Extraiga el archivo .vhd del archivo .zip a una ubicación en el servidor de Windows donde está instalado Hyper-V. Quizá desee extraer el archivo .vhd a la ubicación predeterminada donde Hyper-V almacena discos duros virtuales. En Windows Server 2012, la ubicación predeterminada es C:\Users\Public\Public Documents\Hyper-V\Virtual hard disks.

Como un archivo .vhd es un disco duro virtual, no se puede usar para más de una máquina virtual conectada al mismo tiempo. Para implementar máquinas virtuales FireboxV adicionales, asegúrese de guardar una copia del archivo .vhd descomprimido con un nombre único para cada máquina virtual. Luego, cuando agregue la máquina virtual, asegúrese de seleccionar el archivo .vhd para usar con esa máquina virtual.

Vista General de la Instalación

Para completar la instalación inicial:

  1. Cree la máquina virtual FireboxV y seleccione el archivo .vhd para usar.
  2. Asigne adaptadores de red y encienda la máquina virtual FireboxV o XTMv.
  3. Conéctese a la máquina virtual FireboxV o XTMv y ejecute el Web Setup Wizard.
  4. Asigne recursos adicionales a la máquina virtual de FireboxV o XTMv.

Esta guía describe cómo usar el Web Setup Wizard para crear su configuración inicial. Si instaló WatchGuard System Manager en un equipo en la red de confianza de FireboxV o XTMv, en lugar del Web Setup Wizard, puede usar el Quick Setup Wizard en WatchGuard System Manager para descubrir la máquina virtual de FireboxV o XTMv y ajustar la configuración básica.

Para activar su dispositivo en el Web Setup Wizard, debe tener el número de serie del dispositivo. No puede usar un número de serie que termine con 000000000, que es el número de serie de un dispositivo no activado.

Consideraciones de Red

Cuando crea el dispositivo virtual FireboxV, se configura inicialmente con dos interfaces activas.

Interfaz externa

La interfaz externa, Interfaz 0, está configurada de forma predeterminada para solicitar una dirección IP desde un servidor DHCP. Para conectarse a esta interfaz para la configuración inicial del dispositivo, debe asignar esta interfaz a una red de destino que tenga un servidor DHCP.

Interfaz de confianza

La interfaz de confianza, Interfaz 1, tiene una dirección IP predeterminada de 10.0.1.1.

Cuando crea la máquina virtual FireboxV en el entorno de Hyper-V, antes de ejecutar el Web Setup Wizard para el dispositivo FireboxV, debe agregar al menos dos adaptadores de red (no adaptadores de red heredados) a la máquina virtual para las interfaces externa y de confianza.

Después de crear la máquina virtual FireboxV, puede habilitar y configurar interfaces de red FireboxV adicionales. Para que las interfaces adicionales funcionen, debe configurar la máquina virtual FireboxV en el Administrador de Hyper-V o System Center VMM para agregar la cantidad de adaptadores de red que desea habilitar en la configuración de FireboxV.

Crear la Máquina Virtual FireboxV o XTMv

Puede usar el Administrador de Hyper-V o System Center VMM para crear la máquina virtual FireboxV. El archivo .vhd de FireboxV se instala como una máquina virtual de 64 bits.

Para usar el Administrador de Hyper-V:

  1. En el Servidor Windows o Hyper-V, inicie el Hyper-V Manager.
  2. Seleccione Acción> Nueva > Máquina Virtual.
    Arranca el New Virtual Machine Wizard.
  3. Si aparece la página Antes de Comenzar, haga clic en Siguiente.
    Aparece la página Especificar Nombre y Ubicación.

Screen shot of the New Virtual Machine Wizard, Specify Name and Location

  1. En el cuadro de texto Nombre, ingrese un nombre para esta máquina virtual.

  2. Para almacenar la máquina virtual en una carpeta distinta de la carpeta predeterminada, marque la casilla de selección Almacenar la máquina virtual en una ubicación diferente. Haga clic en Explorar y seleccione la ubicación para almacenar la máquina virtual. Haga clic en Siguiente.
    Para Hyper-V 2012, aparece la página Especificar Generación.

  3. En la página Especificar Generación, seleccione Generación 1. Haga clic en Siguiente.

  4. En la página Asignar Memoria, en el cuadro de texto Memoria de arranque, escriba la cantidad de memoria que se asignará en función de su modelo FireboxV:

    • Pequeño — 1024 MB
    • Mediano — 2048 MB
    • Grande o Extra Grande — 4096 MB

  5. Haga clic en Siguiente.

  6. Aparece la página Configurar Red.

  7. En la lista desplegable Conexión, seleccione el adaptador de red virtual que desea utilizar para la interfaz externa, Eth0. No seleccione adaptador de red heredado.

  8. Haga clic en Siguiente.
  9. Seleccione Usar un disco duro virtual existente.

Screen shot of the New Virtual Machine Wizard, Connect Virtual Hard Disk

  1. Haga clic en Explorar y seleccione la ubicación donde guardó el archivo .vhd FireboxV WatchGuard. Haga clic en Siguiente.
  2. Revisar el resumen. Haga clic en Finalizar.
    La máquina virtual FireboxV aparece en el panel de Máquinas Virtuales de Hyper-V Manager.

Screen shot of the Virtual Machines pane with a FireboxV virtual machine added

Agregar Adaptadores de Red

Antes de que pueda configurar Fireware en su máquina virtual FireboxV, debe agregarle dos adaptadores de red virtuales. El primero que seleccione es para la interfaz externa, Eth0. El segundo es para la interfaz de confianza, Eth1. Los adaptadores de red virtual que utilice para su dispositivo FireboxV deben ser adaptadores de red, no adaptadores de red heredada.

En el New Virtual Machine Wizard, usted seleccionó el primer adaptador de red virtual. A continuación, debe agregar el adaptador de red virtual para usar con la interfaz de confianza de la máquina virtual FireboxV, Eth1. Debe hacer esto mientras la máquina virtual no se haya iniciado.

  1. En el panel de Máquinas Virtuales de Hyper-V Manager, seleccione la máquina virtual FireboxV que acaba de agregar.
  2. Desde la lista Acciones, seleccione Configuraciones.
  3. Desde la lista Hardware, seleccione Agregar Hardware.
  4. Seleccione Adaptador de Red y haga clic en Agregar.
    No seleccione Adaptador de Red Heredado. FireboxV no admite adaptadores de red heredados.
  5. En la lista desplegable Conmutador Virtual, seleccione el conmutador virtual que se utilizará para la interfaz de confianza del dispositivo FireboxV (Eth1). Haga clic en Aplicar.
  6. Verifique que ambos adaptadores de red aparezcan en la lista de Hardware. Haga clic en Aceptar.

Si desea agregar CPU o interfaces virtuales a esta máquina virtual, puede asignar esos recursos ahora, antes de iniciar la máquina virtual. O puede completar este paso más adelante.

Para agregar un procesador virtual, en el Administrador de Hyper-V:

  1. En el panel de Máquinas Virtuales, seleccione la máquina virtual FireboxV.
  2. Si el estado de la máquina virtual no es Apagado, haga clic con el botón derecho en la máquina virtual y seleccione Apagar.
  3. Desde la lista Acciones, seleccione Configuraciones.
  4. En la lista Hardware, seleccione Procesador.
  5. En el cuadro de texto Número de procesadores virtuales, escriba o seleccione la cantidad de procesadores por asignar.
  6. Haga clic en Aplicar.

Para más información acerca de cómo asignar recursos adicionales, consulte Configurar Recursos en Hyper-V.

Iniciar la Máquina Virtual FireboxV

A continuación, inicie la máquina virtual FireboxV. Cuando enciende inicialmente la máquina virtual FireboxV, envía automáticamente una difusión DHCP para solicitar una dirección IP para la interfaz externa. Si se configura un servidor DHCP en la red externa, la interfaz externa de FireboxV recibe una dirección IP.

Para encender la máquina virtual FireboxV:

  1. En el panel de Máquinas Virtuales de Hyper-V Manager, seleccione la máquina virtual FireboxV.
  2. En la lista Acciones, haga clic en Iniciar.
    O seleccione Acción > Iniciar.
    La máquina virtual FireboxV está encendida con los ajustes predeterminados de fábrica. El estado del dispositivo es En ejecución.

Configuraciones Predeterminadas de Fábrica de FireboxV y XTMv

Cuando enciende una máquina virtual FireboxV o XTMv por primera vez, antes de ejecutar el asistente de configuración, comienza con las configuraciones predeterminadas de fábrica:

  • Hay dos interfaces activas: externa y de confianza.
  • La interfaz de confianza tiene la dirección IP 10.0.1.1.
  • La interfaz externa está configurada para recibir una dirección IP a través de DHCP.
  • La interfaz de confianza no está configurada para asignar direcciones IP con DHCP.
    Esto es diferente del ajuste predeterminado para otros Fireboxes.
  • Tanto las interfaces de confianza como las externas aceptan conexiones de administración.
    Esto es diferente del ajuste predeterminado para otros Fireboxes.
  • La contraseña de la cuenta de administrador es readwrite.
  • El número de serie de un dispositivo FireboxV o XTMv no activado finaliza con 000000000.
    Usted asigna el número de serie real durante la activación del dispositivo.

Encontrar la Dirección IP Externa

Si la red externa tiene un servidor DHCP, a la interfaz externa del dispositivo FireboxV se le asigna automáticamente una dirección IP. Si desea utilizar esta dirección IP para conectarse al dispositivo, puede usar la Command Line Interface de Fireware para ver qué dirección IP se ha asignado a la interfaz externa.

Para usar la CLI para ver las direcciones IP asignadas a un dispositivo FireboxV activo:

  1. En el panel de Máquinas Virtuales de Hyper-V Manager, seleccione la máquina virtual FireboxV.
  2. Desde la lista Acciones, seleccione Conectar.
  3. En el aviso de inicio de sesión, escriba status.
  4. Al aviso de la contraseña, escriba readonly.
    Esta es la contraseña predeterminada para la cuenta de status.
  5. Escriba mostrar interfaz.
    El resultado del comando muestra las direcciones IP y el estado de las Interfaces Externa y de Confianza.

Screen shot of the command line interface with the output of the show interface command

  1. Para desconectarse de la CLI de Fireware, escriba Salir.

Usar el Web Setup Wizard para Crear una Configuración Básica

El Fireware Web Setup Wizard es muy similar para FireboxV que para cualquier otro Firebox. Una diferencia es que, para una máquina virtual FireboxV, usted puede conectarse a la interfaz de confianza o a la interfaz externa para ejecutar el Web Setup Wizard. Otra diferencia es que la máquina virtual se reinicia después de que se completa el asistente, de modo que la máquina virtual pueda reiniciarse con el nuevo número de serie.

Si no completa todos los pasos del asistente Web Setup Wizard en 15 minutos, el asistente no guardará ninguno de sus ajustes. Debe iniciar sesión y comenzar de nuevo.

El Web Setup Wizard incluye un paso para activar su dispositivo FireboxV. Debe activar el Firebox con una llave de licencia para obtener el número de serie y habilitar todas las funciones con licencia.

Para establecer la configuración básica en una máquina virtual FireboxV:

  1. Abra un explorador web y conéctese a Fireware Web UI en la interfaz externa o de confianza.
  • Conéctar a la interfaz externa — desde cualquier computadora en la red externa de FireboxV, conéctese a:
    https://<External_IP_Address>:8080
    Para <External_IP_Address>, use la dirección IP asignada a la interfaz externa.
  • Conectarse a la interfaz de confianza — Desde cualquier equipo en la red de confianza FireboxV, conéctese a:
    https://10.0.1.1:8080
  1. Inicie sesión en Fireware Web UI con las credenciales de cuenta del administrador predeterminado.
  • Nombre de usuario — admin
  • Contraseña — readwrite
  1. Seleccione Nueva Configuración.
  2. Complete los pasos en el Web Setup Wizard.

El Web Setup Wizard lo ayuda a completar estos pasos:

Configurar la interfaz Externa

Seleccione y configure el método que quiere que use su dispositivo para establecer una dirección IP externa. Las opciones son:

  • DHCP — Ingrese la identificación DHCP tal como le fue provista por su ISP.
  • PPPoE — Ingrese su información de PPPoE, tal como le fue provista por su ISP.
  • Estática — Ingrese su dirección IP estática y de puerta de enlace, tal como le fue provista por su ISP.

Para obtener más información acerca de estos métodos, consulte Configurar una interfaz externa.

Configurar servidores DNS y WINS (Opcional)

Configure las direcciones de servidor DNS y WINS que desee que use el Firebox.

Configurar la interfaz de Confianza

Ingrese la dirección IP de la Interfaz de confianza. (Opcional) Si quiere que Firebox asigne direcciones IP a los equipos que se conectan a la red de confianza, puede habilitar el servidor DHCP y asignar un rango de direcciones IP en la misma subred que la dirección IP de la interfaz.

Crear contraseñas para su dispositivo

Establezca contraseñas nuevas para los estados (solo-lectura) y las cuentas de usuario integradas de admin (leer/escribir).

Habilitar administración remota (Opcional)

Habilite la administración remota si desea administrar este Firebox por medio de la interfaz externa.

Agregar información del dispositivo

Puede ingresar un nombre de dispositivo, ubicación e información de contacto y guardar los datos de administración para ese dispositivo. De manera predeterminada, el nombre del dispositivo es el número de modelo de su Firebox. Le recomendamos que elija un nombre único que pueda usar para identificar fácilmente este Firebox, especialmente si usa administración remota. La ubicación y la información de contacto son opcionales.

Configurar la zona horaria

Seleccione la zona horaria en la que el Firebox está ubicado.

Agregar la llave de licencia

Pegue el texto de la llave de licencia en el asistente de configuración.

Si no copió la llave de licencia cuando activó el número de serie de su Firebox, puede obtenerlo en la página de Detalles del Producto para su Firebox. Para más información, consulte Acerca de la Página de Detalles del Producto.

Configurar los servicios de suscripción

El asistente de configuración muestra una lista de servicios con licencia de la llave de licencia. El asistente de configuración habilita automáticamente los servicios enlistados con la configuración recomendada. Para WebBlocker, el asistente de configuración recomienda categorías de contenido para bloquear, y usted modifica esta configuración en el asistente.

Revisar la Configuración

Después de revisar los ajustes, el asistente de configuración los guarda en el Firebox.

Después que el Setup Wizard Finaliza

Después de completar el asistente, la máquina virtual FireboxV o XTMv se reinicia con el nuevo número de serie. El setup wizard crea una configuración básica que admite el tráfico saliente TCP, UDP y ping, y bloquea todo el tráfico no solicitado de la red externa. También utiliza las direcciones IP de interfaz y las contraseñas administrativas que especificó. El asistente habilita automáticamente las políticas y los servicios predeterminados con la configuración recomendada. Para más detalles acerca de las políticas y servicios predeterminados, consulte Políticas y Ajustes Predeterminados del Asistente Setup Wizard.

Si cambió la dirección IP de la interfaz que utilizó para conectarse al Web Setup Wizard de Fireware, debe usar la nueva dirección para conectarse y administrar el dispositivo.

Conexiones Administrativas al FireboxV y XTMv

Para una máquina virtual FireboxV o XTMv, las políticas predeterminadas de WatchGuard y de WatchGuard Web UI permiten conexiones de administración desde cualquier equipo en las redes de confianza, opcionales o externas. Esto es diferente de la configuración predeterminada para otros dispositivos WatchGuard, que no permiten conexiones de administración desde la red externa de forma predeterminada. Si no desea permitir conexiones de administración desde la red externa, edite las políticas de WatchGuard y de WatchGuard Web UI para eliminar el alias Cualquiera-Externo de la lista Desde. Para permitir la administración solo desde un equipo específico en la red externa, puede agregar la dirección de ese equipo de administración a la lista Desde en estas políticas.

Puede usar Fireware Web UI, WatchGuard System Manager o la Command Line Interface (CLI) de Fireware para cambiar la configuración de su máquina virtual FireboxV o XTMv. Puede conectarse a la interfaz de confianza o externa desde cualquier equipo en la misma red.

Para obtener más información, consulte:

Si necesita restablecer un dispositivo FireboxV o XTMv a los ajustes predeterminados de fábrica, puede usar la Command Line Interface de Fireware. Para más información, consulte Restablecer las Configuraciones Predeterminadas de Fábrica de FireboxV o XTMv.