Políticas y Ajustes Predeterminados del Asistente Setup Wizard
Puede usar Web Setup Wizard o Quick Setup Wizard de WSM para configurar un Firebox con una configuración básica. Los asistentes de configuración lo ayudan a configurar ajustes básicos de red y administrativos, y configuran automáticamente las políticas y servicios de seguridad bajo licencia con configuración recomendada.
Interfaces Habilitadas Por Defecto
Los asistentes de configuración habilitan estas interfaces con la configuración que especifique:
- Externa — Interfaces 0
- De Confianza — Interfaz 1
- Opcional — Interfaz 2 (configurable solo en WSM Quick Setup Wizard)
Todas las demás interfaces están deshabilitadas por defecto.
Inalámbrico
En Fireware v12.5.3 y superior, los asistentes de configuración habilitan y configuran el punto de acceso inalámbrico incorporado en los Fireboxes inalámbricos. En el asistente de configuración, configura el SSID y la contraseña para habilitar las conexiones Wi-Fi a la red de confianza. El Web Setup Wizard configura un puente de red de confianza:
- Los ajustes de red y DHCP coinciden con los ajustes de red de confianza configurada en el asistente de configuración
- Miembros del Puente — De Confianza (interfaz1) y el punto de acceso inalámbrico (ath1)
Si deshabilita el puente de confianza predeterminado, pierde su conexión al Firebox. Antes de desactivar el puente de confianza, configure otra interfaz de red de confianza a la que pueda conectarse.
Políticas y Servicios Predeterminados
Cuando usa los asistentes de configuración para crear una nueva configuración, estos configuran automáticamente las políticas de proxy y habilitan la mayoría de los servicios de suscripción con licencia con los ajustes recomendados.
Los asistentes de configuración agregan estas políticas predeterminadas:
- Proxy FTP, con la acción de proxy Default-FTP-Client
- Proxy HTTP, con la acción de proxy Default-HTTP-Client
- Proxy HTTPS, con la acción de proxy Default-HTTP-Client
- WatchGuard Certificate Portal (Fireware v12.3 y superior)
- WatchGuard Web UI
- Ping
- DNS
- WatchGuard
- Saliente
Con estas políticas predeterminadas, el Firebox:
- No permite conexiones desde la red externa a las redes de confianza u opcionales, o al Firebox
- Solo permite conexiones administrativas al Firebox desde la red externa a las redes de confianza y opcionales
- Inspecciona el tráfico saliente de FTP, HTTP y HTTPS, con configuración recomendada de acción de proxy
- Utiliza los servicios de seguridad Application Control, WebBlocker, Gateway AntiVirus, Intrusion Prevention, Application Control, Reputation Enabled Defense, Botnet Detection, Geolocation, APT Blocker para proteger las redes de confianza y opcional
- Permite conexiones salientes de FTP, Ping, TCP y UDP desde las redes de confianza y opcional
Para un Firebox que ejecuta Fireware v11.12 o superior, los asistentes de configuración crean tres acciones de proxy que usan las políticas predeterminadas de proxy.
Default-FTP-Client
- Usado por el proxy FTP
- Basado en FTP-Client.Standard
- Gateway AntiVirus está habilitado
- Generación de registros para informes habilitada
Default-HTTP-Client
- Usado por el proxy HTTP
- Basado en la acción de proxy HTTP-Client.Standard
- WebBlocker, Gateway AntiVirus, Reputation Enabled Defense y APT Blocker están habilitados
- Generación de registros para informes habilitada
Default-HTTPS-Client
- Usado por el proxy HTTPS
- Basado en la acción de proxy HTTPS-Client.Standard
- WebBlocker está habilitado
- Inspección de Contenido utiliza la acción de proxy Default-HTTP-Client, pero Inspección de Contenido no está habilitado
- Generación de registros para informes habilitada
Puede editar estas acciones de proxy para que se ajusten a las necesidades de su red, y puede usar estas acciones para otras políticas de proxy que agregue.
Configuración de Servicios de Suscripción Predeterminados
Los asistentes de configuración habilitan la mayoría de los servicios de seguridad bajo licencia de forma predeterminada con la configuración recomendada si la llave de licencia incluye esas funciones. Las funciones Botnet Detection y Geolocalización se habilitan si el Firebox tiene una llave de licencia para Reputation Enabled Defense.
Los asistentes de configuración configuran los servicios de suscripción solo si el Firebox tiene una llave de licencia que incluye dichos servicios. Si no existe una llave de licencia o si no hay servicios de suscripción con licencia en la llave de licencia, el asistente configura las políticas sin servicios de suscripción habilitados.
Habilitado para todas las políticas excepto WatchGuard, WatchGuard Certificate Portal y WatchGuard Web UI
- Modo de escaneo:
- Escaneo Rápido para Firebox T10, T15, T30, T50 y todos los modelos XTM
- Escaneo Completo para todos los otros modelos
- Acciones por nivel de amenaza:
- Crítica — Desconectar, Alarma, Registrar
- Alta — Desconectar, Alarma, Registrar
- Media — Desconectar, Registrar
- Baja — Desconexión, Registro
- Información — Permitir
En Fireware v12.0 e inferior, la acción para el nivel de amenaza Bajo está configurada en Permitir de forma predeterminada.
Para más información acerca de la configuración de Intrusion Prevention Service, consulte Configurar Intrusion Prevention.
Habilitado para todas las políticas excepto WatchGuard, WatchGuard Certificate Portal y WatchGuard Web UI
Acciones globales de Application Control:
- Desconectar — Aplicación — Crypto Admin
- Desconectar — Categoría de la Aplicación — Omitir Proxies y Túneles
Para obtener más información acerca de la configuración de Application Control, consulte Configurar Acciones de Application Control.
Habilitado para la política HTTP-proxy
Acción — Bloquear inmediatamente las URL que tienen una mala reputación, Registrar esta acción
Para más información acerca de la configuración de Reputation Enabled Defense, consulte Configurar Reputation Enabled Defense.
Habilitado para bloquear tráfico desde sitios botnet sospechosos
Para más información sobre la configuración de Botnet Detection, consulte Configurar Botnet Detection.
Habilitado para identificar la ubicación geográfica de conexiones a través del Firebox
Para más información acerca de la configuración de Geolocalización, consulte Configurar Geolocation.
Habilitado para las políticas Proxy HTTP y Proxy HTTPS
Configuración de la acción Default-WebBlocker:
- Categorías — La acción predeterminada WebBlocker bloquea las categorías de contenido que seleccione en el asistente de configuración.
- Tiempo de Espera del Servidor — De forma predeterminada, el ajuste del tiempo de espera del servidor está configurado para denegar el acceso si el Firebox no puede conectarse al servidor WebBlocker Server.
- Derivación de Licencia — De forma predeterminada, el ajuste de derivación de licencia está configurado para denegar el acceso cuando se vence la licencia de WebBlocker.
En Fireware v12.0 e inferior, el ajuste de derivación de licencia se configura para permitir el acceso cuando se vence la licencia de WebBlocker.
Para obtener más información acerca de la configuración de categorías en WebBlocker, consulte Configurar Categorías de WebBlocker.
Para más información acerca de la configuración de Desconexión del Servidor y Deriva de Licencia, consulte Definir las Opciones Avanzadas de WebBlocker.
Habilitado para las políticas Proxy HTTP y Proxy FTP
- FTP — Escaneo AV de todo el contenido (cargas y descargas)
- HTTP — Escaneo AV de todo el contenido (tipos de contenido y tipos de contenido de Body)
En Fireware v12.0.1 y superior, en la acción de proxy Default-HTTP-Client, la acción para la Regla de Contenido del Cuerpo Windows EXE/DLL también se establece como Escaneo AV. En Fireware v12.0 e inferior, la acción para esta regla se establece de manera predeterminada como Denegar.
Acción — Desconectar y Alarma cuando se encuentra un virus u ocurre un error de escaneo
Para más información sobre la configuración de Gateway AntiVirus, consulte Configurar Acciones de Gateway AntiVirus.
Habilitado para las políticas Proxy FTP y Proxy HTTP
Acciones por nivel de amenaza:
- Alta — Desconectar, Alarma, Registrar
- Media — Desconectar, Alarma, Registrar
- Baja — Desconectar, Alarma, Registrar
- Limpio — Permitir
En Fireware v12.0 e inferior, la acción para el nivel de amenaza Alto es Bloquear de forma predeterminada.
Para más información sobre la configuración de APT Blocker, consulte Configurar APT Blocker.
Generación de Registros para Informes
Los asistentes de configuración habilitan la generación de registros para los informes, como se describe en Dónde Habilitar la Generación de Registros para Informes.
Para las políticas de filtrado de paquetes, la generación de registros está habilitada a nivel de política. Para las políticas de proxy predeterminadas, la generación de registros está habilitada en la acción de proxy.
- Enviar un mensaje de registro — Habilitado en las políticas de Ping, DNS y Saliente
- Enviar un mensaje de registro para informes — Habilitado en las políticas de Ping, DNS y Saliente
- Habilitar generación de registros para informes — Habilitado en las acciones de proxy Default-FTP-Client, Default-HTTP-Client y Default-HTTPS-Client
Para cada servicio de suscripción, las acciones se configuran para enviar mensajes de registro, como se describe en la sección anterior.
El asistente de configuración también habilita la generación de registros de estas estadísticas de desempeño:
- Estadísticas de interfaz externa y ancho de banda VPN
- Estadísticas de Servicios de Seguridad
Para más información acerca de estos mensajes de registro, consulte Incluir Estadísticas de Desempeño en los Mensajes de Registro (WSM).
Excepciones Predeterminadas de Sitios Bloqueados
La lista de Excepciones de Sitios Bloqueados que configuran los asistentes de configuración incluye excepciones predeterminadas para servidores a las que los productos WatchGuard y los servicios de suscripción se deben conectar. Para obtener más información acerca de las excepciones predeterminadas de sitios bloqueados, consulte Acerca de los Sitios Bloqueados.