Definir la Configuración Global del Firebox

En las configuraciones globales de su Firebox, puede especificar las configuraciones que controlan las acciones de muchas de las funciones disponibles en su Firebox. También puede habilitar que más de un Administrador del Dispositivo inicie sesión en su Firebox al mismo tiempo.

Puede configurar los parámetros básicos para:

• Puerto Web UI
• Reinicio automático
• Retroalimentación del dispositivo
• Informes de falla
• Conexiones del administrador del dispositivo
• Tráfico generado por el Firebox (Fireware v12.2 o posterior)
• Administración de errores de ICMP
• Verificación de estado de paquetes y conexión TCP SYN
• Tiempo de espera inactivo de la conexión de TCP
• Ajuste del tamaño máximo de segmento (MSS) de TCP
• Administración de tráfico y QoS

Cambiar el Puerto Web UI

Por defecto, la Fireware Web UI usa el puerto 8080.

Para cambiar el puerto predeterminado:

1. En el cuadro de texto Puerto Web UI, ingrese o seleccione un número de puerto distinto.
2. Utilice el nuevo puerto para conectarse con la Fireware Web UI y para probar la conexión con el nuevo puerto.

Reinicio Automático

Puede programar su Firebox para que se reinicie automáticamente en el día y la hora que especifique.

Para programar un reinicio automático para su Firebox:

1. Seleccione la casilla de selección de Hora programada para el reinicio.
2. En la lista desplegable adyacente, seleccione Diariamente para reiniciarlo a la misma hora todos los días o para elegir un día de la semana para un reinicio semanal.
3. En los cuadros de texto adyacentes, ingrese o seleccione la hora y los minutos del día (en formato de 24 horas) en que desea que comience el reinicio.

Retroalimentación del Dispositivo

Cuando crea un nuevo archivo de configuración para Firebox o actualiza Firebox a Fireware v11.7.3 o posterior, por defecto, este se configura para enviar retroalimentación a WatchGuard.

Esta función solo está disponible para los Firebox que ejecuten Fireware v11.7.3 o posterior.

Los comentarios del dispositivo ayudan a WatchGuard a mejorar los productos y las funciones. Ésta incluye información sobre cómo es utilizado su Firebox y sobre los problemas que encuentra en su Firebox, pero no incluye ninguna información sobre su empresa ni se envía información de la empresa a través del Firebox. Debido a esto, sus datos de Firebox son anónimos. Toda la retroalimentación del dispositivo que se envía a WatchGuard está cifrada.

WatchGuard utiliza la información de los datos de retroalimentación del dispositivo para entender la distribución geográfica de las versiones de sistema operativo Fireware. Los datos que WatchGuard recopila incluyen información resumida acerca de qué funciones y servicios se usan en los Firebox, acerca de las amenazas que se interceptan, y acerca de la salud y el desempeño del dispositivo. Esta información ayuda a WatchGuard a determinar de mejor manera qué áreas del producto se deben mejorar para proporcionar la mayor cantidad de beneficios a los clientes y usuarios.

El uso de la función de retroalimentación del dispositivo es enteramente voluntario. Puede deshabilitarla en cualquier momento.

Cuando la retroalimentación del dispositivo está habilitada, ésta se envía a WatchGuard una vez cada seis días y el Firebox se reinicia cada vez. La retroalimentación del dispositivo se envía a WatchGuard en un archivo comprimido. Para conservar espacio en el Firebox, se eliminan los datos de retroalimentación del Firebox después de que se envían a WatchGuard.

La retroalimentación del dispositivo incluye la siguiente información de su Firebox:

• Detalles del dispositivo
  • Número de serie del Firebox
  • Versión del sistema operativo Fireware y número de compilación
  • Modelo del Firebox
  • Tiempo de funcionamiento del Firebox desde el último reinicio
  • Marcas de tiempo de inicio y final de los datos de retroalimentación enviados a WatchGuard
• Detalles de dimensionamiento del dispositivo
  • Conteo de políticas
  • Número de interfaces habilitadas
  • Número de túneles BOVPN
  • Número de túneles de Mobile VPN
  • Número de VLAN
  • Tamaño del archivo de configuración
• Detalles de desempeño
  • Número máximo de sesiones simultáneas
  • Número máximo de conexiones proxy
  • Cantidad máxima de velocidad de filtrado de paquete
  • Velocidad de VPN máxima
  • Uso máximo de la CPU
  • Uso máximo de la memoria
  • Uso del límite de conexiones proxy durante picos
• Detalles del uso de funciones
  • Qué interfaz de usuario de WatchGuard envió retroalimentación a WatchGuard: La Fireware Web UI, WatchGuard System Manager o el Command Line Interface
  • Si el Firebox está en Centralized Management y en modo de administración para el Firebox
  • Número de los Puntos de Acceso (AP) configurados en el Firebox
  • Opciones de autentificación configuradas en el Firebox
  • Si el Firebox es miembro de un FireCluster y está en modo Activo/Activo o Activo/Pasivo
  • Si la función de seguridad VoIP está habilitada
  • Si el Servicio Intrusion Prevention (IPS) está habilitado
  • Opciones de registro configuradas en el Firebox
  • Número de acciones de proxy con servicios de suscripción habilitados en la configuración
• Detalles de los Servicios de Suscripción
  Para cada servicio, los detalles incluyen si el servicio está habilitado, conteo del número de eventos para cada servicio habilitado en el Firebox, y una lista de los eventos desencadenados en el Firebox para cada servicio (incluye la dirección IP de la fuente, su protocolo y el nivel de la amenaza del evento).
  • Servicio de Intrusion Prevention (IPS)
  • Gateway AntiVirus (GAV)
  • WebBlocker
  • spamBlocker
  • Data Loss Prevention (DLP)
  • APT Blocker
  • Default Threat Protection
• Detalles del Punto de Acceso
  • Si el Controlador Inalámbrico de Puerta de Enlace está habilitado
  • Número de dispositivos de AP configurados en el Firebox
  • Número de SSID configuradas en el Firebox
  • Si el Hotspot Inalámbrico está habilitado
• Detalles del Nombre de Dominio Totalmente Calificado (FQDN)
  • Si FQDN está en uso o no
  • Cuántos FQDNs están configurados
  • Cuántos FQDNs utilizan nombres de dominio específicos
  • Cuántos FQDNs utilizan comodines
  • Cuántos FQDNs están configurados en las políticas de filtrado de paquetes
  • Cuántos FQDNs están incluidos en la lista de excepciones de Sitios Bloqueados
  • Cuántos FQDNs están incluidos en las excepciones de cuotas
  • Cuántas políticas de filtrado de paquetes incluyen el FQDN en un filtro de política
  • Cuántos servidores DNS sancionados están en uso
• Detalles de cuotas
  • Si las cuotas están configuradas en el Firebox o no
  • Cuántas reglas de cuotas están configuradas
  • Cuántas acciones de cuotas están configuradas
  • Cuántas excepciones de cuotas están configuradas
• Detalles de Seguridad Móvil
  • Si Seguridad Móvil está configurada o no
  • Cuántos dispositivos móviles están conectados
  • Cuántos dispositivos Android están conectados
  • Cuántos dispositivos iOS están conectados
  • Cuántos dispositivos móviles están conectados a través de una VPN
• Detalles de Visibilidad de la Red
  • Cuántas interfaces tienen el Escaneo Activo habilitado
  • El intervalo de programación configurado para el Escaneo Activo
  • Cuántos dispositivos se encuentran en su red
  • Cuántos dispositivos fueron encontrados por Seguridad Móvil
  • Cuántos dispositivos fueron encontrados por el Escaneo Activo
  • Cuántos dispositivos fueron encontrados por Exchange Monitor
  • Cuántos dispositivos fueron encontrados por la detección HTTP
  • Cuántos dispositivos fueron encontrados por el proceso iked
  • Cuántos dispositivos fueron encontrados por el proceso SSL VPN
• Detalles del SSO de RADIUS
  • Si las estadísticas de cuota están configuradas para el SSO de RADIUS
• Detalles de Seguridad Móvil
  • Si Seguridad Móvil está habilitada o no
  • Cuántas políticas incluyen un grupo de dispositivos de Seguridad Móvil
  • Cuántas conexiones fueron rechazadas por una política con Seguridad Móvil habilitada
• Detalles de Detección de Botnets
  • Si la Detección de Botnets está habilitada
  • Cuántas direcciones de origen de tráfico se han probado
  • Cuántas direcciones de origen de tráfico eran de botnets y se cortaron
  • Cuántas direcciones de destino de tráfico se probaron
  • Cuántas direcciones de destino de tráfico que se enviaron a botnets fueron cortadas

Informes de Falla

Su Firebox recopila y almacena información sobre las fallas que se producen en su Firebox y genera informes de diagnóstico de la falla. Se recopilan fallas para estas categorías:

• Aserciones fallidas
• Bloqueos de programas
• Excepciones de núcleo
• Problemas de hardware

Cuando habilita la función de Informes de Falla, la información de las fallas se envía a WatchGuard una vez al día. WatchGuard utiliza esta información para mejorar el sistema operativo Fireware y el hardware. También puede revisar la lista de Informes de Falla, enviando manualmente los informes a WatchGuard, y eliminando los Informes de Falla de su Firebox.

Para obtener información acerca de cómo administrar la lista de Informes de Falla, consulte Administrar Informes de Falla.

Esta función solo está disponible para los Firebox que ejecuten Fireware v11.9.3 o posterior.

Para habilitar los Informes de Falla en Firebox, marque la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.

Conexiones del Administrador del Dispositivo

Puede permitir que más de un usuario con credenciales de Administrador del Dispositivo pueda iniciar sesión en Firebox al mismo tiempo para monitorear y administrar su Firebox. Cuando habilita esta opción, los usuarios que inician sesión en su Firebox con credenciales de Administrador del Dispositivo deben desbloquear el archivo de configuración del dispositivo antes de que puedan cambiar las configuraciones.

Para permitir que más de un Administrador de Dispositivos pueda conectarse a Firebox al mismo tiempo, marque la casilla de selección Habilitar más de un Administrador de Dispositivos para iniciar sesión al mismo tiempo.

Bloquear y Desbloquear un Archivo de Configuración

(Solo para Fireware Web UI)

Cuando permite que más de un Administrador de Dispositivos puedan conectarse al Firebox al mismo tiempo, en la Fireware Web UI, antes de que un Administrador de Dispositivos pueda cambiar los ajustes de configuración en el archivo de configuración del dispositivo Firebox, ese usuario debe desbloquear el archivo de configuración. Cuando un Administrador del Dispositivo desbloquea el archivo de configuración para realizar cambios, el archivo de configuración se bloquea para el resto de los usuarios con credenciales de Administrador del Dispositivo, hasta que el Administrador del Dispositivo que desbloqueó el archivo de configuración vuelva a bloquear el archivo de configuración o cierre sesión.

Para obtener información sobre cómo permitir que más de un Administrador del Dispositivo inicie sesión en el Firebox al mismo tiempo, consulte Definir la Configuración Global del Firebox.

Para desbloquear un archivo de configuración, en Fireware Web UI:

En la parte superior de la página, haga clic en .

Para bloquear un archivo de configuración, en Fireware Web UI:

En la parte superior de la página, haga clic en .

Tráfico Generado por el Firebox

En Fireware v12.2 o posterior, puede configurar políticas para controlar el tráfico generado por Firebox. Este tipo de tráfico también se conoce como tráfico autogenerado o tráfico auto originado.

Antes de que pueda crear políticas para controlar el tráfico generado por el Firebox, debe marcar la casilla de selección Habilitar la configuración de políticas para el tráfico generado por el Firebox. Es importante comprender los cambios que ocurren cuando habilita esta opción. Cuando esta opción está habilitada:

• Puede agregar nuevas políticas que se apliquen al tráfico generado por el Firebox.
• La política previamente escondida Cualquiera del Firebox aparece en la lista de políticas.
  Esta política no se puede modificar ni eliminar.
• El Firebox ya no establece la dirección IP de origen para que el tráfico generado por el Firebox coincida con una ruta de túnel BOVPN. Esto significa que, si su configuración incluye un túnel BOVPN, el tráfico generado por el Firebox utiliza una interfaz WAN en lugar del túnel BOVPN.

Si el modo de orden automático está habilitado para la lista de Políticas, ocurren estos cambios:

• El número de orden de la política cambia para las políticas existentes.
  Esto ocurre porque ahora aparece la política previamente oculta Cualquiera del Firebox.
• Las políticas que controlan el tráfico generado por el Firebox aparecen antes que todas las demás políticas.
  Si no existen otras políticas que controlen el tráfico generado por el Firebox, la política Cualquiera del Firebox es la primera en la lista con el número 1.
• Las políticas que agregue para tráfico generado por el Firebox aparecen antes de la política Cualquiera del Firebox porque son más granulares.

Para obtener más información sobre esta configuración y las políticas que controlan el tráfico generado por el Firebox, consulte Acerca de las Políticas para el Tráfico Generado por el Firebox.

Para configurar políticas para tráfico generado por el Firebox, consulte Configurar las Políticas para el Tráfico Generado por el Firebox.

Para ejemplos de configuración, consulte Ejemplos de Configuración para el Control de Tráfico Generado por el Firebox.

Definir las Configuraciones Globales de Administración de Errores de ICMP

Las configuraciones del Protocolo de Mensajes de Control de Internet (ICMP) controla errores en las conexiones. Puede usarlo para:

• Informar a los host clientes sobre las condiciones de error
• sondear una red a fin de encontrar características generales acerca de ésta.

El Firebox envía un mensaje de error ICMP cada vez que ocurre un evento que coincide con uno de los parámetros seleccionados. Estos mensajes son herramientas convenientes para utilizar cuando se resuelven problemas, pero también pueden reducir la seguridad porque exponen información acerca de la red. Si el usuario rechaza estos mensajes ICMP, puede aumentar la seguridad al impedir los sondeos de red, pero esto también puede generar demoras del tiempo de espera para conexiones incompletas, lo cual puede causar problemas en las aplicaciones.

Las configuraciones para la administración global de errores de ICMP son:

Solicitud de fragmentación (PMTU)

Seleccione esta casilla de verificación para permitir los mensajes "Se requiere fragmentación" de ICMP. El Firebox utiliza estos mensajes para encontrar la ruta MTU.

Tiempo excedido

Seleccione esta casilla de verificación para permitir mensajes de "Tiempo Excedido" de ICMP. Un enrutador en general envía estos mensajes cuando ocurre un bucle en la ruta.

No se pudo alcanzar la red

Seleccione esta casilla de verificación para permitir mensajes "No se puede alcanzar la red" de ICMP. Un enrutador en general envía estos mensajes cuando un enlace de red está roto.

No se pudo Alcanzar el Host

Seleccione esta casilla de verificación para permitir mensajes "No se puede Acanzar el Host" de ICMP. La red en general envía estos mensajes cuando no puede utilizar un host o servicio.

No se pudo Alcanzar el Puerto

Seleccione esta casilla de verificación para permitir mensajes "No se puede Alcanzar el Puerto" de ICMP. Un host o firewall en general envía estos mensajes cuando un servicio de red no está disponible o no está permitido.

No se pudo Alcanzar el Protocolo

Seleccione esta casilla de verificación para permitir mensajes "No se puede Alcanzar el Protocolo" de ICMP.

Configurar los Ajustes de TCP

Habilitar la verificación de estado de paquetes y conexión TCP SYN

Seleccione esta opción para habilitar su Firebox para verificar que el primer paquete enviado a través de una conexión es un paquete SYN, sin indicadores RST, ACK o FIN.

Si deshabilita esta opción, se permite la conexión incluso si el primer paquete enviado a través de la conexión incluye indicadores RST, ACK o FIN.

Si experimenta problemas de estabilidad con algunas conexiones (por ejemplo, conexiones a través de un túnel VPN), puede deshabilitar esta opción.

Tiempo de espera inactivo de la conexión de TCP

El tiempo que una conexión TCP puede estar inactiva antes de una desconexión. Especificar el valor en segundos, minutos, horas o días. La configuración predeterminada en la Web UI es 1 hora y la configuración predeterminada en el Policy Manager es 3600 segundos.

También, puede establecer una configuración de tiempo de espera inactivo personalizada para una política individual. Para obtener más información, consulte Establecer un Tiempo de Espera Inactivo Personalizado.

Si establece una configuración de tiempo de espera inactivo global y también activa una personalizada para una política, la configuración personalizada predomina sobre la del tiempo de espera inactivo global para esa política.

Control de tamaño máximo del segmento de TCP

El segmento TCP puede configurarse en un tamaño específico para una conexión que debe tener más sobrecarga TCP/IP de capa 3 (por ejemplo, PPPoE, ESP o AH). Si este tamaño no está configurado correctamente, los usuarios no pueden obtener acceso a algunos sitios web.

Las opciones globales de ajuste de tamaño máximo del segmento TCP son:

• Ajuste Automático — Esta opción permite que el Firebox examine todas las negociaciones de los tamaños máximos de segmento (MSS) y los cambios en los valores de MSS aplicables.
• Sin Ajuste — El Firebox no cambia el valor de MSS.
• Limitar a — Ingrese o seleccione un límite del ajuste del tamaño.

Sondeo TCP MTU

Para asegurarse de que se descubra con éxito el PMTU, puede habilitar el sondeo TCP MTU en su Firebox. Cuando se habilita esta opción, los clientes en su red pueden obtener acceso a Internet a través de un túnel BOVPN de ruta cero configurado en este Firebox, aun cuando su Firebox haya recibido un paquete de ICMP inalcanzable para el tráfico enviado a través del túnel BOVPN (se detectó un "agujero negro" de ICMP).

Las opciones de Sondeo TCP MTU son:

• Deshabilitado — Configuración predeterminada.
• Habilitado solamente cuando se detectan problemas con la red de ICMP — Esta opción habilita automáticamente el Sondeo TCP MTU cuando se recibe un mensaje de error de ICMP y el proceso de descubrimiento de PMTU no puede completarse (se detectó un “agujero negro” de ICMP). Cuando se resuelve el problema, el Sondeo TCP MTU permanece habilitado.
• Siempre habilitado

Opción de escala de la ventana TCP

Fireware v12.1.1 y posterior admite un ajuste global para especificar la opción de escala de ventana TCP, como se describe en RFC 1323. Para configurar este ajuste global, debe usar Fireware CLI.

El comando CLI es global-setting tcp-window-scale.

Habilitar o Deshabilitar la Administración de Tráfico y QoS

Para los fines de prueba de rendimiento o depuración de la red, el usuario puede desactivar las funciones de administración de tráfico y QoS.

Para habilitar estas funciones, marque la casilla de selección Habilitar todas las funciones de administración de tráfico y QoS.

Para deshabilitar estas funciones, desmarque la casilla de selección Habilitar todas las funciones de administración de tráfico y QoS.

Administrar el Flujo de Tráfico

Por defecto, su Firebox no cierra las conexiones activas cuando modifica una acción NAT estática usada por una política. Puede anular esta configuración predeterminada y permitir que su Firebox cierre cualquier conexión activa a través de una política que use una acción SNAT que usted modifique.

Para anular el ajuste predeterminado de Flujo de Tráfico y habilitar esta función, en la sección Flujo de Tráfico, marque la casilla de selección Cuando una acción SNAT cambia, borrar las conexiones activas que utilizan esa acción SNAT.

Configurar la Exención de Responsabilidad de Inicio de Sesión

Para forzar a que sus usuarios estén de acuerdo con los términos y condiciones que especificó antes de que pudiesen iniciar sesión para administrar un Firebox, puede habilitar la función Exención de Responsabilidad de Inicio de Sesión.

Esta sección incluye instrucciones para habilitar la función de Exención de Responsabilidad de Inicio de Sesión desde Policy Manager. Para obtener instrucciones para habilitar esta función desde Fireware Web UI, consulte Configurar la Exención de Responsabilidad de Inicio de Sesión.

Cuando configura los ajustes de exención de responsabilidad de inicio de sesión, puede especificar el título de la página de Exención de Responsabilidad de Inicio de Sesión y el texto del mensaje de exención de responsabilidad. También puede seleccionar un logotipo personalizado para la Exención de Responsabilidad de Inicio de Sesión. El archivo de imagen que seleccione debe ser un archivo JPG, GIF o PNG, que no supere 200 x 65 pixeles.

Esta función solo está disponible para los Firebox que ejecuten Fireware v11.9.3 o posterior.

Para habilitar y configurar la función de Exención de Responsabilidad de Inicio de Sesión, desde Policy Manager:

1. En el cuadro de diálogo Configuraciones Globales, seleccione la pestaña Exención de Responsabilidad de Inicio de Sesión.
   Aparecen los ajustes de Exención de Responsabilidad de Inicio de Sesión.
2. Seleccione la casilla de selección Habilitar Exención de Responsabilidad de Inicio de Sesión.
3. En el cuadro de texto Título de la Página, ingrese el texto para el título de la página de Exención de Responsabilidad de Inicio de Sesión.
4. En el cuadro de texto Especificar un Mensaje de Exención de Responsabilidad, ingrese o pegue el texto para el mensaje de exención de responsabilidad.
5. Para agregar un logotipo personalizado en el mensaje de exención de responsabilidad:
   1. Seleccione la casilla de selección Usar un logotipo personalizado.
   2. Haga clic en Cargar y seleccione el archivo de imagen.
6. Haga clic en Aceptar.

Con la función de Exención de Responsabilidad de Inicio de Sesión habilitada, cuando sus usuarios se conectan a su Firebox e inician sesión, aparecerá la página de Exención de Responsabilidad de Inicio de Sesión. Cada usuario debe estar de acuerdo con la Exención de Responsabilidad de Inicio de Sesión antes de poder conectarse a su Firebox. Si no están de acuerdo con la exención de responsabilidad, no pueden conectarse al Firebox y serán redirigidos a la página de Inicio de Sesión.

También puede configurar una exención de responsabilidad de inicio de sesión para las conexiones a su Management Server. Para obtener más información, consulte Definir Historial de Configuración y Cambiar Configuraciones de Comentarios.

Ver también

Acerca de la Administración de Tráfico y QoS

Establecer un Tiempo de Espera Inactivo Personalizado

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.