Configurar un Firebox como un Dispositivo Administrado

Si su Firebox tiene una dirección IP dinámica, o si su WSM Management Server no puede conectarlo por otra razón, configure manualmente el Firebox como dispositivo administrado antes de agregarlo al Management Server. Luego puede Agregar Dispositivos Administrados al Management Server. También puede configurar su Firebox para que lo administre una instancia de Dimension. Para obtener instrucciones completas, consulte Agregar un Firebox a Dimension para la Administración.

Si su Management Server no está detrás de una puerta de enlace Firebox, debe configurar el firewall que está entre el Management Server e Internet para permitir conexiones a la dirección IP pública del Management Server a través de los puertos TCP 4110, 4112 y 4113.

Para conectarse a un Firebox administrado, debe poder acceder al Firebox administrado desde su equipo local en los puertos TCP 4105, 4117 y 4118.

Para obtener más información sobre la puerta de enlace Firebox, consulte Acerca del Firebox de Puerta de Enlace.

Editar la Política WatchGuard

  1. Seleccione Firewall > Políticas de Firewall.

    Aparece la página políticas de Firewall.
  2. Haga doble clic en la política WatchGuard para abrirla.
    Aparece la página Configuración de Política para la política de WatchGuard.

Screen shot of the Policy Configuration page, WatchGuard policy

  1. En la lista desplegable Las conexiones están, asegúrese de que se encuentra seleccionada la opción Permitidas.
  2. En la sección Desde, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Miembro.
  3. En la lista desplegable Tipo de Miembro, seleccione IP del Host.
  4. En el cuadro de texto Tipo de Miembro, ingrese la dirección IP de la interfaz externa de la puerta de enlace Firebox.
    Si no tiene un Firebox de puerta de enlace que proteja el Management Server contra la Internet, ingrese la dirección IP estática del Management Server.
  5. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Miembro.
  6. Asegúrese de que la sección Hacia incluye una entrada de Firebox o Cualquiera.
  7. Haga clic en Guardar.
  1. Abrir el Policy Manager para el Firebox que se habilitará como dispositivo administrado.
  2. Haga doble clic en la política WatchGuard para abrirla.
    Aparece el cuadro de diálogo Editar Propiedades de Política para la política de WatchGuard.

Screen shot of the Edit Policy Properties dialog box, WatchGuard policy

  1. En la lista desplegable Las conexiones WG-Firebox-Mgmt están, asegúrese de que se encuentra seleccionada la opción Permitidas.
  2. En la sección Desde, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Miembro.
  3. Haga clic en Agregar otro.
    Aparece el cuadro de diálogo Agregar Miembro.
  4. En la lista desplegable Elegir Tipo, seleccione IP del Host.
  5. En el cuadro de texto Valor, ingrese la dirección IP de una interfaz externa de la puerta de enlace Firebox.
    Si no dispone de una puerta de enlace Firebox que proteja el Management Server de Internet, escriba la dirección IP pública estática para el tráfico saliente del Management Server. Si el Management Server está detrás de una puerta de enlace de un tercero, escriba la dirección IP pública para el tráfico de salida a través de esa puerta de enlace. ¡Consejo!
  6. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Miembro.
  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Dirección.
  8. Asegúrese de que la sección Hacia incluye una entrada de Firebox o Cualquiera.
  9. Guardar el archivo de configuración.

Ahora puede agregar el dispositivo a su Management Server configuración, tal como se describe en Agregar Dispositivos Administrados al Management Server. Cuando agrega ese dispositivo a la configuración de Management Server, éste automáticamente se conecta a la dirección IP estática y configura el dispositivo como un dispositivo administrado.

Configurar Dispositivo Administrado

Si su Firebox tiene una dirección IP dinámica, o si el Management Server no puede encontrar la dirección IP del Firebox por alguna razón, puede utilizar este procedimiento para preparar su Firebox para que sea administrado por el Management Server.

Para administrar su Firebox con WatchGuard Dimension, debe completar este procedimiento para especificar su instancia de Dimension que administrará el Firebox, en lugar del WSM Management Server, e importar el archivo de configuraciones de administración (archivo .WGD). Para obtener más información sobre el archivo .WGD, consulte Agregar un Firebox a Dimension para la Administración.

Configurar el Firebox de Puerta de Enlace

El Firebox que protege su Management Server (la puerta de enlace Firebox) automáticamente monitorea todos los puertos usados por el Management Server y envía cualquier conexión de esos puertos hacia el Management Server configurado. Cuando se utiliza el asistente WatchGuard Server Center Setup Wizard para configurar el Management Server, el asistente añade una política WG-Mgmt-Server a la configuración para manejar estas conexiones. Si no utilizó el asistente de configuración, o si se salteó el paso Firebox de Puerta de Enlace del asistente, debe agregar manualmente la política WG-Mgmt-Server a la configuración de su Firebox de puerta de enlace. Configure la política para permitir el tráfico entrante de la interfaz externa a una acción NAT estática que traduce la dirección IP pública de la interfaz externa a la dirección IP del Management Server. Esta política en el Firebox de puerta de enlace permite conexiones entrantes al Management Server a través de los puertos TCP 4110, 4112 y 4113. Para más información, consulte Acerca del Firebox de Puerta de Enlace.

Si su Management Server no está detrás de una puerta de enlace Firebox, asegúrese de configurar el firewall que está entre el Management Server e Internet para permitir conexiones a la dirección IP pública del Management Server a través de los puertos TCP 4110, 4112 y 4113.

Obtener el Certificado CA del Management Server

Cuando configura un Firebox como dispositivo administrado, debe incluir el contenido del certificado CA del Management Server en las configuraciones del Dispositivo Administrado. El certificado CA del Management Server está disponible a través del CA Manager. Si usa Fireware Web UI para configurar las configuraciones del Dispositivo Administrado, puede copiar y pegar el contenido del certificado CA desde el CA Manager cuando configure el Firebox. Si utiliza Policy Manager para ajustar las configuraciones del Dispositivo Administrado, debe importar el certificado CA del Management Server desde el archivo CA-Admin.pem cuando configure el Firebox. Cuando se conecta al Management Server en WSM, el archivo CA-Admin.pem se guarda en su ordenador en este directorio: C:\Usuarios\<su nombre de usuario>\Documentos\My WatchGuard\certs\Dirección IP del Management Server>.

Para obtener más información sobre cómo encontrar el Certificado CA del Management Server, consulte Administrar certificados en el Management Server.

Configurar su Firebox para que sea Administrado por un WSM Management Server

Puede configurar los ajustes de los Dispositivos Administrados para el Firebox desde Fireware Web UI o Policy Manager.

  1. Seleccione Sistema > Dispositivo Administrado.

    Aparece la página Dispositivo Administrado.

Screen shot of the Managed Device page

  1. Marque la casilla de selección Habilitar Centralized Management.
  2. Desde la lista desplegable Administrar Dispositivo Con, seleccione Management Server.
  3. En el cuadro de texto Nombre del Dispositivo Administrado, ingrese el nombre que desea dar al Firebox cuando lo agregue a la configuración de Management Server.
    Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre que usó al agregar el Firebox a la configuración de Management Server. Este también puede ser la dirección IP del Firebox.
  4. En la lista Dirección(es) IP del Management Server, seleccione la dirección IP pública del Management Server.

    O bien, si el Management Server está detrás de una puerta de enlace Firebox, seleccione la dirección IP pública de la puerta de enlace Firebox para el Management Server.
  5. Para agregar una dirección IP del Management Server, ingrese la dirección IP en el cuadro de texto y haga clic en Agregar.
  6. En los cuadros de texto Secreto Compartido y Confirmar, ingrese el secreto compartido.
    El secreto compartido ingresado aquí debe coincidir con el que ingresó al agregar el Firebox a la configuración de Management Server.
  7. Copie el texto de su certificado CA del Management Server y péguelo en el cuadro de texto Certificado CA del Management Server.
  8. Haga clic en Guardar.
  1. Seleccione Ajustes > Configuración del Dispositivo Administrado.
    Aparecerá el cuadro de diálogo Configuración del Dispositivo Administrado con la pestaña Management Server seleccionada.
  2. Marque la casilla de selección Habilitar Centralized Management.
  3. Desde la lista desplegable Administrar Dispositivo Con, seleccione Management Server.

Screen shot of the Managed Device Settings dialog box

  1. En el cuadro de texto Nombre del Dispositivo, ingrese el nombre que desea dar al Firebox cuando lo agregue a la configuración de Management Server.
    Ese nombre distingue mayúsculas de minúsculas y debe coincidir con el nombre usado al agregar el dispositivo a la configuración de Management Server. Este también puede ser la dirección IP del Firebox.
  2. En los cuadros de texto Secreto Compartido y Confirmar, ingrese el secreto compartido.
    El secreto compartido ingresado aquí debe coincidir con el que ingresó al agregar el Firebox a la configuración de Management Server.
  3. Adyacente a la lista de Dirección(es) IP del Servidor, haga clic en Agregar y especifique la dirección IP pública del Management Server.
    O bien, si el Management Server está detrás de una puerta de enlace Firebox, especifique la dirección IP pública de la puerta de enlace Firebox para el Management Server.
  4. Haga clic en Importar y seleccione el archivo CA-Admin.pem con el texto de su Certificado CA del Management Server.
  5. Haga clic en Aceptar.

Cuando guarda la configuración en el Firebox, éste queda habilitado como dispositivo administrado. El dispositivo administrado intenta conectarse a la dirección IP de Dimension, o a la del Management Server en el puerto TCP 4110. Las conexiones de administración no son permitidas a partir del Management Server para este dispositivo administrado.

Ahora puede agregar el Firebox a su Management Server configuration, tal como se describe en Agregar Dispositivos Administrados al Management Server.

También puede usar WSM para configurar el modo de administración para su Firebox, tal como se describe en Acerca de los Modos de Centralized Management.

Después de que haya configurado su Firebox como dispositivo administrado, si este se encuentra en una posición remota detrás de una puerta de enlace NAT de terceros, puede configurar un Management Tunnel para habilitar el contacto con el Firebox. Para obtener más información, consulte Configurar Túneles de Administración.

Configurar su Firebox para que sea Administrado por Dimension

Antes de habilitar su Firebox para que lo administre su instancia de Dimension, debe descargar el archivo .WGD. Para configurar su Firebox para que sea administrado por Dimension, importe el archivo .WGD para su Firebox.

Para obtener instrucciones para generar y descargar el archivo .WGD para su Firebox, consulte Agregar un Firebox a Dimension para la Administración.

  1. Seleccione Sistema > Dispositivo Administrado.

    Aparece la página Dispositivo Administrado.
  2. Marque la casilla de selección Habilitar Centralized Management.
  3. En la lista desplegable Administrar Dispositivo con, seleccione Dimension Command.

Screen shot of the Managed Device page

  1. Localice el archivo de configuración de administración (archivo WGD) que descargó desde Dimension para este Firebox. Haga clic en Importar.
    La dirección IP de su instancia de Dimension se agrega automáticamente a la lista de direcciones de Dimension Command.
  2. (Opcional) Para agregar otra dirección IP para su instancia de Dimension, en el cuadro de texto Direcciones de Dimension Command escriba la dirección IP pública de Dimension. Haga clic en Agregar.
    Si Dimension está detrás de una puerta de enlace Firebox u otro dispositivo firewall NAT, agregue la dirección IP pública de la puerta de enlace Firebox o el dispositivo firewall.
  3. (Opcional) Si debe importar un nuevo certificado para Dimension, explore para localizar el archivo de certificado. Haga clic en Importar.
  4. Haga clic en Guardar.
  1. Seleccione Ajustes > Configuración del Dispositivo Administrado.
    Aparecerá el cuadro de diálogo Configuración del Dispositivo Administrado con la pestaña Management Server seleccionada.
  2. Para establecer un Firebox como un dispositivo administrado, seleccione la casilla de selección Habilitar Centralized Management.
  3. En la lista desplegable Administrar Dispositivo con, seleccione Dimension Command.
    Aparece la configuración del Dispositivo Administrado para Dimension Command.

Screen shot of the Managed Device Settings dialog box

  1. Para ubicar el archivo de configuración de administración (archivo .WGD) que descargó para este Firebox desde Dimension, haga clic en Importar y explore para seleccionar el archivo.
    La dirección IP de su instancia de Dimension se agrega automáticamente a la lista de direcciones de Dimension Command.
  2. (Opcional) Para agregar otra dirección IP para su instancia de Dimension:
    1. Haga clic en Agregar.
      Aparece el cuadro de diálogo Servidor Dimension.
    2. En el cuadro de texto Servidor, ingrese la dirección IP pública de Dimension.
      Si Dimension está detrás de una puerta de enlace Firebox u otro dispositivo firewall NAT, agregue la dirección IP pública de la puerta de enlace Firebox o el dispositivo firewall.
    3. Haga clic en Aceptar.
  3. (Opcional) Si debe importar un nuevo certificado para Dimension, haga clic en Examinar y busque el archivo de certificado.
  4. Haga clic en Aceptar.

Configurar un Dispositivo Remoto para un Management Tunnel por SSL

Para habilitar un Management Tunnel por SSL para un Firebox remoto que ya está implementado en una posición remota detrás de un dispositivo NAT de terceros, puede conectarse directamente al dispositivo remoto para ajustar manualmente las Configuraciones de Dispositivos Administrados para el dispositivo remoto. Esta opción es útil cuando el Firebox remoto no puede entrar en contacto con el Management Server a través del Management Tunnel por SSL porque la conexión está bloqueada por el dispositivo NAT de terceros.

Antes de que complete los pasos en este procedimiento para configurar su dispositivo remoto para un Management Tunnel por SSL, debe agregar su dispositivo al Management Server. Para más información, consulte Configurar Túneles de Administración.

  1. Seleccione Sistema > Configuraciones de Dispositivos Administrados.
  2. Asegúrese de que la casilla de selección Habilitar Centralized Management esté seleccionada.
  3. Seleccione la pestaña Management Tunnel.
  4. Marque la casilla de selección Usar un túnel SSL para la administración remota.

Screen shot of the Management Tunnel page

  1. En el cuadro de texto Servidor SSL, ingrese la dirección IP del Servidor OpenVPN.
    Esta es la dirección IP del Management Tunnel de su dispositivo hub de la puerta de enlace Firebox.
  2. En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo para el dispositivo, u otro nombre único para el ‬Management Tunnel ‭ por SSL.
  3. En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que debe utilizar para el Management Tunnel por SSL.
  4. Haga clic en Guardar.

También puede utilizar el Policy Manager o la Command Line Interface de WatchGuard para configurar el dispositivo remoto para un Management Tunnel por SSL. Para obtener más información, consulte:

Ver También

Configurar Propiedades de Administración del Dispositivo

Acerca de la Página Administración del Dispositivo

Acerca de los Modos de Centralized Management

Acerca del Firebox de Puerta de Enlace