Temas Relacionados
Implementar Firebox Cloud en AWS
Antes de Empezar
Antes de poder usar Firebox Cloud, debe crear una cuenta de AWS. Cuando configura su cuenta de AWS, especifica la información de facturación y las credenciales de seguridad que usa para conectarse a la AWS Management Console.
Para obtener más información sobre cómo comenzar con AWS, consulte:
http://docs.aws.amazon.com/gettingstarted/latest/awsgsg-intro/gsg-aws-intro.html
Para obtener información sobre la AWS Management Console, consulte:
http://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html
Resumen del Despliegue
Para implementar su instancia de Firebox Cloud en AWS, debe completar estos procedimientos:
Crear una Nube Privada Virtual (VPC)
Use el VPC Wizard para crear una VPC con subredes públicas y privadas.
Finalizar la instancia de NAT
Finalice la instancia de NAT que el VPC Wizard creó automáticamente para la VPC. Puede finalizar esta instancia de NAT predeterminada porque la instancia de Firebox Cloud completará las funciones de NAT para las subredes en esta VPC.
Crear una instancia de Firebox Cloud
Inicie una instancia de EC2 para Firebox Cloud con estas propiedades:
- Configuración de VPC — VPC con Subredes Públicas y Privadas
- AMI — WatchGuard Firebox Cloud
- Tipo de Instancia — Si selecciona Firebox Cloud con una licencia BYOL, asegúrese de seleccionar el tipo de instancia que tenga el mismo número de vCPU que la licencia de Firebox Cloud que compró.
- Red — Una VPC con subredes públicas y privadas
- Interfaces — Eth0 debe usar una subred pública; Eth1 debe usar una subred privada
- Almacenamiento — Mantenga el tamaño predeterminado
- Grupo de Seguridad — Permita todo el tráfico entrante
Para obtener información sobre los tipos de instancias de EC2 compatibles con Firebox Cloud (BYOL) y Firebox Cloud (Por Hora), consulte la información del producto Firebox Cloud en el AWS Marketplace.
Deshabilitar las comprobaciones de Origen/Destino para Firebox Cloud
Para que su Firebox Cloud funcione como un dispositivo NAT para su VPC, debe deshabilitar la comprobación de origen/destino para la instancia de Firebox Cloud.
Asignar una dirección IP Elástica a la instancia de Firebox Cloud
Asigne una dirección IP Elástica (EIP) a la interfaz eth0 para su instancia de Firebox Cloud. Puede usar la dirección EIP que se asignó a la instancia de NAT que finalizó, o cualquier otra dirección EIP disponible.
Configurar la ruta predeterminada para la red privada
Cambie el enrutamiento de la subred privada para que use la instancia de Firebox Cloud como la default gateway (puerta de enlace predeterminada).
Comprobar el estado de la instancia
Compruebe el estado de la instancia de Firebox Cloud para verificar que se ha encendido, que tiene asignada una dirección IP pública y un servidor DNS, y que está configurado el grupo de seguridad correcto.
Cada uno de estos procedimientos se describe en detalle en las siguientes secciones.
Crear una VPC con Subredes Públicas y Privadas
Si aún no tiene una VPC con subredes públicas y privadas, debe crear una.
Para usar el VPC Wizard para crear una VPC:
- Inicie sesión en la AWS Management Console en aws.amazon.com.
- Seleccione Servicios > VPC.
- Haga clic en Iniciar el VPC Wizard.
- En el lado izquierdo de la página, seleccione VPC con Subredes Públicas y Privadas.
- Haga clic en Seleccionar.
Aparece la configuración de la subred pública y privada. - En el cuadro de texto Nombre de la VPC, escriba un nombre para identificar su VPC.
- Configure las subredes públicas y privadas. Puede usar las subredes públicas y privadas predeterminadas o seleccionar otras subredes.
- Configure la Zona de Disponibilidad para cada subred. Asegúrese de que la subred pública y la subred privada estén en la misma zona.
- En la configuración de NAT, haga clic en Usar una instancia de NAT en su lugar.
Aparece la configuración de la instancia de NAT. Puede usar la configuración predeterminada de la instancia.
Finalizará la instancia de NAT más adelante y usará la instancia de Firebox Cloud para NAT.
- Haga clic en Crear VPC.
El asistente crea la VPC y la instancia de NAT asociada. - Haga clic en Aceptar para ir al Panel de Control de la VPC.
- Seleccione Subredes para ver la subred y la información de enrutamiento para su VPC.
Para filtrar la lista, en la lista desplegable Filtrar por VPC, seleccione su VPC.
Finalizar la Instancia de NAT
El VPC Wizard crea automáticamente una instancia de NAT para su VPC. Esta instancia de NAT predeterminada no es necesaria porque Firebox proporcionará servicios de NAT para la VPC. Puede finalizar la instancia de NAT creada automáticamente desde la página Instancias de EC2.
De manera predeterminada, la instancia de NAT creada automáticamente no tiene una etiqueta asociada. Si tiene más de una instancia de NAT sin etiquetar, asegúrese de finalizar solo la instancia asociada a su VPC.
Para verificar qué instancia es la instancia NAT:
- En la página Instancias de EC2, selecciona la instancia.
La información de la instancia aparece en la parte inferior de la página. - Verifique que la ID de la VPC para la instancia coincida con su VPC.
- Verifique que la ID de AMI sea para una instancia de NAT. La ID de AMI para la instancia de NAT comienza con amzn-ami-vpc-nat.
Cuando finaliza la instancia NAT, también puede optar por liberar la dirección IP Elástica (EIP) asignada a la instancia de NAT. En este procedimiento, no liberamos la dirección EIP, por lo que aún está disponible para asignarla a la instancia de Firebox Cloud más adelante.
Para asignar la EIP que se asocia con la instancia de NAT a su instancia de Firebox Cloud, copie la dirección EIP antes de finalizar la instancia de NAT. Esto facilita la identificación de la dirección EIP que desea asignar a la instancia de Firebox Cloud.
Para finalizar la Instancia de NAT:
- Seleccione la instancia de NAT.
- Seleccione Acciones > Estado de Instancia > Finalizar.
- Seleccione Sí, Finalizar.
Crear una Instancia de Firebox Cloud
En el panel de control de EC2, puede crear una instancia de EC2 para Firebox Cloud.
Para iniciar una instancia de Firebox Cloud:
- Seleccione Servicios > EC2.
- En el panel de navegación, seleccione AMIs.
- Selecciona la AMI de WatchGuard Firebox Cloud.
- Haga clic en Iniciar.
- Seleccione el tipo de instancia de AWS. Si seleccionó Firebox Cloud con una licencia BYOL, seleccione una instancia que tenga el número de vCPUs compatibles con su licencia de Firebox Cloud.
- Para obtener información sobre el número de vCPUs para cada modelo de Firebox Cloud, consulte Introducción a Firebox Cloud
- Para obtener información sobre los tipos de instancias de EC2 compatibles con Firebox Cloud (BYOL) y Firebox Cloud (Por Hora), consulte la información del producto Firebox Cloud en el AWS Marketplace.
- Haga clic en Siguiente: Configurar los Detalles de la Instancia.
Aparece el paso Configurar Detalles de la Instancia.
- En la lista desplegable Red, seleccione su VPC.
- En la lista desplegable Subred, seleccione la subred pública para usar con eth0.
La subred que seleccione aparece en la sección Interfaces de Red para eth0. - Para agregar una segunda interfaz, en la sección Interfaces de Red haga clic en Añadir Dispositivo.
Eth1 se agrega a la lista de interfaces de red. - En la lista desplegable Subred para eth1, seleccione la subred privada para usar con eth1.
- Haga clic en Siguiente: Agregar Almacenamiento.
- Use el tamaño de almacenamiento predeterminado (5 GB). Haga clic en Siguiente: Agregue Etiquetas.
- En el cuadro de texto Valor, escriba un nombre para identificar esta instancia.
- Haga clic en Siguiente: Configurar el Grupo de Seguridad.
De manera predeterminada, la instancia usa un grupo de seguridad que funciona como un firewall básico. Dado que Firebox Cloud es un firewall, debe agregar un nuevo grupo de seguridad que permita todo el tráfico y asignar ese grupo de seguridad a esta instancia de EC2.
- Seleccione un grupo de seguridad existente o agregue un nuevo grupo de seguridad que permita todo el tráfico.
Si crea un nuevo grupo de seguridad, en la lista desplegable Tipo, seleccione Todo el tráfico. - Haga clic en Revisar e Iniciar.
Aparece la información configurada para su instancia. - Haga clic en Iniciar.
Aparece el cuadro de diálogo de configuración de par de claves.
Seleccionar o Crear un Par de Claves para la Autenticación SSH
Puede usar un par de claves existente si tiene acceso al archivo de la llave privada. O puede crear un nuevo par de claves y descargar el archivo de la llave privada.
Para utilizar un par de claves existente:
- En la lista desplegable superior, seleccione Elegir un par de claves existente.
- En la lista desplegable Seleccione un par de claves, seleccione un par de claves existente.
- Marque la casilla de selección para confirmar que tiene acceso al archivo de la llave privada seleccionado.
- Haga clic en Iniciar Instancias.
Para crear un nuevo par de claves:
- En la lista desplegable superior, seleccione Crear un nuevo par de claves.
- En el cuadro de texto Nombre del par de claves, escriba el nombre para el nuevo par de claves.
- Haga clic en Descargar Par de Claves.
Se descarga el archivo .PEM que contiene la llave privada. - Guarde la llave privada en una ubicación que sea segura y accesible; no podrá descargar el archivo de la llave privada otra vez.
- Haga clic en Iniciar Instancias.
Deshabilitar las Comprobaciones de Origen/Destino
De manera predeterminada, cada instancia de EC2 completa las comprobaciones de origen/destino. Para que las redes en su VPC utilicen con éxito su instancia de Firebox Cloud para NAT, debe deshabilitar la comprobación de origen/destino para las interfaces de red asignadas a la instancia de Firebox Cloud.
Para deshabilitar las comprobaciones de origen/destino para la interfaz pública:
- En la Consola de Administración de EC2, seleccione Instancias > Instancias.
- Seleccione la instancia de Firebox Cloud.
- Seleccione Acciones > Redes > Cambiar Comprobación de Origen/Destino.
El mensaje de confirmación incluye la interfaz pública para esta instancia.
- Haga clic en Sí, Deshabilitar.
Las comprobaciones de origen y destino se deshabilitan para la interfaz pública.
Para deshabilitar las comprobaciones de origen/destino en la interfaz privada:
- En la Consola de Administración de EC2, seleccione Red y Seguridad > Interfaces de Red.
- Seleccione la interfaz privada de su VPC.
- Seleccione Acciones > Cambiar Comprobación de Origen/Destino.
- Seleccione Deshabilitada.
- Haga clic en Guardar.
Asignar una Dirección IP Elástica a la Interfaz Externa
Debe asignar una dirección IP Elástica (EIP) a la interfaz eth0 para la instancia de Firebox Cloud. Puede usar la dirección EIP que se asignó previamente a la instancia de NAT que finalizó o cualquier otra dirección EIP disponible. Para asegurarse de asignarla a la interfaz correcta, busque y copie la ID de la interfaz eth0 para su instancia de Firebox Cloud.
Para encontrar la ID de la interfaz eth0 para su instancia de Firebox Cloud:
- En la Consola de Administración de EC2, seleccione Instancias.
- Seleccione la instancia de Firebox Cloud.
Aparecen los detalles de la instancia. - Haga clic en la interfaz de red eth0.
Aparece más información sobre la interfaz de red. - Copie el valor de ID de la Interfaz.
Para asociar la dirección IP Elástica con la interfaz eth0:
- En la Consola de Administración de EC2, seleccione Red y Seguridad > IPs Elásticas.
- Seleccione una dirección IP Elástica disponible.
- Seleccione Acciones > Asociar Dirección.
Aparece la página de Asociar dirección.
- En la configuración Tipo de recurso, seleccione Interfaz de red.
- En el cuadro de texto Interfaz de Red, pegue la ID de la Interfaz para eth0.
- Haga clic en Asociar.
Ahora puede usar la dirección EIP para conectarse a la Fireware Web UI para su instancia de Firebox Cloud.
Para conectarse a la Fireware Web UI, abra un explorador web y vaya a https://<eth0_EIP>:8080.
Si cambia la dirección EIP que se asocia con su instancia de Firebox Cloud, debe usar la consola de AWS para detener y reiniciar la instancia antes de que Firebox Cloud pueda usar la nueva dirección EIP.
Configurar la Ruta Predeterminada
Para permitir que Firebox Cloud controle el tráfico saliente desde la red privada conectada a eth1, debe cambiar la tabla de enrutamiento de la subred privada para que use Firebox Cloud como la default gateway (puerta de enlace predeterminada).
Para encontrar la ID de la interfaz de red de la red privada:
- En el panel de control de EC2, seleccione Red y Seguridad > Interfaces de Red.
- Busque la interfaz de red privada para la ID de su instancia. Es la interfaz que no tiene asignada una dirección IP pública.
- Copie la ID de la interfaz de red.
Para editar la tabla de enrutamiento:
- Seleccione Servicios > VPC.
- Seleccione Tablas de Enrutamiento.
- Para encontrar la interfaz para la red privada, seleccione cada tabla de enrutamiento para su VPC de una a la vez.
Aparecen los detalles de la tabla de enrutamiento, con la información de la interfaz para cada tabla de enrutamiento. - Para ver las rutas de cada red, seleccione la pestaña Rutas.
Para la interfaz privada, el estado predeterminado de la ruta es Black Hole porque el VPC Wizard estableció el objetivo NAT en la instancia NAT que usted finalizó.
- En la pestaña Rutas para la red privada, haga clic en Editar.
- En el cuadro de texto Objetivo, pegue la ID de interfaz de red para la interfaz de red privada.
El estado de la ruta cambia de Black Hole a Active.
- Haga clic en Guardar.
Verificar el Estado de la Instancia
Después de finalizar todos los pasos para implementar su instancia de Firebox Cloud, revise los detalles de la instancia en la página Instancias de EC2 para verificar lo siguiente:
- Se han asignado la dirección IP pública y el servidor DNS Público
- Se ha asignado el grupo de seguridad para permitir todo el tráfico
Activar su Licencia de Firebox Cloud (Solo BYOL)
Para Firebox Cloud con una licencia BYOL, debe activar el número de serie de Firebox Cloud en el portal de WatchGuard. Antes de poder activar Firebox Cloud, debe tener el número de serie de Firebox Cloud que recibió de WatchGuard y debe conocer la ID de la Instancia de Firebox Cloud.
Para activar su licencia de Firebox Cloud:
- Vaya a www.watchguard.com.
- Haga clic en Soporte.
- Haga clic en Activar Productos.
- Inicie sesión en su cuenta del portal de Cliente o Socio de WatchGuard. Si no tiene una cuenta, puede crear una.
- Si es necesario, navegue hasta el Centro de Soporte y seleccione Mi WatchGuard > Activar Producto.
- Cuando se le solicite, proporcione el número de serie de su Firebox Cloud y la ID de la Instancia.
- Cuando se complete la activación, copie la llave de licencia y guárdela en un archivo local.
Ejecutar el Firebox Cloud Setup Wizard
Después de implementar Firebox Cloud, puede conectarse a la Fireware Web UI a través de la dirección IP pública para ejecutar el Firebox Cloud Setup Wizard. Usará el asistente para configurar las contraseñas administrativas para Firebox Cloud.
Para ejecutar el Firebox Cloud Setup Wizard:
- Conéctese a la Fireware Web UI para su Firebox Cloud con la dirección IP pública:
https://<eth0_public_IP>:8080 - Inicie sesión con el nombre de usuario y contraseña predeterminados de la cuenta de Administrador:
- Nombre de usuario — admin
- Contraseña — La ID de la Instancia de Firebox Cloud
Aparece la página de bienvenida del Firebox Cloud Setup Wizard.
- Haga clic en Siguiente.
Se inicia el asistente de configuración. - Lea y acepte el Acuerdo de Licencia. Haga clic en Siguiente.
- Especifique nuevas contraseñas para las cuentas de usuario integradas estado y admin.
- Haga clic en Siguiente.
La configuración se guarda en Firebox Cloud y el asistente termina.
Conectar a Fireware Web UI
Para conectarse a la Fireware Web UI y administrar Firebox Cloud:
- Abra un explorador web y vaya a la dirección de la IP pública para su instancia de Firebox Cloud en:
https://<eth0_public_IP>:8080 - Inicie sesión con la cuenta de usuario admin. Asegúrese de especificar la contraseña que configuró en el Firebox Cloud Setup Wizard.
De forma predeterminada, Firebox Cloud permite que más de un usuario con credenciales de Administrador de Dispositivos inicie sesión al mismo tiempo. Para evitar que más de un administrador realice cambios al mismo tiempo, la configuración se bloquea de manera predeterminada. Para desbloquear la configuración y poder hacer cambios, haga clic en .
Si prefiere permitir que solo un Administrador de Dispositivos inicie sesión al mismo tiempo, seleccione Sistema > Configuración Global y desmarque la casilla de selección Habilitar más de un Administrador de Dispositivos para iniciar sesión al mismo tiempo.
Agregar la Llave de Licencia (Solo BYOL)
Si activó una licencia de Firebox Cloud en el portal de WatchGuard, su llave de licencia está disponible directamente en WatchGuard. Debe agregar esta llave de licencia a la configuración de Firebox Cloud para habilitar todas las funciones y opciones de configuración en Firebox Cloud.
Después de agregar la llave de licencia, Firebox Cloud se reinicia automáticamente con un nuevo número de serie.
Para agregar la llave de licencia, desde la Fireware Web UI:
- Seleccione Sistema > Llave de Licencias.
Aparece la página del Feature Key Wizard.
- Para desbloquear el archivo de configuración, haga clic en .
- Para descargar e instalar la llave de licencia, haga clic en Siguiente.
- En la página Resumen, verifique que su llave de licencia se haya instalado correctamente.
Cuando su llave de licencia se haya instalado, aparecerá el mensaje Llave de Licencia Recuperada con Éxito en la página Resumen.
- Haga clic en Siguiente.
El asistente se completa y Firebox Cloud se reinicia con un nuevo número de serie.
Próximos Pasos
Después de ejecutar el asistente de configuración y agregar la llave de licencia, puede usar la Fireware Web UI o Policy Manager para configurar los ajustes de Firebox Cloud.
Habilitar la Sincronización de la Tecla de Función
Habilite a Firebox Cloud para verificar automáticamente las actualizaciones de la llave de licencias cuando los servicios estén próximos a expirar.
Para habilitar la sincronización de llave de licencias, en la Fireware Web UI:
- Seleccione Sistema > Llave de Licencias.
- Seleccione la casilla de selección Habilitar la sincronización de llave de licencias automática.
- Haga clic en Guardar.
Para habilitar la sincronización de llave de licencias, en Policy Manager:
- Conéctese a Firebox Cloud en WatchGuard System Manager.
- Abra el Policy Manager.
- Seleccione Sistema > Llaves de Licencias.
- Seleccione la casilla de selección Habilitar la sincronización de llave de licencias automática.
- Haga clic en Guardar.
Configurar Firebox Cloud para Enviar Retroalimentación a WatchGuard
Para habilitar Firebox Cloud para enviar retroalimentación, en la Fireware Web UI:
- Seleccione Sistema > Configuración Global.
- Marque la casilla de selección Enviar retroalimentación del dispositivo a WatchGuard.
- Seleccione la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.
Para habilitar Firebox Cloud para enviar retroalimentación, en Policy Manager:
- Conéctese a Firebox Cloud en WatchGuard System Manager.
- Abra el Policy Manager.
- Seleccione Configurar > Configuraciones Globales.
- Marque la casilla de selección Enviar retroalimentación del dispositivo a WatchGuard.
- Seleccione la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.
Configurar Políticas y Servicios de Firewall
Configure las políticas y los servicios como lo haría con cualquier otro Firebox.
Firebox Cloud no es compatible con todas las funciones de Fireware. Para obtener un resumen de las diferencias entre Firebox Cloud y otros modelos de Firebox, consulte Diferencias de las Funciones de Firebox Cloud.