Contents

Temas Relacionados

Implementar Firebox Cloud en AWS

Antes de Empezar

Antes de poder usar Firebox Cloud, debe crear una cuenta de AWS. Cuando configura su cuenta de AWS, especifica la información de facturación y las credenciales de seguridad que usa para conectarse a la AWS Management Console.

Para obtener más información sobre cómo comenzar con AWS, consulte:

http://docs.aws.amazon.com/gettingstarted/latest/awsgsg-intro/gsg-aws-intro.html

Para obtener información sobre la AWS Management Console, consulte:

http://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html

Resumen del Despliegue

Para implementar su instancia de Firebox Cloud en AWS, debe completar estos procedimientos:

Crear una Nube Privada Virtual (VPC)

Use el VPC Wizard para crear una VPC con subredes públicas y privadas.

Finalizar la instancia de NAT

Finalice la instancia de NAT que el VPC Wizard creó automáticamente para la VPC. Puede finalizar esta instancia de NAT predeterminada porque la instancia de Firebox Cloud completará las funciones de NAT para las subredes en esta VPC.

Crear una instancia de Firebox Cloud

Inicie una instancia de EC2 para Firebox Cloud con estas propiedades:

  • Configuración de VPC — VPC con Subredes Públicas y Privadas
  • AMI — WatchGuard Firebox Cloud
  • Tipo de Instancia — Si selecciona Firebox Cloud con una licencia BYOL, asegúrese de seleccionar el tipo de instancia que tenga el mismo número de vCPU que la licencia de Firebox Cloud que compró.
  • Red — Una VPC con subredes públicas y privadas
  • Interfaces — Eth0 debe usar una subred pública; Eth1 debe usar una subred privada
  • Almacenamiento — Mantenga el tamaño predeterminado
  • Grupo de Seguridad — Permita todo el tráfico entrante

Para obtener información sobre los tipos de instancias de EC2 compatibles con Firebox Cloud (BYOL) y Firebox Cloud (Por Hora), consulte la información del producto Firebox Cloud en el AWS Marketplace.

Deshabilitar las comprobaciones de Origen/Destino para Firebox Cloud

Para que su Firebox Cloud funcione como un dispositivo NAT para su VPC, debe deshabilitar la comprobación de origen/destino para la instancia de Firebox Cloud.

Asignar una dirección IP Elástica a la instancia de Firebox Cloud

Asigne una dirección IP Elástica (EIP) a la interfaz eth0 para su instancia de Firebox Cloud. Puede usar la dirección EIP que se asignó a la instancia de NAT que finalizó, o cualquier otra dirección EIP disponible.

Configurar la ruta predeterminada para la red privada

Cambie el enrutamiento de la subred privada para que use la instancia de Firebox Cloud como la default gateway (puerta de enlace predeterminada).

Comprobar el estado de la instancia

Compruebe el estado de la instancia de Firebox Cloud para verificar que se ha encendido, que tiene asignada una dirección IP pública y un servidor DNS, y que está configurado el grupo de seguridad correcto.

Cada uno de estos procedimientos se describe en detalle en las siguientes secciones.

Crear una VPC con Subredes Públicas y Privadas

Si aún no tiene una VPC con subredes públicas y privadas, debe crear una.

Para usar el VPC Wizard para crear una VPC:

  1. Inicie sesión en la AWS Management Console en aws.amazon.com.
  2. Seleccione Servicios > VPC.
  3. Haga clic en Iniciar el VPC Wizard.
  4. En el lado izquierdo de la página, seleccione VPC con Subredes Públicas y Privadas.

Captura de pantalla del Paso 1: Seleccione una Configuración VPC

  1. Haga clic en Seleccionar.
    Aparece la configuración de la subred pública y privada.
  2. En el cuadro de texto Nombre de la VPC, escriba un nombre para identificar su VPC.
  3. Configure las subredes públicas y privadas. Puede usar las subredes públicas y privadas predeterminadas o seleccionar otras subredes.
  4. Configure la Zona de Disponibilidad para cada subred. Asegúrese de que la subred pública y la subred privada estén en la misma zona.
  5. En la configuración de NAT, haga clic en Usar una instancia de NAT en su lugar.
    Aparece la configuración de la instancia de NAT. Puede usar la configuración predeterminada de la instancia.

Finalizará la instancia de NAT más adelante y usará la instancia de Firebox Cloud para NAT.

  1. Haga clic en Crear VPC.
    El asistente crea la VPC y la instancia de NAT asociada.
  2. Haga clic en Aceptar para ir al Panel de Control de la VPC.
  3. Seleccione Subredes para ver la subred y la información de enrutamiento para su VPC.
    Para filtrar la lista, en la lista desplegable Filtrar por VPC, seleccione su VPC.

Captura de pantalla del Panel de Control de la VPC AWS

Finalizar la Instancia de NAT

El VPC Wizard crea automáticamente una instancia de NAT para su VPC. Esta instancia de NAT predeterminada no es necesaria porque Firebox proporcionará servicios de NAT para la VPC. Puede finalizar la instancia de NAT creada automáticamente desde la página Instancias de EC2.

De manera predeterminada, la instancia de NAT creada automáticamente no tiene una etiqueta asociada. Si tiene más de una instancia de NAT sin etiquetar, asegúrese de finalizar solo la instancia asociada a su VPC.

Para verificar qué instancia es la instancia NAT:

  1. En la página Instancias de EC2, selecciona la instancia.
    La información de la instancia aparece en la parte inferior de la página.
  2. Verifique que la ID de la VPC para la instancia coincida con su VPC.
  3. Verifique que la ID de AMI sea para una instancia de NAT. La ID de AMI para la instancia de NAT comienza con amzn-ami-vpc-nat.

Captura de pantalla de los detalles de la instancia de NAT

Cuando finaliza la instancia NAT, también puede optar por liberar la dirección IP Elástica (EIP) asignada a la instancia de NAT. En este procedimiento, no liberamos la dirección EIP, por lo que aún está disponible para asignarla a la instancia de Firebox Cloud más adelante.

Para asignar la EIP que se asocia con la instancia de NAT a su instancia de Firebox Cloud, copie la dirección EIP antes de finalizar la instancia de NAT. Esto facilita la identificación de la dirección EIP que desea asignar a la instancia de Firebox Cloud.

Para finalizar la Instancia de NAT:

  1. Seleccione la instancia de NAT.
  2. Seleccione Acciones > Estado de Instancia > Finalizar.
  3. Seleccione Sí, Finalizar.

Crear una Instancia de Firebox Cloud

En el panel de control de EC2, puede crear una instancia de EC2 para Firebox Cloud.

Para iniciar una instancia de Firebox Cloud:

  1. Seleccione Servicios > EC2.
  2. En el panel de navegación, seleccione AMIs.
  3. Selecciona la AMI de WatchGuard Firebox Cloud.

Captura de pantalla de la página AMIs de EC2

  1. Haga clic en Iniciar.

Captura de pantalla del paso Elegir y Tipo de Instancia

  1. Seleccione el tipo de instancia de AWS. Si seleccionó Firebox Cloud con una licencia BYOL, seleccione una instancia que tenga el número de vCPUs compatibles con su licencia de Firebox Cloud.
    • Para obtener información sobre el número de vCPUs para cada modelo de Firebox Cloud, consulte Introducción a Firebox Cloud
    • Para obtener información sobre los tipos de instancias de EC2 compatibles con Firebox Cloud (BYOL) y Firebox Cloud (Por Hora), consulte la información del producto Firebox Cloud en el AWS Marketplace.
  2. Haga clic en Siguiente: Configurar los Detalles de la Instancia.
    Aparece el paso Configurar Detalles de la Instancia.

Captura de pantalla del paso Configurar Detalles de la Instancia

  1. En la lista desplegable Red, seleccione su VPC.
  2. En la lista desplegable Subred, seleccione la subred pública para usar con eth0.
    La subred que seleccione aparece en la sección Interfaces de Red para eth0.
  3. Para agregar una segunda interfaz, en la sección Interfaces de Red haga clic en Añadir Dispositivo.
    Eth1 se agrega a la lista de interfaces de red.
  4. En la lista desplegable Subred para eth1, seleccione la subred privada para usar con eth1.
  5. Haga clic en Siguiente: Agregar Almacenamiento.

Captura de pantalla del paso Agregar Almacenamiento

  1. Use el tamaño de almacenamiento predeterminado (5 GB). Haga clic en Siguiente: Agregue Etiquetas.

Captura de pantalla del paso Instancia de Etiqueta

  1. En el cuadro de texto Valor, escriba un nombre para identificar esta instancia.
  2. Haga clic en Siguiente: Configurar el Grupo de Seguridad.

Captura de pantalla del paso Configurar Grupo de Seguridad

De manera predeterminada, la instancia usa un grupo de seguridad que funciona como un firewall básico. Dado que Firebox Cloud es un firewall, debe agregar un nuevo grupo de seguridad que permita todo el tráfico y asignar ese grupo de seguridad a esta instancia de EC2.

  1. Seleccione un grupo de seguridad existente o agregue un nuevo grupo de seguridad que permita todo el tráfico.
    Si crea un nuevo grupo de seguridad, en la lista desplegable Tipo, seleccione Todo el tráfico.
  2. Haga clic en Revisar e Iniciar.
    Aparece la información configurada para su instancia.
  3. Haga clic en Iniciar.
    Aparece el cuadro de diálogo de configuración de par de claves.

Seleccionar o Crear un Par de Claves para la Autenticación SSH

Cuando inicia una nueva instancia de EC2, puede seleccionar o crear un par de claves. El par de claves se necesita solo para conexiones ssh a la command line interface (CLI) de Fireware para Firebox Cloud. No necesita el par de claves para conectarse a la Fireware Web UI. Si procede sin un par de claves, puede iniciar sesión en la Fireware Web UI, pero no puede conectarse a la CLI desde el exterior de la VPC.

Puede usar un par de claves existente si tiene acceso al archivo de la llave privada. O puede crear un nuevo par de claves y descargar el archivo de la llave privada.

Para utilizar un par de claves existente:

  1. En la lista desplegable superior, seleccione Elegir un par de claves existente.

Captura de pantalla de la opción para elegir un par de claves existente

  1. En la lista desplegable Seleccione un par de claves, seleccione un par de claves existente.
  2. Marque la casilla de selección para confirmar que tiene acceso al archivo de la llave privada seleccionado.
  3. Haga clic en Iniciar Instancias.

Para crear un nuevo par de claves:

  1. En la lista desplegable superior, seleccione Crear un nuevo par de claves.

Captura de pantalla de la opción para seleccionar un par de claves existente

  1. En el cuadro de texto Nombre del par de claves, escriba el nombre para el nuevo par de claves.
  2. Haga clic en Descargar Par de Claves.
    Se descarga el archivo .PEM que contiene la llave privada.
  3. Guarde la llave privada en una ubicación que sea segura y accesible; no podrá descargar el archivo de la llave privada otra vez.
  4. Haga clic en Iniciar Instancias.

Deshabilitar las Comprobaciones de Origen/Destino

De manera predeterminada, cada instancia de EC2 completa las comprobaciones de origen/destino. Para que las redes en su VPC utilicen con éxito su instancia de Firebox Cloud para NAT, debe deshabilitar la comprobación de origen/destino para las interfaces de red asignadas a la instancia de Firebox Cloud.

Para deshabilitar las comprobaciones de origen/destino para la interfaz pública:

  1. En la Consola de Administración de EC2, seleccione Instancias > Instancias.
  2. Seleccione la instancia de Firebox Cloud.
  3. Seleccione Acciones > Redes > Cambiar Comprobación de Origen/Destino.
    El mensaje de confirmación incluye la interfaz pública para esta instancia.

Captura de pantalla del cuadro de diálogo Habilitar Comprobación de Origen/Destino

  1. Haga clic en Sí, Deshabilitar.
    Las comprobaciones de origen y destino se deshabilitan para la interfaz pública.

Para deshabilitar las comprobaciones de origen/destino en la interfaz privada:

  1. En la Consola de Administración de EC2, seleccione Red y Seguridad > Interfaces de Red.
  2. Seleccione la interfaz privada de su VPC.
  3. Seleccione Acciones > Cambiar Comprobación de Origen/Destino.
  4. Seleccione Deshabilitada.
  5. Haga clic en Guardar.

Asignar una Dirección IP Elástica a la Interfaz Externa

Debe asignar una dirección IP Elástica (EIP) a la interfaz eth0 para la instancia de Firebox Cloud. Puede usar la dirección EIP que se asignó previamente a la instancia de NAT que finalizó o cualquier otra dirección EIP disponible. Para asegurarse de asignarla a la interfaz correcta, busque y copie la ID de la interfaz eth0 para su instancia de Firebox Cloud.

Para encontrar la ID de la interfaz eth0 para su instancia de Firebox Cloud:

  1. En la Consola de Administración de EC2, seleccione Instancias.
  2. Seleccione la instancia de Firebox Cloud.
    Aparecen los detalles de la instancia.
  3. Haga clic en la interfaz de red eth0.
    Aparece más información sobre la interfaz de red.
  4. Copie el valor de ID de la Interfaz.

Para asociar la dirección IP Elástica con la interfaz eth0:

  1. En la Consola de Administración de EC2, seleccione Red y Seguridad > IPs Elásticas.
  2. Seleccione una dirección IP Elástica disponible.
  3. Seleccione Acciones > Asociar Dirección.
    Aparece la página de Asociar dirección.

Captura de pantalla de la página Asociar dirección

  1. En la configuración Tipo de recurso, seleccione Interfaz de red.
  2. En el cuadro de texto Interfaz de Red, pegue la ID de la Interfaz para eth0.
  3. Haga clic en Asociar.

Ahora puede usar la dirección EIP para conectarse a la Fireware Web UI para su instancia de Firebox Cloud.

Para conectarse a la Fireware Web UI, abra un explorador web y vaya a https://<eth0_EIP>:8080.

Si cambia la dirección EIP que se asocia con su instancia de Firebox Cloud, debe usar la consola de AWS para detener y reiniciar la instancia antes de que Firebox Cloud pueda usar la nueva dirección EIP.

Configurar la Ruta Predeterminada

Para permitir que Firebox Cloud controle el tráfico saliente desde la red privada conectada a eth1, debe cambiar la tabla de enrutamiento de la subred privada para que use Firebox Cloud como la default gateway (puerta de enlace predeterminada).

Para encontrar la ID de la interfaz de red de la red privada:

  1. En el panel de control de EC2, seleccione Red y Seguridad > Interfaces de Red.
  2. Busque la interfaz de red privada para la ID de su instancia. Es la interfaz que no tiene asignada una dirección IP pública.
  3. Copie la ID de la interfaz de red.

Para editar la tabla de enrutamiento:

  1. Seleccione Servicios > VPC.
  2. Seleccione Tablas de Enrutamiento.
  3. Para encontrar la interfaz para la red privada, seleccione cada tabla de enrutamiento para su VPC de una a la vez.
    Aparecen los detalles de la tabla de enrutamiento, con la información de la interfaz para cada tabla de enrutamiento.
  4. Para ver las rutas de cada red, seleccione la pestaña Rutas.
    Para la interfaz privada, el estado predeterminado de la ruta es Black Hole porque el VPC Wizard estableció el objetivo NAT en la instancia NAT que usted finalizó.

Captura de pantalla de las Rutas para una red privada con el estado Black Hole

  1. En la pestaña Rutas para la red privada, haga clic en Editar.
  2. En el cuadro de texto Objetivo, pegue la ID de interfaz de red para la interfaz de red privada.
    El estado de la ruta cambia de Black Hole a Active.

Captura de pantalla de las Rutas para una red privada con estado Active

  1. Haga clic en Guardar.

Verificar el Estado de la Instancia

Después de finalizar todos los pasos para implementar su instancia de Firebox Cloud, revise los detalles de la instancia en la página Instancias de EC2 para verificar lo siguiente:

  • Se han asignado la dirección IP pública y el servidor DNS Público
  • Se ha asignado el grupo de seguridad para permitir todo el tráfico

Activar su Licencia de Firebox Cloud (Solo BYOL)

Para Firebox Cloud con una licencia BYOL, debe activar el número de serie de Firebox Cloud en el portal de WatchGuard. Antes de poder activar Firebox Cloud, debe tener el número de serie de Firebox Cloud que recibió de WatchGuard y debe conocer la ID de la Instancia de Firebox Cloud.

Para activar su licencia de Firebox Cloud:

  1. Vaya a www.watchguard.com.
  2. Haga clic en Soporte.
  3. Haga clic en Activar Productos.
  4. Inicie sesión en su cuenta del portal de Cliente o Socio de WatchGuard. Si no tiene una cuenta, puede crear una.
  5. Si es necesario, navegue hasta el Centro de Soporte y seleccione Mi WatchGuard > Activar Producto.
  6. Cuando se le solicite, proporcione el número de serie de su Firebox Cloud y la ID de la Instancia.
  7. Cuando se complete la activación, copie la llave de licencia y guárdela en un archivo local.

Ejecutar el Firebox Cloud Setup Wizard

Después de implementar Firebox Cloud, puede conectarse a la Fireware Web UI a través de la dirección IP pública para ejecutar el Firebox Cloud Setup Wizard. Usará el asistente para configurar las contraseñas administrativas para Firebox Cloud.

Para ejecutar el Firebox Cloud Setup Wizard:

  1. Conéctese a la Fireware Web UI para su Firebox Cloud con la dirección IP pública:
    https://<eth0_public_IP>:8080
  2. Inicie sesión con el nombre de usuario y contraseña predeterminados de la cuenta de Administrador:
    • Nombre de usuario — admin
    • Contraseña — La ID de la Instancia de Firebox Cloud

    Aparece la página de bienvenida del Firebox Cloud Setup Wizard.

  3. Haga clic en Siguiente.
    Se inicia el asistente de configuración.
  4. Lea y acepte el Acuerdo de Licencia. Haga clic en Siguiente.

Captura de pantalla del paso Crear contraseña en el Web Setup Wizard

  1. Especifique nuevas contraseñas para las cuentas de usuario integradas estado y admin.
  2. Haga clic en Siguiente.
    La configuración se guarda en Firebox Cloud y el asistente termina.

Conectar a Fireware Web UI

Para conectarse a la Fireware Web UI y administrar Firebox Cloud:

  1. Abra un explorador web y vaya a la dirección de la IP pública para su instancia de Firebox Cloud en:
    https://<eth0_public_IP>:8080
  2. Inicie sesión con la cuenta de usuario admin. Asegúrese de especificar la contraseña que configuró en el Firebox Cloud Setup Wizard.

De forma predeterminada, Firebox Cloud permite que más de un usuario con credenciales de Administrador de Dispositivos inicie sesión al mismo tiempo. Para evitar que más de un administrador realice cambios al mismo tiempo, la configuración se bloquea de manera predeterminada. Para desbloquear la configuración y poder hacer cambios, haga clic en el ícono de Bloqueado.

Si prefiere permitir que solo un Administrador de Dispositivos inicie sesión al mismo tiempo, seleccione Sistema > Configuración Global y desmarque la casilla de selección Habilitar más de un Administrador de Dispositivos para iniciar sesión al mismo tiempo.

Agregar la Llave de Licencia (Solo BYOL)

Si activó una licencia de Firebox Cloud en el portal de WatchGuard, su llave de licencia está disponible directamente en WatchGuard. Debe agregar esta llave de licencia a la configuración de Firebox Cloud para habilitar todas las funciones y opciones de configuración en Firebox Cloud.

Después de agregar la llave de licencia, Firebox Cloud se reinicia automáticamente con un nuevo número de serie.

Para agregar la llave de licencia, desde la Fireware Web UI:

  1. Seleccione Sistema > Llave de Licencias.
    Aparece la página del Feature Key Wizard.

Captura de pantalla de la página de bienvenida del Feature Key Wizard

  1. Para desbloquear el archivo de configuración, haga clic en el ícono de Bloqueado.
  2. Para descargar e instalar la llave de licencia, haga clic en Siguiente.
  3. En la página Resumen, verifique que su llave de licencia se haya instalado correctamente.
    Cuando su llave de licencia se haya instalado, aparecerá el mensaje Llave de Licencia Recuperada con Éxito en la página Resumen.

Captura de pantalla de la página Resumen del Feature Key Wizard

  1. Haga clic en Siguiente.
    El asistente se completa y Firebox Cloud se reinicia con un nuevo número de serie.

Próximos Pasos

Después de ejecutar el asistente de configuración y agregar la llave de licencia, puede usar la Fireware Web UI o Policy Manager para configurar los ajustes de Firebox Cloud.

Habilitar la Sincronización de la Tecla de Función

Habilite a Firebox Cloud para verificar automáticamente las actualizaciones de la llave de licencias cuando los servicios estén próximos a expirar.

Para habilitar la sincronización de llave de licencias, en la Fireware Web UI:

  1. Seleccione Sistema > Llave de Licencias.
  2. Seleccione la casilla de selección Habilitar la sincronización de llave de licencias automática.
  3. Haga clic en Guardar.

Para habilitar la sincronización de llave de licencias, en Policy Manager:

  1. Conéctese a Firebox Cloud en WatchGuard System Manager.
  2. Abra el Policy Manager.
  3. Seleccione Sistema > Llaves de Licencias.
  4. Seleccione la casilla de selección Habilitar la sincronización de llave de licencias automática.
  5. Haga clic en Guardar.

Configurar Firebox Cloud para Enviar Retroalimentación a WatchGuard

Para habilitar Firebox Cloud para enviar retroalimentación, en la Fireware Web UI:

  1. Seleccione Sistema > Configuración Global.
  2. Marque la casilla de selección Enviar retroalimentación del dispositivo a WatchGuard.
  3. Seleccione la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.

Para habilitar Firebox Cloud para enviar retroalimentación, en Policy Manager:

  1. Conéctese a Firebox Cloud en WatchGuard System Manager.
  2. Abra el Policy Manager.
  3. Seleccione Configurar > Configuraciones Globales.
  4. Marque la casilla de selección Enviar retroalimentación del dispositivo a WatchGuard.
  5. Seleccione la casilla de selección Enviar Informes de Falla a WatchGuard diariamente.

Configurar Políticas y Servicios de Firewall

Configure las políticas y los servicios como lo haría con cualquier otro Firebox.

Firebox Cloud no es compatible con todas las funciones de Fireware. Para obtener un resumen de las diferencias entre Firebox Cloud y otros modelos de Firebox, consulte Diferencias de las Funciones de Firebox Cloud.

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.