Configurar los Ajustes de NetFlow para un Firebox Administrado en la Nube

Aplica A: Fireboxes administrados en la nube

NetFlow es un protocolo que se utiliza para recolectar y analizar el tráfico de red IP. Para obtener más información sobre el tráfico de su red, puede configurar el Firebox como exportador NetFlow. Por ejemplo, puede utilizar los datos de NetFlow para resolver problemas de rendimiento de la red o investigar problemas de seguridad. Para más información sobre el protocolo NetFlow, consulte RFC 3954.

Cuando configura NetFlow en su Firebox, especifica la versión de NetFlow (v5 o v9) y qué redes monitorizar. También especifica la dirección IP de un servidor conocido como colector. El Firebox monitoriza las redes seleccionadas y envía flujos de datos conocidos como registros de flujo al colector para su análisis. El colector ejecuta una aplicación de terceros que utiliza el protocolo NetFlow para registrar y analizar el tráfico de red. Muchas aplicaciones de terceros admiten el protocolo NetFlow. El Firebox en sí mismo no muestra ni analiza los registros de flujo.

Con ThreatSync+ NDR, puede usar colectores basados en Windows o Linux para monitorizar el tráfico de la red. Los colectores toman feeds de datos como NetFlow, sFlow o registros del servidor DHCP de Windows directamente de conmutadores y firewalls de terceros, y los envían mediante una conexión segura a WatchGuard Cloud. ThreatSync+ utiliza estos feeds de datos para identificar y detectar posibles amenazas y actividades sospechosas, y genera alertas para que las investigue. Para más información, vaya a Acerca de los Colectores de ThreatSync+ NDR y Acerca de ThreatSync+ NDR.

En el Firebox, puede seleccionar monitorizar el tráfico de entrada, que es el tráfico que llega a una red. También puede seleccionar la monitorización del tráfico de egreso, que es el tráfico que sale de una red. Por ejemplo, si tiene un conmutador interno sin NetFlow, habilite la salida de NetFlow en la red interna del Firebox a la que se conecta el conmutador. Esto captura el tráfico que sale de la red interna del Firebox, que incluye el tráfico enviado al conmutador. Para el tráfico de paso, el Firebox monitoriza el tráfico bidireccional si selecciona monitorizar tanto las redes de entrada como de salida.

Puede seleccionar monitorizar el tráfico generado por el Firebox (generado automáticamente), que es el tráfico saliente generado por el propio Firebox. También puede seleccionar monitorizar el tráfico destinado al Firebox.

Las redes físicas, VLAN, de puente, inalámbricas y de conjunto de enlaces son compatibles en todas las zonas (Externa, Interna e Invitado). Si una red física recibe solo paquetes VLAN etiquetados, esa red no aparece en la lista de redes de la configuración de NetFlow. En su lugar aparece la red que corresponde a esos paquetes VLAN etiquetados. Las redes virtuales BOVPN y las redes de bucle invertido no son compatibles.

Para configurar el NetFlow en el colector de tercero, consulte nuestras Guías de Integración o la documentación proporcionada por su servicio de colector NetFlow.

Flujos y Registros de Flujo

Un flujo neto o flujo, consiste en paquetes que comparten estos atributos:

Interfaz
Dirección IP de origen
Dirección IP de destino
Protocolo IP
Puerto de origen
Puerto de destino
Tipo de Servicio (ToS)

El Firebox exporta un registro de flujo al colector después de que el flujo termina. Un registro de flujo contiene información granular sobre el flujo, que incluye:

Sellos de tiempo para el comienzo y el final del flujo
Número de bytes y paquetes en el flujo
Índice de la interfaz de entrada y salida
Información del encabezado de la capa 3
Información de enrutamiento de la capa 3

Un flujo puede terminar normal o anormalmente. Un flujo termina normalmente si:

Aparece un nuevo tráfico para un flujo, que restablece el temporizador de envejecimiento
La sesión TCP termina
El flujo excede el valor de Tiempo de Espera de Flujo Activo

El Tiempo de Espera de Flujo Activo es la cantidad de tiempo que una conexión activa espera antes de que se termine. En la configuración de NetFlow del Firebox, recomendamos que especifique un valor de Tiempo de Espera de Flujo Activo que sea inferior al valor de Tiempo de Espera de Flujo Activo del colector. Esto ayuda a evitar la pérdida de datos. Si el valor de Tiempo de Espera de Flujo Activo es menor en el colector, éste podría dejar de escuchar mientras el Firebox está enviando datos.

Para monitorizar el tráfico IPv6 y ver las direcciones IP posteriores a NAT en los registros de flujo, debe usar V9. Las direcciones IP para eventos NAT y NAT-T (NAT traversal) aparecen en los registros de flujo si selecciona V9 en la configuración de NetFlow del Firebox.

En el registro de flujo, X-Src y X-Dst indican las direcciones posteriores a NAT de origen y destino. Puede utilizar eventos NAT para identificar qué dispositivos de la red local generaron tráfico.

Seguridad

El Firebox envía los registros de flujo al colector con UDP. La información en un flujo aparece en texto transparente. No hay autenticación entre el Firebox y el colector, y el transporte de paquetes no está cifrado.

Asegúrese de que la red entre el Firebox y el colector sea de confianza. Si el Firebox debe atravesar una red menos segura o Internet, le recomendamos que utilice una VPN para proteger los datos de NetFlow.

Rendimiento

Debido a los recursos necesarios para recolectar y registrar los flujos, NetFlow puede disminuir el rendimiento y la tasa de conexión de su Firebox. Para reducir los impactos en el rendimiento, limite el número de redes que monitoriza.

Para redes de empresas a gran escala, o si el Firebox está bajo una carga significativa, también puede considerar el Modo de Muestreo. En el Modo de Muestreo, el Firebox selecciona aleatoriamente 1 de cada X paquetes para muestrear. Por ejemplo, si se especifica una tasa de muestreo de 100, el Firebox muestrea 1 de cada 100 paquetes.

El Modo de Muestreo es menos preciso porque no todos los paquetes son muestreados. Por esta razón, no recomendamos el Modo de Muestreo para las redes pequeñas.

Soporte del FireCluster

En un FireCluster, NetFlow opera solo en el miembro activo del clúster. La comunicación entre los miembros del FireCluster no es monitorizada.

Configurar los Ajustes de NetFlow

Para configurar los ajustes de NetFlow para un Firebox administrado en la nube, desde WatchGuard Cloud:

Seleccione Configurar > Dispositivos.
Seleccione un Firebox administrado en la nube.
Haga clic en Configuración del Dispositivo.
Haga clic en el widget Ajustes de Dispositivo.
Se abre la página Ajustes.

Screen shot of the Device Settings page

Seleccione la pestaña NetFlow.
Se abre la página Ajustes de NetFlow.
Habilite NetFlow.

Screenshot of the Device Settings page, NetFlow tab

En la lista desplegable Versión, seleccione la versión del protocolo de NetFlow. Para monitorizar el tráfico IPv6, debe usar V9.
En el cuadro de texto Dirección del Colector, escriba la dirección IPv4 o IPv6 del colector. El colector es el servidor que recopila los datos de NetFlow del Firebox.
En el cuadro de texto Puerto, escriba el número del puerto en el colector al que se enviarán datos de NetFlow. El Firebox debe ser capaz de comunicarse con el coleccionista en la dirección IP especificada y el puerto con el protocolo UDP.
En el cuadro de texto Tiempo de Espera de Flujo Activo, ingrese un número de minutos entre 1 y 60. El Tiempo de Espera de Flujo Activo es la cantidad de tiempo que una conexión activa debe esperar antes de que se termine. De forma predeterminada, el valor de Tiempo de Espera de Flujo Activo en el Firebox es de 30 minutos.
Recomendamos que especifique un valor de Tiempo de Espera de Flujo Activo que sea inferior al valor de Tiempo de Espera del Flujo Activo del colector. Si el valor de Tiempo de Espera de Flujo Activo es menor en el colector, éste podría dejar de escuchar mientras el Firebox envía datos.
(Opcional) Para habilitar el Modo de Muestreo, marque la casilla de selección Modo de Muestreo y, en el cuadro de texto Tasa de Muestreo, ingrese una tasa de muestreo de 2 a 65535 paquetes.
(Opcional) Para especificar qué tráfico del Firebox desea monitorizar, seleccione Monitorizar el Tráfico Generado por el Firebox, Monitorizar el Tráfico Destinado al Firebox o ambas opciones.

Para habilitar NetFlow para una red, junto al nombre de la red, seleccione Ingreso, Egreso o ambas opciones.
Si selecciona tanto Ingreso como Egreso para múltiples redes, tenga en cuenta que podría recolectar datos duplicados de NetFlow. Para evitar la duplicación de datos, seleccione Ingreso o Egreso, pero no ambos.

Haga clic en Guardar.

Temas Relacionados

Agregar un Firebox Administrado en la Nube a WatchGuard Cloud

Agregar un FireCluster Administrado en la Nube

Configurar los Ajustes de Retroalimentación del Dispositivo (WatchGuard Cloud)

Configurar los Ajustes del Sistema del Firebox

Configurar los Ajustes del Log Server para los Fireboxes Administrados en la Nube

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.