Acerca de las Políticas para el Tráfico Generado por el Firebox
Además del tráfico que pasa a través del Firebox, el Firebox genera su propio tráfico. El tráfico generado por el Firebox también se conoce como tráfico autogenerado o tráfico de origen propio.
Algunos ejemplos de tráfico generado por Firebox son:
- Actualizaciones de firmas para los servicios de WatchGuard, como Gateway AntiVirus, Intrusion Prevention Service, Application Control, Data Loss Prevention, Botnet Detection y Geolocation
- Consultas a los servidores de WatchGuard para servicios, como WebBlocker, spamBlocker y APT Blocker
- Tráfico VPN para túneles no vinculados a una interfaz como los túneles de administración SSL y BOVPN a través de túneles TLS
- Tráfico de registro del Firebox a un servidor Dimension
En Fireware v12.2 o superior, puede agregar políticas para controlar el tráfico generado por el Firebox. Por ejemplo, puede crear una política de filtrado de paquetes HTTPS para el tráfico del Firebox a los servicios de suscripción de WatchGuard basados en la nube. En esta política, puede especificar qué interfaz WAN debe usar el tráfico. Esto ayuda a evitar el tráfico de servicios de suscripción a interfaces no previstas o costosas. Puede crear políticas separadas para diferentes tipos de tráfico generado por el Firebox.
Puede aplicar NAT global, NAT por política, enrutamiento basado en la política, calidad de servicio (QoS) y administración de tráfico a políticas que especifican el tráfico generado por el Firebox. Para una política que especifica la administración de tráfico, solo se aplica la acción de administración del tráfico en sentido directo.
Ajustes No Compatibles
Los ajustes en la página de configuración de multi-WAN no se aplican al tráfico generado por el Firebox.
Las acciones de proxy no son compatibles con el tráfico generado por el Firebox.
Este tipo de tráfico generado por el Firebox no se puede controlar con una política:
- Tráfico de 127.0.0.1 a 127.0.0.1
- Tráfico entre las direcciones IP de administración de los miembros de FireCluster
- Tráfico recibido desde o enviado desde una interfaz FireCluster
- Tráfico IKE UDP 500/4500 y ESP/AH
Configuración
Para controlar el tráfico generado por el Firebox, debe:
- Habilitar el ajuste global Habilitar la configuración de políticas para el tráfico generado por el Firebox.
- Agregar una política que especifique el tráfico generado por el Firebox.
Para obtener más información sobre los ajustes globales, consulte Definir los Ajustes Globales de Firebox.
Para configurar las políticas para el tráfico generado por el Firebox, consulte Configurar las Políticas para el Tráfico Generado por el Firebox.
Para ejemplos de configuración, consulte Ejemplos de Configuración para el Control de Tráfico Generado por el Firebox.
Como mejor práctica, recomendamos que no cree políticas de denegación para el tráfico generado por el Firebox.
Orden de Políticas
Cuando habilita el ajuste Habilitar la configuración de políticas para el tráfico generado por el Firebox, la política Cualquiera del Firebox previamente oculta aparece en la lista de políticas. Esta política no puede ser modificada o eliminada. Si el modo de orden automático está habilitado para la lista de Políticas, que es el ajuste predeterminado, también ocurren estos cambios:
- El número de orden de políticas cambia para las políticas existentes.
Esto ocurre porque ahora aparece la política previamente oculta Cualquiera del Firebox. - Las políticas que controlan el tráfico generado por el Firebox aparecen antes que todas las demás políticas.
Si no existen otras políticas que controlen tráfico generado por el Firebox, la política Cualquiera del Firebox es el primero en la lista y está numerado 1. - Las políticas que agregue para tráfico generado por el Firebox aparecen antes de la política Cualquiera del Firebox porque son más granulares.
Interfaces Virtuales BOVPN y BOVPN
En Fireware v12.2 o superior, cuando habilita el ajuste global Habilitar la configuración de políticas para el tráfico generado por el Firebox:
BOVPN
- El Firebox ya no establece la dirección IP de origen para que el tráfico generado por el Firebox coincida con una ruta de túnel BOVPN. Esto significa que el tráfico generado por el Firebox utiliza una interfaz WAN en lugar del túnel BOVPN.
- Si habilita el ajuste global, pero quiere que el tráfico generado por el Firebox use un túnel BOVPN, puede agregar una política.
Interfaz Virtual BOVPN
- Puede agregar una política para forzar que el tráfico generado por el Firebox use una interfaz WAN en lugar del túnel de la interfaz virtual BOVPN.
Para controlar el tráfico generado por el Firebox cuando su configuración incluye una interfaz virtual BOVPN o BOVPN, consulte Ejemplos de Configuración para el Control de Tráfico Generado por el Firebox.
Establecer la Dirección IP de Origen
Puede configurar la dirección IP de origen en las políticas para el tráfico generado por el Firebox. Cualquier tráfico que use la política muestra la dirección especificada como el origen. Es posible que desee establecer la dirección IP de origen para el tráfico generado por el Firebox si:
- Su ISP usa una subred separada para enrutamiento y tráfico, y desea que el Firebox use la dirección IP primaria para el enrutamiento y una dirección IP en una red secundaria para el tráfico generado por el Firebox.
- Tiene un bloque de direcciones IP independiente del proveedor y desea configurar el Firebox para usar las direcciones IP para el tráfico generado por el Firebox, pero no vincularlas a una interfaz específica.
Puede usar la interfaz de bucle invertido para vincular las direcciones IP al Firebox que no están asociadas con una interfaz WAN específica. En Fireware v12.2 o superior, puede especificar la dirección IP primaria o secundaria de la interfaz de bucle invertido en los ajustes de NAT dinámica para una política. Para usar direcciones independientes del proveedor para el tráfico generado por el Firebox, configure la dirección IP de origen a una regla DNAT en una o más direcciones IP del bloque independiente del proveedor.
Para configurar una política que especifique una dirección IP de origen para el tráfico generado por el Firebox, consulte Configurar las Políticas para el Tráfico Generado por el Firebox.
Para obtener información sobre la NAT dinámica global, consulte Acerca de las Direcciones IP de origen NAT Dinámica.
Para obtener información sobre las direcciones IP de bucle invertido, consulte Configurar una Interfaz de Bucle Invertido.
Registros
La generación de registros para la política Cualquiera del Firebox está controlado por la casilla de selección Habilitar la generación de registro para el tráfico enviado desde este dispositivo. Puede encontrar esta casilla de selección en los ajustes globales de generación de registros:
- Web UI — Sistema > Generación de registros > Ajustes
- Policy Manager — Configuración > Generación de registros > Nivel de Registro de Diagnóstico
La generación de registros para las políticas que usted crea para el tráfico generado por el Firebox se controla en esas políticas.
Ver También
Configurar las Políticas para el Tráfico Generado por el Firebox
Ejemplos de Configuración para el Control de Tráfico Generado por el Firebox