Plan de Implementación Técnico

WatchGuard FireCloud
Total Access

Guía de Implementación Paso a Paso
Entorno Mediano · 50 Usuarios Remotos · Active Directory On-Premise

🏗️ Arquitectura de la Solución

💻

Usuario
Remoto

→

☁️
WatchGuard
Cloud PoP

→

🔐

FireCloud
Gateway

→

🏢

Red Interna
+ AD

✅ ZTNA (Zero Trust) ✅ FWaaS + SWG ✅ Integración AD On-Prem ✅ Sin VPN tradicional

Total de Usuarios

100 usuarios en la organización

Usuarios Remotos

50 usuarios (50% cobertura inicial)

Tipo de Entorno

Híbrido – On-Prem AD + Cloud

Experiencia WatchGuard

Primera implementación (greenfield)

Identidad

Active Directory On-Premise (LDAP/AD FS)

Duración Estimada

4–5 semanas (20–25 días hábiles)

Tabla de Contenido

Plan estructurado en 8 fases técnicas secuenciales

Fase 1Pre-implementación, Inventario y LicenciamientoDías 1–3

Fase 2Integración de Active Directory con WatchGuard CloudDías 3–6

Fase 3Configuración de Servicios de Seguridad en WatchGuard CloudDías 6–9

Fase 4Despliegue del FireCloud Gateway (ZTNA Híbrido)Días 9–12

Fase 5Publicación de Recursos Privados Internos (ZTNA)Días 12–14

Fase 6Despliegue del Agente (WatchGuard Connection Manager)Días 14–17

Fase 7Pruebas Funcionales y ValidaciónDías 17–20

Fase 8Go-Live Gradual y Operación ContinuaDías 20–25

Resumen Ejecutivo

Este documento define el plan técnico completo para implementar WatchGuard FireCloud Total Access en una organización de 100 usuarios, priorizando la protección de los 50 usuarios que operan de forma remota o híbrida. Dado que la organización no cuenta con productos previos de WatchGuard, el plan incluye desde cero el onboarding en WatchGuard Cloud, la integración con Active Directory On-Premise existente, y el despliegue de todos los componentes necesarios.

8

Fases de implementación

50

Usuarios remotos protegidos

25

Días hábiles estimados

📌 Decisión de diseño clave: En lugar de Azure AD o un IdP externo, se utilizará AD FS (Active Directory Federation Services) instalado en el entorno on-premise como proveedor de identidad SAML hacia WatchGuard Cloud. Esto permite federar la identidad existente del AD sin migrar usuarios a la nube. Si AD FS no está disponible, se configurará el WatchGuard Cloud Directory con sincronización LDAP.

Cronograma de Alto Nivel

F1

Pre-impl.

Días 1-3

F2

AD + IdP

Días 3-6

F3

Seguridad

Días 6-9

F4

Gateway

Días 9-12

F5

ZTNA

Días 12-14

F6

Agente

Días 14-17

F7

Pruebas

Días 17-20

F8

Go-Live

Días 20-25

1

Pre-implementación, Inventario y Licenciamiento

📅 Días 1 – 3

1 Inventario de entorno actual

Antes de iniciar cualquier configuración, documentar el entorno existente. Para los 50 usuarios remotos objetivo, recopilar:

Elemento	Detalle a relevar	Herramienta sugerida
Usuarios remotos	Lista de los 50 usuarios con email y grupo AD	Active Directory Users & Computers
Grupos AD	OU o grupos de seguridad que los contienen	ADUC / PowerShell Get-ADUser
Aplicaciones internas	Sistemas a publicar vía ZTNA (ERP, CRM, archivos)	Entrevista con usuarios / NetScan
Servidores	IPs y FQDNs de servidores que se publicarán	Inventario de IT / IPAM
Ancho de banda	Velocidad de Internet disponible en la sede	Speedtest / ISP
Versión de AD	Windows Server 2012/2016/2019/2022	Get-ADDomainController
¿AD FS disponible?	Si hay AD FS instalado (requerido para SAML)	Server Manager / Get-AdfsProperties

2 Activación de licencias y acceso a WatchGuard Cloud

Dado que es la primera implementación de WatchGuard, seguir estos pasos:

Adquirir 50 licencias de FireCloud Total Access con el distribuidor WatchGuard autorizado
Navegar a https://myproducts.watchguard.com/activate e ingresar la clave de activación
Crear la cuenta de WatchGuard Cloud en https://cloud.watchguard.com
Definir el tipo de cuenta: Subscriber (empresa directa, no MSP)
Asignar al administrador de TI como Account Administrator

⚠️ Nota importante: WatchGuard ofrece una prueba gratuita de 30 días. Se recomienda iniciarla antes de adquirir las licencias definitivas para validar la arquitectura con el entorno real.

3 Prerequisitos de infraestructura

Preparar antes de continuar:

Servidor Windows Server (2016 o superior) disponible para instalar el FireCloud Gateway — mínimo: 4 vCPU, 8 GB RAM, 40 GB disco, Windows Server 2019/2022
Puerto HTTPS saliente (443) habilitado desde ese servidor hacia Internet (no requiere puertos entrantes)
Certificado SSL/TLS interno para inspección TLS (puede generarse con la CA interna del AD)
Acceso administrativo al Domain Controller para configurar AD FS o sincronización LDAP

2

Integración de Active Directory con WatchGuard Cloud

📅 Días 3 – 6

Esta es la fase crítica para una organización sin Azure AD. Se presentan dos caminos; seleccionar el apropiado según el entorno:

A Opción A — AD FS como proveedor SAML (Recomendado)

Usar cuando ya existe AD FS o se puede instalar en el DC.

Paso A.1 – Instalar/verificar AD FS:

# En PowerShell (como Administrador de Dominio)
Install-WindowsFeature ADFS-Federation -IncludeManagementTools
Import-Module ADFS

# Verificar que el servicio está corriendo
Get-Service adfssrv | Select Status, DisplayName

Paso A.2 – Obtener los metadatos de FireCloud en WatchGuard Cloud:

En WatchGuard Cloud → Configure > FireCloud > Authentication
Seleccionar "Third-Party SAML"
Copiar los valores: Entity ID, ACS URL (Assertion Consumer Service) y descargar el Service Provider Certificate

Paso A.3 – Configurar Relying Party Trust en AD FS:

# En PowerShell en el servidor AD FS
Add-AdfsRelyingPartyTrust `
  -Name "WatchGuard FireCloud" `
  -Identifier "https://firecloud.watchguard.com/[tu-tenant-id]" `
  -SamlEndpoint @(New-AdfsSamlEndpoint -Binding POST `
    -Protocol SAMLAssertionConsumer `
    -Uri "https://firecloud.watchguard.com/saml/acs") `
  -IsEnabled $true

# Agregar reglas de claim para enviar UPN y grupos
$Rules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Send AD Attributes"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
   Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = (
  "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
  "http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"),
  query = ";userPrincipalName,tokenGroups;{0}", param = c.Value);
"@
Set-AdfsRelyingPartyTrust -TargetName "WatchGuard FireCloud" -IssuanceTransformRulesFile $Rules

Paso A.4 – Completar la configuración en WatchGuard Cloud:

En WatchGuard Cloud → Authentication, pegar la URL de metadatos de AD FS: https://adfs.tudominio.com/FederationMetadata/2007-06/FederationMetadata.xml
Mapear el atributo de grupo AD al claim de FireCloud
Guardar y realizar una prueba de autenticación

✅ Verificación: En la pantalla de Authentication de WatchGuard Cloud aparecerá el estado "IdP Connected". Hacer clic en "Test Authentication" para validar el flujo SAML completo con un usuario de prueba de AD.

B Opción B — WatchGuard Cloud Directory + Sincronización LDAP

Usar si AD FS no está disponible o no se puede instalar.

En WatchGuard Cloud → Configure > FireCloud > Authentication, seleccionar "WatchGuard Cloud Directory"
Configurar la conexión LDAP al Domain Controller:
- Server: IP o FQDN del DC (ej. dc01.empresa.local)
- Port: 636 (LDAPS) — recomendado; o 389 (LDAP sin cifrar)
- Base DN: DC=empresa,DC=local
- Bind Account: cuenta de servicio AD con permisos de lectura
Configurar filtros de sincronización para incluir solo los grupos con los 50 usuarios remotos
Ejecutar sincronización inicial y verificar que los usuarios aparecen en WatchGuard Cloud

3

Configuración de Servicios de Seguridad

📅 Días 6 – 9

En WatchGuard Cloud → Configure > FireCloud > Security Services, configurar cada servicio. Para una empresa mediana de 50 usuarios remotos, la siguiente configuración base es adecuada:

Servicio	Configuración Recomendada	Acción ante Detección	Prioridad
Gateway AntiVirus	Habilitado. Límite: 10 MB/archivo	Drop + Log	Alta
APT Blocker	Habilitado. Sandbox en la nube	Alto: Drop \| Medio: Log	Alta
IPS (Intrusion Prevention)	Habilitado. Firmas auto-update	Drop + Alerta por email	Alta
DNS Security	Habilitado. Bloquear categorías malware/phishing	Drop + Log	Alta
WebBlocker	Activar categorías: Adult, Malware, Phishing, P2P, Gambling	Block + Página de bloqueo	Media
Application Control	Modo monitoreo primero (2 semanas), luego bloqueo	Log en fase inicial	Media
Botnet Detection	Habilitado	Drop a nivel de paquete	Normal
Geolocation	Bloquear países de alto riesgo según el negocio	Drop + Log	Opcional
Inspección TLS	Habilitado con CA interna del AD (cadena de confianza)	Inspect + Re-sign	Alta

1 Configurar Reglas de Acceso (Access Rules)

Las Access Rules definen qué usuarios acceden a qué recursos con qué servicios de seguridad activos. Crear las siguientes reglas base para los 50 usuarios remotos:

#	Nombre de Regla	Grupo AD Origen	Destino	Servicios Activos
1	Usuarios Remotos – Internet	GRP-Remotos	Internet (All)	AV, APT, IPS, WebBlocker, DNS
2	Usuarios Remotos – Apps Internas	GRP-Remotos	Private Resources	AV, APT, IPS, TLS Inspection
3	Administradores TI	GRP-TI-Admin	Internet + All Private	Todos los servicios
4	Denegación por defecto	Todos	Cualquier otro	Block + Log

💡 Buena práctica: Iniciar con Application Control en modo monitoreo durante las primeras 2 semanas para identificar aplicaciones críticas del negocio antes de aplicar bloqueos, evitando interrupciones productivas.

4

Despliegue del FireCloud Gateway (ZTNA Híbrido)

📅 Días 9 – 12

El Gateway es el componente que conecta WatchGuard Cloud con la red interna donde reside el AD on-premise. Actúa como broker de acceso ZTNA sin exponer puertos directamente a Internet.

Arquitectura del Gateway en Red Interna

Usuario
Remoto

⟶

WatchGuard
Cloud PoP

⟶

FireCloud
Gateway

⟶

AD / Servidor
Interno

El Gateway solo requiere HTTPS saliente (443) — no abre puertos en el firewall perimetral

1 Preparar el servidor Windows para el Gateway

# En PowerShell (servidor dedicado dentro de la LAN interna)

# Verificar conectividad saliente requerida
Test-NetConnection -ComputerName cloud.watchguard.com -Port 443
Test-NetConnection -ComputerName auth.watchguard.com -Port 443

# Verificar que el servidor puede resolver DNS internamente
Resolve-DnsName dc01.empresa.local
Resolve-DnsName servidor-erp.empresa.local

# Deshabilitar IE Enhanced Security (requerido para descarga inicial)
$AdminKey = "HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}"
Set-ItemProperty -Path $AdminKey -Name "IsInstalled" -Value 0

2 Instalar el FireCloud Gateway

En WatchGuard Cloud → Configure > FireCloud > Gateways → "Add Gateway"
Asignar nombre: GW-SEDE-PRINCIPAL y descripción
Descargar el instalador .exe desde el portal
Ejecutar el instalador en el servidor Windows preparado
Durante la instalación ingresar el Token de registro que aparece en WatchGuard Cloud

# Verificar que el servicio del Gateway quedó instalado y corriendo
Get-Service "WatchGuardFireCloudGateway" | Select Status, StartType

# Ver logs del Gateway para validar conectividad
Get-Content "C:\ProgramData\WatchGuard\FireCloud\Gateway\logs\gateway.log" -Tail 50

En WatchGuard Cloud, el Gateway debe aparecer con estado ● Connected dentro de los 2–3 minutos posteriores a la instalación.

⚠️ Firewall perimetral: Verificar que el servidor Gateway tenga acceso HTTPS (puerto 443) saliente hacia los endpoints de WatchGuard Cloud. No se requiere abrir ningún puerto entrante desde Internet.

5

Publicación de Recursos Privados Internos (ZTNA)

📅 Días 12 – 14

En esta fase se definen los recursos internos que los 50 usuarios remotos podrán acceder de forma segura mediante ZTNA, sin necesidad de VPN.

1 Agregar Private Resources en WatchGuard Cloud

En WatchGuard Cloud → Configure > FireCloud > Private Resources → "Add Resource". Configurar un recurso por cada sistema interno a publicar:

Recurso	FQDN / IP Interna	Protocolo	Puerto(s)	Gateway	Grupo Autorizado
ERP / Sistema de Gestión	erp.empresa.local	TCP	443 / 8080	GW-SEDE-PRINCIPAL	GRP-Remotos
Servidor de Archivos (SMB)	\\fileserver\compartido	TCP	445	GW-SEDE-PRINCIPAL	GRP-Remotos
RDP a Escritorios Virtuales	rdp.empresa.local	TCP	3389	GW-SEDE-PRINCIPAL	GRP-Remotos
Intranet Corporativa	intranet.empresa.local	TCP	80, 443	GW-SEDE-PRINCIPAL	GRP-Remotos
SSH Administración (solo TI)	192.168.1.50	TCP	22	GW-SEDE-PRINCIPAL	GRP-TI-Admin

💡 Principio de mínimo privilegio: Cada grupo de usuarios solo debe ver los recursos estrictamente necesarios para su función. Los usuarios del departamento de finanzas, por ejemplo, no deberían tener acceso al recurso SSH de administración de TI.

2 Vincular recursos a las Access Rules

Volver a Configure > FireCloud > Access Rules
En la regla "Usuarios Remotos – Apps Internas", agregar los Private Resources como destinos
Verificar que cada recurso esté asociado al Gateway correcto
Guardar y publicar la configuración

3 Validar resolución DNS interna desde el Gateway

# En el servidor donde está instalado el Gateway
# Verificar que el Gateway puede resolver cada recurso interno

Resolve-DnsName erp.empresa.local
Resolve-DnsName fileserver.empresa.local
Resolve-DnsName intranet.empresa.local

# Probar conectividad TCP hacia cada recurso
Test-NetConnection -ComputerName erp.empresa.local -Port 443
Test-NetConnection -ComputerName fileserver.empresa.local -Port 445

✅ Si la resolución DNS falla desde el Gateway, configurar el servidor DNS primario del Gateway para que apunte al Domain Controller interno: Propiedades de Adaptador de Red → DNS → IP del DC

6

Despliegue del Agente en los 50 Endpoints

📅 Días 14 – 17

El WatchGuard Connection Manager es el agente cliente que se instala en los equipos de los 50 usuarios remotos. Es liviano (<2 MB de datos/día) y compatible con Windows 10/11 y macOS 12+.

1 Descargar el instalador

En WatchGuard Cloud → Configure > FireCloud > Download Agent → seleccionar plataforma (Windows MSI o macOS PKG).

2 Distribución masiva mediante GPO (Active Directory)

Para desplegar el agente de forma silenciosa a los 50 equipos usando el AD on-premise existente:

# OPCIÓN A: GPO con MSI (recomendado para entornos con AD)

# 1. Copiar el MSI a un share de red accesible por todos los equipos
Copy-Item "WGConnectionManager_x64.msi" `
  -Destination "\\dc01\SYSVOL\empresa.local\scripts\WG\"

# 2. Crear GPO: Computer Configuration > Software Settings > Software Installation
# Ruta del paquete: \\dc01\SYSVOL\empresa.local\scripts\WG\WGConnectionManager_x64.msi

# OPCIÓN B: Script de instalación silenciosa vía GPO Login Script
$msiPath = "\\dc01\SYSVOL\empresa.local\scripts\WG\WGConnectionManager_x64.msi"
Start-Process msiexec.exe -ArgumentList "/i `"$msiPath`" /quiet /norestart" -Wait

# Verificar instalación en el equipo cliente
Get-Package -Name "WatchGuard Connection Manager"

3 Primera autenticación del usuario

El usuario verá el ícono de WatchGuard en la bandeja del sistema (System Tray)
Al hacer clic → Connect, se abrirá el navegador redirigiendo al portal SAML de AD FS
El usuario ingresa sus credenciales de dominio AD (las mismas de Windows)
Si se configuró MFA con AuthPoint, se solicitará el segundo factor
Tras autenticación exitosa, el agente muestra estado ● Conectado

Sistema Operativo	Versión Mínima	Método de Distribución	Soporte MFA
Windows	Windows 10 (1903+) / Windows 11	GPO MSI, Intune, SCCM, Manual	Sí
macOS	macOS 12 Monterey+	MDM (Jamf, Intune), Manual PKG	Sí

💡 Para usuarios con macOS: Distribuir el PKG mediante una herramienta MDM como Jamf Pro o Microsoft Intune (si está disponible), o enviar el instalador directamente a los usuarios con instrucciones paso a paso.

7

Pruebas Funcionales y Validación

📅 Días 17 – 20

Antes del go-live completo, ejecutar las siguientes pruebas con un grupo piloto de 5–10 usuarios del equipo de TI.

1 Checklist de validación técnica

Autenticación SAML con credenciales de AD funciona sin errores
El agente muestra estado "Conectado" en todos los equipos piloto
Acceso a recursos privados internos (ERP, archivos) desde red externa sin VPN
Acceso denegado a recursos privados para usuarios no autorizados
Sitios web maliciosos son bloqueados (usar: http://malware.testing.google.test/testing/malware/)
Descargas con EICAR test file son detectadas y bloqueadas por Gateway AV
Inspección TLS funciona sin errores de certificado en el navegador
Las categorías de WebBlocker bloqueadas muestran página de notificación correcta
Los reportes en WatchGuard Cloud muestran tráfico y eventos de los usuarios piloto
El Gateway sigue conectado tras reinicio del servidor

2 Matriz de pruebas de aceptación

Caso de Prueba	Acción	Resultado Esperado	Estado
Autenticación exitosa	Conectar con credenciales AD válidas	Sesión activa, estado Verde	Pendiente
Credenciales inválidas	Intentar con contraseña incorrecta	Error de autenticación AD FS	Pendiente
Acceso a ERP interno	Navegar a erp.empresa.local desde red externa	Página carga correctamente	Pendiente
Recurso no autorizado	Usuario sin permiso intenta acceder a SSH admin	Conexión denegada / timeout	Pendiente
Sitio phishing	Navegar a URL en lista negra de phishing	Bloqueado + página WatchGuard	Pendiente
Descarga malware EICAR	Descargar eicar.com test file	Gateway AV bloquea descarga	Pendiente
Reconexión automática	Reiniciar equipo cliente	Agente reconecta solo al iniciar	Pendiente
Reporte en Cloud	Revisar dashboard tras 30 min de uso	Tráfico visible en reportes	Pendiente

3 Validar reportes y visibilidad en WatchGuard Cloud

En WatchGuard Cloud → Monitor > FireCloud, verificar:

User Activity: Tráfico por usuario, aplicaciones usadas, ancho de banda consumido
Threats Blocked: Amenazas detectadas por servicio (AV, IPS, APT Blocker)
Web Categories: Categorías de sitios visitados y bloqueados
Shadow IT: Aplicaciones cloud no sancionadas identificadas

8

Go-Live Gradual y Operación Continua

📅 Días 20 – 25

1 Plan de rollout por oleadas

Oleada	Usuarios	Perfil	Días	Criterio de avance
Oleada 1	5–10	Equipo de TI (piloto)	17–20	0 incidentes críticos en 3 días
Oleada 2	20–25	Gerencias y usuarios clave	20–22	Satisfacción >80%, sin bloqueos falsos
Oleada 3	Restantes (hasta 50)	Todos los usuarios remotos	22–25	Validación completa de oleadas anteriores

2 Comunicación a usuarios finales

Enviar comunicado interno antes del despliegue de cada oleada con:

Qué es el WatchGuard Connection Manager y por qué se instala
Instrucciones de primer uso (conectar con sus credenciales de Windows)
Contacto de soporte interno para dudas
Garantía de que sus credenciales no cambian (siguen siendo las del AD)

3 Tareas de operación continua post Go-Live

Tarea	Frecuencia	Responsable
Revisar reportes de amenazas bloqueadas	Semanal	Administrador de TI
Revisar Application Control y ajustar políticas	Quincenal (primeros 2 meses)	Administrador de TI
Sincronización LDAP / AD FS (verificar usuarios activos)	Mensual	Administrador de AD
Revocar acceso a usuarios que dejan la empresa	Inmediato (al dar de baja en AD)	TI + RRHH
Revisar licencias y cobertura	Trimestral	TI / Compras
Actualización del Connection Manager	Según releases de WatchGuard	Administrador de TI
Prueba de recuperación del Gateway	Semestral	Administrador de TI

🎯 Éxito de implementación: La implementación se considera exitosa cuando los 50 usuarios remotos acceden de forma estable a todos los recursos internos y a Internet con protección activa, sin incidentes de falsos positivos recurrentes, y los reportes en WatchGuard Cloud muestran visibilidad completa del tráfico durante 5 días consecutivos sin interrupciones.

📞 Recursos de Soporte WatchGuard

🌐 Documentación técnica: https://docs.watchguard.com/firecloud
🎓 WatchGuard University (capacitación): https://university.watchguard.com
🛠️ Portal de soporte técnico: https://support.watchguard.com
🔧 WatchGuard Cloud: https://cloud.watchguard.com

WatchGuard FireCloudTotal Access

Guía de Implementación Paso a PasoEntorno Mediano · 50 Usuarios Remotos · Active Directory On-Premise