Redes · Firewall · WatchGuard · Firebox · Fireware · BOVPN · Mobile VPN · WSM · WebBlocker · IPS

Duarte Spínola · 25 de Junho de 2026

WatchGuard Firebox: Configuração de Firewall, NAT e VPN em 2026

O WatchGuard Firebox é uma linha de firewalls de próxima geração (NGFW) desenvolvida pela WatchGuard Technologies, baseada no sistema operativo Fireware. Ao contrário de soluções como FortiGate ou Palo Alto, o WatchGuard destaca-se pela simplicidade de gestão via WatchGuard System Manager (WSM) e WatchGuard Cloud, oferecendo serviços de segurança integrados como WebBlocker, Application Control, Gateway AV e Intrusion Prevention Service (IPS) numa única appliance. As séries M (M-series) e T (T-series) cobrem desde pequenas empresas até datacenters empresariais, com modelos como o Firebox M400/M440 para ambientes de alto desempenho. Este guia prático cobre a configuração completa: interfaces de rede, firewall policies (packet filters e proxy policies), NAT, BOVPN (IPsec site-to-site), Mobile VPN para acesso remoto, serviços de segurança, Multi-WAN, QoS, clustering de alta disponibilidade, autenticação e CLI troubleshooting. As fontes oficiais estão referenciadas inline, baseadas na documentação oficial WatchGuard. Para comparação com outras firewalls já cobertas nesta série, consulte os artigos sobre Palo Alto e Check Point.

Neste artigo

  1. Arquitectura do WatchGuard Firebox
  2. Configuração Inicial: Interfaces e Rede
  3. Firewall Policies: Packet Filters vs Proxy Policies
  4. Configuração de NAT
  5. BOVPN — VPN IPsec Site-to-Site
  6. Mobile VPN — Acesso Remoto (SSL, IPsec, L2TP)
  7. Serviços de Segurança Integrados
  8. Multi-WAN com Failover
  9. QoS e Traffic Management
  10. Alta Disponibilidade com Clustering
  11. Autenticação e Gestão de Utilizadores
  12. CLI Troubleshooting no Fireware
  13. Erros Comuns e Checklist de Verificação

1. Arquitectura do WatchGuard Firebox

O WatchGuard Firebox é uma appliance de segurança all-in-one que executa o sistema operativo Fireware. A arquitectura distingue-se de outras firewalls pela separação entre o plano de gestão (WSM e WatchGuard Cloud) e o plano de dados (Firebox). O WatchGuard System Manager é o cliente de gestão que liga ao Firebox via porta TCP 4113, permitindo configurar policies, interfaces, VPN e serviços. A documentação oficial de administração descreve todas as opções de gestão disponíveis.

Componentes principais:

Componente Função
Fireware OS Sistema operativo da firewall — processa pacotes, NAT, VPN e serviços de segurança
Firebox Appliance física (M-series, T-series) ou virtual (FireboxV) que executa Fireware
WSM (WatchGuard System Manager) Cliente de gestão para configurar policies, interfaces e VPN
WatchGuard Cloud Plataforma cloud para gestão centralizada, reporting e telemetria
Firewall policies Regras de tráfego — packet filters ou proxy policies com inspeção profunda
BOVPN Branch Office VPN — túneis IPsec site-to-site entre fireboxes
Mobile VPN VPN de acesso remoto — SSL, IPsec ou L2TP para utilizadores remotos

A linha de appliances Firebox cobre diferentes segmentos. A documentação oficial detalha especificações de cada modelo. A série T (T15, T25, T35, T40, T55) oferece throughput de 300 Mbps a 3 Gbps, adequada para pequenas empresas e filiais. A série M (M200, M300, M400, M440) cobre médias empresas com 3 a 18 Gbps. Os modelos high-end (M560, M660, M670) atingem 20 a 60 Gbps para datacenters e ISPs. O FireboxV é a versão virtualizada para ambientes cloud e hypervisors. Antes de actualizar o Fireware, convém verificar a compatibilidade com o WSM instalado e fazer backup da configuração em File > Save Configuration to File, pois uma actualização incompatível pode deixar o WSM sem conseguir ligar ao Firebox.

Para entender os conceitos básicos de firewall aplicados ao Fireware, consulte a documentação oficial sobre firewall basics. Para comparação com uma firewall open-source, veja o artigo sobre OPNsense.

2. Configuração Inicial: Interfaces e Rede

A configuração inicial do Firebox envolve definir interfaces de rede (WAN, LAN, opcional DMZ), endereços IP e encaminhamento. Por defeito, o Firebox vem com uma interface External (WAN) configurada para DHCP e uma interface Trusted (LAN) com IP 10.0.1.1/24. A documentação de configuração de rede descreve o processo completo.

Configurar interfaces no WSM:

  1. Abrir o WSM e ligar ao Firebox com credenciais de administrador
  2. Navegar para Network Configuration > Interfaces
  3. Seleccionar a interface External (ex.: eth0):
  • Interface Type: External
  • IP Address: 203.0.113.10/24 (IP estático do ISP) ou DHCP
  1. Seleccionar a interface Trusted (ex.: eth1):
  • Interface Type: Trusted
  • IP Address: 192.168.1.1/24
  1. Adicionar interface DMZ (ex.: eth2):
  • Interface Type: Optional (DMZ)
  • IP Address: 192.168.10.1/24
  1. Clicar Save e depois Save to Firebox > Send para aplicar

O Fireware atribui automaticamente o encaminhamento predefinido (default gateway) à interface marcada como External. Para interfaces Optional, é possível definir gateways adicionais em Network Configuration > Routing > Add. Consulte a documentação sobre routing para detalhes. Para configurações de interface avançadas (VLANs, bonding, MTU), a documentação sobre network interface settings é a referência completa.

Para configurar interfaces via CLI (Fireware CLI sobre SSH):

# Ligação ao Firebox via CLI (porta predefinida 4118)
ssh [email protected] -p 4118

# Ver estado de todas as interfaces
show interface

# Configurar interface trusted
configure
interface eth1
ip address 192.168.1.1/24
interface-type trusted
exit
exit

# Verificar configuração de routing
show ip route

⚠ ⚠️ Atenção

A porta SSH predefinida do Firebox para CLI é 4118, não 22. Tentar ligar via porta 22 padrão resulta em timeout. A porta pode ser alterada em Network Configuration > Settings > Firebox Settings.

3. Firewall Policies: Packet Filters vs Proxy Policies

O Fireware tem dois tipos principais de policies: packet filters (filtro de pacotes ao nível L3/L4, sem inspecção de payload) e proxy policies (proxy ao nível aplicacional, com inspecção profunda de conteúdo — ALG). A documentação sobre firewall policies descreve ambas as abordagens. As proxy policies permitem filtragem granular ao nível do protocolo (HTTP, FTP, SMTP, DNS).

Característica Packet Filter Proxy Policy
Camada de inspecção L3/L4 (IP, porta, protocolo) L7 (aplicacional — HTTP, SMTP, FTP)
Inspecção de payload Não Sim, inspeciona conteúdo do pacote
Desempenho Superior (menor overhead) Inferior (mais processamento)
Filtragem de conteúdo Não Sim (WebBlocker, AV scanning)
Casos de uso Tráfego rápido, protocolos não suportados por proxy Web, email, DNS — onde é necessária inspecção profunda

Criar uma packet filter policy no WSM:

  1. Navegar para Firewall > Policies > Add
  2. Seleccionar Packet Filter como tipo
  3. Definir:
  • Name: Allow_HTTP_DMZ
  • Protocol: TCP
  • From: Any-Trusted (origem — rede LAN)
  • To: 192.168.10.100 (servidor DMZ)
  • Port: 80
  1. Clicar Save e arrastar a policy acima da regra Any predefinida

Criar uma proxy policy HTTP para inspecção web:

  1. Navegar para Firewall > Policies > Add > HTTP-Proxy
  2. Na secção HTTP-Proxy > Settings:
  • From: Any-Trusted
  • To: Any-External
  1. Na secção WebBlocker > Enabled: activar filtragem web
  2. Na secção Gateway AV > Enabled: activar antivírus de gateway
  3. Clicar Save

A documentação oficial sobre como controlar tráfego de rede explica a diferença entre policies pré-definidas e customizadas. Para uma comparação com o modelo de security zones do Palo Alto, consulte o artigo sobre Palo Alto.

⚠ ⚠️ Atenção

A ordem das policies importa. O Fireware avalia as policies de cima para baixo, primeira correspondência ganha. A policy Any (predefinida) no fundo da lista funciona como default deny. Colocar sempre policies específicas acima da policy Any. Não remover a policy Any — ela é necessária para que o Firebox bloqueie tráfego não explicitamente permitido.

Para listar policies activas via CLI:

# Listar todas as policies configuradas
show policy

# Ver detalhes de uma policy específica
show policy “Allow_HTTP_DMZ”

# Ver estatísticas de tráfego por policy
show policy statistics

4. Configuração de NAT

O Fireware suporta vários tipos de NAT: dynamic NAT (many-to-one, SNAT — clientes internos a aceder à internet), static NAT (1:1 — mapear um IP público a um IP interno) e port forwarding (redirecionar portas específicas). A documentação oficial de NAT detalha cada tipo.

Tipo de NAT Uso Exemplo
Dynamic NAT (SNAT) Clientes LAN a aceder à internet 192.168.1.0/24 → IP da WAN
Static NAT (1:1) Servidor interno com IP público dedicado 203.0.113.20192.168.10.100
Port Forwarding Serviço específico acessível externamente WAN:80 → 192.168.10.100:8080

Configurar dynamic NAT (automático):

Por defeito, o Fireware faz dynamic NAT automaticamente para tráfego da interface Trusted para a interface External. Todos os IPs internos são traduzidos para o IP da interface External. Não é necessária configuração adicional para acesso básico à internet.

Configurar 1:1 NAT (static NAT) no WSM:

  1. Navegar para Network Configuration > NAT > Add 1-to-1 NAT
  2. Definir:
  • Real IP Address: 192.168.10.100 (IP interno do servidor)
  • Public IP Address: 203.0.113.20 (IP público)
  • External Interface: eth0 (WAN)
  1. Clicar OK e Save to Firebox
  2. Criar a policy de firewall correspondente para permitir o tráfego (ex.: HTTP-Proxy com From = Any-External e To = 192.168.10.100)

⚠ ⚠️ Atenção

O 1:1 NAT por si só não cria regras de firewall. É necessário criar a policy correspondente que permita o tráfego específico. Sem a policy, o tráfego é bloqueado pelo default deny. O 1:1 NAT apenas traduz o endereço — a policy é que decide se o tráfego passa ou é bloqueado.

Configurar port forwarding (SNAT de destino):

  1. Navegar para Firewall > Policies > Add > Custom Packet Filter
  2. Definir:
  • Name: PortForward_HTTP
  • From: Any-External
  • To: 192.168.10.100 (SNAT automático activado)
  • Port: 80
  1. Na secção Advanced > SNAT: seleccionar Dynamic SNAT
  2. Clicar Save

Ao criar uma policy com origem Any-External e destino um IP interno, o Fireware activa automaticamente a tradução de destino (DNAT). O SNAT garante que o tráfego de retorno passa pelo Firebox em vez de tentar ir directamente para o cliente original. Para comparação com a implementação NAT do DrayTek, consulte o artigo sobre DrayTek Vigor.

5. BOVPN — VPN IPsec Site-to-Site

O BOVPN (Branch Office VPN) é a implementação de VPN IPsec site-to-site do WatchGuard. Permite ligar dois ou mais sites através de túneis encriptados com IKEv1 ou IKEv2. A documentação oficial sobre BOVPN descreve a configuração completa.

Configurar BOVPN no Site A (WSM):

  1. Navegar para VPN > Branch Office VPN > Gateways > Add
  2. Configurar Gateway (Phase 1):
  • Name: SiteA-to-SiteB
  • Endpoint: 203.0.113.10 (IP público do Site A)
  • Remote Gateway: 203.0.113.50 (IP público do Site B)
  • IKE Version: IKEv2
  • Authentication: Pre-Shared Key
  • Pre-Shared Key: string aleatória de 32+ caracteres
  • Encryption: AES-256-CBC
  • Hash: SHA-256
  • Diffie-Hellman Group: Group 14 (2048-bit)
  1. Navegar para VPN > Branch Office VPN > Tunnels > Add
  2. Configurar Tunnel (Phase 2):
  • Gateway: SiteA-to-SiteB
  • Local Network: 192.168.1.0/24 (LAN do Site A)
  • Remote Network: 10.10.20.0/24 (LAN do Site B)
  • Encryption: AES-256-CBC
  • Hash: SHA-256
  • PFS: Enabled, Group 14
  1. Clicar Save e Save to Firebox

⚠ ⚠️ Atenção

Os parâmetros de Phase 1 e Phase 2 têm de ser idênticos em ambos os peers. Um mismatch em qualquer algoritmo de encripação, hash ou DH group impede o estabelecimento do túnel. Verificar também que as portas UDP 500 e 4500 estão abertas nos ISPs de ambos os sites — alguns ISPs bloqueiam tráfego IPsec.

Para ambientes com múltiplos sites, o BOVPN over VPN (gateway dinâmico) permite criar um túnel único que aceita ligações de múltiplos peers com FQDN em vez de IP fixo, útil para filiais com IP dinâmico. Para uma comparação com a implementação IPsec do Check Point, consulte o artigo sobre Check Point.

Verificar estado de BOVPN via CLI:

# Ver estado dos túneis BOVPN
show bovpn

# Ver detalhes de um gateway BOVPN específico
show bovpn gateway “SiteA-to-SiteB”

# Ver túneis activos e tráfego
show bovpn tunnel status

# Reiniciar um túnel BOVPN específico
bovpn reset “SiteA-to-SiteB”

# Ver logs de BOVPN em tempo real
show log bovpn

6. Mobile VPN — Acesso Remoto (SSL, IPsec, L2TP)

O Mobile VPN é a solução de WatchGuard para acesso remoto de utilizadores individuais. Suporta três protocolos: Mobile VPN with SSL (recomendado, usa cliente WatchGuard SSL), Mobile VPN with IPsec (cliente nativo IKEv2) e Mobile VPN with L2TP (compatível com clientes nativos de SO). A documentação oficial sobre Mobile VPN descreve as três opções. O protocolo SSL é o mais fácil de configurar e gerir; o IPsec IKEv2 está integrado no sistema operativo sem software extra; o L2TP oferece compatibilidade com dispositivos antigos.

Configurar Mobile VPN with SSL no WSM:

  1. Navegar para VPN > Mobile VPN > SSL > Configure
  2. Na secção Authentication:
  • Authentication Server: Firebox-DB (local) ou Active Directory
  • Authentication Method: Username + Password
  1. Na secção Network:
  • Address Pool: 10.10.50.0/24 (subnet para clientes VPN)
  • DNS Server: 192.168.1.1
  • DNS Search Domain: empresa.local
  1. Na secção Advanced:
  • Encryption: AES-256
  • Hash: SHA-256
  1. Criar utilizadores em Authentication > Users > Add
  2. Clicar Save to Firebox
  3. Descarregar o ficheiro de configuração do cliente em VPN > Mobile VPN > SSL > Client Configuration > Download

O cliente WatchGuard Mobile VPN com SSL está disponível para Windows, macOS, iOS e Android. A documentação sobre instalação do cliente SSL descreve o processo para cada plataforma. O ficheiro de configuração (.ini) exportado pelo WSM contém todos os parâmetros do túnel — o utilizador só precisa de instalar o cliente e importar o ficheiro.

⚠ ⚠️ Atenção

O endereço pool do Mobile VPN não pode sobrepor-se a nenhuma subnet interna existente. Se o pool for 10.10.50.0/24 e essa subnet já existir na LAN, os clientes VPN não conseguem aceder aos recursos porque o tráfego é encaminhado localmente em vez de pelo túnel.

7. Serviços de Segurança Integrados

O Fireware inclui vários serviços de segurança integrados que podem ser activados por policy. Estes serviços funcionam ao nível da proxy policy, inspecionando o conteúdo dos pacotes. Os principais são: WebBlocker (filtragem web por categorias), Application Control (controlo de aplicações por assinatura), Gateway AV (antivírus de gateway), Intrusion Prevention Service (IPS) e spamBlocker (filtragem de email). A documentação sobre intrusão prevention explica a integração destes serviços.

Serviço Função Aplicação
WebBlocker Filtragem web por categorias (URL filtering) HTTP/HTTPS proxy
Application Control Bloqueio/limitação de aplicações por assinatura HTTP proxy, firewall policies
Gateway AV Antivírus de gateway — scans de ficheiros transferidos HTTP, FTP, SMTP, POP3 proxy
IPS Intrusion Prevention — bloqueia ataques conhecidos Todas as policies com IPS activo
spamBlocker Filtragem de spam em email SMTP SMTP proxy

Activar WebBlocker numa HTTP-Proxy policy:

  1. Editar a policy HTTP-Proxy existente
  2. Navegar para WebBlocker > Enabled
  3. Configurar:
  • Action: Allow ou Deny
  • Categories: Seleccionar categorias a bloquear (ex.: Gambling, Malware, Social Networking)
  • Allow List: URLs permitidas mesmo em categorias bloqueadas
  • Deny List: URLs bloqueadas independentemente da categoria
  1. Clicar Save

Activar Application Control:

  1. Editar a policy HTTP-Proxy ou packet filter
  2. Navegar para Application Control > Enabled
  3. Configurar:
  • Action: Drop, Delay, Allow com log
  • Applications: Seleccionar aplicações por nome (ex.: BitTorrent, Facebook, WhatsApp)
  1. Clicar Save

⚠ ⚠️ Atenção

O Application Control e o Gateway AV adicionam overhead de processamento. Em Firebox T-series de entrada (T15, T25), activar todos os serviços simultaneamente em todas as policies pode reduzir o throughput em 40-60%. Avaliar o impacto antes de activar globalmente — considerar activar apenas em policies de tráfego web e email.

Se o Application Control bloquear aplicações legítimas, consultar a documentação sobre troubleshooting de app control. É possível criar excepções para aplicações específicas sem desactivar o serviço inteiro.

8. Multi-WAN com Failover

O Fireware suporta Multi-WAN — a capacidade de usar múltiplas ligações internet com failover automático e/ou load balancing. Cada interface External pode ser configurada como WAN, e o Fireware monitoriza cada ligação com ping a um host definido. A configuração é feita em Network Configuration > Multi-WAN.

Configurar Multi-WAN com failover no WSM:

  1. Navegar para Network Configuration > Multi-WAN > Add WAN
  2. Adicionar WAN 1 (interface eth0 — ligação principal):
  • Interface: eth0
  • External Type: PPPoE ou DHCP ou Static
  • Monitoring Target: 8.8.8.8 (IP para ping de monitorização)
  • Failover: Primary
  1. Adicionar WAN 2 (interface eth3 — ligação de backup):
  • Interface: eth3
  • External Type: DHCP ou Static
  • Monitoring Target: 1.1.1.1
  • Failover: Backup
  1. Definir a ordem de failover em Multi-WAN > Actions:
  • Failover Mode: Active/Passive (WAN1 principal, WAN2 backup)
  • Ou Load Balancing Mode: Round-robin ou weighted
  1. Clicar Save e Save to Firebox

⚠ ⚠️ Atenção

O host de monitorização (monitoring target) tem de ser um IP externo fiável que responde a ICMP. Se o host de monitorização estiver inacessível por razões não relacionadas com a WAN (ex.: firewall do ISP bloqueia ICMP), o Fireware assume que a WAN falhou e activa o failover prematuro. Usar um IP de um servidor DNS público (Google 8.8.8.8 ou Cloudflare 1.1.1.1).

Em modo load balancing round-robin, o Fireware distribui ligações novas entre as WANs disponíveis. As ligações existentes mantêm-se na mesma WAN. Em modo failover, todo o tráfego passa para a WAN secundária apenas quando a primária falha. O tempo de failover depende do intervalo de monitorização — o predefinido é 30 segundos, mas pode ser reduzido para 10 segundos em ambientes que exigem recuperação rápida.

9. QoS e Traffic Management

O Fireware inclui QoS (Quality of Service) e traffic management para priorizar tráfego crítico como VoIP, limitar bandwidth de tráfego não essencial e garantir bandwidth mínima para aplicações importantes. A documentação oficial sobre QoS descreve as opções.

Configurar QoS para VoIP no WSM:

  1. Navegar para Firewall > Policies > Add > Custom
  2. Criar policy para tráfego VoIP (ex.: SIP/RTP):
  • Name: QoS_VoIP
  • From: Any-Trusted
  • To: Any-External
  • Protocol: UDP, portas 5060 (SIP) e 10000-20000 (RTP)
  1. Na secção Advanced > QoS Marking:
  • DSCP Value: 46 (Expedited Forwarding — máxima prioridade)
  • Bandwidth Guarantee: 5 Mbps
  1. Clicar Save

Para limitar bandwidth de tráfego não prioritário:

  1. Editar a policy HTTP-Proxy ou a policy de outbound geral
  2. Na secção Advanced > QoS Marking:
  • DSCP Value: 0 (Best Effort)
  • Bandwidth Limit: 10 Mbps (limita downloads não prioritários)
  1. Clicar Save

O QoS no Fireware marca pacotes com DSCP (Differentiated Services Code Point). Para que funcione, o ISP tem de respeitar DSCP markings — muitos ISPs removem DSCP no ingress. Nesse caso, o QoS é efectivo apenas dentro da rede local (LAN → Firebox → WAN), garantindo que o tráfego VoIP tem prioridade na queue de saída do Firebox, mesmo que o ISP ignore o marking.

⚠ ⚠️ Atenção

Definir valores de bandwidth (guarantee ou limit) superiores à largura de banda real da ligação torna o QoS ineficaz. Se a WAN tem 100 Mbps e se define um limite de 200 Mbps, o shaper nunca activa porque a linha satura primeiro. Sempre definir bandwidths com base na capacidade real da ligação, idealmente 90-95% do valor contratado para deixar margem de overhead.

10. Alta Disponibilidade com Clustering

O Fireware suporta clustering de alta disponibilidade com dois modos: active/passive (um Firebox activo, o outro em standby) e active/active (ambos os Fireboxes processam tráfego simultaneamente). A documentação oficial sobre HA clustering descreve a configuração.

Configurar clustering active/passive no WSM:

  1. Ambos os Fireboxes têm de ter a mesma versão de Fireware e licença
  2. Ligação dedicada entre os dois Fireboxes (interface eth3 — cluster heartbeat)
  3. No Firebox primário, navegar para Cluster > Setup:
  • Cluster Mode: Active/Passive
  • Cluster Interface: eth3 (interface dedicada)
  • This Device Role: Master
  • Virtual Cluster IP: 192.168.1.1 (IP virtual partilhado)
  1. No Firebox secundário:
  • Cluster Mode: Active/Passive
  • Cluster Interface: eth3
  • This Device Role: Backup
  1. Configurar as interfaces com IPs virtuais para WAN e LAN
  2. Clicar Save em ambos os Fireboxes

Em modo active/passive, o failover não é instantâneo. O tempo típico de failover é 3-10 segundos, durante os quais as ligações existentes (states) são transferidas. Tráfego UDP sem estado pode ser perdido durante o failover. Para aplicações críticas que não toleram interrupção, considerar modo active/active, mas este requer licenças adicionais e configuração mais complexa. O clustering active/active distribui o tráfego entre ambos os Fireboxes usando MAC forwarding tables — cada Firebox processa o tráfego das ligações que recebe directamente, e o overhead da sincronização de estados reduz o throughput útil.

Para ambientes de alto tráfego, o modo active/passive pode ser preferível pela simplicidade e menor overhead de sincronização. O active/active só compensa quando o throughput de um único Firebox é insuficiente e há licenças adequadas.

Verificar estado do cluster via CLI:

# Ver estado do cluster
show cluster

# Ver detalhes de membros do cluster
show cluster members

# Ver histórico de failover
show cluster failover history

# Forçar failover manual (apenas em active/passive)
cluster failover

11. Autenticação e Gestão de Utilizadores

O Fireware suporta múltiplos métodos de autenticação para utilizadores de VPN, administração e acesso a políticas. Os principais são: Firebox-DB (base de dados local), Active Directory (via agente WatchGuard ou LDAP), RADIUS (servidor RADIUS externo) e LDAP (directório LDAP). A documentação sobre configuração e administração descreve a configuração.

Método Protocolo Uso Notas
Firebox-DB Local Utilizadores VPN e admin Base de dados local no Firebox
Active Directory AD Agent / LDAP Autenticação corporativa Integração com domínio Windows
RADIUS RADIUS (UDP 1812) VPN, admin, portal Compatível com qualquer servidor RADIUS
LDAP LDAP/LDAPS (389/636) VPN, admin Directórios open-source (OpenLDAP)

Configurar autenticação Active Directory no WSM:

  1. Navegar para Authentication > Authentication Servers > Add
  2. Seleccionar tipo Active Directory
  3. Configurar:
  • Domain Name: empresa.local
  • Domain Controller IP: 192.168.1.10
  • Search Base: DC=empresa,DC=local
  • AD Agent: Instalar o WatchGuard AD Agent no servidor de domínio
  1. Clicar Save e testar a ligação

Configurar autenticação RADIUS:

  1. Navegar para Authentication > Authentication Servers > Add > RADIUS
  2. Configurar:
  • Server IP: 192.168.1.20
  • Port: 1812
  • Shared Secret: string de 32+ caracteres
  • Timeout: 30 segundos
  1. Clicar Save

O WatchGuard AD Agent é um serviço Windows instalado no Domain Controller que comunica com o Firebox. O agente permite autenticação transparente (single sign-on) para utilizadores autenticados no domínio, sem necessidade de introduzir credenciais novamente. Para ambientes sem AD, o RADIUS é a opção mais flexível — funciona com qualquer servidor RADIUS (FreeRADIUS, NPS, etc.).

⚠ ⚠️ Atenção

Usar LDAP em plaintext (porta 389) envia credenciais sem encriptação pela rede. Sempre que possível, usar LDAPS (LDAP over SSL, porta 636) ou configurar o AD Agent que usa encriptação nativa. Em redes segmentadas onde o tráfego LDAP passa por segmentos não fiáveis, LDAPS é obrigatório.

Verificar autenticação via CLI:

# Ver servidores de autenticação configurados
show auth-server

# Ver utilizadores locais
show user

# Testar autenticação RADIUS via CLI
test auth radius “jose.silva” “password123”

# Ver sessões de autenticação activas
show auth session

12. CLI Troubleshooting no Fireware

O Fireware CLI (Command-Line Interface) permite diagnóstico avançado via SSH na porta 4118. É essencial para troubleshooting quando o WSM não está disponível ou para verificar estado em tempo real. A documentação oficial sobre troubleshooting lista todos os comandos disponíveis.

Comandos de diagnóstico de rede:

# Ver tabela de routing completa
show ip route

# Ver interfaces e estado
show interface

# Ver tabela ARP
show arp

# Ver ligações TCP/UDP activas (estado)
show connections

# Ping a partir do Firebox
ping 8.8.8.8

# Traceroute a partir do Firebox
traceroute 8.8.8.8

# Ver DNS resolvers configurados
show dns

# Ver configuração de NAT activa
show nat

Logs do sistema:

# Ver logs em tempo real (todos os módulos)
show log

# Filtrar logs por módulo
show log firewall
show log vpn
show log network

# Ver logs de um nível específico (warning e acima)
show log level warning

# Ver eventos de segurança
show log security

# Ver os últimos 100 eventos de policy deny
show log firewall | grep DENY | tail -100

Diagnóstico de VPN:

# Estado de túneis BOVPN
show bovpn tunnel status

# Estado de sessões Mobile VPN SSL
show mobile-vpn ssl status

# Ver utilizadores VPN activos
show mobile-vpn ssl users

# Reiniciar túnel BOVPN específico
bovpn reset “SiteA-to-SiteB”

# Ver logs de IPsec (debug detalhado)
show log vpn level debug

O fluxo de troubleshooting recomendado no Fireware é: (1) show interface para confirmar estado das interfaces; (2) show ip route para verificar encaminhamento; (3) show policy para confirmar que as policies estão activas; (4) show log firewall para ver se o tráfego está a ser bloqueado; (5) show connections para verificar se as ligações aparecem na state table. Para problemas de VPN, começar com show bovpn tunnel status e show log vpn.

13. Erros Comuns e Checklist de Verificação

Problema Causa Solução
Sem internet após configurar WAN Default gateway incorrecto ou ISP bloqueia ICMP de monitorização Verificar Network Configuration > Routing que o gateway IP está correcto. Desactivar gateway monitoring temporariamente em Multi-WAN
BOVPN não estabelece Mismatch de IKE parameters entre os dois peers Garantir que Phase 1 e Phase 2 são idênticos em ambos os Fireboxes. Verificar portas UDP 500/4500 abertas no ISP
Mobile VPN SSL não conecta Certificado expirado ou pool VPN em conflito com subnet interna Renovar certificado em VPN > Mobile VPN > SSL > Certificates. Verificar que o pool VPN não sobrepõe subnets internas
Policy não filtra tráfego Policy posicionada abaixo da policy Any Arrastar a policy específica acima da policy Any na lista de policies. O Fireware avalia de cima para baixo
1:1 NAT não funciona Falta a policy de firewall correspondente Criar a policy que permite tráfego de Any-External para o IP interno mapeado. O 1:1 NAT só traduz endereços — a policy é que permite o tráfego
Multi-WAN não faz failover Monitoring target inacessível ou intervalo demasiado longo Usar um IP fiável (ex.: 8.8.8.8) como monitoring target. Reduzir intervalo de verificação de 30 para 10 segundos
Clustering não sincroniza Interface de cluster em broadcast domain diferente ou versão de Fireware diferente Garantir que ambos os Fireboxes estão na mesma versão de Fireware. Verificar que a interface de cluster está ligada directamente ou no mesmo switch L2
QoS não prioriza VoIP DSCP markings removidos pelo ISP Verificar com o ISP se DSCP é respeitado. Se não for, o QoS só é eficaz na queue de saída do Firebox (LAN → WAN)
Gateway AV bloqueia ficheiros legítimos Falsos positivos nas assinaturas AV Criar excepção em Gateway AV > Exceptions para o ficheiro ou hash específico. Considerar modo scan-only (alertar sem bloquear)
Autenticação AD falha AD Agent não comunica ou credenciais de serviço incorrectas Verificar que o AD Agent está a correr no Domain Controller. Confirmar credenciais do agente em Authentication > AD Agent Settings

Checklist Rápido de Verificação

  • [ ] Configurar interfaces WAN, LAN e DMZ com IPs correctos no WSM
  • [ ] Verificar que o default gateway aponta para o router do ISP
  • [ ] Confirmar que dynamic NAT está activo (predefinido para tráfego Trusted → External)
  • [ ] Criar proxy policies para tráfego web (HTTP-Proxy) com WebBlocker e Gateway AV activos
  • [ ] Posicionar policies específicas acima da policy Any (default deny)
  • [ ] Configurar 1:1 NAT para servidores com IP público dedicado e criar policy correspondente
  • [ ] Configurar port forwarding para serviços publicados (DNAT com policy de firewall)
  • [ ] Configurar BOVPN com IKEv2, AES-256, SHA-256, PFS DH Group 14+
  • [ ] Verificar que portas UDP 500 e 4500 estão abertas nos ISPs de ambos os peers BOVPN
  • [ ] Configurar Mobile VPN SSL com pool de endereços que não sobrepõe subnets internas
  • [ ] Exportar e distribuir ficheiro de configuração do cliente Mobile VPN SSL
  • [ ] Activar WebBlocker com categorias apropriadas (Malware, Gambling, etc.)
  • [ ] Activar Application Control para bloquear aplicações não autorizadas (BitTorrent, etc.)
  • [ ] Activar Gateway AV em policies de HTTP, FTP e SMTP
  • [ ] Configurar IPS em modo detect-only primeiro, migrar para block após 1-2 semanas
  • [ ] Configurar Multi-WAN com failover e monitoring target fiável (8.8.8.8)
  • [ ] Activar QoS para VoIP com DSCP 46 e bandwidth guarantee adequada
  • [ ] Definir bandwidth limits para tráfego não prioritário baseados na capacidade real
  • [ ] Configurar clustering active/passive com interface dedicada para heartbeat
  • [ ] Verificar que ambos os Fireboxes têm a mesma versão de Fireware antes de clustering
  • [ ] Configurar servidor de autenticação (Firebox-DB, AD ou RADIUS) para utilizadores VPN
  • [ ] Usar LDAPS (porta 636) em vez de LDAP plaintext (porta 389) se usar LDAP
  • [ ] Testar failover do cluster com cluster failover e verificar tempo de recuperação
  • [ ] Verificar com show policy e show connections que as policies e estados estão correctos
  • [ ] Fazer backup da configuração em File > Save Configuration to File após cada alteração importante

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário