Habilitar DNSWatch en su Firebox
DNSWatch evita las conexiones de los usuarios a dominios maliciosos, independientemente del tipo de conexión, el protocolo o el puerto. También puede aplicar políticas de filtro de contenido para bloquear contenido según las categorías. Para más información, consulte Acerca de DNSWatch de WatchGuard.
También puede aplicar una política de filtro de contenido al Firebox. Si tiene una política de filtro de contenido predeterminada, se aplica automáticamente a los nuevos Firebox. Para aplicar una política de filtro de contenido a su Firebox, consulte Administrar el Acceso de Usuarios al Contenido.
Acerca de las Opciones de Imposición de Uso de DNSWatch
Cuando habilita DNSWatch, debe seleccionar una opción de imposición de uso. Para cada interfaz, la aplicación puede estar habilitada o deshabilitada. La configuración de Imposición de Uso controla qué solicitudes de DNS salientes Firebox redirige al servidor DNS de DNSWatch.
- Habilitado — El Firebox redirige todas las solicitudes de DNS salientes de esa interfaz a los servidores DNS de DNSWatch.
- Deshabilitado — El Firebox redirige todas las solicitudes de DNS salientes de esa interfaz a los servidores DNS de DNSWatch solo cuando la solicitud de DNS está dirigida al Firebox.
Cuando habilita DNSWatch, debe seleccionar una de estas opciones de imposición:
- Imponer en todas las interfaces De confianza, Opcionales y Personalizadas
- Imponer en las interfaces seleccionadas
- Deshabilitar la imposición
Para la mayoría de las redes, recomendamos que habilite la imposición de en todas las interfaces.
Recomendaciones de Configuración
DNSWatch interactúa con otros ajustes de DNS en el Firebox. En la mayoría de los casos, no es necesario cambiar la configuración de DNS existente cuando habilita DNSWatch. Aquí hay algunas recomendaciones específicas:
Imposición de Uso
Para la mayoría de las redes, recomendamos que habilite la imposición de DNSWatch en todas las interfaces. Si determina que DNSWatch causa problemas con la resolución de DNS para un cliente de red que debe usar un servidor DNS específico, deshabilite la imposición de uso solo para la interfaz a la que se conecta el cliente. Si deshabilita la imposición, podría ser necesario cambiar otros ajustes de DNS, como se describe a continuación.
Si deshabilita la imposición de una interfaz, habilite el reenvío de DNS para esa interfaz en los ajustes de DNS de Red de Firebox. Cuando el reenvío de DNS está habilitado y el Firebox está configurado como un servidor DHCP, Firebox envía su propia dirección IP a los clientes DHCP como la dirección IP del servidor DNS. El Firebox reenvía las solicitudes de DNS salientes dirigidas al Firebox a los servidores DNS de DNSWatch.
Servidores DNS de Red (Global)
Si su red tiene un servidor DNS interno, asegúrese de que el servidor DNS interno aparezca primero en los ajustes de DNS de red (global). El Firebox usa los servidores DNS globales para consultas de DNS que no pueden ser resueltas por los servidores DNS de DNSWatch. Para más información, consulte Acerca de DNS en el Firebox.
Reglas de Reenvío de DNS
DNSWatch tiene servidores DNS en tres regiones: Estados Unidos (este de EE. UU.), Unión Europea (Irlanda) y la región APAC (Japón y Australia). DNSWatch envía al Firebox las direcciones IP de los servidores DNS de DNSWatch en la región más cercana. Si su Firebox está en una región diferente y desea asegurarse de que las consultas de DNS para un dominio específico se resuelvan en un servidor DNS en su región local, puede agregar una regla de reenvío de DNS para ese dominio. En la regla de reenvío de DNS, especifique la dirección IP de un servidor DNS de su elección. Para más información, consulte Acerca del Reenvío de DNS.
Muchos productos y servicios de WatchGuard están alojados en servidores regionales. Si la imposición está deshabilitada en todas las interfaces, agregue reglas de reenvío de DNS para estos dominios para asegurarse de que los servicios se resuelvan en los servidores de su región local:
- watchguard.com
- ctmail.com
- rp.cloud.threatseeker.com
Estas reglas de reenvío de DNS no son necesarias cuando la imposición está habilitada. Cuando la imposición está habilitada, DNSWatch no envía solicitudes de DNS para estos dominios a DNSWatch y, en su lugar, utiliza un servidor DNS especificado en los ajustes del DNS de red en Firebox.
Servidor DNS Local
Si deshabilita la imposición de DNSWatch para la interfaz de Firebox a la que se conecta su servidor DNS local, configure el servidor DNS para que use la dirección IP de la interfaz de Firebox como el servidor DNS para consultas de DNS que no puede resolver. El Firebox luego reenvía las consultas DNS salientes que recibe del servidor DNS a los servidores DNS de DNSWatch.
DNSWatch en un Firebox en Modo Puente
En Fireware v12.4 o superior, puede habilitar DNSWatch en un Firebox configurado en Modo Puente. Un Firebox en Modo Puente tiene las mismas opciones de Reglas de Uso que un Firebox configurado en Modo de Enrutamiento Combinado. La interfaz se llama Global Bridge en la lista de interfaces de Fireboxes Protegidos en DNSWatch.
Un Firebox en Modo Puente con DNSWatch habilitado no puede resolver nombres de host en dominios locales a menos que usted cree reglas de reenvío de DNS para dominios locales. Para obtener más información sobre las reglas de reenvío, consulte Acerca del Reenvío de DNS.
La opción de imposición que elija afecta si DNSWatch tiene prioridad sobre otros ajustes de DNS configurados en su Firebox. Para más información, consulte Prioridad de los Ajustes DNS de DNSWatch en un Firebox.
Habilitar DNSWatch en su Firebox
Puede habilitar DNSWatch desde Policy Manager, CLI o Fireware Web UI. El estado de registro y las direcciones IP de los servidores DNS de DNSWatch aparecen solo en Fireware Web UI.
- Seleccione Servicios de Suscripción > DNSWatch.
- Marque la casilla de selección Habilitar el Servicio DNSWatch.
- En la lista desplegable Imposición de Uso, seleccione la opción de imposición.
La opción predeterminada es Deshabilitar la imposición.
Si su red no tiene un servidor DNS local, recomendamos que lo cambie para habilitar la imposición en algunas o todas las interfaces internas. - Si seleccionó Imponer en todas las interfaces De Confianza, Opcional y Personalizada, para seleccionar las interfaces para su imposición, haga clic en Seleccionar.
Aparece la lista de interfaces internas. De manera predeterminada, la imposición está habilitada en todas las interfaces.
- La imposición para todas las interfaces está habilitada de manera predeterminada. Para deshabilitar la imposición de una interfaz, desmarque la casilla de selección de esa interfaz.
- Haga clic en Aceptar.
- Haga clic en Guardar.
Firebox se conecta a la cuenta de DNSWatch donde se activó el Firebox y registra el Firebox en su cuenta de DNSWatch. El estado de registro y las direcciones IP de Servidores DNS de DNSWatch aparecen en la página de configuración de DNSWatch.
- Seleccione Servicios de Suscripción > DNSWatch.
- Marque la casilla de selección Habilitar DNSWatch.
- En la lista desplegable, seleccione la opción de imposición.
La opción predeterminada es Deshabilitar la imposición.
Si su red no tiene un servidor DNS local, recomendamos que lo cambie para habilitar la imposición en algunas o todas las interfaces internas. - Si seleccionó Imponer en todas las interfaces De Confianza, Opcional y Personalizada, haga clic en Seleccionar para seleccionar las interfaces para su imposición.
Aparece la lista de interfaces internas.
- La imposición para todas las interfaces está habilitada de manera predeterminada. Para deshabilitar la imposición de una interfaz, desmarque la casilla de selección de esa interfaz.
- Haga clic en Aceptar.
- Guardar la configuración en el Firebox.
Firebox se conecta a la cuenta de DNSWatch donde se activó el Firebox y registra el Firebox en su cuenta de DNSWatch. El estado de registro y las direcciones IP de Servidores DNS de DNSWatch aparecen en la página de configuración de DNSWatch.
Verificar el Estado de DNSWatch en el Firebox
Después de habilitar DNSWatch en su Firebox, el Firebox se conecta a la cuenta de DNSWatch donde se activó el Firebox y registra el Firebox. El estado de registro aparece en Fireware Web UI en el Panel Delantero y en la página de configuración de DNSWatch. El estado de registro de DNSWatch no está disponible en Policy Manager.
Para ver el estado de registro de DNSWatch, en Fireware Web UI:
- Inicie sesión en Fireware Web UI.
- Seleccione Servicios de Suscripción > DNSWatch.
La página DNSWatch muestra el estado de registro DNSWatch de su Firebox y las direcciones IP de los servidores DNS de DNSWatch.
- Estado — Indica el estado de DNSWatch. El estado puede ser uno de estos valores:
- Deshabilitado — DNSWatch no está habilitado.
- Registro pendiente — El registro de Firebox aún no se ha realizado.
- Recuperando direcciones — El Firebox está registrado, pero aún no ha recibido direcciones IP de DNSWatch.
- Operacional — El Firebox se ha registrado con éxito y se han recuperado las direcciones IP.
- Error — Ocurrió un error. Para obtener información sobre cómo resolver errores de DNSWatch, consulte Monitorizar el Estado del Servicio DNSWatch.
- Fecha de Registro — Indica la fecha y hora en que su Firebox se registró con éxito con su cuenta de DNSWatch.
- Servidores DNS — Las direcciones IP de los Servidores DNS de DNSWatch que Firebox usa para la resolución de DNS. Estas direcciones IP del Servidor DNS también aparecen en el Panel de Control Interfaces, en la lista Servidores DNS en la pestaña Detalle. Para más información, consulte Acerca de los Servidores DNS DNSWatch.
- Servidores Blackhole — Las direcciones IP de los Servidores Blackhole de DNSWatch. Cuando DNSWatch recibe una consulta de DNS para un dominio que se encuentra en las Fuentes de Dominios o en la Lista de Bloqueados, devuelve la dirección IP del servidor Blackhole en lugar de la dirección IP real para el dominio solicitado. Para obtener más información sobre los Servidores Blackhole de DNSWatch, consulte Acerca de los Servidores DNSWatch Blackhole.
El estado de DNSWatch también aparece en el Panel Delantero en Fireware Web UI y en la pestaña Panel Delantero en Firebox System Manager.
Cuando el Firebox recibe las direcciones IP del servidor DNS desde DNSWatch, las direcciones IP de los servidores DNS DNSWatch aparecen con las direcciones IP de otros servidores DNS configurados en varios lugares:
- En Fireware Web UI, en el panel Interfaces, en la pestaña Detalle
- En WatchGuard System Manager, seleccione la pestaña Estado de Dispositivo
- En Firebox System Manager, en el Panel Delantero
- En Firebox System Manager, en el Informe de Estado en la lista Servidores de Nombre de Dominio
Puede conectarse a su cuenta de DNSWatch para ver una lista de Fireboxes protegidos por DNSWatch. Para más información, consulte Ver los Fireboxes Protegidos por DNSWatch.
También puede aplicar una política de filtro de contenido al Firebox. Si tiene una política de filtro de contenido predeterminada, se aplica automáticamente a los nuevos Firebox. Para aplicar una política de filtro de contenido a su Firebox, consulte Administrar el Acceso de Usuarios al Contenido.
Ver los Servidores DNS de DNSWatch Utilizados por su Firebox
Cuando el Firebox recibe las direcciones IP del servidor DNS desde DNSWatch, las direcciones IP de los servidores DNS DNSWatch aparecen con las direcciones IP de otros servidores DNS configurados en varios lugares:
- En Fireware Web UI, en el panel Interfaces, en la pestaña Detalle
- En WatchGuard System Manager, seleccione la pestaña Estado de Dispositivo
- En Firebox System Manager, en el Panel Delantero
- En Firebox System Manager, en el Informe de Estado en la lista Servidores de Nombre de Dominio
Para obtener más información sobre cómo habilitar DNSWatch y cómo ver el estado de DNSWatch en el Firebox, consulte Ejemplos de Configuración de DNSWatch en Firebox.