Pan Os 6.0 GSG Spanish

Palo Alto Networks
Gua de inicio de PAN-OS

PAN-OS 6.0
Informacin de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054-1211
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta gua

Esta Gua de inicio le ayudar durante la configuracin inicial y bsica de los
firewalls de Palo Alto Networks. Puede usar esta gua una vez haya completado
el montaje en rack del firewall basado en hardware o haya creado su firewall
virtual; est orientada a administradores que buscan un marco bsico para
configurar rpidamente el firewall como puerta de enlace de seguridad.
Para obtener ms informacin, consulte las siguientes fuentes:
Para obtener informacin sobre las capacidades adicionales e instrucciones

sobre la configuracin de las funciones del firewall, vaya a
https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, un completo conjunto de

documentacin, foros de debate y vdeos, vaya a
https://live.paloaltonetworks.com.
Para contactar con el servicio de asistencia tcnica, informarse sobre los

programas de asistencia o gestionar su cuenta o sus dispositivos, vaya a
https://support.paloaltonetworks.com.
Para consultar las notas de versin ms recientes, vaya a la pgina de

actualizaciones de software en https://support.paloaltonetworks.com/
Updates/SoftwareUpdates.
En esta gua se incluyen procedimientos para configurar el firewall usando la

interfaz web del dispositivo. No incluye procedimientos para la implementacin
de firewalls utilizando Panorama. Para obtener ms informacin sobre el uso de
Panorama, consulte la Gua del administrador de Panorama.
Para enviar sus comentarios sobre la documentacin, dirjase a:
documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.
www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks, PAN-OS y Panorama son marcas comerciales de Palo Alto
Networks, Inc. Todas las dems marcas comerciales son propiedad de sus
respectivos propietarios.
Nmero de pieza 810-000232-00A
ii
Contenido
Integracin del firewall en la red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Configuracin del acceso a la gestin del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Activacin de servicios de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Registro en Palo Alto Networks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Activacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Adicin de administradores de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Supervisin del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Visualizacin de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Supervisin del Firewall mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Descripcin general del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Implementaciones de firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Acerca de la traduccin de direccin de red (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Acerca de las polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Planificacin de su implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configuracin de interfaces y zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configuracin de polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Traduccin de direcciones IP de clientes internos a su direccin IP pblica . . . . . . . . . . . . . . . . . . . . 45
Habilitacin de clientes de la red interna para acceder a sus servidores pblicos . . . . . . . . . . . . . . . . . 46
Habilitacin de la traduccin de direcciones bidireccional para sus servidores pblicos . . . . . . . . . . . 47
Configuracin de polticas de seguridad bsicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Creacin de reglas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Comprobacin de sus polticas de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Supervisin del trfico de su red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Proteccin de su red contra amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Habilitacin de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Exploracin del trfico en busca de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades . . . . . . . . . . . . . . . . . . . 60
Configuracin de bloqueo de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Control del acceso a contenido web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Gua de inicio
iii
Contenido
Configuracin de identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . 69

Descripcin general de identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Acerca de la asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Acerca de la asignacin de usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Activacin de la identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Asignacin de usuarios a grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Asignacin de direcciones IP a usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Habilitacin de poltica basada en usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Verificacin de la configuracin del ID de usuario (User-ID) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuracin de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Descripcin general de la alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modos de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enlaces de HA y enlaces de copia de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prioridad y preferencia de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activadores de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Temporizadores de HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
92
93
94
94
95
Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Directrices de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Configuracin de un par activo/pasivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Definicin de las condiciones de conmutacin por error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Verificacin de conmutacin por error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
iv
Gua de inicio
Integracin del firewall en la red

de gestin
Los siguientes temas describen cmo realizar los pasos de la configuracin inicial necesarios para integrar un
nuevo firewall en la red de gestin y prepararla para la configuracin de seguridad:
Configuracin del acceso a la gestin del firewall
Activacin de servicios de firewall
Adicin de administradores de firewall
Supervisin del firewall
Gua de inicio
Integracin del firewall en la red de gestin

Todos los firewalls de Palo Alto Networks incluyen un puerto de gestin externo (MGT) que puede usar para llevar
a cabo las funciones de administracin del firewall. Al usar el puerto de gestin, est separando las funciones de
gestin del firewall de las funciones de procesamiento de datos, de modo que protege el acceso al firewall y mejora
el rendimiento. Al usar la interfaz web, debe realizar todas las tareas de configuracin inicial desde el puerto de
gestin, incluso aunque pretenda usar un puerto interno para gestionar su dispositivo ms adelante.
Algunas tareas de gestin, como la recuperacin de licencias, la actualizacin de amenazas y las firmas de las
aplicaciones en el firewall requieren acceso a Internet. Si no desea activar el acceso externo a su puerto de
gestin, deber establecer un puerto de datos para permitir el acceso a los servicios externos requeridos o
plantearse cargar manualmente actualizaciones de forma regular.
Las siguientes secciones contienen instrucciones para establecer el acceso de gestin al firewall:
Determinacin de la estrategia de gestin
Realizacin de la configuracin inicial
Establecimiento de acceso a la red para servicios externos
Determinacin de la estrategia de gestin

El firewall Palo Alto Networks puede configurarse y gestionarse de forma local o gestionarse de forma central
usando Panorama, el sistema de gestin de seguridad centralizado de Palo Alto Networks. Si tiene seis o ms
firewalls implementados en su red, use Panorama para obtener estas ventajas:
Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

de contenido dinmico. Usando las plantillas y grupos de dispositivos de Panorama puede gestionar
eficazmente la configuracin especfica de los dispositivos en un dispositivo e introducir las polticas
compartidas en todos los dispositivos o grupos de dispositivos.
Agregar datos de todos los firewalls gestionados y conseguir visibilidad en todo el trfico de su red. El Centro
de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar informes de
todos los firewalls que le permiten realizar anlisis, investigaciones e informes de forma central sobre el
trfico de red, los incidentes de seguridad y las modificaciones administrativas.
Los procedimientos de este documento describen cmo gestionar el firewall usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua y haya verificado que el firewall puede establecer una conexin
con Panorama, consulte la Gua del administrador de Panorama para obtener ms instrucciones sobre la
configuracin de su firewall de forma central.
Realizacin de la configuracin inicial

De forma predeterminada, la direccin IP del firewall es 192.168.1.1 y el nombre de usuario/contrasea es
admin/admin. Por motivos de seguridad, debe cambiar estos ajustes antes de continuar con otras tareas de
configuracin del firewall. Debe realizar estas tareas de configuracin inicial desde la interfaz de gestin (MGT),
aunque no pretenda usar esta interfaz para la gestin de su firewall, o usar una conexin de serie directa al puerto
de la consola del dispositivo.
2
Gua de inicio
Configuracin del acceso de red al firewall
Paso 1
Obtenga la informacin necesaria de su

administrador de red.
Direccin IP para el puerto MGT

Mscara de red
Puerta de enlace predeterminada
Direccin de servidor DNS
Paso 2
Conecte su ordenador al firewall.
Puede conectarse al firewall de uno de estos modos:

Conecte un cable serie desde su ordenador al puerto de la consola y
conecte con el firewall usando el software de emulacin de terminal
(9600-8-N-1). Espere unos minutos hasta que se complete la
secuencia de arranque; cuando el dispositivo est listo, el mensaje
cambiar al nombre del firewall, por ejemplo PA-500 login.
Conecte un cable Ethernet RJ-45 desde su ordenador hasta el
puerto de gestin del firewall. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba
cambiar la direccin IP de su ordenador a una direccin de la red
192.168.1.0, como 192.168.1.2, para acceder a esta URL.
Paso 3
Cuando se le indique, inicie sesin en

el firewall.
Debe iniciar sesin usando el nombre de usuario y contrasea

predeterminados (admin/admin). El firewall comenzar a
inicializarse.
Paso 4
Configure la interfaz de gestin.
1.
Seleccione Dispositivo > Configuracin > Gestin y, a

continuacin, haga clic en el icono Editar de la seccin
Configuracin de interfaz de gestin de la pantalla. Introduzca
la direccin IP, mscara de red y puerta de enlace
predeterminada.
2.
Fije la velocidad en negociacin automtica.
3.
Seleccione los servicios de gestin que permitir en la interfaz.

Prctica recomendada:
Asegrese de que ni Telnet ni HTTP estn seleccionados, ya que
estos servicios usan texto sin formato y no son tan seguros
como los otros servicios.
Paso 5
(Opcional) Configure los ajustes

generales del firewall.
4.
Haga clic en ACEPTAR.
1.
Seleccione Dispositivo > Configuracin > Gestin y haga clic en

el icono Editar de la seccin Configuracin general de la
pantalla.
2.
Introduzca un nombre de host para el firewall y el nombre de

dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usar para unirse al dominio.
Gua de inicio
3.
Introduzca la Latitud y Longitud para permitir la colocacin

precisa del firewall en el mapamundi.
4.
Configuracin del acceso de red al firewall (Continuacin)
Paso 6
Configure los ajustes de DNS, hora

y fecha.
1.
Seleccione Dispositivo > Configuracin > Servicios y haga clic

en el icono Editar de la seccin Servicios de la pantalla.
Nota
Debe configurar manualmente al menos 2.

un servidor DNS en el firewall o no podr
resolver los nombres de host; no usar
3.
configuraciones del servidor DNS de otra
fuente, como un ISP.
Introduzca la direccin IP de su Servidor DNS principal y, de

manera opcional, de su Servidor DNS secundario.
4.
Paso 7
Establezca una contrasea segura para la 1.

cuenta de administrador.
2.
Para usar el clster virtual de servidores horarios de Internet,

introduzca el nombre de host pool.ntp.org como servidor NTP
principal o aada la direccin IP de su servidor NTP principal
y, de manera opcional, su servidor NTP secundario.
Haga clic en Aceptar para guardar la configuracin.
Seleccione Dispositivo > Administradores.
Seleccione la funcin admin.
3.
Introduzca la contrasea predeterminada actual y la nueva

contrasea.
4.
Haga clic en Aceptar para guardar la configuracin.
Nota
Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos
en guardar sus cambios.
Al guardar los cambios de configuracin,
perder la conexin con la interfaz web, ya
que la direccin IP habr cambiado.
Paso 9
Conecte el firewall a su red.
Paso 8
Compile los cambios.
1.
Desconecte el firewall de su ordenador.
2.
Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de
que el puerto de conmutacin que conecta al firewall mediante
un cable est configurado para negociacin automtica.
Paso 10 Abra una sesin de gestin SSH en el

firewall.
Usando un software de emulacin de terminal, como PuTTY, inicie

una sesin SSH en el firewall usando la nueva direccin IP que le ha
asignado.
Paso 11 Verifique el acceso a la red para los

servicios externos requeridos para la
gestin del firewall, como el servidor de
actualizaciones de Palo Alto Networks, de
uno de estos modos:
Si no desea permitir que una red
externa acceda a la interfaz de gestin,
tendr que configurar un puerto de
datos para recuperar las actualizaciones
de servicio requeridas. Vaya a
Establecimiento de acceso a la red para
servicios externos.
Si va a permitir que una red externa
acceda a la interfaz de gestin,
compruebe que tiene conexin y vaya a
Activacin de servicios de firewall.
Si ha conectado el puerto de gestin con un cable para tener acceso

desde una red externa, compruebe que tiene acceso al firewall y
desde el mismo usando la utilidad ping de la CLI. Asegrese de que
tiene conexin a la puerta de enlace predeterminada, servidor DNS
y el servidor de actualizacin de Palo Alto Networks como se
muestra en el siguiente ejemplo:
admin@PA-200> ping host updates.paloaltonetworks.com

Haciendo ping a updates.paloaltonetworks.com (67.192.236.252)
con 56(84) bytes de datos.
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms
Nota
Cuando haya comprobado la conectividad, pulse Ctrl+C

para detener los pings.
Gua de inicio
Establecimiento de acceso a la red para servicios externos

De manera predeterminada, el firewall usa la interfaz de gestin para acceder a servicios remotos, como
servidores DNS, actualizaciones de contenido y recuperacin de licencias. Si no quiere activar el acceso de una
red externa a su red de gestin, debe establecer un puerto de datos para ofrecer acceso a aquellos servicios
externos requeridos.
Para esta tarea debe estar familiarizado con zonas, polticas e interfaces de firewall. Si desea
ms informacin sobre estos temas, consulte Creacin del permetro de seguridad.
Establecimiento de un puerto de datos para acceder a servicios externos
Paso 1
La interfaz que use necesitar una direccin IP esttica.

Decida el puerto que desea usar para
acceder a servicios externos y conctelo
al puerto del conmutador o al puerto del
enrutador.
Paso 2
Inicie sesin en la interfaz web.
Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver una
advertencia de certificacin; es normal. Vaya a la pgina web.
Paso 3
(Opcional) El firewall viene preconfigurado con una interfaz de cable virtual predeterminada entre los puertos Ethernet 1/1
y Ethernet 1/2 (y sus correspondientes
zonas y polticas de seguridad predeterminadas). Si no pretende usar esta configuracin de cable virtual, debe eliminar
manualmente la configuracin para evitar
que interfiera con otras configuraciones
de interfaz que defina.
Debe eliminar la configuracin en el siguiente orden:

1. Para eliminar la poltica de seguridad predeterminada, seleccione
Polticas > Seguridad, seleccione la regla y haga clic en
Eliminar.
Gua de inicio
2.
A continuacin, elimine el cable virtual predeterminado

seleccionando Red > Cables virtuales, seleccionando el cable
virtual y haciendo clic en Eliminar.
3.
Para eliminar las zonas fiables y no fiables predeterminadas,

seleccione Red > Zonas, seleccione cada zona y haga clic en
Eliminar.
4.
Por ltimo, elimine las configuraciones de interfaz

seleccionando Red > Interfaces y, a continuacin, seleccione
cada interfaz (ethernet1/1 y ethernet1/2) y haga clic en
Eliminar.
5.
Confirme los cambios.
Establecimiento de un puerto de datos para acceder a servicios externos (Continuacin)
Paso 4
Configure la interfaz.
1.
Seleccione Red > Interfaces y seleccione la interfaz que

corresponde al puerto en el que conect el cable en el paso 1.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu

depende de la topologa de su red, este ejemplo muestra los
pasos para Capa3.
3.
En la pestaa Configurar, ample el men desplegable Zona de

seguridad y seleccione Nueva zona.
4.
En el cuadro de dilogo Zona, defina un Nombre para una

nueva zona, por ejemplo L3-fiable, y haga clic en Aceptar.
5.
Seleccione la pestaa IPv4, seleccione el botn de opcin

Esttico, haga clic en Aadir en la seccin IP e introduzca la
direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo, 192.168.1.254/24.
6.
Seleccione Avanzada > Otra informacin, ample el men

desplegable Perfil de gestin y seleccione Nuevo perfil de
gestin.
7.
Introduzca un Nombre para el perfil, como permitir_ping, y

seleccione a continuacin los servicios que desea permitir en la
interfaz. Estos servicios ofrecen acceso a la gestin del dispositivo,
as que seleccione solo los servicios que correspondan a actividades
de gestin que desee permitir en esta interfaz. Por ejemplo, si desea
utilizar la interfaz de gestin para las tareas de configuracin del
dispositivo a travs de la interfaz web o CLI, no debera activar
HTTP, HTTPS, SSH o Telnet para poder evitar el acceso no
autorizado a travs de esta interfaz. Para permitir el acceso a los
servicios externos, probablemente solo tenga que activar Ping y
despus hacer clic en Aceptar.
8.
Para guardar la configuracin de la interfaz, haga clic en

Aceptar.
Gua de inicio
Paso 5
1. Seleccione Dispositivo > Configuracin > Servicios >

Dado que el firewall usa la interfaz de
Configuracin de ruta de servicios.
gestin de manera predeterminada para
acceder a los servicios externos que
necesita, debe cambiar la interfaz que usa
el firewall para enviar estas solicitudes
editando las rutas de servicios.
Nota Para activar sus licencias y obtener el contenido y las
actualizaciones de software ms recientes, debe cambiar la
ruta de servicios de DNS, Actualizaciones de Palo Alto,
Actualizaciones de URL y WildFire.
2.
Haga clic en el botn de opcin Personalizar y seleccione una

de las siguientes opciones:
En un servicio predefinido, seleccione IPv4 o IPv6 y haga clic
en el enlace del servicio para el que quiera modificar la
interfaz de origen y seleccione la interfaz que acaba de
configurar.
Si se configura ms de una direccin IP para la interfaz
seleccionada, el men desplegable Direccin de origen le
permite seleccionar una direccin IP.
Para crear una ruta de servicio para un destino personalizado,
seleccione Destino y haga clic en Aadir. Introduzca un
nombre de destino y seleccione una interfaz de origen. Si se
configura ms de una direccin IP para la interfaz seleccionada,
el men desplegable Direccin de origen le permite seleccionar
una direccin IP.
Gua de inicio
3.
Haga clic en ACEPTAR para guardar la configuracin.
4.
Repita los pasos del 2 al 3 indicados anteriormente para cada

ruta de servicio que quiera modificar.
5.
Paso 6
Configure una interfaz de orientacin externa y una zona asociada y, a continuacin, cree las reglas de poltica
NAT y de seguridad para permitir que el firewall enve solicitudes de servicio de la zona interna a la externa:
1. Seleccione Red > Interfaces y, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa3
como el Tipo de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6), y cree la Zona de seguridad
asociada (en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en
esta interfaz.
2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones
de Palo Alto Networks y los servidores DNS externos, seleccione Polticas > Seguridad y haga clic en Aadir.
Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable a
l3-nofiable del siguiente modo:
3. Si usa una direccin IP

privada en la interfaz de
orientacin interna,
deber crear una regla
NAT de origen para traducir la direccin a una direccin enrutable pblicamente. Seleccione Polticas > NAT
y, a continuacin, haga clic en Aadir. Como mnimo deber definir un nombre para la regla (pestaa
General), especificar una zona de origen y destino, l3-fiable a l3-nofiable en este caso (pestaa Paquete
original), y definir la configuracin de traduccin de direccin de origen (pestaa Paquete traducido); a
continuacin debe hacer clic en Aceptar. Si desea ms informacin sobre NAT, consulte Configuracin de
polticas NAT.
4. Compile los cambios.
Paso 7
Compruebe que tiene conectividad desde el

puerto de datos a los servicios externos,
incluida la puerta de enlace predeterminada,
el servidor DNS y el servidor de
actualizacin de Palo Alto Networks.
Inicie la CLI y use la utilidad ping para comprobar que tiene

conectividad. Tenga en cuenta que los pings predeterminados se
envan desde la interfaz MGT, por lo que en este caso deber
especificar la interfaz de origen para las solicitudes de ping del
siguiente modo:
Tras comprobar que tiene la conectividad

de red requerida, vaya a Activacin de
servicios de firewall.
admin@PA-200> origen de ping 192.168.1.254 host

updates.paloaltonetworks.com
Hacer ping a updates.paloaltonetworks.com (67.192.236.252)
desde 192.168.1.254 : 56(84) bytes de datos.
64 bytes desde 67.192.236.252: icmp_seq=1 ttl=242 tiempo=56.7 ms
^C
Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.
Gua de inicio

Antes de que pueda empezar a usar el firewall para proteger su red, debe registrarlo y activar las licencias de los
servicios que ha adquirido. Adems, debe asegurarse de que est ejecutando la versin adecuada de PAN-OS
como se describe en las siguientes secciones:
Registro en Palo Alto Networks
Activacin de licencias
Gestin de la actualizacin de contenidos
Instalacin de actualizaciones de software
Registro en Palo Alto Networks

Registro del firewall
Paso 1
Inicie sesin en la interfaz web.
Si usa una conexin segura (https) desde su navegador web, inicie

sesin usando la nueva direccin IP y contrasea que asign durante
la configuracin inicial (https://<direccin IP>). Ver un
advertencia de certificacin; es normal. Vaya a la pgina web.
Paso 2
Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.
Paso 3
Vaya al sitio de asistencia de Palo Alto

Networks.
Paso 4
Si es el primer dispositivo de Palo Alto Networks que registra y an

Registre el dispositivo. El modo de
no tiene un inicio de sesin, haga clic en Registrar en el lado
registrarse depender de que tenga o no
un inicio de sesin en el sitio de asistencia
derecho de la pgina. Para registrarse, debe proporcionar su
tcnica.
direccin de correo electrnico y el nmero de serie de su firewall
(que puede pegar desde el portapapeles). Tambin se le pedir que
establezca un nombre de usuario y una contrasea para acceder a
la comunidad de asistencia tcnica de Palo Alto Networks.
En una ventana o pestaa nueva del navegador, vaya a

https://support.paloaltonetworks.com.
Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y

haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
nmero de serie de su firewall (que puede pegar desde el
portapapeles), su ciudad y su cdigo postal, y haga clic en
Registrar dispositivo.
Antes de que pueda empezar a usar su firewall para proteger el trfico de su red, deber activar las licencias de
cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
Prevencin de amenazas: Proporciona proteccin antivirus, antispyware y contra vulnerabilidades.

Si desea ms informacin sobre la prevencin de amenazas, consulte Configuracin de antivirus,
antispyware y proteccin contra vulnerabilidades.
Gua de inicio
Reflejo de puerto de descifrado: Permite crear una copia del trfico descifrado desde un firewall y enviarlo
a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin formato, como
NetWitness o Solera, para su archivado y anlisis.
Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los firewalls de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales si
desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
firewalls de las series PA-4000 y PA-5000 (el nmero bsico vara segn la plataforma). Las series PA-500,
PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la compatibilidad bsica con WildFire est incluida como parte de la licencia de
prevencin de amenazas, el servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas
organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la
firma de WildFire con una frecuencia inferior a una hora, el reenvo de tipos de archivos avanzados (APK,
PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. Tambin
se requiere una suscripcin a WildFire si sus firewalls van a reenviar archivos a un dispositivo WF-500
WildFire privado. Si desea ms informacin sobre WildFire, consulte Habilitacin de WildFire.
GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar
licencias de puertas de enlace (suscripcin) para cada puerta de enlace. Para obtener ms informacin sobre
GlobalProtect, consulte la Gua del administrador de GlobalProtect.
Paso 1
Encuentre los cdigos de activacin de

las licencias que ha adquirido.
Paso 2
Inicie la interfaz web y vaya a la pgina de Seleccione Dispositivo > Licencias.

licencias.
Paso 3
Active todas las licencias que ha

adquirido.
1.
Seleccione Activar caracterstica mediante cdigo de

autorizacin.
Nota
Si su firewall no tiene acceso a Internet

desde el puerto de gestin, puede
descargar sus licencias de forma manual
desde el sitio de asistencia tcnica y
cargarlas en el firewall usando la opcin
Clave de licencia de carga manual.
2.
Cuando se le indique, introduzca el Cdigo de autorizacin y

haga clic en Aceptar.
3.
Compruebe que la licencia se haya activado correctamente.

Por ejemplo, tras activar la licencia de WildFire, debera ver que
la licencia es vlida:
10
Al comprar las suscripciones debi recibir un mensaje de correo

electrnico del servicio de atencin al cliente de Palo Alto Networks
con los cdigos de activacin asociados a cada suscripcin. Si no
encuentra este mensaje, pngase en contacto con atencin al cliente
para recibir sus cdigos de activacin antes de continuar.
Gua de inicio
Gestin de la actualizacin de contenidos

Para estar al da del cambiante panorama de amenazas y aplicaciones, todos los firewalls de Palo Alto Networks
son compatibles con actualizaciones de contenido dinmicas. En funcin de las suscripciones que haya
adquirido, estas actualizaciones incluyen las firmas de aplicaciones y amenazas ms recientes, junto con una base
de datos de filtrado de URL. Para garantizar una proteccin constante contra las amenazas ms recientes
(incluidas aquellas que an no se han descubierto), debe asegurarse de mantener actualizados sus firewalls con
las actualizaciones ms recientes de Palo Alto Networks. Estn disponibles las siguientes actualizaciones de
contenido, dependiendo de las suscripciones que posea:
Aunque puede descargar e instalar de forma manual las actualizaciones de contenido en
cualquier momento, es recomendable programar las actualizaciones para que se realicen
automticamente.
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no requiere

suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en vigor. Todas las semanas se
publican nuevas actualizaciones de aplicaciones.
Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Esta

actualizacin est disponible si cuenta con una suscripcin de prevencin de amenazas (y la obtiene en lugar
de la actualizacin de aplicaciones). Todas las semanas se publican nuevas aplicaciones y amenazas.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar
los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener
una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones.
Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de malware y antivirus casi en tiempo real como consecuencia del anlisis
realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de 24 a 48 horas para que
las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su firewall no tiene acceso a Internet desde el puerto de gestin, puede descargar
actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks
(https://support.paloaltonetworks.com) y, a continuacin, cargarlas en su firewall.
Descarga de las bases de datos ms recientes
Paso 1
Inicie la interfaz web y vaya a la pgina

Actualizaciones dinmicas.
Gua de inicio
Seleccione Dispositivo > Actualizaciones dinmicas.
11
Descarga de las bases de datos ms recientes (Continuacin)
Paso 2
Compruebe las actualizaciones ms recientes.

Haga clic en Comprobar ahora (ubicado en la esquina inferior izquierda de la ventana) para comprobar las
actualizaciones ms recientes. El enlace de la columna Accin indica si una actualizacin est disponible:
Descargar: Indica que hay disponible un nuevo archivo de actualizacin. Haga clic en el enlace para iniciar la
descarga directamente en el firewall. Tras descargarlo correctamente, el enlace en la columna Accin cambia
de Descargar a Instalar.
Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones
y amenazas.
Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en el
enlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se inicia
en segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente.
Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace de
actualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.
Consejo: Para comprobar el estado de una accin, haga clic en Tareas (en la esquina inferior derecha de la
ventana).
Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidir
revertir a la versin instalada anteriormente de la actualizacin.
Paso 3
Instale las actualizaciones.
Nota
La instalacin puede tardar hasta

20 minutos en un dispositivo PA-200,
PA-500 o PA-2000, y hasta dos minutos
en los firewalls de las series PA-3000,
PA-4000, PA-5000 o VM.
12
Haga clic en el enlace Instalar de la columna Accin. Cuando se

complete la instalacin, aparecer una marca de verificacin en la
columna Instalado actualmente.
Gua de inicio
Descarga de las bases de datos ms recientes (Continuacin)
Paso 4
Programe cada actualizacin.
1.
Establezca la programacin de cada tipo de actualizacin

haciendo clic en el enlace Ninguna.
2.
Especifique la frecuencia de las actualizaciones seleccionando un

valor en el men desplegable Periodicidad. Los valores disponibles
varan en funcin del tipo de contenido (las actualizaciones de
WildFire estn disponibles cada 15 minutos, cada 30 minutos o
cada hora, mientras que para otros tipos de contenidos pueden
programarse actualizaciones diarias o semanales).
3.
Especifique la hora (o los minutos que pasan de una hora en el

caso de WildFire) y, si est disponible en funcin de la
Periodicidad seleccionada, el da de la semana para realizar la
actualizacin.
4.
Especifique si desea que el sistema descargue e instale la

actualizacin (prctica recomendada) o que nicamente la
descargue.
5.
En raras ocasiones puede haber errores en las actualizaciones de

contenido. Por este motivo, tal vez desee retrasar la instalacin
de nuevas actualizaciones hasta que lleven varias horas
publicadas. Puede especificar el tiempo de espera tras una
publicacin para realizar una actualizacin de contenido
introduciendo el nmero de horas de espera en el campo
Umbral (horas).
6.
Haga clic en Aceptar para guardar estos ajustes de

programacin.
7.
Haga clic en Confirmar para guardar estos ajustes en la

configuracin actual.
Repita este paso en cada actualizacin que

desee programar.
Escalone las programaciones de
actualizaciones, dado que el firewall no
puede descargar ms de una actualizacin
a la vez. Si ha programado la descarga de
varias actualizaciones al mismo tiempo,
solo la primera se realizar correctamente.
Instalacin de actualizaciones de software

Al instalar un nuevo firewall, es recomendable usar la actualizacin ms reciente del software (o la versin
recomendada por su distribuidor o por el ingeniero de sistemas de Palo Alto Networks) con el fin de aprovechar
las correcciones y mejoras de seguridad ms recientes. Tenga en cuenta que antes de actualizar el software debe
asegurarse de tener las actualizaciones de contenido ms recientes segn se indica en la seccin anterior (las
notas de la versin de una actualizacin de software especifican las versiones de actualizacin de contenido
mnimas que son compatibles con la versin).
Actualizacin de PAN-OS
Paso 1
Inicie la interfaz web y vaya a la pgina

Software.
Seleccione Dispositivo > Software.
Paso 2
Compruebe las actualizaciones de

software.
Haga clic en Comprobar ahora para comprobar las actualizaciones

ms recientes. Si el valor de la columna Accin es Descargar, indica
que hay una actualizacin disponible.
Gua de inicio
13
Actualizacin de PAN-OS (Continuacin)
Paso 3
Nota
Paso 4
Descargar la actualizacin.
Busque la versin que quiere y haga clic en Descargar. Cuando se

complete
la descarga, el valor en la columna Accin cambia a
Si su firewall no tiene acceso a Internet
Instalar
.
desde el puerto de gestin, puede descargar
la actualizacin de software desde el sitio de
asistencia tcnica de Palo Alto Networks
(https://support.paloaltonetworks.com).
Despus podr cargarla manualmente en
su firewall.
Instale la actualizacin.
1.
Haga clic en Instalar.
2.
Reinicie el firewall:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Dispositivo >

Configuracin > Operaciones y haga clic en Reiniciar
dispositivo en la seccin Operaciones de dispositivo de la
pantalla.
14
Gua de inicio

De forma predefinida, todos los firewalls de Palo Alto Networks vienen preconfigurados con una cuenta
administrativa predeterminada (admin), que proporcionan acceso completo de lectura-escritura (tambin
conocido como acceso de superusuario) al firewall.
Es recomendable que cree una cuenta administrativa diferente para cada persona que
necesite acceder a las funciones de administracin o informes del firewall. Esto le
permite proteger mejor el firewall de la configuracin (o modificacin) no autorizada y
registrar las acciones de cada uno de los administradores del firewall.
Las siguientes secciones describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:
Funciones administrativas
Autenticacin administrativa
Creacin de una cuenta administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
Funciones dinmicas: Funciones integradas que proporcionan acceso al firewall en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un
control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a
las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores
de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta
que con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma
explcita para nuevos componentes/caractersticas que se aadan al producto.
Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el firewall. Puede aadir un nivel de
proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un perodo
de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el dispositivo.
Gua de inicio
15
Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el firewall, pero la autenticacin se basa en certificados SSH (para acceso a CLI)
o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el firewall local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.
Cuenta y autenticacin de administrador externas: La administracin y la autenticacin de la cuenta las
gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de
proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para
obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Creacin de una cuenta administrativa

Cree cuentas administrativas para definir privilegios de acceso y administrativos para administradores de firewall.
Como es comn delegar tareas administrativas especficas a administradores determinados con funciones
variables, Palo Alto Networks le recomienda que cree perfiles de funcin de administrador que permitan que
los administradores accedan nicamente a las reas de la interfaz de gestin que sean necesarias para realizar sus
trabajos. Puede asignar las distintas funciones que cree a cuentas de administrador individuales y especificar
privilegios de acceso a cada interfaz de gestin: la interfaz web, la interfaz de lnea de comandos (CLI) y la API
REST de gestin. Mediante la creacin de funciones de administrador con privilegios de acceso muy detallados,
puede garantizar la proteccin de los datos confidenciales de la empresa y la privacidad de los usuarios finales.
El siguiente procedimiento describe cmo crear una cuenta de administrador local con autenticacin local, lo
que incluye cmo configurar el acceso de administrador para cada interfaz de gestin.
16
Gua de inicio
Creacin de un administrador local
Paso 1
Si pretende usar perfiles de funciones de

administrador en lugar de funciones
dinmicas, cree los perfiles que definan
qu tipo de acceso, de haberlo, se dar a
las diferentes secciones de la interfaz
web, CLI y API XML para cada
administrador asignado a la funcin.
Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
continuacin, haga clic en Aadir.
2.
Introduzca un nombre y, opcionalmente, una descripcin para

la funcin.
3.
En las pestaas Interfaz web, Lnea de comandos y/o API

XML, especifique el acceso que debe permitirse a cada interfaz
de gestin:
En las fichas Interfaz web y/o API XML, establezca los
niveles de acceso para cada rea funcional de la interfaz
haciendo clic en el icono para cambiarlo al ajuste deseado:
Habilitar , Solo lectura o Deshabilitar .
En la ficha Lnea de comandos, especifique el tipo de acceso
que permitir a la CLI: superlector, deviceadmin o
devicereader (para funciones de dispositivo); vsysadmin o
vsysreader (para funciones de sistema virtual); o Ninguno
para deshabilitar completamente el acceso a la CLI.
4.
Haga clic en Aceptar para guardar el perfil.
Por ejemplo, conceda a un administrador un acceso completo a un

dispositivo mediante la API XML, con la excepcin de la
importacin o la exportacin de archivos:
Gua de inicio
17
Creacin de un administrador local (Continuacin)
Paso 2
(Opcional) Establezca requisitos para

Crear perfiles de contrasea: Defina la frecuencia con que los
contraseas definidas por usuarios locales.
administradores debern cambiar sus contraseas. Puede crear
varios perfiles de contrasea y aplicarlos a las cuentas de
administrador segn sea necesario para imponer la seguridad
deseada. Para crear un perfil de contrasea, seleccione Dispositivo >
Perfiles de la contrasea y, a continuacin, haga clic en Aadir.
Configurar ajustes de complejidad mnima de la contrasea:
Defina reglas que rijan la complejidad de la contrasea, lo que
obligar a los administradores a crear contraseas ms difciles de
adivinar, descifrar o evitar. A diferencia de los perfiles de
contrasea, que se pueden aplicar a cuentas individuales, estas
reglas son para todo el dispositivo y se aplican a todas las
contraseas. Para configurar los ajustes, seleccione Dispositivo >
Configuracin y, a continuacin, haga clic en el icono Editar de
la seccin Complejidad de contrasea mnima.
Paso 3
Paso 4
18
Cree una cuenta para cada administrador. 1.
Seleccione Dispositivo > Administradores y, a continuacin,

haga clic en Aadir.
2.
Introduzca un nombre y contrasea para el administrador.
3.
Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas o
un perfil basado en funcin personalizado si ha creado uno en
el Paso 1.
4.
(Opcional) Seleccione un perfil de contrasea.
5.
Haga clic en ACEPTAR para guardar la cuenta.
1.
Haga clic en Confirmar.
Gua de inicio

Durante la implementacin inicial tambin debe tenerse en cuenta el plan de supervisin del firewall: tanto del
funcionamiento del firewall como de la supervisin del trfico y las amenazas que gestiona y controla. Tiene
servicios centralizados, como Syslog o SNMP, que desea aprovechar? Tiene algn requisito especfico de
archivo de logs, auditora o copias de seguridad?
Las siguientes secciones describen los mtodos que puede usar para supervisar el firewall y ofrecer instrucciones
de configuracin bsicas.
Supervisin de aplicaciones y amenazas
Visualizacin de datos de logs locales
Reenvo de logs a servicios externos
Supervisin del Firewall mediante SNMP

Tambin puede configurar el firewall (excepto los firewalls de la serie PA-4000) para que exporte
los datos de flujo a un recopilador de flujo de red que elabore anlisis e informes.
Supervisin de aplicaciones y amenazas

Todos los firewalls de nueva generacin de Palo Alto Networks estn equipados con la tecnologa App-ID, que
identifica las aplicaciones que cruzan su red, independientemente del protocolo, cifrado o tctica de evasin.
Despus puede supervisar las aplicaciones desde el Centro de comando de aplicacin (ACC). ACC resume
grficamente la base de datos de logs para resaltar las aplicaciones que cruzan su red, quin las usa y su posible
impacto en la seguridad. ACC se actualiza de forma dinmica de acuerdo con la clasificacin de trfico continua
que App-ID realiza; si una aplicacin cambia de puerto o comportamiento, App-ID contina observando el
trfico, mostrando los resultados en ACC.
Puede investigar rpidamente aplicaciones nuevas, peligrosas o desconocidas que aparezcan en ACC con un solo
clic que muestra una descripcin de la aplicacin, sus caractersticas clave, sus caractersticas de comportamiento
y quin la usa. La visibilidad adicional de categoras de URL, amenazas y datos ofrece una perspectiva completa
de la actividad de la red. Con ACC, puede obtener informacin rpidamente acerca del trfico que cruza su red
y traducir la informacin a una poltica de seguridad con ms informacin.
Gua de inicio
19
Visualizacin de datos de logs locales

Todos los firewalls de nueva generacin de Palo Alto Networks pueden generar logs que ofrecen un seguimiento
auditado de las actividades y eventos del firewall. Hay diversos logs para distintos tipos de actividades y eventos.
Por ejemplo, los logs de amenaza registran todo el trfico que genera una alarma de seguridad en el firewall,
mientras que los registros de filtrado de URL registran todo el trfico que coincide con un perfil de filtrado de
URL asociado a una poltica de seguridad, y los logs de configuracin registran todos los cambios en la
configuracin del firewall.
Hay varias formas de ver los datos de log en el firewall local:
Visualizacin de los archivos log
Visualizacin de los datos de log en el panel
Visualizacin de informes
Visualizacin de los archivos log

De forma predefinida, todos los archivos log se generan y guardan de forma local en el firewall. Puede ver estos
archivos log directamente (Supervisar > Logs):
20
Gua de inicio
Visualizacin de los datos de log en el panel

Tambin puede supervisar los datos de log locales directamente desde el panel aadiendo los widgets asociados:
Visualizacin de informes
El firewall tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos del
log en forma de grfico o tabla.
Gua de inicio
21
Reenvo de logs a servicios externos

Dependiendo del tipo y la gravedad de los datos en los archivos log, puede que desee recibir un aviso ante
eventos crticos que requieran su atencin, o puede que tenga polticas que requieran que archive los datos
durante ms tiempo del que pueden ser almacenados en el firewall. En estos casos, desear enviar sus datos de
logs a un servicio externo para su archivo, notificacin o anlisis.
Al configurar el reenvo de logs o el reenvo de archivos de WildFire en un firewall PA-7050, debe
configurar un puerto de datos con el tipo de log Tarjeta de log. Este puerto debe conectarse a
una red que pueda comunicarse con sus destinos de logs y, si est configurado el reenvo de
WildFire, debe poder acceder a la nube de WildFire o a un dispositivo WildFire, si hay uno
implementado en su red. Tras configurar una interfaz con este tipo, estos servicios utilizarn
automticamente el puerto de tarjeta de log y no ser necesaria ninguna otra configuracin. Para
obtener ms informacin sobre este tipo de interfaz, consulte la ayuda en la seccin Red >
Interfaces de un PA-7050.
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
Configurar el firewall para que acceda a los servicios remotos que recibirn los logs. Consulte Definicin
de destinos de logs remotos.
Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
Definicin de destinos de logs remotos

Para alcanzar un servicio externo, como un servidor Syslog o un gestor de capturas SNMP, el firewall debe
conocer los detalles de acceso y, en caso necesario, autenticarse en el servicio. En el firewall, puede definir esta
informacin en un perfil de servidor. Debe crear un perfil de servidor para cada servicio externo con el que
desee que interacte el firewall. El tipo de destino de log que necesita configurar y qu logs se reenvan
depender de sus necesidades. Algunas situaciones frecuentes de reenvo de logs son:
Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin, puede
generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de correo
electrnico y/o Configuracin de los destinos de Trap SNMP.
Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de dispositivos,
puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog. Esto permite
la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o ArcSight.
Si no tiene un recopilador de Syslog o no necesita actualizaciones en tiempo real, en su lugar
puede programar exportaciones de logs y guardarlas en un servidor FTP en formato CSV o usar
Secure Copy (SCP) para transferir datos de forma segura entre el firewall y un host remoto. Para
obtener ms informacin, consulte la seccin Informes y logs de la Gua del administrador de
PAN-OS 6.0.
Para aadir y elaborar informes de datos de logs de firewalls de Palo Alto Networks, puede reenviar los logs a
un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Reenvo de logs a Panorama.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
22
Gua de inicio
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el Paso 5 del procedimiento para
Establecimiento de un puerto de datos para acceder a servicios externos.
Configuracin de alertas de correo electrnico

Configuracin de alertas de correo electrnico
Paso 1
Cree un perfil de servidor para su

servidor de correo electrnico.
1.
Seleccione Dispositivo > Perfiles de servidor > Correo

electrnico.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada de servidor

de correo electrnico e introduzca la informacin necesaria para
conectar con el servidor SMTP y enviar mensajes de correo
electrnico (puede aadir hasta cuatro servidores de correo
electrnico al perfil):
Nombre: Nombre para identificar el servidor de correo
electrnico (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor
SMTP existente.
Email Display Name (Nombre de visualizacin de correo
electrnico): El nombre que aparecer en el campo De del
correo electrnico.
De: La direccin de correo electrnico desde la que se
enviarn las notificaciones de correo electrnico.
Para: La direccin de correo electrnico a la que se enviarn
las notificaciones de correo electrnico.
Destinatario adicional: Si desea que las notificaciones se
enven a una segunda cuenta, introduzca la direccin
adicional aqu. Solo puede aadir un destinatario adicional.
Para aadir varios destinatarios, aada la direccin de correo
electrnico de una lista de distribucin.
Email Gateway (Puerta de enlace de correo electrnico):
La direccin IP o el nombre de host de la puerta de enlace
SMTP que se usar para enviar los mensajes de correo
electrnico.
5.
Paso 2
Haga clic en Aceptar para guardar el perfil de servidor.
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el firewall.
distintos tipos de log, consulte Common Event Format Configuration
Guide (Gua de configuracin de formato de eventos comunes).
Gua de inicio
23
Configuracin de alertas de correo electrnico (Continuacin)
Paso 3
Guarde el perfil de servidor y confirme

los cambios.
1.
2.
Haga clic en Confirmar para guardar los cambios en la

configuracin actual.
Configuracin de los destinos de Trap SNMP

SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la supervisin de los
dispositivos de su red. Puede configurar su firewall para enviar traps SNMP a su software de gestin de SNMP
para alertarle de amenazas o eventos crticos del sistema que requieran su atencin inmediata.
Tambin puede usar SNMP para supervisar el firewall. En este caso, su gestor de SNMP debe
estar configurado para obtener estadsticas del firewall en lugar de (o adems de) hacer que el
firewall enve traps al gestor. Para obtener ms informacin, consulte Supervisin del Firewall
mediante SNMP.
Configuracin de los destinos de Trap SNMP
Paso 1
Nota
24
Para conocer el ID de motor del firewall, deber configurar el firewall

para SNMP v3 y enviar un mensaje GET desde el gestor de SNMP
En muchos casos, el explorador de MIB o o el explorador de MIB de la manera siguiente:
1. Habilite la interfaz para permitir solicitudes SNMP entrantes:
el gestor de SNMP detectar automtica Si va a recibir mensajes SNMP GET en la interfaz de gestin,
mente el ID de motor tras una conexin
seleccione Dispositivo > Configuracin > Gestin y haga clic en
correcta al agente de SNMP del firewall.
Normalmente encontrar esta informacin
el icono Editar que hay en la seccin Configuracin de
en la seccin de configuracin del agente de
interfaz de gestin de la pantalla. En la seccin Servicios,
la interfaz. Consulte la documentacin de su
seleccione la casilla de verificacin SNMP y haga clic en Aceptar.
producto especfico para obtener instruc Si va a recibir mensajes SNMP GET en una interfaz distinta,
ciones sobre cmo encontrar la informadeber asociar un perfil de gestin a la interfaz y habilitar la
cin del agente.
gestin de SNMP.
(nicamente SNMP v3) Obtenga el ID
de motor para el firewall.
2.
Configure el firewall para SNMP v3 como se describe en el

Paso 2 en Configuracin de la supervisin de SNMP. Si no
configura el firewall para SNMP v3, su explorador de MIB no le
permitir obtener el ID de motor.
3.
Conecte su explorador de MIB o gestor de SNMP al firewall y

ejecute GET para OID 1.3.6.1.6.3.10.2.1.1.0. El valor devuelto
es el ID de motor exclusivo del firewall.
Gua de inicio
Configuracin de los destinos de Trap SNMP (Continuacin)
Paso 2
Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c o
V3, como se explica a continuacin:
SNMP V2c
Nombre: Nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor SNMP: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Nombre: Nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor SNMP: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del firewall, segn se ha identificado en el Paso 1. Es un valor hexadecimal de entre
5 y 64 bytes con un prefijo 0x. Cada firewall tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para el gestor
de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no estar cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP. Esta
contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado (AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el firewall
acceda a su gestor de SNMP. Consulte Establecimiento de acceso a
la red para servicios externos para obtener instrucciones.
Paso 4
Paso 5
Habilite el gestor de SNMP para que

Cargue los archivos MIB de PAN-OS en su software de gestin de
interprete las traps que recibe del firewall. SNMP y complelos. Consulte las instrucciones especficas para
realizar este proceso en la documentacin de su gestor de SNMP.
Haga clic en Confirmar. El dispositivo puede tardar hasta

90 segundos en guardar sus cambios.
Definicin de servidores Syslog

Syslog es un mecanismo de transporte de logs estndar que permite aadir datos de logs desde distintos
dispositivos de la red, tales como enrutadores, firewalls o impresoras, de diferentes proveedores a un repositorio
central para su archivo y anlisis, as como para elaborar informes.
Gua de inicio
25
Hay cinco tipos de logs que PAN-OS puede exportar a un servidor Syslog: trfico, amenaza, coincidencia HIP,
configuracin y sistema. Si desea ms informacin sobre los campos en cada tipo de log, consulte PAN-OS Syslog
Integration Tech Note (Nota tcnica sobre la integracin de Syslog de PAN-OS). Para una lista parcial de mensajes de
log y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema).
Los mensajes de Syslog se envan en texto en claro y no se pueden cifrar directamente.
Sin embargo, si necesita cifrado, puede enviar los mensajes de Syslog a travs de una interfaz
de tnel, que forzar el cifrado de los paquetes de Syslog. Tambin tendr que crear una nueva
ruta de servicio para Syslog.
Configuracin del reenvo de Syslog
Paso 1
Cree un perfil de servidor que contenga

la informacin para conectarse a los
servidores Syslog.
1.
Seleccione Dispositivo > Perfiles de servidor > Syslog.
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.
3.
(Opcional) Seleccione el sistema virtual al que se aplica este

perfil en el men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada del servidor
Syslog e introduzca la informacin necesaria para conectar con
el servidor Syslog (puede aadir hasta cuatro servidores Syslog
al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor Syslog: Direccin IP o nombre de dominio
completo (FQDN) del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes
de Syslog (el valor predeterminado es UDP en el puerto 514);
debe usar el mismo nmero de puerto en el firewall y en el
servidor Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se
debe utilizar, BSD o IETF. Tradicionalmente, el formato
BSD es a travs de UDP y el formato IETF es a travs de
TCP/SSL.
Instalaciones: Seleccione uno de los valores de Syslog
estndar, que se usa para calcular el campo de prioridad (PRI)
en la implementacin de su servidor Syslog. Debe seleccionar
el valor que asigna cmo usa el campo PRI para gestionar sus
mensajes de Syslog.
26
5.
(Opcional) Para personalizar el formato de los mensajes de

Syslog que enva el firewall, seleccione la pestaa Formato de
log personalizado. Si desea ms informacin sobre cmo crear
formatos personalizados para los distintos tipos de log, consulte
Common Event Format Configuration Guide (Gua de
configuracin de formato de eventos comunes).
6.
Haga clic en Aceptar para guardar el perfil de servidor.
Gua de inicio
Configuracin del reenvo de Syslog (Continuacin)
Paso 2
Paso 3
(Opcional) Configure el formato del

nombre de host en el encabezado de los
mensajes de Syslog.
1.

el icono Editar de la seccin Configuracin de logs e
informes.
2.
Seleccione Exportacin e informes de log y, en Formato de

nombre de host de Syslog, seleccione si desea incluir el nombre
de host, el nombre de dominio completo (FQDN) (valor
predeterminado que concatena el nombre de host y el nombre
de dominio) o la direccin IPv4/IPv6 del dispositivo.
3.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos en guardar sus cambios.
Reenvo de logs a Panorama

Antes de poder reenviar archivos log a un gestor de Panorama Manager o a un recopilador de logs de Panorama,
el firewall debe estar configurado como un dispositivo gestionado. Para obtener informacin detallada sobre
cmo configurar Panorama y aadir dispositivos, consulte la Gua del administrador de Panorama. Puede habilitar
el reenvo de logs a Panorama para cada tipo de log segn se describe en Habilitacin del reenvo de logs. Para
logs reenviados a Panorama, tiene a su disposicin la compatibilidad con el reenvo centralizado de logs a un
servidor Syslog externo.
Habilitacin del reenvo de logs

Una vez creados los perfiles de servidor que definen dnde se envan sus logs, debe habilitar el reenvo de logs.
Para cada tipo de log, puede especificar si se reenva a Syslog, correo electrnico, receptor de traps SNMP o
Panorama. La forma de habilitar el reenvo depende del tipo de log:
Logs de trfico: Habilite el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado.
Logs de amenaza: Habilite el reenvo de logs de amenaza creando un perfil de reenvo de logs
(Objetos > Reenvo de logs) que especifique qu niveles de gravedad desea reenviar y, a continuacin, aadindolo
a las polticas de seguridad para las que desee activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware, Vulnerabilidad,
Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). La siguiente tabla resume los niveles
de gravedad de las amenazas:
Gua de inicio
27
Gravedad
Descripcin
Crtico
Amenazas serias, como aquellas que afectan a las instalaciones predeterminadas de

software ampliamente implementado, que comprometen profundamente los servidores
y dejan el cdigo de explotacin al alcance de los atacantes. El atacante no suele necesitar
ningn tipo de credenciales de autenticacin o conocimientos acerca de las vctimas y el
objetivo no necesita ser manipulado para que realice ninguna funcin especial.
Alto
Amenazas que tienen la habilidad de convertirse en crticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difciles de explotar, no conceder privilegios
elevados o no tener un gran grupo de vctimas.
Medio
Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante est en la misma LAN
que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u ofrecen
acceso muy limitado.
Bajo
Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de
la organizacin. Suelen requerir acceso local o fsico al sistema y con frecuencia suelen
ocasionar problemas en la privacidad de las vctimas, problemas de DoS y fugas de
informacin. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo
Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podra haber problemas ms serios. Las entradas de logs de filtrado de URL
con un veredicto benigno se registran como informativas.
Logs de configuracin: Habilite el reenvo de logs de configuracin especificando un perfil de servidor en

la configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de configuracin).
Logs de sistema: Habilite el reenvo de logs de sistema especificando un perfil de servidor en la

configuracin de ajustes de log. (Dispositivo > Configuracin de log > Logs de sistema). Debe seleccionar un
perfil de servidor para cada nivel de gravedad que desee reenviar. Para una lista parcial de mensajes de log de
sistema y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema). La siguiente
tabla resume los niveles de gravedad de los logs de sistema:
28
Gravedad
Descripcin
Crtico
Fallos de hardware, lo que incluye la conmutacin por error de HA y los fallos de enlaces.
Alto
Problemas graves, incluidas las interrupciones en las conexiones con dispositivos

externos, como servidores Syslog y RADIUS.
Medio
Notificaciones de nivel medio, como actualizaciones de paquetes de antivirus.
Bajo
Notificaciones de menor gravedad, como cambios de contrasea de usuario.
Informativo
Inicios de sesin/cierres de sesin, cambio de nombre o contrasea de administrador,

cualquier cambio de configuracin y el resto de eventos no cubiertos por los otros niveles
de gravedad.
Logs de WildFire: Habilite el reenvo de logs de WildFire que contengan informacin sobre los archivos
que se reenvan desde el firewall a WildFire para su anlisis. Puede configurar el firewall para reenviar logs y
obtener el veredicto Bueno y/o Malo.
Gua de inicio
Supervisin del Firewall mediante SNMP

Todos los firewalls de Palo Alto Networks son compatibles con mdulos de base de informacin de gestin
(MIB) de SNMP de red estndar, as como con mdulos MIB empresariales privados. Puede configurar un
gestor de SNMP para recibir estadsticas del firewall. Por ejemplo, puede configurar su gestor de SNMP para
que supervise las interfaces, sesiones activas, sesiones simultneas, porcentajes de uso de sesin, temperatura o
tiempo de actividad en el firewall.
Los firewalls de Palo Alto Networks solo son compatibles con solicitudes SNMP GET; no es
compatible con las solicitudes SNMP SET.
Configuracin de la supervisin de SNMP
Paso 1
Habilite la interfaz para permitir

solicitudes SNMP entrantes:
Si va a recibir mensajes SNMP GET en la interfaz de gestin,

seleccione Dispositivo > Configuracin > Gestin y haga clic en el
icono Editar que hay en la seccin Configuracin de interfaz de
gestin de la pantalla. En la seccin Servicios, seleccione la casilla
de verificacin SNMP y haga clic en Aceptar.
Si va a recibir mensajes SNMP GET en una interfaz distinta,
deber asociar un perfil de gestin a la interfaz y habilitar la gestin
de SNMP.
Paso 2
Desde la interfaz web del firewall, configure 1.

los ajustes para permitir que el agente de
SNMP del firewall responda a las solicitudes 2.
GET entrantes del gestor de SNMP.
3.
Seleccione Dispositivo > Configuracin > Operaciones >

Configuracin de SNMP.
Especifique la ubicacin fsica del firewall y el nombre o
direccin de correo electrnico de un contacto de gestin.
Seleccione la versin SNMP y, a continuacin, introduzca los
detalles de configuracin de la siguiente forma (segn la versin
SNMP que utilice) y, a continuacin, haga clic en ACEPTAR:
V2c: Introduzca la cadena de comunidad SNMP que permitir
que el gestor de SNMP acceda al agente de SNMP del firewall.
El valor predeterminado es pblico. Sin embargo, como se
trata de una cadena de comunidad ampliamente conocida, se
recomienda utilizar un valor difcil de adivinar.
V3: Debe crear al menos una vista y un usuario para poder
utilizar SNMPv3. La vista especifica a qu informacin de
gestin tiene acceso el gestor. Si desea permitir el acceso a
toda la informacin de gestin, solamente tiene que
introducir el OID de nivel ms alto de .1.3.6.1 y especificar la
opcin como incluir (tambin puede crear vistas que
excluyan determinados objetos). Utilice 0xf0 como la
mscara. A continuacin, cuando cree un usuario, seleccione
la vista que acaba de crear y especifique la contrasea de
autenticacin y la contrasea privada.
4.
5.
Gua de inicio
La configuracin de autenticacin (la cadena de comunidad para

V2c o el nombre de usuario y las contraseas para V3)
establecida en el firewall debe coincidir con el valor configurado
en el gestor de SNMP.
Haga clic en ACEPTAR para guardar la configuracin.
Haga clic en Confirmar para guardar estos ajustes de SNMP.
29
Configuracin de la supervisin de SNMP (Continuacin)
Paso 3
Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestin de
las estadsticas del firewall.
SNMP y, si es necesario, complelos. Consulte las instrucciones
especficas para realizar este proceso en la documentacin de su
gestor de SNMP.
Paso 4
Identifique las estadsticas que desee

supervisar.
Paso 5
Configure el software de gestin de SNMP Consulte las instrucciones especficas para realizar este proceso en la
para que supervise los OID que le interesan. documentacin de su gestor de SNMP.
Paso 6
Cuando haya terminado la configuracin A continuacin, un ejemplo de la apariencia de un gestor de SNMP

al mostrar las estadsticas del porcentaje de uso de sesin en tiempo
del firewall y el gestor de SNMP podr
empezar a supervisar el firewall desde su real de un firewall de la serie PA-500 supervisado:
software de gestin de SNMP.
30
Use un explorador de MIB para examinar los archivos MIB de

PAN-OS y localizar los identificadores de objeto (OID) que se
corresponden con las estadsticas que desea supervisar. Por ejemplo,
imagnese que desea supervisar el porcentaje de uso de sesin del
firewall. Usando un explorador de MIB ver que estas estadsticas se
corresponden con los OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 de
PAN-COMMON-MIB.
Gua de inicio
Creacin del permetro de seguridad

Los siguientes temas indican los pasos bsicos para configurar las interfaces del firewall, definir zonas y
configurar una poltica de seguridad bsica:
Descripcin general del permetro de seguridad
Configuracin de interfaces y zonas
Configuracin de polticas NAT
Configuracin de polticas de seguridad bsicas
Gua de inicio
31

El trfico debe pasar por el firewall para que este pueda gestionarlo y controlarlo. Fsicamente, el trfico entra y
sale del firewall a travs de las interfaces. El firewall decide cmo actuar sobre un paquete basndose en si el
paquete coincide con una poltica de seguridad. Al nivel ms bsico, la poltica de seguridad debe identificar de
dnde proviene el trfico y hacia dnde va. En un firewall de prxima generacin de Palo Alto Networks, se
aplican polticas de seguridad entre zonas. Una zona es un grupo de interfaces (fsicas o virtuales) que
proporciona una abstraccin de un rea de confianza para el cumplimiento de una poltica simplificada. Por
ejemplo, en el siguiente diagrama de topologa, hay tres zonas: zona fiable, zona no fiable y zona desmilitarizada
(DMZ). El trfico puede circular libremente dentro de una zona, pero no podr hacerlo entre zonas hasta que
no defina una poltica de seguridad que lo permita.
Las siguientes secciones describen los componentes del permetro de seguridad e indican los pasos necesarios
para configurar las interfaces del firewall, definir zonas y configurar una poltica de seguridad bsica que permita
el trfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una poltica bsica como esta, podr
analizar el trfico que circula por su red y utilizar esta informacin para definir polticas ms especficas y as
habilitar aplicaciones de forma segura y evitar amenazas.
Implementaciones de firewalls
Acerca de la traduccin de direccin de red (NAT)
Acerca de las polticas de seguridad
Implementaciones de firewalls
Todos los firewalls de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red flexible
que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN, lo que
le permite implementar el firewall en prcticamente cualquier entorno de red. Al configurar los puertos Ethernet
en su firewall, podr elegir entre una implementacin de interfaz de cable virtual, capa 2 o capa 3. Adems, para
permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos de interfaces en
diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de implementacin.
Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks Firewalls (Diseo de redes con firewalls de Palo Alto Networks).
32
Gua de inicio
Implementaciones de cable virtual

En una implementacin de cable virtual, el firewall se instala de forma transparente en un segmento de red
uniendo dos puertos. Cuando utilice un cable virtual, podr instalar el firewall en cualquier entorno de red sin
volver a configurar los dispositivos adyacentes. Si fuera necesario, un cable virtual puede bloquear o permitir el
trfico en funcin de los valores de etiquetas de LAN virtual (VLAN). Tambin puede crear mltiples
subinterfaces y clasificar el trfico en funcin de una direccin IP (nombre, intervalo o subred), VLAN o una
combinacin de ambas.
De forma predeterminada, el cable virtual default-vwire conecta los puertos Ethernet 1 y 2 y permite todo el
trfico sin etiquetar. Seleccione esta implementacin para simplificar la instalacin y la configuracin y/o evitar
cambios de configuracin en los dispositivos de red que se encuentran alrededor.
Un cable virtual es la configuracin predeterminada y solo se debe utilizar cuando no se necesita conmutacin
o enrutamiento. Si no pretende usar el cable virtual predeterminado, debe eliminar manualmente la
configuracin antes de continuar con la configuracin de la interfaz para evitar que interfiera con otras
configuraciones de interfaz que defina. Para obtener instrucciones sobre cmo eliminar el cable virtual
predeterminado y sus zonas y poltica de seguridad asociadas, consulte el Paso 3 en Establecimiento de un puerto
de datos para acceder a servicios externos.
Implementaciones de capa 2
En una implementacin de capa 2, el firewall permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el firewall pueda alternar entre ellas. El firewall ejecutar
el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn. Seleccione
esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).
Implementaciones de capa 3
En una implementacin de capa 3, el firewall enruta el trfico entre puertos. Se debe asignar una direccin IP a cada
interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces lgicas
para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag de VLAN
(cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura multiempresa.
Adems, dado que el firewall debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinmico
(BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales, cada uno
de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le
permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el firewall en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
Gua de inicio
33
How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)
How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)
Acerca de la traduccin de direccin de red (NAT)

Cuando utilice direcciones IP privadas en sus redes internas, deber utilizar la traduccin de direccin de red (NAT)
para traducir las direcciones privadas en direcciones pblicas que puedan enrutarse a redes externas. En PAN-OS,
crea reglas de poltica NAT que indican al firewall qu paquetes necesitan traduccin y cmo realizar la traduccin.
El firewall admite tanto la traduccin de puerto y/o direccin de origen como la traduccin de puerto y/o
direccin de destino. Para obtener informacin ms detallada sobre los diferentes tipos de reglas de NAT, consulte
Understanding and Configuring NAT Tech Note (Nota tcnica sobre la comprensin y configuracin de NAT).
Es importante comprender el modo en que el firewall aplica las polticas NAT y de seguridad para determinar
qu polticas necesita basndose en las zonas que ha definido. Al entrar, el firewall inspecciona un paquete para
comprobar si coincide con alguna de las reglas de NAT que se han definido, basndose en la zona de origen y/o
destino. A continuacin, evala y aplica las reglas de seguridad que coincidan con el paquete basndose en las
direcciones de origen y destino originales (anteriores a NAT). Por ltimo, traduce los nmeros de puerto de
origen y/o destino para las reglas de NAT coincidentes al salir. Esta distincin es importante, ya que implica que
el firewall determina para qu zona est destinado un paquete basndose en la direccin del paquete, no en la
colocacin del dispositivo basndose en su direccin asignada de manera interna.
Acerca de las polticas de seguridad

Las polticas de seguridad protegen los activos de red frente a amenazas e interrupciones y ayudan a asignar de
manera ptima los recursos de red para mejorar la productividad y la eficacia en los procesos empresariales.
En el firewall de Palo Alto Networks, las polticas de seguridad determinan si una sesin se bloquear o se
permitir basndose en atributos del trfico, como la zona de seguridad de origen y destino, la direccin IP de
origen y destino, la aplicacin, el usuario y el servicio. De manera predeterminada, se permite el trfico intrazona
(es decir, el trfico dentro de la misma zona, por ejemplo, de fiable a fiable). El trfico entre diferentes zonas
(o trfico interzonas) est bloqueado hasta que cree una poltica de seguridad que permita el trfico.
Las polticas de seguridad se evalan de izquierda a derecha y de arriba abajo. Un paquete coincide con la primera
regla que cumpla los criterios definidos; despus de activar una coincidencia, las reglas posteriores no se evalan.
Por lo tanto, las reglas ms especficas deben preceder a las ms genricas para aplicar los mejores criterios de
coincidencia. El trfico que coincide con una regla genera una entrada de log al final de la sesin en el log de trfico,
si se permiten logs para esa regla. Las opciones de logs pueden configurarse para cada regla. Por ejemplo, se pueden
configurar para registrarse al inicio de una sesin en lugar o adems de registrarse al final de una sesin.
Componentes de una poltica de seguridad

La estructura de las polticas de seguridad permite una combinacin de los componentes obligatorios y
opcionales enumerados a continuacin.
34
Gua de inicio
Campos
obligatorios
Campos
opcionales
Gua de inicio
Campo
Descripcin
Nombre
Etiqueta que admite hasta 31 caracteres, utilizada para identificar la regla.
Zona de origen
Zona en la que se origina el trfico.
Zona de destino
Zona en la que termina el trfico. Si utiliza NAT, asegrese de hacer

referencia siempre a la zona posterior a NAT.
Aplicacin
La aplicacin que desea controlar. El firewall utiliza la tecnologa de

clasificacin de trfico App-ID para identificar el trfico de su red.
App-ID permite controlar las aplicaciones y ofrece visibilidad al crear
polticas de seguridad que bloquean las aplicaciones desconocidas, al
tiempo que se habilitan, inspeccionan y moldean las que estn
permitidas.
Accin
Especifica una accin de permiso o denegacin para el trfico basndose

en los criterios que defina en la regla.
Etiqueta
Palabra clave o frase que le permite filtrar las reglas de seguridad.

Esto es de utilidad cuando ha definido muchas reglas y desea revisar las
que estn etiquetadas con una palabra clave o un color especfico, por
ejemplo, Entrante en DMZ.
Descripcin
Campo de texto, de hasta 255 caracteres, utilizado para describir la regla.
Direccin de origen
Define la direccin IP o FQDN de host, la subred, los grupos

nombrados o el cumplimiento basado en el pas. Si utiliza NAT,
asegrese de hacer siempre referencia a las direcciones IP originales del
paquete (es decir, la direccin IP anterior a NAT).
Direccin de destino
Ubicacin o destino del trfico. Si utiliza NAT, asegrese de hacer

siempre referencia a las direcciones IP originales del paquete (es decir,
la direccin IP anterior a NAT).
Usuario de origen
Usuario o grupo de usuarios a los que se aplica la poltica. Debe tener

habilitado User-ID en la zona. Consulte Configuracin de
identificacin de usuarios para obtener informacin detallada.
35
Campo
Descripcin (Continuacin)
Categora de URL
El uso de la categora de URL como criterio de coincidencia le permite

personalizar perfiles de seguridad (antivirus, antispyware, proteccin
contra vulnerabilidades, bloqueo de archivos, filtrado de datos y
proteccin DoS) segn categora de URL. Por ejemplo, puede impedir
la descarga/carga de archivos ejecutables para las categoras de URL
que representen un riesgo ms alto mientras que s lo permite para
otras categoras. Esta funcin tambin le permite adjuntar
programaciones a categoras de URL especficas (permitir sitios web de
redes sociales durante el almuerzo y despus del horario laboral
habitual), marcar determinadas categoras de URL con calidad de
servicio (QoS) (financiera, mdica y empresarial) y seleccionar
diferentes perfiles de reenvo de logs segn categora de URL.
Aunque puede configurar categoras de URL manualmente en su
dispositivo, para aprovechar las actualizaciones de categorizacin de
URL dinmica disponibles en los firewalls de Palo Alto Networks,
deber adquirir una licencia de filtrado de URL.
Nota
Servicio
Le permite seleccionar un puerto de capa 4 (TCP o UDP) para la

aplicacin. Puede seleccionar cualquiera, especificar un puerto o utilizar los
valores predeterminados de la aplicacin para permitir el uso del puerto basado
en estndares de la aplicacin. Por ejemplo, en el caso de aplicaciones
con nmeros de puerto conocidos, como DNS, la opcin de valores
predeterminados de la aplicacin coincidir con el trfico DNS nicamente en
el puerto 53 de TCP. Tambin puede aadir una aplicacin personalizada
y definir los puertos que puede utilizar la aplicacin.
Nota
36
Para proporcionar nicamente un filtrado de categoras de URL

bsico, defina el valor de Categora de URL como Cualquiera y
adjunte un perfil de filtrado de URL a la poltica de seguridad.
Consulte Creacin de reglas de seguridad para obtener
informacin sobre el uso de los perfiles predeterminados de su
poltica de seguridad y consulte Control del acceso a contenido
web para obtener informacin ms detallada.
En el caso de reglas de permiso entrantes (por ejemplo, de no

fiables a fiables), el uso de los valores predeterminados de la aplicacin
evita que las aplicaciones se ejecuten en puertos y protocolos no
habituales. Los valores predeterminados de la aplicacin son la
opcin predeterminada; si bien el dispositivo sigue comprobando
todas las aplicaciones en todos los puertos, con esta configuracin,
las aplicaciones solo tienen permiso en sus puertos/protocolos
estndar.
Gua de inicio
Campos
opcionales
Campo
Descripcin (Continuacin)
Perfiles de seguridad
Proporciona una proteccin adicional frente a amenazas, vulnerabilidades

y fugas de datos. Los perfiles de seguridad nicamente se evalan en el caso
de reglas que tengan una accin de permiso. Para obtener ms informacin,
consulte Exploracin del trfico en busca de amenazas.
Perfiles HIP (para
Permite las coincidencias basndose en el estado del sistema cliente,

por ejemplo, siempre que tenga los parches y las actualizaciones de
antivirus ms recientes. Para obtener ms informacin, consulte la
seccin Uso de informacin de host en la aplicacin de poltica en la
Gua del administrador de GlobalProtect.
GlobalProtect)
Opciones
Le permite definir logs para la sesin, registrar ajustes de reenvo,

cambiar marcas de calidad de servicio (Quality of Service, QoS) de
paquetes que coincidan con la regla y planificar cundo (da y hora)
debera ser efectiva la regla de seguridad.
Prcticas recomendadas de polticas

La tarea de habilitar de forma segura el acceso a Internet y prevenir el uso indebido de los privilegios de acceso
web y la exposicin a vulnerabilidades y ataques es un proceso continuo. El principio bsico al definir una
poltica en el firewall de Palo Alto Networks es utilizar un enfoque de cumplimiento positivo, el cual permite de
manera selectiva aquello que es necesario para las operaciones comerciales cotidianas. Lo contrario sera el
cumplimiento negativo, con el que bloqueara de manera selectiva todo lo que no est permitido. Tenga en
cuenta las siguientes prcticas recomendadas al crear una poltica:
Si tiene dos o ms zonas con requisitos de seguridad idnticos, combnelas en una regla de seguridad.
El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la poltica
se evala de arriba abajo, las polticas ms especficas deben preceder a las ms generales, de modo que las
reglas ms especficas no se vean ensombrecidas. Esto quiere decir que una regla no se evala o se omite
porque se encuentra a un nivel ms bajo en la lista de polticas. Cuando la regla se sita ms abajo, no se
evala porque otra regla precedente cumple los criterios de coincidencia, impidiendo as la evaluacin de
poltica de la primera regla.
Para restringir y controlar el acceso a las aplicaciones entrantes, en la poltica de seguridad, defina
explcitamente el puerto al que escuchar el servicio/aplicacin.
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho trfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el firewall crea una entrada de log al final de una sesin. Sin embargo, puede
modificar este comportamiento predeterminado y configurar el firewall para que se registre al inicio de la
sesin. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio de la sesin
nicamente se recomienda cuando est solucionando un problema. Otra alternativa para solucionar un
problema sin habilitar el registro al inicio de la sesin es utilizar el explorador de sesin (Supervisar >
Explorador de sesin) para ver las sesiones en tiempo real.
Gua de inicio
37
Acerca de objetos de polticas

Un objeto de poltica es un objeto nico o una unidad colectiva que agrupa identidades discretas, como direcciones
IP, URL, aplicaciones o usuarios. Con objetos de polticas que sean unidades colectivas, podr hacer referencia
al objeto en la poltica de seguridad en lugar de seleccionar manualmente varios objetos de uno en uno. Por lo
general, al crear un objeto de poltica, se agrupan objetos que requieran permisos similares en una poltica. Por
ejemplo, si su organizacin utiliza un conjunto de direcciones IP de servidor para autenticar usuarios, podr
agrupar el conjunto de direcciones IP de servidor como objeto de poltica de grupo de direcciones y hacer referencia
al grupo de direcciones en la poltica de seguridad. Al agrupar objetos, podr reducir significativamente la carga
administrativa al crear polticas.
Puede crear los siguientes objetos de polticas en el firewall:
Objeto de poltica
Descripcin
Direccin/Grupo de
direcciones, Regin
Le permite agrupar direcciones de origen o destino especficas que requieren el mismo

cumplimiento de poltica. El objeto de direccin puede incluir una direccin IPv4 o
IPv6 (direccin IP simple, intervalo, subred) o FQDN. Tambin puede definir una
regin por las coordenadas de latitud y longitud o seleccionar un pas y definir la
direccin IP o el intervalo de IP. A continuacin puede agrupar un conjunto de objetos
de direccin para crear un objeto de grupo de direcciones.
Tambin puede utilizar objetos de direccin dinmica, que utilizan un comando API
XML para actualizar dinmicamente direcciones IP en entornos donde las

direcciones IP de host cambian frecuentemente. Para obtener informacin sobre
los objetos de direccin dinmica, consulte Dynamic Address Objects Tech Note (Nota
tcnica sobre objetos de direccin dinmica).
Usuario/grupo de usuarios
Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos. Para obtener informacin sobre cmo crear grupos de usuarios,
consulte la seccin ID de usuario (User-ID) de la Gua del administrador de PAN-OS.
Grupo de aplicaciones y Filtro Un Filtro de aplicacin le permite filtrar aplicaciones dinmicamente. Le permite filtrar y
de aplicacin
guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
de la aplicacin en el firewall. Por ejemplo, puede filtrar segn uno o ms atributos

(categora, subcategora, tecnologa, riesgo y caractersticas) y guardar su filtro de
aplicacin. Con un filtro de aplicacin, cuando se produce una actualizacin de
contenido de PAN-OS, las nuevas aplicaciones que coincidan con sus criterios de filtro
se aadirn automticamente a su filtro de aplicacin guardado.
Un Grupo de aplicaciones le permite crear un grupo esttico de aplicaciones especficas
que desee agrupar para un grupo de usuarios o para un servicio en concreto.
Servicio/Grupos de servicios
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar un
servicio. El firewall incluye dos servicios predefinidos (servicio-http y servicio-https) que
utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443 de TCP para HTTPS. Sin
embargo, puede crear cualquier servicio personalizado en cualquier puerto TCP/UDP de
su eleccin para restringir el uso de la aplicacin a puertos especficos de su red (dicho de
otro modo, puede definir el puerto predeterminado para la aplicacin).
Nota
Para ver los puertos estndar utilizados por una aplicacin, en Objetos >
Aplicaciones, busque la aplicacin y haga clic en el enlace. Aparecer una
descripcin concisa.
38
Gua de inicio
Algunos ejemplos de objetos de polticas de direccin y aplicacin se muestran en las polticas de seguridad incluidas
en Creacin de reglas de seguridad. Para obtener informacin sobre los otros objetos de polticas, consulte
Proteccin de su red contra amenazas y, para obtener informacin ms detallada, consulte la Gua del administrador
de PAN-OS.
Acerca de los perfiles de seguridad

Mientras que con las polticas de seguridad puede permitir o denegar el trfico en su red, los perfiles de seguridad
le ayudan a definir una regla de permiso con exploracin, que explora las aplicaciones permitidas en busca de
amenazas. Cuando el trfico coincida con la regla de permiso definida en la poltica de seguridad, los perfiles de
seguridad vinculados a la regla se aplicarn para reglas de inspeccin de contenido adicionales, como
comprobaciones antivirus y filtrado de datos.
Los perfiles de seguridad no se utilizan en los criterios de coincidencia de un flujo de
trfico. El perfil de seguridad se aplica para explorar el trfico despus de que la poltica
de seguridad permita la aplicacin o categora.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El
firewall proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para empezar a
proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener informacin sobre el
uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor las necesidades de
seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en busca de amenazas
para obtener ms informacin.
Gua de inicio
39

Las siguientes secciones proporcionan informacin sobre la configuracin de interfaces y zonas:
Planificacin de su implementacin
Planificacin de su implementacin
Antes de empezar a configurar sus interfaces y zonas, debera dedicar algo de tiempo a planificar las zonas que
necesitar basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la
informacin de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu
interfaces pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones
IP obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin
sobre cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona
Tipos de implementacin
Interfaces
Ajustes de configuracin
No fiable
L3
Ethernet1/3
Direccin IP: 208.80.56.100/24

Enrutador virtual: Predeterminado
Ruta predeterminada: 0.0.0.0/0
Siguiente salto: 208.80.56.1
Fiable
L3
Ethernet1/4
Direccin IP: 192.168.1.4/24

DMZ
L3
Ethernet1/13
Direccin IP: 10.1.1.1/24

40
Gua de inicio

Despus de planificar sus zonas y las correspondientes interfaces, podr configurarlas en el dispositivo. El modo
en que configure cada interfaz depender de la topologa de su red.
El siguiente procedimiento muestra cmo configurar una implementacin de capa 3 como se muestra en la
topologa de ejemplo anterior. Para obtener informacin sobre cmo configurar una implementacin de capa 2
o cable virtual, consulte la seccin Redes de la Gua del administrador de PAN-OS.
El firewall viene preconfigurado con una interfaz de cable virtual predeterminada entre
los puertos Ethernet 1/1 y Ethernet 1/2 (y una poltica de seguridad y un enrutador
virtual predeterminados correspondientes). Si no pretende usar el cable virtual
predeterminado, debe eliminar manualmente la configuracin y confirmar el cambio
antes de continuar para evitar que interfiera con otras configuraciones que defina.
Para obtener instrucciones sobre cmo eliminar el cable virtual predeterminado y sus
zonas y poltica de seguridad asociadas, consulte el Paso 3 en Establecimiento de un
puerto de datos para acceder a servicios externos.
Paso 1
Configure una ruta predeterminada hacia 1.

su enrutador de Internet.
Gua de inicio
Seleccione Red > Enrutador virtual y, a continuacin,

seleccione el enlace predeterminado para abrir el cuadro de
dilogo Enrutador virtual.
2.
Haga clic en Aadir y seleccione la pestaa Rutas estticas.

Haga clic en Aadir en la pestaa IPv4 o IPv6, introduzca un
Nombre para la ruta e introduzca la ruta en el campo Destino
(por ejemplo, 0.0.0.0/0).
3.
Seleccione el botn de opcin Direccin IP en el campo

Siguiente salto y, a continuacin, introduzca la direccin IP
para su puerta de enlace de Internet (por ejemplo, 208.80.56.1).
4.
Haga clic en Aceptar dos veces para guardar la configuracin de

enrutador virtual.
41
Configuracin de interfaces y zonas (Continuacin)
Paso 2
Configure la interfaz externa (la interfaz

que se conecta a Internet).
1.
Seleccione Red > Interfaces y, a continuacin, seleccione la

interfaz que desee configurar. En este ejemplo, estamos
configurando Ethernet1/3 como la interfaz externa.
2.
Seleccione el Tipo de interfaz. Aunque su decisin aqu

depende de la topologa de su red, este ejemplo muestra los
pasos para Capa3.
3.
En el men desplegable Enrutador virtual, seleccione

predeterminado.
4.
5.
En la pestaa Configurar, seleccione Nueva zona en el men

desplegable Zona de seguridad. En el cuadro de dilogo Zona,
defina un Nombre para una nueva zona, por ejemplo No fiable
y, a continuacin, haga clic en Aceptar.
Para asignar una direccin IP a la interfaz, seleccione la pestaa
IPv4 y el botn de opcin Esttico. Haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red que

deben asignarse a la interfaz, por ejemplo, 208.80.56.100/24.
6.
7.
Para que pueda hacer ping en la interfaz, seleccione Avanzada >

Otra informacin, ample el men desplegable Perfil de
gestin y seleccione Nuevo perfil de gestin. Introduzca un
Nombre para el perfil, seleccione Ping y, a continuacin, haga
clic en Aceptar.
Aceptar.
Paso 3
Configure la interfaz que se conecta a su 1.

red interna.
Nota
En este ejemplo, la interfaz se conecta a

un segmento de red que utiliza
direcciones IP privadas. Dado que las
direcciones IP privadas no se pueden
enrutar externamente, deber configurar
NAT. Consulte Configuracin de
polticas NAT.
42
Seleccione Red > Interfaces y seleccione la interfaz que desee

configurar. En este ejemplo, estamos configurando Ethernet1/4
como la interfaz interna.
2.
Seleccione Capa3 en el men desplegable Tipo de interfaz.
3.

seguridad y seleccione Nueva zona. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona, por ejemplo
Fiable y, a continuacin, haga clic en Aceptar.
4.
Seleccione el mismo enrutador virtual que utiliz en el Paso 2.
5.

IPv4 y el botn de opcin Esttico, haga clic en Aadir en la
6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de

gestin que cre en el Paso 2-6.
7.

Aceptar.
Gua de inicio
Configuracin de interfaces y zonas (Continuacin)
Paso 4
Configure la interfaz que se conecta a

DMZ.
1.
Seleccione la interfaz que desee configurar.
2.
Seleccione Capa3 en el men desplegable Tipo de interfaz. En

este ejemplo, estamos configurando Ethernet1/13 como la
interfaz de DMZ.
3.

seguridad y seleccione Nueva zona. En el cuadro de dilogo
Zona, defina un Nombre para una nueva zona, por ejemplo
DMZ y, a continuacin, haga clic en Aceptar.
4.
Seleccione el enrutador virtual que utiliz en el Paso 2, el valor

predeterminado de este ejemplo.
5.

IPv4 y el botn de opcin Esttico, haga clic en Aadir en la

6.
Para que pueda hacer ping en la interfaz, seleccione el perfil de

gestin que cre en el Paso 2-6.
7.
Para guardar la configuracin de la interfaz, haga clic en Aceptar.
Paso 5
Guarde la configuracin de la interfaz.
Paso 6
Conecte los cables del firewall.
Conecte cables directos desde las interfaces que ha configurado al

conmutador o enrutador de cada segmento de red.
Paso 7
Verifique que las interfaces estn activas.
Desde la interfaz web, seleccione Red > Interfaces y verifique que el

icono de la columna Estado de enlace es de color verde. Tambin
puede supervisar el estado de enlace desde el widget Interfaces en el
Panel.
Gua de inicio
43

Basndose en la topologa de ejemplo que utilizamos para crear las interfaces y las zonas, hay tres polticas NAT
que necesitamos crear de la manera siguiente:
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas debern traducirse a direcciones enrutables pblicamente. En este caso, configuraremos NAT de
origen, utilizando la direccin de interfaz de salida, 203.0.113.100, como la direccin de origen en todos los
paquetes que salgan del firewall desde la zona interna. Consulte Traduccin de direcciones IP de clientes
internos a su direccin IP pblica para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web pblico en la zona DMZ, necesitaremos
configurar una regla NAT que redirija el paquete desde la red externa, donde la bsqueda de tabla de enrutamiento
original determinar que debe ir, basndose en la direccin de destino de 203.0.113.11 dentro del paquete, a la
direccin real del servidor web de la red DMZ de 10.1.1.11. Para ello, deber crear una regla NAT desde la zona
fiable (donde se encuentra la direccin de origen del paquete) hasta la zona no fiable (donde se encuentra la
direccin de destino) para traducir la direccin de destino a una direccin de la zona DMZ. Este tipo de NAT de
destino se denomina NAT de ida y vuelta. Consulte Habilitacin de clientes de la red interna para acceder a sus
servidores pblicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una direccin IP privada en la red DMZ como una
direccin pblica para que accedan usuarios externos) enve y reciba solicitudes, el firewall debe traducir los
paquetes entrantes desde la direccin IP pblica hacia la direccin IP privada y los paquetes salientes desde
la direccin IP privada hacia la direccin IP pblica. En el firewall, puede conseguir esto con una nica
poltica NAT de origen esttico bidireccional. Consulte Habilitacin de la traduccin de direcciones bidireccional
para sus servidores pblicos.
44
Gua de inicio
Traduccin de direcciones IP de clientes internos a su direccin IP pblica

Cuando un cliente de su red interna enva una solicitud, la direccin de origen del paquete contiene la direccin IP del
cliente de su red interna. Si utiliza intervalos de direcciones IP privadas, los paquetes del cliente no se podrn enrutar
en Internet a menos que traduzca la direccin IP de origen de los paquetes que salen de la red a una direccin enrutable
pblicamente. En el firewall, puede realizar esta accin configurando una poltica NAT de origen que traduzca la
direccin de origen y opcionalmente el puerto a una direccin pblica. Un modo de hacerlo es traducir la direccin
de origen de todos los paquetes a la interfaz de salida de su firewall, como se muestra en el procedimiento siguiente.
Configuracin de NAT de origen
Paso 1
Cree un objeto de direccin para la

direccin IP externa que tenga la
intencin de utilizar.
1.
2.
3.
4.
Desde la interfaz web, seleccione Objetos > Direcciones y, a

Introduzca un Nombre y opcionalmente una Descripcin para
el objeto.
Seleccione Mscara de red IP en el men desplegable Tipo y, a
continuacin, introduzca la mscara de red y la direccin IP de la
interfaz externa en el firewall, 208.80.56.100/24 en este ejemplo.
Para guardar el objeto de direccin, haga clic en Aceptar.
Aunque no tiene que utilizar objetos de direccin en sus polticas, es
una prctica recomendada porque simplifica la administracin al
permitirle realizar actualizaciones en un lugar en vez de tener que
actualizar cada poltica donde se hace referencia a la direccin.
Gua de inicio
45
Configuracin de NAT de origen (Continuacin)
Paso 2
Cree la poltica NAT.

1. Seleccione Polticas > NAT y haga clic en
Aadir.
2. Introduzca un nombre para la poltica y
una descripcin opcional.
3. En la pestaa Paquete original, seleccione
la zona que cre para su red interna en la
seccin Zona de origen (haga clic en
Aadir y, a continuacin, seleccione la
zona) y la zona que cre para la red externa
en el men desplegable Zona de destino.
4. En la pestaa Paquete traducido, seleccione IP dinmica y puerto en el men desplegable Tipo de
traduccin en la seccin Traduccin de direccin de origen de la pantalla y, a continuacin, haga clic en
Aadir. Seleccione el objeto de direccin que cre en el Paso 1.
5. Haga clic en Aceptar para guardar la
poltica NAT.
Paso 3
Guarde la configuracin.
Habilitacin de clientes de la red interna para acceder a sus servidores pblicos

Cuando un usuario de la red interna enve una solicitud para acceder al servidor web corporativo en DMZ, el
servidor DNS se resolver en la direccin IP pblica. Al procesar la solicitud, el firewall utilizar el destino
original del paquete (la direccin IP pblica) y enrutar el paquete a la interfaz de salida para la zona no fiable.
Para que el firewall sepa que debe traducir la direccin IP pblica del servidor web a una direccin de la red
DMZ cuando reciba solicitudes de usuarios en la zona fiable, deber crear una regla NAT de destino que permita
al firewall enviar la solicitud a la interfaz de salida para la zona DMZ de la manera siguiente.
46
Gua de inicio
Configuracin de NAT de ida y vuelta
Paso 1
Paso 2
Cree un objeto de direccin para el

servidor web.
1.

2.

el objeto.
3.

continuacin, introduzca la mscara de red y la direccin IP
pblica del servidor web, 208.80.56.11/24 en este ejemplo.
4.

Aadir.
2. Introduzca un Nombre y una Descripcin
opcional para la regla NAT.
la zona que cre para su red interna en la
seccin Zona de origen (haga clic en
Aadir y, a continuacin, seleccione la
zona) y la zona que cre para la red externa
en el men desplegable Zona de destino.
4. En la seccin Direccin de destino, haga clic en Aadir y seleccione el objeto de direccin que cre para su
servidor web pblico.
5. En la pestaa Paquete traducido,
seleccione la casilla de verificacin
Traduccin de direccin de destino y, a
continuacin, introduzca la direccin IP

asignada a la interfaz del servidor web de la
red DMZ, 10.1.1.11 en este ejemplo.
6. Haga clic en Aceptar para guardar la
poltica NAT.
Paso 3
Habilitacin de la traduccin de direcciones bidireccional para sus

servidores pblicos
Cuando sus servidores pblicos tengan direcciones IP privadas asignadas en el segmento de red en el que se
encuentran fsicamente, necesitar una regla NAT de origen para traducir la direccin de origen del servidor a
la direccin externa en el momento de la salida. Puede realizar esta accin creando una regla NAT esttica que
indique al firewall que debe traducir la direccin de origen interna, 10.1.1.11, a la direccin del servidor web
externa, 208.80.56.11 en nuestro ejemplo. Sin embargo, en el caso de un servidor pblico, el servidor debe poder
Gua de inicio
47
enviar paquetes y recibirlos. En este caso, necesita una poltica recproca que traduzca la direccin pblica que
ser la direccin IP de destino en paquetes entrantes de usuarios de Internet a la direccin privada para permitir
que el firewall enrute correctamente el paquete a su red DMZ. En el firewall, puede realizar esta accin creando
una poltica NAT esttica bidireccional como se describe en el procedimiento siguiente.
Configuracin de NAT bidireccional
Paso 1
Cree un objeto de direccin para la

direccin IP interna del servidor web.
1.

2.

el objeto.
3.

continuacin, introduzca la mscara de red y la direccin IP del
servidor web en la red DMZ, 10.1.1.11/24 en este ejemplo.
4.
Nota
Paso 2
Si todava no ha creado un objeto de direccin para la

direccin pblica de su servidor web, tambin debera crear
ese objeto ahora.

Aadir.
2. Introduzca un Nombre descriptivo para la
regla NAT.
la zona que cre para su DMZ en la seccin
Zona de origen (haga clic en Aadir y, a
continuacin, seleccione la zona) y la zona
que cre para la red externa en el men
desplegable Zona de destino.
4. En la seccin Direccin de origen, haga clic en Aadir y seleccione el objeto de direccin que cre para su
direccin de servidor web interno.
5. En la pestaa Paquete traducido,
seleccione IP esttica en el men
desplegable Tipo de traduccin de la
seccin Traduccin de direccin de
origen y, a continuacin,seleccione el
objeto de direccin que cre para su
direccin de servidor web externo en el
men desplegable Direccin traducida.
6. En el campo Bidireccional, seleccione S.
7. Haga clic en Aceptar para guardar la poltica NAT.
Paso 3
48
Gua de inicio

Las polticas le permiten aplicar reglas y realizar acciones. Los diferentes tipos de reglas de poltica que puede crear en
el firewall son: polticas de seguridad, NAT, calidad de servicio (QoS), reenvo basado en polticas (PFB), descifrado,
cancelacin de aplicaciones, portal cautivo, denegacin de servicio y proteccin de zonas. Las diferentes polticas
funcionan conjuntamente para permitir, denegar, priorizar, reenviar, cifrar, descifrar, realizar excepciones, autenticar
el acceso y restablecer conexiones segn sea necesario para ayudar a proteger su red. Los siguientes temas describen
las polticas de seguridad bsicas y los perfiles de seguridad predeterminados:
Creacin de reglas de seguridad
Comprobacin de sus polticas de seguridad
Supervisin del trfico de su red

Esta seccin describe nicamente las polticas de seguridad. Para obtener informacin
sobre los otros tipos de polticas, consulte Proteccin de su red contra amenazas o las
siguientes secciones de la Gua del administrador de PAN-OS: Calidad de servicio (para
obtener informacin sobre polticas de QoS) y Asignacin de direcciones IP a nombres
de usuario mediante un portal cautivo (para obtener informacin sobre polticas de
portal cautivo).
Creacin de reglas de seguridad

Las polticas de seguridad hacen referencia a zonas de seguridad; gracias a ellas puede permitir, restringir y
realizar un seguimiento del trfico de su red. Como cada zona implica un nivel de fiabilidad, la regla implcita
para pasar trfico entre dos zonas diferentes es de denegacin, con lo que el trfico de dentro de una zona est
permitido. Para permitir el trfico entre dos zonas diferentes, debe crear una regla de seguridad que permita el
flujo de trfico entre ellas.
Al configurar el marco bsico para proteger el permetro empresarial, es conveniente empezar con una poltica
de seguridad sencilla que permita el trfico entre las diferentes zonas sin ser demasiado restrictiva. Como se
muestra en la seccin siguiente, nuestro objetivo es reducir al mnimo la probabilidad de interrupcin de las
aplicaciones a las que los usuarios de la red necesitan acceder, a la vez que ofrecemos visibilidad de las
aplicaciones y las posibles amenazas para su red.
Al definir polticas, asegrese de que no crea una poltica que deniegue todo el trfico de
cualquier zona de origen a cualquier zona de destino, ya que esto interrumpir el trfico
intrazona que se permite de manera implcita. De manera predeterminada, se permite el
trfico intrazona porque las zonas de origen y de destino son las mismas y, por lo tanto,
comparten el mismo nivel de fiabilidad.
Gua de inicio
49
Definicin de reglas de seguridad bsicas
Paso 1
Nota
Para habilitar de manera segura aplicaciones necesarias para

operaciones comerciales cotidianas, crearemos una regla sencilla que
permitir el acceso a Internet. Para proporcionar una proteccin
Zona: De fiable a no fiable
bsica contra amenazas, adjuntaremos los perfiles de seguridad
De manera predeterminada, el firewall
predeterminados disponibles en el firewall.
incluye una regla de seguridad denominada 1. Seleccione Polticas > Seguridad y haga clic en Aadir.
regla1 que permite todo el trfico desde la
2. Asigne a la regla un nombre descriptivo en la pestaa General.
zona fiable a la zona no fiable. Puede
eliminar la regla o modificarla para reflejar 3. En la pestaa Origen, establezca Zona de origen como Fiable.
su convencin de denominacin de zonas. 4. En la pestaa Destino, establezca Zona de destino como
No fiable.
Permita el acceso a Internet a todos los
usuarios de la red empresarial.
Nota
5.
6.
Para explorar las reglas de polticas e identificar visualmente

las zonas de cada regla, cree una etiqueta con el mismo
nombre que la zona. Por ejemplo, para codificar la zona
fiable de color verde, seleccione Objetos > Etiquetas, haga
clic en Aadir, asigne un nombre a la etiqueta Fiable y
seleccione el color verde.
En la pestaa Categora de URL/servicio, seleccione

servicio-http y servicio-https.
En la pestaa Acciones, realice estas tareas:
a. Establezca Configuracin de accin como Permitir.
b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades y para el
filtrado de URL, bajo Ajuste de perfil.
7.
50
Verifique que los logs estn habilitados al final de una sesin

bajo Opciones. nicamente se registrar el trfico que coincida
con una regla de seguridad.
Gua de inicio
Definicin de reglas de seguridad bsicas (Continuacin)
Paso 2
Nota
Permita que los usuarios de la red interna 1.

accedan a los servidores en DMZ.
2.
Asigne a la regla un nombre descriptivo en la pestaa General.
Zona: De fiable a DMZ
En la pestaa Origen, establezca Zona de origen como Fiable.
3.
Si utiliza direcciones IP para configurar el 4.

acceso a los servidores en DMZ,
5.
asegrese siempre de hacer referencia a
las direcciones IP originales del paquete
(es decir, las direcciones anteriores a
6.
NAT) y la zona posterior a NAT.
7.
Paso 3
Restrinja el acceso desde Internet a los

servidores en DMZ nicamente a
direcciones IP de servidor especficas.
Por ejemplo, puede permitir que los
usuarios accedan a los servidores de
correo web nicamente desde fuera.
Zona: De no fiable a DMZ
Gua de inicio
Haga clic en Aadir en la seccin Polticas > Seguridad.
En la pestaa Destino, establezca Zona de destino como DMZ.

En la pestaa Categora de URL/servicio, asegrese de que
Servicio se establece como Valor predeterminado de
aplicacin.
En la pestaa Acciones, establezca Configuracin de accin
como Permitir.
Deje el resto de opciones con los valores predeterminados.
Para restringir el acceso entrante a DMZ desde Internet, configure

una regla que nicamente permita el acceso a direcciones IP de
servidores especficos y en los puertos predeterminados que utilicen
las aplicaciones.
1. Haga clic en Aadir para aadir una nueva regla y asgnele un
nombre descriptivo.
2.
En la pestaa Origen, establezca Zona de origen como No fiable.
3.
En la pestaa Destino, establezca Zona de destino como DMZ.
4.
Establezca Direccin de destino como el objeto de direccin

Servidor web pblico que cre anteriormente. El objeto de
direccin de servidor web pblico hace referencia a la direccin
IP pblica (208.80.56.11/24) del servidor web accesible en DMZ.
5.
Seleccione la aplicacin de correo web en la pestaa Aplicacin.
6.
Asegrese de que Servicio se establece como Valor

predeterminado de aplicacin.
7.
Establezca Configuracin de accin como Permitir.
51
Paso 4
Permita el acceso desde DMZ a su red

interna (zona fiable). Para reducir al
mnimo los riesgos, nicamente debe
permitir el trfico entre servidores y
direcciones de destino especficos. Por
ejemplo, si tiene un servidor de aplicacin
en DMZ que necesita comunicarse con
un servidor de base de datos especfico de
su zona fiable, cree una regla para permitir
el trfico entre un origen y un destino
especficos.
1.
Haga clic en Aadir para aadir una nueva regla y asignarle un

nombre descriptivo.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como Fiable.
4.
Cree un objeto de direccin que especifique los servidores de su

zona fiable a los que se puede acceder desde DMZ.
5.
En la pestaa Destino de la regla de poltica de seguridad,

establezca Direccin de destino como el objeto Direccin que
cre anteriormente.
6.
En la pestaa Acciones, realice estas tareas:
Zona: De DMZ a fiable
a. Establezca Configuracin de accin como Permitir.

b. Adjunte los perfiles predeterminados para la proteccin
antivirus, antispyware y contra vulnerabilidades dentro de
Ajuste de perfil.
c. En la seccin Otros ajustes, seleccione la opcin Deshabilitar
inspeccin de respuesta de servidor. Este ajuste deshabilita
el anlisis antivirus y antispyware en las respuestas del lado del
servidor, con lo que reduce la carga del firewall.
52
Gua de inicio
Paso 5
Habilite los servidores de DMZ para

obtener actualizaciones y correcciones
urgentes de Internet. Por ejemplo,
digamos que desea permitir el servicio
Microsoft Update.
1.
Aada una nueva regla y asgnele una etiqueta descriptiva.
2.
Establezca Zona de origen como DMZ.
3.
Establezca Zona de destino como No fiable.
4.
Cree un grupo de aplicaciones para especificar las aplicaciones

que desee permitir. En este ejemplo, permitimos actualizaciones
de Microsoft (ms-update) y dns.
5.
Asegrese de que Servicio se establece como Valor

predeterminado de aplicacin. Esto har que el firewall
permita las aplicaciones nicamente cuando utilicen los puertos
estndar asociados a estas aplicaciones.
6.
Establezca Configuracin de accin como Permitir.
7.
Adjunte los perfiles predeterminados para la proteccin

antivirus, antispyware y contra vulnerabilidades, bajo Perfiles.
Zona: De DMZ a no fiable
Paso 6
Guarde sus polticas en la configuracin

que se est ejecutando en el dispositivo.
Comprobacin de sus polticas de seguridad

Para verificar que ha configurado sus polticas bsicas de manera eficaz, compruebe si sus polticas de seguridad
se estn evaluando y determine qu regla de seguridad se aplica a un flujo de trfico.
Gua de inicio
53
Verificacin de coincidencia de poltica con

un flujo
Para verificar la regla de poltica que coincide con

un flujo, utilice el siguiente comando de la CLI:
test security-policy-match
source <direccin_IP> destination
<direccin_IP> destination port
<nmero_de_puerto> protocol
<nmero_de_protocolo>
El resultado muestra la regla que coincide mejor
con la direccin IP de origen y destino especificada
en el comando de la CLI.
Por ejemplo, para verificar la regla de poltica que se aplicar a

un servidor en DMZ con la direccin IP 208.90.56.11 cuando
accede al servidor de actualizacin de Microsoft, deber
probar con el comando siguiente:
test security-policy-match source 208.80.56.11
destination 176.9.45.70 destination-port 80
protocol 6
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
Supervisin del trfico de su red

Ahora que tiene establecida una poltica de seguridad bsica, podr revisar las estadsticas y los datos en el
Centro de comando de aplicacin (ACC), logs de trfico y logs de amenazas para observar tendencias en su red
y as identificar dnde necesita crear polticas ms especficas.
A diferencia de los firewalls tradicionales que utilizan puertos o protocolos para identificar aplicaciones, los firewalls
de Palo Alto Networks utilizan la firma de aplicaciones (la tecnologa App-ID) para supervisar aplicaciones. La firma
de aplicaciones se basa en propiedades de aplicaciones exclusivas y caractersticas de transacciones relacionadas junto
con el puerto o protocolo. Por lo tanto, aunque el trfico utilice el puerto/protocolo correcto, el firewall puede denegar
el acceso al contenido porque la firma de aplicacin no coincide. Esta funcin le permite habilitar aplicaciones de
manera segura permitiendo partes de la aplicacin al mismo tiempo que bloquea o controla funciones dentro de la
misma aplicacin. Por ejemplo, si permite la aplicacin de exploracin web, un usuario podr acceder a contenido de
Internet. As, si un usuario entra en Facebook y luego juega al Scrabble en Facebook, el firewall identificar los
cambios de aplicacin y reconocer Facebook como una aplicacin y Scrabble como una aplicacin de Facebook. Por lo
tanto, si crea una regla especfica que bloquee las aplicaciones de Facebook, se denegar el acceso a Scrabble para el
usuario aunque todava podr acceder a Facebook.
54
Gua de inicio
Para supervisar el trfico de su red:
En el ACC, revise las aplicaciones ms utilizadas y las aplicaciones de alto riesgo en su red. El ACC resume
grficamente la informacin de logs para resaltar las aplicaciones que cruzan la red, quin las est utilizando
(con el ID de usuario habilitado) y el posible impacto en la seguridad del contenido para ayudarle a identificar
qu sucede en la red en tiempo real. A continuacin, podr utilizar esta informacin para crear polticas de
seguridad adecuadas que bloqueen las aplicaciones no deseadas y que permitan y habiliten aplicaciones de
manera segura.
Determine qu actualizaciones/modificaciones son necesarias para sus reglas de seguridad de red e

implemente los cambios. Por ejemplo:
Evale si desea permitir contenido basndose en la programacin, los usuarios o los grupos.
Permita o controle determinadas aplicaciones o funciones dentro de una aplicacin.
Descifre e inspeccione contenido.
Permita con exploracin en busca de amenazas y explotaciones.

Para obtener informacin sobre cmo ajustar sus polticas de seguridad y para adjuntar perfiles de
seguridad personalizados, consulte Proteccin de su red contra amenazas.
Visualice los logs de trfico y amenazas en Supervisar > Logs.

Los logs de trfico dependen del modo en que sus polticas de seguridad estn definidas
y configuradas para registrar el trfico. Sin embargo, la pestaa ACC registra aplicaciones
y estadsticas independientemente de la configuracin de las polticas; muestra todo el
trfico que se permite en su red, por lo que incluye el trfico entre zonas que permite la
poltica y el trfico de la misma zona que se permite implcitamente.
Revise los logs de filtrado de URL para examinar alertas y categoras/URL denegadas. Para generar un log
de URL, debe tener un perfil de URL adjuntado a la regla de seguridad y la accin debe establecerse como
alertar, continuar, cancelar o bloquear.
Gua de inicio
55
56
Gua de inicio
Proteccin de su red contra amenazas

El firewall de nueva generacin de Palo Alto Networks tiene funciones exclusivas de prevencin de amenazas
que le permiten proteger su red de ataques frente a tcnicas de evasin, tunelizacin o elusin. Las funciones de
prevencin de amenazas del firewall incluyen el servicio WildFire, los perfiles de seguridad que admiten las
funciones Antivirus, Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y
Filtrado de datos y las funciones Denegacin de servicio (DoS) y Proteccin de zona.
Antes de que pueda aplicar funciones de prevencin de amenazas, primero debe
configurar zonas (para identificar una o ms interfaces de origen o destino) y polticas de
seguridad. Para configurar interfaces, zonas y las polticas necesarias para aplicar
funciones de prevencin de amenazas, consulte Configuracin de interfaces y zonas y
Configuracin de polticas de seguridad bsicas.
Para empezar a proteger su red ante amenazas, comience por aqu:
Habilitacin de WildFire
Exploracin del trfico en busca de amenazas
Control del acceso a contenido web
Gua de inicio
57
El servicio WildFire se incluye como parte del producto bsico. El servicio WildFire permite que el firewall
reenve archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier
actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan
automticamente firmas de software malintencionado que estarn disponibles en las descargas diarias del
antivirus en un plazo de 24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones
de firmas de antivirus que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
Capacidad para cargar archivos usando la API de WildFire
Capacidad para reenviar archivos a un dispositivo WF-500 WildFire privado

Aunque la capacidad de configurar un perfil de bloqueo de archivos para reenviar archivos Portable
Executable (PE) a la nube de WildFire para su anlisis es gratuita, para reenviar archivos a un dispositivo
WildFire privado se requiere una suscripcin a WildFire.
Paso 1
Paso 2
Confirme que su dispositivo est

registrado y que tiene una cuenta vlida
de asistencia tcnica, as como las
suscripciones que requiera.
Establezca las opciones de reenvo de

WildFire.
1.
Vaya al sitio de asistencia tcnica de Palo Alto Networks, inicie

sesin y seleccione Mis dispositivos.
2.
Verifique que el firewall se incluye en la lista. Si no aparece,

consulte Registro en Palo Alto Networks.
3.
(Opcional) Activacin de licencias.
1.
Seleccione Dispositivo > Configuracin > WildFire.
2.
Haga clic en el icono Editar de la seccin Configuracin general.
3.
(Opcional) Especifique el servidor de WildFire al que reenviar

archivos. De forma predeterminada, el firewall reenviar los
archivos a la nube pblica de WildFire alojada en EE. UU. Para
reenviar archivos a una nube de WildFire diferente, introduzca
un nuevo valor de la manera siguiente:
Para reenviar a una nube privada de WildFire, introduzca la
direccin IP o el nombre de dominio completo (FQDN) de
su dispositivo WF-500 WildFire.
Nota
58
Si no tiene una suscripcin a WildFire,

nicamente podr reenviar archivos
ejecutables.
Para reenviar archivos a la nube pblica de WildFire que se

ejecuta en Japn, introduzca
wildfire.paloaltonetworks.jp.
4.
(Opcional) Si desea cambiar el tamao de archivo mximo que

el firewall puede reenviar para un tipo de archivo especfico,
modifique el valor en el campo correspondiente.
5.
Haga clic en ACEPTAR para guardar los cambios.
Gua de inicio
Habilitacin de WildFire (Continuacin)
Paso 3
Paso 4
Configure un perfil de bloqueo de

archivos para reenviar archivos a
WildFire.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de

archivos y haga clic en Aadir.
2.
Introduzca un nombre y, opcionalmente, una descripcin para

el perfil.
3.
Haga clic en Aadir para crear una regla de reenvo e introduzca

un nombre.
4.
En la columna Accin, seleccione Reenviar.
5.
Deje los otros campos establecidos como Cualquiera para reenviar

cualquier tipo de archivo compatible desde cualquier aplicacin.
6.
Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder a Internet.
Seleccione Polticas > Seguridad y bien seleccione una poltica

existente o cree una nueva poltica segn se describe en
Creacin de reglas de seguridad.
2.
Haga clic en la pestaa Acciones dentro de la poltica de seguridad.
3.
En la seccin de configuracin de perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que
cre para el reenvo de WildFire. (Si no ve ningn men
desplegable en el que seleccionar un perfil, seleccione Perfiles
en el men desplegable Tipo de perfil.
Paso 5
Paso 6
Verifique que el firewall est reenviando

archivos a WildFire.
1.
Seleccione Supervisar > Logs > Filtrado de datos.
2.
Compruebe en la columna Accin las siguientes acciones:

Reenviar: Indica que el perfil de bloqueo de archivos
adjuntado a la poltica de seguridad reenvi el archivo de
forma correcta.
Wildfire-upload-success: Indica que el archivo se ha
enviado a WildFire. Esto significa que el archivo no est
firmado por un firmante de archivo fiable y que WildFire no
lo ha analizado anteriormente.
Wildfire-upload-skip: Indica que el archivo se identific
como apto para enviarse a WildFire por un perfil de bloqueo
de archivos o una poltica de seguridad, pero que no fue
necesario que WildFire lo analizase porque ya se haba
analizado previamente. En este caso, la accin mostrar
reenviar aparecer en el registro de filtrado de datos porque
era una accin de reenvo vlida, pero que no se envi y
analiz en WildFire porque el archivo ya se envi a la nube de
WildFire desde otra sesin, posiblemente desde otro firewall.
3.
Consulte los registros de WildFire seleccionando Supervisar >

Logs > Envos de WildFire. Si aparecen nuevos logs de
WildFire, se debe a que el firewall est reenviando
correctamente los archivos a WildFire y a que WildFire est
devolviendo los resultados del anlisis de archivos.
Para obtener ms informacin sobre WildFire, consulte la Gua del administrador de Palo Alto Networks WildFire.
Gua de inicio
59

Los perfiles de seguridad proporcionan proteccin ante amenazas en polticas de seguridad. Por ejemplo, puede
aplicar un perfil de antivirus a una poltica de seguridad y todo el trfico que coincida con las polticas de
seguridad se analizar para buscar virus.
Las siguientes secciones indican los pasos necesarios para establecer una configuracin de prevencin de
amenazas bsica:
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades
Configuracin de bloqueo de archivos
Configuracin de antivirus, antispyware y proteccin contra vulnerabilidades

Cada firewall de prxima generacin de Palo Alto Networks incluye perfiles predeterminados de antivirus,
antispyware y proteccin contra vulnerabilidades que puede adjuntar a polticas de seguridad.
Como prctica recomendada, adjunte los perfiles predeterminados a sus polticas de acceso
web bsicas para garantizar que el trfico que entre en su red est libre de amenazas.
A medida que supervisa el trfico de su red y ampla su base de reglas de polticas, puede disear perfiles ms
detallados que cubran sus necesidades de seguridad especficas. Todas las firmas antispyware y de proteccin
contra vulnerabilidades tienen una accin predeterminada definida por Palo Alto Networks. Puede ver la accin
predeterminada accediendo a Objetos > Perfiles de seguridad > Antispyware u Objetos > Perfiles de seguridad >
Proteccin contra vulnerabilidades y, a continuacin, seleccionando un perfil. Haga clic en la pestaa Excepciones
y despus en Mostrar todas las firmas; ver una lista de las firmas con la accin predeterminada en la columna
Accin. Para cambiar la accin predeterminada, debe crear un nuevo perfil y despus crear reglas con una accin
no predeterminada o aadir excepciones de firma individuales en la pestaa Excepciones del perfil.
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades
Paso 1
Compruebe que tiene una licencia de

prevencin de amenazas.
La licencia de prevencin de amenazas rene en una licencia las

funciones de antivirus, antispyware y proteccin contra
vulnerabilidades.
Seleccione Dispositivo > Licencias para comprobar que la licencia
de prevencin de amenazas est instalada y es vlida (compruebe
la fecha de vencimiento).
Paso 2
60
Descargue las firmas de amenazas de

antivirus ms recientes.
1.
Seleccione Dispositivo > Actualizaciones dinmicas y haga clic

en Comprobar ahora en la parte inferior de la pgina para
recuperar las firmas ms recientes.
2.
En la columna Acciones, haga clic en Descargar para instalar las

firmas ms recientes de antivirus y de aplicaciones y amenazas.
Gua de inicio
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades (Continuacin)
Paso 3
Programe actualizaciones de firmas.
1.
Desde Dispositivo > Actualizaciones dinmicas, haga clic en el

texto que hay a la derecha de Programacin para recuperar
automticamente las actualizaciones de firmas de Antivirus y
Aplicaciones y amenazas.
2.
Especifique la frecuencia y sincronizacin de las actualizaciones

y si la actualizacin se descargar e instalar o nicamente se
descargar. Si selecciona nicamente descargar, tendr que
entrar manualmente y hacer clic en el enlace Instalar de la
columna Accin para instalar la firma. Cuando hace clic en
ACEPTAR, se programa la actualizacin. No es necesario realizar
una compilacin.
3.
(Opcional) Tambin puede introducir un nmero de horas en el

campo Umbral para indicar el tiempo mnimo que debe tener
una firma antes de realizar la descarga. Por ejemplo, si introduce
10, la firma debe tener al menos 10 horas de antigedad antes de
poder descargarla, independientemente de la programacin.
4.
En una configuracin de HA, tambin puede hacer clic en la

opcin Sincronizar en el peer para sincronizar la actualizacin
de contenido con el peer de HA tras la descarga/instalacin.
Esto no har que se apliquen los ajustes de programacin al
dispositivo del peer, sino que tendr que configurar la
programacin en cada dispositivo.
Prctica recomendada para actualizaciones:

Realice una descarga e instalacin diariamente
para recibir actualizaciones de antivirus y
semanalmente para recibir actualizaciones de
aplicaciones y amenazas.
Recomendaciones para configuraciones de HA:
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Gua de inicio
61
Configuracin de antivirus/antispyware/proteccin contra vulnerabilidades (Continuacin)
Paso 4
Paso 5
Aada los perfiles de seguridad a una

poltica de seguridad.
1.
Seleccione Polticas > Seguridad, seleccione la poltica deseada

para modificarla y, a continuacin, haga clic en la pestaa
Acciones.
2.
En Ajuste de perfil, haga clic en el men desplegable junto a

cada perfil de seguridad que desea activar. En este ejemplo
seleccionamos el valor predeterminado de Antivirus,
Proteccin contra vulnerabilidades y Antispyware.
(Si no ve mens desplegables donde seleccionar perfiles,
seleccione Perfiles en el men desplegable Tipo de perfil.)

Los perfiles de bloqueo de archivos le permiten identificar tipos de archivos especficos que desee bloquear o
supervisar. El siguiente flujo de trabajo muestra cmo configurar un perfil de bloqueo de archivos bsico que
impide que los usuarios descarguen archivos ejecutables de Internet.
Paso 1
62
Cree el perfil de bloqueo de archivos.
1.
Seleccione Objetos > Perfiles de seguridad > Bloqueo de

archivos y haga clic en Aadir.
2.
Introduzca un nombre para el perfil de bloqueo de archivos, por

ejemplo, Bloquear_EXE. Opcionalmente, introduzca una
descripcin, como Bloquear la descarga de archivos exe desde sitios web
por parte de usuarios.
Gua de inicio
Configuracin de bloqueo de archivos (Continuacin)
Paso 2
Configure las opciones de bloqueo de

archivos.
1.
Haga clic en Aadir para definir estos ajustes de perfil.
2.
Introduzca un nombre, como BloquearEXE.
3.
Establezca las aplicaciones a las que desee aplicar el bloqueo de

archivos o djelas establecidas como cualquiera.
4.
Establezca los tipos de archivos que se bloquearn. Por

ejemplo, para bloquear la descarga de archivos ejecutables,
debera seleccionar exe.
5.
Especifique la direccin en la que bloquear la descarga de

archivos, la carga de archivos o ambas.
6.
Establezca la accin como una de las siguientes:

Continuar: Los usuarios debern hacer clic en Continuar
para seguir con la descarga/carga. Debe habilitar pginas de
respuesta en las interfaces asociadas si tiene la intencin de
utilizar esta opcin.
Bloquear: Los archivos que coincidan con los criterios
seleccionados tendrn su descarga/carga bloqueada.
Alertar: Los archivos que coincidan con los criterios
seleccionados estarn permitidos, pero generarn una
entrada de log en el log de filtrado de datos.
7.
Paso 3
Adjunte el perfil de bloqueo de archivos a 1.

las polticas de seguridad que permiten
acceder al contenido.
Gua de inicio

Seleccione Polticas > Seguridad y bien seleccione una poltica
existente o cree una nueva poltica segn se describe en
Creacin de reglas de seguridad.
2.
Haga clic en la pestaa Acciones dentro de la poltica de

seguridad.
3.
En la seccin de configuracin del perfil, haga clic en el men

desplegable y seleccione el perfil de bloqueo de archivos que
cre. (Si no ve mens desplegables donde seleccionar perfiles,
seleccione Perfiles en el men desplegable Tipo de perfil).
63
Configuracin de bloqueo de archivos (Continuacin)
Paso 4
Paso 5
Habilite pginas de respuesta en el perfil 1.

de gestin para cada interfaz en la que est
adjuntando un perfil de bloqueo de
archivos con una accin Continuar.
2.
Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.
Seleccione Pginas de respuesta, as como cualquier otro
servicio de gestin necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.
5.
En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuracin de la

interfaz.
Para comprobar la configuracin de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del
firewall y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una pgina
de respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones, como
nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una pgina
que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de Bloqueo
de archivos:
Ejemplo: Pgina de respuesta de bloqueo de archivos predeterminada
64
Gua de inicio

El filtrado de URL proporciona visibilidad y control sobre el trfico web de su red. Con el filtrado de URL
habilitado, el firewall puede categorizar el trfico web en una o ms categoras (de aproximadamente 60).
A continuacin, puede crear polticas que especifiquen si se permite, bloquea o crea un log (alerta) para el trfico
basndose en la categora a la que pertenece. El siguiente flujo de trabajo muestra cmo habilitar PAN-DB para
el filtrado de URL, crear perfiles de seguridad y adjuntarlos a polticas de seguridad para aplicar una poltica de
filtrado de URL bsica.
Configuracin de filtrado de URL
Paso 1
Paso 2
Confirme la informacin de la licencia

para el filtrado de URL.
Descargue la base de datos de envos y

active la licencia.
1.
Obtenga e instale una licencia de filtrado de URL. Consulte

Activacin de licencias para obtener informacin detallada.
2.
Seleccione Dispositivo > Licencias y compruebe que la licencia

de filtrado de URL es vlida.
1.
Para descargar la base de datos de envos, haga clic en

Descargar junto a Descargar estado en la seccin Filtrado de
URL de PAN-DB de la pgina Licencias.

2.
Seleccione una regin (Norteamrica, Europa, APAC, Japn) y,

a continuacin, haga clic en Aceptar para iniciar la descarga.
3.
Cuando finalice la descarga, haga clic en Activar.
Cree un perfil de filtrado de URL.
1.
Seleccione Objetos > Perfiles de seguridad > Filtrado de URL.
Prctica recomendada para nuevos perfiles:
2.
Seleccione el perfil predeterminado y, a continuacin, haga clic

en Duplicar. El nuevo perfil se denominar predeterminado-1.
Paso 3
Dado que el perfil de filtrado de URL predeterminado

3.
bloquea el contenido de riesgo y propenso a las
amenazas, duplique este perfil cuando cree un nuevo
perfil para conservar la configuracin
predeterminada.
Gua de inicio
Seleccione el nuevo perfil y cmbiele el nombre.
65
Configuracin de filtrado de URL (Continuacin)
Paso 4
Defina cmo controlar el acceso al

contenido web.
1.
Si no est seguro de qu trfico desea

controlar, considere configurar las
categoras (excepto las bloqueadas de
forma predeterminada) para que alerten.
A continuacin puede utilizar las
herramientas de visibilidad en el firewall,
como el Centro de comando de aplicacin
(ACC) y Appscope, para determinar qu
categoras web restringir a grupos
especficos o bloquear por completo.
A continuacin, puede volver y modificar
el perfil para bloquear y permitir
categoras del modo deseado.
En cada categora para la que quiera visibilidad o que quiera

controlar, seleccione un valor en la columna Accin de la
siguiente forma:
Si no se preocupa por el trfico a una categora concreta (es decir,
que no quiere bloquear ni registrar), seleccione Permitir.
Para obtener visibilidad sobre el trfico a sitios de una
categora, seleccione Alertar
Para evitar el acceso a trfico que coincida con la poltica
asociada, seleccione Bloquear (esto tambin genera una
entrada de log).
Tambin puede definir sitios web especficos

que deben permitirse siempre o bloquearse
siempre independientemente de la categora
y habilitar la opcin de bsqueda segura para
filtrar los resultados de bsqueda al definir el
perfil de filtrado de URL.
Para obtener ms detalles, consulte
Filtrado de URL en la Gua del
administrador de PAN-OS.
Paso 5
Adjunte el perfil de filtro de URL a una

2.
Haga clic en Aceptar para guardar el perfil de filtro de URL.
1.
Seleccione Polticas > Seguridad.
2.
Seleccione la poltica deseada para modificarla y despus haga

clic en la pestaa Acciones.
3.
Si es la primera vez que define un perfil de seguridad, seleccione

Perfiles en el men desplegable Tipo de perfil.
66
4.
En la lista de configuracin de perfiles, seleccione el perfil que

acaba de crear en el men desplegable Filtrado de URL. (Si no
ve mens desplegables para seleccionar perfiles, seleccione
Perfiles en el men desplegable Tipo de perfil).
5.
6.
Compile la configuracin.
Gua de inicio
Configuracin de filtrado de URL (Continuacin)
Paso 6
Habilite pginas de respuesta en el perfil 1.

de gestin en cada interfaz en la que filtre
trfico web.
Seleccione Red > Perfiles de red > Gestin de interfaz y, a

continuacin, seleccione un perfil de interfaz para editarlo o
haga clic en Aadir para crear un nuevo perfil.
2.
Seleccione Pginas de respuesta, as como cualquier otro

servicio de gestin necesario en la interfaz.
3.
Haga clic en Aceptar para guardar el perfil de gestin de

interfaz.
4.
Seleccione Red > Interfaces y seleccione la interfaz a la que se

adjuntar el perfil.
5.
En la pestaa Avanzada > Otra informacin, seleccione el perfil

de gestin de interfaz que acaba de crear.
6.
Haga clic en Aceptar para guardar la configuracin de la

interfaz.
Paso 7
Paso 8
Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la poltica de
seguridad y trate de acceder a un sitio de una categora bloqueada. Debe ver una pgina de respuesta de filtrado
de URL que indica que la pgina se ha bloqueado:
Cmo obtener ms informacin

Para obtener ms detalles, consulte Filtrado de URL en la Gua del administrador de PAN-OS. Si desea
informacin sobre el filtrado de URL usando BrightCloud, consulte URL Categorization Components and
Process Tech Note (Nota tcnica sobre componentes y procesos de categorizacin de URL).
Para filtrar o buscar amenazas en el trfico cifrado, como SSL y SSH, debe configurar una poltica de descifrado,
consulte Descifrado en la Gua del administrador de PAN-OS para obtener ms informacin.
Si desea ms informacin sobre las amenazas y aplicaciones que pueden identificar los productos de Palo Alto
Networks, visite los siguientes enlaces:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
Gua de inicio
67
68
Gua de inicio
Configuracin de identificacin de
usuarios
La identificacin de usuarios (User-ID) es una funcin de firewall de prxima generacin de Palo Alto Networks
que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de direcciones IP
individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y ofrecen
instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:
Descripcin general de identificacin de usuarios
Activacin de la identificacin de usuarios
Habilitacin de poltica basada en usuarios y grupos
Verificacin de la configuracin del ID de usuario (User-ID)
Gua de inicio
69
Configuracin de identificacin de usuarios

User-ID integra sin problemas los firewalls de Palo Alto Networks con una gama de ofertas de servicios de
directorio y terminal empresariales, lo que le permite vincular polticas de seguridad y actividad de aplicaciones
a usuarios y grupos y no solo direcciones IP. El firewall de prxima generacin de Palo Alto Networks admite
los siguientes servicios empresariales:
Microsoft Active Directory
LDAP
eDirectory Novell
Citrix Metaframe Presentation Server o XenApp
Microsoft Terminal Services
Para poder crear polticas basadas en usuarios y grupos, el firewall debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de asignacin de grupos conectndose directamente a su servidor de
directorio LDAP. Consulte Acerca de la asignacin de grupos para obtener ms informacin.
Para poder aplicar las polticas basadas en usuarios y grupos, el firewall debe poder asignar las direcciones IP de
los paquetes que recibe a nombres de usuarios. Obtiene esta informacin de asignacin de usuarios
(directamente o a travs de un agente de User-ID instalado en un servidor de Windows) supervisando logs de
eventos de controlador de dominio o Microsoft Exchange Server en busca de eventos de inicio de sesin,
supervisando Novell eDirectory en busca de informacin de inicio de sesin o sondeando directamente los
sistemas cliente. Consulte Acerca de la asignacin de usuarios para obtener ms informacin.
Acerca de la asignacin de grupos

Para definir las polticas de seguridad basndose en usuarios o grupos, el firewall debe recuperar la lista de
grupos y la correspondiente lista de miembros de su servidor de directorio. Para habilitar esta funcin, debe
crear un perfil de servidor LDAP que indique al firewall cmo conectarse al servidor y autenticarlo, as como el
modo de buscar en el directorio la informacin de usuarios y grupos. Tras conectarse correctamente al servidor
LDAP y configurar la funcin de asignacin de grupos para la identificacin de usuarios, podr seleccionar
usuarios o grupos al definir sus polticas de seguridad. El firewall admite una variedad de servidores de directorio
LDAP, incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server.
70
Gua de inicio
Acerca de la asignacin de usuarios

Contar con los nombres de los usuarios y grupos es nicamente una pieza del puzzle. El firewall tambin
necesita saber qu direcciones IP asignar a qu usuarios de modo que las polticas de seguridad puedan aplicarse
correctamente. Para realizar esta asignacin de usuarios, debe configurar un agente de User-ID (instalando el
software del agente en un servidor de Windows en el dominio o habilitando el agente nativo en el firewall) para
obtener las asignaciones utilizando uno o ms de los siguientes mtodos:
Supervise los logs de eventos de seguridad de sus Microsoft Exchange Servers, controladores de dominio o
servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno AD, el
agente supervisar los logs de seguridad en busca de renovaciones o concesiones de tickets de Kerberos,
acceso al servidor Exchange (si est configurado) y conexiones de servicio de impresin y archivo (en el caso
de servidores supervisados). Recuerde que para que estos eventos se registren en el log de seguridad, el
dominio AD debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Consulte
Configuracin de la asignacin de usuarios para obtener informacin detallada.
En un entorno de Microsoft Windows, el agente se puede configurar para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI) o NetBIOS (no compatible en el agente de ID de
usuario o User-ID integrado de PAN-OS). Si el sondeo est habilitado, el agente sondear peridicamente
cada direccin IP obtenida (cada 20 minutos de manera predeterminada, pero esto puede configurarse) para
verificar que el mismo usuario sigue conectado. Adems, cuando el firewall se encuentre una direccin IP
para la que no tenga una asignacin de usuarios, enviar la direccin al agente para un sondeo inmediato.
Consulte Configuracin de la asignacin de usuarios para obtener informacin detallada.
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe
instalar el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal
Windows/Citrix para que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos
de usuario. En servidores de terminal que no admiten al agente de servicios de terminal, como los servidores
de terminal de Linux, puede utilizar la API XML para enviar informacin de asignacin de usuario desde el
inicio de sesin y eventos de inicio de sesin al User-ID o ID de usuario. Consulte Configuracin de la
asignacin de usuarios para usuarios del servidor de terminal en la Gua del administrador de PAN-OS para
obtener informacin sobre la configuracin.
En entornos con servicios de red existentes que autentican usuarios -como controladores inalmbricos,
dispositivos 802.1x, servidores de Apple Open Directory, servidores proxy u otros mecanismos de control
de acceso a redes (NAC)- el agente de ID de usuario (User-ID) del firewall (el agente de Windows o el agente
integrado de PAN-OS en el firewall) puede detectar ahora los mensajes de Syslog de autenticacin desde
estos servicios. Los filtros de Syslog, proporcionados por una actualizacin de contenido (solo agente de ID
o User-ID integrado) o configurados manualmente, permiten al agente de ID de usuario analizar y extraer
nombres de usuario y direcciones IP desde los eventos de Syslog de autenticacin generados por el servicio
externo y agregar la informacin a la direccin IP del ID de usuario para las asignaciones de nombre de
usuario mantenidas por el firewall. Consulte Configuracin del ID de usuario (User-ID) para recibir
asignaciones de usuario desde un emisor de Syslog en la Gua del administrador de PAN-OS para obtener
informacin de configuracin.
Gua de inicio
71
En el caso de usuarios mviles o con itinerancia, el cliente GlobalProtect proporciona la informacin de

asignacin de usuarios directamente al firewall. Para obtener informacin sobre cmo configurar
GlobalProtect, consulte la Gua del administrador de GlobalProtect.
Si el firewall o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el usuario no
ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con sus servidores
de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web (HTTP o
HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de manera
transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa redirigiendo
al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de autenticacin
RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Para otros tipos de acceso de usuario que no se pueden asignar con mtodos de asignacin de usuarios
estndar o de portal cautivo (por ejemplo), aada asignaciones de usuarios conectados desde una solucin
VPN externa o usuarios conectados a una red inalmbrica con 802.1x. Consulte la Gua de uso de la API
Rest basada en XML de PAN-OS.
El siguiente diagrama muestra los diferentes mtodos que se utilizan para identificar a usuarios y grupos en su red:
72
Gua de inicio

Para habilitar la aplicacin de polticas basndose en usuarios o grupos, deber realizar las siguientes tareas:
Asignacin de usuarios a grupos
Asignacin de direcciones IP a usuarios

Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el firewall recupere
informacin de asignacin de usuario a grupo:
Gua de inicio
73
Paso 1
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que
utilice el firewall para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una
nueva entrada de servidor LDAP y, a
continuacin, introduzca un nombre de
Servidor para identificar al servidor (de 1
a 31 caracteres) y el nmero de Direccin
IP y Puerto que debera utilizar el firewall para conectarse al servidor LDAP (valor predeterminado=389 para
LDAP; 636 para LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos
los servidores que aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como
mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor
que introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN
(por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios
dominios, deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo,
si ha personalizado su esquema, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN correspondiente al punto del rbol de LDAP en el que desee que el
firewall comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el firewall se comunique con los servidores LDAP a travs de una conexin segura, seleccione la casilla
de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
74
Gua de inicio
Asignacin de usuarios a grupos (Continuacin)
Paso 2
Aada el perfil de servidor LDAP a la configuracin de asignacin de grupos de User-ID.

1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de asignacin de
grupo y haga clic en Aadir.
2. Seleccione el perfil de servidor creado en

el Paso 1.
3. Asegrese de que la casilla de verificacin
Habilitado est seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la poltica de seguridad,
seleccione la pestaa Lista de inclusin de
grupos y, a continuacin, examine el rbol de
LDAP para localizar los grupos que desea
poder utilizar en la poltica. En el caso de cada
grupo que desee incluir, seleccinelo en la lista
Grupos disponibles y haga clic en el icono de
adicin para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus polticas.
5. Haga clic en ACEPTAR para guardar la configuracin.
Paso 3
Asignacin de direcciones IP a usuarios

Las tareas que necesita realizar para asignar direcciones IP a nombres de usuario dependen del tipo y la ubicacin
de los sistemas cliente de su red. Realice todas las tareas siguientes que sean necesarias para habilitar la asignacin
de sus sistemas cliente:
Para asignar clientes que hayan iniciado sesin en sus servidores Exchange supervisados, controladores de
dominio o servidores eDirectory o clientes Windows que puedan sondearse directamente, consulte
Configuracin de la asignacin de usuarios.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server o Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal en la Gua del administrador de PAN-OS para obtener informacin sobre
configuracin.
En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
Rest basada en XML para aadir asignaciones de usuarios directamente al firewall. Consulte Gua de uso
de la API Rest basada en XML de PAN-OS para obtener instrucciones.
Gua de inicio
75
Configuracin de la asignacin de usuarios

En la mayora de los casos, la gran parte de los usuarios de su red tendrn inicios de sesin en sus servicios de
dominio supervisados. Para estos usuarios, el agente de User-ID de Palo Alto Networks realizar la asignacin
de direccin IP a usuario. El modo en que configure el agente de User-ID depender del tamao de su entorno
y la ubicacin de sus servidores de directorio.
Se recomienda situar sus agentes de ID de usuario (User-ID) en sus servidores
supervisados o cerca de ellos. Esto se debe a que la mayor parte del trfico para la
asignacin de usuarios se produce entre el agente y el servidor supervisado, y nicamente
una pequea cantidad del trfico (la diferencia de asignaciones de direcciones IP desde la
ltima actualizacin) se produce desde el agente al firewall.
Sin embargo, en entornos ms pequeos (aunque esto variar dependiendo de la implementacin, como regla general
debera utilizar los agentes incluidos en el dispositivo en los entornos en los que vaya a supervisar diez o menos
servidores de directorio), puede utilizar el agente incluido en el dispositivo que se encuentra en el firewall sin necesidad
de instalar software de agente separado en sus servidores de red. Adems, si est utilizando el agente incluido en el
dispositivo, podr configurarlo para redistribuir informacin de asignacin de usuarios a otros firewalls.
Para obtener informacin sobre los requisitos del sistema necesarios para instalar el agente de ID de
usuario (User-ID) basado en Windows, consulte las Notas de la versin del ID de usuario (User-ID),
disponibles en la pgina de actualizaciones de software de Palo Alto Networks.
El procedimiento siguiente muestra cmo configurar el agente de ID de usuario (User-ID) integrado en

PAN-OS del firewall para supervisar los controladores de dominio de Active Directory. Para obtener
instrucciones sobre cmo instalar y configurar el agente del ID de usuario (User-ID) basado en Windows,
consulte Configuracin de la asignacin de usuarios mediante el agente de User-ID (ID de usuario) de
Windows en la Gua del administrador de PAN-OS.
Asignacin de direcciones IP a usuarios mediante el agente de ID de usuario (User-ID) integrado en PAN-OS
Paso 1
Cree una cuenta de Active Directory para Servidores de dominio Windows 2008 o posteriores: Aada la
cuenta al grupo Lectores de log de evento. Si est utilizando el
el agente de firewall que tenga los niveles
agente de User-ID incluido en el dispositivo, la cuenta tambin
de privilegios necesarios para iniciar
debe ser miembro del grupo Usuarios COM distribuidos.
sesin en cada servicio o host que tenga
la intencin de supervisar para recopilar Servidores de dominio Windows 2003: Asigne permisos
datos de asignacin de usuarios.
Gestionar logs de seguridad y auditora a travs de polticas de grupo.
Sondeo de WMI: Asegrese de que la cuenta tiene los derechos
necesarios para leer el espacio de nombres CIMV2; de manera
predeterminada, las cuentas de administrador de dominio tienen
este permiso.
Autenticacin de NTLM: Como el firewall debe unirse al
dominio si est utilizando la autenticacin de NTLM con un agente
de ID de usuario (User-ID) incluido en el dispositivo, la cuenta de
Windows que cree para el acceso a NTLM deber tener privilegios
administrativos. Tenga en cuenta que, debido a las restricciones de
AD sobre los sistemas virtuales que se ejecutan en el mismo host,
si ha configurado varios sistemas virtuales, nicamente vsys1 podr
unirse al dominio.
76
Gua de inicio
Paso 2
1.
Defina los servidores que debera
supervisar el firewall para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
Recuerde que para recopilar todas las
4.
asignaciones necesarias, deber conectarse
5.
a todos los servidores en los que sus
usuarios inician sesin para que el firewall
6.
pueda supervisar los archivos de log de
seguridad en todos los servidores que
contengan eventos de inicio de sesin.
Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario.
En la seccin Supervisor del servidor de la pantalla, haga clic
en Aadir.
Introduzca un Nombre y una Direccin de red para el servidor.
La direccin de red puede ser un nombre de dominio completo
o una direccin IP.
Seleccione el Tipo de servidor.
Asegrese de que la casilla de verificacin Habilitado est
seleccionada y, a continuacin, haga clic en Aceptar.
(Opcional) Para permitir que el firewall detecte automticamente
controladores de dominio en su red mediante bsquedas de DNS,
haga clic en Descubrir.
Nota
7.
La funcin de deteccin automtica es nicamente para

controladores de dominio; deber aadir manualmente los
servidores Exchange o eDirectory que desee supervisar.
(Opcional) Para ajustar la frecuencia con la que el firewall

sondea servidores configurados para obtener informacin de
asignacin, en la seccin Configuracin del agente de ID de
usuario de Palo Alto Networks de la pantalla, haga clic en el
icono Editar
y, a continuacin, seleccione la pestaa
Supervisor del servidor. Modifique el valor del campo
Frecuencia del supervisor de log del servidor (seg.).
Debe aumentar el valor en el campo Frecuencia de supervisin
de log de servidor (seg.) en 5 segundos en entornos con DC de
mayor antigedad o enlaces de alta latencia.
8.
Gua de inicio
Haga clic en ACEPTAR para guardar los cambios.
77
Paso 3
Establezca las credenciales de dominio de 1.

la cuenta que utilizar el firewall para
acceder a recursos de Windows. Esto es 2.
necesario para supervisar servidores
Exchange y controladores de dominio, as
como para el sondeo de WMI.
Paso 4
(Optativo) Habilitar sondeo de WMI.
Nota
El agente incluido en el dispositivo no

admite el sondeo de NetBIOS;
nicamente se admite en el agente de
User-ID basado en Windows.
Paso 5
Paso 6
Nota
sondear los clientes y supervisar los servidores. Introduzca el

nombre de usuario mediante la sintaxis de dominio/nombre de
usuario.
En la pestaa Prueba de cliente, seleccione la casilla de

verificacin Habilitar pruebas.
2.
(Opcional) Si es necesario, modifique el valor de Intervalo de

sondeo para garantizar que sea lo suficientemente largo para
que se sondeen todas las direcciones IP obtenidas.
3.
Asegrese de que el firewall de Windows permitir el sondeo de

cliente aadiendo una excepcin de administracin remota al
firewall de Windows para cada cliente sondeado.
1.
Haga clic en Aceptar para guardar los ajustes de configuracin

de agente de User-ID.
2.
Haga clic en Confirmar para guardar la configuracin.
(Opcional) Defina el conjunto de usuarios 1.

para los que no necesite proporcionar
2.
asignaciones de direccin IP a nombre de
usuario, como cuentas de servicio o
cuentas de kiosco.
Tambin puede utilizar la lista ignorar
usuario para identificar a usuarios que
desee obligar a autenticar mediante un
portal cautivo.
Verifique la configuracin.
En la pestaa Autenticacin de WMI, introduzca el Nombre de

usuario y la Contrasea de la cuenta que se utilizar para
1.
Abra una sesin de CLI al firewall.

Para aadir la lista de cuentas de usuario para las que no desea que
el firewall realice la asignacin, ejecute el comando siguiente:
set user-id-collector ignore-user <value>
Donde <value> es una lista de las cuentas de usuario que hay que
ignorar; no hay ningn lmite en el nmero de cuentas que puede
aadir a la lista. Separe las entradas con un espacio y no incluya el
nombre de dominio con el nombre de usuario. Por ejemplo:
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
3.
Paso 7
Haga clic en el icono

Editar de la seccin Configuracin del
agente de ID de usuario de Palo Alto Networks de la pantalla.
1.
Desde la CLI, introduzca el siguiente comando:

show user server-monitor state all
2.
78
En la pestaa Dispositivo > Identificacin de usuarios >

Asignacin de usuario de la interfaz web, verifique que el
estado de cada servidor que ha configurado para la supervisin
de servidor es Conectado.
Gua de inicio
Asignacin de direcciones IP a nombres de usuario mediante un portal cautivo

Si el firewall recibe una solicitud de una zona que tiene habilitado identificacin de usuarios (User-ID) y la
direccin IP de origen no tiene datos de usuario asociados con la misma todava, comprobar su poltica de
portal cautivo en busca de una coincidencia para determinar si se realizar la autenticacin. Esto es de utilidad
en entornos donde tenga clientes que no hayan iniciado sesin en sus servidores de dominio, como clientes
Linux. Este mtodo de asignacin de usuarios nicamente se activa para el trfico web (HTTP o HTTPS) que
coincida con una poltica/regla de seguridad, pero que no se haya asignado utilizando un mtodo diferente.
Mtodos de autenticacin de portal cautivo

El portal cautivo utiliza los siguientes mtodos para obtener datos de usuario del cliente cuando una solicitud
coincide con una poltica de portal cautivo:
Mtodo de autenticacin
Descripcin
Autenticacin de NTLM
El firewall utiliza un mecanismo de respuesta por desafo cifrado para obtener las
credenciales del usuario desde el explorador. Si se configura correctamente, el
explorador proporcionar las credenciales al firewall de manera transparente sin
preguntar al usuario, pero mostrar un mensaje solicitando las credenciales si es
necesario. Si el explorador no puede realizar la autenticacin NTLM o esta falla, el
firewall retroceder a una autenticacin con formato web o certificado de cliente,
dependiendo de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows.
Formato web
Las solicitudes se redirigen a un formato web para su autenticacin. Puede

configurar un portal cautivo para que utilice una base de datos de usuario local,
RADIUS, LDAP o Kerberos para autenticar usuarios. Aunque siempre se
solicitarn las credenciales a los usuarios, este mtodo de autenticacin funciona
con todos los exploradores y sistemas operativos.
Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al
usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el firewall. Este es el nico mtodo de autenticacin que habilita
una autenticacin transparente para clientes de Mac OS y Linux.
Gua de inicio
79
Modos de portal cautivo

El modo de portal cautivo define cmo se capturan las solicitudes para su autenticacin:
Modo
Descripcin
Transparente
El firewall intercepta el trfico del explorador mediante la regla de portal cautivo y

representa la URL de destino original, emitiendo un HTTP 401 para invocar la
autenticacin. Sin embargo, como el firewall no tiene el certificado real para la URL
de destino, el explorador mostrar un error de certificado a los usuarios que
intenten acceder a un sitio seguro. Por lo tanto, nicamente debera utilizar este
modo cuando sea absolutamente necesario, como en implementaciones de capa 2
o cable virtual (Virtual Wire).
Redirigir
El firewall intercepta sesiones de HTTP o HTTPS desconocidas y las redirige a una

interfaz de capa 3 en el firewall utilizando una redireccin HTTP 302 para realizar la
autenticacin. Este es el modo preferido porque proporciona una mejor experiencia
de usuario final (sin errores de certificado). Sin embargo, requiere una configuracin
de capa 3 adicional. Otra ventaja del modo Redirigir es que permite el uso de cookies
de sesin, que permiten que el usuario siga explorando sitios autenticados sin tener
que volver a asignar cada vez que venza el tiempo. Esto es de especial utilidad para los
usuarios que se desplazan de una direccin IP a otra (por ejemplo, de la LAN
corporativa a la red inalmbrica) porque no tendrn que volver a autenticar al cambiar
de direccin IP siempre que la sesin permanezca abierta. Adems, si tiene la
intencin de utilizar la autenticacin de NTLM, deber utilizar el modo Redirigir
porque el explorador nicamente proporcionar credenciales a sitios fiables.
Configuracin de portal cautivo

El siguiente procedimiento muestra cmo configurar un portal cautivo utilizando el agente de User-ID incluido
en el dispositivo para redirigir solicitudes que coincidan con una poltica de portal cautivo a una interfaz de capa
3 en el firewall. Para obtener instrucciones sobre cmo configurar el portal cautivo usando el agente basado en
Windows, consulte Configuracin de la asignacin de usuarios mediante el agente de User-ID (ID de usuario)
de Windows en la Gua del administrador de PAN-OS.
Si tiene la intencin de utilizar un portal cautivo sin utilizar las otras funciones de User-ID (asignacin
de usuarios y grupos), no necesita configurar un agente.
Configuracin de un portal cautivo mediante el agente de ID de usuario (User-ID) integrado de PAN-OS
En esta versin del producto, el firewall debe ser capaz de

comunicarse con los servidores a travs de la interfaz de gestin,
as que debe asegurarse de que la red en la que se encuentran sus
servidores de directorio es accesible desde esta interfaz. Si esta
configuracin no funciona en su entorno, deber configurar el portal
cautivo utilizando el agente de User-ID basado en Windows.
Paso 1
Asegrese de que el firewall tiene una

ruta hacia los servidores que supervisar
para recopilar datos de usuario (por
ejemplo, sus controladores de dominio y
sus servidores Exchange).
Paso 2
Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el
para resolver sus direcciones de
FQDN del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com
80
Gua de inicio
Paso 3
(nicamente en el modo Redirigir) Cree

una interfaz de capa 3 a la que redirigir
solicitudes de portal cautivo.
1.
Cree un perfil de gestin para habilitar la interfaz para que

muestre pginas de respuesta de portal cautivo:
a. Seleccione Red > Perfiles de red > Gestin de interfaz y
haga clic en Aadir.
b. Introduzca un nombre para el perfil, seleccione Pginas de
respuesta y, a continuacin, haga clic en Aceptar.
Paso 4
Nota
(nicamente en el modo Redirigir) Para

redirigir usuarios de forma transparente
sin mostrar errores de certificado, instale
un certificado que coincida con la
direccin IP de la interfaz a la que est
redirigiendo solicitudes. Puede generar un
certificado autofirmado o importar un
certificado firmado por una CA externa.
2.
Cree la interfaz de capa 3. Consulte Configuracin de interfaces

y zonas para obtener instrucciones. Asegrese de adjuntar el perfil
de gestin que cre en el Paso 1 (en la pestaa Avanzada > Otra
informacin del cuadro de dilogo Interfaz Ethernet).
3.
Cree un registro DNS A que asigne la direccin IP que

configur en la interfaz de capa 3 a un nombre de host de
intranet (es decir, un nombre de host que no tiene ningn punto
en el nombre, como ntlmhost).
Para utilizar un certificado autofirmado, primero deber crear un

certificado de CA raz y, a continuacin, utilizar esa CA para firmar el
certificado que utilizar para el portal cautivo de la manera siguiente:
1. Para crear un certificado de CA raz, seleccione Dispositivo >
Gestin de certificados > Certificados > Certificados de
dispositivos y, a continuacin, haga clic en Generar. Introduzca
un nombre de certificado, como RootCA. No seleccione
ningn valor en el campo Firmado por (esto es lo que indica que
Al configurar un portal cautivo por

primera vez, puede que los certificados
importados no funcionen. Si tiene la
intencin de utilizar un certificado
2.
importado, complete la configuracin
inicial sin especificar un Certificado de
servidor. Despus de poner en
funcionamiento el portal cautivo, podr
volver y cambiar al certificado importado.
3.
Gua de inicio
est autofirmado). Asegrese de seleccionar la casilla de

verificacin Autoridad del certificado y, a continuacin, haga
clic en Aceptar para generar el certificado.
Para crear el certificado que se utilizar para el portal cautivo,
haga clic en Generar. Introduzca un nombre de certificado e
introduzca el nombre de DNS del host de intranet para la
interfaz como el nombre comn. En el campo Firmado por,
seleccione la CA que cre en el paso anterior. Aada un atributo
de direccin IP y especifique la direccin IP de la interfaz de
capa 3 a la que redirigir las solicitudes. Haga clic en Aceptar
para generar el certificado.
Para configurar clientes para que confen en el certificado,

seleccione el certificado de CA en la pestaa Certificados de
dispositivos y haga clic en Exportar. A continuacin deber
importar el certificado como una CA raz de confianza en todos
los exploradores de cliente, ya sea configurando manualmente el
explorador o aadiendo el certificado a las races de confianza
en un objeto de directiva de grupo (GPO) de Active Directory.
81
Paso 5
Configure un mecanismo de autenticacin 1.

para utilizarlo cuando se invoque el formato
web. Tenga en cuenta que aunque tenga la
intencin de utilizar NTLM, tambin
deber configurar un mecanismo de autenticacin secundario que pueda utilizarse si
falla la autenticacin de NTLM o si el agente
de usuario no la admite.
Prcticas recomendadas:
Si utiliza RADIUS para autenticar a
usuarios desde el formato web,
asegrese de introducir un dominio
de RADIUS. Esto se utilizar como
el dominio predeterminado si los
2.
usuarios no proporcionan uno al
iniciar sesin.
Si utiliza AD para autenticar a usuarios
desde el formato web, asegrese de
introducir sAMAccountName como
LogonAttribute.
82
Configure el firewall para conectarse al servicio de autenticacin

que tiene intencin de utilizar para que pueda acceder a las
credenciales de autenticacin.
Si tiene la intencin de autenticar mediante LDAP, Kerberos
o RADIUS, deber crear un perfil de servidor que indique al
firewall cmo conectarse al servidor y acceder a las
credenciales de autenticacin de sus usuarios. Seleccione
Dispositivo > Perfiles de servidor y aada un nuevo perfil
para el servicio especfico al que acceder.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, primero deber crear la base de datos local.
Seleccione Dispositivo > Base de datos de usuario local y
aada los usuarios y grupos que se autenticarn.
Cree un perfil de autenticacin que haga referencia al perfil de
servidor o base de datos de usuario local que acaba de crear.
Seleccione Dispositivo > Perfil de autenticacin y aada un
nuevo perfil para utilizarlo con el portal cautivo.
Gua de inicio
Paso 6
Nota
(Opcional) Configure la autenticacin de 1.

certificado de cliente. Tenga en cuenta
que no necesita configurar tanto un perfil 2.
de autenticacin como un perfil de
3.
certificado de cliente para habilitar el
portal cautivo. Si configura los dos, el
usuario deber autenticar utilizando los
dos mtodos.
Para obtener ms informacin sobre
otros campos de perfil de certificados,
como si se debe utilizar CRL o OCSP,
haga clic en el icono de ayuda de la pgina
de interfaz web Dispositivo > Gestin de
certificados > Perfil del certificado.
Genere certificados para cada usuario que vaya a autenticar

mediante el portal cautivo.
Descargue el certificado de CA en el formato Base64.
Importe el certificado de CA raz desde la CA que gener los
certificados de cliente al firewall:
a. Seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Desplcese hasta el archivo del certificado que descarg de
la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
4.
Cree el perfil de certificado de cliente que utilizar cuando

configure el portal cautivo.
a. Seleccione Dispositivo > Certificados > Gestin de
certificados > Perfil del certificado y haga clic en Aadir e
introduzca un nombre de perfil.
b. En el men desplegable Campo de nombre de usuario,
seleccione el campo de certificado que contenga la
informacin de la identidad del usuario.
c. En el campo Certificados de CA, haga clic en Aadir,
seleccione el certificado de CA raz de confianza que import
en el Paso 3 y, a continuacin, haga clic en Aceptar.
1.
Paso 7
Habilite la autenticacin de NTLM.
Nota
Al utilizar el agente de identificacin de

usuarios incluido en el dispositivo, el firewall
debe poder resolver correctamente el
2.
nombre de DNS de su controlador de
dominio para que el firewall se una al
dominio. Las credenciales que proporcione 3.
aqu se utilizarn para unir el firewall al
dominio tras la correcta resolucin de DNS.
4.
Gua de inicio
Seleccione Dispositivo > Identificacin de usuarios >

Asignacin de usuario y haga clic en el icono Editar
de la
seccin Configuracin del agente de ID de usuario de Palo
Alto Networks de la pantalla.
En la pestaa NTLM, seleccione la casilla de verificacin Habilitar
procesamiento de autenticacin de NTLM.
Introduzca el dominio de NTLM con el que el agente de User-ID
del firewall debera comprobar las credenciales de NTLM.
Introduzca el nombre de usuario y la contrasea de la cuenta de
Active Directory que cre en el Paso 1 de Asignacin de usuarios
a grupos para la autenticacin de NTLM.
83
Paso 8
Configure los ajustes del portal cautivo.

1. Seleccione Dispositivo > Identificacin de
usuarios > Configuracin de portal cautivo
y haga clic en el icono Editar

Portal cautivo de la pantalla.
de la seccin
2. Asegrese de que la casilla de verificacin

Habilitado est seleccionada.
3. Establezca el Modo. Este ejemplo muestra
cmo configurar el modo Redirigir.
4. (nicamente en el modo Redirigir)
Seleccione el Certificado de servidor que
el firewall debera utilizar para redirigir
solicitudes a travs de SSL. Este es el
certificado que cre en el Paso 4.
5. (nicamente en el modo Redirigir) Especifique el valor de Redirigir host, que es el nombre de host de
intranet que resuelve a la direccin IP de la interfaz de capa 3 a la que est redirigiendo solicitudes, segn lo
especificado en el Paso 3.
6. (nicamente en el modo Redirigir) Habilite las cookies de la sesin, mediante el campo Tiempo de espera,
para especificar el nmero de minutos que la cookie de la sesin es vlida y seleccione Movilidad para
conservar la cookie si la direccin IP cambia mientras la sesin est activa.
7. Seleccione el mtodo de autenticacin que deber utilizarse si falla NTLM (o si no est utilizando NTLM):
Si est utilizando la autenticacin de LDAP, Kerberos, RADIUS o base de datos local, seleccione el perfil
de autenticacin que cre en el Paso 5.
Si est utilizando la autenticacin de certificado de cliente, seleccione el perfil del certificado que cre en
el Paso 6.
8. Haga clic en Aceptar para guardar la configuracin.
9. Haga clic en Confirmar para guardar la configuracin de portal cautivo.
84
Gua de inicio

Para habilitar una poltica de seguridad basada en usuarios y/o grupos, debe habilitar User-ID para cada zona que
contenga usuarios que desee identificar. A continuacin, podr definir polticas que permitan o denieguen el trfico
basndose en el nombre de usuario o la pertenencia a un grupo. Adems, puede crear polticas de portal cautivo
para habilitar la identificacin de direcciones IP que todava no tienen datos de usuario asociados a las mismas.
Paso 1
Habilite User-ID en las zonas de origen que contengan los usuarios que enviarn solicitudes que requieran
controles de acceso basados en usuarios.
1. Seleccione Red > Zonas.
2. Haga clic en el Nombre de la zona en
la que desee habilitar User-ID para abrir
el cuadro de dilogo Zona.
3. Seleccione la casilla de verificacin
Habilitacin de la identificacin de
usuarios y, a continuacin, haga clic en
Aceptar.
Paso 2
Cree polticas de seguridad basadas en

usuarios y/o grupos.
1.
Despus de configurar User-ID, podr seleccionar un nombre

de usuario o grupo al definir el origen o el destino de una regla
de seguridad:
a. Seleccione Polticas > Seguridad y haga clic en Aadir para
crear una nueva poltica o haga clic en un nombre de regla de
poltica existente para abrir el cuadro de dilogo Regla de
Cree una poltica basada en un grupo en

lugar de un usuario siempre que sea
posible. Esto evitar que tenga que
actualizar continuamente sus polticas (lo
que necesita que realice una compilacin)
cada vez que su base de usuario cambie.
b. Especifique qu usuarios o grupos coinciden con la poltica

de una de las siguientes formas:
Si desea especificar determinados usuarios/grupos como
criterios de coincidencia, seleccione la pestaa Usuario y
haga clic en el botn Aadir de la seccin Usuario de
origen del cuadro de dilogo para mostrar una lista de
usuarios y grupos descubiertos por la funcin de asignacin
de grupos de firewalls. Seleccione los usuarios y/o grupos
que deben aadirse a la poltica.
Si quiere que la poltica coincida con cualquier usuario que
haya autenticado o no con xito y no necesita conocer el
nombre de grupo o usuario especfico, seleccione usuario
conocido o desconocido en la lista desplegable que aparece
anteriormente sobre la lista Usuario de origen.
2.
Gua de inicio
Configure el resto de la poltica segn sea adecuado y, a

continuacin, haga clic en Aceptar para guardarla. Para obtener
informacin detallada sobre otros campos de la poltica de
seguridad, consulte Configuracin de polticas de seguridad
bsicas.
85
Habilitacin de poltica basada en usuarios y grupos (Continuacin)
Paso 3
Cree sus polticas de portal cautivo.

1. Seleccione Polticas > Portal cautivo.
2. Haga clic en Aadir e introduzca un Nombre para la poltica.
3. Defina los criterios de coincidencia para la regla cumplimentando las pestaas Origen, Destino y Categora
de URL/servicio segn sea adecuado para que coincidan con el trfico que desee autenticar. Los criterios de
coincidencia de estas pestaas son los mismos que los criterios que defini al crear una poltica de seguridad.
Consulte Configuracin de polticas de seguridad bsicas para obtener informacin detallada.
4. Defina la Accin que se debe realizar en el trfico que coincida con la regla. Puede elegir entre lo siguiente:
portal no cautivo: Permite el paso del trfico sin abrir una pgina de portal cautivo para su autenticacin.
formato web: Abre una pgina de portal cautivo en la que el usuario debe introducir explcitamente las
credenciales de autenticacin o utilizar la autenticacin de certificado de cliente.
reto de explorador: Abre una solicitud de autenticacin de NTLM en el explorador web del usuario.
El explorador web responder utilizando las credenciales de inicio de sesin actuales del usuario. Si las
credenciales de inicio de sesin no estn disponibles, se pedir al usuario que las proporcione.
El ejemplo siguiente muestra una poltica de portal cautivo que indica al firewall que debe abrir un formato web
para autenticar a usuarios desconocidos que enven solicitudes de HTTP desde la zona fiable a la zona no fiable.
Paso 4
86
Guarde sus ajustes de poltica.
Gua de inicio

Despus de configurar la identificacin de usuarios y habilitar User-ID en sus polticas de seguridad y polticas
de portal cautivo, debera verificar que funciona correctamente.
Verificacin de la configuracin de la identificacin de usuarios
Paso 1
Paso 2
Verifique que la asignacin de grupos

funciona.
admin@PA-200>show user group-mapping statistics
Desde la CLI, introduzca el siguiente comando:
Verifique que la asignacin de usuarios

funciona.
Si est utilizando el agente de User-ID incluido en el dispositivo,

podr verificarlo desde la CLI utilizando el siguiente comando:
admin@PA-200>show user ip-user-mapping-mp all
IP
Vsys From
User
Timeout (sec)
-------------------------------------------------------------192.168.201.1
vsys1 UIA
acme\louis
210
192.168.201.11 vsys1 UIA
acme\eileen
210
192.168.201.50 vsys1 UIA
acme\kimberly
210
192.168.201.10 vsys1 UIA
acme\administrator
210
192.168.201.100 vsys1 AD
acme\administrator
748
Total: 5 users
*: WMI probe succeeded
Paso 3
Compruebe su poltica de seguridad.
Desde una mquina en la zona donde est habilitado User-ID,

intente acceder a sitios y aplicaciones para comprobar las reglas
que ha definido en su poltica y asegrese de que el trfico se
permite y deniega del modo esperado.
Tambin puede utilizar el comando test
security-policy-match para determinar si la poltica se
ha configurado correctamente. Por ejemplo, supongamos que tiene
una regla que bloquea al usuario duane y le impide jugar a World
of Warcraft. Podra comprobar la poltica del modo siguiente:
test security-policy-match application worldofwarcraft
source-user acme\svogt source any destination any
destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
Gua de inicio
87
Verificacin de la configuracin de la identificacin de usuarios (Continuacin)
Paso 4
Compruebe su configuracin de portal

cautivo.
1.
Desde la misma zona, vaya a una mquina que no sea miembro

de su directorio, como un sistema Mac OS, e intente hacer ping
a un sistema externo a la zona. El ping debera funcionar sin
requerir autenticacin.
2.
Desde la misma mquina, abra un navegador y desplcese hasta

un sitio web en una zona de destino que coincida con una
poltica de portal cautivo que haya definido. Debera ver el
formato web de portal cautivo.
3.
Inicie sesin utilizando las credenciales correctas y confirme que

se le ha redirigido a la pgina solicitada.
4.
Tambin puede comprobar su poltica de portal

cautivo utilizando el comando test
cp-policy-match de la manera siguiente:
test cp-policy-match from corporate to internet source
192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
Paso 5
88
Compruebe que los nombres de usuario aparecen en los archivos de log (Supervisar > Logs).
Gua de inicio
Verificacin de la configuracin de la identificacin de usuarios (Continuacin)
Paso 6
Compruebe que los nombres de usuario aparecen en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debera poder ver una lista de los usuarios que intentaron acceder
a las aplicaciones como en el ejemplo siguiente.
Gua de inicio
89
90
Gua de inicio
Configuracin de alta disponibilidad

La alta disponibilidad (HA) es una configuracin en la que dos firewalls se colocan en un grupo para prevenir el
fallo de un nico punto en su red. La configuracin de los firewalls en un clster de dos dispositivos proporciona
redundancia y le permite garantizar la continuidad empresarial. Esta seccin cubre los siguientes temas:
Descripcin general de la alta disponibilidad
Requisitos para la HA activa/pasiva
Directrices de configuracin
Configuracin de un par activo/pasivo
Definicin de las condiciones de conmutacin por error
Verificacin de conmutacin por error
Gua de inicio
91

En firewalls de Palo Alto Networks, puede configurar dos dispositivos como un par de HA. La HA le permite
reducir al mnimo la inactividad al garantizar que haya un dispositivo alternativo disponible en el caso de que
falle el dispositivo principal. Los dispositivos utilizan puertos de HA especficos o internos en el firewall para
sincronizar datos (configuraciones de red, objeto y poltica) y mantener informacin de estado. Los dispositivos
no comparten informacin de la configuracin especfica de los dispositivos, como la direccin IP del puerto
de gestin o perfiles de administrador, la configuracin especfica de HA, datos de log y el Centro de comando
de aplicacin (ACC). Para obtener una vista consolidada de aplicaciones y logs a travs del par de HA deber
utilizar Panorama, el sistema de gestin centralizado de Palo Alto Networks.
Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Las condiciones que activan una conmutacin por
error son las siguientes:
Falla una o ms de las interfaces supervisadas. (Supervisin de enlaces)
No se puede llegar a uno o ms de los destinos especificados en el dispositivo. (Supervisin de rutas)
El dispositivo no responde a sondeos de heartbeat. (Sondeos de heartbeat)
Modos de HA
Puede configurar los firewalls para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo para
pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce un
fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control sin
problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es compatible
con las implementaciones de cable virtual, capa 2 y capa 3. Para obtener informacin sobre cmo establecer
una configuracin activa/pasiva en sus dispositivos, consulte Configuracin de un par activo/pasivo.
Los firewalls de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de sesiones y,
por lo tanto, HA Lite no ofrece una conmutacin por error con estado.
Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan sincronizadamente
para gestionar la configuracin y la propiedad de la sesin. La implementacin activa/activa es compatible con las
implementaciones de cable virtual y capa 3 y nicamente se recomienda para redes con enrutamiento asimtrico.
Para obtener informacin sobre el establecimiento de una configuracin activa/activa en los dispositivos, consulte
Active/Active High Availability Tech Note (Nota tcnica sobre alta disponibilidad activa/activa).
92
Gua de inicio
Enlaces de HA y enlaces de copia de seguridad

Los dispositivos de un par de HA utilizan enlaces de HA para sincronizar datos y mantener informacin de
estado. Algunos modelos del firewall tienen puertos de HA especficos, como enlace de control (HA1) y enlace
de datos (HA2), mientras que otros requieren que utilice los puertos internos como enlaces de HA.
En dispositivos con puertos de HA especficos (HA1 y HA2), como los firewalls de las series PA-3000, PA-4000,
PA-5000 y PA-7050, los puertos de HA especficos permiten una conexin directa entre el plano de gestin y
el plano de datos de los dos dispositivos de HA. Utilice estos puertos especficos para gestionar la comunicacin
y la sincronizacin entre los dispositivos. Para dispositivos sin puertos de HA especficos, como los firewalls de
las series PA-200, PA-500 y PA-2000, utilice el puerto de gestin para el enlace de HA1 para permitir una
conexin directa entre los planos de gestin entre los dispositivos y un puerto interno para el enlace de HA2.
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como para la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto en claro;
puerto 28 para una comunicacin cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Nota: Las implementaciones activas/activas tambin utilizan un enlace de HA3 para el reenvo de paquetes.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los
enlaces de HA principales.
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados.
El enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (utiliza el puerto 28771 en
la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad de HA1 o HA1.
Gua de inicio
93
Prioridad y preferencia de dispositivos

A los dispositivos de un par de HA se les puede asignar un valor de prioridad de dispositivo para indicar una
preferencia por el dispositivo que debera asumir el papel activo y gestionar el trfico. Si necesita utilizar un
dispositivo especfico del par de HA para proteger de manera activa el trfico, debe habilitar el comportamiento
de preferencia en ambos firewalls y asignar un valor de prioridad de dispositivo para cada dispositivo. El
dispositivo con el valor numrico ms bajo y, por lo tanto, mayor prioridad, se designar como activo y gestionar
todo el trfico de la red. El otro dispositivo estar en un estado pasivo y sincronizar informacin de
configuracin y estado con el dispositivo activo, de manera que est listo para pasar al estado activo en el caso
de producirse un fallo.
De manera predeterminada, la preferencia est deshabilitada en los firewalls y debe habilitarse en ambos
dispositivos. Cuando se habilita, el comportamiento de preferencia permite que el firewall con la mayor prioridad
(valor numrico ms bajo) vuelva a estar activo cuando se recupere de un fallo. Cuando se produce una
preferencia, el evento se registra en los logs del sistema.
Activadores de conmutacin por error

Cuando se produce un fallo en el dispositivo activo y el dispositivo pasivo toma el control de la tarea de proteger
el trfico, el evento se denomina una conmutacin por error. Una conmutacin por error se activa cuando falla
una mtrica supervisada en el dispositivo activo. Las mtricas que se supervisan para detectar un fallo de
dispositivo son las siguientes:
Mensajes de saludo y sondeos de heartbeat: Los firewalls utilizan mensajes de saludo y heartbeats para
verificar que el dispositivo peer responde y est operativo. Los mensajes de saludo se envan desde un peer
al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping
ICMP para el peer de HA a travs del enlace de control y el peer responde al ping para establecer que los
dispositivos estn conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de
1.000 milisegundos. Para obtener informacin detallada sobre los temporizadores de HA que activan una
conmutacin por error, consulte Temporizadores de HA.
Supervisin de enlaces: Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y
se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o ms
interfaces fsicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo.
El comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el
dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisin de rutas: Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia.
Los pings ICMP se utilizan para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para
pings es de 200 ms. Se considera que no se puede llegar a una direccin IP cuando fallan 10 pings consecutivos
(el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna o todas las
direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las direcciones IP a las
que no se pueda llegar har que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de
un objeto supervisado.
Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
94
Gua de inicio
En los firewalls de las series PA-3000, PA-5000 y PA-7050 se puede producir una conmutacin por error si falla
una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para verificar
el estado operativo de todos los componentes del firewall.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de firewall y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles siguientes: Recomendada, Agresivo y Avanzado. Estos perfiles introducen automticamente los
valores de temporizador de HA ptimos para la plataforma de firewall especfica con el fin de habilitar una
implementacin de HA ms rpida.
Utilice el perfil Recomendada para establecer una configuracin de temporizador de conmutacin por error
tpica y el perfil Agresivo para establecer una configuracin de temporizador de conmutacin por error ms
rpida. El perfil Avanzado le permite personalizar los valores de temporizador para que se adapten a sus
requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales en
los diferentes modelos de hardware diferentes; estos valores se proporcionan nicamente como referencia de la
versin actual y pueden cambiar en una versin posterior.
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
Valores recomendados/agresivos actuales por plataforma
0/0
0/0
0/0
Tiempo de espera
para ser preferente
1/1
Tiempo que esperar un
dispositivo pasivo o secundario
activo antes de tomar el
control como dispositivo
activo o principal activo.
1/1
1/1
Intervalo de
heartbeat
Frecuencia con la que los peers 1000/1000

de HA intercambian mensajes
de heartbeat con el formato de
un ping ICMP.
2000/1000
2000/1000
Intervalo durante el cual el

Tiempo de espera
ascendente tras fallo firewall permanecer activo
tras un fallo de supervisor de
de supervisor
ruta o supervisor de enlace.
Se recomienda este ajuste para
evitar una conmutacin por
error de HA debido a los flaps
ocasionales de los dispositivos
vecinos.
Gua de inicio
95
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
2000/500
Tiempo de espera de Tiempo que esperar el
promocin
dispositivo pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) antes de tomar el
control como dispositivo activo
o principal activo despus de
perder las comunicaciones con
el peer de HA. Este tiempo de
espera nicamente comenzar
despus de que se realice una
declaracin de fallo de peer.
2000/500
2000/500
Tiempo de espera
Este intervalo de tiempo se aplica 500/500
ascendente principal al mismo evento que Tiempo de
adicional
espera ascendente tras fallo de
supervisor (rango: 0-60.000 ms;
valor predeterminado: 500 ms).
El intervalo de tiempo adicional
nicamente se aplica al
dispositivo activo en el modo
activo/pasivo y al dispositivo
principal activo en el modo
activo/activo. Se recomienda este
temporizador para evitar una
conmutacin por error cuando
ambos dispositivos experimentan
el mismo fallo de supervisor de
enlace/ruta simultneamente.
500/500
7000/5000
8000/8000
8000/8000
Intervalo de saludo
96
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que las
prestaciones de HA del otro
firewall estn operativas. El
rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
8000/8000
Gua de inicio
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
3/3
N. mximo de flaps Se cuenta un flap cuando el
firewall deja el estado activo
antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo. Este
valor indica el nmero mximo
de flaps permitidos antes de
que se determine suspender el
firewall y que el firewall pasivo
tome el control (rango: 0-16;
valor predeterminado: 3).
Gua de inicio
3/3
No aplicable
97

Para configurar la alta disponibilidad en sus firewalls de Palo Alto Networks, necesitar un par de firewalls que
cumplan los siguientes requisitos:
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina virtual.
La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).
El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.
Determine la direccin IP de la conexin de HA1 (control) entre el par de dispositivos. La direccin IP

de HA1 de ambos peers debe estar en la misma subred si estn conectados directamente o si estn
conectados al mismo conmutador.
En el caso de dispositivos sin puertos de HA especficos, puede utilizar el puerto de gestin para la
conexin de control. Al utilizar el puerto de gestin obtiene un enlace de comunicacin directa entre
los planos de gestin de ambos dispositivos. Sin embargo, dado que los puertos de gestin no tienen
cables directos entre los dispositivos, asegrese de que tiene una ruta que conecte estas dos interfaces
a travs de su red.
Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del firewall.
Utilice un cable cruzado para conectar los puertos de HA si los dispositivos estn conectados
directamente. Si la conexin se establece mediante un conmutador o un enrutador, utilice un cable directo.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si los
dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un firewall existente y desea aadir un nuevo firewall destinado a la HA, pero el nuevo firewall
ya tiene una configuracin, es recomendable que realice un restablecimiento de fbrica en el nuevo
firewall. Esto garantizar que el nuevo firewall tenga una configuracin limpia. Despus de configurar
HA, deber sincronizar la configuracin del dispositivo principal con el dispositivo recin introducido
mediante la configuracin limpia.
98
Gua de inicio
Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo.
Estos ajustes de HA no se sincronizan entre los dispositivos. Para obtener informacin detallada sobre qu se
sincroniza y qu no, consulte HA Synchronization (Sincronizacin de HA).
Para ir a las instrucciones sobre cmo configurar los dispositivos en HA, consulte Configuracin de un par
activo/pasivo.
La siguiente tabla enumera los ajustes que debe configurar de manera idntica en ambos dispositivos:
Ajustes de configuracin idnticos en PeerA y PeerB
La HA debe habilitarse en ambos dispositivos.

Ambos dispositivos deben tener el mismo valor de ID de grupo. El valor de ID de grupo se utiliza para crear una
direccin MAC virtual para todas las interfaces configuradas. El formato de la direccin MAC virtual es 00-1B-17:00:
xx: yy, donde
00-1B-17: ID de proveedor; 00: fijo; xx: ID de grupo de HA; yy: ID de interfaz.
Cuando un nuevo dispositivo activo tome el control, se enviarn ARP gratuitos desde cada una de las interfaces
conectadas del nuevo miembro activo para informar a los conmutadores de capa 2 conectados acerca de la nueva
ubicacin de la direccin MAC virtual.
Si se utilizan puertos internos, las interfaces de los enlaces de HA1 y HA2 debern establecerse con el tipo HA.
El modo de HA deber establecerse como Activo/pasivo.
Si es necesario, la preferencia debe habilitarse en ambos dispositivos. Sin embargo, el valor de prioridad de dispositivo
no debe ser idntico.
Si es necesario, deber configurarse el cifrado del enlace de HA1 (para la comunicacin entre los peers de HA) en
ambos dispositivos.
Basndose en la combinacin de puertos de copia de seguridad de HA1 y HA2 que est utilizando, utilice las siguientes
recomendaciones para decidir si debera habilitar la copia de seguridad de heartbeat:
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de HA1 especfico
Copia de seguridad de HA1: Puerto de administracin
Recomendacin: No habilitar copia de seguridad de heartbeat
HA1: Puerto interno
Recomendacin: Habilitar copia de seguridad de heartbeat
HA1: Puerto de administracin
Recomendacin: No habilitar copia de seguridad de heartbeat
Gua de inicio
99
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
Ajustes de
configuracin
independientes
PeerA
PeerB
Enlace de control
Direccin IP del enlace de HA1 configurado en

este dispositivo (PeerA).
Direccin IP del enlace de HA1

configurado en este dispositivo (PeerB).
En el caso de dispositivos sin puertos de HA especficos, utilice la direccin IP del puerto de

gestin para el enlace de control.
Enlace de datos
De manera predeterminada, el enlace de HA2

utiliza Ethernet/capa 2.
La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
Prioridad de dispositivo El dispositivo que tiene la intencin de activar debe

(obligatorio si se habilita tener un valor numrico ms bajo que su peer. Por
lo tanto, si PeerA va a funcionar como el dispositivo
la preferencia)
activo, mantenga el valor predeterminado de 100 y
aumente el valor de PeerB.
De manera predeterminada, el enlace de

HA2 utiliza Ethernet/capa 2.
Si utiliza una conexin de capa 3, configure
la direccin IP para el enlace de datos de
este dispositivo (PeerB).
Si PeerB es pasivo, establezca el valor de

prioridad de dispositivo con un valor
mayor que el de PeerA. Por ejemplo,
establezca el valor como 110.
Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin de
fallo.
Seleccione las interfaces fsicas del firewall que

deseara supervisar y defina la condicin de fallo
(todo o alguno) que activar una conmutacin
por error.
Seleccione un conjunto similar de

interfaces fsicas que deseara supervisar y
defina la condicin de fallo (todo o alguno)
que activar una conmutacin por error.
Supervisin de rutas:
Supervise una o ms direcciones IP de destino
en las que el firewall
pueda utilizar pings
ICMP para verificar la
capacidad de respuesta.
Defina la condicin de fallo (todo o alguno), el

intervalo de ping y el recuento de pings. Esto es
de especial utilidad para supervisar la
disponibilidad de otros dispositivos de red
interconectados. Por ejemplo, supervise la
disponibilidad de un enrutador que se conecte a
un servidor, la conectividad del propio servidor
o cualquier otro dispositivo vital que se
encuentre en el flujo del trfico.
Seleccione un conjunto similar de

dispositivos o direcciones IP de destino
que se puedan supervisar para determinar
la activacin de una conmutacin por error
para PeerB. Defina la condicin de fallo
(todo o alguno), el intervalo de ping y el
recuento de pings.
Asegrese de que no sea probable que el

nodo/dispositivo que est supervisando no
responda, especialmente cuando tenga una carga
inferior, ya que esto podra provocar un fallo de
supervisin de rutas y activar una conmutacin
por error.
100
Gua de inicio

El siguiente procedimiento muestra cmo configurar un par de firewalls en una implementacin activa/pasiva
como se muestra en la topologa de ejemplo siguiente.
Conexin y configuracin de los dispositivos
Paso 1
Conecte los puertos de HA para

establecer una conexin fsica entre los
dispositivos.
En el caso de dispositivos con puertos de HA especficos, utilice

un cable Ethernet para conectar los puertos de HA1 y HA2
especficos del par de dispositivos. Utilice un cable cruzado si los
dispositivos estn conectados directamente entre s.
En el caso de dispositivos sin puertos de HA especficos,
seleccione dos interfaces de datos para el enlace de HA2 y el enlace
de HA1 de copia de seguridad. A continuacin, utilice un cable
Ethernet para conectar estas interfaces de HA internas entre
ambos dispositivos. Utilice el puerto de gestin para el enlace de
HA1 y asegrese de que los puertos de gestin pueden conectarse
entre s a travs de su red.
Seleccione un dispositivo del clster y realice estas tareas:
Paso 2
Habilite los pings en el puerto de gestin. 1.

La habilitacin de los pings permite que el
puerto de gestin intercambie informacin
2.
de copia de seguridad de heartbeat.
Gua de inicio

en el icono Editar de la seccin Configuracin de interfaz de
gestin de la pantalla.
Seleccione Ping como servicio permitido en la interfaz.
101
Conexin y configuracin de los dispositivos (Continuacin)
Paso 3
1.
Si el dispositivo no tiene puertos de HA
especficos, configure los puertos de datos 2.
para que funcionen como puertos de HA.
En el caso de dispositivos con puertos de 3.
HA especficos, vaya al Paso 4.
Paso 4
Confirme que el enlace est activado en los puertos que desee

utilizar.
Seleccione la interfaz y establezca el tipo de interfaz como HA.
4.
En la pestaa Avanzado, establezca los ajustes Velocidad de

enlace y Dplex de enlace de la manera adecuada.
Configure la conexin del enlace de

control.
1.
En Dispositivo > Alta disponibilidad > General, edite la seccin

Enlace de control (HA1).
Este ejemplo muestra un puerto interno

configurado con el tipo de interfaz HA.
2.
Seleccione la interfaz a la que ha conectado el cable para

utilizarla como el enlace de HA1 en el men desplegable Puerto.
Establezca la direccin IP y la mscara de red. Introduzca una
direccin IP de puerta de enlace nicamente si las interfaces de
HA1 estn en subredes separadas. No aada una puerta de
enlace si los dispositivos estn conectados directamente.
1.
Exporte la clave de HA desde un dispositivo e imprtela al

dispositivo peer.
En el caso de dispositivos que utilicen el

puerto de gestin como el enlace de
control, la informacin de direccin IP se
cumplimenta previamente de manera
automtica.
Paso 5
Seleccione Red > Interfaces.
(Opcional) Habilite el cifrado para la

conexin del enlace de control.
a. Seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos.
Esto suele utilizarse para proteger el

enlace si los dos dispositivos no estn
conectados directamente, es decir, si los
puertos estn conectados a un
conmutador o un enrutador.
b. Seleccione Exportar clave de HA. Guarde la clave de HA en

una ubicacin de red a la que pueda acceder el dispositivo peer.
c. En el dispositivo peer, vaya a Dispositivo > Gestin de
certificados > Certificados > Certificados de dispositivos y
seleccione Importar clave de HA para desplazarse hasta la
ubicacin donde guard la clave e importarla al dispositivo peer.
Paso 6
102
Configure la conexin del enlace de

control de copia de seguridad.
2.
Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Enlace de control (HA1).
3.
Seleccione Cifrado habilitado.
1.

Enlace de control (copia de seguridad de HA1).
2.
Seleccione la interfaz de copia de seguridad de HA1 y configure

la direccin IP y la mscara de red.
Gua de inicio
Paso 7
Configure la conexin del enlace de datos 1.

(HA2) y la conexin de HA2 de copia de
seguridad entre los dispositivos.
2.

Enlace de datos (HA2).
Seleccione la interfaz para la conexin del enlace de datos.
3.
Seleccione el mtodo Transporte. El valor predeterminado es

Ethernet y funcionar cuando el par de HA se conecte
directamente o a travs de un conmutador. Si necesita enrutar el
trfico del enlace de datos a travs de la red, seleccione IP o UDP
como modo de transporte.
4.
Si utiliza IP o UDP como mtodo de transporte, introduzca la

direccin IP y la mscara de red.
5.
Verifique que se ha seleccionado Habilitar sincronizacin de

sesin.
6.
Seleccione Conexin persistente de HA2 para habilitar la

supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido (el valor
predeterminado son 10.000 ms), se producir la accin definida.
En el caso de una configuracin activa/pasiva, se generar un
mensaje de log de sistema crtico cuando se produzca un fallo de
conexin persistente de HA2.
Nota
Paso 8
Puede configurar la opcin Conexin persistente de HA2

en ambos dispositivos o solamente un dispositivo del par de
HA. Si la opcin se habilita nicamente en un dispositivo,
solamente ese dispositivo enviar los mensajes de conexin
persistente. Si se produce un fallo, se notificar al otro
dispositivo.
7.
Edite la seccin Enlace de datos (copia de seguridad de HA2),

seleccione la interfaz y aada la direccin IP y la mscara de red.
Habilite la copia de seguridad de heartbeat 1.

si su enlace de control utiliza un puerto de
HA especfico o un puerto interno.
2.

Configuracin de eleccin.
No necesita habilitar la copia de seguridad

de heartbeat si est utilizando el puerto de
gestin para el enlace de control.
Gua de inicio
Seleccione Copia de seguridad de heartbeat.

El enlace de copia de seguridad de heartbeat se utiliza para
transmitir mensajes de saludos y heartbeats redundantes. Para
permitir la transmisin de heartbeats entre los dispositivos,
deber verificar que el puerto de gestin entre ambos peers
puede enrutarse del uno al otro.
103
Paso 9
Establezca la prioridad de dispositivo y

habilite la preferencia.
1.

Este ajuste nicamente es necesario si

desea asegurarse de que un dispositivo
especfico es el dispositivo activo
preferido. Para obtener informacin,
consulte Prioridad y preferencia de
dispositivos.
2.
Establezca el valor numrico de Prioridad de dispositivo.

Asegrese de establecer un valor numrico ms bajo en el
dispositivo al que desee asignar una mayor prioridad.
Nota
3.
Si ambos firewalls tienen el mismo valor de prioridad de

dispositivo, el firewall con la direccin MAC ms baja en el
enlace de control de HA1 ser el dispositivo activo.
Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Paso 10 (Opcional) Modifique los temporizadores 1.

de conmutacin por error.

2. Seleccione el perfil Agresivo para activar una conmutacin por

De forma predeterminada, el perfil de
error ms rpida; seleccione Avanzado para definir valores
temporizador de HA est establecido
personalizados necesarios para activar una conmutacin por
como Recomendada y es adecuado para
error
en su configuracin.
la mayora de implementaciones de HA.
Nota Para ver el valor preestablecido para un temporizador
concreto incluido en un perfil, seleccione Avanzado y haga
clic en Carga recomendada o Carga intensiva. Los valores
preestablecidos para su modelo de hardware aparecern en
la pantalla.
Paso 11 (Opcional, nicamente configurado en el
dispositivo pasivo) Modifique el estado de
enlace de los puertos de HA en el
dispositivo pasivo.
Establecer el estado de enlace como Auto permite reducir la cantidad

de tiempo que tarda el dispositivo pasivo en tomar el control cuando
se produce una conmutacin por error y le permite supervisar el
estado de enlace.
Nota
Para habilitar el estado de enlace del dispositivo pasivo para que

permanezca activado y refleje el estado de cableado de la interfaz fsica:
1. En Dispositivo > Alta disponibilidad > General, edite la seccin
Configuracin Activa/Pasiva.
El estado de enlace pasivo es Apagar de

manera predeterminada. Cuando habilite
HA, el estado de enlace de los puertos de
HA del dispositivo activo ser de color
verde; los del dispositivo pasivo estarn
desactivados y se mostrarn de color rojo.
2.
Establezca Estado de los enlaces en el pasivo como Auto.

La opcin automtica reduce la cantidad de tiempo que tarda el
dispositivo pasivo en tomar el control cuando se produce una
conmutacin por error.
Nota
Aunque la interfaz se muestre de color verde (cableada y

activada), seguir descartando todo el trfico hasta que se
active una conmutacin por error.
Cuando modifique el estado de enlace pasivo, asegrese de
que los dispositivos adyacentes no reenvan el trfico al
firewall pasivo basndose nicamente en el estado de enlace
del dispositivo.
104
Gua de inicio
Paso 12 Habilite la HA.
1.
Seleccione Dispositivo > Alta disponibilidad > General y edite

la seccin Configuracin.
2.
Seleccione Habilitar HA.
3.
Establezca un ID de grupo. Este ID identifica de manera

exclusiva cada par de HA de su red y es esencial si tiene varios
pares de HA que compartan el mismo dominio de difusin en
su red.
4.
Establezca el modo como Activo Pasivo.
5.
Seleccione Habilitar sincronizacin de configuracin. Este

ajuste habilita la sincronizacin de los ajustes de configuracin
entre los dispositivos activo y pasivo.
6.
Introduzca la direccin IP asignada al enlace de control del

dispositivo peer en Direccin IP de HA de peer.
En el caso de dispositivos sin puertos de HA especficos, si el

peer utiliza el puerto de gestin para el enlace de HA1,
introduzca la direccin IP del puerto de gestin del peer.
7.
Paso 13 Guarde sus cambios de configuracin.
Introduzca Direccin IP de HA1 de copia de seguridad.
Paso 14 Realice del Paso 2 al Paso 13 en el otro

dispositivo del par de HA.
Gua de inicio
105
1.
Paso 15 Cuando termine de configurar ambos
dispositivos, verifique que los dispositivos
estn emparejados en la HA
2.
activa/pasiva.
3.
En el dispositivo pasivo: El estado del
dispositivo local debera mostrarse
como Pasivo y la configuracin se
sincronizar.
106
Acceda al Panel de ambos dispositivos y visualice el widget Alta

disponibilidad.
En el dispositivo activo, haga clic en el enlace Sincronizar
en el peer.
Confirme que los dispositivos estn emparejados y

sincronizados, como se muestra a continuacin:
En el dispositivo activo: El estado del dispositivo local
debera mostrarse como Activo y la configuracin se
sincronizar.
Gua de inicio

Configuracin de los activadores de conmutacin por error
Paso 1
Paso 2
Para configurar la supervisin de enlaces, 1.

defina las interfaces que desee supervisar.
Un cambio en el estado de enlace de estas 2.
interfaces activar una conmutacin por
3.
error.
(Opcional) Modifique la condicin de

fallo de los grupos de enlaces que
configur (en el paso anterior) en el
dispositivo.
Seleccione Dispositivo > Alta disponibilidad > Supervisin de

enlaces y rutas.
En la seccin Grupo de enlaces, haga clic en Aadir.
Asigne un nombre al Grupo de enlaces, aada las interfaces
para su supervisin y seleccione la Condicin de fallo para el
grupo. El grupo de enlaces que defina se aadir a la seccin
Grupo de enlaces.
1.
Seleccione la seccin Supervisin de enlaces.
2.
Establezca la Condicin de fallo como Todos.

El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo

activar una conmutacin por error
cuando falle cualquier enlace supervisado.
Paso 3
Paso 4
1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el firewall debera hacer ping para
verificar la conectividad de red.
En la seccin Grupo de rutas de la pestaa Dispositivo > Alta

disponibilidad > Supervisin de enlaces y rutas, seleccione la
opcin para su configuracin: Aadir ruta de cable virtual,
Aadir ruta VLAN o Aadir ruta de enrutador virtual.
2.
Seleccione el elemento adecuado de la lista desplegable para el

nombre y aada las direcciones IP (origen o destino, segn se
le pida) que desee supervisar. A continuacin, seleccione la
Condicin de fallo del grupo. El grupo de rutas que defina se
aadir a la seccin Grupo de rutas.
(Opcional) Modifique la condicin de

fallo para todos los grupos de rutas
configurados en el dispositivo.
Establezca la Condicin de fallo como Todos.

El ajuste predeterminado es Cualquiera.
De manera predeterminada, el dispositivo

activar una conmutacin por error
cuando falle cualquier ruta supervisada.
Paso 5
Guarde sus cambios.
Gua de inicio
107

Para comprobar que su configuracin de HA funciona correctamente, active una conmutacin por error manual
y verifique que los dispositivos cambian de estado correctamente.
Paso 1
Suspenda el dispositivo activo.
Haga clic en el enlace Suspender dispositivo local en la pestaa

Dispositivo > Alta disponibilidad > Comandos de operacin.
Paso 2
Verifique que el dispositivo pasivo ha

tomado el control como activo.
En el Panel, verifique que el estado del dispositivo pasivo cambia a

Activo en el widget Alta disponibilidad.
Paso 3
Restablezca el dispositivo suspendido a

un estado funcional. Espere un par de
minutos y, a continuacin, verifique que
se ha producido la preferencia, si se ha
habilitado.
1.
En el dispositivo que suspendi anteriormente, seleccione el

enlace Hacer que el dispositivo local sea funcional en la
pestaa Dispositivo > Alta disponibilidad > Comandos
operativos.
2.
En el widget Alta disponibilidad del Panel, confirme que el

dispositivo ha tomado el control como dispositivo activo y que
el peer ahora est en un estado pasivo.
108
Gua de inicio

Pan Os 6.0 GSG Spanish

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Pan Os 6.0 GSG Spanish

Cargado por

Copyright:

Formatos disponibles

Palo Alto Networks

Gua de inicio de PAN-OS

Acerca de esta gua

Para obtener informacin sobre las capacidades adicionales e instrucciones

Para acceder a la base de conocimientos, un completo conjunto de

Para contactar con el servicio de asistencia tcnica, informarse sobre los

Para consultar las notas de versin ms recientes, vaya a la pgina de

En esta gua se incluyen procedimientos para configurar el firewall usando la

Creacin del permetro de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Proteccin de su red contra amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuracin de identificacin de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . 69

Configuracin de alta disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Requisitos para la HA activa/pasiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Integracin del firewall en la red

Configuracin del acceso a la gestin del firewall

Activacin de servicios de firewall

Adicin de administradores de firewall

Supervisin del firewall

Configuracin del acceso a la gestin del firewall

Integracin del firewall en la red de gestin

Configuracin del acceso a la gestin del firewall

Determinacin de la estrategia de gestin

Realizacin de la configuracin inicial

Establecimiento de acceso a la red para servicios externos

Determinacin de la estrategia de gestin

Reducir la complejidad y la carga administrativa en la configuracin de la gestin, polticas, software y cargas

Realizacin de la configuracin inicial

Integracin del firewall en la red de gestin

Configuracin del acceso a la gestin del firewall

Configuracin del acceso de red al firewall

Obtenga la informacin necesaria de su

Direccin IP para el puerto MGT

Conecte su ordenador al firewall.

Puede conectarse al firewall de uno de estos modos:

Cuando se le indique, inicie sesin en

Debe iniciar sesin usando el nombre de usuario y contrasea

Configure la interfaz de gestin.

Seleccione Dispositivo > Configuracin > Gestin y, a

Fije la velocidad en negociacin automtica.

Seleccione los servicios de gestin que permitir en la interfaz.

(Opcional) Configure los ajustes

Haga clic en ACEPTAR.

Seleccione Dispositivo > Configuracin > Gestin y haga clic en

Introduzca un nombre de host para el firewall y el nombre de

Introduzca la Latitud y Longitud para permitir la colocacin

Haga clic en ACEPTAR.

Configuracin del acceso a la gestin del firewall

Integracin del firewall en la red de gestin

Configuracin del acceso de red al firewall (Continuacin)

Configure los ajustes de DNS, hora

Seleccione Dispositivo > Configuracin > Servicios y haga clic

Debe configurar manualmente al menos 2.

Introduzca la direccin IP de su Servidor DNS principal y, de

Establezca una contrasea segura para la 1.

Para usar el clster virtual de servidores horarios de Internet,

Introduzca la contrasea predeterminada actual y la nueva

Haga clic en Aceptar para guardar la configuracin.

Haga clic en Confirmar. El dispositivo puede tardar hasta 90

Conecte el firewall a su red.

Compile los cambios.

Desconecte el firewall de su ordenador.

Conecte el puerto de gestin a un puerto de conmutador en su

Paso 10 Abra una sesin de gestin SSH en el