Impresionante es el diseño de este appliance de WatchGuard que se encargará de velar por nuestra seguridad. El frontal presenta un sencillo pero llamativo display que muestra las diferentes conexiones que se están realizando en ese momento. En los vértices de un triángulo se sitúan las interfaces de red disponibles, mostrando las aristas en diferentes colores las transmisiones de paquetes entre ellos. Además una columna de leds muestra en la parte izquierda si el equipo se encuentra en funcionamiento o no. La parte trasera tan sólo contiene los tres puertos Ethernet (interfaz External, Trusted y Optional), un puerto de consola, el botón de reset y la alimentación.
Tras conectar el dispositivo a nuestra red, basta con arrancar el asistente y especificar la configuración para que ésta se cargue automáticamente en el dispositivo. Los modos de funcionamiento básicos pueden ser dos, dependiendo si podemos situar el aparato físicamente entre el router de salida a Internet o es necesario configurar todos los clientes para que su gateway por defecto sea el cortafuegos. En el primer caso nos ahorraremos la partición de la red mientras que en el segundo podremos situar el dispositivo allá donde más nos plazca.
Independientemente de la configuración, el aparato (que está basado en una distribución de Linux) funciona en perfecta armonía con su sistema de actualizaciones de seguridad, LiveSecurity Service. Éste nos proporciona desde puestas al día del software hasta la suscripción que nos avisará con cierta frecuencia de los nuevos fallos de seguridad que nos puedan afectar y la forma de atajarlos.
El resto de herramientas cumplen con su función de forma realmente eficiente, utilizando como punto inicial el WatchGuard Control Center. Desde esta aplicación accederemos no sólo a una representación del panel frontal y los logs del dispositivo, además tenemos a nuestra disposición los diferentes parámetros de configuración y las políticas que determinan cómo actuar frente a ataques e intentos de conexión no autorizados.
Especificar qué paquetes pasarán y cuáles se quedarán en la caja roja es una tarea bastante sencilla. Desde el Policy Manager tan sólo tenemos que añadir un nuevo icono, que representa un servicio a filtrar. Dependiendo del protocolo que necesitemos controlar será posible utilizar un filtrado de paquetes o recurrir a un proxy.
El método escogido por WatchGuard para eliminar los paquetes no deseados es la creación de un mecanismo que controla el estado de una conexión, creando reglas que permiten o deniegan el tráfico en función a lo que se daría en un sesión convencional.
La autenticación de los clientes es otro elemento importante a tener en cuenta. El Firebox III puede utilizar mecanismos tan diversos como el propio de Windows NT, un servidor RADIUS, SecurID (tecnología de RSA), CRYPTOCard o tecnología propia.
De igual forma es posible utilizar el bloqueo de puertos o hosts con el simple hecho de añadir a la lista el parámetro adecuado. En lugar de bloquear completamente un equipo, este cortafuegos también puede limitar su acceso durante un periodo determinado de tiempo en caso de detectarse actividades sospechosas. Tal es el caso de escaneo de puertos o intentos de ataques mediante denegación de servicios. Prácticamente cualquier otro detalle puede quedar marcado para su registro en los logs del sistema, organizados de forma plausible para su posterior estudio.
El modelo que tuvimos la oportunidad de analizar (denominado FB700) carecía en su parte trasera de ranura de expansión para permitir la conexión de un módem (utilizado para la administración remota). De igual forma ocurrió con la posibilidad de utilizar cierto tipo de VPNs, una opción con la que cuentan sus hermanos mayores pero que queda ausente en este equipo en concreto.
A pesar de ello, WatchGuard incluye la posibilidad de obtener una suscripción de cinco nodos del antivirus McAfee, VirusScan AsaP. Si necesitamos aún más protección en este sentido, nos referimos a los contenidos, otros módulos pueden ayudarnos. Por ejemplo, WebBlocker (incluida un año de suscripción) permite delimitar el acceso a ciertas páginas en función de su categoría, obteniéndose ésta de la base de datos que se actualiza regularmente desde CyberPatrol. Otro módulo similar, que podemos obtener de forma separada, es el SpamScreen. Éste recurre a una base de datos con conocidos spammers y rechaza su correo electrónico.
Por último, pero no menos importante, nos encontramos con el módulo de alta disponibilidad, el cual permite que, tras la adquisición de un segundo cortafuegos, éste se conecte de forma que, si el primero falla, entre en funcionamiento el segundo como medida preventiva.
El Firebox III FB700 ha demostrado ser un equipo perfecto para oficinas de tamaño medio. Durante nuestras pruebas en el Laboratorio el aparato se negó por completo a autorizar cualquier tipo de escaneo de puerto posible, desde los más sencillos a los más complejos. Nuestros intentos por lanzar ataques de denegación de servicios fueron igualmente repelidos, aun con las últimas versiones de los programas especializados.
En definitiva, la cantidad de opciones disponibles y su precio hacen que más de una oficina pueda plantearse seriamente, en el caso de buscar protección para su red, de un aparato como éste.
