Acerca de las Interfaces y los Modos de Red
Un componente principal de la configuración de Firebox es la configuración de las direcciones IP de la interfaz de red. Cuando se ejecuta el Web Setup Wizard o el Quick Setup Wizard, las interfaces externas y de confianza se configuran de manera tal que el tráfico pueda circular desde dispositivos protegidos a una red externa. Puede cambiar la configuración de la interfaz para agregar otros componentes de su red a la configuración. Por ejemplo, puede configurar una interfaz opcional para servidores públicos como un servidor web.
Su Firebox separa físicamente las redes en su Red de Área Local (LAN) de las que se encuentran en la Red de Área Ancha (WAN) como Internet. Su dispositivo usa enrutamiento para enviar paquetes desde redes que protege hacia redes externas a su organización. Para enrutar paquetes a través de su dispositivo hacia los destinos correctos, su dispositivo debe conocer qué redes están conectadas a cada interfaz.
Recomendamos que registre información básica sobre su red y configuración VPN en caso de que necesite comunicarse con soporte técnico. Esta información puede ayudar al técnico a resolver su problema con rapidez. Para pautas acerca de qué información tener lista antes de llamar a WatchGuard para obtener asistencia, consulte Trabajar con el Servicio al Cliente de WatchGuard.
Para resolver problemas de conectividad de red, consulte Resolver Problemas de Conectividad de Red.
Modos de red
Su Firebox es compatible con varios modos de red:
Modo de enrutamiento combinado
Con el modo de enrutamiento combinado, se puede configurar su Firebox para que envíe tráfico de red entre una amplia variedad de interfaces de red física y virtual. Éste es el modo de red predeterminado y ofrece la mayor flexibilidad para diferentes configuraciones de red. Sin embargo, debe configurar cada interfaz por separado y puede que deba cambiar la configuración de red para cada computadora o cliente protegido por su Firebox. Firebox usa Traducción de Dirección de Red (NAT) para enviar información entre interfaces de red.
Para más información, consulte Acerca de la Traducción de Dirección de Red (NAT).
Los requisitos para un modo de enrutamiento combinado son:
- Todas las interfaces del Firebox deben configurarse en diferentes subredes a menos que el tipo de interfaz sea VLAN o Puenteado.
- Todas las computadoras conectadas a las interfaces opcionales y de confianza deben tener una dirección IP de esa red.
La configuración predeterminada del Firebox incluye interfaces externas (WAN) y de confianza (LAN). También puede configurar una o más interfaces opcionales. Por ejemplo, puede configurar una interfaz opcional para una DMZ.
En la mayoría de los casos, las configuraciones de Firebox tienen una interfaz externa e interfaces de confianza. Sin embargo, no se requiere una interfaz externa si el Firebox no es un firewall edge. Por ejemplo, no tiene que configurar una interfaz externa en un Firebox que se usa en su LAN para aislar redes si otro dispositivo protege el borde entre la LAN y la WAN. Para configurar un Firebox sin interfaces externas, consulte Configurar el Firebox Sin Interfaces Externas.
Para más información acerca del modo de enrutamiento combinado, consulte Modo de Enrutamiento Combinado.
Modo directo
En una configuración directa, su Firebox está configurado con la misma dirección IP en todas las interfaces. Puede colocar su Firebox entre el enrutador y la LAN y no será necesario cambiar la configuración de ninguna computadora local. Esta configuración es conocida como directa porque su Firebox es dirigido directamente a una red existente. Algunas funciones de red, como puentes y VLAN (redes virtuales de área local) no están disponibles en este modo.
Para el tipo de configuración se debe:
- Asignar una dirección IP externa estática al Firebox.
- Utilizar una red lógica para todas las interfaces.
- No configurar multi-WAN en modo de operación por turnos o conmutación por error.
Para más información, consulte Modo Directo.
Modo puente
El modo Puente es una característica que le permite ubicar su Firebox entre una red existente y su puerta de enlace para filtrar o administrar el tráfico de red. Cuando activa esta función, su Firebox procesa y reenvía todo el tráfico de red entrante a la dirección IP de puerta de enlace especificada. Cuando el tráfico llega a la puerta de enlace, parece haber sido enviado desde el dispositivo original. En esta configuración, su Firebox no puede realizar varias funciones que requieren una dirección IP pública y única. Por ejemplo, no puede configurar un Firebox en modo puente para que funcione como un endpoint para una VPN (Red Privada Virtual).
Para más información, consulte Modo Puente.
Tipos de interfaz
Cuando habilita una interfaz de Firebox, debe configurar la interfaz como uno de estos cuatro tipos de interfaz:
Interfaces Externas
Una interfaz externa se usa para conectar su Firebox a una red fuera de su organización. Con frecuencia, una interfaz externa es el método mediante el cual se conecta el Firebox a Internet.
Cuando se configura una interfaz externa, debe elegir el método que usa el proveedor de servicios de Internet (ISP) para otorgar una dirección IP a su Firebox. Si no conoce el método, solicite esta información a su ISP o administrador de red.
Las interfaces externas son miembros del alias Cualquiera-Externa. Las interfaces externas siempre tienen una ruta predeterminada, que también se conoce como ruta cero (0.0.0.0/0).
Si deshabilita todas las interfaces externas, o si cambia todas las interfaces externas a interfaces internas, el Firebox le solicita que especifique una dirección IP de puerta de enlace predeterminada para el Firebox. No puede agregar una ruta predeterminada para el Firebox en la configuración Red> Rutas.
Interfaces de Confianza
Las interfaces de confianza se conectan a la LAN (red de área local) privada o a la red interna de la organización. Una interfaz de confianza en general provee conexiones a los empleados y recursos internos seguros. Las interfaces de confianza son miembros del alias Cualquiera-De Confianza.
Interfaces Opcionales
Las interfaces opcionales son entornos combinada-de confianza o DMZ que son independientes de su red de confianza. Ejemplos de computadoras que a menudo se encuentran en una interfaz opcional son los servidores web públicos, servidores FTP y servidores de correo electrónico. Los ajustes de una interfaz opcional son los mismos que los de una interfaz de confianza. La única diferencia es que las interfaces opcionales son miembros del alias Cualquiera-Opcional.
Interfaces Personalizadas
Las interfaces personalizadas están conectadas a la red interna de su organización. Puede utilizar una interfaz personalizada cuando quiera configurar una zona de seguridad que esté separada de las zonas de seguridad de confianza opcional. Para más información acerca de interfaces personalizadas, consulte Configurar una Interfaz Personalizada.
Las interfaces de confianza, opcionales y personalizadas son interfaces internas y, todas tienen los mismos ajustes configurables. La dirección IP de una interfaz interna debe ser estática. Por lo general, las interfaces internas utilizan direcciones IP privadas o reservadas que cumplen con la RFC 1918 y la RFC 8190. Recomendamos que no utilice en su red interna direcciones IP públicas que no sean de su propiedad.
Cuando se configuran las interfaces en su Firebox, se debe utilizar notación diagonal para indicar la subnet mask. Por ejemplo, usted ingresaría el rango de red IPv4 192.168.0.0 subnet mask 255.255.255.0 como 192.168.0.0/24. Una interfaz de confianza con la dirección IPv4 de 10.0.1.1/16 tiene una subnet mask de 255.255.0.0.
En modo de enrutamiento combinado, también puede configurar las interfaces de puente, VLAN y Conjunto de Enlaces. Cada uno de estos tipos de interfaces deben estar en la zona de seguridad Externa, de Confianza, Opcional o Personalizada. Para más información sobre los tipos de ajustas que se aplican a todos los tipos de interfaces, consulte Ajustes de Interfaz Comunes.
En el modo de enrutamiento combinado, múltiples interfaces del mismo tipo están separadas entre sí. Por ejemplo, si configura múltiples interfaces de confianza, los hosts de una red de confianza se conectan a los hosts de otra red de confianza, a menos que configure una política de Firebox que permita la conexión.
Para más información acerca de la notación diagonal, consulte Acerca de la Notación Diagonal.
Interfaces de Módem
Interfaces Modulares
Algunos modelos de Firebox no admiten la instalación de módulos de interfaz. Debe instalar un módulo de interfaz antes de poder configurar las interfaces adicionales. La numeración de las interfaces modulares aparenta ser similares a otras interfaces físicas. Para los modelos de Firebox que admiten interfaces modulares, la lista de interfaces también contiene una columna Módulo que indica los números de puerto tal como están etiquetados en el frente de cada módulo de interfaz.
Para más información acerca de interfaces modulares, consulte Acerca de las Interfaces Modulares.
Interfaces inalámbricas
Después de que habilite por lo menos un punto de acceso inalámbrico en un dispositivo inalámbrico Firebox que utilice Fireware XTM v11.9 o superior, la lista de interfaz incluye tres interfaces que corresponden a los puntos de acceso inalámbrico.
- ath1 — Punto de acceso 1
- ath2 — Punto de acceso 2
- ath3 — Punto de acceso 3
Los ajustes para estas interfaces son los mismos que los ajustes que configuró para un punto de acceso inalámbrico en los ajustes de Red > Inalámbrica.
Para información acerca de los ajustes de configuración de interfaz inalámbrica, consulte Habilitar Conexiones Inalámbricas.
Configuraciones de DNS
En la configuración de la red, puede configurar lo siguiente:
- Servidores DNS y WINS
- Reenvío de DNS
- Reglas de Reenvío de DNS condicional
En Fireware v12.6.4 o superior, también puede deshabilitar la caché de DNS.
Para obtener información sobre los servidores y servicios DNS en su Firebox, y para obtener información sobre la caché de DNS, consulte Acerca de DNS en el Firebox.
Para obtener información sobre el reenvío de DNS, consulte Acerca del Reenvío de DNS.