Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informacin de contacto
Sede de la empresa:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054-1211
http://www.paloaltonetworks.com/contact/contact/
Contenido
Integracin del firewall en la red de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Configuracin del acceso a la gestin del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Determinacin de la estrategia de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Realizacin de la configuracin inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Establecimiento de acceso a la red para servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Activacin de servicios de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Registro en Palo Alto Networks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Activacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Gestin de la actualizacin de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Instalacin de actualizaciones de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Adicin de administradores de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Funciones administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Supervisin del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Supervisin de aplicaciones y amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Visualizacin de datos de logs locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Reenvo de logs a servicios externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Supervisin del Firewall mediante SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
iii
Contenido
92
92
93
94
94
95
iv
Gua de inicio
Gua de inicio
Agregar datos de todos los firewalls gestionados y conseguir visibilidad en todo el trfico de su red. El Centro
de comando de aplicacin (ACC) de Panorama ofrece un panel de pantalla nica para unificar informes de
todos los firewalls que le permiten realizar anlisis, investigaciones e informes de forma central sobre el
trfico de red, los incidentes de seguridad y las modificaciones administrativas.
Los procedimientos de este documento describen cmo gestionar el firewall usando la interfaz web local.
Si quiere utilizar Panorama para la gestin centralizada, cuando haya completado las instrucciones de la seccin
Realizacin de la configuracin inicial de esta gua y haya verificado que el firewall puede establecer una conexin
con Panorama, consulte la Gua del administrador de Panorama para obtener ms instrucciones sobre la
configuracin de su firewall de forma central.
Gua de inicio
Paso 1
Paso 2
Paso 3
Paso 4
1.
2.
3.
Paso 5
4.
1.
2.
Gua de inicio
3.
4.
Paso 6
1.
Nota
4.
Paso 7
3.
4.
Nota
Paso 9
Paso 8
1.
2.
Nota
Gua de inicio
Paso 1
Paso 2
Paso 3
(Opcional) El firewall viene preconfigurado con una interfaz de cable virtual predeterminada entre los puertos Ethernet 1/1
y Ethernet 1/2 (y sus correspondientes
zonas y polticas de seguridad predeterminadas). Si no pretende usar esta configuracin de cable virtual, debe eliminar
manualmente la configuracin para evitar
que interfiera con otras configuraciones
de interfaz que defina.
Gua de inicio
2.
3.
4.
5.
Paso 4
Configure la interfaz.
1.
2.
3.
4.
5.
6.
7.
8.
Gua de inicio
Paso 5
Gua de inicio
3.
4.
5.
Paso 6
Configure una interfaz de orientacin externa y una zona asociada y, a continuacin, cree las reglas de poltica
NAT y de seguridad para permitir que el firewall enve solicitudes de servicio de la zona interna a la externa:
1. Seleccione Red > Interfaces y, a continuacin, seleccione su interfaz de orientacin externa. Seleccione Capa3
como el Tipo de interfaz, aada la direccin IP (en la pestaa IPv4 o IPv6), y cree la Zona de seguridad
asociada (en la pestaa Configuracin), tal como l3-nofiable. No necesita configurar servicios de gestin en
esta interfaz.
2. Para configurar una regla de seguridad que permita el trfico desde su red interna al servidor de actualizaciones
de Palo Alto Networks y los servidores DNS externos, seleccione Polticas > Seguridad y haga clic en Aadir.
Para realizar la configuracin inicial, puede crear una regla simple que permita todo el trfico de l3-fiable a
l3-nofiable del siguiente modo:
Gua de inicio
Activacin de licencias
Paso 1
Paso 2
Busque el nmero de serie y cpielo en el En el Panel, busque su nmero de serie en la seccin Informacin
portapapeles.
general de la pantalla.
Paso 3
Paso 4
Activacin de licencias
Antes de que pueda empezar a usar su firewall para proteger el trfico de su red, deber activar las licencias de
cada uno de los servicios que ha adquirido. Entre las licencias y suscripciones disponibles se incluyen:
Gua de inicio
Reflejo de puerto de descifrado: Permite crear una copia del trfico descifrado desde un firewall y enviarlo
a una herramienta de recopilacin de trfico que sea capaz de recibir capturas de paquetes sin formato, como
NetWitness o Solera, para su archivado y anlisis.
Filtrado de URL: Para crear reglas de poltica basadas en categoras de URL dinmicas, debe adquirir e
instalar una suscripcin para una de las bases de datos de filtrado de URL compatibles: PAN-DB o
BrightCloud. Para obtener ms informacin sobre el filtrado de URL, consulte Control del acceso a
contenido web.
Sistemas virtuales: Esta licencia es necesaria para habilitar la compatibilidad con varios sistemas virtuales
en los firewalls de las series PA-2000 y PA-3000. Adems, debe adquirir una licencia de sistemas virtuales si
desea utilizar un nmero de sistemas virtuales superior al ofrecido de manera predeterminada por los
firewalls de las series PA-4000 y PA-5000 (el nmero bsico vara segn la plataforma). Las series PA-500,
PA-200 y VM-Series no son compatibles con sistemas virtuales.
WildFire: Aunque la compatibilidad bsica con WildFire est incluida como parte de la licencia de
prevencin de amenazas, el servicio de suscripcin a WildFire ofrece servicios mejorados para aquellas
organizaciones que necesitan una cobertura inmediata frente a las amenazas, y permite actualizaciones de la
firma de WildFire con una frecuencia inferior a una hora, el reenvo de tipos de archivos avanzados (APK,
PDF, Microsoft Office y applet Java) y la capacidad para cargar archivos usando la API de WildFire. Tambin
se requiere una suscripcin a WildFire si sus firewalls van a reenviar archivos a un dispositivo WF-500
WildFire privado. Si desea ms informacin sobre WildFire, consulte Habilitacin de WildFire.
GlobalProtect: Ofrece soluciones de movilidad y/o funciones de VPN a gran escala. De forma
predeterminada, puede implementar una nica puerta de enlace y portal GlobalProtect (sin comprobaciones
de HIP) sin licencia. Sin embargo, si desea implementar varias puertas de enlace, debe adquirir una licencia
de portal (licencia permanente y nica). Si desea utilizar comprobaciones de host, tambin necesitar
licencias de puertas de enlace (suscripcin) para cada puerta de enlace. Para obtener ms informacin sobre
GlobalProtect, consulte la Gua del administrador de GlobalProtect.
Activacin de licencias
Paso 1
Paso 2
Paso 3
1.
Nota
2.
3.
10
Gua de inicio
Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas descubiertas por el servicio
en la nube WildFire. Debe contar con una suscripcin a prevencin de amenazas para obtener estas
actualizaciones. Se publican nuevas firmas de antivirus todos los das.
Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor para definir y evaluar
los datos del perfil de informacin del host (HIP) proporcionados por los agentes de GlobalProtect. Debe tener
una licencia de puerta de enlace de GlobalProtect y portal GlobalProtect para recibir estas actualizaciones.
Adems, debe crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.
Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de datos de filtrado de
URL de BrightCloud. Debe contar con una suscripcin a BrightCloud para obtener estas actualizaciones.
Todos los das se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Si tiene una
licencia de PAN-DB, las actualizaciones programadas no son necesarias ya que los dispositivos permanecen
sincronizados con los servidores de forma automtica.
WildFire: Proporciona firmas de malware y antivirus casi en tiempo real como consecuencia del anlisis
realizado por el servicio de la nube de WildFire. Sin la suscripcin, debe esperar de 24 a 48 horas para que
las firmas entren a formar parte de la actualizacin de aplicaciones y amenazas.
Si su firewall no tiene acceso a Internet desde el puerto de gestin, puede descargar
actualizaciones de contenido desde el sitio de asistencia de Palo Alto Networks
(https://support.paloaltonetworks.com) y, a continuacin, cargarlas en su firewall.
Paso 1
Gua de inicio
11
Paso 2
Nota No puede descargar la base de datos de antivirus hasta que haya instalado la base de datos de aplicaciones
y amenazas.
Actualizar: Indica que hay una nueva versin de la base de datos de BrightCloud disponible. Haga clic en el
enlace para iniciar la descarga e instalacin de la base de datos. La actualizacin de la base de datos se inicia
en segundo plano; al completarse aparece una marca de verificacin en la columna Instalado actualmente.
Tenga en cuenta que si usa PAN-DB como base de datos de filtrado de URL, no ver ningn enlace de
actualizacin porque la base de datos de PAN-DB se sincroniza automticamente con el servidor.
Consejo: Para comprobar el estado de una accin, haga clic en Tareas (en la esquina inferior derecha de la
ventana).
Revertir: Indica que la versin de software correspondiente se ha descargado anteriormente. Puede decidir
revertir a la versin instalada anteriormente de la actualizacin.
Paso 3
Nota
12
Gua de inicio
Paso 4
1.
2.
3.
4.
5.
6.
7.
Paso 1
Paso 2
Gua de inicio
13
Paso 3
Nota
Paso 4
Descargar la actualizacin.
Instale la actualizacin.
1.
2.
Reinicie el firewall:
Si se le pide que reinicie, haga clic en S.
14
Gua de inicio
Las siguientes secciones describen las diversas formas de configurar cuentas administrativas y ofrecen
procedimientos para configurar accesos administrativos bsicos:
Funciones administrativas
Autenticacin administrativa
Funciones administrativas
El modo en que configure las cuentas de administrador depende de los requisitos de seguridad de su
organizacin, de que tenga servicios de autenticacin previos que desee integrar y del nmero de funciones
administrativas que necesite. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado.
Se pueden asignar dos tipos de funciones:
Funciones dinmicas: Funciones integradas que proporcionan acceso al firewall en las categoras de
superusuario, superusuario (solo lectura), administrador de dispositivo, administrador de dispositivo (solo
lectura), administrador de sistema virtual y administrador de sistema virtual (solo lectura). Con las funciones
dinmicas solo tendr que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas
caractersticas cuando las funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un
control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a
las reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores
de seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta
que con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma
explcita para nuevos componentes/caractersticas que se aadan al producto.
Autenticacin administrativa
Hay cuatro formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: Tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el firewall. Puede aadir un nivel de
proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un perodo
de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el dispositivo.
Gua de inicio
15
Cuenta de administrador local con autenticacin basada en SSL: Con esta opcin, puede crear las
cuentas de administrador en el firewall, pero la autenticacin se basa en certificados SSH (para acceso a CLI)
o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte el artculo How to
Configure Certificate-based Authentication for the WebUI (Cmo configurar la autenticacin basada en certificados
para la IU web) para obtener informacin sobre cmo configurar este tipo de acceso administrativo.
Cuenta de administrador local con autenticacin externa: Las cuentas de administrador se gestionan en
el firewall local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil.
gestiona un servidor RADIUS externo. Para usar esta opcin, primero debe definir atributos especficos de
proveedor (VSA) en su servidor RADIUS que se asignen a la funcin de administrador y, de manera
opcional, los objetos del sistema virtual que ha definido en el dispositivo de Palo Alto Networks. Consulte
el artculo Radius Vendor Specific Attributes (VSA) (Atributos especficos de proveedor [VSA] en Radius) para
obtener informacin sobre cmo configurar este tipo de acceso administrativo.
16
Gua de inicio
Paso 1
Complete los siguientes pasos para cada funcin que desee crear:
1. Seleccione Dispositivo > Funciones de administrador y, a
continuacin, haga clic en Aadir.
2.
3.
4.
Gua de inicio
17
Paso 2
Paso 3
Paso 4
18
2.
3.
4.
5.
1.
Gua de inicio
Gua de inicio
19
Visualizacin de informes
20
Gua de inicio
Visualizacin de informes
El firewall tambin usa datos del log para generar informes (Supervisar > Informes) que muestran los datos del
log en forma de grfico o tabla.
Gua de inicio
21
Para reenviar datos de logs a un servicio externo, debe completar las siguientes tareas:
Configurar el firewall para que acceda a los servicios remotos que recibirn los logs. Consulte Definicin
de destinos de logs remotos.
Configurar cada tipo de log para reenvo. Consulte Habilitacin del reenvo de logs.
Para una notificacin inmediata de amenazas o eventos crticos del sistema que requieren su atencin, puede
generar traps SNMP o enviar alertas de correo electrnico. Consulte Configuracin de alertas de correo
electrnico y/o Configuracin de los destinos de Trap SNMP.
Para el almacenamiento a largo plazo y el archivo de datos y para la supervisin centralizada de dispositivos,
puede enviar los datos de logs a un servidor Syslog. Consulte Definicin de servidores Syslog. Esto permite
la integracin con herramientas de supervisin de seguridad de terceros, como Splunk! o ArcSight.
Si no tiene un recopilador de Syslog o no necesita actualizaciones en tiempo real, en su lugar
puede programar exportaciones de logs y guardarlas en un servidor FTP en formato CSV o usar
Secure Copy (SCP) para transferir datos de forma segura entre el firewall y un host remoto. Para
obtener ms informacin, consulte la seccin Informes y logs de la Gua del administrador de
PAN-OS 6.0.
Para aadir y elaborar informes de datos de logs de firewalls de Palo Alto Networks, puede reenviar los logs a
un gestor de Panorama Manager o un recopilador de logs de Panorama. Consulte Reenvo de logs a Panorama.
Puede definir tantos perfiles de servidor como necesite. Por ejemplo, puede usar perfiles de servidor para enviar
logs de trfico a un servidor Syslog y logs de sistema a uno diferente. Tambin puede incluir varias entradas de
servidor en un nico perfil de servidor para poder registrarse en varios servidores Syslog y conseguir
redundancia.
22
Gua de inicio
De forma predeterminada, todos los datos de logs se reenvan a travs de la interfaz de gestin.
Si pretende usar una interfaz que no sea de gestin, deber configurar una ruta de servicio para
cada servicio al que desee reenviar logs, como se describe en el Paso 5 del procedimiento para
Establecimiento de un puerto de datos para acceder a servicios externos.
Paso 1
1.
2.
3.
4.
5.
Paso 2
(Opcional) Personalice el formato de los Seleccione la ficha Formato de log personalizado. Si desea ms
mensajes de correo electrnico que enva informacin sobre cmo crear formatos personalizados para los
el firewall.
distintos tipos de log, consulte Common Event Format Configuration
Guide (Gua de configuracin de formato de eventos comunes).
Gua de inicio
23
Paso 3
1.
2.
Paso 1
Nota
24
2.
3.
Gua de inicio
Paso 2
Cree un perfil de servidor que contenga la informacin para conectarse y autenticar los gestores de SNMP.
1. Seleccione Dispositivo > Perfiles de servidor > Trap SNMP.
2. Haga clic en Aadir y, a continuacin, introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al que se aplica este perfil en el men desplegable Ubicacin.
4. Especifique la versin de SNMP que est usando (V2c o V3).
5. Haga clic en Aadir para aadir una nueva entrada de receptor de trap SNMP (puede aadir hasta cuatro
receptores de traps por perfil de servidor). Los valores requeridos dependen de si est usando SNMP V2c o
V3, como se explica a continuacin:
SNMP V2c
Nombre: Nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor SNMP: Direccin IP del gestor de SNMP al que desea enviar traps.
Comunidad: Cadena de comunidad necesaria para autenticar en el gestor de SNMP.
SNMP V3
Nombre: Nombre para identificar el gestor de SNMP (1-31 caracteres). Este campo es solamente una
etiqueta y no tiene que ser el nombre de host de un servidor SNMP existente.
Gestor SNMP: Direccin IP del gestor de SNMP al que desea enviar traps.
Usuario: Nombre de usuario necesario para autenticarse en el gestor de SNMP.
EngineID: ID de motor del firewall, segn se ha identificado en el Paso 1. Es un valor hexadecimal de entre
5 y 64 bytes con un prefijo 0x. Cada firewall tiene un ID de motor nico.
Contrasea de autenticacin: Contrasea que se usar para los mensajes de nivel authNoPriv para el gestor
de SNMP. Esta contrasea contar con un algoritmo hash de seguridad (SHA-1), pero no estar cifrada.
Contrasea priv.: Contrasea que se usar para los mensajes de nivel authPriv para el gestor de SNMP. Esta
contrasea tendr un algoritmo hash SHA y estar cifrada con el estndar de cifrado avanzado (AES 128).
6. Haga clic en Aceptar para guardar el perfil de servidor.
Paso 3
(Opcional) Configure una ruta de servicio De forma predeterminada, los traps SNMP se envan a travs de la
para traps SNMP.
interfaz de gestin. Si desea utilizar una interfaz diferente para traps
SNMP, deber editar la ruta de servicio para permitir que el firewall
acceda a su gestor de SNMP. Consulte Establecimiento de acceso a
la red para servicios externos para obtener instrucciones.
Paso 4
Paso 5
25
Hay cinco tipos de logs que PAN-OS puede exportar a un servidor Syslog: trfico, amenaza, coincidencia HIP,
configuracin y sistema. Si desea ms informacin sobre los campos en cada tipo de log, consulte PAN-OS Syslog
Integration Tech Note (Nota tcnica sobre la integracin de Syslog de PAN-OS). Para una lista parcial de mensajes de
log y sus niveles de gravedad, consulte System Log Reference (Referencia de logs del sistema).
Los mensajes de Syslog se envan en texto en claro y no se pueden cifrar directamente.
Sin embargo, si necesita cifrado, puede enviar los mensajes de Syslog a travs de una interfaz
de tnel, que forzar el cifrado de los paquetes de Syslog. Tambin tendr que crear una nueva
ruta de servicio para Syslog.
Paso 1
1.
2.
3.
4.
Haga clic en Aadir para aadir una nueva entrada del servidor
Syslog e introduzca la informacin necesaria para conectar con
el servidor Syslog (puede aadir hasta cuatro servidores Syslog
al mismo perfil):
Nombre: Nombre exclusivo para el perfil de servidor.
Servidor Syslog: Direccin IP o nombre de dominio
completo (FQDN) del servidor Syslog.
Transporte: Seleccione TCP, UDP o SSL como el mtodo de
comunicacin con el servidor Syslog.
Puerto: Nmero de puerto por el que se enviarn mensajes
de Syslog (el valor predeterminado es UDP en el puerto 514);
debe usar el mismo nmero de puerto en el firewall y en el
servidor Syslog.
Formato: Seleccione el formato de mensaje de Syslog que se
debe utilizar, BSD o IETF. Tradicionalmente, el formato
BSD es a travs de UDP y el formato IETF es a travs de
TCP/SSL.
Instalaciones: Seleccione uno de los valores de Syslog
estndar, que se usa para calcular el campo de prioridad (PRI)
en la implementacin de su servidor Syslog. Debe seleccionar
el valor que asigna cmo usa el campo PRI para gestionar sus
mensajes de Syslog.
26
5.
6.
Gua de inicio
Paso 2
Paso 3
1.
2.
3.
Logs de trfico: Habilite el reenvo de logs de trfico creando un perfil de reenvo de logs (Objetos > Reenvo
de logs) y aadindolo a las polticas de seguridad que desea que activen el reenvo de logs. Solo el trfico que
coincida con una regla especfica dentro de la poltica de seguridad ser registrado y enviado.
Logs de amenaza: Habilite el reenvo de logs de amenaza creando un perfil de reenvo de logs
(Objetos > Reenvo de logs) que especifique qu niveles de gravedad desea reenviar y, a continuacin, aadindolo
a las polticas de seguridad para las que desee activar el reenvo de logs. Solo se crear (y enviar) una entrada de
log de amenaza si el trfico asociado coincide con un perfil de seguridad (Antivirus, Antispyware, Vulnerabilidad,
Filtrado de URL, Bloqueo de archivo, Filtrado de datos o Proteccin DoS). La siguiente tabla resume los niveles
de gravedad de las amenazas:
Gua de inicio
27
Gravedad
Descripcin
Crtico
Alto
Amenazas que tienen la habilidad de convertirse en crticas pero que tienen factores
atenuantes; por ejemplo, pueden ser difciles de explotar, no conceder privilegios
elevados o no tener un gran grupo de vctimas.
Medio
Amenazas menores en las que se minimiza el impacto, como ataques DoS que no
comprometen al objetivo o explotaciones que requieren que el atacante est en la misma LAN
que la vctima, afectan solo a configuraciones no estndar o aplicaciones oscuras u ofrecen
acceso muy limitado.
Bajo
Amenazas con nivel de advertencia que tienen muy poco impacto en la infraestructura de
la organizacin. Suelen requerir acceso local o fsico al sistema y con frecuencia suelen
ocasionar problemas en la privacidad de las vctimas, problemas de DoS y fugas de
informacin. Las coincidencias de perfiles de filtrado de datos se registran como bajas.
Informativo
Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para
indicar que podra haber problemas ms serios. Las entradas de logs de filtrado de URL
con un veredicto benigno se registran como informativas.
28
Gravedad
Descripcin
Crtico
Fallos de hardware, lo que incluye la conmutacin por error de HA y los fallos de enlaces.
Alto
Medio
Bajo
Informativo
Logs de WildFire: Habilite el reenvo de logs de WildFire que contengan informacin sobre los archivos
que se reenvan desde el firewall a WildFire para su anlisis. Puede configurar el firewall para reenviar logs y
obtener el veredicto Bueno y/o Malo.
Gua de inicio
Paso 1
Paso 2
4.
5.
Gua de inicio
29
Paso 3
Active el gestor de SNMP para interpretar Cargue los archivos MIB de PAN-OS en su software de gestin de
las estadsticas del firewall.
SNMP y, si es necesario, complelos. Consulte las instrucciones
especficas para realizar este proceso en la documentacin de su
gestor de SNMP.
Paso 4
Paso 5
Configure el software de gestin de SNMP Consulte las instrucciones especficas para realizar este proceso en la
para que supervise los OID que le interesan. documentacin de su gestor de SNMP.
Paso 6
30
Gua de inicio
Gua de inicio
31
Las siguientes secciones describen los componentes del permetro de seguridad e indican los pasos necesarios
para configurar las interfaces del firewall, definir zonas y configurar una poltica de seguridad bsica que permita
el trfico desde su zona interna hasta Internet y DMZ. Al crear inicialmente una poltica bsica como esta, podr
analizar el trfico que circula por su red y utilizar esta informacin para definir polticas ms especficas y as
habilitar aplicaciones de forma segura y evitar amenazas.
Implementaciones de firewalls
Implementaciones de firewalls
Todos los firewalls de prxima generacin de Palo Alto Networks proporcionan una arquitectura de red flexible
que incluye la compatibilidad con el enrutamiento dinmico, la conmutacin y la conectividad de VPN, lo que
le permite implementar el firewall en prcticamente cualquier entorno de red. Al configurar los puertos Ethernet
en su firewall, podr elegir entre una implementacin de interfaz de cable virtual, capa 2 o capa 3. Adems, para
permitirle integrar una variedad de segmentos de red, podr configurar diferentes tipos de interfaces en
diferentes puertos. Las secciones siguientes ofrecen informacin bsica sobre cada tipo de implementacin.
Para obtener informacin ms detallada sobre la implementacin, consulte Designing Networks with Palo Alto
Networks Firewalls (Diseo de redes con firewalls de Palo Alto Networks).
32
Gua de inicio
Implementaciones de capa 2
En una implementacin de capa 2, el firewall permite cambiar entre dos o ms interfaces. Cada grupo de
interfaces se debe asignar a un objeto VLAN para que el firewall pueda alternar entre ellas. El firewall ejecutar
el cambio de etiqueta VLAN cuando se adjunten subinterfaces de capa 2 a un objeto VLAN comn. Seleccione
esta opcin cuando necesite poder alternar.
Para obtener ms informacin sobre las implementaciones de capa 2, consulte Layer 2 Networking Tech Note
(Nota tcnica sobre redes de capa 2) y/o Securing Inter VLAN Traffic Tech Note (Nota tcnica sobre proteccin del
trfico entre VLAN).
Implementaciones de capa 3
En una implementacin de capa 3, el firewall enruta el trfico entre puertos. Se debe asignar una direccin IP a cada
interfaz y definir un enrutador virtual para enrutar el trfico. Seleccione esta opcin cuando necesite enrutamiento.
Debe asignar una direccin IP a cada interfaz de capa 3 fsica que configure. Tambin puede crear subinterfaces lgicas
para cada interfaz de capa 3 fsica que le permitan segregar el trfico de la interfaz basndose en el tag de VLAN
(cuando se utilice un enlace troncal de VLAN) o la direccin IP, por ejemplo, para la arquitectura multiempresa.
Adems, dado que el firewall debe enrutar trfico en una implementacin de capa 3, deber configurar un
enrutador virtual. Puede configurar el enrutador virtual para participar con protocolos de enrutamiento dinmico
(BGP, OSPF o RIP), as como aadir rutas estticas. Tambin puede crear varios enrutadores virtuales, cada uno
de los cuales mantendr un conjunto separado de rutas que no se comparten entre enrutadores virtuales, lo que le
permitir configurar diferentes comportamientos de enrutamiento para diferentes interfaces.
El ejemplo de configuracin de este captulo muestra cmo integrar el firewall en su red de capa 3 utilizando
rutas estticas. Para obtener informacin sobre otros tipos de integraciones de enrutamiento, consulte los
documentos siguientes:
Gua de inicio
33
How to Configure OSPF Tech Note (Nota tcnica sobre cmo configurar OSPF)
How to Configure BGP Tech Note (Nota tcnica sobre cmo configurar BGP)
34
Gua de inicio
Campos
obligatorios
Campos
opcionales
Gua de inicio
Campo
Descripcin
Nombre
Zona de origen
Zona de destino
Aplicacin
Accin
Etiqueta
Descripcin
Direccin de origen
Direccin de destino
Usuario de origen
35
Campo
Descripcin (Continuacin)
Categora de URL
Servicio
36
Gua de inicio
Campos
opcionales
Campo
Descripcin (Continuacin)
Perfiles de seguridad
GlobalProtect)
Opciones
Si tiene dos o ms zonas con requisitos de seguridad idnticos, combnelas en una regla de seguridad.
El orden de las reglas es crucial para garantizar los mejores criterios de coincidencia. Dado que la poltica
se evala de arriba abajo, las polticas ms especficas deben preceder a las ms generales, de modo que las
reglas ms especficas no se vean ensombrecidas. Esto quiere decir que una regla no se evala o se omite
porque se encuentra a un nivel ms bajo en la lista de polticas. Cuando la regla se sita ms abajo, no se
evala porque otra regla precedente cumple los criterios de coincidencia, impidiendo as la evaluacin de
poltica de la primera regla.
Para restringir y controlar el acceso a las aplicaciones entrantes, en la poltica de seguridad, defina
explcitamente el puerto al que escuchar el servicio/aplicacin.
El registro de reglas de permiso amplio (por ejemplo, acceso a servidores conocidos, como DNS) puede
generar mucho trfico. Por lo tanto, no se recomienda a no ser que sea absolutamente necesario.
De manera predeterminada, el firewall crea una entrada de log al final de una sesin. Sin embargo, puede
modificar este comportamiento predeterminado y configurar el firewall para que se registre al inicio de la
sesin. Debido a que esto aumentan significativamente el volumen de logs, el registro al inicio de la sesin
nicamente se recomienda cuando est solucionando un problema. Otra alternativa para solucionar un
problema sin habilitar el registro al inicio de la sesin es utilizar el explorador de sesin (Supervisar >
Explorador de sesin) para ver las sesiones en tiempo real.
Gua de inicio
37
Descripcin
Direccin/Grupo de
direcciones, Regin
Usuario/grupo de usuarios
Le permite crear una lista de usuarios desde la base de datos local o una base de datos
externa y agruparlos. Para obtener informacin sobre cmo crear grupos de usuarios,
consulte la seccin ID de usuario (User-ID) de la Gua del administrador de PAN-OS.
Grupo de aplicaciones y Filtro Un Filtro de aplicacin le permite filtrar aplicaciones dinmicamente. Le permite filtrar y
de aplicacin
guardar un grupo de aplicaciones mediante los atributos definidos en la base de datos
Le permite especificar los puertos de origen y destino y el protocolo que puede utilizar un
servicio. El firewall incluye dos servicios predefinidos (servicio-http y servicio-https) que
utilizan los puertos 80 y 8080 de TCP para HTTP y el puerto 443 de TCP para HTTPS. Sin
embargo, puede crear cualquier servicio personalizado en cualquier puerto TCP/UDP de
su eleccin para restringir el uso de la aplicacin a puertos especficos de su red (dicho de
otro modo, puede definir el puerto predeterminado para la aplicacin).
Nota
Para ver los puertos estndar utilizados por una aplicacin, en Objetos >
Aplicaciones, busque la aplicacin y haga clic en el enlace. Aparecer una
descripcin concisa.
38
Gua de inicio
Algunos ejemplos de objetos de polticas de direccin y aplicacin se muestran en las polticas de seguridad incluidas
en Creacin de reglas de seguridad. Para obtener informacin sobre los otros objetos de polticas, consulte
Proteccin de su red contra amenazas y, para obtener informacin ms detallada, consulte la Gua del administrador
de PAN-OS.
Los diferentes tipos de perfiles de seguridad que pueden vincularse a polticas de seguridad son: Antivirus,
Antispyware, Proteccin contra vulnerabilidades, Filtrado de URL, Bloqueo de archivos y Filtrado de datos. El
firewall proporciona perfiles de seguridad predeterminados que puede utilizar inmediatamente para empezar a
proteger su red frente a amenazas. Consulte Creacin de reglas de seguridad para obtener informacin sobre el
uso de los perfiles predeterminados de su poltica de seguridad. Cuando comprenda mejor las necesidades de
seguridad de su red, podr crear perfiles personalizados. Consulte Exploracin del trfico en busca de amenazas
para obtener ms informacin.
Gua de inicio
39
Planificacin de su implementacin
Planificacin de su implementacin
Antes de empezar a configurar sus interfaces y zonas, debera dedicar algo de tiempo a planificar las zonas que
necesitar basndose en los diferentes requisitos de uso de su organizacin. Adems, debera recopilar toda la
informacin de configuracin que necesitar de manera preventiva. A un nivel bsico, debera planificar qu
interfaces pertenecern a qu zonas. Para implementaciones de capa 3, tambin deber obtener las direcciones
IP obligatorias y la informacin de configuracin de red de su administrador de red, incluida la informacin
sobre cmo configurar el protocolo de enrutamiento o las rutas estticas obligatorias para la configuracin de
enrutador virtual. El ejemplo de este captulo se basar en la siguiente topologa:
La siguiente tabla muestra la informacin que utilizaremos para configurar las interfaces de capa 3 y sus
correspondientes zonas, como se muestra en la topologa de muestra.
Zona
Tipos de implementacin
Interfaces
Ajustes de configuracin
No fiable
L3
Ethernet1/3
Fiable
L3
Ethernet1/4
DMZ
L3
Ethernet1/13
40
Gua de inicio
Paso 1
Gua de inicio
2.
3.
4.
41
Paso 2
1.
2.
3.
4.
5.
7.
Paso 3
Nota
42
2.
3.
4.
5.
6.
7.
Gua de inicio
Paso 4
1.
2.
3.
4.
5.
7.
Paso 5
Paso 6
Paso 7
Gua de inicio
43
Para permitir que los clientes de la red interna accedan a recursos en Internet, las direcciones 192.168.1.0
internas debern traducirse a direcciones enrutables pblicamente. En este caso, configuraremos NAT de
origen, utilizando la direccin de interfaz de salida, 203.0.113.100, como la direccin de origen en todos los
paquetes que salgan del firewall desde la zona interna. Consulte Traduccin de direcciones IP de clientes
internos a su direccin IP pblica para obtener instrucciones.
Para permitir que los clientes de la red interna accedan al servidor web pblico en la zona DMZ, necesitaremos
configurar una regla NAT que redirija el paquete desde la red externa, donde la bsqueda de tabla de enrutamiento
original determinar que debe ir, basndose en la direccin de destino de 203.0.113.11 dentro del paquete, a la
direccin real del servidor web de la red DMZ de 10.1.1.11. Para ello, deber crear una regla NAT desde la zona
fiable (donde se encuentra la direccin de origen del paquete) hasta la zona no fiable (donde se encuentra la
direccin de destino) para traducir la direccin de destino a una direccin de la zona DMZ. Este tipo de NAT de
destino se denomina NAT de ida y vuelta. Consulte Habilitacin de clientes de la red interna para acceder a sus
servidores pblicos para obtener instrucciones.
Para permitir que el servidor web (que tiene tanto una direccin IP privada en la red DMZ como una
direccin pblica para que accedan usuarios externos) enve y reciba solicitudes, el firewall debe traducir los
paquetes entrantes desde la direccin IP pblica hacia la direccin IP privada y los paquetes salientes desde
la direccin IP privada hacia la direccin IP pblica. En el firewall, puede conseguir esto con una nica
poltica NAT de origen esttico bidireccional. Consulte Habilitacin de la traduccin de direcciones bidireccional
para sus servidores pblicos.
44
Gua de inicio
Paso 1
1.
2.
3.
4.
Prctica recomendada:
Aunque no tiene que utilizar objetos de direccin en sus polticas, es
una prctica recomendada porque simplifica la administracin al
permitirle realizar actualizaciones en un lugar en vez de tener que
actualizar cada poltica donde se hace referencia a la direccin.
Gua de inicio
45
Paso 2
Paso 3
Guarde la configuracin.
46
Gua de inicio
Paso 1
Paso 2
1.
2.
3.
4.
Guarde la configuracin.
Gua de inicio
47
enviar paquetes y recibirlos. En este caso, necesita una poltica recproca que traduzca la direccin pblica que
ser la direccin IP de destino en paquetes entrantes de usuarios de Internet a la direccin privada para permitir
que el firewall enrute correctamente el paquete a su red DMZ. En el firewall, puede realizar esta accin creando
una poltica NAT esttica bidireccional como se describe en el procedimiento siguiente.
Configuracin de NAT bidireccional
Paso 1
1.
2.
3.
4.
Nota
Paso 2
Paso 3
48
Guarde la configuracin.
Gua de inicio
Gua de inicio
49
Paso 1
Nota
Nota
5.
6.
7.
50
Gua de inicio
Paso 2
Nota
3.
Paso 3
Gua de inicio
3.
4.
5.
6.
7.
51
Paso 4
1.
2.
3.
4.
5.
6.
52
Gua de inicio
Paso 5
1.
2.
3.
4.
5.
6.
7.
Paso 6
Gua de inicio
53
54
Gua de inicio
En el ACC, revise las aplicaciones ms utilizadas y las aplicaciones de alto riesgo en su red. El ACC resume
grficamente la informacin de logs para resaltar las aplicaciones que cruzan la red, quin las est utilizando
(con el ID de usuario habilitado) y el posible impacto en la seguridad del contenido para ayudarle a identificar
qu sucede en la red en tiempo real. A continuacin, podr utilizar esta informacin para crear polticas de
seguridad adecuadas que bloqueen las aplicaciones no deseadas y que permitan y habiliten aplicaciones de
manera segura.
Evale si desea permitir contenido basndose en la programacin, los usuarios o los grupos.
Revise los logs de filtrado de URL para examinar alertas y categoras/URL denegadas. Para generar un log
de URL, debe tener un perfil de URL adjuntado a la regla de seguridad y la accin debe establecerse como
alertar, continuar, cancelar o bloquear.
Gua de inicio
55
56
Gua de inicio
Habilitacin de WildFire
Gua de inicio
57
Habilitacin de WildFire
Habilitacin de WildFire
El servicio WildFire se incluye como parte del producto bsico. El servicio WildFire permite que el firewall
reenve archivos adjuntos a un entorno de Sandbox donde se ejecutan aplicaciones para detectar cualquier
actividad malintencionada. Cuando el sistema WildFire detecta software malintencionado, se generan
automticamente firmas de software malintencionado que estarn disponibles en las descargas diarias del
antivirus en un plazo de 24-48 horas. Su suscripcin a la prevencin de amenazas le da derecho a actualizaciones
de firmas de antivirus que incluyen firmas detectadas por WildFire.
Considere adquirir el servicio de suscripcin a WildFire para obtener estas ventajas adicionales:
Actualizaciones de firmas de WildFire con una frecuencia inferior a una hora (hasta cada 15 minutos)
Reenvo de tipos de archivos avanzados (APK, PDF, Microsoft Office y applet Java)
Habilitacin de WildFire
Paso 1
Paso 2
1.
2.
3.
1.
2.
3.
Nota
58
5.
Gua de inicio
Habilitacin de WildFire
Paso 3
Paso 4
1.
2.
3.
4.
5.
6.
2.
3.
Paso 5
Guarde la configuracin.
Paso 6
1.
2.
3.
Para obtener ms informacin sobre WildFire, consulte la Gua del administrador de Palo Alto Networks WildFire.
Gua de inicio
59
Paso 1
Paso 2
60
1.
2.
Gua de inicio
Paso 3
1.
2.
3.
4.
HA activa/pasiva: Si el puerto de gestin se usa para descargar firmas de antivirus, configure una programacin en
ambos dispositivos y ambos dispositivos realizarn las descargas e instalaciones de forma independiente. Si usa un
puerto de datos para las descargas, el dispositivo pasivo no realizar descargas mientras est en estado pasivo. En este
caso debera establecer una programacin en ambos dispositivos y, a continuacin, seleccionar la opcin Sincronizar
en el peer. De este modo se garantiza que sea cual sea el dispositivo activo, se realizarn las actualizaciones y despus
se aplicarn al dispositivo pasivo.
HA activa/activa: Si el puerto de gestin se usa para descargas de firmas de antivirus en ambos dispositivos, programe
la descarga/instalacin en ambos dispositivos, pero no seleccione la opcin Sincronizar en el peer. Si usa un puerto
de datos, programe las descargas de firmas en ambos dispositivos y seleccione Sincronizar en el peer. De este modo
garantizar que si un dispositivo en la configuracin activa/activa pasa al estado activo secundario, el dispositivo activo
descargar/instalar la firma y despus la aplicar al dispositivo activo secundario.
Gua de inicio
61
Paso 4
Paso 5
Guarde la configuracin.
1.
2.
Paso 1
62
1.
2.
Gua de inicio
Paso 2
1.
2.
3.
4.
5.
6.
7.
Paso 3
Gua de inicio
2.
3.
63
Paso 4
Paso 5
3.
4.
5.
6.
Para comprobar la configuracin de bloqueo de archivos, acceda a un ordenador cliente en la zona fiable del
firewall y trate de descargar un archivo .exe desde un sitio web en la zona no fiable. Debera aparecer una pgina
de respuesta. Haga clic en Continuar para descargar el archivo. Tambin puede establecer otras acciones, como
nicamente alertar, reenviar (que reenviar a WildFire) o bloquear, que no proporcionar al usuario una pgina
que le pregunte si desea continuar. A continuacin se muestra la pgina de respuesta predeterminada de Bloqueo
de archivos:
64
Gua de inicio
Paso 1
Paso 2
1.
2.
1.
3.
1.
2.
Paso 3
Gua de inicio
65
Paso 4
1.
2.
1.
2.
3.
66
4.
5.
6.
Compile la configuracin.
Gua de inicio
Paso 6
2.
3.
4.
5.
6.
Paso 7
Guarde la configuracin.
Paso 8
Para comprobar el filtrado de URL, acceda a un ordenador cliente desde la zona donde se aplica la poltica de
seguridad y trate de acceder a un sitio de una categora bloqueada. Debe ver una pgina de respuesta de filtrado
de URL que indica que la pgina se ha bloqueado:
Applipedia: Ofrece informacin sobre las aplicaciones que Palo Alto Networks puede identificar.
Cmara de amenazas: Enumera todas las amenazas que pueden identificar los productos de Palo Alto
Networks. Puede buscar por Vulnerabilidad, Spyware o Virus. Haga clic en el icono de detalles junto al
nmero de ID para obtener ms informacin acerca de una amenaza.
Gua de inicio
67
68
Gua de inicio
Configuracin de identificacin de
usuarios
La identificacin de usuarios (User-ID) es una funcin de firewall de prxima generacin de Palo Alto Networks
que le permite crear polticas y realizar informes basndose en usuarios y grupos en lugar de direcciones IP
individuales. Las siguientes secciones describen la funcin User-ID de Palo Alto Networks y ofrecen
instrucciones sobre cmo configurar el acceso basado en usuarios y grupos:
Gua de inicio
69
LDAP
eDirectory Novell
Para poder crear polticas basadas en usuarios y grupos, el firewall debe tener una lista de todos los usuarios
disponibles y sus correspondientes asignaciones de grupos desde los que puede seleccionarlos al definir sus
polticas. Obtiene esta informacin de asignacin de grupos conectndose directamente a su servidor de
directorio LDAP. Consulte Acerca de la asignacin de grupos para obtener ms informacin.
Para poder aplicar las polticas basadas en usuarios y grupos, el firewall debe poder asignar las direcciones IP de
los paquetes que recibe a nombres de usuarios. Obtiene esta informacin de asignacin de usuarios
(directamente o a travs de un agente de User-ID instalado en un servidor de Windows) supervisando logs de
eventos de controlador de dominio o Microsoft Exchange Server en busca de eventos de inicio de sesin,
supervisando Novell eDirectory en busca de informacin de inicio de sesin o sondeando directamente los
sistemas cliente. Consulte Acerca de la asignacin de usuarios para obtener ms informacin.
70
Gua de inicio
Supervise los logs de eventos de seguridad de sus Microsoft Exchange Servers, controladores de dominio o
servidores Novell eDirectory en busca de eventos de inicio de sesin. Por ejemplo, en un entorno AD, el
agente supervisar los logs de seguridad en busca de renovaciones o concesiones de tickets de Kerberos,
acceso al servidor Exchange (si est configurado) y conexiones de servicio de impresin y archivo (en el caso
de servidores supervisados). Recuerde que para que estos eventos se registren en el log de seguridad, el
dominio AD debe configurarse para registrar eventos de inicio de sesin de cuenta correctos. Consulte
Configuracin de la asignacin de usuarios para obtener informacin detallada.
En un entorno de Microsoft Windows, el agente se puede configurar para sondear los sistemas cliente
mediante Windows Management Instrumentation (WMI) o NetBIOS (no compatible en el agente de ID de
usuario o User-ID integrado de PAN-OS). Si el sondeo est habilitado, el agente sondear peridicamente
cada direccin IP obtenida (cada 20 minutos de manera predeterminada, pero esto puede configurarse) para
verificar que el mismo usuario sigue conectado. Adems, cuando el firewall se encuentre una direccin IP
para la que no tenga una asignacin de usuarios, enviar la direccin al agente para un sondeo inmediato.
Consulte Configuracin de la asignacin de usuarios para obtener informacin detallada.
En entornos con sistemas multiusuario (como entornos de Microsoft Terminal Server o Citrix), muchos
usuarios comparten la misma direccin IP. En este caso, el proceso de asignacin de usuario a direccin IP
requiere el conocimiento del puerto de origen de cada cliente. Para realizar este tipo de asignacin, debe
instalar el agente de servicios de terminal de Palo Alto Networks en el propio servidor de terminal
Windows/Citrix para que sirva de intermediario en la asignacin de puertos de origen a los diversos procesos
de usuario. En servidores de terminal que no admiten al agente de servicios de terminal, como los servidores
de terminal de Linux, puede utilizar la API XML para enviar informacin de asignacin de usuario desde el
inicio de sesin y eventos de inicio de sesin al User-ID o ID de usuario. Consulte Configuracin de la
asignacin de usuarios para usuarios del servidor de terminal en la Gua del administrador de PAN-OS para
obtener informacin sobre la configuracin.
En entornos con servicios de red existentes que autentican usuarios -como controladores inalmbricos,
dispositivos 802.1x, servidores de Apple Open Directory, servidores proxy u otros mecanismos de control
de acceso a redes (NAC)- el agente de ID de usuario (User-ID) del firewall (el agente de Windows o el agente
integrado de PAN-OS en el firewall) puede detectar ahora los mensajes de Syslog de autenticacin desde
estos servicios. Los filtros de Syslog, proporcionados por una actualizacin de contenido (solo agente de ID
o User-ID integrado) o configurados manualmente, permiten al agente de ID de usuario analizar y extraer
nombres de usuario y direcciones IP desde los eventos de Syslog de autenticacin generados por el servicio
externo y agregar la informacin a la direccin IP del ID de usuario para las asignaciones de nombre de
usuario mantenidas por el firewall. Consulte Configuracin del ID de usuario (User-ID) para recibir
asignaciones de usuario desde un emisor de Syslog en la Gua del administrador de PAN-OS para obtener
informacin de configuracin.
Gua de inicio
71
Si el firewall o el agente de User-ID no puede asignar una direccin IP a un usuario (por ejemplo, si el usuario no
ha iniciado sesin o si est utilizando un sistema operativo como Linux que no es compatible con sus servidores
de dominio), podr configurar un portal cautivo. Cuando est configurado, cualquier trfico web (HTTP o
HTTPS) que coincida con su poltica de portal cautivo requerir la autenticacin de usuario, ya sea de manera
transparente a travs de un desafo NT LAN Manager (NTLM) para el explorador, o de manera activa redirigiendo
al usuario a un formulario de autenticacin web para una autenticacin con una base de datos de autenticacin
RADIUS, LDAP, Kerberos o local o utilizando una autenticacin de certificado de cliente.
Para otros tipos de acceso de usuario que no se pueden asignar con mtodos de asignacin de usuarios
estndar o de portal cautivo (por ejemplo), aada asignaciones de usuarios conectados desde una solucin
VPN externa o usuarios conectados a una red inalmbrica con 802.1x. Consulte la Gua de uso de la API
Rest basada en XML de PAN-OS.
El siguiente diagrama muestra los diferentes mtodos que se utilizan para identificar a usuarios y grupos en su red:
72
Gua de inicio
Gua de inicio
73
Paso 1
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que
utilice el firewall para obtener informacin de asignacin de grupos.
1. Seleccione Dispositivo > Perfiles de
servidor > LDAP.
2. Haga clic en Aadir y, a continuacin,
introduzca un Nombre para el perfil.
3. (Opcional) Seleccione el sistema virtual al
que se aplica este perfil en el men
desplegable Ubicacin.
4. Haga clic en Aadir para aadir una
nueva entrada de servidor LDAP y, a
continuacin, introduzca un nombre de
Servidor para identificar al servidor (de 1
a 31 caracteres) y el nmero de Direccin
IP y Puerto que debera utilizar el firewall para conectarse al servidor LDAP (valor predeterminado=389 para
LDAP; 636 para LDAP sobre SSL). Puede aadir hasta cuatro servidores LDAP al perfil; sin embargo, todos
los servidores que aada a un perfil debern ser del mismo tipo. Para la redundancia, debera aadir como
mnimo dos servidores.
5. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor
que introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN
(por ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios
dominios, deber crear perfiles de servidor separados.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
6. Seleccione el Tipo de servidor LDAP al que se est conectando. Los atributos de LDAP correctos de la
configuracin de asignacin de grupos se cumplimentarn automticamente segn su seleccin. Sin embargo,
si ha personalizado su esquema, puede que tenga que modificar los ajustes predeterminados.
7. En el campo Base, seleccione el DN correspondiente al punto del rbol de LDAP en el que desee que el
firewall comience su bsqueda de informacin de usuarios y grupos.
8. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
9. Si desea que el firewall se comunique con los servidores LDAP a travs de una conexin segura, seleccione la casilla
de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de puerto adecuado.
74
Gua de inicio
Paso 2
Guarde la configuracin.
Para asignar clientes que hayan iniciado sesin en sus servidores Exchange supervisados, controladores de
dominio o servidores eDirectory o clientes Windows que puedan sondearse directamente, consulte
Configuracin de la asignacin de usuarios.
Si tiene usuarios con sistemas cliente que no hayan iniciado sesin en sus servidores de dominio (por
ejemplo, usuarios que ejecuten clientes Linux que no inicien sesin en el dominio), consulte Asignacin de
direcciones IP a nombres de usuario mediante un portal cautivo.
Si tiene clientes que ejecuten sistemas multiusuario como Microsoft Terminal Server o Citrix Metaframe
Presentation Server o XenApp, consulte Configuracin de la asignacin de usuarios para usuarios del
servidor de terminal en la Gua del administrador de PAN-OS para obtener informacin sobre
configuracin.
En el caso de otros clientes que no pueda asignar utilizando los mtodos anteriores, puede utilizar la API
Rest basada en XML para aadir asignaciones de usuarios directamente al firewall. Consulte Gua de uso
de la API Rest basada en XML de PAN-OS para obtener instrucciones.
Gua de inicio
75
Sin embargo, en entornos ms pequeos (aunque esto variar dependiendo de la implementacin, como regla general
debera utilizar los agentes incluidos en el dispositivo en los entornos en los que vaya a supervisar diez o menos
servidores de directorio), puede utilizar el agente incluido en el dispositivo que se encuentra en el firewall sin necesidad
de instalar software de agente separado en sus servidores de red. Adems, si est utilizando el agente incluido en el
dispositivo, podr configurarlo para redistribuir informacin de asignacin de usuarios a otros firewalls.
Para obtener informacin sobre los requisitos del sistema necesarios para instalar el agente de ID de
usuario (User-ID) basado en Windows, consulte las Notas de la versin del ID de usuario (User-ID),
disponibles en la pgina de actualizaciones de software de Palo Alto Networks.
Paso 1
Cree una cuenta de Active Directory para Servidores de dominio Windows 2008 o posteriores: Aada la
cuenta al grupo Lectores de log de evento. Si est utilizando el
el agente de firewall que tenga los niveles
agente de User-ID incluido en el dispositivo, la cuenta tambin
de privilegios necesarios para iniciar
debe ser miembro del grupo Usuarios COM distribuidos.
sesin en cada servicio o host que tenga
la intencin de supervisar para recopilar Servidores de dominio Windows 2003: Asigne permisos
datos de asignacin de usuarios.
Gestionar logs de seguridad y auditora a travs de polticas de grupo.
Sondeo de WMI: Asegrese de que la cuenta tiene los derechos
necesarios para leer el espacio de nombres CIMV2; de manera
predeterminada, las cuentas de administrador de dominio tienen
este permiso.
Autenticacin de NTLM: Como el firewall debe unirse al
dominio si est utilizando la autenticacin de NTLM con un agente
de ID de usuario (User-ID) incluido en el dispositivo, la cuenta de
Windows que cree para el acceso a NTLM deber tener privilegios
administrativos. Tenga en cuenta que, debido a las restricciones de
AD sobre los sistemas virtuales que se ejecutan en el mismo host,
si ha configurado varios sistemas virtuales, nicamente vsys1 podr
unirse al dominio.
76
Gua de inicio
Paso 2
1.
Defina los servidores que debera
supervisar el firewall para recopilar
informacin de asignacin de direccin 2.
IP a usuario. Puede definir entradas para
hasta 100 servidores Microsoft Active
3.
Directory, Microsoft Exchange o Novell
eDirectory en su red.
Recuerde que para recopilar todas las
4.
asignaciones necesarias, deber conectarse
5.
a todos los servidores en los que sus
usuarios inician sesin para que el firewall
6.
pueda supervisar los archivos de log de
seguridad en todos los servidores que
contengan eventos de inicio de sesin.
Nota
7.
8.
Gua de inicio
77
Paso 3
Paso 4
Nota
Paso 5
Paso 6
Nota
Guarde la configuracin.
2.
3.
1.
2.
Verifique la configuracin.
1.
Donde <value> es una lista de las cuentas de usuario que hay que
ignorar; no hay ningn lmite en el nmero de cuentas que puede
aadir a la lista. Separe las entradas con un espacio y no incluya el
nombre de dominio con el nombre de usuario. Por ejemplo:
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
3.
Paso 7
1.
2.
78
Gua de inicio
Descripcin
Autenticacin de NTLM
El firewall utiliza un mecanismo de respuesta por desafo cifrado para obtener las
credenciales del usuario desde el explorador. Si se configura correctamente, el
explorador proporcionar las credenciales al firewall de manera transparente sin
preguntar al usuario, pero mostrar un mensaje solicitando las credenciales si es
necesario. Si el explorador no puede realizar la autenticacin NTLM o esta falla, el
firewall retroceder a una autenticacin con formato web o certificado de cliente,
dependiendo de su configuracin de portal cautivo.
De manera predeterminada, IE admite NTLM. Firefox y Chrome pueden
configurarse para utilizarlo. No puede utilizar NTLM para autenticar clientes que
no sean de Windows.
Formato web
Certificado de autenticacin de cliente Solicita al explorador que presente un certificado de cliente vlido para autenticar al
usuario. Para utilizar este mtodo debe proporcionar certificados de cliente en cada
sistema de usuario e instalar el certificado de CA de confianza utilizado para emitir
esos certificados en el firewall. Este es el nico mtodo de autenticacin que habilita
una autenticacin transparente para clientes de Mac OS y Linux.
Gua de inicio
79
Descripcin
Transparente
Redirigir
Paso 1
Paso 2
Asegrese de que DNS est configurado Para verificar que la resolucin es correcta, haga ping en el
para resolver sus direcciones de
FQDN del servidor. Por ejemplo:
controlador de dominio.
admin@PA-200> ping host dc1.acme.com
80
Gua de inicio
Paso 3
1.
Paso 4
Nota
2.
3.
3.
Gua de inicio
81
Paso 5
82
Gua de inicio
Paso 6
Nota
4.
1.
Paso 7
Nota
Gua de inicio
83
Paso 8
de la seccin
84
Gua de inicio
Paso 1
Habilite User-ID en las zonas de origen que contengan los usuarios que enviarn solicitudes que requieran
controles de acceso basados en usuarios.
1. Seleccione Red > Zonas.
2. Haga clic en el Nombre de la zona en
la que desee habilitar User-ID para abrir
el cuadro de dilogo Zona.
3. Seleccione la casilla de verificacin
Habilitacin de la identificacin de
usuarios y, a continuacin, haga clic en
Aceptar.
Paso 2
1.
Prctica recomendada:
Gua de inicio
85
Paso 3
Paso 4
86
Gua de inicio
Paso 1
Paso 2
IP
Vsys From
User
Timeout (sec)
-------------------------------------------------------------192.168.201.1
vsys1 UIA
acme\louis
210
192.168.201.11 vsys1 UIA
acme\eileen
210
192.168.201.50 vsys1 UIA
acme\kimberly
210
192.168.201.10 vsys1 UIA
acme\administrator
210
192.168.201.100 vsys1 AD
acme\administrator
748
Total: 5 users
*: WMI probe succeeded
Paso 3
Gua de inicio
87
Paso 4
1.
2.
3.
4.
Paso 5
88
Compruebe que los nombres de usuario aparecen en los archivos de log (Supervisar > Logs).
Gua de inicio
Paso 6
Compruebe que los nombres de usuario aparecen en los informes (Supervisar > Informes). Por ejemplo, al
examinar el informe de aplicaciones denegadas, debera poder ver una lista de los usuarios que intentaron acceder
a las aplicaciones como en el ejemplo siguiente.
Gua de inicio
89
90
Gua de inicio
Directrices de configuracin
Gua de inicio
91
Modos de HA
Puede configurar los firewalls para la HA en dos modos:
Activo/pasivo: Un dispositivo gestiona activamente el trfico mientras que el otro est sincronizado y listo para
pasar al estado activo en el caso de que se produjera un fallo. En esta configuracin, ambos dispositivos
comparten los mismos ajustes de configuracin y uno gestiona activamente el trfico hasta que se produce un
fallo de ruta, enlace, sistema o red. Cuando el dispositivo activo falla, el dispositivo pasivo toma el control sin
problemas y aplica las mismas polticas para mantener la seguridad de red. La HA activa/pasiva es compatible
con las implementaciones de cable virtual, capa 2 y capa 3. Para obtener informacin sobre cmo establecer
una configuracin activa/pasiva en sus dispositivos, consulte Configuracin de un par activo/pasivo.
Los firewalls de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva. HA Lite
permite la sincronizacin de la configuracin y la sincronizacin de algunos datos de tiempo de
ejecucin, como asociaciones de seguridad de IPSec. No admite ninguna sincronizacin de sesiones y,
por lo tanto, HA Lite no ofrece una conmutacin por error con estado.
Activo/activo: Ambos dispositivos del par estn activos y procesan el trfico. Asimismo, trabajan sincronizadamente
para gestionar la configuracin y la propiedad de la sesin. La implementacin activa/activa es compatible con las
implementaciones de cable virtual y capa 3 y nicamente se recomienda para redes con enrutamiento asimtrico.
Para obtener informacin sobre el establecimiento de una configuracin activa/activa en los dispositivos, consulte
Active/Active High Availability Tech Note (Nota tcnica sobre alta disponibilidad activa/activa).
92
Gua de inicio
Enlace de control: El enlace de HA1 se utiliza para intercambiar saludos, heartbeats e informacin de
estado de HA, as como para la sincronizacin del plano de gestin para el enrutamiento e informacin de
User-ID. Este enlace tambin se utiliza para sincronizar cambios de configuracin en el dispositivo activo o
pasivo con su peer. El enlace de HA1 es un enlace de capa 3 y requiere una direccin IP.
Puertos utilizados para HA1: Puertos TCP 28769 y 28260 para una comunicacin con texto en claro;
puerto 28 para una comunicacin cifrada (SSH sobre TCP).
Enlace de datos: El enlace de HA2 se utiliza para sincronizar sesiones, reenviar tablas, asociaciones de
seguridad de IPSec y tablas de ARP entre dispositivos de un par de HA. El flujo de datos del enlace de HA2
siempre es unidireccional (excepto en la conexin persistente de HA2); fluye desde el dispositivo activo al
dispositivo pasivo. El enlace de HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 de manera
predeterminada.
Puertos utilizados para HA2: El enlace de datos de HA puede configurarse para utilizar IP (nmero de
protocolo 99) o UDP (puerto 29281) como transporte, permitiendo con ello que el enlace de datos de HA
abarque las subredes.
Nota: Las implementaciones activas/activas tambin utilizan un enlace de HA3 para el reenvo de paquetes.
Enlaces de copia de seguridad: Proporcionan redundancia para los enlaces de HA1 y HA2. Se utilizan
puertos internos como enlaces de copia de seguridad para HA1 y HA2. Tenga en cuenta las siguientes
directrices al configurar enlaces de HA de copia de seguridad:
Las direcciones IP de los enlaces de HA principal y de copia de seguridad no deben solaparse entre s.
Los enlaces de copia de seguridad de HA deben encontrarse en una subred diferente que la de los
enlaces de HA principales.
Los puertos de copia de seguridad de HA1 y HA2 deben configurarse en puertos fsicos separados.
El enlace de copia de seguridad de HA1 utiliza los puertos 28770 y 28260.
Palo Alto Networks recomienda habilitar la copia de seguridad de heartbeat (utiliza el puerto 28771 en
la interfaz de gestin) si utiliza un puerto interno para los enlaces de copia de seguridad de HA1 o HA1.
Gua de inicio
93
Mensajes de saludo y sondeos de heartbeat: Los firewalls utilizan mensajes de saludo y heartbeats para
verificar que el dispositivo peer responde y est operativo. Los mensajes de saludo se envan desde un peer
al otro en el intervalo de saludo configurado para verificar el estado del dispositivo. El heartbeat es un ping
ICMP para el peer de HA a travs del enlace de control y el peer responde al ping para establecer que los
dispositivos estn conectados y responden. De manera predeterminada, el intervalo para el heartbeat es de
1.000 milisegundos. Para obtener informacin detallada sobre los temporizadores de HA que activan una
conmutacin por error, consulte Temporizadores de HA.
Supervisin de enlaces: Las interfaces fsicas que deben supervisarse se agrupan en un grupo de enlaces y
se supervisa su estado (enlace activado o desactivado). Un grupo de enlaces puede contener una o ms
interfaces fsicas. Se activa un fallo de dispositivo cuando falla alguna o todas las interfaces del grupo.
El comportamiento predeterminado es que el fallo de cualquier enlace del grupo de enlaces har que el
dispositivo cambie el estado de HA a no funcional para indicar el fallo de un objeto supervisado.
Supervisin de rutas: Supervisa toda la ruta a travs de la red hasta direcciones IP de vital importancia.
Los pings ICMP se utilizan para verificar que se puede llegar a la direccin IP. El intervalo predeterminado para
pings es de 200 ms. Se considera que no se puede llegar a una direccin IP cuando fallan 10 pings consecutivos
(el valor predeterminado) y se activa un fallo de dispositivo cuando no se puede llegar a alguna o todas las
direcciones IP supervisadas. El comportamiento predeterminado es que cualquiera de las direcciones IP a las
que no se pueda llegar har que el dispositivo cambie el estado de HA a no funcional para indicar el fallo de
un objeto supervisado.
Adems de los activadores de conmutacin por error enumerados anteriormente, tambin se produce una
conmutacin por error cuando el administrador coloca el dispositivo en un estado suspendido o si se produce
una preferencia.
94
Gua de inicio
En los firewalls de las series PA-3000, PA-5000 y PA-7050 se puede producir una conmutacin por error si falla
una comprobacin de estado interna. Esta comprobacin de estado no es configurable y se habilita para verificar
el estado operativo de todos los componentes del firewall.
Temporizadores de HA
Los temporizadores de alta disponibilidad (HA) se utilizan para detectar un fallo de firewall y activar una
conmutacin por error. Para reducir la complejidad al configurar temporizadores de HA, puede seleccionar uno
de los tres perfiles siguientes: Recomendada, Agresivo y Avanzado. Estos perfiles introducen automticamente los
valores de temporizador de HA ptimos para la plataforma de firewall especfica con el fin de habilitar una
implementacin de HA ms rpida.
Utilice el perfil Recomendada para establecer una configuracin de temporizador de conmutacin por error
tpica y el perfil Agresivo para establecer una configuracin de temporizador de conmutacin por error ms
rpida. El perfil Avanzado le permite personalizar los valores de temporizador para que se adapten a sus
requisitos de red.
La siguiente tabla describe cada temporizador incluido en los perfiles y los valores preestablecidos actuales en
los diferentes modelos de hardware diferentes; estos valores se proporcionan nicamente como referencia de la
versin actual y pueden cambiar en una versin posterior.
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
0/0
0/0
0/0
Tiempo de espera
para ser preferente
1/1
Tiempo que esperar un
dispositivo pasivo o secundario
activo antes de tomar el
control como dispositivo
activo o principal activo.
1/1
1/1
Intervalo de
heartbeat
2000/1000
2000/1000
Gua de inicio
95
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
2000/500
Tiempo de espera de Tiempo que esperar el
promocin
dispositivo pasivo (en el modo
activo/pasivo) o el dispositivo
secundario activo (en el modo
activo/activo) antes de tomar el
control como dispositivo activo
o principal activo despus de
perder las comunicaciones con
el peer de HA. Este tiempo de
espera nicamente comenzar
despus de que se realice una
declaracin de fallo de peer.
2000/500
2000/500
Tiempo de espera
Este intervalo de tiempo se aplica 500/500
ascendente principal al mismo evento que Tiempo de
adicional
espera ascendente tras fallo de
supervisor (rango: 0-60.000 ms;
valor predeterminado: 500 ms).
El intervalo de tiempo adicional
nicamente se aplica al
dispositivo activo en el modo
activo/pasivo y al dispositivo
principal activo en el modo
activo/activo. Se recomienda este
temporizador para evitar una
conmutacin por error cuando
ambos dispositivos experimentan
el mismo fallo de supervisor de
enlace/ruta simultneamente.
500/500
7000/5000
8000/8000
8000/8000
Intervalo de saludo
96
Intervalo de tiempo en
milisegundos entre los
paquetes de saludo enviados
para verificar que las
prestaciones de HA del otro
firewall estn operativas. El
rango es de 8000-60000 ms
con un valor predeterminado
de 8000 ms para todas las
plataformas.
8000/8000
Gua de inicio
Temporizadores
Descripcin
PA-7050
Serie PA-2000
Panorama VM
Serie PA-5000
Serie PA-500
M-100
Serie PA-4000
Serie PA-200
Serie PA-3000
Serie VM
3/3
N. mximo de flaps Se cuenta un flap cuando el
firewall deja el estado activo
antes de que transcurran
15 minutos desde la ltima vez
que dej el estado activo. Este
valor indica el nmero mximo
de flaps permitidos antes de
que se determine suspender el
firewall y que el firewall pasivo
tome el control (rango: 0-16;
valor predeterminado: 3).
Gua de inicio
3/3
No aplicable
97
El mismo modelo: Ambos dispositivos del par deben tener el mismo modelo de hardware o de mquina virtual.
La misma versin de PAN-OS: Ambos dispositivos deben ejecutar la misma versin de PAN-OS y estar
actualizados en las bases de datos de la aplicacin, URL y amenazas. Ambos deben tener la misma funcin
de varios sistemas virtuales (vsys mltiple o nico).
El mismo tipo de interfaces: Enlaces de HA especficos o una combinacin del puerto de gestin y los
puertos internos que se establecen para la HA de tipo de interfaz.
Si utiliza la capa 3 como mtodo de transporte para la conexin de HA2 (datos), determine la direccin
IP para el enlace de HA2. Utilice la capa 3 nicamente si la conexin de HA2 debe comunicarse a travs
de una red enrutada. La subred IP de los enlaces de HA2 no debe solaparse con la de los enlaces de
HA1 ni con ninguna otra subred asignada a los puertos de datos del firewall.
Utilice un cable cruzado para conectar los puertos de HA si los dispositivos estn conectados
directamente. Si la conexin se establece mediante un conmutador o un enrutador, utilice un cable directo.
El mismo conjunto de licencias: Las licencias son exclusivas para cada dispositivo y no se pueden
compartir entre los dispositivos. Por lo tanto, debe obtener licencias idnticas para ambos dispositivos. Si los
dos dispositivos no tienen un conjunto idntico de licencias, no podrn sincronizar informacin de
configuracin y mantener la paridad para una conmutacin por error sin problemas.
Si tiene un firewall existente y desea aadir un nuevo firewall destinado a la HA, pero el nuevo firewall
ya tiene una configuracin, es recomendable que realice un restablecimiento de fbrica en el nuevo
firewall. Esto garantizar que el nuevo firewall tenga una configuracin limpia. Despus de configurar
HA, deber sincronizar la configuracin del dispositivo principal con el dispositivo recin introducido
mediante la configuracin limpia.
98
Gua de inicio
Directrices de configuracin
Directrices de configuracin
Para establecer un par activo (PeerA) pasivo (PeerB) en HA, debe configurar algunas opciones de manera
idntica en ambos dispositivos y algunas de manera independiente (no coincidentes) en cada dispositivo.
Estos ajustes de HA no se sincronizan entre los dispositivos. Para obtener informacin detallada sobre qu se
sincroniza y qu no, consulte HA Synchronization (Sincronizacin de HA).
Para ir a las instrucciones sobre cmo configurar los dispositivos en HA, consulte Configuracin de un par
activo/pasivo.
La siguiente tabla enumera los ajustes que debe configurar de manera idntica en ambos dispositivos:
Ajustes de configuracin idnticos en PeerA y PeerB
Gua de inicio
99
Directrices de configuracin
La siguiente tabla enumera los ajustes que deben configurarse de manera independiente en cada dispositivo:
Ajustes de
configuracin
independientes
PeerA
PeerB
Enlace de control
La informacin de
Si utiliza una conexin de capa 3, configure la
enlace de datos se
direccin IP para el enlace de datos de este
sincroniza entre los
dispositivos despus de dispositivo (PeerA).
habilitar la HA y
establecer el enlace de
control entre los
dispositivos.
Supervisin de enlaces:
Supervise una o ms
interfaces fsicas que
gestionen el trfico
vital de este dispositivo
y defina la condicin de
fallo.
Supervisin de rutas:
Supervise una o ms direcciones IP de destino
en las que el firewall
pueda utilizar pings
ICMP para verificar la
capacidad de respuesta.
100
Gua de inicio
Paso 1
Paso 2
Gua de inicio
101
Paso 3
1.
Si el dispositivo no tiene puertos de HA
especficos, configure los puertos de datos 2.
para que funcionen como puertos de HA.
En el caso de dispositivos con puertos de 3.
HA especficos, vaya al Paso 4.
Paso 4
4.
1.
2.
1.
Paso 6
102
2.
3.
1.
2.
Gua de inicio
Paso 7
3.
4.
5.
6.
Nota
Paso 8
7.
Gua de inicio
103
Paso 9
1.
2.
Nota
3.
Seleccione Preferente.
Debe habilitar la preferencia tanto en el dispositivo activo como
en el pasivo.
Nota
2.
Nota
104
Gua de inicio
1.
2.
3.
4.
5.
6.
Gua de inicio
105
1.
Paso 15 Cuando termine de configurar ambos
dispositivos, verifique que los dispositivos
estn emparejados en la HA
2.
activa/pasiva.
3.
En el dispositivo pasivo: El estado del
dispositivo local debera mostrarse
como Pasivo y la configuracin se
sincronizar.
106
Gua de inicio
Paso 1
Paso 2
1.
2.
Paso 4
1.
Para configurar la supervisin de rutas,
defina las direcciones IP de destino en las
que el firewall debera hacer ping para
verificar la conectividad de red.
2.
Gua de inicio
107
Paso 1
Paso 2
Paso 3
1.
2.
108
Gua de inicio