Está en la página 1de 499

Palo Alto Networks

Gua de referencia de interfaz web


Versin 6.1

Informacin de contacto
Sede de la empresa:
Gua del administrador
4401 Great America Parkway
Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta gua


Esta gua describe el cortafuegos de ltima generacin de Palo Alto Networks y las interfaces web de Panorama.
Proporciona informacin sobre cmo usar la interfaz web e informacin de referencia para rellenar campos de
la interfaz:

Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.


www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisin: noviembre 14, 2014

noviembre 26, 2014 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Contenido
Captulo 1
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

Descripcin general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11


Caractersticas y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Interfaces de gestin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Captulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Preparacin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15


Configuracin del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Uso de la interfaz web del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Compilacin de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Navegacin a pginas de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de tablas en pginas de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Campos obligatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19
20
20
20
21
21
Obtencin de ayuda para la configuracin del cortafuegos . . . . . . . . . . . 22
Cmo obtener ms informacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Captulo 3
Gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin del sistema, configuracin y gestin de licencias . . . . . . . . . . . . . .
Definicin de la configuracin de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de mdulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . .
SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de ID de contenido (content-id) . . . . . . . . . . . . . . .
Configuracin de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de la configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tiempos de espera de sesin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajustes de descifrado: Comprobacin de revocacin de certificado . . . . . . .
Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy.

Palo Alto Networks

23
24
24
38
42
45
46
50
52
53
54
55
57
58

Comparacin de archivos de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59


Instalacin de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Definicin de orgenes de informacin de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Instalacin de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Actualizacin de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 68
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Definicin de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Definicin de perfiles de contrasea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Requisitos de nombre de usuario y contrasea . . . . . . . . . . . . . . . . . . . . . . . . 74
Creacin de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Especificacin de dominios de acceso para administradores . . . . . . . . . . . . . . . . 77
Configuracin de perfiles de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Creacin de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 80
Cmo aadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuracin de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . 81
Configuracin de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuracin de ajustes de Kerberos (autenticacin nativa de Active Directory) . . 83
Configuracin de una secuencia de autenticacin . . . . . . . . . . . . . . . . . . . . . . . . . 84
Programacin de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Definicin de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Definicin de la configuracin del log Configuracin . . . . . . . . . . . . . . . . . . . . . . 87
Definicin de la configuracin del log Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Definicin de la configuracin de log Coincidencias HIP . . . . . . . . . . . . . . . . . . . 88
Definicin de la configuracin del log Alarma . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestin de configuracin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuracin de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuracin de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Descripcin de los campos personalizados de Syslog . . . . . . . . . . . . . . . . . . 95
Configuracin de ajustes de notificaciones por correo electrnico . . . . . . . . . . . 103
Configuracin de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gestin de certificados de dispositivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gestin de entidades de certificacin de confianza predeterminadas . . . . 109
Creacin un perfil de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Cmo aadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Cifrado de claves privadas y contraseas del cortafuegos . . . . . . . . . . . . . . . . 112
Habilitacin de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Definicin de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Configuracin de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 127
Definicin de pginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 128
Visualizacin de informacin de asistencia tcnica . . . . . . . . . . . . . . . . . . . . . . . 130

Captulo 4
Configuracin de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

131

Definicin de cables virtuales (Virtual Wire) . . . . . . . . . . . . . . . . . . . . . . . . . . . .


Configuracin de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz Ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una subinterfaz Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de interfaces de cable virtual (Virtual Wire) . . . . . . . . . . . .
Configuracin de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . .
Configuracin de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .

131
132
132
141
148
149
150
151

Palo Alto Networks

Configuracin de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . .


Configuracin de los grupos de interfaces de agregacin . . . . . . . . . . . . .
Configuracin de una interfaz Ethernet de agregacin. . . . . . . . . . . . . . . .
Configuracin de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de loopback . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de una interfaz de tnel . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Rutas estticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Perfiles de redistribucin . . . . . . . . . . . . . . . .
Configuracin de la pestaa RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la pestaa Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servidor y retransmisin DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de gestin de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de supervisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de perfiles de proteccin de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin contra inundaciones . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuracin de la proteccin de ataque basada en paquetes . . . . . . . .

151
152
155
157
157
161
163
165
166
166
167
168
171
176
182
191
195
196
197
199
201
202
202
204
205
206

Captulo 5
Polticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

211

Tipos de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directrices de definicin de polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificacin de usuarios y aplicaciones para las polticas . . . . . . . . . . . .
Definicin de polticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinacin de configuracin de zona en NAT y poltica de seguridad. .
Opciones de regla NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de poltica NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de traduccin de direccin de red . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de reenvo basado en polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

211
212
214
215
217
218
219
219
221
221
222
223
225
227
227
228
228
229
233
234
234
235
237

Palo Alto Networks

Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino/aplicacin/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Reenvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Polticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL/servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de application override . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Protocolo/Aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Categora de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Accin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de polticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Opcin/Proteccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pgina de perfil de antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaa Excepciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de proteccin de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Otros objetos de las polticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


Definicin de objetos de direcciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones y grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Trabajo con etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Categoras de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . . .
Definicin de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

237
238
239
239
240
241
241
242
243
243
244
245
245
246
246
247
247
248
248
248
249
249
250
251
252
252
253
254
255
255
256
256
259
263
269
274
276
278
279
280
282
284
288
291
291
292
293
294
295
296
297
298
298

Palo Alto Networks

Definicin de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . . . 299


Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
Reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306

Captulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

309

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310


Centro de comando de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Uso de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Informe del supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Informe del mapa de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Visualizacin de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Visualizacin de la informacin del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 329
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Configuracin del informe de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Gestin de informes de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Gestin de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Gestin de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 334
Gestin de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
Programacin de informes para entrega de correos electrnicos . . . . . . . 335
Visualizacin de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
Generacin de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Realizacin de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Captulo 7
Configuracin del cortafuegos para la identificacin de usuarios . . . .

341

Configuracin del cortafuegos para la identificacin de usuarios . . . . . . . . . . . 341


Pestaa Asignacin de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Pestaa Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Pestaa Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Pestaa Asignacin de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Pestaa Configuracin de portal cautivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Captulo 8
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

357

Definicin de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357


Pestaa General de puerta de enlace de IKE. . . . . . . . . . . . . . . . . . . . . . . . 358
Pestaa Opciones de fase 1 avanzadas de puertas de enlace de IKE . . . . 358
Configuracin de tneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Pestaa General del tnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Pestaa Identificador proxy de Tnel de IPSec. . . . . . . . . . . . . . . . . . . . . . . 362
Visualizacin del estado del tnel de IPSec en el cortafuegos . . . . . . . . . . . 362
Palo Alto Networks

Definicin de perfiles criptogrficos de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363


Definicin de perfiles criptogrficos de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Captulo 9
Configuracin de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

365

Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365


Pestaa Configuracin de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Pestaa Configuracin clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Pestaa Configuracin Satlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Configuracin de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . 376
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Pestaa Configuracin clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Pestaa Configuracin Satlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Configuracin del acceso de la puerta de enlace a un gestor de
seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Creacin de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Pestaa General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Pestaa Dispositivo mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Pestaa Administracin de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Pestaa Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Pestaa Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Pestaa Antispyware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Pestaa Copia de seguridad de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Pestaa Cifrado de disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Pestaa Prevencin de prdida de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Pestaa Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Configuracin de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Configuracin y activacin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . 396
Configuracin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

Captulo 10
Configuracin de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . . .

399

Configuracin de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . 399

Definicin de perfiles de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401


Definicin de polticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Visualizacin de estadsticas de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

Captulo 11
Gestin centralizada del dispositivo mediante Panorama . . . . . . . . . . .

409

Pestaa Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . .
Configuracin de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cmo aadir dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . .

411
414
414
415
418
421

Palo Alto Networks

Definicin de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421


Objetos y polticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Aplicacin de polticas a un dispositivo especfico de un grupo
de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Definicin de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 424
Creacin de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . . 425
Especificacin de dominios de acceso de Panorama para administradores . . . . 428
Compilacin de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 428
Plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Cancelacin de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Eliminacin de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Gestin de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Cmo aadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Instalacin de una actualizacin de software en un recopilador . . . . . . . . . 438
Definicin de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Generacin de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . . . . . . 441
Visualizacin de la informacin de implementacin del cortafuegos . . . . . . . . . 442
Programacin de actualizaciones dinmicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Programacin de exportaciones de configuracin . . . . . . . . . . . . . . . . . . . . . . . 444
Actualizacin del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Habilitacin del reenvo de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Registro del cortafuegos de la serie VM como servicio en el administrador NSX . 450
Actualizacin de informacin del administrador de servicios VMware . . . . . 452

Apndice A
Pginas personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

453

Pgina de bloqueo de antivirus y antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . 454


Pgina de bloqueo de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Pgina de bloqueo de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Pgina de exclusin de descifrado de SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Pgina de confort del portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Pgina de inicio de sesin de VPN SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Pgina de notificacin de certificado SSL revocado . . . . . . . . . . . . . . . . . . . . . . 458
Pgina de bloqueo de coincidencia de categora y filtro de URL . . . . . . . . . . . 458
Pgina de continuacin y cancelacin de filtrado de URL . . . . . . . . . . . . . . . . . . 459
Pgina de bloqueo de aplicacin de bsqueda segura de filtro de URL . . . . . . 460

Apndice B
Categoras, subcategoras, tecnologas y caractersticas de
la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

461

Categoras y subcategoras de aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . 461


Tecnologas de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Caractersticas de la aplicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

Palo Alto Networks

Apndice C
Compatibilidad con los estndares federales de procesamiento de
la informacin/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

465

Activacin del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465


Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Apndice D
Licencias de cdigo abierto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

467

Licencia artstica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general de GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licencia pblica general reducida de GNU . . . . . . . . . . . . . . . . . . . . . . . .
MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

468
469
470
475
482
482
486
487
488

Apndice E
Acceso de los cortafuegos a recursos web externos . . . . . . . . . . . . . . . .

489

Base de datos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


Base de datos de amenazas/antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de datos de filtrado de URL de PAN-DB. . . . . . . . . . . . . . . . . . . . . .
Base de datos de filtrado de URL de Brightcloud . . . . . . . . . . . . . . . . . . .
WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

490
490
490
490
490

ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

493

10

Palo Alto Networks

Captulo 1

Introduccin
Esta seccin proporciona una descripcin general del cortafuegos:

Descripcin general del cortafuegos

Caractersticas y ventajas

Interfaces de gestin

Descripcin general del cortafuegos


El cortafuegos de Palo Alto Networks le permite especificar polticas de seguridad basadas
en la identificacin precisa de cada una de las aplicaciones que quieran acceder a su red.
A diferencia de los cortafuegos tradicionales que nicamente identifican las aplicaciones por
su protocolo y nmero de puerto, este cortafuegos utiliza la inspeccin de paquetes y una
biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y
puertos idnticos, as como para identificar aplicaciones potencialmente malintencionadas
que no utilicen puertos estndar.
Por ejemplo, puede definir polticas de seguridad para aplicaciones especficas, en lugar de
basarse en una nica poltica para todas las conexiones al puerto 80. Puede especificar una
poltica de seguridad para cada aplicacin identificada con el fin de bloquear o permitir el
trfico basndose en las zonas y direcciones de origen y destino (IPv4 e IPv6). Asimismo, cada
poltica de seguridad puede especificar perfiles de seguridad como proteccin frente a virus,
spyware y otras amenazas.

Palo Alto Networks

Introduccin 11

Caractersticas y ventajas

Caractersticas y ventajas
El cortafuegos ofrece un control detallado del trfico que tiene permiso para acceder a su red.
Las principales caractersticas y ventajas incluyen las siguientes:

Cumplimiento de polticas basadas en aplicaciones: El control de acceso segn


aplicaciones es mucho ms eficaz cuando la identificacin de las aplicaciones no se basa
nicamente en el protocolo y el nmero de puerto. Se pueden bloquear las aplicaciones
de alto riesgo y los comportamientos de alto riesgo, como el intercambio de archivos.
El trfico cifrado con el protocolo Secure Socket Layer (SSL) puede descifrarse e
inspeccionarse.

Identificacin de usuarios (ID de usuarios): La identificacin de usuarios (User-ID)


permite que los administradores configuren y apliquen polticas de cortafuegos basadas
en usuarios y grupos de usuarios, en lugar de zonas y direcciones de red, o adems de
estas. El cortafuegos puede comunicarse con numerosos servidores de directorio, como
Microsoft Active Directory, eDirectory, SunOne, OpenLDAP y la mayora de los otros
servidores de directorio basados en LDAP para la informacin de usuarios y grupos
proporcionada al cortafuegos. A continuacin, esta informacin puede utilizarse para
ofrecer un inestimable mtodo con el que permitir una habilitacin de aplicaciones segura
que puede definirse por usuario o grupo. Por ejemplo, el administrador podra permitir
que una organizacin utilizara una aplicacin basada en Internet y que ninguna otra
organizacin de la empresa pudiera utilizarla. Tambin puede configurar un control
detallado de determinados componentes de una aplicacin basndose en usuarios y
grupos. Consulte Configuracin del cortafuegos para la identificacin de usuarios.

Prevencin de amenazas: Los servicios de prevencin de amenazas que protegen la red


frente a virus, gusanos, spyware y otro trfico malintencionado pueden variar segn la
aplicacin y el origen del trfico (consulte Perfiles de seguridad).

Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios
web inadecuados (consulte Perfiles de filtrado de URL).

Visibilidad del trfico: Los extensos informes, registros y mecanismos de notificacin


ofrecen una visibilidad detallada del trfico de aplicaciones y los eventos de seguridad
en la red. El centro de comando de aplicacin (ACC) de la interfaz web identifica las
aplicaciones con mayor trfico y el ms alto riesgo de seguridad (consulte Informes y
logs).

Versatilidad de red y velocidad: El cortafuegos puede aadirse o sustituir a su


cortafuegos existente, y puede instalarse de manera transparente en cualquier red o
configurarse para permitir un entorno conmutado o enrutado. Las velocidades de varios
gigabits y la arquitectura de un nico paso ofrecen todos los servicios sin apenas afectar a
la latencia de red.

GlobalProtect: GlobalProtect protege los sistemas cliente, como ordenadores porttiles,


que se utilizan a nivel de campo permitiendo iniciar sesin de manera fcil y segura
desde cualquier parte del mundo.

Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad ofrece una


tolerancia a fallos automtica en el caso de cualquier interrupcin en el hardware o el
software (consulte Habilitacin de HA en el cortafuegos).

12 Introduccin

Palo Alto Networks

Interfaces de gestin

Elaboracin de anlisis e informes sobre software malintencionado: WildFire


proporciona anlisis e informes detallados sobre el software malintencionado que
pasa por el cortafuegos.

Cortafuegos de la serie VM: Proporciona una instancia virtual de PAN-OS situada


para su uso en un entorno de centro de datos virtual y adaptada especialmente para
implementaciones en nubes privadas y pblicas. Se instala en cualquier dispositivo
x86 que sea capaz de ejecutar VMware ESXi, sin necesidad de implementar hardware
de Palo Alto Networks.

Gestin y Panorama: Cada cortafuegos se gestiona mediante una interfaz web intuitiva
o una interfaz de lnea de comandos (CLI). Del mismo modo, todos los dispositivos
pueden gestionarse de manera centralizada mediante el sistema de gestin centralizado
de Panorama, que cuenta con una interfaz web muy parecida a la interfaz web de los
dispositivos.

Interfaces de gestin
El cortafuegos admite las siguientes interfaces de gestin. Consulte Exploradores
compatibles para obtener una lista de los exploradores compatibles.

Interfaz web: La configuracin y la supervisin se realizan a travs de HTTP o HTTPS


desde un explorador web.

CLI: La configuracin y la supervisin basadas en texto se realizan a travs de Telnet,


Secure Shell (SSH) o el puerto de la consola (consulte la Gua de referencia de la interfaz de
lnea de comandos de PAN-OS).

Panorama: Es un producto de Palo Alto Networks que permite una gestin, una
elaboracin de informes y un registro basados en Internet para varios cortafuegos.
La interfaz de Panorama es parecida a la interfaz web de los dispositivos e incluye
funciones de gestin adicionales. Consulte Gestin centralizada del dispositivo
mediante Panorama para obtener informacin sobre Panorama.

Protocolo de gestin de red simple (SNMP): Los productos de Palo Alto Networks
son compatibles con SNMPv2c y SNMPv3, acceso de solo lectura a travs de SNMP y
compatibilidad con TRAPS. Consulte Configuracin de destinos de traps SNMP.

Syslog: Permite la generacin de mensajes para uno o ms servidores Syslog remotos


(consulte Configuracin de servidores Syslog).

API XML: Proporciona una interfaz basada en la transferencia de estado representacional


(REST) para acceder a la configuracin de dispositivos, el estado de funcionamiento,
informes y capturas de paquetes desde el cortafuegos. Hay disponible un explorador
de API en el cortafuegos en https://cortafuegos/api, donde cortafuegos es el nombre de host
o la direccin IP del cortafuegos. Este enlace proporciona ayuda sobre los parmetros
necesarios para cada tipo de llamada de la API. Hay disponible una gua de uso de la API
XML en la comunidad en lnea del centro de desarrollo en http://live.paloaltonetworks.com.

Palo Alto Networks

Introduccin 13

Interfaces de gestin

14 Introduccin

Palo Alto Networks

Captulo 2

Primeros pasos
Este captulo describe cmo configurar y comenzar a utilizar el cortafuegos:

Preparacin del cortafuegos

Configuracin del cortafuegos

Uso de la interfaz web del cortafuegos

Obtencin de ayuda para la configuracin del cortafuegos

Preparacin del cortafuegos


Realice las siguientes tareas para preparar el cortafuegos para la configuracin:
1.

Monte el cortafuegos en un rack y encindalo como se indica en la Gua de referencia


de hardware.

2.

Registre su cortafuegos en https://support.paloaltonetworks.com para obtener las ltimas


actualizaciones de software y de identificacin de aplicaciones (App-ID) as como activar
las suscripciones y asistencia con los cdigos de autorizacin enviados a su cuenta de
correo electrnico.

3.

Obtenga una direccin IP de su administrador de redes para configurar el puerto de


gestin en el cortafuegos.

Configuracin del cortafuegos


Para llevar a cabo la configuracin inicial del cortafuegos:
1.

Conecte su equipo al puerto de gestin (MGT) en el cortafuegos utilizando un cable


Ethernet RJ-45.

2.

Encienda su equipo. Asigne una direccin IP esttica a su equipo en la red 192.168.1.0


(por ejemplo, 192.168.1.5) con una mscara de red de 255.255.255.0.

3.

Inicie un explorador web compatible e introduzca https://192.168.1.1.


El explorador abre la pgina de inicio de sesin de Palo Alto Networks automticamente.

Palo Alto Networks

Primeros pasos 15

Configuracin del cortafuegos

4.

Introduzca admin en los campos Nombre y Contrasea y haga clic en Inicio de sesin.
El sistema presenta una advertencia para cambiar la contrasea predeterminada.
Haga clic en ACEPTAR para continuar.

5.

En la pestaa Dispositivo, seleccione Configuracin y configure lo siguiente (para


obtener instrucciones generales acerca de los ajustes de configuracin en la interfaz web,
consulte Uso de la interfaz web del cortafuegos):
En la pestaa Administracin en Configuracin de interfaz de gestin, introduzca la
direccin IP, la mscara de red y la puerta de enlace predeterminada del cortafuegos.
En la pestaa Servicios, introduzca la direccin IP del servidor DNS (Domain Name
System). Introduzca la direccin IP o el nombre de dominio o de host del servidor de
protocolo de tiempo de red (NTP) y seleccione su zona horaria.
Haga clic en Asistencia en el men lateral.
Si se trata del primer cortafuegos de Palo Alto Networks para su empresa, haga clic en
Registrar dispositivo para registrar el cortafuegos. (Si ya ha registrado un cortafuegos,
ha recibido un nombre de usuario y contrasea.)
Haga clic en el enlace Activar soporte mediante cdigo de autorizacin e introduzca
los cdigos de autorizacin recibidos para cualquier funcin adicional. Utilice un
espacio para separar varios cdigos de autorizacin.

6.

Haga clic en Administradores bajo la pestaa Dispositivos.

7.

Haga clic en admin.

8.

En los campos Nueva contrasea y Confirmar nueva contrasea, introduzca y confirme


una contrasea que distingue entre maysculas y minsculas (hasta 15 caracteres).

9.

Haga clic en ACEPTAR para enviar la nueva contrasea.

10. Compile la configuracin para activar estos ajustes. Una vez compile los cambios, el
cortafuegos ser alcanzable a travs de la direccin IP asignada en Paso 5. Para obtener
informacin acerca de la compilacin de cambios, consulte Compilacin de cambios.
La configuracin predeterminada de fbrica del cortafuegos o despus de realizar
un restablecimiento de fbrica es un cable virtual (Virtual Wire) entre los puertos
Ethernet 1 y 2 con una poltica predeterminada para denegar todo el trfico
entrante y seguir todo el trfico saliente.

16 Primeros pasos

Palo Alto Networks

Uso de la interfaz web del cortafuegos

Uso de la interfaz web del cortafuegos


Se aplican las siguientes convenciones cuando utilice la interfaz del cortafuegos.

Para mostrar los elementos del men para una categora de funciones general, haga clic
en la pestaa, como Objetos o Dispositivo, junto a la parte superior de la ventana del
explorador.

Haga clic en un elemento en el men lateral para mostrar un panel.

Para mostrar los elementos del men secundario, haga clic en el icono

a la izquierda

de un elemento. Para ocultar elementos del men secundario, haga clic en el icono
la izquierda del elemento.

En la mayora de las pginas de configuracin, puede hacer clic en Aadir para crear un
nuevo elemento.

Para eliminar uno o ms elementos, seleccione sus casillas de verificacin y haga clic en
Eliminar. En la mayora de los casos, el sistema Ie solicita confirmar haciendo clic en
ACEPTAR o cancelar la eliminacin haciendo clic en Cancelar.

En algunas pginas de configuracin, puede seleccionar la casilla de verificacin de


un elemento y hacer clic en Duplicar para crear un nuevo elemento con la misma
informacin que el elemento seleccionado.

Palo Alto Networks

Primeros pasos 17

Uso de la interfaz web del cortafuegos

Para modificar un elemento, haga clic en su enlace subrayado.

Para visualizar informacin de ayuda en una pgina, haga clic en el icono Ayuda en el
rea superior derecha de la pgina.

Para visualizar la lista actual de tareas, haga clic en el icono Tareas en la esquina inferior
derecha de la pgina. La ventana Gestor de tareas se abre para mostrar la lista de tareas,
junto con los estados, fechas de inicio, mensajes asociados y acciones. Utilice la lista
desplegable Mostrar para filtrar la lista de tareas.

Si no se define una preferencia de idioma, el idioma de la interfaz web estar controlado


por el idioma actual del equipo que gestiona el dispositivo. Por ejemplo, si el equipo que
utiliza para gestionar el cortafuegos tiene como idioma establecido el espaol, cuando
inicia sesin en el cortafuegos, la interfaz web estar en espaol.
Para especificar un idioma que se utilizar siempre para una cuenta dada en lugar del
idioma del equipo, haga clic en el icono Idioma en la esquina inferior derecha de la
pgina y se abrir la ventana Preferencia de idioma. Haga clic en la lista desplegable
para seleccionar el idioma que desee y haga clic en ACEPTAR para guardar los cambios.

18 Primeros pasos

Palo Alto Networks

Uso de la interfaz web del cortafuegos

En pginas donde aparecen informaciones que puede modificar (por ejemplo, la pgina
Configuracin en la pestaa Dispositivos), haga clic en el icono en la esquina superior
derecha de una seccin para editar los ajustes.

Una vez haya configurado los ajustes, debe hacer clic en ACEPTAR o Guardar para
almacenar los cambios. Cuando hace clic en ACEPTAR, se actualiza la configuracin
actual de candidato.

Compilacin de cambios
Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de
dilogo compilar.

Las siguientes opciones estn disponibles en el cuadro de dilogo compilar. Haga clic en
el enlace Avanzado, si es necesario, para mostrar las opciones:
Incluir configuracin de dispositivo y red: Incluir los cambios de configuracin de
dispositivo y red en la operacin de compilacin.
Incluir configuracin de objeto compartido: (solo cortafuegos de sistemas virtuales)
Incluir los cambios de configuracin de objetos compartidos en la operacin de
compilacin.
Incluir polticas y objetos: (solo cortafuegos sin sistemas virtuales) Incluir los cambios
de configuracin de objetos y polticas en la operacin de compilacin.

Palo Alto Networks

Primeros pasos 19

Uso de la interfaz web del cortafuegos

Incluir configuracin del sistema virtual: Incluir todos los sistemas virtuales o elegir
Seleccionar uno o ms sistemas virtuales.
Para obtener ms informacin acerca de la compilacin de cambios, consulte
Definicin de la configuracin de operaciones.
Vista previa de cambios: Haga clic en este botn para devolver una ventana con dos
paneles que muestra los cambios propuestos en la configuracin del candidato en
comparacin con la configuracin actualmente en ejecucin. Puede seleccionar el
nmero de lneas de contexto para mostrar o mostrar todas las lneas. Los cambios
estn indicados con colores dependiendo de los elementos que se han agregado,
modificado o eliminado.
La funcin Dispositivo > Auditora de configuraciones realiza la misma funcin,
consulte Comparacin de archivos de configuracin.

Navegacin a pginas de configuracin


Cada seccin de configuracin en la gua muestra la ruta del men a la pgina de
configuracin. Por ejemplo, para llegar a la pgina Proteccin de vulnerabilidades,
seleccione la pestaa Objetos y luego seleccione Proteccin de vulnerabilidades en
Perfiles de seguridad del men lateral. Eso est indicado en esta gua con la siguiente ruta:
Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades

Uso de tablas en pginas de configuracin


Las tablas en las pginas de configuracin incluyen opciones para escoger columnas y orden.
Haga clic en el encabezado de una columna para ordenar en esa columna y haga clic de nuevo
para cambiar el orden. Haga clic en la flecha a la derecha de cualquier columna y seleccione
casillas de verificacin para elegir qu columnas mostrar.

Campos obligatorios
Los campos obligatorios aparecen con un fondo amarillo claro. Cuando pasa el ratn o
hace clic en el rea de entrada del campo, aparece un mensaje indicando que el campo es
obligatorio.

20 Primeros pasos

Palo Alto Networks

Uso de la interfaz web del cortafuegos

Bloqueo de transacciones
La interfaz web proporciona asistencia para varios administradores permitiendo a un
administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios
de configuracin o compilacin de informacin por otro administrador hasta que se elimine
el bloqueo. Se permiten los siguientes tipos de bloqueo:

Bloqueo de configuracin: Bloquea la realizacin de cambios en la configuracin por


otros administradores. Se puede establecer este tipo de bloqueo de forma general o para
un sistema virtual. Solo puede eliminarse por el administrador que lo configur o por un
superusuario del sistema.

Bloqueo de compilacin: Bloquea los cambios de compilacin por parte de otros


administradores hasta que se liberen todos los bloqueos. Este tipo de bloqueo evita
enfrentamientos que se pueden producir cuando dos administradores estn realizando
cambios a la vez y el primer administrador finaliza y compila cambios antes de que
finalice el segundo administrador. El bloqueo se libera cuando se compilan los cambios
actuales por el administrador que aplic el bloqueo o de forma manual.

Cualquier administrador puede abrir la ventana de bloqueo para visualizar las transacciones
actuales que estn bloqueadas junto con una marca de tiempo para cada una.
Para bloquear una transaccin, haga clic en el icono desbloqueado
en la barra superior
para abrir el cuadro de dilogo Bloqueos. Haga clic en Tomar bloqueo, seleccione el mbito
del bloqueo en la lista desplegable y haga clic en ACEPTAR. Agregue bloqueos adicionales
como sea necesario y vuelva a hacer clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
La transaccin est bloqueada y el icono en la barra superior cambia por un icono bloqueado
que muestra el nmero de elementos bloqueados en las parntesis.

Para desbloquear una transaccin, haga clic en el icono bloqueado


en la barra superior
para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo
que desea eliminar y
haga clic en S para confirmar. Haga clic en Cerrar para cerrar el cuadro de dilogo Bloqueo.
Puede organizar la adquisicin de un bloqueo de compilacin de forma automtica
seleccionando la casilla de verificacin Adquirir bloqueo de compilacin automticamente
en el rea de administracin de la pgina Configuracin de dispositivo. Consulte
Configuracin del sistema, configuracin y gestin de licencias.

Palo Alto Networks

Primeros pasos 21

Obtencin de ayuda para la configuracin del cortafuegos

Exploradores compatibles
Los siguientes exploradores web son compatibles para acceder a la interfaz web del
cortafuegos:

Internet Explorer 7+

Firefox 3.6+

Safari 5+

Chrome 11+

Obtencin de ayuda para la configuracin del


cortafuegos
Utilice la informacin que aparece en esta seccin para obtener ayuda acerca del uso
del cortafuegos.

Cmo obtener ms informacin


Para obtener ms informacin acerca del cortafuegos, consulte:

Informacin general: Visite http://www.paloaltonetworks.com.

Documentacin: Para obtener informacin sobre funciones adicionales e


instrucciones sobre cmo configurar las funciones en el cortafuegos, consulte
https://www.paloaltonetworks.com/documentation.

Ayuda en lnea: Haga clic en Ayuda en la esquina superior derecha de la interfaz


web para acceder al sistema de ayuda en lnea.

Base de conocimientos: Para acceder a la base de conocimientos, rea de


colaboracin para la interaccin cliente/socio, foros foros de debate y vdeos,
vaya a https://live.paloaltonetworks.com.

Asistencia tcnica
Para obtener asistencia tcnica, informacin sobre los programas de asistencia tcnica o
gestionar la cuenta o los dispositivos, vaya a https://support.paloaltonetworks.com.

22 Primeros pasos

Palo Alto Networks

Captulo 3

Gestin de dispositivos
Utilice las siguientes secciones para obtener referencia de campo sobre la configuracin de
sistema bsica y tareas de mantenimiento en el cortafuegos:

Configuracin del sistema, configuracin y gestin de licencias

Definicin de orgenes de informacin de VM

Instalacin de software

Actualizacin de definiciones de aplicaciones y amenazas

Funciones, perfiles y cuentas de administrador

Configuracin de perfiles de autenticacin

Configuracin de una secuencia de autenticacin

Creacin un perfil de certificados

Programacin de exportaciones de logs

Definicin de destinos de logs

Definicin de la configuracin del log Alarma

Configuracin de ajustes de flujo de red

Uso de certificados

Cifrado de claves privadas y contraseas del cortafuegos

Habilitacin de HA en el cortafuegos

Definicin de sistemas virtuales

Definicin de pginas de respuesta personalizadas

Visualizacin de informacin de asistencia tcnica

Palo Alto Networks

Gestin de dispositivos 23

Configuracin del sistema, configuracin y gestin de licencias


En las siguientes secciones se describe cmo definir la configuracin de red para el acceso de
gestin (el cual define las rutas de servicio y los servicios), y cmo gestionar las opciones de
configuracin (como los tiempos de espera de sesin globales, identificacin de contenido,
anlisis e informes de software malintencionado de WildFire):

Definicin de la configuracin de gestin

Definicin de la configuracin de operaciones

Definicin de mdulos de seguridad de hardware

SNMP

Definicin de la configuracin de servicios

Definicin de la configuracin de ID de contenido (content-id)

Configuracin de ajustes de WildFire

Definicin de la configuracin de sesin

Comparacin de archivos de configuracin

Instalacin de una licencia

Definicin de la configuracin de gestin


Dispositivo > Configuracin > Gestin
Panorama > Configuracin > Gestin
En un cortafuegos, utilice la pestaa Dispositivo > Configuracin > Gestin para configurar
la configuracin de gestin.
En Panorama, utilice la pestaa Dispositivo > Configuracin > Gestin para configurar los
cortafuegos usando plantillas de Panorama. Utilice la pestaa Panorama > Configuracin >
Gestin para configurar los ajustes de Panorama.
Para la gestin de cortafuegos, de forma optativa tambin puede utilizar la
direccin IP de una interfaz de loopback para el puerto de gestin
(consulte Configuracin de una interfaz de loopback).

24 Gestin de dispositivos

Palo Alto Networks

Tabla 1. Configuracin de gestin


Elemento

Descripcin

Configuracin general
Nombre de host

Introduzca un nombre de host (de hasta 31 caracteres). El nombre


hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.

Dominio

Introduzca el nombre de dominio completo (FQDN) del cortafuegos


(de hasta 31 caracteres).

Titular de inicio de sesin

Introduzca el texto personalizado que aparecer en la pgina de inicio


de sesin del cortafuegos. El texto se muestra debajo de los campos
Nombre y Contrasea.

Zona horaria

Seleccione la zona horaria del cortafuegos.

Configuracin regional

Seleccione un idioma para los informes en PDF de la lista desplegable.


Consulte Gestin de informes de resumen en PDF.
Aunque haya establecido una preferencia de idioma especfica para
la interfaz web, los informes en PDF seguirn utilizando el idioma
especificado en este ajuste de configuracin regional. Consulte las
preferencias de idioma en Uso de la interfaz web del cortafuegos.

Fecha y hora

Nmero de serie (solo


mquinas virtuales)

Para establecer la fecha y la hora del cortafuegos, haga clic en Establecer


fecha y hora. Introduzca la fecha actual en (AAAA/MM/DD) o haga
clic en el icono de calendario
para seleccionar un mes y un da.
Introduzca la hora actual con el formato de 24 horas (HH:MM:SS).
Tambin puede definir un servidor NTP desde Dispositivo >
Configuracin > Servicios.
Introduzca el nmero de serie del cortafuegos/Panorama. Busque el
nmero de serie en el correo electrnico de ejecucin de pedido que se le
ha enviado.

Ubicacin geogrfica

Introduzca la latitud (de -90,0 a 90,0) y la longitud (de -180,0 a 180,0)


del cortafuegos.

Adquirir bloqueo
de compilacin
automticamente

Aplique automticamente un bloqueo de compilacin cuando cambie


la configuracin candidata. Para obtener ms informacin, consulte
Bloqueo de transacciones.

Comprobacin del
vencimiento del
certificado

Indique al cortafuegos que deber crear mensajes de advertencia cuando


se acerque la fecha de vencimiento de los certificados integrados.

Capacidad de cortafuegos
virtuales

Activa el uso de varios sistemas virtuales (si el modelo de cortafuegos


admite esa funcin). Para obtener ms informacin, consulte Definicin
de sistemas virtuales.

Configuracin de autenticacin
Perfil de autenticacin

Seleccione el perfil de autenticacin que debe utilizar el administrador


para acceder al cortafuegos. Para obtener instrucciones sobre cmo
configurar perfiles de autenticacin, consulte Configuracin de perfiles
de autenticacin.

Perfil del certificado

Seleccione el perfil del certificado que debe utilizar el administrador


para acceder al cortafuegos. Para obtener instrucciones sobre cmo
configurar perfiles de autenticacin, consulte Creacin un perfil de
certificados.

Palo Alto Networks

Gestin de dispositivos 25

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Tiempo de espera de
inactividad

Introduzca el intervalo de tiempo de espera en minutos (0-1440). Si el


valor es 0, la sesin de gestin, web o de CLI no presenta ningn tiempo
de espera.

N. de intentos fallidos

Introduzca el nmero de intentos de inicio de sesin fallidos (0-10,


predeterminado 0) que PAN-OS permite para la interfaz web y la CLI
antes de bloquear la cuenta. Un valor de 0 significa que el nmero de
intentos es ilimitado.

Tiempo de bloqueo

Introduzca el nmero de minutos (0-60) que PAN-OS bloquea a un


usuario si se alcanza el lmite de N. de intentos fallidos. El valor
predeterminado de 0 significa que el nmero de intentos es ilimitado.

Ajustes de Panorama: Dispositivo > Configuracin > Gestin


Si usa Panorama para gestionar el cortafuegos, configure los siguientes ajustes en el cortafuegos o en
una plantilla de Panorama. Estos ajustes establecen una conexin entre el cortafuegos y Panorama y
determinan los tiempos de espera de la conexin. Si edita la configuracin en un cortafuegos (no en
una plantilla en Panorama), tambin puede activar o desactivar la propagacin de polticas, objetos,
grupos de dispositivos e informacin de plantilla desde Panorama al cortafuegos.
Nota: Tambin debe configurar los tiempos de espera y los ajustes de uso compartido del objeto en Panorama:
consulte Ajustes de Panorama: Panorama > Configuracin > Gestin.
Servidores de Panorama

Introduzca la direccin IP del servidor de Panorama. Si Panorama tiene


una configuracin de alta disponibilidad (HA), introduzca la direccin
IP del servidor secundario de Panorama en el segundo campo
Servidores de Panorama.

Tiempo de espera de
recepcin para conexin
a Panorama

Introduzca el tiempo de espera para recibir mensajes de TCP de


Panorama (1-240 segundos; valor predeterminado: 240).

Tiempo de espera de
envo para conexin a
Panorama

Introduzca el tiempo de espera para enviar mensajes de TCP a


Panorama (1-240 segundos; valor predeterminado: 240).

Reintentar recuento de
envos SSL a Panorama

Introduzca el nmero de reintentos para enviar mensajes de capa de


sockets seguros (SSL) a Panorama (1-64; valor predeterminado: 25).

26 Gestin de dispositivos

Palo Alto Networks

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Deshabilitar/Habilitar
objetos y poltica de
Panorama

Este botn aparece cuando edita los Ajustes de Panorama en


un cortafuegos (no en una plantilla en Panorama). De forma
predeterminada, Panorama propaga las polticas y objetos que se
definen para un grupo de dispositivos a los cortafuegos asignados a
ese grupo. Si hace clic en Desactivar poltica y objetos de Panorama,
se desactiva esa propagacin. De forma predeterminada, esta operacin
tambin elimina estas polticas y objetos del cortafuegos.
Para conservar una copia local de las polticas y objetos del grupo de
dispositivos del cortafuegos antes de desactivar la propagacin, en el
cuadro de dilogo que abre el botn, seleccione la casilla de verificacin
Importar poltica y objetos de Panorama antes de desactivar. En ese
momento, cuando hace clic en Aceptar, PAN-OS copia las polticas y
objetos en la configuracin candidata actual. Despus de realizar
una compilacin, las polticas y objetos pasan a formar parte de la
configuracin del cortafuegos: Panorama deja de gestionarlos.
En condiciones normales de funcionamiento, desactivar la gestin de
Panorama es innecesario y podra complicar el mantenimiento y la
configuracin del cortafuegos. Esta opcin suele aplicarse a situaciones
en las que el cortafuegos necesita reglas y valores de objeto distintos a
los definidos en el grupo de dispositivos. Un ejemplo de situacin es
cuando saca un cortafuegos de la produccin y lo introduce en un
entorno de laboratorio para realizar pruebas.
Para invertir la poltica de cortafuegos y la gestin de objetos en
Panorama, haga clic en Habilitar objetos y poltica de Panorama.

Deshabilitar/habilitar
plantilla de dispositivo
y red

Este botn aparece cuando edita los Ajustes de Panorama en un


cortafuegos (no en una plantilla en Panorama). De forma predeterminada,
Panorama propaga las configuraciones de dispositivo y red definidas
para una plantilla a los cortafuegos asignados a esa plantilla. Si hace
clic en Deshabilitar plantilla de dispositivo y red, desactivar la
propagacin. De forma predeterminada, esta operacin tambin elimina
la informacin de plantilla del cortafuegos.
Para conservar una copia local de la informacin de plantilla del
cortafuegos antes de desactivar la propagacin, en el cuadro de dilogo
que se abre al hacer clic en el botn, seleccione la casilla de verificacin
Importar plantillas de dispositivos y red antes de deshabilitarlas.
En ese momento, cuando hace clic en Aceptar, PAN-OS copia la
informacin definida en la plantilla en la configuracin candidata
actualgdel cortafuegos. Despus de realizar una compilacin, la
informacin de la plantilla pasa a formar parte de la configuracin
del cortafuegos: Panorama deja de gestionar esa informacin.
En condiciones normales de funcionamiento, desactivar la gestin de
Panorama es innecesario y podra complicar el mantenimiento y la
configuracin del cortafuegos. Esta opcin suele aplicarse a situaciones
en las que el cortafuegos necesita reglas y valores de objeto distintos a
los definidos en el grupo de dispositivos. Un ejemplo de situacin es
cuando saca un cortafuegos de la produccin y lo introduce en un
entorno de laboratorio para realizar pruebas.
Para que el cortafuegos deje de aceptar plantillas, haga clic en Habilitar
plantilla de dispositivo y red.

Palo Alto Networks

Gestin de dispositivos 27

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Ajustes de Panorama: Panorama > Configuracin > Gestin


Si usa Panorama para gestionar los cortafuegos, configure los siguientes ajustes en Panorama. Estos
ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones entre
Panorama y los cortafuegos gestionados, as como los parmetros de uso compartido de los objetos.
Nota: Tambin debe configurar los ajustes de conexin de Panorama en el cortafuegos o en una plantilla en
Panorama: consulte Ajustes de Panorama: Dispositivo > Configuracin > Gestin.
Tiempo de espera de
recepcin para conexin
a dispositivo

Introduzca el tiempo de espera para recibir mensajes de TCP de todos


los cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).

Enviar tiempo de espera


de conexin a dispositivo

Introduzca el tiempo de espera para enviar mensajes de TCP a todos los


cortafuegos gestionados (1-240 segundos; valor predeterminado: 240).

Reintentar recuento de
envo SSL a dispositivo

Introduzca el nmero de reintentos para enviar mensajes de capa de


sockets seguros (SSL) a los cortafuegos gestionados (1-64; valor
predeterminado: 25).

Compartir direccin sin


utilizar y objetos de
servicio con dispositivos

Seleccione esta casilla de verificacin para compartir todos los objetos


compartidos de Panorama y los objetos especficos de grupos de
dispositivos con cortafuegos gestionados. Este ajuste est deshabilitado
de manera predeterminada.
Si desactiva la casilla de verificacin, PAN-OS busca en las polticas de
Panorama referencias a direcciones, grupos de direcciones, servicios y
objetos de grupo de servicio y no comparte ningn objeto sin referencia.
Esta opcin reduce el recuento total de objetos asegurndose de que
PAN-OS solo enva los objetos necesarios a cortafuegos gestionados.

Los objetos compartidos


tienen prioridad

Seleccione la casilla de verificacin para especificar que los objetos


compartidos preceden a los objetos de grupos de dispositivos. En este
caso, los objetos de grupos de dispositivos no pueden cancelar los
objetos correspondientes con el mismo nombre de una ubicacin
compartida; PAN-OS descarta cualquier objeto de un grupo de
dispositivos con el mismo nombre que un objeto compartido.
De forma predeterminada, se desactiva este ajuste del sistema:
los grupos de dispositivos cancelan los objetos correspondientes
que tengan el mismo nombre.

28 Gestin de dispositivos

Palo Alto Networks

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Configuracin de interfaz de gestin


Esta interfaz se aplica al cortafuegos, dispositivo M-100 de Panorama o dispositivo virtual de
Panorama.
De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestin (MGT) para
configuracin, recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo,
si configura Eth1 o Eth2 para la recopilacin de logs o comunicacin de grupos del recopilador,
se recomienda definir una subred distinta para la interfaz MGT que sea ms privada que las subredes
Eth1 o Eth2. Defina la subred de la Mscara de red (para IPv4) o el campo Direccin IPv6/longitud de
prefijo (para IPv6). El dispositivo virtual de Panorama no admite interfaces separadas.
Nota: Para completar la configuracin de la interfaz de gestin, debe especificar la direccin IP, la mscara de
red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Si compila una
configuracin parcial (por ejemplo, podra omitir la puerta de enlace predeterminada), solo puede acceder al
dispositivo a travs del puerto de la consola para futuros cambios de configuracin. Recomendamos que compile
una configuracin completa.
Direccin IP (IPv4)

Si la red utiliza IPv4, asigne una direccin IPv4 al puerto de gestin.


De forma alternativa, puede asignar la direccin IP de una interfaz de
loopback para la gestin de dispositivos.
De manera predeterminada, esta es la direccin de origen para el
reenvo de logs.

Mscara de red (IPv4)

Si ha asignado una direccin IPv4 al puerto de gestin, introduzca una


mscara de red (por ejemplo, 255.255.255.0).

Puerta de enlace
predeterminada

Si ha asignado una direccin IPv4 al puerto de gestin, asigne una


direccin IPv4 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestin).

Direccin IPv6/longitud
de prefijo

Si la red utiliza IPv6, asigne una direccin IPv6 al puerto de gestin.


Para indicar la mscara de red, introduzca una longitud de prefijo para
IPv6 (por ejemplo 2001:400:f00::1/64).

Puerta de enlace IPv6


predeterminada

Si ha asignado una direccin IPv6 al puerto de gestin, asigne una


direccin IPv6 al enrutador predeterminado (debe estar en la misma
subred que el puerto de gestin).

Velocidad

Configure una tasa de datos y una opcin de dplex para la interfaz


de gestin. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con
dplex completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que el dispositivo (Panorama o el cortafuegos)
determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuracin de los puertos del equipo
de red vecino.

MTU

Introduzca la unidad mxima de transmisin (MTU) en bytes para


los paquetes enviados en esta interfaz (intervalo 576-1500, opcin
predeterminada 1500).

Servicios

Seleccione los servicios que quiere que se habiliten en la direccin de


interfaz de gestin especificada: HTTP, OCSP de HTTP, HTTPS, Telnet,
SSH (Secure Shell), Ping, SNMP, ID de usuario (User-ID), SSL de
escucha de Syslog de ID de usuario, UDP de escucha de Syslog de ID
de usuario.

Palo Alto Networks

Gestin de dispositivos 29

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Direcciones IP permitidas

Introduzca la lista de direcciones IP desde las que se permite la gestin


de cortafuegos. Cuando utilice esta opcin para el dispositivo M-100 de
Panorama, agregue la direccin IP de cada cortafuegos gestionado o,
de lo contrario, el cortafuegos no podr conectar ni reenviar logs a
Panorama, ni recibir actualizaciones de configuracin.

Ajustes de la interfaz Eth1


Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama
ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestin para
configuracin, recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo,
si habilita Eth1, puede configurarlo para la recopilacin de logs o comunicacin de grupos de
recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).
Nota: No puede compilar la configuracin de Eth1 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth1

Seleccione esta casilla de verificacin para activar la interfaz Eth1.

Direccin IP (IPv4)

Si la red utiliza IPv4, asigne una direccin IPv4 al puerto Eth1.

Mscara de red (IPv4)

Si ha asignado una direccin IPv4 al puerto, introduzca una mscara


de red (por ejemplo, 255.255.255.0).

Puerta de enlace
predeterminada

Si ha asignado una direccin IPv4 al puerto, asigne una direccin IPv4


al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth1).

Direccin IPv6/longitud
de prefijo

Si la red utiliza IPv6, asigne una direccin IPv6 al puerto Eth1.


Para indicar la mscara de red, introduzca una longitud de prefijo
para IPv6 (por ejemplo 2001:400:f00::1/64).

Puerta de enlace IPv6


predeterminada

Si ha asignado una direccin IPv6 al puerto, asigne una direccin IPv6


al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth1).

Velocidad

Configure una tasa de datos y una opcin de dplex para la interfaz


Eth1. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica
predeterminado para que Panorama determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuracin de los puertos del equipo
de red vecino.

MTU

Introduzca la unidad mxima de transmisin (MTU) en bytes para


los paquetes enviados en esta interfaz (intervalo 576-1500, opcin
predeterminada 1500).

Servicios

Seleccione Ping si desea activar ese servicio en la interfaz Eth1.

Direcciones IP permitidas

Introduzca la lista de direcciones IP desde las que se permite la gestin


de Eth1.

Ajustes de la interfaz Eth2


Esta interfaz solo se aplica al dispositivo M-100 de Panorama, no al dispositivo virtual de Panorama
ni el cortafuegos. De forma predeterminada, el dispositivo M-100 utiliza la interfaz de gestin para
configuracin, recopilacin de logs y comunicacin de grupos de recopiladores. Sin embargo,
si habilita Eth2, puede configurarlo para la recopilacin de logs o comunicacin de grupos de
recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).
Nota: No puede compilar la configuracin de Eth2 a no ser que especifique la direccin IP, la mscara de red
(para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.
Eth2

30 Gestin de dispositivos

Seleccione esta casilla de verificacin para activar la interfaz Eth2.

Palo Alto Networks

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Direccin IP (IPv4)

Si la red utiliza IPv4, asigne una direccin IPv4 al puerto Eth2.

Mscara de red (IPv4)

Si ha asignado una direccin IPv4 al puerto, introduzca una mscara de


red (por ejemplo, 255.255.255.0).

Puerta de enlace
predeterminada

Si ha asignado una direccin IPv4 al puerto, asigne una direccin IPv4


al enrutador predeterminado (debe estar en la misma subred que el
puerto Eth2).

Direccin IPv6/longitud
de prefijo

Si la red utiliza IPv6, asigne una direccin IPv6 al puerto Eth2.


Para indicar la mscara de red, introduzca una longitud de prefijo
para IPv6 (por ejemplo 2001:400:f00::1/64).

Puerta de enlace IPv6


predeterminada

Si ha especificado una direccin IPv6 al puerto, asigne una direccin


IPv6 al enrutador predeterminado (debe estar en la misma subred que
el puerto Eth2).

Velocidad

Configure una tasa de datos y una opcin de dplex para la interfaz


Eth2. Las opciones incluyen 10 Mbps, 100 Mbps y 1 Gbps con dplex
completo o medio. Utilice el ajuste de negociacin automtica predeterminado para que Panorama determine la velocidad de interfaz.
Este ajuste debe coincidir con la configuracin de los puertos del equipo
de red vecino.

MTU

Introduzca la unidad mxima de transmisin (MTU) en bytes para


los paquetes enviados en esta interfaz (intervalo 576-1500, opcin
predeterminada 1500).

Servicios

Seleccione Ping si desea activar ese servicio en la interfaz Eth2.

Direcciones IP permitidas

Introduzca la lista de direcciones IP desde las que se permite la gestin


de Eth2.

Palo Alto Networks

Gestin de dispositivos 31

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Configuracin de log e informes


Utilice esta seccin de la interfaz para modificar para modificar las siguientes opciones:
Cuotas de almacenamiento de logs para el cortafuegos (Dispositivo > Configuracin > Gestin).
Cuotas de almacenamiento de logs para una mquina virtual de Panorama VM o en un dispositivo
M-100 en modo Panorama (Panorama > Configuracin > Gestin).
Nota: Para configurar las cuotas para cada tipo de log en un dispositivo M-100 en modo de recopilador de logs,
seleccione Panorama > Grupos de recopiladores > General y seleccione el enlace Almacenamiento de log.
Consulte Instalacin de una actualizacin de software en un recopilador.
Atributos para calcular y exportar informes de actividad de usuarios.
Informes predefinidos creados en el cortafuegos/Panorama.

32 Gestin de dispositivos

Palo Alto Networks

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Pestaa secundaria
Almacenamiento de log

Especifique el porcentaje de espacio asignado a cada tipo de log en el


disco duro.

(El cortafuegos PA-7050


tiene Almacenamiento
de tarjeta de log y
Almacenamiento de
tarjeta de gestin)

Al cambiar un valor de porcentaje, la asignacin de disco asociada


cambia automticamente. Si el total de todos los valores supera el 100%,
aparecer un mensaje en la pgina de color rojo y un mensaje de error
cuando intente guardar la configuracin. Si esto sucede, reajuste los
porcentajes de modo que el total quede por debajo del lmite del 100%.
Haga clic en ACEPTAR para guardar la configuracin y en Restablecer
valores predeterminados para restablecer todos los ajustes predeterminados.
El cortafuegos PA-7050 almacena los logs en la tarjeta de procesamiento
de logs (LPC) y en la tarjeta de gestin de conmutadores (SMC) y de
esta forma divide las cuotas de registro en estas dos reas. La pestaa
Almacenamiento de log tiene la configuracin de la cuota para el trfico
del tipo de datos en la LPC (por ejemplo, logs de trfico y amenazas).
El almacenamiento de la tarjeta de gestin tiene configuracin de cuota
para el trfico de tipo de gestin almacenado en la SMC (por ejemplo, los
logs de configuracin, los logs del sistema y logs de alarmas).
Nota: Cuando un log alcanza el tamao mximo, el cortafuegos empieza a
sustituir las entradas del log ms antiguas por las nuevas. Si reduce el tamao
de un log, el cortafuegos elimina los logs ms antiguos cuando compila los
cambios.

Palo Alto Networks

Gestin de dispositivos 33

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Pestaa secundaria
Exportacin e informes
de log

Nmero de versiones para auditora de configuraciones: Introduzca el


nmero de versiones de configuracin que se deben guardar antes de
descartar las ms antiguas (valor predeterminado: 100). Puede utilizar
estas versiones guardadas para auditar y comparar cambios en la
configuracin.
Mx. de filas en exportacin CSV: Introduzca el nmero mximo de
filas que aparecern en los informes CSV generados desde el icono
Exportar a CSV de la vista de logs de trfico (rango 1-1048576, valor
predeterminado: 5000).
Mx. de filas en informe de actividad de usuario: Introduzca el nmero
mximo de filas que se admite para los informes de actividad de usuario
detallada (1-1048576; valor predeterminado: 65535).
Nmero de versiones para Configurar copias de seguridad:
(Solo Panorama) Introduzca el nmero de copias de seguridad de
configuraciones que se deben guardar antes de descartar las ms
antiguas (valor predeterminado: 100).
Tiempo medio de exploracin (seg): Configure esta variable para
ajustar cmo se calcula el tiempo de exploracin en el informe de
actividad de usuario.
El clculo ignorar los sitios categorizados como anuncios web y redes
de entrega de contenido. El clculo del tiempo de exploracin se basa
en las pginas contenedoras registradas en los logs de filtrado de URL.
Las pginas contenedoras se utilizan como base para este clculo debido
a que muchos sitios cargan contenido de sitios externos que no debera
considerarse. Para obtener ms informacin sobre la pgina contenedora,
consulte Pginas contenedoras.
El ajuste de tiempo medio de exploracin es el tiempo medio que el
administrador considera que tardar un usuario en explorar una pgina
web. Cualquier solicitud realizada despus de que haya transcurrido el
tiempo medio de exploracin se considerar una nueva actividad de
exploracin. El clculo ignorar las pginas web nuevas que se carguen
entre el momento de la primera solicitud (hora de inicio) y el tiempo
medio de exploracin. Este comportamiento se ha diseado para excluir
los sitios externos que se carguen dentro de la pgina web de inters
Ejemplo: si el tiempo medio de exploracin es de 2 minutos y un usuario
abre una pgina web y visualiza dicha pgina durante 5 minutos, el
tiempo de exploracin de dicha pgina seguir siendo de 2 minutos.
Esto es as porque no hay forma de determinar durante cunto tiempo
un usuario visualiza una pgina concreta.
(Rango: 0-300 segundos; valor predeterminado: 60 segundos)
Umbral de carga de pgina (seg): Esta opcin le permite ajustar el
tiempo previsto que tardan los elementos de una pgina en cargarse en
la pgina. Cualquier solicitud que se produzca entre la primera carga
de la pgina y el umbral de carga de pgina se considerar que son
elementos de la pgina. Cualquier solicitud que se produzca fuera del
umbral de carga de pgina se considerar que es el usuario haciendo clic
en un enlace de la pgina. El umbral de carga de pgina tambin se
utiliza en los clculos para el informe de actividad de usuario.
(Rango: 0-60 segundos; valor predeterminado: 20 segundos)
Formato de nombre de host de Syslog: Seleccione si desea utilizar el
nombre de dominio completo (FQDN), el nombre de host, la direccin
IP (v4 o V6) en el encabezado del mensaje de Syslog; este encabezado
identifica el cortafuegos/Panorama desde el que se origina el mensaje.

34 Gestin de dispositivos

Palo Alto Networks

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin
Detener trfico cuando LogDb est lleno: Seleccione la casilla de
verificacin si desea que se detenga el trfico a travs del cortafuegos
cuando la base de datos de logs est llena (desactivada de manera
predeterminada).
Habilitar log con carga alta: Seleccione esta casilla de verificacin si
desea que se genere una entrada de log del sistema cuando la carga de
procesamiento del paquete del cortafuegos est al 100% de la utilizacin
de la CPU.
Una carga alta de CPU puede degradar el funcionamiento porque la
CPU no tiene suficientes ciclos para procesar todos los paquetes. El log
del sistema le avisa sobre este problema (se genera una entrada de log
cada minuto) y le permite investigar la posible causa.
De forma predeterminada, esta opcin est deshabilitada.

(Solo en Panorama)

Reenvo de log en bfer desde dispositivo: Permite al cortafuegos


almacenar en bfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexin con Panorama. Cuando se
restaura la conexin con Panorama, la entradas de log se reenvan a la
aplicacin; el espacio en disco disponible para el almacenamiento en
bfer depende de la cuota de almacenamiento de logs para la plataforma
y el volumen de los logs que quedan por ejecutar. Si se consume el
espacio, las entradas ms antiguas se eliminarn para permitir el registro
de nuevos eventos.
De forma predeterminada, esta opcin est habilitada.
Obtener nicamente nuevos logs al convertir a principal:
Esta opcin solo es aplicable cuando Panorama escribe logs en un
recurso compartido de archivos de red (NFS). Con los logs de NFS solo
se monta la instancia principal de Panorama en el NFS. Por lo tanto, los
cortafuegos solo envan logs en la instancia activa principal de Panorama.
Esta opcin permite que un administrador configure los cortafuegos
gestionados para que solo enven los logs recin generados a Panorama
cuando se produce un error de HA y la instancia secundaria de Panorama
contina creando logs para el NFS (despus de promocionarse como
principal).
Este comportamiento suele habilitarse para impedir que los cortafuegos
enven grandes volmenes de logs almacenados en bfer cuando se
restablezca la conexin con Panorama despus de un perodo de tiempo
significativo.
Solo logs principales activos al disco local: le permite configurar solo la
instancia principal activa para guardar logs en el disco local.
Esta opcin es vlida para una mquina virtual de Panorama con un
disco virtual y para el dispositivo M-100 en modo Panorama.

Palo Alto Networks

Gestin de dispositivos 35

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin
Informes predefinidos: Hay informes predefinidos para aplicacin,
trfico, amenazas y filtrado de URL disponibles en el cortafuegos y en
Panorama. De forma predeterminada, estos informes predefinidos estn
habilitados.
Debido a que los cortafuegos consumen recursos de memoria para
generar resultados cada hora (y enviarlos a Panorama cuando se agrega
y se compila para visualizacin), puede deshabilitar los informes que no
sean relevantes, reduciendo as el uso de memoria; para deshabilitar un
informe, quite la marca de la casilla de verificacin de los mismos.
Utilice las opciones Seleccionar todo o Anular seleccin para habilitar o
deshabilitar completamente la generacin de los informes predefinidos.
Nota: Antes deshabilitar un informe, asegrese de que no se incluye en ningn
informe de grupos o informe PDF. Si un informe predefinido forma parte de un
conjunto de de informes y se deshabilita, el conjunto de informes al completo
dejar de contener datos.

Complejidad de contrasea mnima


Habilitado

Habilite los requisitos de contrasea mnimos para cuentas locales.


Con esta funcin, puede garantizar que las cuentas de administrador
locales del cortafuegos cumplan un conjunto definido de requisitos de
contrasea.
Tambin puede crear un perfil de contrasea con un subconjunto de
estas opciones que cancelar estos ajustes y que puede aplicarse a
cuentas especficas. Para obtener ms informacin, consulte Definicin
de perfiles de contrasea. Consulte Definicin de funciones de
administrador para obtener informacin sobre los caracteres vlidos
que pueden utilizarse en las cuentas.

Note: La longitud de contrasea mxima que puede introducirse es


de 31 caracteres. Al ajustar los requisitos, asegrese de no crear una
combinacin que no pueda aceptarse. Por ejemplo, no puede establecer
un requisito de 10 maysculas, 10 minsculas, 10 nmeros y 10
caracteres especiales, ya que esto excedera la longitud mxima de 31.
Note: Si tiene configurada la alta disponibilidad (HA), utilice siempre
el dispositivo principal cuando configure opciones de complejidad de
contrasea y compile lo antes posible despus de realizar cambios.
Longitud mnima

Exija una longitud mnima de 1-15 caracteres.

Letras en mayscula
mnimas

Exija un nmero mnimo de letras en mayscula de 0-15 caracteres.

Letras en minscula
mnimas

Exija un nmero mnimo de letras en minscula de 0-15 caracteres.

Letras numricas
mnimas

Exija un nmero mnimo de letras numricas de 0-15 nmeros.

Caracteres especiales
mnimos

Exija un nmero mnimo de caracteres especiales (no alfanumricos)


de 0-15 caracteres.

Bloquear caracteres
repetidos

No permita caracteres repetidos basndose en el valor especificado.


Por ejemplo, si el valor se establece como 4, la contrasea prueba2222
no se aceptar, pero prueba222 s se aceptar (rango: 2-15).

36 Gestin de dispositivos

Palo Alto Networks

Tabla 1. Configuracin de gestin (Continuacin)


Elemento

Descripcin

Bloquear inclusin de
nombre de usuario
(incluida su inversin)

Seleccione esta casilla de verificacin para impedir que el nombre de


usuario de la cuenta (o la versin invertida del nombre) se utilice en la
contrasea.

La nueva contrasea
difiere por caracteres

Cuando los administradores cambien sus contraseas, los caracteres


deben diferir segn el valor especificado.

Es necesario cambiar la
contrasea al iniciar
sesin por primera vez.

Seleccione esta casilla de verificacin para pedir a los administradores


que cambien sus contraseas la primera vez que inicien sesin en el
dispositivo.

Evitar lmite de
reutilizacin de
contrasea

Exija que no se reutilice una contrasea anterior basndose en el


recuento especificado. Por ejemplo, si el valor se establece como 4, no
podr reutilizar ninguna de sus ltimas 4 contraseas (rango: 0-50).

Bloquear perodo de
cambio de contrasea
(das)

El usuario no podr cambiar sus contraseas hasta que no se haya


alcanzado el nmero de das especificado (rango: 0-365 das).

Perodo necesario para el


cambio de contrasea
(das)

Exija que los administradores cambien su contrasea con la regularidad


especificada por el nmero de das establecido, de 0 a 365 das. Por
ejemplo, si el valor se establece como 90, se pedir a los administradores
que cambien su contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das
y especificar un perodo de gracia.

Perodo de advertencia de
vencimiento (das)

Si se establece un perodo necesario para el cambio de contrasea, este


ajuste puede utilizarse para pedir al usuario que cambie su contrasea
cada vez que inicie sesin a medida que se acerque la fecha obligatoria
de cambio de contrasea (rango: 0-30 das).

Inicio de sesin de
administrador caducado
permitido (recuento)

Permita que el administrador inicie sesin el nmero de veces especificado despus de que la cuenta haya vencido. Por ejemplo, si el valor
se ha establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3
veces ms antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).

Perodo de gracia
posterior al vencimiento
(das)

Permita que el administrador inicie sesin el nmero de das especificado despus de que la cuenta haya vencido (rango: 0-30 das).

Palo Alto Networks

Gestin de dispositivos 37

Definicin de la configuracin de operaciones


Dispositivo > Configuracin > Operaciones
Cuando cambia un ajuste de configuracin y hace clic en ACEPTAR, se actualiza la
configuracin candidata actual, no la configuracin activa. Al hacer clic en Compilar en
la parte superior de la pgina, se aplica la configuracin candidata a la configuracin activa,
lo que activa todos los cambios de configuracin desde la ltima compilacin.
Este mtodo le permite revisar la configuracin antes de activarla. Si activa varios cambios
simultneamente, ayudar a evitar estados de configuracin no vlidos que pueden
producirse cuando se aplican cambios en tiempo real.
Puede guardar y restablecer la configuracin candidata con la frecuencia que sea necesario y
tambin cargar, validar, importar y exportar configuraciones. Si pulsa Guardar, se crear una
copia de la configuracin candidata actual, mientras que si selecciona Compilar, actualizar la
configuracin activa con el contenido de la configuracin candidata.
Es conveniente guardar peridicamente los ajustes de configuracin que haya introducido
haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla.
Para gestionar configuraciones, seleccione las funciones de gestin de configuracin
adecuadas que se describen en la tabla siguiente.

Tabla 2. Funciones de gestin de configuracin


Funcin

Descripcin

Gestin de configuracin
Validar configuracin
candidata

Comprueba si la configuracin candidata tiene errores.

Volver a la ltima
configuracin guardada

Restablece la ltima configuracin candidata guardada desde la unidad


local. La configuracin candidata actual se sobrescribir. Se producir un
error si no se ha guardado la configuracin candidata.

Volver a la configuracin
en ejecucin

Restablece la ltima configuracin en ejecucin. La configuracin en


ejecucin actual se sobrescribir.

Guardar instantnea
de configuracin con
nombre

Guarda la configuracin candidata en un archivo. Introduzca un nombre


de archivo o seleccione un archivo existente para sobrescribirlo. Tenga en
cuenta que el archivo de configuracin activa actual (running-config.xml)
no puede sobrescribirse.

Guardar configuracin
candidata

Guarda la configuracin candidata en la memoria flash (del mismo modo


que si hiciera clic en Guardar en la parte superior de la pgina).

Cargar instantnea de
configuracin con
nombre

Carga una configuracin candidata desde la configuracin activa


(running-config.xml) o desde una configuracin guardada o importada
anteriormente. Seleccione el archivo de configuracin que debe cargarse.
La configuracin candidata actual se sobrescribir.

Cargar versin de
configuracin

Carga una versin especificada de la configuracin.

Exportar instantnea
de configuracin con
nombre

Exporta la configuracin activa (running-config.xml) o una configuracin


guardada o importada anteriormente. Seleccione el archivo de configuracin que debe exportarse. Puede abrir el archivo y/o guardarlo en
cualquier ubicacin de red.

38 Gestin de dispositivos

Palo Alto Networks

Tabla 2. Funciones de gestin de configuracin (Continuacin)


Funcin

Descripcin

Exportar versin de
configuracin

Exporta una versin especificada de la configuracin.

Exportar estado de
dispositivo

Esta funcin se utiliza para exportar la informacin dinmica y de


configuracin de un cortafuegos configurado como portal de GlobalProtect
con la funcin de VPN a gran escala activada. Si el portal tiene un fallo,
se puede importar el archivo exportado para restablecer la informacin
dinmica y de configuracin del portal.
La exportacin incluye una lista de todos los dispositivos satlite
gestionados por el portal, la configuracin en ejecucin en el momento
de la exportacin y toda la informacin de los certificados (certificados de
CA raz, servidor y satlite).
Importante: Debe realizar manualmente la exportacin del estado del
dispositivo o crear una secuencia de comandos programada de la API
XML para exportar el archivo a un servidor remoto. Esto debe hacerse
con regularidad, ya que puede que los certificados de satlite cambien
a menudo.
Para crear el archivo de estado del dispositivo a partir de la CLI, en el
modo de configuracin, ejecute save device state.
El archivo se denominar device_state_cfg.tgz y se guardar en /opt/
pancfg/mgmt/device-state. El comando de operacin para exportar el
archivo de estado del dispositivo es scp export device-state
(tambin puede utilizar tftp export device-state).
Para obtener informacin sobre cmo utilizar la API XML, consulte
el documento PAN-OS XML-Based Rest API Usage Guide
(Gua de uso de la API Rest basada en XML de PAN-OS, en ingls)
en http://www.paloaltonetworks.com/documentation.

Importar instantnea
de configuracin con
nombre

Importa un archivo de configuracin desde cualquier ubicacin de red.


Haga clic en Examinar y seleccione el archivo de configuracin que debe
importarse.

Importar estado de
dispositivo

Importa la informacin de estado del dispositivo que se export mediante


la opcin Exportar estado de dispositivo. Esto incluye la configuracin en
ejecucin actual, plantillas de Panorama y polticas compartidas. Si el
dispositivo es un portal de GlobalProtect, la exportacin incluir la
informacin de la Entidad de certificacin (CA) y la lista de los
dispositivos satlite con su informacin de autenticacin.

Operaciones de dispositivo
Reiniciar

Para reiniciar el cortafuegos/Panorama, haga clic en Reiniciar


dispositivo. Cerrar sesin y se volvern a cargar el software PAN-OS y
la configuracin activa. Las sesiones existentes tambin se cerrarn y
registrarn. Asimismo, se crear una entrada de log de sistema que
mostrar el nombre del administrador que inici el apagado. Todos los
cambios de configuracin que no se hayan guardado o compilado se
perdern (consulte Definicin de la configuracin de operaciones).
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart system. Consulte la Gua de referencia de la interfaz
de lnea de comandos de PAN-OS para obtener informacin detallada.

Palo Alto Networks

Gestin de dispositivos 39

Tabla 2. Funciones de gestin de configuracin (Continuacin)


Funcin

Descripcin

Apagar

Para realizar un apagado correcto del cortafuegos/Panorama, haga clic


en Apagar dispositivo o Apagar Panorama y, a continuacin, haga clic en
S en el mensaje de confirmacin. Todos los cambios de configuracin
que no se hayan guardado o compilado se perdern. Todos los administradores cerrarn sesin y se producirn los siguientes procesos:
Se cerrarn todas las sesiones de inicio de sesin.
Se deshabilitarn las interfaces.
Se detendrn todos los procesos del sistema.
Se cerrarn y registrarn las sesiones existentes.
Se crearn logs del sistema que mostrarn el nombre del administrador
que inici el apagado. Si no se puede crear esta entrada de log, aparecer una advertencia y el sistema no se apagar.
Ahora podr desmontar de manera limpia las unidades de disco y el
dispositivo dejar de recibir alimentacin.
Deber desenchufar la fuente de alimentacin y volver a enchufarla antes
de poder activar el dispositivo.
Note: Si la interfaz web no est disponible, utilice el comando de la CLI
request shutdown system . Consulte la Gua de referencia de la interfaz
de lnea de comandos de PAN-OS para obtener informacin detallada.

Reiniciar plano de datos

Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo, haga
clic en Reiniciar plano de datos. Esta opcin no est disponible en el modelo
PA-200 y Panorama.
Nota: Si la interfaz web no est disponible, utilice el comando de la CLI
request restart dataplane. Consulte la Gua de referencia de la
interfaz de lnea de comandos de PAN-OS para obtener informacin detallada.

40 Gestin de dispositivos

Palo Alto Networks

Tabla 2. Funciones de gestin de configuracin (Continuacin)


Funcin

Descripcin

Varios
Logotipos
personalizados

Utilice esta opcin para personalizar cualquiera de los siguientes


elementos:
Imagen de fondo de la pantalla de inicio de sesin
Imagen de encabezado de la interfaz de usuario principal
Imagen de la pgina de ttulo del informe en PDF. Consulte Gestin de
informes de resumen en PDF.
Imagen de pie de pgina del informe en PDF
Haga clic en
para cargar un archivo de imagen, en
para obtener
una vista previa o en
para eliminar una imagen cargada anteriormente.
Tenga en cuenta lo siguiente:
Los tipos de archivos admitidos son png, gif y jpg.

Los archivos de imagen con un canal alfa no son compatibles y, cuando se


utilizan en informes en PDF, los informes no se generan correctamente.
Puede que tenga que ponerse en contacto con el creador de la imagen para
eliminar los canales alfa de la imagen o asegurarse de que el software de
grficos que est utilizando no guarda los archivos con la funcin de
canal alfa.
Para volver al logotipo predeterminado, elimine su entrada y realice
una compilacin.
El tamao de imagen mximo para cualquier imagen de logotipo es de
128 KB.
En el caso de las opciones de la pantalla de inicio de sesin y de la
interfaz de usuario principal, al hacer clic en
, la imagen se mostrar
del modo en que se visualizar. Si es necesario, se recortar la imagen
para ajustarla. En el caso de informes en PDF, el tamao de las imgenes
se ajustar automticamente sin recortarlas. En todos los casos, la vista
previa muestra las dimensiones de imagen recomendadas.
Para obtener informacin sobre cmo generar informes en PDF, consulte
Gestin de informes de resumen en PDF.
Configuracin de SNMP

Palo Alto Networks

Especifique parmetros de SNMP. Consulte SNMP.

Gestin de dispositivos 41

Tabla 2. Funciones de gestin de configuracin (Continuacin)


Funcin

Descripcin

Configuracin del
servicio de estadsticas

La funcin Servicio de estadsticas permite que el cortafuegos enve


informacin de aplicaciones annimas, amenazas y bloqueos al equipo de
investigacin de Palo Alto Networks. La informacin recopilada permite
que el equipo de investigacin mejore continuamente la eficacia de los
productos de Palo Alto Networks basndose en informacin del mundo
real. Este servicio est deshabilitado de manera predeterminada y, una
vez habilitado, se cargar informacin cada 4 horas.
Puede permitir que el cortafuegos enve cualquiera de los siguientes tipos
de informacin:
Informes de aplicacin y amenazas
Informes de aplicaciones desconocidas
Informes de URL
Seguimientos de bloqueos de dispositivos
Para ver una muestra del contenido de un informe estadstico que se
enviar, haga clic en el icono de informe
. Se abrir la pestaa Muestra
de informe para mostrar el cdigo del informe. Para ver un informe, haga
clic en la casilla de verificacin que aparece junto al informe deseado y, a
continuacin, haga clic en la pestaa Muestra de informe.

Definicin de mdulos de seguridad de hardware


Dispositivo > Configuracin > HSM
La pestaa HSM le permite ver el estado y configurar un mdulo de seguridad de
hardware (HSM).
La siguiente configuracin de estado aparece en la seccin del proveedor de mdulo de
seguridad de hardware.

Tabla 3. Configuracin de estado del proveedor de mdulo HSM


Campo

Descripcin

Proveedor configurado

Especifica una de las siguientes opciones:


Ninguno: No se ha configurado ningn HSM para el cortafuegos.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.

Alta disponibilidad

Si se selecciona, se configura la alta disponibilidad del HSM. Solo Luna SA


de Safenet.

Nombre de grupo de
alta disponibilidad.

Nombre de grupo configurado en el cortafuegos para la alta disponibilidad


del HSM. Solo Luna SA de Safenet.

Direccin de origen de
cortafuegos

Direccin del puerto utilizado para el servicio HSM. De forma predeterminada, se trata de la direccin del puerto de gestin. Sin embargo, se
puede especificar como un puerto diferente a travs de la opcin Configuracin de ruta de servicios en Dispositivo > Configuracin > Servicios.

Clave maestra
asegurada por HSM

Si se activa, la clave maestra se asegura en el HSM.

42 Gestin de dispositivos

Palo Alto Networks

Tabla 3. Configuracin de estado del proveedor de mdulo HSM


Campo

Descripcin

Estado

Consulte Configuracin del estado del mdulo de seguridad de hardware


de Luna SA de Safenet o Configuracin del estado del mdulo de
seguridad de hardware de Thales Nshield Connect como corresponda.

Para configurar un mdulo de seguridad de hardware (HSM) en el cortafuegos, haga clic en el


icono Editar de la seccin Proveedor de mdulo de seguridad de hardware y configure los
siguientes ajustes.

Tabla 4. Ajustes de configuracin de HSM


Campo
Proveedor configurado

Descripcin
Especifica una de las siguientes opciones:
Ninguno: No se ha configurado ningn HSM para el cortafuegos. No se
necesita otra configuracin.
Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet
en el cortafuegos.
Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield
Connect en el cortafuegos.

Nombre de mdulo

Especifique un nombre de mdulo para el HSM. Puede ser cualquier


cadena ASCII con una longitud de hasta 31 caracteres. Cree varios nombres
de mdulos si est definiendo una configuracin de alta disponibilidad
del HSM.

Direccin de servidor

Especifique una direccin de IPv4 para cualquier mdulo HSM que est
configurando.

Alta disponibilidad
Solo Luna SA de
Safenet

Seleccione esta casilla de verificacin si est definiendo mdulos HSM en


una configuracin de alta disponibilidad. Se debe configurar el nombre del
mdulo y la direccin del servidor de todos los mdulos HSM.

Reintento de
recuperacin
automtica

Especifique el nmero de intentos que debe realizar el cortafuegos para


recuperar la conexin con HSM antes de conmutarse por error a otro HSM
en una configuracin de alta disponibilidad del HSM. Rango 0 -500.

Solo Luna SA de
Safenet
Nombre de grupo de
alta disponibilidad.
Solo Luna SA de
Safenet

Especifique el nombre de grupo que se debe utilizar para el grupo de alta


disponibilidad del HSM. Este nombre lo utiliza el cortafuegos de forma
interna. Puede ser cualquier cadena ASCII con una longitud de hasta 31
caracteres.

Direccin de sistema
de archivos remoto

Configure la direccin IPv4 del sistema de archivos remoto utilizado en la


configuracin de HSM de Thales Nshield Connect.

Solo Thales Nshield


Connect

Seleccione Configurar mdulo de seguridad de hardware y configure los siguientes ajustes


para autenticar el cortafuegos en el HSM.

Palo Alto Networks

Gestin de dispositivos 43

Tabla 5. Ajustes de Configurar mdulo de seguridad de hardware


Campo

Descripcin

Nombre de servidor

Seleccione un nombre de servidor HSM en el cuadro desplegable.

Contrasea de
administrador

Introduzca la contrasea del administrador de HSM para autenticar el


cortafuegos en el HSM.

La seccin Estado de mdulo de seguridad de hardware proporciona la siguiente


informacin sobre los HSM que se han autenticado correctamente. La pantalla mostrar
opciones diferentes dependiendo el proveedor HSM configurado.

Tabla 6. Configuracin del estado del mdulo de seguridad de hardware de Luna SA


de Safenet
Campo

Descripcin

Nmero de serie

Se muestra el nmero de serie de la particin del HSM si la particin de


HSM se ha autenticado correctamente.

Particin

Nombre de la particin en el HSM que se asign en el cortafuegos.

Estado de mdulo

Estado de funcionamiento actual del HSM. Este ajuste tendr el valor


Autenticado si el HSM aparece en esta tabla.

Tabla 7. Configuracin del estado del mdulo de seguridad de hardware de Thales


Nshield Connect
Campo

Descripcin

Nombre

Nombre del servidor del HSM.

Direccin IP

Direccin IP del HSM que se asign en el cortafuegos.

Estado de mdulo

Estado de funcionamiento actual del HSM.


Autenticado
No autenticado

44 Gestin de dispositivos

Palo Alto Networks

SNMP
Dispositivo > Configuracin > Operaciones
SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la
supervisin de los dispositivos de su red. Utilice esta pgina para configurar el cortafuegos
de forma que utilice la versin de SNMP (SNMPv2c y SNMPv3) admitida por su estacin de
gestin de red.
Para configurar el perfil del servidor que habilita el cortafuegos para comunicarse con los
destinos de trap SNMP de su red, consulte Configuracin de destinos de traps SNMP.
El mdulo de bases de informacin de gestin SNMP define todos los traps SNMP generados
por el sistema. El trap SNMP identifica un evento con un ID de objeto nico (OID) y los
campos individuales se definen como una lista de enlaces de variables (varbind).
Haga clic en Configuracin de SNMP en la pgina Configuracin y especifique los siguientes
ajustes para permitir las solicitudes GET SNMP desde su estacin de gestin de red:

Tabla 8. Configuracin de SNMP


Campo

Descripcin

Ubicacin fsica

Especifique la ubicacin fsica del cortafuegos. Cuando se genera un log o


trap, esta informacin le permite identificar el dispositivo que ha generado
la notificacin.

Contacto

Introduzca el nombre o la direccin de correo electrnico de la persona


responsable del mantenimiento del cortafuegos Este ajuste se indica en la
MIB de informacin del sistema estndar.

Utilizar definiciones
de traps especficas

Seleccione la casilla de verificacin para utilizar un OID exclusivo para cada trap
SNMP basndose en el tipo de evento (est seleccionado el valor predeterminado).

Palo Alto Networks

Gestin de dispositivos 45

Tabla 8. Configuracin de SNMP (Continuacin)


Campo

Descripcin

Versin

Seleccione la versin de SNMP (V2c o V3). Este ajuste controla el acceso a la


informacin de la MIB. De manera predeterminada, se selecciona V2c con la
cadena de comunidad pblica.
En el caso de V2c, configure el siguiente ajuste:
Cadena de comunidad SNMP: Introduzca la cadena de comunidad SNMP
para el acceso al cortafuegos (valor predeterminado: pblico). Son necesarias
las cadenas de comunidad SNMP para SNMPv2c. SNMPv3 utiliza una autenticacin de nombre de usuario/contrasea, junto con una clave de cifrado.
En el caso de V3, configure los siguientes ajustes:
Vistas: Las vistas le permiten limitar los objetos MIB a los que puede acceder
un gestor SNMP. Haga clic en Aadir y configure los siguientes ajustes:
Nombre: Especifique un nombre para un grupo de vistas.
Ver: Especifique un nombre para una vista.
OID: Especifique el identificador de objeto (OID) (por ejemplo, 1.2.3.4).
Opcin: Seleccione si el OID debe incluirse en la vista o excluirse de ella.
Mscara: Especifique un valor de mscara para un filtro del OID en formato
hexadecimal (por ejemplo, 0xf0).
Usuarios: Haga clic en Aadir y configure los siguientes ajustes:
Usuarios: Especifique un nombre de usuario.
Ver: Especifique el grupo de vistas del usuario.
Contrasea de autenticacin: Especifique la contrasea de autenticacin
del usuario (8 caracteres como mnimo, 256 caracteres como mximo y sin
restricciones de caracteres). (Se permiten todos los caracteres.) nicamente se
admite el algoritmo de hash seguro (SHA).
Contrasea priv.: Especifique la contrasea de cifrado del usuario (8 caracteres como mnimo, 256 caracteres como mximo y sin restricciones de caracteres). nicamente se admite el estndar de cifrado avanzado (AES).

Definicin de la configuracin de servicios


Dispositivo > Configuracin > Servicios
La pestaa Servicios muestra secciones para Servicios y Caractersticas de servicios.
Utilice estas secciones para configurar los servicios que utiliza el cortafuegos para funcionar
de forma eficaz:

Utilice la seccin Servicios para definir la configuracin del sistema de nombre de


dominio (DNS), de los servidores de actualizacin y servidores proxy. Utilice la pestaa
NTP especfica en la seccin Servicios para configurar los ajustes del protocolo de tiempo
de red (NTP). Consulte la Tabla 9 para conocer descripciones de los campos de las
opciones disponibles en la seccin Servicios.

Utilice la seccin Caractersticas de servicios para seleccionar o personalizar una configuracin de ruta de servicios. Especifique el modo en que el cortafuegos se comunicar
con otros servidores/dispositivos para la comunicacin de servicios, como DNS, correo
electrnico, actualizaciones de Palo Alto y NTP. Haga clic en Configuracin de ruta de
servicios en los ajustes de Caractersticas de servicios para seleccionar una de las opciones
descritas en Tabla 10.

46 Gestin de dispositivos

Palo Alto Networks

Tabla 9. Configuracin de servicios


Funcin

Descripcin

Servicios
DNS

Seleccione el tipo de servicio de DNS. Este ajuste se utiliza para todas las
consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos
de direccin FQDN, logs y la gestin de dispositivos. Las opciones incluyen
las siguientes:
Servidores DNS principal y secundario para la resolucin de nombres
de dominio
Proxy de DNS configurado en el cortafuegos

Servidor DNS
principal

Introduzca la direccin IP del servidor DNS primario. El servidor se utiliza


para las consultas de DNS del cortafuegos; por ejemplo, para buscar el
servidor de actualizaciones, para resolver entradas de DNS en logs o para
objetos de direccin basados en FDQN.

Servidor de DNS
secundario

Introduzca la direccin IP de un servidor DNS secundario que deber


utilizarse si el servidor principal no est disponible (opcional).

Actualizar servidor

Este ajuste representa la direccin IP o el nombre de host del servidor


utilizado para descargar actualizaciones de Palo Alto Networks. El valor
actual es updates.paloaltonetworks.com. No cambie el nombre del servidor
a menos que se lo indique la asistencia tcnica.

Verificar identidad
del servidor de
actualizacin

Si se habilita esta opcin, el cortafuegos o Panorama verificarn que el


servidor desde el que se descarga el software o el paquete de contenidos
cuenta con un certificado SSL firmado por una autoridad fiable. Esta opcin
aade un nivel de seguridad adicional para la comunicacin entre el servidor
del cortafuegos/Panorama y el servidor de actualizacin.

Seccin Servidor proxy


Servidor

Si el dispositivo necesita utilizar un servidor proxy para acceder a los


servicios de actualizacin de Palo Alto Networks, introduzca la direccin
IP o el nombre de host del servidor.

Puerto

Introduzca el puerto para el servidor proxy.

Usuario

Introduzca el nombre de usuario para acceder al servidor.

Contrasea/
Confirmar
contrasea

Introduzca y confirme la contrasea para que el usuario acceda al servidor


proxy.

Palo Alto Networks

Gestin de dispositivos 47

Tabla 9. Configuracin de servicios (Continuacin)


Funcin

Descripcin

NTP
Direccin de
servidor NTP

Introduzca la direccin IP o el nombre de host del servidor NTP que dese


usar para sincronizar el reloj del cortafuegos. De forma optativa, introduzca
la direccin IP o nombre de host de un segundo servidor NTP con el que
sincronizar el reloj del cortafuegos si el servidor primario no est disponible.
Puede activar el cortafuegos para autenticar las actualizaciones de hora
desde un servidor NTP. Para cada servidor NTP, seleccione el tipo de
autenticacin que debe utilizar el cortafuegos:
Ninguno: Seleccione esta opcin para desactivar la autenticacin del NTP
(predeterminado).

Tipo de
autenticacin

Clave simtrica: Seleccione esta opcin para que el cortafuegos utilice


intercambio de clave simtrica (secretos compartidos) para autenticar
las actualizaciones temporales del servidor NTP. Si selecciona la clave
simtrica, contine introduciendo los siguientes campos:
ID de clave: Introduzca el ID de clave (1- 65534).
Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticacin del NTP (MD5 o SHA1).
Clave de autenticacin/Confirmar clave de autenticacin: Introduzca
y confirme la clave de autenticacin del algoritmo de autenticacin.
Clave automtica: Seleccione esta opcin para que el cortafuegos utilice la
clave automtica (criptografa de clave pblica) para autenticar las actualizaciones de hora del servidor NTP.

Tabla 10. Caractersticas de servicios


Funcin:

Descripcin

Configuracin de ruta de servicios


Utilizar interfaz de
gestin para todos

48 Gestin de dispositivos

Esta opcin forzar todas las comunicaciones de servicios de cortafuegos con


servidores externos a travs de la interfaz de gestin (MGT). Si se selecciona
esta opcin, deber configurar la interfaz de gestin para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan
servicios. Para configurar la interfaz de gestin, desplcese hasta la pestaa
Dispositivo > Configuracin > Gestin y edite la seccin Configuracin de
interfaz de gestin.

Palo Alto Networks

Tabla 10. Caractersticas de servicios (Continuacin)


Funcin:

Descripcin

Personalizar

Seleccione esta opcin para configurar un control detallado de la comunicacin del servicio utilizando una interfaz de origen y direccin IP especficas.
Por ejemplo, puede configurar una IP/interfaz de origen especfica para toda
la comunicacin por correo electrnico entre el cortafuegos y un servidor
de correo electrnico y utilizar una interfaz/IP de origen diferente para las
actualizaciones de Palo Alto.
IPv4/IPv6: En las pestaas IPv4 o IPv6, seleccione en la lista desplegable
de servicios disponibles la interfaz de origen y la direccin de origen.
La direccin de origen muestra la direccin IPv4 o IPv6 asignada a la
interfaz seleccionada; la direccin IP seleccionada ser el origen del trfico
de servicios. No tiene que definir la direccin de destino, ya que el destino
se configura al configurar el servicio en cuestin. Por ejemplo, cuando
defina sus servidores DNS en la pestaa Dispositivo > Configuracin >
Servicios, dicha accin establecer el destino de las consultas de DNS.
Destino: Puede definir la interfaz y la direccin de origen que utilizar el
servicio que desea enviar, pero que no aparece en la columna Servicio,
Los servicios no enumerados incluyen elementos como Kerberos, LDAP y
comunicaciones de recopilador de logs de Panorama. No necesita introducir
la subred de la direccin de destino.
En entornos multiempresa, se exigirn rutas de servicios basadas en IP de
destino, mientras que los servicios comunes requerirn una direccin de
origen diferente. Por ejemplo, si dos empresas necesitan utilizar RADIUS.
Es importante que las rutas y polticas se establezcan correctamente para la
interfaz que se utilizar para enviar el servicio. Por ejemplo, si desea enviar
solicitudes de autenticacin de Kerberos en una interfaz que no sea el
puerto de gestin (MGT), deber configurar IP Destino y Direccin de
origen en la seccin de la derecha de la ventana Configuracin de ruta de
servicios, ya que Kerberos no se enumera en la columna Servicio predeterminada. Por ejemplo, puede tener la direccin IP de origen 192.168.2.1 en
Ethernet1/3 y, a continuacin, el destino 10.0.0.240 para un servidor
Kerberos. Deber aadir Ethernet1/3 a un enrutador virtual existente con
una ruta predeterminada. Asimismo, puede crear un nuevo enrutador
virtual desde Red > Enrutadores virtuales y aadir las rutas estticas que
sea necesario. Esto garantizar que todo el trfico de la interfaz se enviar
a travs del enrutador virtual para llegar a sus correspondientes destinos.
En este caso, la direccin de destino es 10.0.0.240 y la interfaz Ethernet1/3
tiene la IP de origen 192.168.2.1/24.
El resultado de la CLI para IP Destino y Direccin de origen tendra el
siguiente aspecto:
PA-200-Test# show route
destination {
10.0.0.240 {
source address 192.168.2.1/24
}
Con esta configuracin, todo el trfico de la interfaz Ethernet1/3 utilizar
la ruta predeterminada definida en el enrutador virtual y se enviar a
10.0.0.240.

Palo Alto Networks

Gestin de dispositivos 49

Definicin de la configuracin de ID de contenido (content-id)


Dispositivo > Configuracin > ID de contenido
Utilice la pestaa ID de contenido (Content-ID) para definir la configuracin del filtrado de
URL, la proteccin de datos y las pginas contenedoras.

Tabla 11. Configuracin de inspeccin de contenidos (Content-ID)


Funcin

Descripcin

Filtrado de URL
Tiempo de espera de
cach de URL dinmica

Haga clic en Editar e introduzca el tiempo de espera (en horas). Este valor
se utiliza en el filtrado de URL dinmica para determinar la cantidad de
tiempo que una entrada permanece en la cach despus de ser devuelta
por el servicio de filtrado de URL. Esta opcin nicamente es aplicable
al filtrado de URL que utilice la base de datos de BrightCloud. Si desea
ms informacin sobre el filtrado de URL, consulte Perfiles de filtrado
de URL.

Tiempo de espera de
cach de URL dinmica

Especifique el intervalo que transcurre desde una accin de continuacin


por parte del usuario hasta el momento en que el usuario debe volver a
pulsar el botn de continuacin para las URL de la misma categora
(rango: 1-86.400 minutos; valor predeterminado: 15 minutos).

Tiempo de espera
de cancelacin de
administrador de URL

Especifique el intervalo que transcurre desde que el usuario introduce


la contrasea de cancelacin de administrador hasta que el usuario
debe volver a introducir la contrasea de cancelacin de administrador
para las URL de la misma categora (rango: 1-86.400 minutos; valor
predeterminado: 900 minutos).

Tiempo de espera de
bloqueo de administrador de URL

Especifique el perodo de tiempo que un usuario est bloqueado y


no puede utilizar la contrasea de cancelacin de administrador de
URL despus de tres intentos incorrectos (1-86.400 minutos; valor
predeterminado: 1.800 minutos).

x-forwarded-for

Incluya el encabezado x-forwarded-for que contiene la direccin IP de


origen. Cuando se selecciona esta opcin, el cortafuegos examina los
encabezados HTTP en busca del encabezado x-forwarded-for, que un
proxy puede utilizar para almacenar la direccin IP de origen del usuario
original.
El sistema toma el valor e introduce Src: x.x.x.x en el campo Usuario de
origen de los logs de URL (donde x.x.x.x es la direccin IP leda en el
encabezado).

Quitar x-forwarded-for

Elimine el encabezado x-forwarded-for que contiene la direccin IP de


origen. Cuando esta opcin est seleccionada, el cortafuegos borra el
valor del encabezado antes de reenviar la solicitud y los paquetes
reenviados no contienen informacin de IP de origen interna.

Permitir reenvo de
contenido descifrado

Seleccione la casilla de verificacin para permitir que el cortafuegos


reenve contenido descifrado a un servicio externo. Por ejemplo, cuando
se establece esta opcin, el cortafuegos puede enviar contenido descifrado
a WildFire para su anlisis. En el caso de configuraciones de VSYS
mltiple, esta opcin depende de VSYS.

50 Gestin de dispositivos

Palo Alto Networks

Tabla 11. Configuracin de inspeccin de contenidos (Content-ID) (Continuacin)


Funcin

Descripcin

Cancelacin de administrador de URL


Configuracin de
la cancelacin de
administrador de URL

Especifique la configuracin que se utiliza cuando se bloquea una pgina


con el perfil de filtrado de URL y se especifica la accin Cancelar.
Consulte Perfiles de filtrado de URL.
Haga clic en Aadir y configure los siguientes ajustes para todos los
sistemas virtuales en los que desee configurar una cancelacin de
administrador de URL.
Ubicacin: Seleccione el sistema virtual en la lista desplegable
(nicamente dispositivos de VSYS mltiple).
Contrasea/Confirmar contrasea: Introduzca la contrasea que el
usuario debe introducir para cancelar la pgina de bloque.
Certificado de servidor: Seleccione el certificado de servidor que se
utilizar con comunicaciones SSL al redirigir a travs del servidor
especificado.
Modo: Determina si la pgina de bloque se entrega de manera transparente (parece originarse en el sitio web bloqueado) o se redirige al
usuario al servidor especificado. Si selecciona Redirigir, introduzca la
direccin IP para el redireccionamiento.
Haga clic en

Gestionar proteccin
de datos

para eliminar una entrada.

Aumente la proteccin para acceder a logs que puedan incluir


informacin confidencial, como nmeros de tarjetas de crdito o
nmeros de la Seguridad Social.
Haga clic en Gestionar proteccin de datos y configure lo siguiente:
Para establecer una nueva contrasea si todava no se ha establecido
una, haga clic en Establecer contrasea. Introduzca y confirme la
contrasea.
Para cambiar la contrasea, haga clic en Cambiar contrasea.
Introduzca la contrasea anterior y, a continuacin, introduzca y
confirme la nueva contrasea.
Para eliminar la contrasea y los datos que se han protegido, haga clic
en Eliminar contrasea.

Pginas contenedoras

Utilice estos ajustes para especificar los tipos de URL que el cortafuegos
seguir o registrar basndose en el tipo de contenido, como application/
pdf, application/soap+xml, application/xhtml+, text/html, text/plain
y text/xml. Las pginas contenedoras se establecen segn el sistema
virtual, el cual puede seleccionar en la lista desplegable Ubicacin. Si un
sistema virtual no tiene una pgina contenedora explcita definida, se
utilizarn los tipos de contenido predeterminados.
Haga clic en Aadir e introduzca o seleccione un tipo de contenido.
La adicin de nuevos tipos de contenido para un sistema virtual cancela
la lista predeterminada de tipos de contenido. Si no hay tipos de contenido
asociados a un sistema virtual, se utilizar la lista predeterminada de
tipos de contenido.

Configuracin de ID de contenidos
Longitud de captura de
paquetes extendida

Palo Alto Networks

Establezca el nmero de paquetes que se deben capturar cuando la


opcin de captura extendida se habilita en perfiles de antispyware y
vulnerabilidad. El rango es 1-50 y el valor predeterminado es 5.

Gestin de dispositivos 51

Configuracin de ajustes de WildFire


Dispositivo > Configuracin > WildFire
Utilice la pestaa WildFire para configurar los ajustes de WildFire en el cortafuegos.
Estos ajustes determinarn si los archivos se enviarn a la nube de WildFire o al dispositivo
WildFire. Tambin puede establecer los lmites de tamao de archivo y la informacin de
sesin sobre la que se informar.
Para reenviar contenido descifrado a WildFire, deber seleccionar la casilla de
verificacin Permitir reenvo de contenido descifrado del cuadro Configuracin
de Dispositivo > Configuracin > ID de contenido > Filtrado de URL.

Tabla 12. Ajustes de WildFire en el cortafuegos


Campo

Descripcin

Configuracin general
Servidor de WildFire

Especifique la direccin IP o FQDN de un dispositivo WildFire o


especifique el valor wildfire-default-cloud para utilizar la nube de
WildFire.
Los servidores de nube de WildFire disponibles cuentan de forma
predeterminada con la nube de WildFire alojada en EE. UU. y
wildfire.paloaltonetworks.jp con la nube de WildFire alojada en Japn.
Puede que desee utilizar el servidor japons si no desea que se enven
archivos benignos a los servidores de nube estadounidenses. Si se
determina que un archivo enviado a la nube de Japn es malintencionado,
este se reenviar a los servidores de EE. UU., donde se volver a analizar y
se generarn las firmas. Si se encuentra en la regin de Japn, puede que
tambin experimente una respuesta ms rpida en los envos de muestras
y la generacin de informes. Tambin se puede configurar Panorama para
la nube de Japn. En Panorama, el nombre del servidor de EE. UU. es
wildfire-public-cloud y el de japn es wildfire.paloaltonetworks.jp.

Tamao de archivo
mximo (MB)

Especifique el tamao de archivo mximo que se reenviar al servidor


WildFire. Los rangos disponibles son:
flash (Adobe Flash): 1-10 MB, 5 MB de forma predeterminada
apk (aplicaciones para Android): 1-50 MB, 10 MB de forma predeterminada
pdf (Portable Document Format) 100 KB-1000 KB, 200 KB de forma
predeterminada
jar (archivo de clase de Java empaquetado): 1-10 MB, 1 MB de forma
predeterminada
pe (Portable Executable): 1-10 MB, 2 MB de forma predeterminada
ms-office (Microsoft Office): 200 KB-10000 KB, 500 KB de forma
predeterminada
Nota: Los valores anteriores pueden variar segn la versin de PAN-OS o la
versin de contenido instalada. Para ver los intervalos vlidos, haga clic en el
campo Lmite de tamao y aparecer un mensaje emergente que mostrar el
intervalo disponible y el valor predeterminado.

52 Gestin de dispositivos

Palo Alto Networks

Tabla 12. Ajustes de WildFire en el cortafuegos (Continuacin)


Campo

Descripcin

Informar de archivos
benignos

Cuando esta opcin est activada (desactivada de forma predeterminada),


los archivos analizados por WildFire indicados como benignos aparecern
en el log Supervisar > Envos de WildFire.
Nota: Incluso si esta opcin est activada en el cortafuegos, los enlaces de correo
electrnico que WildFire considera benignos no se registrarn debido a la cantidad
potencial de enlaces procesados.

Ajustes de informacin de sesin


Configuracin

Especifique la informacin que se reenviar al servidor WildFire.


De manera predeterminada, todo est seleccionado:
IP de origen: Direccin IP de origen que envi el archivo sospechoso.
Puerto de origen: Puerto de origen que envi el archivo sospechoso.
IP de destino: Direccin IP de destino del archivo sospechoso.
Puerto de destino: Puerto de destino del archivo sospechoso.
Vsys: Sistema virtual del cortafuegos que identific al posible software
malintencionado.
Aplicacin: Aplicacin de usuario que se utiliz para transmitir el
archivo.
Usuario: Usuario de destino.
URL: URL asociada al archivo sospechoso.
Nombre de archivo: Nombre del archivo que se envi.
Remitente de correo electrnico: Proporciona el nombre del remitente
en los logs de WildFire e informes de WildFire detallados cuando se
detecta un enlace de correo electrnico malicioso en el trfico del SMTP
y POP3.
Destinatario de correo electrnico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrnico malicioso en el trfico del SMTP y POP3.
Asunto de correo electrnico: Proporciona el asunto del correo electrnico en los logs e informes detallados de WildFire cuando se detecta un
enlace de correo electrnico malicioso en el trfico del SMTP y POP3.

Definicin de la configuracin de sesin


Dispositivo > Configuracin > Sesin
Utilice la pestaa Sesin para configurar los tiempos de vencimiento de las sesiones,
la configuracin de certificados de descifrado y los ajustes globales relacionados con las
sesiones, como aplicar cortafuegos al trfico IPv6 y volver a hacer coincidir la poltica de
seguridad con las sesiones existentes cuando cambia la poltica. La pestaa presenta las
siguientes secciones:

Configuracin de sesin

Tiempos de espera de sesin

Ajustes de descifrado: Comprobacin de revocacin de certificado

Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy

Palo Alto Networks

Gestin de dispositivos 53

Configuracin de sesin
Tabla 13. Configuracin de sesin
Campo

Descripcin

Reanalizar sesiones
establecidas

Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que


el cortafuegos aplique las polticas de seguridad recin configuradas a las
sesiones que ya estn en curso. Esta capacidad est habilitada de manera
predeterminada. Si este ajuste est deshabilitado, cualquier cambio de
poltica se aplica solo a las sesiones iniciadas despus de que se haya
compilado un cambio de poltica.
Por ejemplo, si se ha iniciado una sesin de Telnet mientras haba
configurada una poltica que permita Telnet y, en consecuencia, ha
compilado un cambio de poltica para denegar Telnet, el cortafuegos
aplica la poltica revisada a la sesin actual y la bloquea.

Tamao de depsito de
testigo de ICMPv6

Introduzca el tamao de depsito para la limitacin de tasa de mensajes de


error de ICMPv6. El tamao de depsito de testigo es un parmetro del
algoritmo de depsito de testigo que controla la intensidad de las rfagas
de transmisin de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).

Tasa de paquetes de
error de ICMPv6

Introduzca el nmero medio de paquetes de error de ICMPv6 por segundo


que se permiten globalmente a travs del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depsito de testigo
de ICMPv6 se utiliza para activar la limitacin de mensajes de error de
ICMPv6.

Habilitar cortafuegos
IPv6

Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y


seleccione la casilla de verificacin Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarn si IPv6 no se
habilita. Incluso si IPv6 est activado para una interfaz, el ajuste
Cortafuegos IPv6 tambin debe estar activado para que IPv6 funcione.

Trama gigante
MTU global

Seleccione esta opcin para habilitar la compatibilidad con tramas


gigantes en interfaces de Ethernet. Las tramas gigantes tienen una
unidad de transmisin mxima (MTU) de 9192 bytes y estn disponibles
en determinadas plataformas.
Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no est
especficamente configurada, estas interfaces heredarn automticamente
el tamao de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor.

Tamao mnimo de
MTU para NAT64
en IPv6

54 Gestin de dispositivos

Introduzca la MTU global para el trfico IPv6 traducido. El valor


predeterminado de 1280 bytes se basa en la MTU mnima estndar
para el trfico IPv6.

Palo Alto Networks

Tabla 13. Configuracin de sesin (Continuacin)


Campo

Descripcin

Ratio de sobresuscripcin NAT

Seleccione la velocidad de sobresuscripcin NAT, es decir, el nmero de


ocasiones en las que el mismo par de direccin IP y puerto traducido
se pueden usar de forma simultnea. La reduccin de la velocidad de
sobresuscripcin disminuir el nmero de traducciones de dispositivo
origen, pero proporcionar ms capacidades de regla de NAT.
Valor predeterminado de plataforma: La configuracin explcita
de la velocidad de sobresuscripcin est desactivada; se aplica la
velocidad de sobresuscripcin predeterminada para la plataforma.
Consulte las velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
1x: 1 vez Esto significa que no existe ninguna sobresuscripcin; cada par
de direccin IP y puerto traducido se puede utilizar solo una vez en cada
ocasin.
2x: 2 veces
4x: 4 veces
8x: 8 veces

Vencimiento acelerado

Activa el vencimiento acelerado de las sesiones inactivas.


Seleccione la casilla de verificacin para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesin alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado
a los clculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces ms rpida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera ms rpido
(la mitad). Para calcular el vencimiento acelerado de la sesin, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesin)
entre el factor de escala para determinar un tiempo de espera ms corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesin que por lo
general vencera despus de 3600 segundos lo har 10 veces ms rpido
(en 1/10 del tiempo), es decir, 360 segundos.

Tiempos de espera de sesin


El tiempo de espera de una sesin define la duracin para la que PAN-OS mantiene una
sesin en el cortafuegos despus de la inactividad en esa sesin. De forma predeterminada,
cuando la sesin agota su tiempo de espera para el protocolo, PAN-OS cierra la sesin.
En el cortafuegos, puede definir un nmero de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesin. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Adems de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicacin en la pestaa Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicacin aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicacin a una aplicacin que est en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicacin anulan los tiempos de espera globales de la sesin TCP o UDP.

Palo Alto Networks

Gestin de dispositivos 55

Utilice las opciones de esta seccin para configurar los ajustes de los tiempos de espera
globales: especficamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de
sesiones.
Los valores predeterminados son valores ptimos. Sin embargo, puede modificarlos segn
las necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mnimos en la red, lo que podra producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podra retrasarse la
deteccin de errores.

Tabla 14. Tiempos de espera de sesin


Campo

Descripcin

Valor predeterminado

Tiempo mximo que una sesin que no es TCP/UDP ni ICMP se puede


abrir sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Descartar tiempo de
espera
Descartar valor
predeterminado
Descartar TCP

PAN-OS aplica el tiempo de espera de descarte cuando se deniega una


sesin debido a las polticas de seguridad configuradas en el cortafuegos.
Solo se aplica al trfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999
segundos.
Se aplica al trfico de TCP.
El valor predeterminado es 90 segundos; el intervalo es 1-1599999
segundos.

Descartar UDP

Se aplica al trfico de UDP.


El valor predeterminado es 60 segundos; el intervalo es 1-1599999
segundos.

ICMP

Tiempo mximo que una sesin ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.

Analizar

Tiempo mximo que cualquier sesin puede permanecer abierta despus


de ser considerada inactiva. PAN-OS considera inactiva una aplicacin
cuando supera el umbral de generacin definido para la misma.
El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos.

TCP

Tiempo mximo que una sesin TCP permanece abierta sin una respuesta
despus de que una sesin TCP active el estado Establecido (despus de
que se complete el protocolo o la transmisin de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999
segundos.

Protocolo de enlace
TCP

Tiempo mximo entre la recepcin de SYN-ACK y la siguiente ACK para


establecer completamente la sesin.
El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos.

Inicializacin de TCP

Tiempo mximo entre la recepcin de SYN y SYN-ACK antes de iniciar el


temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; el intervalo es 1-60 segundos

TCP semicerrado

Tiempo mximo entre la recepcin del primer FIN y la recepcin del


segundo FIN o RST.
Valor predeterminado: 120 segundos; el intervalo es 1-604800 segundos

56 Gestin de dispositivos

Palo Alto Networks

Tabla 14. Tiempos de espera de sesin (Continuacin)


Campo

Descripcin

Tiempo de espera TCP

Tiempo mximo despus de recibir el segundo FIN o RST.


Valor predeterminado: 15 segundos; el intervalo es 1-600 segundos

RST sin verificar

Tiempo mximo despus de recibir un RST que no se puede verificar


(el RST est dentro de la ventana TCP pero tiene un nmero de secuencia
inesperado o el RST procede de una ruta asimtrica).
Valor predeterminado: 30 segundos; el intervalo es 1-600 segundos

UDP

Tiempo mximo que una sesin UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Portal cautivo

Tiempo de espera de la sesin de autenticacin para el formato web


del portal cautivo. Para acceder al contenido solicitado, el usuario debe
introducir las credenciales de autenticacin en este formato y autenticarse
correctamente.
El valor predeterminado es 0 segundos; el intervalo es 1-1599999 segundos.
Para definir otros tiempos de espera del portal cautivo, como el temporizador de inactividad y el tiempo que debe pasar para volver a autenticar
al usuario, utilice la pestaa Dispositivo > Identificacin de usuario >
Configuracin de portal cautivo. Consulte Pestaa Configuracin de
portal cautivo.

Ajustes de descifrado: Comprobacin de revocacin de certificado


En la pestaa Sesin, seccin Ajustes de descifrado, seleccione Comprobacin de revocacin
de certificado para establecer los parmetros descritos en la siguiente tabla.

Tabla 15. Caractersticas de sesin: Comprobacin de revocacin de certificado


Campo

Descripcin

Habilitar: CRL

Seleccione esta casilla de verificacin para utilizar el mtodo de la lista de


revocacin de certificados (CRL) y verificar el estado de revocacin de los
certificados.
Si tambin activa el protocolo de estado de certificado en lnea (OCSP), el
cortafuegos primero prueba con l; si el servidor OCSP no est disponible,
entonces el cortafuegos intenta utilizar el mtodo CRL.
Para obtener ms informacin sobre los certificados de descifrado, consulte
Polticas de descifrado.

Tiempo de espera de
recepcin: CRL

Si ha activado el mtodo CLR para verificar el estado de revocacin


de certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) despus del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.

Habilitar: OCSP

Seleccione la casilla de verificacin para utilizar OCSP y verificar el estado


de revocacin de los certificados.

Tiempo de espera de
recepcin: OCSP

Si ha activado el mtodo OCSP para verificar el estado de revocacin


de certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) despus del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.

Palo Alto Networks

Gestin de dispositivos 57

Tabla 15. Caractersticas de sesin: Comprobacin de revocacin de certificado (ContiCampo

Descripcin

Bloquear sesin con


estado de certificado
desconocido

Seleccione la casilla de verificacin para bloquear sesiones SSL/TLS


cuando el servicio OCSP o CRL devuelva un estado de revocacin de
certificados desconocido. De lo contrario, el cortafuegos continuar con
la sesin.

Bloquear sesin al
agotar el tiempo
de espera de
comprobacin de
estado de certificado

Seleccione la casilla de verificacin para bloquear sesiones SSL/TLS


despus de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuar con la sesin.

Tiempo de espera del


estado del certificado

Especifique el intervalo en segundos (1-60 segundos, 5 de forma


predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lgica de bloqueo
de sesin que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepcin de OCSP/
CRL de la manera siguiente:
Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo
de espera de solicitud despus de que pase el menor de dos intervalos:
el valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepcin.
Si habilita nicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de OCSP.
Si habilita nicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud despus de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepcin de CRL.

Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy


En la pestaa Sesin, seccin Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamao de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvo SSL/TLS. La siguiente tabla describe los parmetros.

58 Gestin de dispositivos

Palo Alto Networks

Tabla 16. Caractersticas de sesin: Reenviar los ajustes de certificados del servidor proxy
Campo

Descripcin

Definido por el host


de destino

Seleccione esta opcin si desea que PAN-OS genere certificados basados en


la clave que utiliza el servidor de destino.
Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS
genera un certificado con ese tamao de clave y un algoritmo de hash
SHA-1.
Si el servidor de destino utiliza un tamao de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.

RSA de 1024 bits

Seleccione esta opcin si desea que PAN-OS genere certificados que


utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamao de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificacin pblicas
(CA) y navegadores ms populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
segn su configuracin de seguridad, cuando el navegador presente
dichas claves, el usuario podra recibir un aviso o se podra bloquear
completamente la sesin SSL/TLS.

RSA de 2048 bits

Seleccione esta opcin si desea que PAN-OS genere certificados que


utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamao de clave que utiliza el servidor de
destino. Las CA pblicas y los navegadores ms populares admiten
claves de 2048 bits, que proporcionan ms seguridad que las claves de
1024 bits.

Comparacin de archivos de configuracin


Dispositivo > Auditora de configuraciones
Puede ver y comparar archivos de configuracin utilizando la pgina Auditora de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el nmero de lneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente
ilustracin.
La pgina tambin incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuracin consecutivas. Haga clic en
para cambiar las configuraciones que se estn comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se estn
comparando por el conjunto siguiente de configuraciones guardadas.

Palo Alto Networks

Gestin de dispositivos 59

Ilustracin 1. Comparacin de configuraciones

Panorama guarda automticamente todos los archivos de configuracin que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a travs
de la interfaz de Panorama o localmente en el cortafuegos.

Instalacin de una licencia


Dispositivo > Licencias
Al adquirir una suscripcin de Palo Alto Networks, recibir un cdigo de autorizacin para
activar una o ms claves de licencia.
Las siguientes acciones estn disponibles en la pgina Licencias:

Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones


adquiridas que requieren un cdigo de autorizacin y que se han activado en el portal de
asistencia tcnica, haga clic en Recuperar claves de licencia del servidor de licencias.

Activar caracterstica mediante cdigo de autorizacin: Para habilitar suscripciones


adquiridas que requieren un cdigo de autorizacin y que no se han activado
anteriormente en el portal de asistencia tcnica, haga clic en Activar caracterstica
mediante cdigo de autorizacin. Introduzca su cdigo de autorizacin y haga clic
en ACEPTAR.

60 Gestin de dispositivos

Palo Alto Networks

Clave de licencia de carga manual: Si el cortafuegos no tiene conexin con el servidor de


licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:

a. Descargue el archivo de clave de licencia en http://support.paloaltonetworks.com y


gurdelo localmente.

b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PANDB for URL Filtering), tendr que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuacin, hacer clic en Activar.
Tambin puede ejecutar el comando de CLI "request url-filtering download
paloaltonetworks region <region name>".
Si vence la suscripcin de prevencin de amenazas en el cortafuegos, ocurrir lo siguiente:

Una entrada de log aparecer en el log del sistema indicando que se ha cancelado la
suscripcin.

Todas las funciones de prevencin de amenazas continuarn funcionado con las firmas
que se instalaron en el momento en que caduc la licencia.

Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
vlida. De igual forma, la capacidad de restablecimiento a una versin anterior de las
firmas no es compatible si la licencia ha caducado.

Las firmas de App-ID personalizadas continuarn funcionando y se pueden modificar.

La licencia de derechos de soporte tcnico no est vinculada a la suscripcin de la prevencin


de amenazas. Si la licencia de soporte caduca, la prevencin de amenazas y sus
actualizaciones continuarn funcionando normalmente. Si los derechos de soporte caducan,
las actualizaciones de software del sistema dejarn de funcionar. Deber renovar su licencia
para continuar teniendo acceso a las actualizaciones de software e interactuar con el grupo
de soporte tcnico. Pngase en contacto con el equipo de operaciones y ventas de Palo Alto
Networks para obtener informacin sobre cmo renovar sus licencias o suscripciones.

Definicin de orgenes de informacin de VM


Dispositivo > Orgenes de informacin de VM
Utilice esta pestaa para registrar cambios activamente en las mquinas virtuales (VM)
implementadas en cualquier de estos orgenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orgenes de informacin de VM.

Palo Alto Networks

Gestin de dispositivos 61

El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de


VMware y los entornos AWS-VPC, as como y recuperar cambios conforme realiza
el abastecimiento o modifica los invitados en estos orgenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orgenes.
Si sus cortafuegos estn configurados con alta disponibilidad:
En una configuracin activa/pasiva, solo el cortafuegos activo supervisa los orgenes
de la informacin de la mquina virtual.
En una configuracin activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orgenes de la mquina virtual.
Para obtener informacin sobre cmo funcionan de forma sincronizada los orgenes de
informacin de la VM y los grupos de direcciones dinmicas, y poder supervisar los
cambios en el el entorno virtual, consulte la Gua de implementacin de la serie VM.

Para la direccin IP de la identificacin de usuario, puede configurar los orgenes de


la informacin de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme
realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orgenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.

Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecucin. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.

62 Gestin de dispositivos

Palo Alto Networks

Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos.

Atributos supervisados en un origen de VMware

Atributos supervisados en el AWS-VPC

UUID

Arquitectura

Nombre

Sistema operativo invitado

Sistema operativo invitado

ID de imagen

Estado de mquina virtual: el estado de


alimentacin es apagado, encendido, en
espera y desconocido.

ID de instancia

Estado de instancia

Anotacin

Tipo de instancia

Versin

Nombre de clave

Red: nombre del conmutador virtual, nombre


del grupo de puerto e ID de VLAN

Colocacin: arrendamiento, nombre de


grupo, zona de disponibilidad

Nombre del contenedor: nombre de vCenter,


nombre del objeto del centro de datos, nombre
del grupo de recursos, nombre del clster, host,
direccin IP del host.

Nombre de DNS privado

Nombre de DNS pblico

ID de subred

Etiqueta (clave, valor) (se admiten hasta


5 etiquetas por instancia)

ID de VPC

Aadir: para aadir un nuevo origen para la supervisin de VM, haga clic en Aadir y, a
continuacin, complete los detalles basados en el origen que se est supervisando:

Para el servidor ESXi de VMware o vCenter, consulte Activacin de los orgenes de


informacin de la VM para los servidores ESXi de VMware o vCenter.

Para AWS-VPC, consulte Activacin de los orgenes de informacin de la VM para


AWS VPC.

Actualizar conectados: Haga clic para actualizar el estado de la conexin; se actualiza la


visualizacin en pantalla. Este botn no actualiza la conexin entre el cortafuegos y los
orgenes supervisados.
Eliminar: Seleccione un origen de informacin de mquina virtual configurado y haga clic
para eliminar el origen configurado.

Palo Alto Networks

Gestin de dispositivos 63

Tabla 17. Activacin de los orgenes de informacin de la VM para los servidores


ESXi de VMware o vCenter
Campo

Descripcin

Nombre

Introduzca un nombre para identificar el origen supervisado (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Tipo

Seleccione si el host/origen que se est supervisando es un servidor ESXi


o vCenter.

Descripcin

(Optativo) Aada una etiqueta para identificar la ubicacin o funcin


del origen.

Puerto

Especifique el puerto en el que est escuchando el host/origen.


(puerto predeterminado 443).

Habilitado

De forma predeterminada, la comunicacin entre el cortafuegos y el


origen configurado est activada.
El estado de conexin entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:

Conectado

Desconectado

Pendiente; el estado de la conexin tambin aparece en amarillo


cuando se deshabilita el origen supervisado.

Quite la marca de la casilla de verificacin correspondiente para


deshabilitar la comunicacin entre el host y el cortafuegos.
Tiempo de espera

Introduzca el intervalo en horas despus del cual se cierra la conexin al


origen supervisado, si el host no responde. (de forma predeterminada:
2 horas, rango de 2-10 horas)
(Optativo) Para cambiar el valor predeterminado, seleccione la casilla
de verificacin Habilitar el tiempo de espera cuando el origen est
desconectado y especifique el valor. Cuando se alcanza el lmite
especificado o si no se puede acceder al host o este no responde, el
cortafuegos cerrar la conexin al origen.

IP Origen

Introduzca el FQDN o la direccin IP del host/origen que se est


supervisando.

Nombre de usuario

Especifique el nombre de usuario necesario para autenticar para el origen.

Contrasea

Introduzca la contrasea y confirme la entrada.

Intervalo de
actualizacin

Especifique el intervalo en el que el cortafuegos recupera informacin


del origen. (de forma predeterminada, 5 segundos, el rango es de
5-600 segundos)

64 Gestin de dispositivos

Palo Alto Networks

Tabla 18. Activacin de los orgenes de informacin de la VM para AWS VPC


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el origen supervisado (de hasta


31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.

Tipo

Seleccione VPC de AWS.

Descripcin

(Optativo) Aada una etiqueta para identificar la ubicacin o funcin


del origen.

Habilitado

De forma predeterminada, la comunicacin entre el cortafuegos y el


origen configurado est activada.
El estado de conexin entre el origen supervisado y el cortafuegos
aparece en la interfaz de la siguiente forma:

Conectado

Desconectado

Pendiente; El estado de la conexin tambin aparece en


amarillo cuando se deshabilita el origen supervisado.

Quite la marca de la casilla de verificacin correspondiente para


deshabilitar la comunicacin entre el host y el cortafuegos.
IP Origen

Aada la URI en la que reside la Virtual Private Cloud. Por ejemplo,


ec2.us-west-1.amazonaws.com.
La sintaxis es: ec2.<su_regin_AWS>.amazonaws.com
Introduzca la cadena de texto alfanumrico que identifica de forma
exclusiva al usuario propietario o con autorizacin de acceso a la cuenta
de AWS.

ID de clave de acceso

Esta informacin es una parte de las credenciales de seguridad de AWS.


El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de
acceso secreto) para firmar digitalmente las llamadas de API realizadas a
los servicios de AWS.

Clave de acceso secreto

Introduzca la contrasea y confirme la entrada.

Intervalo de actualizacin

Especifique el intervalo en el que el cortafuegos recupera informacin


del origen. (de forma predeterminada, 60 segundos, el rango es de
60-1200 segundos)

Tiempo de espera

Intervalo en horas despus del cual se cierra la conexin al origen


supervisado, si el host no responde. (valor predeterminado 2 horas)
(Optativo) Seleccione la casilla de verificacin Habilitar el tiempo de
espera cuando el origen est desconectado. Cuando se alcanza el lmite
especificado o si no se puede acceder al origen o este no responde, el
cortafuegos cerrar la conexin al origen.

ID de VPC

Introduzca el ID del AWS-VPC para supervisar, por ejemplo, vpc1a2b3c4d. Solo se supervisan las instancias de EC2 implementadas en
este VPC.
Si su cuenta se configura para usar un VPC predeterminado, el ID del
VPC predeterminado aparecer en los atributos de cuenta de AWS.

Palo Alto Networks

Gestin de dispositivos 65

Instalacin de software
Dispositivo > Software
Utilice esta pgina para instalar una versin del software: vea las versiones disponibles,
seleccione la versin que desea descargar e instalar (se necesita una licencia de asistencia
tcnica), acceda y lea las notas de la versin concreta y actualice o desactualice la versin.
Siga estas recomendaciones antes de actualizar o desactualizar la versin de software:

Lea las notas de la versin para ver una descripcin de los cambios de una versin y la
ruta de migracin para instalar el software.

Realice una copia de seguridad de su configuracin actual, ya que una versin con
caractersticas puede migrar determinadas configuraciones para admitir nuevas
caractersticas. (Haga clic en la pestaa Dispositivo > Configuracin > Operaciones y
seleccione Exportar instantnea de configuracin con nombre, seleccione runningconfig.xml y, a continuacin, haga clic en ACEPTAR para guardar el archivo de
configuracin en su ordenador.)

Cuando realice una desactualizacin, se recomienda que lo haga a una configuracin que
coincida con la versin del software.

Al actualizar un par de alta disponibilidad (HA) a una nueva versin con caractersticas
(en la que cambie el primero o el segundo dgito de la versin de PAN-OS; p. ej., de 4.1. o
5.0 a 6.0), puede que se migre la configuracin para admitir nuevas caractersticas. Si est
habilitada la sincronizacin de sesiones, las sesiones no se sincronizarn si un dispositivo
del clster tiene una versin con caractersticas de PAN-OS diferente.

Los ajustes de fecha y hora del cortafuegos deben estar actualizados. El software PAN-OS
est firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva
versin. Si el ajuste de fecha del cortafuegos no est actualizado, puede que el dispositivo
crea equivocadamente que la firma del software es futura, por lo que mostrar el mensaje
Error de descifrado: la edicin de GnuPG no es cero, con cdigo 171072;
error al cargar en el gestor de software PAN.

En la siguiente tabla se proporciona ayuda para utilizar esta pantalla.

Tabla 19. Opciones de software


Campo

Descripcin

Versin

Muestra las versiones de software que estn disponibles actualmente en


el servidor de actualizaciones de Palo Alto Networks. Para comprobar si
hay una nueva versin de software disponible en Palo Alto Networks,
haga clic en Comprobar ahora. El cortafuegos utiliza la ruta del servicios
para conectar al servidor de actualizaciones y comprueba la existencia
de nuevas versiones. Si hay actualizaciones disponibles, las muestra al
principio de la lista.

Tamao

Tamao de la imagen del software.

Fecha de versin

Fecha y hora en la que Palo Alto Networks public la versin.

Descargado

Una marca de verificacin en esta columna indica que se ha descargado la


versin correspondiente de la imagen de software en el cortafuegos.

Instalado actualmente

Una marca de verificacin en esta columna indica que se ha activado o se


est ejecutando actualmente la versin correspondiente de la imagen de
software en el cortafuegos.

66 Gestin de dispositivos

Palo Alto Networks

Tabla 19. Opciones de software (Continuacin)


Campo

Descripcin

Accin

Indica la accin actual que puede realizar para la imagen de software


correspondiente de la siguiente forma:
Descargar: la versin de software correspondiente est disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en
el enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio
Actualizar software para buscar y Descargar la versin de software en
su ordenador local. A continuacin, haga clic en el botn Cargar para
cargar manualmente la imagen de software en el cortafuegos.
Instalar: Se ha descargado la versin de software correspondiente en el
cortafuegos. Haga clic en el enlace para instalar el software. Se necesita
reiniciar para completar el proceso de actualizacin.
Reinstalar: se ha instalado la versin de software correspondiente.
Para volver a instalar la misma versin, haga clic en el enlace.

Notas de versin

Proporciona un enlace a las notas de la versin de la versin


correspondiente.
Elimine la imagen de software descargada anteriormente del cortafuegos.
nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando
5.1, probablemente no necesitar las imgenes base de 5.0 y 4.0, a menos
que tenga la intencin de desactualizar el software a dichas versiones.

Palo Alto Networks

Gestin de dispositivos 67

Actualizacin de definiciones de aplicaciones y amenazas


Dispositivo > Actualizaciones dinmicas
Panorama > Actualizaciones dinmicas
Palo Alto Networks publica peridicamente actualizaciones para la deteccin de aplicaciones,
proteccin frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones
dinmicas para las siguientes funciones:

Antivirus: Incluye firmas de antivirus nuevas y actualizadas, incluidas las firmas


descubiertas por el servicio en la nube WildFire. Debe contar con una suscripcin a
prevencin de amenazas para obtener estas actualizaciones. Se publican nuevas firmas
de antivirus todos los das.

Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta actualizacin no


requiere suscripciones adicionales, pero s un contrato de asistencia/mantenimiento en
vigor. Todas las semanas se publican nuevas actualizaciones de aplicaciones.

Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y


actualizadas. Esta actualizacin est disponible si cuenta con una suscripcin de
prevencin de amenazas (y la obtiene en lugar de la actualizacin de aplicaciones).
Todas las semanas se publican nuevas aplicaciones y amenazas.

Archivo de datos de GlobalProtect: Contiene la informacin especfica del proveedor


para definir y evaluar los datos del perfil de informacin del host (HIP) proporcionados
por los agentes de GlobalProtect. Debe tener una licencia de puerta de enlace de
GlobalProtect y portal GlobalProtect para recibir estas actualizaciones. Adems, debe
crear una programacin para estas actualizaciones antes de que GlobalProtect funcione.

Filtrado de URL de BrightCloud: Ofrece actualizaciones nicamente para la base de


datos de filtrado de URL de BrightCloud. Debe contar con una suscripcin a BrightCloud
para obtener estas actualizaciones. Todos los das se publican nuevas actualizaciones de la
base de datos de URL de BrightCloud. Si tiene una licencia de PAN-DB, las actualizaciones
programadas no son necesarias ya que los dispositivos permanecen sincronizados con los
servidores de forma automtica.

WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real


como consecuencia del anlisis realizado por el servicio de la nube de WildFire. Sin la
suscripcin, debe esperar de 24 a 48 horas para que las firmas entren a formar parte de
la actualizacin de aplicaciones y amenazas.

WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo


real como consecuencia del anlisis realizado por un dispositivo de WildFire (WF-500).
Para recibir actualizaciones de contenido procedentes de un WF-500, el cortafuegos y
el dispositivo se deben ejecutar en PAN-OS 6.1 o superior y el cortafuegos debe estar
configurado para el uso del dispositivo de WildFire para el anlisis de enlaces de correo
electrnico/archivos.

Puede ver las actualizaciones ms recientes, leer las notas de versin de cada actualizacin y,
a continuacin, seleccionar la actualizacin que desee descargar e instalar. Tambin puede
revertir a una versin de una actualizacin instalada anteriormente.
Si est administrando sus cortafuegos con Panorama y desea programar actualizaciones dinmicas para
uno o varios cortafuegos, consulte Programacin de actualizaciones dinmicas.

68 Gestin de dispositivos

Palo Alto Networks

En la siguiente tabla se proporciona ayuda para utilizar esta pgina.

Tabla 20. Opciones de las actualizaciones dinmicas


Campo

Descripcin

Versin

Muestra las versiones disponibles actualmente en el servidor de


actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva
versin de software disponible en Palo Alto Networks, haga clic en
Comprobar ahora. El cortafuegos utiliza la ruta del servicios para
conectar al servidor de actualizaciones y comprueba la existencia de
nuevas versiones. Si hay actualizaciones disponibles, las muestra al
principio de la lista.

ltima comprobacin

Muestra la fecha y hora en la que el cortafuegos se conect por ltima vez


al servidor de actualizaciones y comprob si haba alguna actualizacin
disponible.

Programacin

Le permite programar la frecuencia de recuperacin de actualizaciones.

Defina la frecuencia y el momento para la descarga de software


(da o fecha y hora), ya sea solo para la descarga de las actualizaciones o para la descarga e instalacin de estas en el cortafuegos.
Cuando programa una descarga, puede especificar el tiempo de espera
antes de la actualizacin de contenidos, si desea retrasar la instalacin
de nuevas actualizaciones hasta que haya transcurrido un determinado
nmero de horas desde su publicacin. Para ello, introduzca el nmero
de horas que debe esperarse en el campo Umbral (Horas).
Nombre de archivo

Muestra el nombre de archivo; incluye informacin de la versin de


contenido.

Tipo

Indica si la descarga es una actualizacin completa o una actualizacin


incremental.

Tamao

Muestra el tamao de la imagen del software.

Fecha de versin

Fecha y hora en la que Palo Alto Networks public la versin.

Descargado

Una marca de verificacin en esta columna indica que se ha descargado la


versin correspondiente de la imagen de software en el cortafuegos.

Instalado actualmente

Una marca de verificacin en esta columna indica que se ha activado o se


est ejecutando actualmente la versin correspondiente de la imagen de
software en el cortafuegos.

Accin

Indica la accin actual que puede realizar para la imagen de software


correspondiente de la siguiente forma:
Descargar: la versin de software correspondiente est disponible en
el servidor de actualizaciones de Palo Alto Networks. Haga clic en el
enlace para iniciar la descarga. Si el cortafuegos no tiene acceso a
Internet, utilice un ordenador conectado a Internet para ir al sitio
Actualizar software para buscar y descargar la versin de software en
su ordenador local. A continuacin, haga clic en el botn Cargar para
cargar manualmente la imagen de software en el cortafuegos.
Instalar: Se ha descargado la versin de software correspondiente en el
cortafuegos. Haga clic en el enlace para instalar el software. Se necesita
reiniciar para completar el proceso de actualizacin.
Revertir: Anteriormente se ha descargado la versin de software
correspondiente. Para volver a instalar la misma versin, haga clic en
el enlace.

Palo Alto Networks

Gestin de dispositivos 69

Tabla 20. Opciones de las actualizaciones dinmicas (Continuacin)


Campo

Descripcin

Notas de versin

Proporciona un enlace a las notas de la versin de la versin


correspondiente.
Elimine la imagen de software descargada anteriormente del cortafuegos.
nicamente puede eliminar la imagen base en el caso de versiones
anteriores que no necesiten actualizarse. Por ejemplo, si est ejecutando
5.1, probablemente no necesitar las imgenes base de 5.0 y 4.0, a menos
que tenga la intencin de desactualizar el software a dichas versiones.

Funciones, perfiles y cuentas de administrador


El cortafuegos admite las siguientes opciones para autenticar a usuarios administrativos
que intentan iniciar sesin en el cortafuegos:

Base de datos local: La informacin de inicio de sesin y contrasea de usuario se


introduce directamente en la base de datos del cortafuegos.

RADIUS: Se utilizan servidores Remote Authentication Dial In User Service (RADIUS)


existentes para autenticar a los usuarios.

LDAP: Se utilizan servidores Lightweight Directory Access Protocol (LDAP) existentes


para autenticar a los usuarios.

Kerberos: Se utilizan servidores Kerberos existentes para autenticar a los usuarios.

Certificado de cliente: Se utilizan certificados de cliente existentes para autenticar a


los usuarios.

Cuando crea una cuenta administrativa, debe especificar autenticacin local o certificado
de cliente (sin perfil de autenticacin), o bien un perfil de autenticacin (RADIUS, LDAP,
Kerberos o autenticacin de base de datos local). Este ajuste determina el modo en que se
comprueba la autenticacin del administrador.
Las funciones de administrador determinan las funciones que el administrador tiene
permitido realizar tras iniciar sesin. Puede asignar funciones directamente a una cuenta
de administrador o definir perfiles de funciones, que especifican privilegios detallados, y
asignarlos a cuentas de administrador.
Consulte las siguientes secciones para obtener informacin adicional:

Para obtener instrucciones sobre cmo configurar perfiles de autenticacin, consulte


Configuracin de perfiles de autenticacin.

Para obtener instrucciones sobre cmo configurar perfiles de funciones, consulte


Definicin de funciones de administrador.

Para obtener instrucciones sobre cmo configurar cuentas, consulte Creacin de cuentas
administrativas.

Para obtener informacin sobre redes privadas virtuales (VPN) SSL, consulte
Configuracin de GlobalProtect.

70 Gestin de dispositivos

Palo Alto Networks

Para obtener instrucciones sobre cmo definir dominios de sistemas virtuales para
administradores, consulte Especificacin de dominios de acceso para administradores.

Para obtener instrucciones sobre cmo definir perfiles de certificado para


administradores, consulte Creacin un perfil de certificados.

Definicin de funciones de administrador


Dispositivo > Funciones de administrador
Utilice la pgina Funciones de administrador para definir perfiles de funciones que
determinen el acceso y las responsabilidades disponibles para los usuarios administrativos.
Para obtener instrucciones sobre cmo aadir cuentas de administrador, consulte Creacin
de cuentas administrativas.
Tambin hay tres funciones de administrador predefinidas que se pueden utilizar con fines de
criterios comunes. Primero utiliza la funcin Superusuario para la configuracin inicial del
dispositivo y para crear las cuentas de administrador para el administrador de seguridad,
el administrador de auditora y el administrador criptogrfico. Una vez se hayan creado las
cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas,
podr iniciar sesin utilizando esas cuentas. La cuenta Superusuario predeterminada en el
modo CC o FIPS es admin y la contrasea predeterminada es paloalto. En el modo de
funcionamiento estndar, la contrasea predeterminada de admin es admin. Las funciones
de administrador predefinidas se han creado donde las capacidades no se solapan, excepto en
que todas tienen un acceso de solo lectura a la traza de auditora (excepto el administrador de
auditora con acceso de lectura/eliminacin completo). Estas funciones de administrador no
se pueden modificar y se definen de la manera siguiente:

Administrador de auditora: El administrador de auditora es responsable de la revisin


regular de los datos de auditora del cortafuegos.

Administrador criptogrfico: El administrador criptogrfico es responsable de la


configuracin y el mantenimiento de los elementos criptogrficos relacionados con el
establecimiento de conexiones seguras con el cortafuegos.

Administrador de seguridad: El administrador de seguridad es responsable del resto de


tareas administrativas (p. ej., la creacin de la poltica de seguridad del cortafuegos) no
asumidas por las otras dos funciones administrativas.

Palo Alto Networks

Gestin de dispositivos 71

Para aadir una funcin de administrador, haga clic en Aadir y especifique la siguiente
informacin.

Tabla 21. Configuracin de funciones de administrador


Campo

Descripcin

Nombre

Introduzca un nombre para identificar esta funcin de administrador


(de hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Descripcin

Introduzca una descripcin opcional de la funcin (de hasta 255


caracteres).

Funcin

Seleccione el mbito de responsabilidad administrativa: dispositivo o


sistema virtual (para dispositivos habilitados para sistemas virtuales
mltiples).

Interfaz de usuario web

Haga clic en los iconos de reas especificadas para indicar el tipo de


acceso permitido
para la interfaz web:
Habilitar: acceso de lectura/escritura a la pestaa seleccionada.
Solo lectura: acceso de solo lectura a la pestaa seleccionada.
Deshabilitar: sin acceso a la pestaa seleccionada.

API XML

Haga clic en los iconos de reas especificadas para indicar el tipo de


acceso permitido
para la API XML.

Lnea de comandos

Seleccione el tipo de funcin para el acceso a la CLI:


Ninguno: El acceso a la CLI del dispositivo no est permitido.
Superusuario: El acceso al dispositivo actual es completo.
Superlector: El acceso al dispositivo actual es de solo lectura.
Deviceadmin: El acceso a un dispositivo seleccionado es completo,
excepto al definir nuevas cuentas o sistemas virtuales.
Devicereader: El acceso a un dispositivo seleccionado es de solo lectura.

Definicin de perfiles de contrasea


Dispositivo > Perfiles de contrasea y Panorama > Perfiles de contrasea
Los perfiles de contrasea le permiten establecer requisitos de contrasea bsicos para
una cuenta local individual. Si habilita Complejidad de contrasea mnima (consulte
Complejidad de contrasea mnima), que proporciona requisitos de contrasea para
todas las cuentas locales, este perfil de contrasea cancelar esos ajustes.

72 Gestin de dispositivos

Palo Alto Networks

Para crear un perfil de contrasea, haga clic en Aadir y especifique la siguiente informacin.

Tabla 22. Configuracin de perfil de contrasea


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el perfil de contrasea (de hasta


31 caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Perodo necesario
para el cambio de
contrasea (das)

Perodo de
advertencia de
vencimiento (das)

Exija que los administradores cambien su contrasea con la regularidad


especificada por el nmero de das establecido, de 0 a 365 das. Por ejemplo,
si el valor se establece como 90, se pedir a los administradores que cambien
su contrasea cada 90 das.
Tambin puede establecer una advertencia de vencimiento de 0-30 das y
especificar un perodo de gracia.
Si se establece un perodo necesario para el cambio de contrasea, este ajuste
puede utilizarse para pedir al usuario que cambie su contrasea cada vez
que inicie sesin a medida que se acerque la fecha obligatoria de cambio de
contrasea (rango: 0-30 das).

Recuento de inicio
de sesin de
administrador
posterior al
vencimiento

Permita que el administrador inicie sesin el nmero de veces especificado


despus de que su cuenta haya vencido. Por ejemplo, si el valor se ha
establecido como 3 y su cuenta ha vencido, podr iniciar sesin 3 veces
ms antes de que se bloquee la cuenta (rango: 0-3 inicios de sesin).

Perodo de gracia
posterior al
vencimiento (das)

Permita que el administrador inicie sesin el nmero de das especificado


despus de que su cuenta haya vencido (rango: 0-30 das).

Para aplicar un perfil de contrasea a una cuenta, seleccione Dispositivo > Administradores
(para cortafuegos) o Panorama > Administradores, seleccione una cuenta y, a continuacin,
seleccione el perfil en la lista desplegable Perfil de la contrasea.

Palo Alto Networks

Gestin de dispositivos 73

Requisitos de nombre de usuario y contrasea


La tabla siguiente enumera los caracteres vlidos que se pueden utilizar en nombres de
usuario y contraseas para cuentas de PAN-OS y Panorama.

Tabla 23. Caracteres vlidos para nombres de usuario y contraseas


Tipo de cuenta

Restricciones

Conjunto de caracteres de
contrasea

No hay ninguna restriccin en los conjuntos de caracteres de los campos


de contrasea.

Administrador remoto, VPN


SSL o portal cautivo

Los siguientes caracteres no estn permitidos para el nombre de usuario:


Acento grave (`)
Corchetes angulares (< y >)
Y comercial (&)
Asterisco (*)
Arroba (@)
Signos de interrogacin ( y ?)
Barra vertical (|)
Comilla simple ()
Punto y coma (;)
Comillas ( y )
Signo del dlar ($)
Parntesis (( y ))
Dos puntos (:)

Cuentas de administrador
locales

Los siguientes son los caracteres permitidos para los nombres de usuario locales:
Minsculas (a-z)
Maysculas (A-Z)
Nmeros (0-9)
Guin bajo (_)
Punto (.)
Guin (-)
Nota: Los nombres de inicio de sesin no pueden empezar por guin (-).

Creacin de cuentas administrativas


Dispositivo > Administradores
Panorama > Administradores
Las cuentas de administrador controlan el acceso a los dispositivos. Un administrador de
cortafuegos (Dispositivo > Administradores) puede tener acceso completo o de solo lectura a
un nico cortafuegos o a un sistema virtual en un nico cortafuegos. Un administrador de
Panorama (Panorama > Administradores) puede tener acceso completo o de solo lectura a
Panorama y a todos los cortafuegos que gestiona. Para obtener ms informacin especfica de
Panorama, consulte Creacin de cuentas administrativas de Panorama. Tanto Panorama
como los cortafuegos individuales tienen una cuenta de administrador predefinida con acceso
completo.

74 Gestin de dispositivos

Palo Alto Networks

Se admiten las siguientes opciones de autenticacin:

Autenticacin con contrasea: El administrador introduce un nombre de usuario y una


contrasea para iniciar sesin. No se necesitan certificados. Puede utilizar este mtodo
junto con los perfiles de autenticacin o para la autenticacin de base de datos local.

Autenticacin con certificado de cliente (web): Esta autenticacin no necesita nombre de


usuario o contrasea; el certificado ser suficiente para autenticar el acceso al dispositivo.

Autenticacin con clave pblica (SSH): El administrador genera un par de claves


pblica y privada en la mquina que requiere acceso al dispositivo y, a continuacin,
carga la clave pblica en el dispositivo para permitir un acceso seguro sin exigir que el
administrador introduzca un nombre de usuario y una contrasea.

Para garantizar la seguridad de la interfaz de gestin del dispositivo, se recomienda cambiar


peridicamente las contraseas administrativas utilizando una mezcla de minsculas, maysculas
y nmeros. Tambin puede aplicar Complejidad de contrasea mnima desde Configuracin >
Gestin.
Para aadir un administrador, haga clic en Aadir y especifique la siguiente informacin.

Tabla 24.

Configuracin de cuentas de administrador

Campo

Descripcin

Nombre

Introduzca un nombre de inicio de sesin para el administrador (de


hasta 15 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
guiones, puntos y guiones bajos.

Los nombres de inicio de sesin no pueden empezar por guin (-).


Perfil de autenticacin

Seleccione un perfil de autenticacin para la autenticacin del


administrador. Este ajuste se puede utilizar para RADIUS, LDAP,
Kerberos o la autenticacin de base de datos local.
Si desea informacin ms detallada, consulte Configuracin de
perfiles de autenticacin.

Utilizar nicamente el
certificado de autenticacin de
cliente (web)

Seleccione la casilla de verificacin para utilizar la autenticacin


con certificado de cliente para el acceso web. Si selecciona esta
casilla de verificacin, no es necesario ni el nombre de usuario ni
la contrasea; el certificado es suficiente para autenticar el acceso
al dispositivo.

Nueva contrasea
Confirmar nueva contrasea

Introduzca y confirme una contrasea que haga distincin entre


maysculas y minsculas para el administrador (de hasta 15
caracteres). Tambin puede aplicar Contrasea mnima desde

Configuracin > Gestin.


Utilizar autenticacin de clave
pblica (SSH)

Seleccione la casilla de verificacin para utilizar la autenticacin


con clave pblica SSH. Haga clic en Importar clave y explore para
seleccionar el archivo de clave pblica. La clave cargada se muestra
en el rea de texto de solo lectura.
Los formatos de archivo de clave admitidos son IETF SECSH y
OpenSSH. Los algoritmos de clave admitidos son DSA (1.024 bits)
y RSA (768-4096 bits).
Nota: Si falla la autenticacin con clave pblica, se mostrar un mensaje
de nombre de usuario y contrasea para el administrador.

Palo Alto Networks

Gestin de dispositivos 75

Tabla 24.

Configuracin de cuentas de administrador (Continuacin)

Campo

Descripcin

Funcin

Asigne una funcin a este administrador. La funcin determina lo


que el administrador puede ver y modificar.
Si elige Basado en funcin, seleccione un perfil de funcin
personalizado en la lista desplegable. Si desea informacin ms
detallada, consulte Definicin de funciones de administrador o
Definicin de funciones de administrador de Panorama.
Si selecciona la opcin de dinmica, las funciones preconfigurados
que puede seleccionar en la lista desplegable dependern de la
plataforma:
Cortafuegos:
Superusuario: El acceso al cortafuegos actual es completo.
Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual.
Administrador de dispositivo: El acceso a un cortafuegos
seleccionado es completo, excepto al definir nuevas cuentas
o sistemas virtuales.
Administrador de dispositivo (solo lectura): El acceso a un
cortafuegos seleccionado es de solo lectura.
Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos especfico (si hay varios sistemas
virtuales habilitados) es completo.
Administrador de Vsys (solo lectura): El acceso a un sistema
virtual seleccionado en un cortafuegos especfico es de solo
lectura.
Panorama:
Superusuario: Acceso completo a Panorama y a todos los
grupos de dispositivos, plantillas y cortafuegos gestionados.
Superusuario (solo lectura): Acceso de solo lectura a
Panorama y a todos los grupos de dispositivos, plantillas y
cortafuegos gestionados.
Administrador de Panorama: Acceso completo a Panorama
(excepto a las cuentas y funciones de administrador) y todos los
grupos de dispositivos y plantillas. Sin acceso a los cortafuegos
gestionados.

Sistema virtual
(Solo para una funcin de
administrador de sistema
virtual del cortafuegos)
Perfil de la contrasea

Haga clic en Aadir para seleccionar los sistemas virtuales a los que
puede acceder el administrador.

Seleccione el perfil de contrasea, si es aplicable. Para crear un


nuevo perfil de contrasea, consulte Definicin de perfiles de
contrasea.

En la pgina Administradores de Panorama para Superusuario, se muestra


un icono de bloqueo en la columna de la derecha si una cuenta est bloqueada.
El administrador puede hacer clic en el icono para desbloquear la cuenta.

76 Gestin de dispositivos

Palo Alto Networks

Especificacin de dominios de acceso para administradores


Dispositivo > Dominio de acceso
Panorama > Dominio de acceso
Utilice la pgina Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. El dominio de acceso est vinculado a atributos especficos
del proveedor (VSA) RADIUS y nicamente se admite si se utiliza un servidor RADIUS para
la autenticacin del administrador. Si desea ms informacin sobre cmo configurar RADIUS,
consulte Configuracin de ajustes de servidor RADIUS. Para informacin sobre los dominios
de acceso especficos de Panorama, consulte Especificacin de dominios de acceso de
Panorama para administradores.
Cuando un administrador intenta iniciar sesin en el cortafuegos, este consulta al servidor
RADIUS acerca del dominio de acceso del administrador. Si hay un dominio asociado en
el servidor RADIUS, se devuelve y el administrador se restringe a los sistemas virtuales
definidos de dentro del dominio de acceso con nombre del dispositivo. Si no se utiliza
RADIUS, los ajustes de dominio de acceso de esta pgina se ignorarn.

Tabla 25.

Configuracin de dominio de acceso

Campo

Descripcin

Nombre

Introduzca un nombre para el dominio de acceso (de hasta 31


caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, guiones y guiones bajos.

Sistemas virtuales

Seleccione sistemas virtuales en la columna Disponibles y haga


clic en Aadir para seleccionarlos.
Los dominios de acceso nicamente son compatibles en dispositivos que
admiten sistemas virtuales.

Configuracin de perfiles de autenticacin


Dispositivo > Perfil de autenticacin
Panorama > Perfil de autenticacin
Utilice la pgina Perfil de autenticacin para configurar ajustes de autenticacin que podrn
aplicarse a cuentas para gestionar el acceso al cortafuegos o Panorama.
Los perfiles de autenticacin especifican ajustes de base de datos local, RADIUS, LDAP o
Kerberos y pueden asignarse a cuentas de administrador, acceso a VPN SSL y portal cautivo.
Cuando un administrador intenta iniciar sesin en el cortafuegos directamente o a travs de
una VPN SSL o un portal cautivo, el cortafuegos comprueba el perfil de autenticacin que est
asignado a la cuenta y autentica al usuario basndose en la configuracin de autenticacin.
Si el usuario no tiene una cuenta de administrador local, el perfil de autenticacin que se
especifica en la pgina Configuracin del dispositivo determina el modo en que el usuario se
autentica (consulte Definicin de la configuracin de gestin):

Palo Alto Networks

Gestin de dispositivos 77

Si especifica ajustes de autenticacin RADIUS en la pgina Configuracin y el usuario


no tiene una cuenta local en el cortafuegos, entonces el cortafuegos solicitar informacin
de autenticacin del usuario (incluida la funcin) al servidor RADIUS. El archivo de
diccionario de RADIUS de Palo Alto Networks que contiene los atributos de las
diversas funciones est disponible en el sitio web de asistencia tcnica en
https://live.paloaltonetworks.com/docs/DOC-3189.

Si se especifica Ninguna como perfil de autenticacin en la pgina Configuracin,


entonces el cortafuegos deber autenticar localmente al usuario de acuerdo con el perfil
de autenticacin especificado para el usuario.

Tabla 26. Configuracin de perfiles de autenticacin


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Compartido

Si el cortafuegos est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Tiempo de bloqueo

Introduzca el nmero de minutos que se bloquea a un usuario si se alcanza


el nmero de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo continuar mientras que no se desbloquee
manualmente.

Intentos fallidos

Introduzca el nmero de intentos de inicio de sesin fallidos que se


permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningn lmite.

Lista de permitidas

Especifique a los usuarios y grupos que tienen permiso explcito para


autenticar. Haga clic en Editar lista de permitidos y realice cualquiera de
las siguientes acciones:
Seleccione la casilla de verificacin junto al usuario o grupo de usuarios
en la columna Disponibles y haga clic en Aadir para aadir sus selecciones a la columna Seleccionados.
Utilice la casilla de verificacin Todos para aplicarlo a todos los usuarios.
Introduzca los primeros caracteres de un nombre en el campo Bsqueda
para enumerar a todos los usuarios y grupos de usuarios que comienzan
por esos caracteres. Al seleccionar un elemento de la lista, se establece la
casilla de verificacin en la columna Disponibles. Repita este proceso
tantas veces como sean necesarias y luego haga clic en Aadir.
Para eliminar usuarios o grupos de usuarios, seleccione las casillas de
verificacin adecuadas en la columna Seleccionados y haga clic en
Eliminar o seleccione Cualquiera para borrar a todos los usuarios.

Autenticacin

Seleccione el tipo de autenticacin:


Ninguna: No utilice ninguna autenticacin del cortafuegos.
Base de datos local: Utilice la base de datos de autenticacin del
cortafuegos.
RADIUS: Utilice un servidor RADIUS para la autenticacin.
LDAP: Utilice LDAP como mtodo de autenticacin.
Kerberos: Utilice Kerberos como mtodo de autenticacin.

78 Gestin de dispositivos

Palo Alto Networks

Tabla 26. Configuracin de perfiles de autenticacin (Continuacin)


Campo

Descripcin

Perfil de servidor

Si selecciona RADIUS, LDAP o Kerberos como mtodo de autenticacin,


elija el servidor de autenticacin en la lista desplegable. Los servidores
se configuran en las pginas Servidor. Consulte Configuracin de ajustes
de servidor RADIUS, Configuracin de ajustes de servidor LDAP y
Configuracin de ajustes de Kerberos (autenticacin nativa de Active
Directory).

Atributo de inicio
de sesin

Si ha seleccionado LDAP como mtodo de autenticacin, introduzca el


atributo de directorio LDAP que identifica de manera exclusiva al usuario.

Aviso de caducidad
de contrasea

Si crea un perfil de autenticacin que se usar para autenticar a los


usuarios de GlobalProtect y ha seleccionado LDAP como mtodo de
autenticacin, introduzca el nmero de das previos a la caducidad de la
contrasea para empezar a mostrar mensajes de notificacin a los usuarios
y alertarlos de que sus contraseas caducan en x nmero de das. De forma
predeterminada, los mensajes de notificacin se mostrarn 7 das antes de
la caducidad de la contrasea (de 1-255 das). Los usuarios no podrn
acceder a la VPN si las contraseas caducan.
Consejo: Se recomienda configurar los agentes para que utilicen el mtodo de
conexin anterior al inicio de sesin. Esto permitir a los usuarios conectarse
al dominio para cambiar sus contraseas incluso aunque la contrasea haya
caducado.
Consejo: Si los usuarios dejan caducar sus contraseas, el administrador
puede asignar una contrasea de LDAP temporal que permita a los usuarios
iniciar sesin en la VPN. En este flujo de trabajo, se recomienda establecer
el modificador de autenticacin en la configuracin del portal para la
autenticacin de cookies para la actualizacin de configuracin (de lo
contrario, la contrasea temporal se utilizar para autenticarse en el portal, pero
el inicio de sesin de la puerta de enlace fallar, lo que evitar el acceso a la VPN).
Consulte Configuracin de GlobalProtectpara obtener ms informacin
sobre la autenticacin de cookies y la conexin anterior al inicio de sesin.

Palo Alto Networks

Gestin de dispositivos 79

Creacin de una base de datos de usuario local


Dispositivo > Base de datos de usuario local > Usuarios
Puede establecer una base de datos local en el cortafuegos para almacenar informacin de
autenticacin para usuarios con acceso remoto, administradores de dispositivos y usuarios
de portal cautivo. No se requiere ningn servidor de autenticacin externo con esta configuracin, de modo que toda la gestin de cuentas se realiza en el cortafuegos o desde Panorama.

Tabla 27. Configuracin de usuario local


Campo

Descripcin

Nombre de usuario
local

Introduzca un nombre para identificar al usuario (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Ubicacin

Seleccione un sistema virtual o seleccione Compartido para que el


certificado est disponible para todos los sistemas virtuales.

Modo

Utilice este campo para especificar la opcin de autenticacin:


Contrasea: Introduzca y confirme una contrasea para el usuario.
Hash de la contrasea: Introduzca una cadena de contrasea con hash.

Habilitar

Seleccione la casilla de verificacin para activar la cuenta de usuario.

Utilice la pgina Usuarios locales para aadir informacin de usuario a la base de datos local.
Al configurar el portal cautivo, primero debe crear la cuenta local, aadirla a un grupo de
usuarios y crear un perfil de autenticacin utilizando el nuevo grupo. A continuacin, debe
habilitar el portal cautivo desde Dispositivo > Autenticacin de usuario > Portal cautivo
y seleccionar el perfil de autenticacin. Una vez haya configurado esto, podr crear una
poltica desde Polticas > Portal cautivo. Consulte Configuracin del cortafuegos para la
identificacin de usuarios para obtener ms informacin.

80 Gestin de dispositivos

Palo Alto Networks

Cmo aadir grupos de usuarios locales


Dispositivo > Base de datos de usuario local > Grupos de usuarios
Utilice la pgina Grupos de usuarios para aadir informacin de grupo de usuarios a la base
de datos local.

Tabla 28. Configuracin de grupo de usuarios local


Campo

Descripcin

Nombre de grupo de
usuarios local

Introduzca un nombre para identificar el grupo (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Ubicacin

Seleccione un sistema virtual o seleccione Compartido para permitir


el acceso de usuario a todos los sistemas virtuales disponibles.

Todos los usuarios


locales

Haga clic en Aadir para seleccionar a los usuarios que desee aadir
al grupo.

Configuracin de ajustes de servidor RADIUS


Dispositivo > Perfiles de servidor > RADIUS
Panorama > Perfiles de servidor > RADIUS
Utilice la pgina RADIUS para configurar los ajustes de los servidores RADIUS identificados
en perfiles de autenticacin. Consulte Configuracin de perfiles de autenticacin.

Tabla 29. Configuracin de servidor RADIUS


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Ubicacin

Seleccione un sistema virtual o seleccione Compartido para que el perfil


est disponible para todos los sistemas virtuales.

nicamente uso de
administrador

Utilice este perfil de servidor nicamente para la autenticacin del


administrador.

Dominio

Introduzca el dominio del servidor RADIUS. El ajuste de dominio se utiliza


si el usuario no especifica un dominio al iniciar sesin.

Tiempo de espera

Introduzca un intervalo tras el cual vence una solicitud de autenticacin


(1-30 segundos; valor predeterminado: 3 segundos).

Reintentos

Introduzca el nmero de reintentos automticos tras un tiempo de espera


antes de que falle la solicitud (1-5; valor predeterminado: 3).

Obtener grupo de
usuarios

Seleccione la casilla de verificacin para utilizar VSA RADIUS para definir


el grupo que ha accedido al cortafuegos.

Palo Alto Networks

Gestin de dispositivos 81

Tabla 29. Configuracin de servidor RADIUS (Continuacin)


Campo

Descripcin

Servidores

Configure informacin para cada servidor en el orden preferido.


Nombre: Introduzca un nombre para identificar el servidor.
Direccin IP: Introduzca la direccin IP del servidor.
Puerto: Introduzca el puerto del servidor para solicitudes de autenticacin.
Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar
y cifrar la conexin entre el cortafuegos y el servidor RADIUS.

Configuracin de ajustes de servidor LDAP


Dispositivo > Perfiles de servidor > LDAP
Panorama > Perfiles de servidor > LDAP
Utilice la pgina LDAP para configurar los ajustes que los servidores LDAP deben utilizar
para la autenticacin mediante perfiles de autenticacin. Consulte Configuracin de perfiles
de autenticacin.

Tabla 30. Configuracin de servidor LDAP


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Ubicacin

Seleccione un sistema virtual o seleccione Compartido para que el perfil


est disponible para todos los sistemas virtuales.

nicamente uso de
administrador

Utilice este perfil de servidor nicamente para la autenticacin del


administrador.

Servidores

Especifique los nombres de host, las direcciones IP y los puertos los


servidores LDAP.

Dominio

Introduzca el nombre de dominio del servidor. Este nombre de dominio


debe ser el nombre NetBIOS del dominio y se aadir al nombre de
usuario cuando se realice la autenticacin. Por ejemplo, si su dominio es
paloaltonetworks.com, nicamente necesita introducir paloaltonetworks.

Tipo

Seleccione el tipo de servidor de la lista desplegable.

Base

Especifique el contexto raz del servidor de directorio para acotar la


bsqueda de informacin de usuario o grupo.

Enlazar DN

Especifique el nombre de inicio de sesin (nombre distintivo) del servidor


de directorio.

Enlazar contrasea/
Confirmar contrasea
de enlace

Especifique la contrasea de la cuenta de enlace. El agente guardar la


contrasea cifrada en el archivo de configuracin.

SSL

Seleccione esta opcin para utilizar comunicaciones SSL o Transport Layer


Security (TLS) seguras entre el dispositivo de Palo Alto Networks y el
servidor de directorio.

82 Gestin de dispositivos

Palo Alto Networks

Tabla 30. Configuracin de servidor LDAP (Continuacin)


Campo

Descripcin

Lmite de tiempo

Especifique el lmite de tiempo impuesto al realizar bsquedas de


directorio (1-30 segundos; valor predeterminado: 30 segundos).

Enlazar lmite de
tiempo

Especifique el lmite de tiempo impuesto al conectar con el servidor de


directorio (1-30 segundos; valor predeterminado: 30 segundos).

Intervalo de reintento

Especifique el intervalo tras el cual el sistema intentar conectarse al


servidor LDAP despus de un intento fallido anterior (1-3.600 segundos).

Configuracin de ajustes de Kerberos (autenticacin nativa de


Active Directory)
Dispositivo > Perfiles de servidor > Kerberos
Panorama > Perfiles de servidor > Kerberos
Utilice la pgina Kerberos para configurar la autenticacin de Active Directory sin exigir
que los clientes inicien el servicio de autenticacin de Internet (IAS) para admitir RADIUS.
La configuracin de un servidor Kerberos permite que los usuarios autentiquen de forma
nativa a un controlador de dominio.
Despus de configurar los ajustes de Kerberos, Kerberos pasa a estar disponible como opcin
al definir perfiles de autenticacin. Consulte Configuracin de perfiles de autenticacin.
Puede configurar los ajustes de Kerberos para que reconozcan una cuenta de usuario con
cualquiera de los formatos siguientes, en los que el dominio y el territorio se especifican como
parte de la configuracin del servidor Kerberos:

dominio\nombre de usuario

nombreusuario@territorio

nombre de usuario

Palo Alto Networks

Gestin de dispositivos 83

Tabla 31. Configuracin de servidor Kerberos


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el servidor (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Ubicacin

Seleccione un sistema virtual o seleccione Compartido para que el perfil


est disponible para todos los sistemas virtuales.

nicamente uso de
administrador

Utilice este perfil de servidor nicamente para la autenticacin del


administrador.

Dominio

Especifique la parte del nombre de host del nombre de inicio de sesin del
usuario (de hasta 127 caracteres)
Ejemplo: El nombre de cuenta de usuario usuario@ejemplo.local tiene el
territorio ejemplo.local.

Dominio

Especifique el dominio de la cuenta de usuario (de hasta 63 caracteres).

Servidores

En el caso de cada servidor Kerberos, haga clic en Aadir y especifique los


siguientes ajustes:

Servidor: Introduzca la direccin IP del servidor.


Host: Introduzca el FQDN del servidor.
Puerto: Introduzca un nmero de puerto opcional para la comunicacin
con el servidor.

Configuracin de una secuencia de autenticacin


Dispositivo > Secuencia de autenticacin
Panorama > Secuencia de autenticacin
En algunos entornos, las cuentas de usuario residen en varios directorios (base de datos local,
LDAP, RADIUS, por ejemplo). Una secuencia de autenticacin es un conjunto de perfiles
de autenticacin que se aplican por orden cuando un usuario intenta iniciar sesin en el
dispositivo (cortafuegos o Panorama). El dispositivo siempre prueba primero la base de datos
local y, a continuacin, cada perfil en secuencia hasta que identifica el usuario. El acceso al
dispositivo se deniega nicamente si falla la autenticacin de alguno de los perfiles de la
secuencia de autenticacin.
Utilice la pgina Secuencia de autenticacin para configurar conjuntos de perfiles de
autenticacin que se prueban por orden cuando un usuario solicita acceder al dispositivo.
Se conceder acceso al usuario si la autenticacin se realiza correctamente mediante cualquiera
de los perfiles de autenticacin de la secuencia. Para obtener ms informacin, consulte
Configuracin de perfiles de autenticacin.

84 Gestin de dispositivos

Palo Alto Networks

Tabla 32. Configuracin de secuencias de autenticacin


Campo

Descripcin

Nombre de perfil

Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.

Tiempo de bloqueo

Introduzca el nmero de minutos que se bloquea a un usuario si se alcanza


el nmero de intentos fallidos (0-60 minutos; valor predeterminado: 0).
0 significa que el bloqueo continuar mientras que no se desbloquee
manualmente.

Intentos fallidos

Introduzca el nmero de intentos de inicio de sesin fallidos que se


permiten antes de bloquear la cuenta (1-10; valor predeterminado: 0).
0 significa que no hay ningn lmite.

Lista de perfiles

Seleccione los perfiles de autenticacin que deben incluirse en la secuencia


de autenticacin. Para cambiar el orden de la lista, seleccione una entrada y
haga clic en Mover hacia arriba o Mover hacia abajo.

Programacin de exportaciones de logs


Dispositivo > Programacin de la exportacin de logs
Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol
(FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura
entre el dispositivo y un host remoto. Los perfiles de logs contienen la informacin de
programacin y servidor FTP. Por ejemplo, puede que un perfil especifique la recogida de
los logs del da anterior cada da a las 3:00 y su almacenamiento en un servidor FTP especfico.
Haga clic en Aadir y especifique los siguientes ajustes:

Tabla 33. Configuracin de la programacin de la exportacin de logs


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.
No podr cambiar el nombre despus de crear el perfil.

Descripcin

Introduzca una descripcin opcional (de hasta 255 caracteres).

Habilitado

Seleccione la casilla de verificacin para habilitar la programacin de


exportaciones de logs.

Tipo de log

Seleccione el tipo de log (Trfico, Amenaza, URL, Datos o Coincidencia


HIP). El valor predeterminado es Trfico.

Hora de inicio
de exportacin
programada (a diario)

Introduzca la hora del da (hh:mm) a la que comenzar la exportacin en el


formato de 24 horas (00:00 - 23:59).

Palo Alto Networks

Gestin de dispositivos 85

Tabla 33. Configuracin de la programacin de la exportacin de logs (Continuacin)


Campo

Descripcin

Protocolo

Seleccione el protocolo que debe utilizarse para exportar logs desde el


cortafuegos a un host remoto. Puede utilizar SCP para exportar logs de
manera segura o puede utilizar FTP, que no es un protocolo seguro.
Si est utilizando SCP, deber hacer clic en el botn Conexin de servidor
SCP de prueba para probar la conectividad entre el cortafuegos y el
servidor SCP. Adems, deber verificar y aceptar la clave de host del
servidor SCP.

Nombre de host

Introduzca el nombre de host o direccin IP del servidor FTP que se


utilizar para la exportacin.

Puerto

Introduzca el nmero de puerto que utilizar el servidor FTP. El valor


predeterminado es 21.

Ruta

Especifique la ruta ubicada en el servidor FTP que se utilizar para


almacenar la informacin exportada.

Habilitar modo pasivo


de FTP

Seleccione la casilla de verificacin para utilizar el modo pasivo para la


exportacin. De manera predeterminada, esta opcin est seleccionada.

Nombre de usuario

Introduzca el nombre de usuario para acceder al servidor FTP. El valor


predeterminado es annimo.

Contrasea

Introduzca la contrasea para acceder al servidor FTP. No se necesita


contrasea si el usuario es annimo.

Definicin de destinos de logs


Utilice esta pgina para habilitar el cortafuegos y que registre cambios de configuracin,
eventos del sistema, logs de coincidencias HIP y alarmas. En cada log puede habilitar el
funcionamiento remoto para Panorama (el sistema de gestin central de Palo Alto Networks)
y generar traps SNMP, mensajes de Syslog y notificaciones por correo electrnico.
La siguiente tabla describe los destinos de logs remotos.

Tabla 34. Destinos de logs remotos


IP Destino

Descripcin

Panorama

Todas las entradas de logs pueden reenviarse a Panorama. Para especificar la


direccin del servidor de Panorama, consulte Definicin de la configuracin
de gestin.

Trap SNMP

Se pueden generar traps SNMP segn el nivel de gravedad para entradas


de los logs Sistema, Amenaza y Trfico, pero no para entradas del log
Configuracin. Para definir los nuevos destinos de traps SNMP, consulte
Configuracin de destinos de traps SNMP.

86 Gestin de dispositivos

Palo Alto Networks

Tabla 34. Destinos de logs remotos (Continuacin)


Syslog

Se pueden generar mensajes de Syslog segn el nivel de gravedad para


entradas de los logs de sistema, amenazas y trfico, as como para las
entradas de log de configuracin. Para definir los destinos de syslog,
consulte Configuracin de servidores Syslog.

Correo electrnico

Se pueden enviar notificaciones de correo electrnico segn el nivel de


gravedad para entradas de los logs de sistema, amenazas y trfico, as como
para las entradas de log de configuracin. Para definir los servidores y
destinatarios de correo electrnico, consulte Configuracin de ajustes de
notificaciones por correo electrnico.

Para configurar los destinos de los logs del sistema, consulte Definicin de la
configuracin del log Sistema

Para configurar los destinos de los logs de configuracin, consulte Definicin de la


configuracin del log Configuracin

Para configurar los destinos de los logs de las coincidencias HIP, consulte Definicin de
la configuracin de log Coincidencias HIP

Para configurar los destinos de los logs de trfico, consulte Reenvo de logs

Definicin de la configuracin del log Configuracin


Dispositivo > Configuracin de log > Configuracin
La configuracin del log Configuracin especifica las entradas del log Configuracin que
se registran de manera remota con Panorama y se envan como mensajes de Syslog y/o
notificaciones por correo electrnico.

Tabla 35. Configuracin del log Configuracin


Campo

Descripcin

Panorama

Seleccione la casilla de verificacin para habilitar el envo de entradas del


log Configuracin al sistema de gestin centralizado de Panorama.

Traps SNMP

Para generar traps SNMP para entradas del log Configuracin, seleccione
el nombre del trap. Para especificar los nuevos destinos de traps SNMP,
consulte Configuracin de destinos de traps SNMP.

Correo electrnico

Para generar notificaciones por correo electrnico para entradas del log
Configuracin, seleccione un perfil de correo electrnico en el men
desplegable. Para crear un nuevo perfil de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.

Syslog

Para generar mensajes de Syslog para entradas del log Configuracin,


seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog.

Palo Alto Networks

Gestin de dispositivos 87

Definicin de la configuracin del log Sistema


Dispositivo > Configuracin de log > Sistema
La configuracin del log Sistema especifica los niveles de gravedad de las entradas del log
Sistema que se registran de manera remota con Panorama y se envan como traps SNMP,
mensajes de Syslog y/o notificaciones por correo electrnico. El log Sistema muestra eventos
del sistema, como fallos de HA, cambios de estado de enlaces e inicios de sesin y cierres de
sesin de administradores.

Tabla 36. Configuracin del log Sistema


Campo

Descripcin

Panorama

Seleccione la casilla de verificacin para cada nivel de gravedad de


las entradas del log Sistema que se enviarn al sistema de gestin
centralizado de Panorama. Para especificar la direccin del servidor
de Panorama, consulte Definicin de la configuracin de gestin.
Los niveles de gravedad son los siguientes:
Crtico: Fallos de hardware, lo que incluye la conmutacin por error
de HA y los fallos de enlaces.
Alto: Problemas graves, incluidas las interrupciones en las conexiones
con dispositivos externos, como servidores Syslog y RADIUS.
Medio: Notificaciones de nivel medio, como actualizaciones de
paquetes de antivirus.
Bajo: Notificaciones de menor gravedad, como cambios de contrasea
de usuario.
Informativo: Inicios de sesin/cierres de sesin, cambio de nombre o
contrasea de administrador, cualquier cambio de configuracin y el
resto de eventos no cubiertos por los otros niveles de gravedad.

Traps SNMP
Correo electrnico
Syslog

Bajo cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o
correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log Sistema. Para definir nuevos destinos, consulte:
Configuracin de destinos de traps SNMP.
Configuracin de servidores Syslog.
Configuracin de ajustes de notificaciones por correo electrnico.

Definicin de la configuracin de log Coincidencias HIP


Dispositivo > Configuracin de log > Coincidencias HIP
La configuracin del log Coincidencias HIP (perfil de informacin de host) se utiliza para
proporcionar informacin sobre las polticas de seguridad que se aplican a clientes de
GlobalProtect.

88 Gestin de dispositivos

Palo Alto Networks

Tabla 37. Configuracin del log Coincidencias HIP


Campo

Descripcin

Panorama

Seleccione la casilla de verificacin para habilitar el envo de entradas del


log Configuracin al sistema de gestin centralizado de Panorama.

Traps SNMP

Para generar traps SNMP para entradas del log Coincidencias HIP,
seleccione el nombre del destino de trap. Para especificar los nuevos
destinos de traps SNMP, consulte Configuracin de destinos de traps
SNMP.

Correo electrnico

Para generar notificaciones por correo electrnico para entradas


del log Configuracin, seleccione el nombre de la configuracin de
correo electrnico que especifica las direcciones de correo electrnico
adecuadas. Para especificar nuevos ajustes de correo electrnico, consulte
Configuracin de ajustes de notificaciones por correo electrnico.

Syslog

Para generar mensajes de Syslog para entradas del log Configuracin,


seleccione el nombre del servidor Syslog. Para especificar nuevos
servidores Syslog, consulte Configuracin de servidores Syslog.

Definicin de la configuracin del log Alarma


Dispositivo > Configuracin de log > Alarmas
Utilice la pgina Alarmas para configurar las notificaciones que se envan cuando se incumplen
reglas de seguridad (o grupos de reglas) repetidas veces en un perodo de tiempo establecido.
Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas
situado en la esquina inferior derecha de la interfaz web cuando la opcin Alarma est
configurada. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas
del log de alarmas actual.
Para reconocer alarmas, seleccione sus casillas de verificacin y haga clic en Reconocer.
Esta accin pasa las alarmas a la lista Alarmas de reconocimiento. La ventana Alarmas
tambin incluye controles de pginas, orden de columnas y actualizacin.
Para aadir una alarma, edite la seccin Configuracin de alarma y utilice la siguiente tabla
para definirla:

Tabla 38. Configuracin del log Alarma


Campo

Descripcin

Habilitar alarmas

Habilite alarmas basndose en los eventos enumerados en esta pgina.


El botn Alarmas
solo es visible cuando la casilla de verificacin
Habilitar alarmas est seleccionada.

Habilitar notificaciones
de alarmas por CLI

Habilite notificaciones de alarmas por CLI cuando se produzca una


alarma.

Habilitar notificaciones
de alarma web

Abra una ventana para mostrar alarmas en las sesiones de usuario,


incluyendo el momento en que se producen y cundo se reconocen.

Habilitar alarmas
audibles

El cortafuegos seguir reproduciendo una alarma sonora cuando existan


alarmas no reconocidas en la interfaz web o la CLI.

Umbral de fallo de
cifrado/descifrado

Especifique el nmero de fallos de cifrado/descifrado tras los cuales se


genera una alarma.

Palo Alto Networks

Gestin de dispositivos 89

Tabla 38. Configuracin del log Alarma (Continuacin)


Campo

Descripcin

Umbral de alarma de
base de datos de log
(% lleno)

Genere una alarma cuando una base de datos de logs alcance el


porcentaje indicado del tamao mximo.

Lmites de poltica de
seguridad

Se genera una alarma si un puerto o una direccin IP en concreto


incumple una regla de denegacin el nmero de veces especificado
en el ajuste Umbral de infracciones de seguridad dentro del perodo
(segundos) especificado en el ajuste Perodo de tiempo de infracciones
de seguridad.

Lmites de grupos de
polticas de seguridad

Se genera una alarma si el conjunto de reglas alcanza el nmero de


infracciones del lmite de reglas especificado en el campo Umbral de
infracciones durante el perodo especificado en el campo Perodo de
tiempo de infracciones. Los incumplimientos se cuentan cuando una
sesin coincide con una poltica de denegacin explcita.
Utilice Etiquetas de poltica de seguridad para especificar las etiquetas
con las que los umbrales de lmite de reglas generarn alarmas. Estas
etiquetas estn disponibles para su especificacin al definir polticas de
seguridad.

Auditora selectiva

Nota: Estos ajustes aparecen en la pgina Alarmas nicamente en el modo


Criterios comunes.
Especifique los siguientes ajustes:
Logging especfico de CC: Permite logs ampulosos necesarios para el
cumplimiento de criterios comunes (CC).
Logs de inicios de sesin correctos: Registra los inicios de sesin
correctos en el cortafuegos por parte del administrador.
Logs de inicios de sesin incorrectos: Registra los inicios de sesin
incorrectos en el cortafuegos por parte del administrador.
Administradores suprimidos: No genera logs para los cambios que
realizan los administradores enumerados en la configuracin del
cortafuegos.

90 Gestin de dispositivos

Palo Alto Networks

Gestin de configuracin de logs


Dispositivo > Configuracin de log > Gestionar logs
Cuando se configura para la creacin de logs, el cortafuegos registra cambios en la
configuracin, eventos del sistema, amenazas de seguridad, flujos de trfico y alarmas
generadas por el dispositivo. Utilice la pgina Gestionar logs para borrar los logs del
dispositivo. Haga clic en el enlace que corresponde al log (trfico, amenazas, URL, datos,
configuracin, sistema, coincidencia HIP, alarma) que le gustara borrar.

Configuracin de destinos de traps SNMP


Dispositivo > Perfiles de servidor > Trap SNMP
Panorama > Perfiles de servidor > Trap SNMP
SNMP (Protocolo simple de administracin de redes) es un servicio estndar para la
supervisin de los dispositivos de su red. Para poder alertarle sobre eventos o amenazas
del sistema de su red, los dispositivos supervisados envan traps SNMP a las estaciones de
gestin de red SNMP (denominadas "destinos de traps SNMP"), permitiendo las alertas
centralizadas para todos sus dispositivos de red. Utilice esta pgina para configurar el perfil
del servidor que habilita el cortafuegos o Panorama para comunicarse con los destinos de trap
SNMP de su red. Para habilitar GET SNMP, consulte SNMP.
Despus de crear el perfil de servidor que especifica cmo conectar a los destinos de traps
SNMP, debe especificar qu tipos de logs (y, para algunos tipos de logs, sus niveles de
gravedad) activarn el cortafuegos para que enve traps SNMP a los destinos configurados
correspondientes (consulte Definicin de la configuracin del log Sistema). Adems, para
que el software de gestin de SNMP interprete los traps, debe instalar los MIB de PAN-OS,
disponibles en la siguiente ubicacin de la categora de MIB de SNMP para empresas:
https://live.paloaltonetworks.com/community/documentation.

Tabla 39. Configuracin de destinos de traps SNMP


Campo

Descripcin

Nombre

Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.

Versin

Seleccione la versin de SNMP (V2c o V3).

Palo Alto Networks

Gestin de dispositivos 91

Tabla 39. Configuracin de destinos de traps SNMP (Continuacin)


Campo

Descripcin

Configuracin de V2c

Si selecciona V2c, configure los siguientes ajustes:


Servidor: Especifique un nombre para el destino de trap SNMP
(de hasta 31 caracteres).
Gestor: Especifique la direccin IP del destino de trap.
Comunidad: Especifique la cadena de comunidad necesaria para enviar
traps al destino especificado (valor predeterminado: pblico).

Configuracin de V3

Si selecciona V3, configure los siguientes ajustes:


Servidor: Especifique el nombre del destino de trap SNMP (de hasta
31 caracteres).
Gestor: Especifique la direccin IP del destino de trap.
Usuario: Especifique el usuario de SNMP.
EngineID: Especifique el ID de motor del cortafuegos. La entrada es
una cadena con una representacin hexadecimal. El ID de motor es
cualquier nmero entre 5 y 64 bytes. Cuando se representa como una
cadena hexadecimal, tiene entre 10 y 128 caracteres (2 por cada byte)
con dos caracteres adicionales para 0x que debe utilizar como prefijo en
la cadena de entrada.
Cada cortafuegos tiene un ID de motor exclusivo, que puede obtener
utilizando un explorador de MIB para ejecutar GET para OID
1.3.6.1.6.3.10.2.1.1.0.
Contrasea de autenticacin: Especifique la contrasea de autenticacin del usuario (8 caracteres como mnimo, 256 caracteres como
mximo y sin restricciones de caracteres). (Se permiten todos los
caracteres.) nicamente se admite el algoritmo de hash seguro (SHA).
Contrasea priv.: Especifique la contrasea de cifrado del usuario
(8 caracteres como mnimo, 256 caracteres como mximo y sin restricciones de caracteres). nicamente se admite el estndar de cifrado
avanzado (AES).

No elimine un destino que se utilice en algn ajuste del log Sistema o algn perfil
de logs.

92 Gestin de dispositivos

Palo Alto Networks

MIB SNMP
El cortafuegos admite las siguientes MIB SNMP:

"RFC 1213: MIB-II - Compatibilidad con el grupo de sistema, grupo de interfaces.

"RFC 2863: IF-MIB - MIB de grupo de interfaces

"RFC 2790: HOST-RESOURCES-MIB - Compatibilidad con hrDeviceTable y


hrProcessorTable.

"RFC 3433: ENTITY-SENSOR-MIB - Compatibilidad con entPhySensorTable.

PAN-PRODUCT-MIB

PAN-COMMON-MIB

PAN-TRAPS-MIB

PAN-LC-MIB

El conjunto completo de MIB empresariales est disponible en la seccin de documentacin


tcnica del sitio web de Palo Alto Networks en https://live.paloaltonetworks.com/community/
documentation.

Configuracin de servidores Syslog


Dispositivo > Perfiles de servidor > Syslog
Panorama > Perfiles de servidor > Syslog
Para generar mensajes de Syslog para logs Sistema, Configuracin, Trfico, Amenaza o
Coincidencias HIP, debe especificar uno o ms servidores Syslog. Despus de definir los
servidores Syslog, podr utilizarlos para las entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema).

Tabla 40. Nuevo servidor Syslog


Campo

Descripcin

Nombre

Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.

Pestaa Servidores
Nombre

Haga clic en Aadir e introduzca un nombre para el servidor Syslog


(de hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Servidor

Introduzca la direccin IP del servidor Syslog.

Transporte

Elija si desea transportar los mensajes de Syslog en UDP, TCP o SSL.

Palo Alto Networks

Gestin de dispositivos 93

Tabla 40. Nuevo servidor Syslog (Continuacin)


Campo

Descripcin

Puerto

Introduzca el nmero de puerto del servidor Syslog (el puerto estndar


para UDP es 514; el puerto estndar para SSL es 6514; para TCP debe
especificar un nmero de puerto).

Formato

Especifique el formato de Syslog que se debe utilizar: BSD (valor


predeterminado) o IETF.

Instalaciones

Seleccione un nivel de la lista desplegable.

Pestaa Formato de log personalizado


Tipo de log

Haga clic en el tipo de log para abrir un cuadro de dilogo que le


permitir especificar un formato de log personalizado. En el cuadro de
dilogo, haga clic en un campo para aadirlo al rea Formato de log.
Otras cadenas de texto se pueden editar directamente en el rea Formato
de log. Haga clic en ACEPTAR para guardar la configuracin.
Para obtener informacin detallada sobre los campos que se pueden
utilizar para logs personalizados, consulte Descripcin de los campos
personalizados de Syslog.

Escape

Especifique secuencias de escape. Utilice el cuadro Caracteres de escape


para enumerar todos los caracteres que se escaparn sin espacios.

No puede eliminar un servidor que se utilice en algn ajuste del log Sistema o
Configuracin o algn perfil de logs.

94 Gestin de dispositivos

Palo Alto Networks

Descripcin de los campos personalizados de Syslog


Puede configurar un formato de log personalizado en un perfil de servidor Syslog
seleccionando la pestaa Formato de log personalizado en Dispositivo > Perfiles de
servidor > Syslog. Haga clic en el tipo de log deseado (Configuracin, Sistema, Amenaza,
Trfico o Coincidencias HIP) y, a continuacin, haga clic en los campos que desee ver en los
logs. Las tablas siguientes muestran el significado de cada campo para cada tipo de log.

Tabla 41. Campos de Configuracin


Campo

Significado

marcas de accin

Campo de bits que indica si el log se ha reenviado a Panorama.


Disponible en PAN-OS 4.0.0 y posterior.

administrador

Nombre de usuario del administrador que realiza la


configuracin.

detalles despus del cambio

Detalles de la configuracin despus de realizar un cambio.

detalles antes del cambio

Detalles de la configuracin antes de realizar un cambio.

hora de recepcin formateada

Hora a la que se recibi el log en el plano de gestin, mostrada en


un formato de tiempo compatible con CEF.

hora de generacin formateada


segn cef

Hora a la que se gener el log, mostrada en un formato de tiempo


compatible con CEF.

cliente

Cliente utilizado por el administrador; los valores son Web y CLI.

cmd

Comando ejecutado por el administrador; los valores son Aadir,


Duplicar, Compilar, Eliminar, Editar, Mover, Renombrar,
Establecer y Validar.

Host

Nombre de host o direccin IP de la mquina cliente.

ruta

Ruta del comando de configuracin emitido. Puede tener una


longitud de hasta 512 bytes.

hora de recepcin

Hora a la que se recibi el log en el plano de gestin.

resultado

Resultado de la accin de configuracin. Los valores son


Enviada, Correctamente, Fallo y No autorizado.

nmero secuencial

Identificador de entrada de log de 64 bits que aumenta


secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.

serie

Nmero de serie del dispositivo que gener el log.

subtipo

Subtipo del log Configuracin (no utilizado).

hora de generacin

Hora a la que se recibi el log en el plano de datos.

tipo

Especifica el tipo de log; los valores son Trfico, Amenaza,


Configuracin, Sistema y Coincidencias HIP.

vsys

Sistema virtual asociado al log Configuracin.

Palo Alto Networks

Gestin de dispositivos 95

Tabla 42. Campos de Sistema


Campo

Significado

marcas de accin

Campo de bits que indica si el log se ha reenviado a Panorama.


Disponible en PAN-OS 4.0.0 y posterior.

hora de recepcin formateada


segn cef

Hora a la que se recibi el log en el plano de gestin, mostrada en


un formato de tiempo compatible con CEF.

hora de generacin formateada


segn cef

Hora a la que se gener el log, mostrada en un formato de tiempo


compatible con CEF.

id de evento

Cadena que muestra el nombre del evento.

fmt

Descripcin detallada del evento. Puede tener una longitud de


hasta 512 bytes.

mdulo

Este campo nicamente es vlido cuando el valor del campo


Subtipo es General. Proporciona informacin adicional acerca del
subsistema que genera el log. Los valores son General, Gestin,
Autenticacin, HA, Actualizar y Bastidor.

nmero de gravedad

Nivel de gravedad como nmero entero: 1, Informativo; 2, Bajo;


3, Medio; 4, Alto; y 5, Crtico.

objeto

Nombre del objeto asociado al log Sistema.

opaco

Descripcin detallada del evento. Puede tener una longitud de


hasta 512 bytes.

hora de recepcin

Hora a la que se recibi el log en el plano de gestin.

nmero secuencial

Identificador de entrada de log de 64 bits que aumenta


secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.

serie

Nmero de serie del dispositivo que gener el log.

gravedad

Gravedad asociada al evento; los valores son Informativo, Bajo,


Medio, Alto y Crtico.

subtipo

Subtipo del log Sistema. Hace referencia al demonio de sistema


que genera el log; los valores son Criptogrfico, DHCP, Proxy
DNS, Denegacin de servicio, General, GlobalProtect, HA,
Hardware, NAT, Demonio NTP, PBF, Puerto, PPPoE, RAS,
Enrutamiento, satd, Gestor SSL, VPN SSL, ID de usuario, Filtrado
de URL y VPN.

hora de generacin

Hora a la que se recibi el log en el plano de datos.

tipo

Especifica el tipo de log; los valores son Trfico, Amenaza,


Configuracin, Sistema y Coincidencias HIP.

vsys

Sistema virtual asociado al log Sistema.

96 Gestin de dispositivos

Palo Alto Networks

Tabla 43. Campos de Amenaza


Campo

Significado

Accin

Accin realizada para la sesin; los valores son Alerta, Permitir,


Denegar, Colocar, Colocar todos los paquetes, Restablecer cliente,
Restablecer servidor, Restablecer ambos y Bloquear URL.
Consulte la tabla de campos de Accin para conocer el
significado de cada valor.

marcas de accin

Campo de bits que indica si el log se ha reenviado a Panorama.


Disponible en PAN-OS 4.0.0 y posterior.

aplicacin

Aplicacin asociada a la sesin.

categora

Para el subtipo URL, es la categora de URL; para el subtipo


WildFire, es el veredicto del archivo y es Malo o Bueno;
para otros subtipos, el valor es Cualquiera.

hora de recepcin formateada


segn cef

Hora a la que se recibi el log en el plano de gestin, mostrada en


un formato de tiempo compatible con CEF.

hora de generacin formateada


segn cef

Hora a la que se gener el log, mostrada en un formato de tiempo


compatible con CEF.

tipo de contenido

Tipo de contenido de los datos de respuesta HTTP. La longitud


mxima es de 32 bytes. nicamente es aplicable cuando el
subtipo es URL. Disponible en PAN-OS 4.0.0 y posterior.

direccin

Indica la direccin del ataque: cliente a servidor o servidor a


cliente.

puerto de destino

Puerto de destino utilizado por la sesin.

destino

Direccin IP de destino de la sesin original.

ubicacin de destino

Pas de destino o regin interna para direcciones privadas.


La longitud mxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.

usuario de destino

Nombre del usuario para el que iba destinada la sesin.

marcas

Campo de 32 bits que proporciona informacin detallada sobre la


sesin. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor.

De

Zona de origen de la sesin.

entrante si

Interfaz de origen de la sesin.

conjunto de logs

Perfil de reenvo de logs aplicado a la sesin.

varios

El URI real cuando el subtipo es URL; Nombre de archivo o Tipo


de archivo cuando el subtipo es Archivo; Nombre de archivo
cuando el subtipo es Virus; y Nombre de archivo cuando el
subtipo es WildFire. La longitud es de 63 caracteres en versiones
de PAN-OS anteriores a 4.0. A partir de la versin 4.0, tiene una
longitud variable con un mximo de 1.023 caracteres.

nat de puerto de destino

NAT de puerto de destino posterior.

nat de destino

Si se ejecuta un NAT de destino, es el NAT de direccin IP de


destino posterior.

nat de puerto de origen

NAT de puerto de origen posterior.

nat de origen

Si se ejecuta un NAT de origen, es el NAT de direccin IP de


origen posterior.

Palo Alto Networks

Gestin de dispositivos 97

Tabla 43. Campos de Amenaza (Continuacin)


Campo

Significado

nmero de gravedad

Nivel de gravedad como nmero entero: 1, Informativo; 2, Bajo;


3, Medio; 4, Alto; y 5, Crtico.

saliente si

Interfaz de destino de la sesin.

protocolo

Protocolo IP asociado a la sesin.

hora de recepcin

Hora a la que se recibi el log en el plano de gestin.

recuento de repeticiones

Nmero de logs con el mismo IP de origen, IP de destino e ID


de amenaza observados en 5 segundos. Se aplica a todos los
subtipos excepto URL.

regla

Nombre de la regla con la que ha coincidido la sesin.

nmero secuencial

Identificador de entrada de log de 64 bits que aumenta


secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.

serie

Nmero de serie del dispositivo que gener el log.

id de sesin

Identificador numrico interno aplicado a cada sesin.

gravedad

Gravedad asociada a la amenaza; los valores son Informativo,


Bajo, Medio, Alto y Crtico.

puerto de origen

Puerto de origen utilizado por la sesin.

origen

Direccin IP de origen de la sesin original.

ubicacin de origen

Pas de origen o regin interna para direcciones privadas.


La longitud mxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.

usuario de origen

Nombre del usuario que inici la sesin.

subtipo

Subtipo del log Amenaza; los valores son URL, Virus, Spyware,
Vulnerabilidades, Archivo, Analizar, Inundacin, Datos y
WildFire.

id de amenaza

Identificador de Palo Alto Networks para la amenaza. Es una


cadena de descripcin seguida de un identificador numrico
entre parntesis para algunos subtipos. El identificador numrico
es un nmero de 64 bits de PAN-OS 5.0 y posterior.

hora de generacin

Hora a la que se gener el log en el plano de datos.

hora de recepcin

Hora a la que se recibi el log en el plano de datos.

Para

Zona de destino de la sesin.

tipo

Especifica el tipo de log; los valores son Trfico, Amenaza,


Configuracin, Sistema y Coincidencias HIP.

vsys

Sistema virtual asociado a la sesin.

wildfire

Logs generados por WildFire.

98 Gestin de dispositivos

Palo Alto Networks

Tabla 44. Campos de Trfico


Campo

Significado

Accin

Accin realizada para la sesin; los valores son Permitir o


Denegar. Consulte la tabla de campos de Accin.

marcas de accin

Campo de bits que indica si el log se ha reenviado a Panorama.


Disponible en PAN-OS 4.0.0.

aplicacin

Aplicacin asociada a la sesin.

bytes

Nmero total de bytes (transmitidos y recibidos) de la sesin.

bytes recibidos

Nmero de bytes en la direccin servidor a cliente de la sesin.


Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.

bytes enviados

Nmero de bytes en la direccin cliente a servidor de la sesin.


Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.

categora

Categora de URL asociada a la sesin (si es aplicable).

hora de recepcin formateada


segn cef

Hora a la que se recibi el log en el plano de gestin, mostrada en


un formato de tiempo compatible con CEF.

hora de generacin formateada


segn cef

Hora a la que se gener el log, mostrada en un formato de tiempo


compatible con CEF.

puerto de destino

Puerto de destino utilizado por la sesin.

destino

Direccin IP de destino de la sesin original.

ubicacin de destino

Pas de destino o regin interna para direcciones privadas.


La longitud mxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.

usuario de destino

Nombre del usuario para el que iba destinada la sesin.

transcurrido

Tiempo transcurrido en la sesin.

marcas

Campo de 32 bits que proporciona informacin detallada sobre la


sesin. Consulte la tabla de campos de Marcas para conocer el
significado de cada valor. Este campo puede descodificarse
aadiendo los valores con Y y con el valor registrado.

De

Zona de origen de la sesin.

entrante si

Interfaz de origen de la sesin.

conjunto de logs

Perfil de reenvo de logs aplicado a la sesin.

nat de puerto de destino

NAT de puerto de destino posterior.

nat de destino

Si se ejecuta un NAT de destino, es el NAT de direccin IP de


destino posterior.

nat de puerto de origen

NAT de puerto de origen posterior.

nat de origen

Si se ejecuta un NAT de origen, es el NAT de direccin IP de


origen posterior.

saliente si

Interfaz de destino de la sesin.

paquetes

Nmero total de paquetes (transmitidos y recibidos) de la sesin.

paquetes recibidos

Nmeros de paquetes de servidor a cliente de la sesin.


Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.

Palo Alto Networks

Gestin de dispositivos 99

Tabla 44. Campos de Trfico (Continuacin)


Campo

Significado

paquetes enviados

Nmeros de paquetes de cliente a servidor de la sesin.


Disponible en PAN-OS 4.1.0 en todos los modelos excepto la
serie PA-4000.

protocolo

Protocolo IP asociado a la sesin.

hora de recepcin

Hora a la que se recibi el log en el plano de gestin.

recuento de repeticiones

Nmero de sesiones con el mismo IP de origen, IP de destino,


Aplicacin y Subtipo observados en 5 segundos. Utilizado
nicamente para ICMP.

regla

Nombre de la regla con la que ha coincidido la sesin.

nmero secuencial

Identificador de entrada de log de 64 bits que aumenta


secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.

serie

Nmero de serie del dispositivo que gener el log.

100 Gestin de dispositivos

Palo Alto Networks

Tabla 44. Campos de Trfico (Continuacin)


Campo

Significado

session_end_reason

Razn por la que ha finalizado una sesin. Si la finalizacin ha


tenido varias causas, este campo solo muestra la ms importante.
Los valores de la posible razn de finalizacin de la sesin son
los siguientes en orden de prioridad (el primero es el ms
importante):
threat: el cortafuegos ha detectado una amenaza asociada
con una accin de restablecimiento, borrado o bloqueo
(direccin IP).
policy-deny: la sesin ha hecho coincidir una poltica de
seguridad con una accin de denegacin o borrado.
tcp-rst-from-client: el cliente ha enviado un restablecimiento
de TCP al servidor.
tcp-rst-from-server: el servidor ha enviado un restablecimiento
de TCP al cliente.
resources-unavailable: la sesin se ha cancelado debido a
una limitacin de recursos del sistema. Por ejemplo, la sesin
podra haber superado el nmero de paquetes que no funcionan
permitidos por flujo o por la cola de paquetes que no funcionan
globales.
tcp-fin: uno o varios hosts de la conexin han enviado un
mensaje FIN de TCP para cerrar la sesin.
tcp-reuse: se reutiliza una sesin y el cortafuegos cierra la
sesin anterior.
decoder: el decodificador detecta una nueva conexin en el
protocolo (como HTTP-Proxy) y finaliza la conexin anterior.
aged-out: la sesin ha caducado.
unknown: este valor se aplica en las siguientes situaciones:
Para logs generados en una versin de PAN-OS que no
admite el campo de razn de finalizacin de sesin
(versiones posteriores a 6.1), el valor ser unknown (desconocido) despus de una actualizacin de la versin actual
de PAN-OS o despus de que los logs se carguen en el
cortafuegos.
En Panorama, los logs recibidos de los cortafuegos para los
que la versin de PAN-OS no admite razones de finalizacin
de sesin tendrn un valor unknown.

id de sesin

Identificador numrico interno aplicado a cada sesin.

puerto de origen

Puerto de origen utilizado por la sesin.

origen

Direccin IP de origen de la sesin original.

ubicacin de origen

Pas de origen o regin interna para direcciones privadas.


La longitud mxima es de 32 bytes. Disponible en PAN-OS 4.0.0
y posterior.

usuario de origen

Nombre del usuario que inici la sesin.

inicio

Hora de inicio de sesin.

subtipo

Subtipo del log Trfico; los valores son Iniciar, Finalizar, Colocar
y Denegar. Consulte la tabla de campos de Subtipo para conocer
el significado de cada valor.

Palo Alto Networks

Gestin de dispositivos 101

Tabla 44. Campos de Trfico (Continuacin)


Campo

Significado

hora de generacin

Hora a la que se gener el log en el plano de datos.

hora de recepcin

Hora a la que se recibi el log en el plano de datos.

Para

Zona de destino de la sesin.

tipo

Especifica el tipo de log; los valores son Trfico, Amenaza,


Configuracin, Sistema y Coincidencias HIP.

vsys

Sistema virtual asociado a la sesin.

Tabla 45. Campos de Coincidencias HIP


Campo

Significado

marcas de accin

Campo de bits que indica si el log se ha reenviado a Panorama.


Disponible en PAN-OS 4.0.0 y posterior.

hora de recepcin formateada


segn cef

Hora a la que se recibi el log en el plano de gestin, mostrada en


un formato de tiempo compatible con CEF.

hora de generacin formateada


segn cef

Hora a la que se gener el log, mostrada en un formato de tiempo


compatible con CEF.

nombre de mquina

Nombre de la mquina del usuario.

nombre de coincidencia

Nombre del perfil u objeto HIP.

tipo de coincidencia

Especifica si el campo HIP representa un objeto HIP o un


perfil HIP.

hora de recepcin

Hora a la que se recibi el log en el plano de gestin.

recuento de repeticiones

Nmero de veces que ha coincidido el perfil HIP.

nmero secuencial

Identificador de entrada de log de 64 bits que aumenta


secuencialmente. Cada tipo de log tiene un espacio de nmero
exclusivo. Disponible en PAN-OS 4.0.0 y posterior.

serie

Nmero de serie del dispositivo que gener el log.

origen

Direccin IP del usuario de origen.

usuario de origen

Nombre del usuario de origen.

subtipo

Subtipo del log Coincidencias HIP (no utilizado).

hora de generacin

Hora a la que se gener el log en el plano de datos.

tipo

Especifica el tipo de log; los valores son Trfico, Amenaza,


Configuracin, Sistema y Coincidencias HIP.

vsys

Sistema virtual asociado al log Coincidencias HIP.

102 Gestin de dispositivos

Palo Alto Networks

Configuracin de ajustes de notificaciones por correo electrnico


Dispositivo > Perfiles de servidor > Correo electrnico
Panorama > Perfiles de servidor > Correo electrnico
Para generar mensajes de correo electrnico para logs, debe configurar un perfil de correo
electrnico. Despus de definir la configuracin de correo electrnico, podr habilitar las
notificaciones por correo electrnico para entradas de los logs Sistema y Configuracin
(consulte Definicin de la configuracin del log Sistema). Para obtener informacin sobre
cmo programar la entrega de informes por correo electrnico, consulte Programacin de
informes para entrega de correos electrnicos.

Tabla 46. Configuracin de notificaciones por correo electrnico


Campo

Descripcin

Nombre

Introduzca un nombre para la configuracin de correo electrnico


(de hasta 31 caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Pestaa Servidores
Servidor

Introduzca un nombre para identificar el servidor (1-31 caracteres).


Este campo es solamente una etiqueta y no tiene que ser el nombre de
host de un servidor SMTP existente.

Mostrar nombre

Introduzca el nombre mostrado en el campo De del correo electrnico.

De

Introduzca la direccin de correo electrnico del remitente, como


alerta_seguridad@empresa.com.

Para

Introduzca la direccin de correo electrnico del destinatario.

Destinatario adicional

Tambin puede introducir la direccin de correo electrnico de otro


destinatario. Solo puede aadir un destinatario adicional. Para aadir
varios destinatarios, aada la direccin de correo electrnico de una lista
de distribucin.

Puerta de enlace

Introduzca la direccin IP o el nombre de host del servidor Simple Mail


Transport Protocol (SMTP) utilizado para enviar el correo electrnico.

Pestaa Formato de log personalizado


Tipo de log

Haga clic en el tipo de log para abrir un cuadro de dilogo que le


permitir especificar un formato de log personalizado. En el cuadro de
dilogo, haga clic en un campo para aadirlo al rea Formato de log.
Haga clic en ACEPTAR para guardar la configuracin.

Escape

Incluya los caracteres de escape y especifique el carcter o los caracteres


de escape.

No puede eliminar un ajuste de correo electrnico que se utilice en algn ajuste del
log Sistema o Configuracin o algn perfil de logs.

Palo Alto Networks

Gestin de dispositivos 103

Configuracin de ajustes de flujo de red


Dispositivo > Perfiles de servidor > Flujo de red
El cortafuegos puede generar y exportar registros de la versin 9 de flujo de red con
informacin de flujo de trfico IP unidireccional a un recopilador externo. El cortafuegos
admite las plantillas de flujo de red estndar y selecciona la correcta basndose en los datos
que se van a exportar.
La exportacin de flujo de red se puede habilitar en cualquier interfaz de entrada (ingress)
del cortafuegos. Se definen registros de plantillas independientes para trfico IPv4, IPv4 con
NAT e IPv6. Asimismo, tambin se pueden exportar campos especficos de PAN-OS para la
identificacin de aplicaciones y usuarios (App-ID y User-ID). Esta funcin est disponible en
todas las plataformas, excepto en los cortafuegos de la serie PA-4000 y PA-7050.
Para configurar exportaciones de datos de flujo de red, defina un perfil de servidor de flujo
de red, que especifica la frecuencia de la exportacin junto con los servidores de flujo de red
que recibirn los datos exportados. A continuacin, cuando asigne el perfil a una interfaz de
cortafuegos existente, todo el trfico que pase por dicha interfaz se exportar a los servidores
especificados. Todos los tipos de interfaces admiten la asignacin de un perfil de flujo de red.
Consulte Configuracin de la interfaz de un cortafuegos para obtener informacin sobre
cmo asignar un perfil de flujo de red a una interfaz.

Tabla 47. Configuracin de flujo de red


Campo

Descripcin

Nombre

Introduzca un nombre para la configuracin de flujo de red (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Tasa de actualizacin de
plantilla

Especifique el nmero de minutos (1-3600, de forma predeterminada 30)


o paquetes (1-600, de forma predeterminada 20) despus de los cuales el
cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier
cambio. La frecuencia de actualizacin necesaria depende del recopilador
de flujo de red: Si aade varios recopiladores de flujo de red al perfil del
servidor, utilice el valor del recopilador con la velocidad de actualizacin
ms rpida.

Tiempo de espera activo

Especifique la frecuencia (en minutos) a la que el cortafuegos exporta


registros de datos para cada sesin (1-60, 5 de forma predeterminada).
Establezca la frecuencia basada en cuntas veces quiere que el recopilador
del flujo de datos actualice las estadsticas de trfico.

Exportar tipos de
campos especficos de
PAN-OS

Exporte campos especficos de PAN-OS como los de identificacin de


aplicaciones y usuario (App-ID y User-ID) en registros de flujo de red.

Servidores
Nombre

Especifique un nombre para identificar el servidor (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Servidor

Especifique el nombre de host o la direccin IP del servidor. Puede aadir


un mximo de dos servidores por perfil.

Puerto

Especifique el nmero de puerto para el acceso al servidor (valor


predeterminado: 2.055).

104 Gestin de dispositivos

Palo Alto Networks

Uso de certificados
Dispositivo > Gestin de certificados > Certificados
Certificados utilizados para cifrar datos y garantizar la comunicacin en una red.

Gestin de certificados de dispositivos: Utilice la pestaa Dispositivo > Gestin de


certificados > Certificados > Certificados de dispositivos para gestionar (generar,
importar, renovar, eliminar, revocar) los certificados de dispositivos utilizados para
garantizar una comunicacin segura. Tambin puede exportar e importar la clave de
HA que se utiliza para garantizar la conexin entre los peers de HA en la red.

Gestin de entidades de certificacin de confianza predeterminadas: Utilice la pestaa


Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas para ver, habilitar y deshabilitar las entidades de certificados
(CA) en las que confa el cortafuegos.

Creacin un perfil de certificados: Utilice la pestaa Dispositivo > Gestin de


certificados > Perfil del certificado para

Cmo aadir un respondedor OCSP

Gestin de certificados de dispositivos


Dispositivo > Gestin de certificados > Certificados > Certificados de dispositivos
Panorama > Gestin de certificados > Certificados
Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como
asegurar el acceso a la interfaz web, descifrado de SSL o LSVPN.
Utilice esta pestaa para generar certificados de seguridad para los siguientes usos:

Fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado cuando
el servidor al que se estn conectando est firmado por una CA de la lista de CA de
confianza del cortafuegos. Si se utiliza un certificado autofirmado para el descifrado de
proxy de reenvo, deber hacer clic en el nombre del certificado en la pgina Certificados
y seleccionar la casilla de verificacin Reenviar certificado fiable.

No fiable de reenvo: Este certificado se presenta a los clientes durante el descifrado


cuando el servidor al que se estn conectando est firmado por una CA que no est en la
lista de CA de confianza del cortafuegos.

CA raz de confianza: El certificado est marcado como CA de confianza con fines de


descifrado de reenvo.
Cuando el cortafuegos descifra trfico, comprueba si el certificado ascendente ha sido
emitido por una CA de confianza. Si no es as, utiliza un certificado de CA no fiable
especial para firmar el certificado de descifrado. En este caso, el usuario ver la pgina de
error de certificado habitual al acceder al cortafuegos y deber desestimar la advertencia
de inicio de sesin.
El cortafuegos tiene una extensa lista de CA de confianza existentes. El certificado de CA
raz de confianza es para CA adicionales que son fiables para su empresa pero que no
forman parte de la lista de CA fiables preinstalada.

Palo Alto Networks

Gestin de dispositivos 105

Exclusin de SSL: Este certificado excluye las conexiones si se encuentran durante el


descifrado de proxy de reenvo SSL.

Certificado de GUI web segura: Este certificado autentica a los usuarios para que
accedan a la interfaz web del cortafuegos. Si se selecciona esta casilla de verificacin para
un certificado, el cortafuegos utilizar este certificado para todas las sesiones de gestin
basadas en web futuras tras la prxima operacin de compilacin.

Certificado de Syslog seguro: Este certificado activa el reenvo seguro de syslogs en un


servidor de syslog externo.

Para generar un certificado, haga clic en Generar y especifique la siguiente informacin.

Tabla 48. Configuracin para generar un certificado


Campo

Descripcin

Nombre del certificado

Introduzca un nombre (de hasta 31 caracteres) para identificar el


certificado. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos. Solo se requiere el nombre.

Nombre comn

Introduzca la direccin IP o FQDN que aparecer en el certificado.

Ubicacin

Seleccione un sistema virtual o seleccione Compartido para que el


certificado est disponible para todos los sistemas virtuales.

Firmado por

Un certificado se puede firmar con un certificado de CA importado al


cortafuegos o se puede utilizar un certificado autofirmado donde el
propio cortafuegos es la CA. Si est utilizando Panorama, tambin tiene
la opcin de generar un certificado autofirmado para Panorama.
Si ha importado certificados de CA o los ha emitido en el propio
dispositivo (autofirmados), el men desplegable incluye los CA
disponibles para firmar el certificado que se est creando.
Para generar una solicitud de firmado de certificado, seleccione una
autoridad externa (CSR). Se generarn el certificado y el par de claves;
ahora puede exportar la CSR.

Autoridad del
certificado

Si desea que el cortafuegos emita el certificado, seleccione la casilla de


verificacin Autoridad del certificado
Marcar este certificado como CA le permitir utilizarlo para firmar otros
certificados en el cortafuegos.

OCSP responder

Seleccione un perfil de respondedor OSCP de la lista desplegable.


El perfil del respondedor OCSP se configura en la pestaa Dispositivo >
Gestin de certificados > OCSP responder. Cuando selecciona un
respondedor OCSP, el nombre de host correspondiente aparece en el
certificado.

Nmero de bits

Seleccione la longitud de la clave del certificado.


Si el cortafuegos est en modo FIPS/CC, las claves RSA generadas deben
tener 2048 bits o ms

Resumen

Seleccione el algoritmo de resumen del certificado.


Si el cortafuegos est en modo FIPS/CC, las firmas de certificados deben
ser SHA256 o superiores.

106 Gestin de dispositivos

Palo Alto Networks

Tabla 48. Configuracin para generar un certificado (Continuacin)


Campo

Descripcin

Vencimiento (das)

Especifique el nmero de das que el certificado ser vlido. El valor


predeterminado es de 365 das.
Si especifica un Perodo de validez en una configuracin del satlite
del portal de GlobalProtect, ese valor cancelar el valor introducido en
este campo.

Atributos del certificado

De forma alternativa, haga clic en Aadir para especificar atributos


del certificado adicionales que se deben utilizar para identificar la
entidad para la que est emitiendo el certificado. Puede aadir cualquiera
de los siguientes atributos: Pas, Estado, Localidad, Organizacin,
Departamento, Correo electrnico. Adems, puede especificar uno de los
siguientes campos de nombre alternativo del asunto: Nombre de host
(SubjectAltName:DNS), IP (SubjectAltName:IP), y Correo electrnico
alternativo (SubjectAltName:email).
Nota: Para aadir un pas como atributo de certificado, seleccione Pas en la
columna Tipo y, a continuacin, haga clic en la columna Valor para ver los
cdigos de pas ISO 6366.

Si ha configurado un HSM, las claves privadas se almacenan en el HSM externo en lugar de en


el propio cortafuegos.

Palo Alto Networks

Gestin de dispositivos 107

Despus de generar el certificado, los detalles aparecen en la pgina.

Tabla 49. Otras acciones admitidas


Acciones

Descripcin

Eliminar

Seleccione el certificado que desea eliminar y haga clic en Eliminar.

Revocar

Seleccione el certificado que desea revocar y haga clic en Revocar.


El certificado se establecer instantneamente en estado revocado.
No es necesario realizar una compilacin.

Renovar

En caso de que un certificado caduque o est a punto de caducar,


seleccione el certificado correspondiente y haga clic en Renovar.
Establezca el periodo de validez (en das) para el certificado y haga clic
en Aceptar.
Si el cortafuegos es la CA que emiti el certificado, el cortafuegos lo
sustituir por un nuevo certificado que tenga un nmero de serie
diferente pero los mismos atributos que el certificado anterior.
Si una entidad de certificacin (CA) externa firm el certificado y el
cortafuegos utiliza el protocolo de estado de certificado en lnea (OCSP)
para verificar el estado de revocacin de certificados, el cortafuegos
utilizar informacin del respondedor OCSP para actualizar el estado
del certificado.

Importar

Para importar un certificado, haga clic en Importar y especifique los


siguientes detalles
Nombre para identificar el certificado.
Utilice la opcin Examinar para buscar el archivo de certificado.
Si est importando un certificado PKCS #12 y una clave privada,
este ser el nico archivo que contiene a ambos objetos. Si utiliza
PEM, este ser nicamente el certificado pblico.
Seleccione el formato de archivo para el archivo de certificado.
Seleccione la casilla La clave privada reside en el mdulo de
seguridad de hardware si est utilizando un HSM par almacenar la
clave privada para este certificado. Si desea ms informacin sobre
HSM, consulte Definicin de mdulos de seguridad de hardware.
Seleccione la casilla de verificacin Importar clave privada para
cargar la clave privada e introducir la frase de contrasea dos veces.
Si utiliza PKCS #12, el archivo de clave se seleccion anteriormente.
Si utiliza PEM, busque el archivo de clave privada cifrada (por lo
general, denominado *.key).
Seleccione el sistema virtual al que desea importar el certificado de la
lista desplegable.

Generar

Consulte generar.

Exportar

Para exportar un certificado, seleccione el certificado que desea exportar y


haga clic en Exportar. Seleccione el formato de archivo que desea que
utilice el certificado exportado (.pfx para PKCS#12 o .pem para formato
de codificacin base64).
Seleccione la casilla de verificacin Exportar clave privada e introduzca
una frase de contrasea dos veces para exportar la clave privada adems
del certificado.

108 Gestin de dispositivos

Palo Alto Networks

Tabla 49. Otras acciones admitidas


Acciones

Descripcin

Importar clave de HA

Las claves de HA se deben intercambiar entre ambos peers del


cortafuegos; es decir, se debe exportar la clave del cortafuegos 1 y,
a continuacin, importarse al cortafuegos 2 y viceversa.

Exportar clave de HA

Para importar claves para alta disponibilidad (HA), haga clic en


Importar clave de HA y explore para especificar el archivo de clave
que se importar.
Para exportar claves para HA, haga clic en Exportar clave de HA y
especifique una ubicacin en la que guardar el archivo.
Defina el uso del
certificado

En la columna Nombre, seleccione el enlace para el certificado y las


casillas de verificacin para indicar cmo planea utilizar el certificado.
Para obtener una descripcin de cada uno de ellos, consulte usos.

Gestin de entidades de certificacin de confianza predeterminadas


Dispositivo > Gestin de certificados > Certificados > Entidades de certificacin de
confianza predeterminadas
Utilice esta pgina para ver, deshabilitar o exportar las entidades de certificacin (CA)
preincluidas en las que confa el cortafuegos. Aparece el nombre, asunto, emisor, fecha de
vencimiento y estado de validez de cada una de ellas.
Esta lista no incluye los certificados de CA generados en el cortafuegos.

Tabla 50. Configuracin de entidades de certificacin de confianza


Campo

Descripcin

Habilitar

Si ha deshabilitado una CA y desea habilitarla, haga clic en la


casilla de verificacin junto a la CA y, a continuacin, haga clic en
Habilitar.

Deshabilitar

Haga clic en la casilla de verificacin junto a la CA que desee


deshabilitar y, a continuacin, haga clic en Deshabilitar. Puede
que le interese esto si solamente desea confiar en determinadas
CA o eliminarlas todas para nicamente confiar en su CA local.

Exportar

Haga clic en la casilla de verificacin junto a la CA y, a continuacin, haga clic en Exportar para exportar el certificado de CA.
Puede realizar esta accin para importar el certificado a otro
sistema o si desea verlo fuera de lnea.

Creacin un perfil de certificados


Dispositivo > Gestin de certificados > Perfil del certificado
Panorama > Gestin de certificados > Perfil del certificado
Los perfiles de certificados definen la autenticacin de usuarios y dispositivos para portal
cautivo, GlobalProtect, VPN de sitio a sitio de IPSec, gestor de seguridad mvil y acceso a
la interfaz web del cortafuegos/Panorama. Los perfiles especifican qu certificados deben
utilizarse, cmo verificar el estado de revocacin de certificados y cmo restringe el acceso
dicho estado. Configure un perfil de certificado para cada aplicacin.

Palo Alto Networks

Gestin de dispositivos 109

Tabla 51. Configuracin de perfiles de certificado


Tipo de pgina

Descripcin

Nombre

Introduzca un nombre para identificar el perfil (de hasta 31


caracteres). El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, guiones y guiones bajos.

Ubicacin

Si el cortafuegos admite varios sistemas virtuales, el cuadro de


dilogo muestra el men desplegable Ubicacin. Seleccione el
sistema virtual donde el perfil estar disponible o seleccione
Compartido para habilitar la disponibilidad en todos los
sistemas virtuales.

Campo de nombre de usuario

Si GlobalProtect solo utiliza certificados para la autenticacin del


portal/puerta de enlace, PAN-OS utiliza el campo de certificado
que seleccione en la lista desplegable Campo de nombre de usuario
como nombre de usuario y busca coincidencias con la direccin IP
del ID de usuario (User-ID):

Asunto: PAN-OS utiliza el nombre comn.


Asunto alternativo: Seleccione si PAN-OS utiliza el correo
electrnico o nombre principal.

Ninguno: Suele destinarse al dispositivo GlobalProtect o a la


autenticacin anterior al inicio de sesin.
Dominio

Introduzca el dominio NetBIOS para que PAN-OS pueda identificar


a los usuarios mediante el ID de usuario.

Certificados de CA

Haga clic en Aadir y seleccione un certificado de CA para


asignarlo al perfil.
Opcionalmente, si el cortafuegos utiliza el protocolo de estado de
certificado en lnea (OCSP) para verificar el estado de revocacin
de certificados, configure los siguientes campos para cancelar
el comportamiento predeterminado. Para la mayora de las
implementaciones, estos campos no son aplicables.

De manera predeterminada, el cortafuegos utiliza la URL del

respondedor OCSP que estableci en el procedimiento Cmo


aadir un respondedor OCSP. Para cancelar ese ajuste, introduzca una URL de OCSP predeterminada (que comience por
http:// o https://).
De manera predeterminada, el cortafuegos utiliza el certificado
seleccionado en el campo Certificado de CA para validar las
respuestas de OCSP. Para utilizar un certificado diferente para la
validacin, seleccinelo en el campo Verificacin de certificado
CA con OCSP.

Utilizar CRL

Seleccione la casilla de verificacin para utilizar una lista de


revocacin de certificados (CRL) para verificar el estado de
revocacin de los certificados.

Utilizar OCSP

Seleccione la casilla de verificacin para utilizar OCSP y verificar el


estado de revocacin de los certificados.
Nota: Si selecciona OCSP y CRL, el cortafuegos primero intentar
utilizar el OCSP y solamente retroceder al mtodo CRL si el respondedor
OCSP no est disponible.

Tiempo de espera de
recepcin de CRL

110 Gestin de dispositivos

Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos


deja de esperar una respuesta del servicio CRL.

Palo Alto Networks

Tabla 51. Configuracin de perfiles de certificado (Continuacin)


Tipo de pgina

Descripcin

Tiempo de espera de
recepcin de OCSP

Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos


deja de esperar una respuesta del respondedor OCSP.

Tiempo de espera del estado


del certificado

Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos


deja de esperar una respuesta de cualquier servicio de estado de
certificados y aplica la lgica de bloqueo de sesin que defina.

Bloquear una sesin si el


estado del certificado es
desconocido

Seleccione la casilla de verificacin si desea que el cortafuegos


bloquee sesiones cuando el servicio OCSP o CRL devuelva un
estado de revocacin de certificados desconocido (unknown).
De lo contrario, el cortafuegos continuar con la sesin.

Bloquear sesiones si no se
puede recuperar el estado del
certificado dentro del tiempo
de espera

Seleccione la casilla de verificacin si desea que el cortafuegos


bloquee sesiones despus de registrar un tiempo de espera de la
solicitud de OCSP o CRL. De lo contrario, el cortafuegos continuar
con la sesin.

Cmo aadir un respondedor OCSP


Dispositivo > Gestin de certificados > OCSP responder
Utilice la pgina OCSP responder para definir un respondedor (servidor) del protocolo
de estado de certificado en lnea (OCSP) que verifique el estado de la revocacin de los
certificados.
Adems de aadir un respondedor OCSP, habilitar un OCSP requiere las siguientes tareas:

Activar la comunicacin entre el cortafuegos y el servidor del OCSP: seleccione


Dispositivo > Configuracin > Gestin, edite la seccin Configuracin de interfaz de
gestin, seleccione OCSP de HTTP y, a continuacin, haga clic en Aceptar.

Si el cortafuegos descifra el trfico SSL/TLS saliente, configrelo de forma optativa para


verificar el estado de revocacin de los certificados del servidor de destino: seleccione
Dispositivo > Configuracin > Sesiones, haga clic en Configuracin de revocacin
de certificados de descifrado, seleccione la opcin para habilitar en la seccin OCSP,
introduzca el tiempo de espera de recepcin (intervalo despus del cual el cortafuegos
deja de esperar una respuesta del OCSP) y, a continuacin, haga clic en Aceptar.

Opcionalmente, para configurar el propio cortafuegos como respondedor OCSP, aada


un perfil de gestin de interfaz a la interfaz utilizada para servicios OCSP. En primer
lugar, seleccione Red > Perfiles de red > Gestin de interfaz, haga clic en Aadir,
seleccione OCSP de HTTP y, a continuacin, haga clic en Aceptar. En segundo lugar,
seleccione Red > Interfaces, haga clic en el nombre de la interfaz que utilizar el
cortafuegos para los servicios del OCSP, seleccione Avanzado > Otra informacin,
seleccione el perfil de gestin de la interfaz que ha configurado y, a continuacin, haga clic
en Aceptar y Compilar.

Palo Alto Networks

Gestin de dispositivos 111

Tabla 52. Configuracin de respondedor OCSP


Campo

Descripcin

Nombre

Introduzca un nombre para identificar al respondedor (hasta 31


caracteres). El nombre distingue entre maysculas y minsculas.
Debe ser exclusivo y utilizar nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Ubicacin

Si el cortafuegos admite varios sistemas virtuales, el cuadro de


dilogo muestra el men desplegable Ubicacin. Seleccione
el sistema virtual donde el respondedor estar disponible o
seleccione Compartido para habilitar la disponibilidad en todos
los sistemas virtuales.

Nombre de host

Especifique el nombre de host (recomendado) o la direccin IP


del respondedor OCSP. A partir de este valor, PAN-OS deriva
automticamente una URL y la aade al certificado que se
est verificando. Si configura el propio cortafuegos como
respondedor OCSP, el nombre de host debe resolverse en una
direccin IP de la interfaz que utiliza el cortafuegos para servicios
de OCSP.

Cifrado de claves privadas y contraseas del cortafuegos


Dispositivo > Clave maestra y diagnstico
Panorama > Clave maestra y diagnstico
Utilice la pgina Clave maestra y diagnstico para especificar una clave maestra para cifrar
las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). La clave
maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar
el acceso a la CLI), la clave privada utilizada para autenticar el acceso a la interfaz web del
dispositivo y cualquier otra clave cargada en el dispositivo. Como la clave maestra se utiliza
para cifrar el resto de claves, asegrese de almacenarla en un lugar seguro.
Incluso aunque no se especifique una clave maestra nueva, las claves privadas siempre se
almacenan de forma cifrada en el dispositivo, de forma predeterminada. Esta opcin de clave
maestra ofrece una capa aadida de seguridad.
Si los dispositivos tienen una configuracin de alta disponibilidad (HA), asegrese de utilizar
la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los
certificados se cifran con la misma clave. Si las claves maestras son diferentes, la sincronizacin
de la configuracin de HA no funcionar correctamente.
Para aadir una clave maestra, haga clic en el botn de edicin en la seccin Clave maestra y
utilice la siguiente tabla para introducir los valores:

Tabla 53. Configuracin de clave maestra y diagnstico


Campo

Descripcin

Clave maestra actual

Especifique la clave que se utiliza actualmente para cifrar todas las claves
privadas y contraseas del dispositivo.

Nueva clave principal

Para cambiar la clave maestra, introduzca una cadena de 16 caracteres y


confirme la nueva clave.

Confirmar clave maestra

112 Gestin de dispositivos

Palo Alto Networks

Tabla 53. Configuracin de clave maestra y diagnstico (Continuacin)


Campo

Descripcin

Duracin

Especifique el nmero de das y horas tras el cual vence la clave maestra


(rango: 1-730 das).
Deber actualizar la clave maestra antes de su vencimiento. Para obtener
informacin sobre cmo actualizar claves maestras, consulte Habilitacin
de HA en el cortafuegos.

Tiempo para el
recordatorio

Especifique el nmero de das y horas antes del vencimiento, en cuyo


momento se notificar al usuario del vencimiento inminente (rango:
1-365 das).

Almacenado en HSM

Marque esta casilla si la clave maestra se cifra en un mdulo de seguridad


de hardware (HSM). No puede utilizar HSM en una interfaz dinmica
como un cliente DHCP o PPPoE.
La configuracin HSM no est sincronizada entre dispositivos de peer
en modo de alta disponibilidad. Por lo tanto, cada peer del par de HA
se puede conectar a un origen HSM diferente. Si utiliza Panorama y
desea mantener sincronizada la configuracin en ambos peers, utilice
las plantillas de Panorama para configurar el origen de HSM en los
cortafuegos gestionados.
HSM no es compatible con los cortafuegos de las series PA-200, PA-500 y
PA-2000.

Criterios comunes

Palo Alto Networks

En el modo Criterios comunes, hay disponibles botones adicionales


para ejecutar una prueba automtica de algoritmos criptogrficos y una
prueba automtica de integridad del software. Tambin se incluye un
programador para especificar los momentos en los que se ejecutarn las
dos pruebas automticas.

Gestin de dispositivos 113

Habilitacin de HA en el cortafuegos
Dispositivo > Alta disponibilidad
Para redundancia, el cortafuegos se puede implementar en una configuracin activa/pasiva o
activa/pasiva de alta disponibilidad (HA). Cuando se configura en HA, los peers de HA se
reflejan entre s en la configuracin.
En un par de HA, ambos cortafuegos deben tener el mismo modelo, deben ejecutar la
misma versin de PAN-OS y deben tener el mismo conjunto de licencias.
Para cada seccin de la pgina Alta disponibilidad, haga clic en Editar en el encabezado y
especifique la informacin correspondiente descrita en la tabla siguiente.

Tabla 54. Configuracin de HA


Campo

Descripcin

Pestaa General
Configuracin

Especifique los siguientes ajustes:


Habilitar HA: Active las prestaciones de HA.
ID de grupo: Introduzca un nmero para identificar el par activo/pasivo
(de 1 a 63). Permite que varios pares de cortafuegos activos/pasivos
residan en la misma red. El ID debe ser exclusivo cuando hay ms de un
par de alta disponibilidad residiendo en una red de capa 2.
Descripcin: Introduzca una descripcin del par activo/pasivo (opcional).
Modo: Seleccione activo-activo o activo-pasivo.
Direccin IP de HA del peer: Introduzca la direccin IP de la interfaz de
HA1 que se especifica en la seccin Enlace de control del otro cortafuegos.
Crear copia de seguridad de la direccin IP de HA del peer: Introduzca la
direccin IP del enlace de control de copia de seguridad del peer.
Habilitar sincronizacin de configuracin: Sincronice la configuracin
entre peers.
Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los
cortafuegos activo y pasivo (cortafuegos con puertos de HA especficos).
Dplex de enlace: Seleccione una opcin de dplex para el enlace de datos
entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA
especficos).

114 Gestin de dispositivos

Palo Alto Networks

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin

Configuracin de
eleccin

Especifique o habilite los siguientes ajustes:


Prioridad de dispositivo: Introduzca un valor de prioridad para identificar
el cortafuegos activo. El cortafuegos con el valor ms bajo (alta prioridad)
se convierte en el cortafuegos activo (rango 0-255) cuando la funcin
Preferente est activada en ambos cortafuegos del par.
Copia de seguridad de heartbeat: Utiliza los puertos de gestin en los
dispositivos de HA para proporcionar una ruta de copia de seguridad para
mensajes de latidos y saludos. La direccin IP del puerto de gestin se
compartir con el peer de HA a travs del enlace de control HA1. No se
requiere ninguna configuracin adicional.
Preferente: Habilite el cortafuegos de mayor prioridad para reanudar el
funcionamiento activo tras recuperarse de un fallo. La opcin Preferencia
debe estar habilitada en ambos dispositivos para que el cortafuegos de
mayor prioridad reanude el funcionamiento activo tras recuperarse de un
fallo. Si este ajuste est desactivado, el cortafuegos de menor prioridad
permanecer activo incluso despus de que el cortafuegos de mayor
prioridad se recupere de un fallo.
Configuracin de temporizador de HA: Seleccione uno de los perfiles
preestablecidos:
Recomendada: Para configuracin de temporizador de conmutacin por
error tpica.
Agresivo: Para configuracin de temporizador de conmutacin por
error ms rpida.

Para ver el valor preestablecido para un temporizador concreto incluido


en un perfil, seleccione Avanzado y haga clic en Carga recomendada o
Carga intensiva. Los valores preestablecidos para su modelo de hardware
aparecern en la pantalla.
Avanzado: Le permite personalizar los valores para adaptarse a sus
requisitos de red para cada uno de los siguientes temporizadores:

Tiempo de espera de promocin: Introduzca el


tiempo que el dispositivo pasivo (en el modo activo/
pasivo) o el dispositivo secundario activo (en el
modo activo/activo) esperar antes de tomar el
control como dispositivo activo o principal activo
despus de perder las comunicaciones con el peer de
HA. Este tiempo de espera nicamente comenzar
despus de haber realizado una declaracin de fallo
de peer.
Intervalo de saludo: Introduzca el nmero de
milisegundos entre los paquetes de saludo enviados
para verificar que el programa de HA del otro
cortafuegos est operativo. El rango es de 8000-60000
ms con un valor predeterminado de 8000 ms para
todas las plataformas.
Intervalo de heartbeat: Especifique con qu
frecuencia los peers de HA intercambian mensajes
de latidos con la forma de un ping ICMP (rango:
1.000-60.000 ms; valor predeterminado: 1.000 ms).
Palo Alto Networks

Gestin de dispositivos 115

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin
N. mximo de flaps: Se cuenta un flap cuando
el cortafuegos deja el estado activo antes de que
transcurran 15 minutos desde la ltima vez que dej
el estado activo. Puede especificar el nmero mximo
de flaps permitidos antes de que se determine
suspender el cortafuegos y que el cortafuegos pasivo
tome el control (rango: 0-16; valor predeterminado:
3). El valor 0 significa que no hay mximo (se necesita
un nmero infinito de flaps antes de que el
cortafuegos pasivo tome el control).
Tiempo de espera para ser preferente: Introduzca el
tiempo que un dispositivo secundario pasivo o activo
esperar antes de tomar el control como dispositivo
activo o principal activo (rango: 1-60 min.; valor
predeterminado: 1 min.).
Tiempo de espera ascendente tras fallo de
supervisor (ms): Especifique el intervalo durante
el cual el cortafuegos permanecer activo tras un
fallo de supervisor de ruta o supervisor de enlace.
Se recomienda este ajuste para evitar una
conmutacin por error de HA debido a los flaps
ocasionales de los dispositivos vecinos (rango:
0-60.000 ms; valor predeterminado: 0 ms).
Tiempo de espera ascendente principal adicional
(min.): Este intervalo de tiempo se aplica al
mismo evento que Supervisar fallo de tiempo
de espera ascendente (rango: 0-60.000 ms; valor
predeterminado: 500 ms). El intervalo de tiempo
adicional nicamente se aplica al dispositivo activo
en el modo activo/pasivo y al dispositivo principal
activo en el modo activo/activo. Se recomienda este
temporizador para evitar una conmutacin por error
cuando ambos dispositivos experimentan el mismo
fallo de supervisor de enlace/ruta simultneamente.

116 Gestin de dispositivos

Palo Alto Networks

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin

Enlace de control
(HA1)/Enlace de
control (copia de
seguridad de HA1)

La configuracin recomendada para la conexin del enlace de control de HA


es utilizar el enlace HA1 especfico entre los dos dispositivos y utilizar el
puerto de gestin como interfaz de enlace de control (copia de seguridad de
HA). En este caso, no necesita habilitar la opcin Copia de seguridad de
heartbeat en la pgina Configuracin de eleccin. Si est utilizando un puerto
HA1 fsico para el enlace de HA de enlace de control y un puerto de datos
para el enlace de control (copia de seguridad de HA), se recomienda habilitar
la opcin Copia de seguridad de heartbeat.
En el caso de dispositivos que no tienen un puerto de HA especfico, como el
PA-200, debe configurar el puerto de gestin para la conexin de HA del
enlace de control y una interfaz de puerto de datos configurada con el tipo
HA para la conexin de copia de seguridad de HA1 del enlace de control.
Como en este caso se est utilizando el puerto de gestin, no es necesario
habilitar la opcin Copia de seguridad de heartbeat en la pgina Configuracin de eleccin porque las copias de seguridad de latidos ya se realizarn
a travs de la conexin de interfaz de gestin.

Al utilizar un puerto de datos para el enlace de control de HA, debe tener en


cuenta que, dado que los mensajes de control tienen que comunicarse desde
el plano de datos hasta el plano de gestin, si se produce un fallo en el plano
de datos, la informacin del enlace de control de HA no podr comunicarse
entre los dispositivos y se producir una conmutacin por error. Lo mejor
es utilizar los puertos de HA especficos o, en dispositivos que no tengan
ningn puerto de HA especfico, el puerto de gestin.
Especifique los siguientes ajustes para los enlaces de control de HA principal
y de copia de seguridad:
Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y
de copia de seguridad. El ajuste de copia de seguridad es opcional.
Nota: El puerto de gestin tambin se puede utilizar como enlace de control.
Direccin IPv4/IPv6: Introduzca la direccin IPv4 o IPv6 de la interfaz
de HA1 para las interfaces de HA1 principal y de copia de seguridad.
El ajuste de copia de seguridad es opcional.
Mscara de red: Introduzca la mscara de red de la direccin IP (como
255.255.255.0) para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Puerta de enlace: Introduzca la direccin IP de la puerta de enlace
predeterminada para las interfaces de HA1 principal y de copia de
seguridad. El ajuste de copia de seguridad es opcional.
Velocidad de enlace (nicamente modelos con puertos de HA especficos): Seleccione la velocidad del enlace de control entre los cortafuegos
para el puerto de HA1 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los
cortafuegos para el puerto de HA1 especfico.
Cifrado habilitado: Habilite el cifrado despus de exportar la clave de HA
desde el peer de HA e importarla a este dispositivo. La clave de HA de este
dispositivo tambin debe exportarse desde este dispositivo e importarse
al peer de HA. Configure este ajuste para la interfaz de HA1 principal.
La importacin/exportacin de claves se realiza en la pgina Certificados.
Consulte Importacin, exportacin y generacin de certificados de
seguridad en la pgina 60.

Palo Alto Networks

Gestin de dispositivos 117

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin
Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo
(milisegundos) que el cortafuegos esperar antes de declarar un fallo de
peer debido a un fallo del enlace de control (1.000-60.000 ms; valor predeterminado: 3.000 ms). Esta opcin supervisa el estado del enlace fsico de
los puertos de HA1.

Enlace de datos
(HA2)

Especifique los siguientes ajustes para el enlace de datos principal y de copia


de seguridad:
Puerto: Seleccione el puerto de HA. Configure este ajuste para las interfaces
de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad
es opcional.
Direccin IP: Especifique la direccin IPv4 o IPv6 de la interfaz de HA para
las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia
de seguridad es opcional.
Mscara de red: Especifique la mscara de red de la interfaz de HA para las
interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de
seguridad es opcional.
Puerta de enlace: Especifique la puerta de enlace predeterminada de la
interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Si las direcciones IP de
HA2 de los cortafuegos del par de HA estn en la misma subred, el campo
Puerta de enlace debera quedarse en blanco.
Habilitar sincronizacin de sesin: Habilite la sincronizacin de la informacin de la sesin con el cortafuegos pasivo y seleccione una opcin de
transporte.
Transporte: Seleccione una de las siguientes opciones de transporte:
Ethernet: Utilice esta opcin cuando los cortafuegos estn conectados
opuesto con opuesto o a travs de un conmutador (Ethertype 0x7261).
IP: Utilice esta opcin cuando se requiera el transporte de capa 3
(nmero de protocolo IP: 99).
UDP: Utilice esta opcin para aprovechar el hecho de que la suma de
comprobacin se calcula sobre todo el paquete y no solamente el
encabezado, como en la opcin IP (puerto UDP 29281).
Velocidad de enlace (nicamente modelos con puertos de HA especficos): Seleccione la velocidad del enlace de control entre los cortafuegos
activo y pasivo para el puerto de HA2 especfico.
Dplex de enlace (nicamente modelos con puertos de HA especficos):
Seleccione una opcin de dplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 especfico.
Conexin persistente de HA2: Seleccione esta casilla de verificacin para
habilitar la supervisin del enlace de datos de HA2 entre los peers de HA.
Si se produce un fallo basado en el umbral establecido, se producir la
accin definida (log o ruta de datos divididos). La opcin est deshabilitada de manera predeterminada.
Puede configurar la opcin Conexin persistente de HA2 en ambos
dispositivos o solamente un dispositivo del par de HA. Si la opcin se
establece nicamente en un dispositivo, solamente ese dispositivo enviar
los mensajes de conexin persistente. Sin embargo, se notificar al otro
dispositivo si se produce un fallo y pasar al modo de ruta de datos
divididos si se selecciona esa accin.

118 Gestin de dispositivos

Palo Alto Networks

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin
Accin: Seleccione la accin que debe realizarse si fallan los mensajes de
supervisin basndose en el ajuste de umbral.

nicamente log: Seleccione esta opcin para generar


un mensaje del log Sistema de nivel crtico cuando se
produzca un fallo de HA2 basndose en el ajuste de
umbral. Si la ruta de HA2 se recupera, se generar un
log informativo.
En una configuracin activa/pasiva, debe utilizar
esta accin, ya que no es necesario dividir los datos
porque no hay ms de un dispositivo activo en un
momento concreto.
Ruta de datos divididos: Esta accin est diseada
para una configuracin de HA activa/activa. En una
configuracin activa/activa, si el administrador o un
fallo de supervisin deshabilita la sincronizacin de
sesiones, la propiedad de sesin y la configuracin de
sesin se establecern como el dispositivo local y las
nuevas sesiones se procesarn localmente durante
la sesin.
Umbral (ms): Tiempo durante el cual los mensajes
de conexin persistente han fallado antes de que se
haya activado una de las acciones anteriores (rango:
5.000-60.000 ms; valor predeterminado: 10.000 ms).
Nota: Cuando se configura un enlace de copia de seguridad de HA2, se producir
una conmutacin por error en el enlace de copia de seguridad si hay un fallo en el
enlace fsico. Con la opcin Conexin persistente de HA2 habilitada, la conmutacin
por error tambin se producir si fallan los mensajes de conexin persistente de HA
basados en el umbral definido.

Palo Alto Networks

Gestin de dispositivos 119

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin

Pestaa Supervisin de enlaces y rutas


Supervisin de rutas

Especifique lo siguiente:
Habilitado: Habilite la supervisin de rutas. La supervisin de rutas
permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden.
Utilice la supervisin de rutas para configuraciones de Virtual Wire, capa 2
o capa 3 cuando se necesite la supervisin de otros dispositivos de red en
caso de conmutacin por error y la supervisin de enlaces no sea suficiente
por s sola.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de rutas supervisados presentan fallos
al responder.

Grupo de rutas

Defina uno o ms grupos de rutas para supervisar direcciones de destino


especficas. Para agregar un grupo de rutas, haga clic en Aadir para el tipo
de interfaz (Virtual Wire, VLAN o Enrutador virtual) y especifique lo
siguiente:
Nombre: Seleccione un cable virtual, VLAN o enrutador virtual en la lista
de seleccin desplegable (la seleccin desplegable se rellena dependiendo
de si aade un cable virtual, VLAN o ruta de enrutador virtual).
Habilitado: Habilite el grupo de rutas.
Condicin de fallo: Seleccione si se produce un fallo cuando alguna o
todas las direcciones de destino especificadas presentan fallos al responder.
IP de origen: En el caso de interfaces de Virtual Wire y de VLAN, introduzca la direccin IP de origen utilizada en los paquetes sonda enviados al
enrutador de siguiente salto (direccin IP de destino). El enrutador local
debe ser capaz de enrutar la direccin al cortafuegos. La direccin IP de
origen para grupos de rutas asociados a enrutadores virtuales se configurar automticamente como la direccin IP de interfaz que se indica en la
tabla de rutas como la interfaz de salida (egress) para la direccin IP de
destino especificada.
IP de destino: Introduzca una o ms direcciones de destino (separadas por
comas) que se supervisarn.
Intervalo de ping: Especifique el intervalo entre los pings que se envan a
la direccin de destino (rango: 200-60.000 milisegundos; valor predeterminado: 200 milisegundos).
Recuento de pings: Especifique el nmero de pings fallidos antes de
declarar un fallo (rango: 3-10 pings; valor predeterminado: 10 pings).

120 Gestin de dispositivos

Palo Alto Networks

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin

Supervisin de
enlaces

Especifique lo siguiente:
Habilitado: Habilite la supervisin de enlaces. La supervisin de enlaces
permite activar una conmutacin por error cuando falla un enlace fsico o
un grupo de enlaces fsicos.
Condicin de fallo: Seleccione si se produce una conmutacin por error
cuando alguno o todos los grupos de enlaces supervisados presentan fallos.

Grupos de enlaces

Defina uno o ms grupos de enlaces para supervisar enlaces Ethernet


especficos. Para aadir un grupo de enlaces, especifique los siguientes
ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre de grupo de enlaces.
Habilitado: Habilite el grupo de enlaces.
Condicin de fallo: Seleccione si se produce un fallo cuando alguno o
todos los enlaces seleccionados presentan fallos.
Interfaces: Seleccione una o ms interfaces Ethernet que se supervisarn.

Pestaa Activo Pasivo


Estado de los enlaces
en el pasivo

Seleccione una de las siguientes opciones:


Automtico: Hace que el estado de los enlaces refleje la conectividad
fsica, pero descarta todos los paquetes recibidos. Esta opcin permite
que el estado de los enlaces de la interfaz permanezca activo hasta que
se produzca una conmutacin por error, disminuyendo la cantidad de
tiempo que tarda el dispositivo pasivo en tomar el control.
Esta opcin es compatible con el modo de capa 2, capa 3 y Virtual Wire.
La opcin Automtico es conveniente si es viable para su red.
Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. Esta es
la opcin predeterminada, que garantiza que no se creen bucles en la red.

Supervisar fallo de
tiempo de espera
descendente

Especifique la cantidad de tiempo (minutos) que un cortafuegos pasar en el


estado no funcional antes de volverse pasivo. Este temporizador nicamente
se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de
enlace (rango: 1-60; valor predeterminado: 1).

Pestaa Configuracin Activa/Activa


Reenvo de paquetes

Palo Alto Networks

Seleccione la casilla de verificacin Habilitar para permitir el reenvo de


paquetes a travs del enlace de HA3. Esto es obligatorio para sesiones
enrutadas asimtricamente que requieren la inspeccin de capa 7 para
inspeccin de identificacin de aplicaciones y usuarios (App-ID y Content-ID).

Gestin de dispositivos 121

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin

Interfaz de HA3

Seleccione la interfaz para reenviar paquetes entre peers de HA cuando est


configurada en el modo activo/activo.

Cuando utilice la interfaz de HA3, debe activar las tramas gigantes (Jumbo
Frames) en el cortafuegos y en todos los dispositivos de red intermediarios.
Para habilitar las tramas gigantes (Jumbo Frames), seleccione Dispositivo >
Configuracin < Sesin y la opcin Habilitar trama gigante en la
seccin Configuracin de sesin.
Sincronizacin de VR

Fuerce la sincronizacin de todos los enrutadores virtuales configurados en


los dispositivos de HA.
La sincronizacin del enrutador virtual se puede utilizar cuando el enrutador
virtual no est empleando protocolos de enrutamiento dinmico. Ambos
dispositivos deben conectarse al mismo enrutador de siguiente salto a travs
de una red conmutada y deben utilizar nicamente rutas estticas.

Sincronizacin
de QoS

Sincronice la seleccin de perfil de QoS en todas las interfaces fsicas.


Utilice esta opcin cuando ambos dispositivos tengan velocidades de enlace
similares y requieran los mismos perfiles de QoS en todas las interfaces
fsicas. Este ajuste afecta a la sincronizacin de la configuracin de QoS en
la pestaa Red. La poltica de QoS se sincroniza independientemente de
este ajuste.

Tiempo de espera de
tentativa (seg.)

Cuando falla un cortafuegos en un estado activo/activo de HA, este entrar


en estado de tentativa. Este temporizador define la duracin que tendr en
ese estado. Durante el periodo de tentativa, el cortafuegos intentar crear
adyacencias de ruta y completar su tabla de ruta antes de procesar los
paquetes. Sin este temporizador, el cortafuegos de recuperacin entrara en
estado activo-secundario inmediatamente y bloqueara los paquetes, ya que
carecera de las rutas necesarias (de forma predeterminada, 60 segundos).

Seleccin de propietario de sesin

Especifique una de las siguientes opciones para seleccionar el propietario


de sesin:
Dispositivo principal: Seleccione esta opcin para que el cortafuegos
principal activo gestione la inspeccin de capa 7 para todas las sesiones.
Este ajuste se recomienda principalmente para operaciones de solucin de
problemas.
Primer paquete: Seleccione esta opcin para que el cortafuegos que reciba
el primer paquete de la sesin sea responsable de la inspeccin de la capa 7
de manera que admita identificacin de aplicaciones y usuarios (App-ID y
Content-ID). Esta es la configuracin recomendada para reducir al mnimo
el uso del enlace de reenvo de paquetes de HA3.

Configuracin de
sesin

Seleccione el mtodo para la configuracin de sesin inicial.


Mdulo de IP: Selecciona un cortafuegos basado en la paridad de la
direccin IP de origen.
Dispositivo principal: Garantiza que todas las sesiones se configuran en
el cortafuegos principal.
Hash de IP: Determina el cortafuegos de configuracin mediante un hash
de la direccin IP de origen o direccin IP de origen y destino y un valor de
inicializacin de hash si se desea una mayor aleatorizacin.

122 Gestin de dispositivos

Palo Alto Networks

Tabla 54. Configuracin de HA (Continuacin)


Campo

Descripcin

Direccin virtual

Haga clic en Aadir, seleccione la pestaa IPv4 o IPv6 y, a continuacin,


vuelva a hacer clic en Aadir para introducir opciones para una direccin
virtual de HA que utilizar el clster activo/activo de HA. Puede seleccionar
el tipo de direccin virtual para que sea Flotante o Uso compartido de carga
de ARP. Tambin puede mezclar los tipos de direcciones virtuales del
clster: por ejemplo, puede utilizar el uso compartido de carga de ARP en
la interfaz de LAN y una IP flotante en la interfaz de WAN.
Flotante: Introduzca una direccin IP que se desplazar entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. Debe configurar
dos direcciones IP flotantes en la interfaz, de modo que cada cortafuegos
posea una y, a continuacin, establezca la prioridad. Si falla alguno de los
cortafuegos, la direccin IP flotante pasar al peer de HA.
Prioridad de dispositivo 0: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. El dispositivo con el valor
ms bajo tendr la prioridad.
Prioridad de dispositivo 1: Establezca la prioridad para determinar qu
dispositivo poseer la direccin IP flotante. El dispositivo con el valor
ms bajo tendr la prioridad.
Direccin de conmutacin por error si el estado de enlace no est
operativo: Utilice la direccin de conmutacin por error cuando el
estado del enlace est desactivado en la interfaz.
Uso compartido de carga de ARP: Introduzca una direccin IP que
compartir el par de HA y proporcionar servicios de puerta de enlace para
hosts. Esta opcin nicamente debera utilizarse cuando el cortafuegos y
los host se encuentren en el mismo dominio de difusin. Seleccione
Algoritmo de seleccin de dispositivo:
Mdulo de IP: Si se selecciona esta opcin, el cortafuegos que responda
a las solicitudes de ARP se seleccionar basndose en la paridad de la
direccin IP de los solicitantes de ARP.
Hash de IP: Si se selecciona esta opcin, el cortafuegos que responda a
las solicitudes de ARP se seleccionar basndose en un hash de la
direccin IP de los solicitantes de ARP.

Comandos de operacin
Suspender
dispositivo local
Cambia a Make local
device functional

Hace que el dispositivo de HA entre en el modo de suspensin y deshabilita


temporalmente las prestaciones de HA en el cortafuegos. Si suspende el
cortafuegos activo actual, el otro peer tomar el control.

Para volver a poner un dispositivo suspendido en un estado


funcional, CLI
Para probar la conmutacin por error, puede desconectar el cable del
dispositivo activo (o activo-principal) o puede hacer clic en este enlace para
suspender el dispositivo activo.

Aspectos importantes que hay que tener en cuenta al configurar la HA

La subred utilizada para la IP local y del peer no debe utilizarse en ningn otro lugar del
enrutador virtual.

Las versiones del sistema operativo y del contenido deben ser las mismas en cada
dispositivo. Una falta de coincidencia puede impedir que los dispositivos del par se
sincronicen.

Palo Alto Networks

Gestin de dispositivos 123

Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color
mbar en el cortafuegos pasivo.

Puede comparar la configuracin de los cortafuegos local y peer mediante la herramienta


Auditora de configuraciones de la pestaa Dispositivo, seleccionando la configuracin
local deseada en el cuadro de seleccin de la izquierda y la configuracin del peer en el
cuadro de seleccin de la derecha.

Sincronice los cortafuegos desde la interfaz web pulsando el botn Introducir


configuracin ubicado en el widget de HA en la pestaa Panel. Tenga en cuenta que
la configuracin del dispositivo desde el que introducir la configuracin sobrescribir
la configuracin del dispositivo del peer. Para sincronizar los cortafuegos desde la CLI
del dispositivo activo, utilice el comando request high-availability sync-toremote running-config.

En una configuracin activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de
SFP+ de 10 gigabits, cuando se produce una conmutacin por error y el dispositivo activo cambia a un
estado pasivo, el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el
puerto, pero no permite la transmisin hasta que el dispositivo vuelve a activarse. Si cuenta con un
software de supervisin en el dispositivo vecino, este ver el puerto como flap debido a su desactivacin
y posterior activacin. Este comportamiento es distinto al otros puertos, como el puerto Ethernet de 1
gigabit. Aunque se desactive, este puerto sigue permitiendo la transmisin, por lo que el dispositivo
vecino no detecta ningn flap.

HA Lite
Los cortafuegos de las series PA-200 y VM admiten una versin lite de la HA activa/pasiva
que no incluye ninguna sincronizacin de sesiones. HA Lite permite la sincronizacin de la
configuracin y la sincronizacin de algunos elementos de tiempo de ejecucin. Tambin
admite la conmutacin por error de tneles de IPSec (las sesiones deben volver a establecerse),
informacin de concesin de servidor DHCP, informacin de concesin de cliente DHCP,
informacin de concesin de PPPoE y la tabla de reenvo del cortafuegos cuando est
configurado en el modo de capa 3.

Definicin de sistemas virtuales


Dispositivo > Sistemas virtuales
Los sistemas virtuales son instancias de cortafuegos independientes (virtuales) que se
pueden gestionar de forma separada dentro de un cortafuegos fsico. Todos los sistemas
virtuales pueden ser cortafuegos independientes con su propia poltica de seguridad,
interfaces y administradores; un sistema virtual le permite segmentar la administracin de
todas las polticas (de seguridad, NAT, QoS, etc.), as como todas las funciones de creacin de
informes y visibilidad proporcionadas por el cortafuegos. Por ejemplo, si desea personalizar
las caractersticas de seguridad para el trfico asociado al departamento financiero, puede
definir un sistema virtual financiero y, a continuacin, definir polticas de seguridad que
pertenezcan nicamente a ese departamento. Para optimizar la administracin de polticas,
puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de
red, y crear a su vez cuentas de administrador de sistema virtual que permitan el acceso a
sistemas virtuales individuales. Esto permite al administrador de sistemas virtuales del
departamento financiero gestionar las polticas de seguridad nicamente de dicho
departamento.

124 Gestin de dispositivos

Palo Alto Networks

Las funciones de red que incluyen rutas dinmicas y estticas pertenecen a todo el cortafuegos
(y a todos los sistemas virtuales en l); las funciones de nivel de red y de dispositivo no las
controlan los sistemas virtuales. Para cada sistema virtual puede especificar un conjunto
de interfaces de cortafuegos fsicas y lgicas (incluidas VLAN y Virtual Wire) y zonas de
seguridad. Si necesita segmentacin de rutas para cada sistema virtual, debe crear/asignar
enrutadores virtuales adicionales y asignar interfaces, VLAN, Virtual Wire, segn corresponda. De forma predeterminada, todas las interfaces, zonas y polticas pertenecen al sistema
virtual predeterminado (vsys1).
Los cortafuegos de las series PA-4000 y PA-5000 admiten varios sistemas virtuales. Los cortafuegos
de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia
adecuada. Los cortafuegos PA-500 y PA-200 no admiten sistemas virtuales.
Cuando habilite varios sistemas virtuales, tenga en cuenta lo siguiente:

Un administrador de sistemas virtuales crea y administra todos los elementos necesarios


para las polticas.

Las zonas son objetos dentro de sistemas virtuales. Antes de definir una poltica o un
objeto de las polticas, seleccione el sistema virtual en la lista desplegable Sistema virtual
de la pestaa Polticas u Objetos.

Los destinos de logs remotos (SNMP, Syslog y correo electrnico), as como aplicaciones,
servicios y perfiles, pueden compartirse entre todos los sistemas virtuales o limitarse a un
sistema virtual seleccionado.

Antes de definir los sistemas virtuales, debe habilitar la funcin para admitir varios sistemas
virtuales en el cortafuegos.
Para habilitar la funcin de varios sistemas virtuales, en la pgina Dispositivo > Configuracin > Gestin, haga clic en el enlace Editar de la seccin Configuracin general y seleccione la casilla de verificacin Capacidad de cortafuegos virtuales. Esto aadir el enlace
Sistemas virtuales al men lateral.

Palo Alto Networks

Gestin de dispositivos 125

Ahora podr abrir la pestaa Sistemas virtuales, hacer clic en Aadir y especificar la
informacin siguiente.

Tabla 55. Configuracin de sistemas virtuales


Campo

Descripcin

ID

Introduzca un identificador que sea un nmero entero para el sistema


virtual. Consulte la hoja de datos de su modelo de cortafuegos para
obtener informacin sobre el nmero de sistemas virtuales admitidos.

Nombre

Introduzca un nombre (de hasta 31 caracteres) para identificar el sistema


virtual. El nombre hace distincin entre maysculas y minsculas y debe
ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.

Pestaa General

Seleccione un perfil de proxy de DNS en la lista desplegable si desea


aplicar reglas de proxy de DNS a esta interfaz. Consulte Proxy DNS.
Para incluir objetos de un tipo especial, seleccione la casilla de
verificacin de ese tipo (Interfaz, VLAN, Virtual Wire, Enrutador virtual
o Sistema virtual visible). Haga clic en Aadir y seleccione un elemento
de la lista desplegable. Puede aadir uno o ms objetos de cualquier tipo.
Para eliminar un objeto, seleccinelo y haga clic en Eliminar.

Pestaa Recurso

Introduzca los siguientes ajustes:


Lmite de sesiones: Nmero mximo de sesiones permitido para
este sistema virtual.
Reglas de seguridad: Nmero mximo de reglas de seguridad
permitido para este sistema virtual.
Reglas de NAT: Nmero mximo de reglas de NAT permitido para
este sistema virtual.
Reglas de descifrado: Nmero mximo de reglas de descifrado
permitido para este sistema virtual.
Reglas de QoS: Nmero mximo de reglas de QoS permitido para
este sistema virtual.
Reglas de application override: Nmero mximo de reglas de
application override permitido para este sistema virtual.
Reglas de PBF: Nmero mximo de reglas de reenvo basado en
polticas (PBF) permitido para este sistema virtual.
Reglas de portal cautivo: Nmero mximo de reglas de portal cautivo
permitido para este sistema virtual.
Reglas de denegacin de servicio: Nmero mximo de reglas de
denegacin de servicio permitido para este sistema virtual.
Tneles VPN de sitio a sitio: Nmero mximo de tneles de VPN de
sitio a sitio permitido para este sistema virtual.
Usuarios del modo de tnel de GlobalProtect simultneos: Nmero
mximo de usuarios de GlobalProtect remotos simultneos permitido
para este sistema virtual.

126 Gestin de dispositivos

Palo Alto Networks

Configuracin de puertas de enlace compartidas


Dispositivo > Puertas de enlace compartidas
Las puertas de enlace compartidas permiten a los sistemas virtuales mltiples compartir una
nica comunicacin externa (tradicionalmente conectada a una red ascendente comn como
un proveedor de servicios de Internet). El resto de sistemas virtuales se comunican con el
mundo exterior a travs de la interfaz fsica mediante una nica direccin IP. Se utiliza un
nico enrutador virtual para enrutar el trfico de todos los sistemas virtuales a travs de la
puerta de enlace compartida.
Las puertas de enlace compartidas utilizan interfaces de capa 3 y, como mnimo, una interfaz
de capa 3 debe configurarse como puerta de enlace compartida. Las comunicaciones que se
originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace
compartida requieren una poltica similar para las comunicaciones que pasan entre dos
sistemas virtuales. Puede configurar una zona Vsys externa para definir las reglas de
seguridad en el sistema virtual.

Tabla 56. Configuracin de puertas de enlace compartidas


Campo

Descripcin

ID

Identificador de la puerta de enlace (no utilizado por el cortafuegos).

Nombre

Introduzca un nombre para la puerta de enlace compartida (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos. Solo se requiere el nombre.

Proxy DNS

(Optativo) Si hay un proxy DNS configurado, seleccione qu servidores


DNS se deben utilizar para las consultas de nombre de dominio.

Interfaces

Seleccione casillas de verificacin para las interfaces que utilizar la


puerta de enlace compartida.

Palo Alto Networks

Gestin de dispositivos 127

Definicin de pginas de respuesta personalizadas


Dispositivo > Pginas de respuesta
Las pginas de respuesta personalizadas son las pginas web que se muestran cuando un
usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado
que se descargar y mostrar en lugar del archivo o la pgina web que ha solicitado.
Cada sistema virtual puede tener sus propias pginas de respuesta personalizadas.
La siguiente tabla describe los tipos de pginas de respuesta personalizadas que admiten
mensajes del cliente.
Consulte Apndice A, Pginas personalizadas para obtener ejemplos de las
pginas de respuesta predeterminadas.

Tabla 57. Tipos de pginas de respuesta personalizadas


Tipo de pgina

Descripcin

Antivirus Pgina de bloqueo

Acceso bloqueado debido a una infeccin por virus.

Aplicacin Pgina de bloqueo

Acceso bloqueado debido a que la aplicacin est bloqueada por


una poltica de seguridad.

Confort de portal cautivo


Pgina

Pgina para que los usuarios verifiquen su nombre de usuario y


contrasea para mquinas que no formen parte del dominio.

Opcin continua de bloqueo


de archivo Pgina

Pgina para que los usuarios confirmen que la descarga debe


continuar. Esta opcin nicamente est disponible si las
prestaciones de opcin continua estn habilitadas en el perfil de
seguridad. Consulte Perfiles de bloqueo de archivo.

Bloqueo de archivo Pgina


de bloqueo

Acceso bloqueado debido a que el acceso al archivo est bloqueado.

Ayuda de portal de
GlobalProtect Pgina

Pgina de ayuda personalizada para usuarios de GlobalProtect


(accesible desde el portal).

Inicio de sesin de portal de


GlobalProtect Pgina

Pgina para los usuarios que intenten acceder al portal de


GlobalProtect.

Pgina de bienvenida de
GlobalProtect

Pgina de bienvenida para los usuarios que intenten iniciar sesin


en el portal de GlobalProtect.

Pgina de notificacin de
errores de certificado SSL

Notificacin de que un certificado SSL se ha revocado.

Pgina de exclusin de
descifrado de SSL

Pgina de advertencia para el usuario que indica que esta sesin


se inspeccionar.

Pgina de bloque de URL

Acceso bloqueado por un perfil de filtrado de URL o porque la


categora de URL est bloqueada por una poltica de seguridad.

128 Gestin de dispositivos

Palo Alto Networks

Tabla 57. Tipos de pginas de respuesta personalizadas (Continuacin)


Tipo de pgina

Descripcin

Pgina de continuacin y
cancelacin de filtrado
de URL

Pgina con poltica de bloqueo inicial que permite que los usuarios
deriven el bloqueo. Por ejemplo, un usuario que piense que la
pgina se bloque de manera inadecuada puede hacer clic en el
botn Continuar para ir a la pgina.
Con la pgina de cancelacin, el usuario necesita una contrasea
para cancelar la poltica que bloquea esta URL. Consulte la seccin
Cancelacin de administrador de URL de la Tabla 1 para obtener
instrucciones sobre cmo configurar la contrasea de cancelacin.

Pgina de bloqueo de
aplicacin de bsqueda
segura de filtro de URL

Acceso bloqueado por una poltica de seguridad con un perfil


de filtrado de URL que tiene habilitada la opcin Forzaje de
bsquedas seguras.
El usuario ver esta pgina si se realiza una bsqueda con Bing,
Google, Yahoo, Yandex o YouTube y la configuracin de cuenta
de su explorador o motor de bsqueda no est establecida como
estricta. La pgina de bloque pedir al usuario que establezca la
configuracin de bsqueda segura como estricta.

Puede realizar cualquiera de las siguientes funciones bajo Pginas de respuesta:

Para importar una pgina de respuesta HTML personalizada, haga clic en el enlace del
tipo de pgina que desee cambiar y, a continuacin, haga clic en Importar o Exportar.
Explore para ubicar la pgina. Se mostrar un mensaje para indicar si la importacin se
ha realizado con xito. Para que la importacin tenga xito, el archivo debe estar en
formato HTML.

Para exportar una pgina de respuesta HTML personalizada, haga clic en el enlace
Exportar del tipo de pgina. Seleccione si abrir el archivo o guardarlo en el disco y
seleccione la casilla de verificacin si desea continuar utilizando la misma opcin.

Para habilitar o deshabilitar la pgina Bloqueo de aplicacin o las pginas Exclusin


de descifrado de SSL, haga clic en el enlace Habilitar del tipo de pgina. Seleccione o
cancele la seleccin de la casilla de verificacin Habilitar.

Para usar la pgina de respuesta predeterminada de una pgina personalizada cargada


anteriormente, elimine la pgina de bloqueo personalizada y realice una compilacin.
Esto establecer la pgina de bloqueo predeterminada como la nueva pgina activa.

Palo Alto Networks

Gestin de dispositivos 129

Visualizacin de informacin de asistencia tcnica


Dispositivo > Asistencia tcnica
Panorama > Asistencia tcnica
La pgina de asistencia le permite acceder a las opciones relacionadas. Puede ver la informacin de contacto de Palo Alto Networks, la fecha de vencimiento y alertas de producto y
seguridad de Palo Alto Networks, segn el nmero de serie de su dispositivo (cortafuegos o
dispositivo de Panorama).
Realice cualquiera de las siguientes funciones en esta pgina:

Asistencia tcnica: Utilice esta seccin para ver la informacin de contacto de la asistencia
tcnica de Palo Alto Networks, el estado de la asistencia tcnica del dispositivo o activar
su contrato usando un cdigo de autorizacin.

Alertas de produccin/Alertas de aplicacin y amenazas: Estas alertas se recuperarn


desde los servidores de actualizacin de Palo Alto Networks cuando se acceda a esta
pgina o se actualice. Para ver los detalles de las alertas de produccin o las alertas de
aplicacin y amenazas, haga clic en el nombre de la alerta. Las alertas de produccin se
publicarn si hay una recuperacin a gran escala o un problema urgente relacionado
con una determinada publicacin. Se publicarn alertas de aplicacin y amenazas si se
descubren alertas de importancia.

Enlaces: Esta seccin proporciona un enlace a la pgina de inicio de asistencia tcnica,


donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el
inicio de sesin de asistencia tcnica.

Archivo de asistencia tcnica: Utilice el enlace Generar archivo de asistencia tcnica


para generar un archivo del sistema que pueda utilizar el grupo de asistencia tcnica para
facilitar la resolucin de los problemas que pudiera estar experimentando el dispositivo.
Despus de generar el archivo, haga clic en Descargar archivo de asistencia tcnica para
recuperarlo y, a continuacin, envelo al departamento de asistencia tcnica de Palo Alto
Networks.

Archivo de volcado de estadsticas: Utilice el enlace Generar archivo de volcado de


estadsticas para generar un conjunto de informes de XML que resuma el trfico de
red en los ltimos 7 das. Una vez generado el informe, haga clic en el enlace Descargar
archivo de volcado de estadsticas para recuperar el informe. El ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un
informe de riesgos y visibilidad de la aplicacin (Informe AVR). El AVR resalta lo que se
ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden
existir. Tradicionalmente se utiliza como parte del proceso de evaluacin. Para obtener
ms informacin sobre el informe AVR, pngase en contacto con el ingeniero de sistemas
de Palo Alto Networks o de un socio autorizado.

130 Gestin de dispositivos

Palo Alto Networks

Captulo 4

Configuracin de red

Definicin de cables virtuales (Virtual Wire)

Configuracin de la interfaz de un cortafuegos

Configuracin de un enrutador virtual

Compatibilidad de VLAN

Servidor y retransmisin DHCP

Proxy DNS

Definicin de perfiles de gestin de interfaz

Definicin de perfiles de supervisin

Definicin de perfiles de proteccin de zonas

Definicin de cables virtuales (Virtual Wire)


Red > Cables virtuales
Utilice esta pgina para definir cables virtuales (Virtual Wire) despus de especificar dos
interfaces de cable virtual en el cortafuegos.

Tabla 58. Configuracin de cable virtual (Virtual Wire)


Campo

Descripcin

Nombre de cable virtual

Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31


caracteres). Este nombre aparece en la lista de cables virtuales cuando se
configuran interfaces. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Interfaces

Seleccione dos interfaces Ethernet de la lista de configuracin de cable


virtual. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de
cable virtual y no se han asignado a otro cable virtual.

Palo Alto Networks

Configuracin de red 131

Tabla 58. Configuracin de cable virtual (Virtual Wire) (Continuacin)


Campo

Descripcin

Tags permitidos

Introduzca el nmero de etiqueta (0 a 4094) o el intervalo de nmeros de


etiqueta (tag1-tag2) del trfico permitido en el cable virtual. Un valor de
cero indica trfico sin etiquetar (opcin predeterminada). Si especifica
varias etiquetas o intervalos, deben estar separados por comas. El trfico
que se excluye del valor de la etiqueta se descarta. Tenga en cuenta que
los valores de etiqueta no se cambian en los paquetes de entrada o
de salida.
Si utiliza subinterfaces de cable virtual, la lista Tags permitidos causar
que todo el trfico con las etiquetas de la lista se clasifique en el cable
virtual principal. Las subinterfaces de cable virtual deben utilizar
etiquetas que no existen en la lista principal Tags permitidos.

Cortafuegos de
multicast

Seleccione esta opcin si desea poder aplicar reglas de seguridad al trfico


de multicast. Si este ajuste no est activado, el trfico de multicast se
reenva por el cable virtual.

Envo del estado


del enlace

Seleccione esta casilla de verificacin si desea desactivar el otro puerto en


un cable virtual cuando se detecta un estado de enlace no operativo. Si no
selecciona esta casilla de verificacin, el estado del enlace no se propaga
por el cable virtual.

Configuracin de la interfaz de un cortafuegos


Red > Interfaces
Utilice esta pgina para configurar los puertos del cortafuegos. Estos puertos permiten que
el cortafuegos se conecte con otros dispositivos de red, as como a otros puertos dentro el
cortafuegos. Para configurar la interfaz de un cortafuegos, seleccione una de las siguientes
pestaas:

Pestaa Ethernet: Las interfaces configuradas en la pestaa Ethernet incluyen tap,


HA, tarjeta de log (solo cortafuegos PA-7050), reflejo de descrifrado (solo cortafuegos
de las series PA-7050, serie PA-5000 y serie PA-3000), cable virtual, capa 2 (interfaz y
subinterfaz), Capa 3 (interfaz y subinterfaz) y interfaz Ethernet. Consulte Configuracin
de una interfaz Ethernet.

Pestaa VLAN: Consulte Configuracin de una interfaz VLAN.

Pestaa loopback: Consulte Configuracin de una interfaz de loopback.

Pestaa Tnel: Consulte Configuracin de una interfaz de tnel.

Configuracin de una interfaz Ethernet


Red > Interfaces > Ethernet
Todas las configuraciones de la interfaz Ethernet tienen una configuracin bsica y pestaas
de configuracin adicionales. Para establecer la configuracin bsica para una interfaz de
Ethernet, haga clic en el nombre de la interfaz de la pestaa Ethernet y configure los
siguientes parmetros.

132 Configuracin de red

Palo Alto Networks

Tabla 59. Ajustes de interfaz bsica


Campo

Descripcin

Nombre de interfaz

Seleccione la interfaz de la lista desplegable. Puede modificar el nombre


si lo desea. En una interfaz de cable virtual (Virtual Wire), PAN-OS
rellena automticamente el nombre de la interfaz basndose en la interfaz
Ethernet seleccionada y no se puede editar.

Tipo de interfaz

Seleccione el tipo de interfaz:

Perfil de flujo de red

Capa 2
Capa 3
Puntear
Virtual Wire
Tarjeta de log (solo cortafuegos PA-7050)
Reflejo de descifrado (solo cortafuegos de las series PA-7050, PA-5000
y PA-3000)
Agregar Ethernet

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener ms
informacin, consulte Configuracin de ajustes de flujo de red.
Nota: Este campo no se aplica a la HA, la tarjeta de log, el reflejo de descifrado o
los tipos de la interfaz de Ethernet de agregacin. De igual forma, el cortafuegos
de la serie PA-4000 no admite esta funcin.

Comentarios

Introduzca una descripcin opcional de la interfaz.

Para configurar otras las pestaas de configuracin para una interfaz Ethernet, consulte lo
siguiente:

Configuracin de una interfaz Ethernet de capa 2

Configuracin de una interfaz Ethernet de capa 3

Configuracin de una subinterfaz Ethernet de capa 2

Configuracin de una subinterfaz Ethernet de capa 3

Configuracin de interfaces de cable virtual (Virtual Wire)

Configuracin de una interfaz de Tap

Configuracin de una interfaz de tarjeta de log

Configuracin de una interfaz de reflejo de descifrado

Configuracin de los grupos de interfaces de agregacin

Configuracin de una interfaz Ethernet de agregacin

Configuracin de una interfaz HA

Palo Alto Networks

Configuracin de red 133

Configuracin de una interfaz Ethernet de capa 2


Red > Interfaces > Ethernet
La configuracin de una interfaz Ethernet de capa 2 necesita la configuracin de los siguientes
ajustes en las pestaas Configurar y Avanzado:

Tabla 60. Configuracin de interfaz Ethernet de capa 2


Campo

Descripcin

Pestaa Configuracin
VLAN

Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.
Para permitir el intercambio entre las interfaces de la capa 2 o permitir
el enrutamiento a travs de una interfaz de VLAN, debe configurar un
objeto VLAN.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Pestaa Avanzada
Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado),


deshabilitado (Desactivado) o determinado automticamente (Auto).

Configuracin de una interfaz Ethernet de capa 3


Red > Interfaces > Ethernet
Para una interfaz Ethernet de capa 3, debe configurar los ajustes en las siguientes pestaas:

Configuracin (necesaria)

Avanzado (necesaria)

IPv4 (optativa)

IPv6 (optativa)

Pestaas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3


Adems de la configuracin de la interfaz Ethernet bsica, haga clic en el nombre de la
interfaz en la pestaa Ethernet y especifique la siguiente informacin en las pestaas
secundarias Configurar y Avanzado.

134 Configuracin de red

Palo Alto Networks

Tabla 61. Configuracin de interfaz de capa 3: Pestaas secundarias Configurar


y Avanzado
Campo

Descripcin

Pestaa Configuracin
Enrutador virtual

Seleccione un enrutador virtual o haga clic en Nuevo para definir un


nuevo enrutador virtual (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Pestaa Avanzada
Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado),


deshabilitado (Desactivado) o determinado automticamente (Auto).

Otra informacin

Perfil de gestin: seleccione un perfil que defina los protocolos


(por ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar
el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la
asignacin de perfil actual de la interfaz.
MTU: introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz
recibe un paquete que supera la MTU, el cortafuegos enva al origen
un mensaje de necesidad de fragmentacin del ICMP que indica que el
paquete es demasiado grande.
Ajustar TCP MSS: active esta casilla de verificacin si desea ajustar el
tamao de segmento mximo (MSS) en 40 bites menos que la MTU de la
interfaz. Esta configuracin est destinada a aquellas situaciones en las
que un tnel que atraviesa la red necesita un MSS de menor tamao.
Si un paquete no cabe en el MSS sin fragmentarse, este parmetro
permite ajustarlo.
Subinterfaz no etiquetada: Especifica que todas las interfaces que
pertenecen a esta interfaz de capa 3 no se etiqueten. PAN-OS selecciona
una subinterfaz sin etiquetar como la interfaz de entrada (ingress)
basada en el destino del paquete. Si el destino es la direccin IP de
una subinterfaz sin etiquetar, se asignar a la subinterfaz. Esto tambin
significa que un paquete que va en direccin inversa debe tener su
direccin de origen traducida a la direccin IP de la subinterfaz sin
etiquetar. Otra variable de esta forma de clasificacin es que todos los
paquetes de multicast y difusin se asignarn a la interfaz de base en
lugar de a cualquiera de las subinterfaces. Como OSPF utiliza multicast,
no es compatible con subinterfaces sin etiquetar.

Palo Alto Networks

Configuracin de red 135

Tabla 61. Configuracin de interfaz de capa 3: Pestaas secundarias Configurar


y Avanzado (Continuacin)
Campo

Descripcin

Entradas ARP/Interfaz

Para aadir una o ms entradas estticas del protocolo de resolucin de


direccin (ARP), haga clic en Aadir y, a continuacin, introduzca una
direccin IP y la direccin del hardware asociado (Media Access Control
o MAC). Para eliminar una entrada, seleccinela y haga clic en Eliminar.
Las entradas ARP estticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.

Entradas de ND

Para aadir un vecino para el descubrimiento, haga clic en Aadir y,


a continuacin, introduzca la direccin IP y MAC del vecino.

Pestaa secundaria IPv4 de la interfaz Ethernet de capa 3


Para configurar una interfaz Ethernet de capa 3 en una red IPv4, debe configurar los siguientes
ajustes en la pestaa secundaria IPv4:

Tabla 62. Configuracin de interfaz de capa 3: Pestaa secundaria IPv4


Campo/Pestaa
secundaria
Tipo

Descripcin
Seleccione un mtodo para definir la informacin de direccin IP:
Esttica: debe especificar manualmente la direccin IP.
PPPoE: el cortafuegos utilizar la interfaz para el protocolo punto a
punto sobre Ethernet (PPPoE).
Cliente DHCP: permite a la interfaz actual como cliente del protocolo
de configuracin de host dinmico (DHCP) y recibir una direccin IP
dinmicamente asignada.
Nota: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente PPPoE o DHCP.
Los otros campos que muestra la pestaa dependen de la seleccin del
tipo, como se describe ms abajo.

Esttico
IP (tabla de direccin)

Haga clic en Aadir y, a continuacin, realice uno de los siguientes pasos


para especificar una direccin IP y una mscara de red para la interfaz.
Introduzca la entrada en la notacin de enrutamiento entre dominios
sin clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
Seleccione un objeto de direccin existente de tipo mscara de red IP.
Seleccione Nuevo para crear un objeto de direccin de tipo mscara de
red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base de
informacin de reenvo (FIB) que utiliza su sistema determina el nmero
mximo de direcciones IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en
Eliminar.

136 Configuracin de red

Palo Alto Networks

Tabla 62. Configuracin de interfaz de capa 3: Pestaa secundaria IPv4 (Continuacin)


Campo/Pestaa
secundaria

Descripcin

PPPoE
General (pestaa
secundaria)

Habilitar: seleccione la casilla de verificacin para activar la interfaz


para terminacin PPPoE.
Nombre de usuario: Introduzca el nombre de usuario de la conexin
de punto a punto.
Contrasea/Confirmar contrasea: Introduzca y confirme la contrasea del nombre de usuario.
Mostrar informacin de tiempo de ejecucin de cliente PPPoE: de
forma opcional, haga clic en este enlace para abrir un cuadro de dilogo
que muestre los parmetros que el cortafuegos ha negociado con el
proveedor de servicios de Internet (ISP) para establecer una conexin.
La informacin especfica depende del ISP.

Avanzada (pestaa
secundaria)

Autenticacin: seleccione el protocolo de autenticacin para las


comunicaciones PPPoE: CHAP (Protocolo de autenticacin por desafo
mutuo), PAP (Protocolo de autenticacin de contrasea) o, de forma
predeterminada, Auto (el cortafuegos determina el protocolo). Si selecciona Ninguno, se elimina la asignacin del protocolo actual de la
interfaz.
Direccin esttica: realice uno de los siguientes pasos para especificar
la direccin IP que ha asignado el proveedor de servicios de Internet
(no predeterminado):
Introduzca la entrada en la notacin de enrutamiento entre dominios
sin clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
Seleccione un objeto de direccin existente de tipo mscara de red IP.
Seleccione Nuevo para crear un objeto de direccin de tipo mscara
de red IP.
Seleccione Ninguno para eliminar la asignacin de direccin actual
de la interfaz.
Crear automticamente ruta predeterminada que apunte al peer:
Seleccione la casilla de verificacin para que se cree automticamente
una ruta predefinida que apunte al peer PPPoE cuando se conecte.
Mtrica de ruta predeterminada: para la ruta entre el cortafuegos y
el proveedor de servicios de Internet, introduzca una mtrica de ruta
(nivel prioritario) que se asocie a la ruta predeterminada y que se
utilice para la seleccin de ruta (optativa, intervalo 1-65535). El nivel
de prioridad aumenta conforme disminuye el valor numrico.
Acceder a concentrador: de forma optativa, introduzca el nombre
del concentrador de acceso, en el proveedor de servicios de Internet,
al que se conecta el cortafuegos (no predeterminado).
Servicio: de forma optativa, introduzca la cadena de servicio
(no predeterminado).
Pasivo: Seleccione la casilla de verificacin para utilizar el modo
pasivo. En modo pasivo, un extremo PPPoE espera a que el concentrador de acceso enve la primera trama.

Cliente DHCP
Habilitar

Palo Alto Networks

Seleccione la casilla de verificacin para activar el cliente DHCP en la


interfaz.

Configuracin de red 137

Tabla 62. Configuracin de interfaz de capa 3: Pestaa secundaria IPv4 (Continuacin)


Campo/Pestaa
secundaria

Descripcin

Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor

Seleccione la casilla de verificacin para que se cree automticamente una


ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.

Mtrica de ruta
predeterminada

Para la ruta entre el cortafuegos y el servidor DHCP, introduzca de forma


optativa una mtrica de ruta (nivel prioritario) que se asocie a la ruta
predeterminada y que se utilice para la seleccin de ruta (intervalo
1-65535, no predeterminada). El nivel de prioridad aumenta conforme
disminuye el valor numrico.

Mostrar informacin de
tiempo de ejecucin de
cliente DHCP

Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesin de DHCP, la asignacin de IP
dinmica, la mscara de subred, la puerta de enlace, la configuracin del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).

Pestaa secundaria IPv6 de la interfaz Ethernet de capa 3


Para configurar una interfaz Ethernet de capa 3 en una red IPv6, debe configurar los siguientes
ajustes en la pestaa secundaria IPv6:

Tabla 63. Configuracin de interfaz de capa 3: Pestaa secundaria IPv6


Campo

Descripcin

Habilitar IPv6 en la
interfaz

Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en


esta interfaz.

ID de interfaz

Introduzca el identificador nico ampliado de 64 bits (EUI-64) en formato


hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo
en blanco, el cortafuegos utilizar el EUI-64 generado desde la direccin
MAC de la interfaz fsica. Si activa la opcin Usar ID de interfaz como
parte de host cuando se aade una direccin, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa direccin.

138 Configuracin de red

Palo Alto Networks

Tabla 63. Configuracin de interfaz de capa 3: Pestaa secundaria IPv6 (Continuacin)


Campo

Descripcin

Direccin

Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o seleccionar Nuevo para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la interfaz.
Usar ID de interfaz como parte de host: active esta casilla de verificacin para utilizar el ID de interfaz como parte de host de la direccin
IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin para
habilitar el anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la interfaz.) Si desea informacin sobre el RA, consulte
Seccin de anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual
o superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida, el
cortafuegos deja de poder utilizar la direccin para establecer nuevas
conexiones, pero cualquier conexin existente es vlida hasta que
caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.

Seccin Resolucin de direccin


Habilitar deteccin de
direcciones duplicadas

Active la casilla de verificacin para habilitar la deteccin de direccin


duplicada (DAD) y, a continuacin, configure los otros campos de esta
seccin.

Intentos DAD

Especifique el nmero de intentos DAD en el intervalo de solicitacin de


vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).

Tiempo alcanzable

Especifique la duracin (en segundos) que un vecino permanece


alcanzable despus de una consulta y respuesta correctas (intervalo:
1-36.000 segundos, predeterminado 30).

Intervalo NS (intervalo
de solicitacin de
vecinos)

Especifique el nmero de segundos de intentos DAD antes de indicar el


fallo (intervalo 1-10 segundos, predeterminado 1).

Palo Alto Networks

Configuracin de red 139

Tabla 63. Configuracin de interfaz de capa 3: Pestaa secundaria IPv6 (Continuacin)


Campo

Descripcin

Seccin de anuncio de enrutador


Habilitar anuncio de
enrutador

Para proporcionar la configuracin automtica de direcciones sin estado


(SLAAC) en interfaces IPv6, active la casilla de verificacin y configure
los otros campos de esta seccin. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta informacin.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estn configurados estticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuracin de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta funcin para proporcionar DNS y otros
ajustes a los clientes.
Esta opcin es un ajuste global de la interfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en Aadir en
la tabla de direcciones IP y configure la direccin (para obtener detalles,
consulte Direccin en esta tabla). Si establece las opciones de RA para
cualquier direccin IP, debe seleccionar la opcin Habilitar anuncio de
enrutador para la interfaz.

Mn. de intervalo
(segundos)

Especifique el intervalo mnimo (en segundos) entre los distintos RA


que el cortafuegos enviar (intervalo 3-1350, predeterminado 200).
El cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.

Mx. de intervalo
(segundos)

Especifique el intervalo mximo (en segundos) entre los distintos RA


que el cortafuegos enviar (intervalo 4-1800, predeterminado 600).
El cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.

Lmite de salto

Especifique el lmite de salto que se debe aplicar a los clientes en los


paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0
si no desea ningn lmite de salto.

MTU de enlace

Especifique la unidad mxima de transmisin (MTU) del enlace que


se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).

Tiempo alcanzable (ms)

Especifique el tiempo alcanzable (en milisegundos) que el cliente


utilizar para asumir que un vecino es alcanzable despus de recibir un
mensaje de confirmacin de esta condicin. Seleccione no especificado
si no desea establecer ningn valor de tiempo alcanzable (intervalo
0-3600000, predeterminado no especificado).

Tiempo de retransmisin
(ms)

Especifique el temporizador de retransmisin que determinar cunto


tiempo debe esperar el cliente (en milisegundos) antes de retransmitir
los mensajes de solicitacin de vecinos. Seleccione no especificado si
no desea ningn tiempo de retransmisin (intervalo 0-4294967295,
predeterminado no especificado).

Duracin de enrutador
(segundos)

Especifique la duracin (en segundos) que el cliente utilizar el


cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duracin, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.

140 Configuracin de red

Palo Alto Networks

Tabla 63. Configuracin de interfaz de capa 3: Pestaa secundaria IPv6 (Continuacin)


Campo

Descripcin

Preferencia de enrutador

Si el segmento de la red tiene mltiples enrutadores de IPv6, el cliente


utiliza este campo para seleccionar un enrutador preferido. Seleccione si
el RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relacin a otros enrutadores del segmento.

Configuracin
gestionada

Seleccione la casilla de verificacin para indicar al cliente que las


direcciones estn disponibles en DHCPv6.

Otras configuraciones

Seleccione la casilla de verificacin para indicar al cliente que hay


disponible otra informacin de direccin (por ejemplo, configuracin
relacionada con DNS) mediante DHCPv6.

Comprobacin de
coherencia

Seleccione la casilla de verificacin si desea que el cortafuegos verifique


que los RA enviados desde otros enrutadores estn publicando
informacin coherente en el enlace. El cortafuegos enva logs sobre
cualquier incoherencia.

Configuracin de una subinterfaz Ethernet


Red > Interfaces > Ethernet
Todas las configuraciones de la subinterfaz Ethernet tienen una configuracin bsica y
pestaas de configuracin adicionales. Para establecer la configuracin bsica para una
interfaz de Ethernet, haga clic en el enlace para la interfaz en la pestaa Ethernet y configure
los siguientes parmetros.

Tabla 64. Ajustes de interfaz bsica


Campo

Descripcin

Nombre de interfaz

Introduzca un nmero (1-9999) para identificar la subinterfaz.

Etiqueta

Introduzca la etiqueta VLAN (1-4094) para la subinterfaz.

Perfil de flujo de red

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener ms
informacin, consulte Configuracin de ajustes de flujo de red.
Nota: El cortafuegos de la serie PA-4000 no admite esta caracterstica.

Comentarios

Introduzca una descripcin optativa de la subinterfaz.

Para configurar otras pestaas para una interfaz Ethernet, consulte lo siguiente:

Configuracin de una subinterfaz Ethernet de capa 2

Configuracin de una subinterfaz Ethernet de capa 3

Configuracin de una subinterfaz Ethernet de capa 2


En todos los puertos Ethernet configurados como interfaz de capa 2 puede definir una interfaz
de capa 2 lgica adicional (subinterfaz) para cada etiqueta VLAN que se asigne al trfico que
reciba el puerto. Para configurar las interfaces de capa 2 principales, consulte Configuracin
de una interfaz Ethernet de capa 2. Para permitir el intercambio entre subinterfaces de capa 2,
asgneles el mismo objeto VLAN.

Palo Alto Networks

Configuracin de red 141

Para configurar una subinterfaz Ethernet de capa 2, establezca los ajustes de la Ethernet bsica
(consulte Configuracin de una subinterfaz Ethernet) y la siguiente informacin adicional.

Tabla 65. Configuracin de subinterfaz de capa 2


Campo

Descripcin

VLAN

Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona Ninguno,
se elimina la asignacin actual de VLAN de la interfaz. Para permitir el
intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a
travs de una interfaz de VLAN, debe configurar un objeto VLAN.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Configuracin de una subinterfaz Ethernet de capa 3


Red > Interfaces >Ethernet
Para una subinterfaz Ethernet de capa 3 debe configurar los ajustes Ethernet bsicos (consulte
Configuracin de una subinterfaz Ethernet) e informacin adicional en las siguientes
pestaas:

Configuracin (necesaria)

Avanzado (necesaria)

IPv4 (optativa)

IPv6 (optativa)

142 Configuracin de red

Palo Alto Networks

Pestaas secundarias Configurar y Avanzado de la interfaz Ethernet de capa 3


Tabla 66. Configuracin de subinterfaz de capa 3: Pestaas secundarias Configurar
y Avanzado
Campo

Descripcin

Pestaa Configuracin
Enrutador virtual

Seleccione un enrutador virtual o haga clic en Nuevo para definir un


nuevo enrutador virtual (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la subinterfaz.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la subinterfaz o haga clic en


Nuevo para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la subinterfaz.

Pestaa secundaria Avanzado


Otra informacin

Perfil de gestin: seleccione un perfil que defina los protocolos (por


ejemplo, SSH, Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno, se elimina la asignacin
de perfil actual de la interfaz.
MTU: introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz (576-1500, de forma predeterminada 1500). Si las mquinas de ambos extremos del cortafuegos
ejecutan un descubrimiento de MTU de ruta (PMTUD) y la subinterfaz
recibe un paquete que supera la MTU, el cortafuegos enva al origen
un mensaje de necesidad de fragmentacin del ICMP que indica que el
paquete es demasiado grande.
Ajustar TCP MSS: active esta casilla de verificacin si desea ajustar el
tamao de segmento mximo (MSS) en 40 bites menos que la MTU de
la subinterfaz. Esta configuracin est destinada a aquellas situaciones
en las que un tnel que atraviesa la red necesita un MSS de menor
tamao. Si un paquete no cabe en el MSS sin fragmentarse, este
parmetro permite ajustarlo.

Entradas de ARP

Para aadir una o ms entradas estticas del protocolo de resolucin de


direccin (ARP), haga clic en Aadir y, a continuacin, introduzca una
direccin IP y la direccin del hardware asociado (Media Access Control
o MAC). Para eliminar una entrada, seleccinela y haga clic en Eliminar.
Las entradas ARP estticas reducen el procesamiento ARP e impiden los
ataques de man in the middle de las direcciones especificadas.

Entradas de ND

Para aadir un vecino para el descubrimiento, haga clic en Aadir y,


a continuacin, introduzca la direccin IP y MAC del vecino.

Palo Alto Networks

Configuracin de red 143

Pestaa secundaria IPv4 de la interfaz Ethernet de capa 3


Para configurar una subinterfaz Ethernet de capa 3 en una red IPv4, debe configurar los
siguientes ajustes en la pestaa secundaria IPv4:

Tabla 67. Configuracin de subinterfaz de capa 3: Pestaa secundaria IPv4


Campo
Tipo

Descripcin
Seleccione un mtodo para definir la informacin de direccin IP:
Esttica: debe especificar manualmente la direccin IP.
Cliente DHCP: permite a la subinterfaz actual como cliente del protocolo de configuracin de host dinmico (DHCP) y recibir una direccin
IP dinmicamente asignada.
Nota: Los cortafuegos que estn en modo de alta disponibilidad (HA) activo/
activo no admiten el cliente DHCP.
Los otros campos que muestra la pestaa dependen de la seleccin del
tipo, como se describe ms abajo.

Esttico
IP (tabla de direccin)

Haga clic en Aadir y, a continuacin, realice uno de los siguientes


pasos para especificar una direccin IP y una mscara de red para la
subinterfaz.
Introduzca la entrada en la notacin de enrutamiento entre dominios
sin clases (CIDR): direccin_ip/mscara (por ejemplo, 192.168.2.0/24
para IPv4 o 2001:db8::/32 para IPv6).
Seleccione un objeto de direccin existente de tipo mscara de red IP.
Seleccione Nuevo para crear un objeto de direccin de tipo mscara de
red IP.
Puede introducir mltiples direcciones IP para la interfaz. La base de
informacin de reenvo (FIB) que utiliza su sistema determina el nmero
mximo de direcciones IP.
Para eliminar una direccin IP, seleccione la direccin y haga clic en
Eliminar.

Cliente DHCP
Habilitar

Seleccione la casilla de verificacin para activar el cliente DHCP en la


subinterfaz.

Crear automticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor

Seleccione la casilla de verificacin para que se cree automticamente una


ruta predefinida que apunte a la puerta de enlace predeterminada por el
servidor DHCP.

Mtrica de ruta
predeterminada

Para la ruta entre el cortafuegos y el servidor DHCP, introduzca una


mtrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada
y que se utilice para la seleccin de ruta (intervalo 1-65535, optativa).
El nivel de prioridad aumenta conforme disminuye el valor numrico.

Mostrar informacin de
tiempo de ejecucin de
cliente DHCP

Haga clic para mostrar todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesin de DHCP, la asignacin de IP
dinmica, la mscara de subred, la puerta de enlace, la configuracin del
servidor (DNS, NTP, dominio, WINS, NIS, POP3 y SMTP).

144 Configuracin de red

Palo Alto Networks

Pestaa secundaria IPv6 de la subinterfaz Ethernet de capa 3


Para configurar una subinterfaz Ethernet de capa 3 en una red IPv6, debe configurar los
siguientes ajustes en la pestaa secundaria IPv6:

Tabla 68. Configuracin de subinterfaz de capa 3: Pestaa IPv6


Campo

Descripcin

Habilitar IPv6 en la
interfaz

Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en


esta subinterfaz.

ID de interfaz

Introduzca el identificador nico ampliado de 64 bits (EUI-64) en formato


hexadecimal (por ejemplo, 00:26:08:FF:FE:DE:4E:29). Si deja este campo
en blanco, el cortafuegos utilizar el EUI-64 generado desde la direccin
MAC de la interfaz fsica. Si activa la opcin Usar ID de interfaz como
parte de host cuando se aade una direccin, el cortafuegos utiliza el ID
de interfaz como la parte de host de esa direccin.

Palo Alto Networks

Configuracin de red 145

Tabla 68. Configuracin de subinterfaz de capa 3: Pestaa IPv6 (Continuacin)


Campo

Descripcin

Direccin

Haga clic en Aadir y configure los siguientes parmetros para cada una
de las direcciones IPv6:
Direccin: introduzca una direccin IPv6 y la longitud del prefijo (p. ej.
2001:400:f00::1/64). Tambin puede seleccionar un objeto de direccin
IPv6 existente o seleccionar Nuevo para crear un objeto de direccin.
Habilitar direccin en interfaz: active esta casilla de verificacin para
habilitar la direccin IPv6 en la subinterfaz.
Usar ID de interfaz como parte de host: active esta casilla de verificacin para utilizar el ID de interfaz como parte de host de la direccin
IPv6.
Difusin por proximidad: active esta casilla de verificacin para que se
incluya el enrutamiento a travs del nodo ms cercano.
Enviar anuncio de enrutador: active esta casilla de verificacin para
habilitar el anuncio de enrutador (RA) para esta direccin IP. (Tambin
puede activar la opcin Habilitar anuncio de enrutador de forma
global en la subinterfaz.) Si desea informacin sobre el RA, consulte
Seccin de anuncio de enrutador en esta tabla.
Los campos restantes solo se aplican si habilita el RA.
Duracin vlida: duracin (en segundos) que el cortafuegos
considera vlida la direccin. La duracin vlida debe ser igual o
superar la duracin preferida. El valor predeterminado es de
2592000.
Duracin preferida: duracin (en segundos) en la que se prefiere la
direccin vlida, lo que significa que el cortafuegos la puede utilizar
para enviar y recibir trfico. Cuando caduca la duracin preferida, el
cortafuegos deja de poder utilizar la direccin para establecer nuevas
conexiones, pero cualquier conexin existente es vlida hasta que
caduque la duracin vlida. El valor predeterminado es de 604800.
Enlace activo: active esta casilla de verificacin si los sistemas que
tienen direcciones en el prefijo se pueden alcanzar sin necesidad de
un enrutador.
Autnomo: active esta casilla de verificacin si los sistemas pueden
crear de forma independiente una direccin IP combinando el prefijo
publicado con un ID de interfaz.

Seccin Resolucin de direccin


Habilitar deteccin de
direcciones duplicadas

Active la casilla de verificacin para habilitar la deteccin de direccin


duplicada (DAD) y, a continuacin, configure los otros campos de esta
seccin.

Intentos DAD

Especifique el nmero de intentos DAD en el intervalo de solicitacin de


vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos
(intervalo 1-10, predeterminado 1).

Tiempo alcanzable

Especifique la duracin (en segundos) que un vecino permanece


alcanzable despus de una consulta y respuesta correctas (intervalo:
1-36.000 segundos, predeterminado 30).

Intervalo NS (intervalo
de solicitacin de
vecinos)

Especifique el nmero de segundos de intentos DAD antes de indicar el


fallo (intervalo 1-10 segundos, predeterminado 1).

146 Configuracin de red

Palo Alto Networks

Tabla 68. Configuracin de subinterfaz de capa 3: Pestaa IPv6 (Continuacin)


Campo

Descripcin

Seccin de anuncio de enrutador


Habilitar anuncio de
enrutador

Para proporcionar la configuracin automtica de direcciones sin estado


(SLAAC) en la subinterfaz, active la casilla de verificacin y configure
los otros campos de esta seccin. Los clientes que reciben mensajes de
anuncio de enrutador (RA) utilizan esta informacin.
El RA permite al cortafuegos actuar como una puerta de enlace
predeterminada para hosts IPv6 que no estn configurados estticamente
y proporcionar al host un prefijo IPv6 que se puede utilizar para la
configuracin de direcciones. Puede utilizar un servidor DHCPv6
independiente junto con esta funcin para proporcionar DNS y otros
ajustes a los clientes.
Esta opcin es un ajuste global de la subinterfaz. Si desea establecer las
opciones de RA para direcciones IP individuales, haga clic en Aadir en
la tabla de direcciones IP y configure la direccin (para obtener detalles,
consulte Direccin en esta tabla). Si establece las opciones de RA para
cualquier direccin IP, debe seleccionar la opcin Habilitar anuncio de
enrutador para la subinterfaz.

Mn. de intervalo
(segundos)

Especifique el intervalo mnimo (en segundos) entre los distintos RA


que el cortafuegos enviar (intervalo 3-1350, predeterminado 200).
El cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.

Mx. de intervalo
(segundos)

Especifique el intervalo mximo (en segundos) entre los distintos RA


que el cortafuegos enviar (intervalo 4-1800, predeterminado 600).
El cortafuegos enviar los RA en intervalos aleatorios entre los valores
mnimo y mximo que configure.

Lmite de salto

Especifique el lmite de salto que se debe aplicar a los clientes en los


paquetes salientes (intervalo 1-255, predeterminado 64). Introduzca 0
si no desea ningn lmite de salto.

MTU de enlace

Especifique la unidad mxima de transmisin (MTU) del enlace que


se debe aplicar a los clientes. Seleccione no especificado si no desea
ninguna MTU de enlace (intervalo 1280-9192, predeterminado no
especificado).

Tiempo alcanzable (ms)

Especifique el tiempo alcanzable (en milisegundos) que el cliente


utilizar para asumir que un vecino es alcanzable despus de recibir un
mensaje de confirmacin de esta condicin. Seleccione no especificado
si no desea establecer ningn valor de tiempo alcanzable (intervalo
0-3600000, predeterminado no especificado).

Tiempo de retransmisin
(ms)

Especifique el temporizador de retransmisin que determinar cunto


tiempo debe esperar el cliente (en milisegundos) antes de retransmitir
los mensajes de solicitacin de vecinos. Seleccione no especificado si
no desea ningn tiempo de retransmisin (intervalo 0-4294967295,
predeterminado no especificado).

Duracin de enrutador
(segundos)

Especifique la duracin (en segundos) que el cliente utilizar el


cortafuegos como puerta de enlace predeterminada (intervalo 0-9000,
predeterminado 1800). Un valor cero especifica que el cortafuegos no es
la puerta de enlace predeterminada. Cuando acaba la duracin, el cliente
elimina la entrada del cortafuegos de la lista de ruta predeterminada y
utiliza otro enrutador como puerta de enlace predeterminada.

Palo Alto Networks

Configuracin de red 147

Tabla 68. Configuracin de subinterfaz de capa 3: Pestaa IPv6 (Continuacin)


Campo

Descripcin

Preferencia de enrutador

Si el segmento de la red tiene mltiples enrutadores, el cliente utiliza


este campo para seleccionar un enrutador preferido. Seleccione si el
RA publica el enrutador del cortafuegos con prioridad Alta, Media
(predeterminada) o Baja en relacin a otros enrutadores del segmento.

Configuracin
gestionada

Seleccione la casilla de verificacin para indicar al cliente que las


direcciones estn disponibles en DHCPv6.

Otras configuraciones

Seleccione la casilla de verificacin para indicar al cliente que hay


disponible otra informacin de direccin (por ejemplo, configuracin
relacionada con DNS) mediante DHCPv6.

Comprobacin de
coherencia

Seleccione la casilla de verificacin si desea que el cortafuegos verifique


que los RA enviados desde otros enrutadores estn publicando
informacin coherente en el enlace. El cortafuegos enva logs sobre
cualquier incoherencia.

Configuracin de interfaces de cable virtual (Virtual Wire)


Red > Interfaces > Ethernet
Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet, permitiendo que pase
todo el trfico entre los puertos, o solo el trfico con etiquetas VLAN seleccionadas (no hay
disponible ningn otro servicio de enrutamiento o conmutacin). Tambin puede crear
subinterfaces de cable virtual y clasificar el trfico en funcin de una direccin o intervalo IP,
o una subred. Un cable virtual no requiere ningn tipo de cambio en los dispositivos de red
adyacentes.
Para configurar un cable virtual (Virtual Wire) en el cortafuegos, primero debe definir las
interfaces Virtual Wire, tal y como se describe en el siguiente procedimiento y, a continuacin,
crear el cable virtual usando las interfaces que ha creado.
1.

Identifique la interfaz que desee utilizar para el cable virtual en la pestaa Ethernet y
elimnela de la zona de seguridad actual, si la hubiera.

2.

Haga clic en el nombre de la interfaz y especifique la siguiente informacin.

Tabla 69. Configuracin de cable virtual (Virtual Wire)


Campo

Descripcin

Pestaa Configuracin
Virtual Wire

Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para


definir un nuevo cable virtual (consulte Definicin de cables virtuales
(Virtual Wire)).

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

148 Configuracin de red

Palo Alto Networks

Tabla 69. Configuracin de cable virtual (Continuacin) (Virtual Wire)


Campo

Descripcin

Pestaa Avanzada
Velocidad de enlace

Especifique la velocidad de la interfaz. Si la interfaz seleccionada es una


interfaz de 10 Gbps, la nica opcin es Auto. En el resto de casos, las
opciones son: 10, 100, 1000 o Auto.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado


(Desactivado) o determinado automticamente (Auto).

Configuracin de una subinterfaz de cable virtual (Virtual Wire)


Red > Interfaces
Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el trfico segn las
etiquetas VLAN o una combinacin de etiqueta VLAN y clasificador IP, asignar el trfico
etiquetado a una zona y sistema virtual diferentes y, a continuacin, aplicar polticas de
seguridad para el trfico que coincida con los criterios definidos.
Para aadir una subinterfaz de cable virtual, seleccione la interfaz de cable virtual donde
quiera aadirla y haga clic en Aadir subinterfaz y especifique la siguiente informacin.

Tabla 70. Configuracin de subinterfaces de cable virtual (Virtual Wire)


Campo

Descripcin

Nombre de interfaz

El nombre de interfaz principal aparece automticamente basndose en la


interfaz que haya seleccionado; la etiqueta no se puede editar.
Para definir la subinterfaz, introduzca un nmero (1 a 9999) junto al
nombre de la interfaz fsica para formar el nombre de la interfaz lgica.
El formato de nombre general es:
ethernetx/y.<1-9999>
Para configurar el cable virtual, consulte Configuracin de interfaces de
cable virtual (Virtual Wire).

Etiqueta

Introduzca el nmero de etiqueta (0 a 4094) o el trfico recibido en esta


interfaz.
Si define un valor de etiqueta de 0 coincidir con trfico sin etiquetar.

Perfil de flujo de red

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener ms informacin,
consulte Configuracin de ajustes de flujo de red.
Nota: El cortafuegos de la serie PA-4000 no admite esta caracterstica.

Comentarios

Palo Alto Networks

Introduzca una descripcin opcional de la interfaz.

Configuracin de red 149

Tabla 70. Configuracin de subinterfaces de cable virtual (Virtual Wire) (Continuacin)


Campo

Descripcin

Clasificador IP

Haga clic en Aadir para aadir una direccin IP, subred, intervalo IP o
cualquier combinacin de clasificadores IP. Esto permitir clasificar el
trfico entrante en el cortafuegos mediante este puerto fsico en esta
subinterfaz en funcin de su direccin IP de origen. El trfico de ruta de
retorno entrante en cortafuegos por el otro extremo del cable virtual
asociado se comparar con su direccin de destino.
En una subinterfaz de cable virtual (Virtual Wire), la clasificacin IP solo
se puede utilizar en combinacin con una clasificacin basada en VLAN.

Asignar interfaz a
Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Virtual Wire

Seleccione un cable virtual (Virtual Wire) o haga clic en Nuevo para


definir un nuevo cable virtual (consulte Definicin de cables virtuales
(Virtual Wire)).

Configuracin de una interfaz de Tap


Red > Interfaces > Ethernet
Se puede configurar una interfaz de Tap segn sea necesario para supervisar el trfico de un
puerto. Adems de la configuracin bsica de la interfaz Ethernet, haga clic en el nombre de la
interfaz en la pestaa Ethernet y especifique la siguiente informacin en las pestaas
Configurar y Avanzado.
.

Tabla 71. Configuracin de interfaz de Tap


Campo

Descripcin

Pestaa Configuracin
Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Pestaa Avanzada
Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado


(Desactivado) o determinado automticamente (Auto).

150 Configuracin de red

Palo Alto Networks

Configuracin de una interfaz de tarjeta de log


Red > Interfaces > Ethernet
En un cortafuegos de PA-7050, un puerto de datos debe tener un tipo de interfaz Tarjeta
de log. Esto se debe a que las funciones de trfico y logs de esta plataforma superan las del
puerto de gestin. Un puerto de datos de tarjeta de log realiza el reenvo de log para Syslog,
Correo electrnico, SNMP y WildFire. Solo un puerto del cortafuegos puede ser una interfaz
de tarjeta de log. Si activa el reenvo de logs pero no configura ninguna interfaz como la tarjeta
de log, se produce un error de compilacin.
En la pestaa Ethernet, haga clic en el nombre de la interfaz, configure la informacin de la
interfaz Ethernet bsica y, a continuacin, configure la siguiente informacin en las pestaas
Reenvo de tarjeta de log y Avanzado.
.

Tabla 72. Configuracin de la interfaz de tarjeta de log


Campo

Descripcin

Reenvo de tarjeta de log


IPv4

Si la red utiliza IPv4, introduzca la siguiente informacin de direccin


IPv4 para el puerto:
Direccin IP: Direccin IPv4 del puerto.
Mscara de red: Mscara de red para la direccin IPv4 del puerto.
Puerta de enlace predeterminada: Direccin IPv4 de la puerta de enlace
para el puerto.

IPv6

Si la red utiliza IPv6, introduzca la siguiente informacin de direccin


IPv6 para el puerto:
Direccin IP: Direccin IPv6 del puerto.
Puerta de enlace predeterminada: Direccin IPv6 de la puerta de enlace
predeterminada para el puerto.

Pestaa Avanzada
Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado),


deshabilitado (Desactivado) o determinado automticamente (Auto).

Configuracin de una interfaz de reflejo de descifrado


Red > Interfaces > Ethernet
Para utilizar la funcin Reflejo de puerto de descifrado, debe seleccionar el tipo de la interfaz
Reflejo de descifrado. Esta funcin permite crear una copia del trfico descifrado desde un
cortafuegos y enviarla a una herramienta de recopilacin de trfico que pueda recibir capturas
de paquetes sin formato (como NetWitness o Solera) para su archivado o anlisis. Aquellas
organizaciones que necesitan la captura integral de datos con fines forenses o histricos o para
prevenir la fuga de datos (DLP) necesitan esta funcin. El reflejo del puerto de descrifrado
solo est disponible en los cortafuegos de las series PA-7050, PA-5000 y PA-3000. Para
permitir la funcin, debe adquirir e instalar la licencia gratuita.

Palo Alto Networks

Configuracin de red 151

En la pestaa Ethernet, haga clic en el nombre de la interfaz, configure la informacin de la


interfaz Ethernet bsica y, a continuacin, especifique la siguiente informacin en la pestaa
Avanzado.
.

Tabla 73. Configuracin de interfaz de reflejo de descifrado


Campo

Descripcin

Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado), deshabilitado


(Desactivado) o determinado automticamente (Auto).

Configuracin de los grupos de interfaces de agregacin


Red > Interfaces
Un grupo de interfaces de agregacin le permite combinar varias interfaces Ethernet
usando la agregacin de enlace IEEE 802.1AX. Puede agregar XFP de 1 Gbps o 10 Gbps y
Ethernet de SPF+. La interfaz de agregacin que cree se convertir en una interfaz lgica.
Las siguientes propiedades pertenecen a la interfaz lgica, no a las interfaces subyacentes
fsicas: asignaciones de configuracin (sistema virtual, enrutador virtual, cable virtual,
VLAN, zona de seguridad), direcciones IP, perfil de gestin, configuracin de Protocolo de
control de agregacin de enlace (LACP), entradas de Protocolo de resolucin de direcciones
(ARP) y entradas de Deteccin de vecinos (ND). Por lo tanto, una vez creado el grupo, realice
operaciones como configurar parmetros de capa 2 o capa 3 en el grupo de agregacin en
lugar de en interfaces individuales.
Las siguientes reglas se aplican a los grupos de agregacin:

En un grupo, los enlaces de 1 Gbps deben ser completamente de cobre o de fibra.

Un grupo puede tener hasta 8 interfaces.

Los grupos de agregacin admiten HA, cable virtual, interfaces de capa 2 o capa 3.
En un grupo, todas las interfaces deben ser del mismo tipo. PAN-OS valida esto
durante la operacin de compilacin.

Puede usar grupos de agregacin para el escalado de la redundancia y rendimiento


en el enlace HA3 (reenvo de paquetes) en implementaciones de HA Activo/Activo.
La compatibilidad para HA3 est limitada a los cortafuegos de las series PA-500,
PA-3000, PA-4000 y PA-5000.

Si activa LACP para un grupo de agregacin, la compatibilidad se limita a las interfaces


HA3, de capa 2 capa 3. No puede habilitar LACP para interfaces de cable virtual.
La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos
de las series PA-500, PA-3000, PA-4000, PA-5000 y PA-7050 .

Para configurar un grupo de agregacin, haga clic en Aadir grupo de agregacin y


especifique la informacin en la siguiente tabla. A continuacin, asigne interfaces al grupo
segn lo descrito en Configuracin de una interfaz Ethernet de agregacin.

152 Configuracin de red

Palo Alto Networks

Tabla 74. Configuracin de interfaz de grupo de agregacin


Campo

Descripcin

Nombre de interfaz

Introduzca un nombre y un sufijo numrico para identificar el grupo de


agregacin. El nombre aparece como mm.n donde mm es el nombre y n es
el sufijo (1-8).

Tipo de interfaz

Seleccione el tipo de interfaz, que controla los requisitos de configuracin


y opciones que quedan:
HA: solo debe seleccionar esta opcin si la interfaz es un enlace de HA3
entre dos cortafuegos en una implementacin activa/activa. No se
requiere ninguna configuracin adicional. De forma optativa, configure
LACP como se describe a continuacin.
Virtual Wire (Cable virtual): no se necesita configuracin adicional.
Este tipo no est disponible si activa el LACP.
Capa 2: configure la pestaa Configurar y, de forma optativa, la pestaa
LACP como se describe ms adelante. A continuacin, configure la
pestaa Avanzado segn se describe en Tabla 65.
Capa 3: configure la pestaa Configurar y, de forma optativa, la
pestaa LACP como se describe ms adelante. A continuacin,
configure otras pestaas segn se describe en Tabla 66, Tabla 67 y
Tabla 68.

Perfil de flujo de red

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener ms informacin,
consulte Configuracin de ajustes de flujo de red.
Nota: Este campo no se aplica al tipo de interfaz de HA. De igual forma, el
cortafuegos de la serie PA-4000 no admite esta funcin.

Comentarios

Introduzca una descripcin opcional de la interfaz.

Configurar
Asignar interfaz a

La asignacin de la interfaz depende del tipo de interfaz:


HA: este tipo no tiene opciones de la pestaa Configurar que deban
especificarse.
Virtual Wire (Cable virtual): especifique un cable virtual y una zona
de seguridad segn se describe en Tabla 70.
Capa 2: especifique una VLAN y una zona de seguridad segn se
describe en Tabla 65.
Capa 3: especifique un enrutador virtual y una zona de seguridad
segn se describe en Tabla 66.

Sistema virtual

Palo Alto Networks

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin


est activada, seleccione un vsys para la interfaz o haga clic en Nuevo
para definir un nuevo vsys.

Configuracin de red 153

Tabla 74. Configuracin de interfaz de grupo de agregacin (Continuacin)


Campo

Descripcin

LACP
Esta seccin solo se aplica a las interfaces HA (solo HA3), de capa 2 y capa 3.
Habilitar LACP

Seleccione esta casilla de verificacin si desea habilitar el Protocolo de


control de agregacin de grupo (LACP) para el grupo de agregacin.
LACP est deshabilitada de manera predeterminada.

Modo

Seleccione el modo de LACP del cortafuegos. Entre cualquier par de


peers LACP, se recomienda que uno sea activo y otro pasivo. LACP no
puede funcionar si los dos peers son pasivos.
Activo: el cortafuegos consulta de forma activa el estado del LACP
(disponible o sin respuesta) de dispositivos de peer.
Pasivo (predeterminado): el cortafuegos responde pasivamente a las
consultas de estado del LACP procedentes de los dispositivos peer.

Velocidad de
transmisin

Seleccione la velocidad con la que el cortafuegos intercambia consultas y


responde a los dispositivos peer.
Rpido: cada segundo
Lento: cada 30 segundos (este es el ajuste predeterminado)

Conmutacin rpida

Seleccione esta casilla de verificacin si, cuando una interfaz tenga un


fallo, quiere que el cortafuegos cambie a una interfaz operativa en 1
segundo. De lo contrario, el fallo se produce a la velocidad estndar
definida en IEEE 802.1AX (al menos tres segundos).

Prioridad del sistema

Nmero que determina si el cortafuegos o su peer sobrescribe el otro con


respecto a las prioridades del puerto (consulte la descripcin del campo
Puertos mx. que aparece a continuacin). Observe que cuanto ms bajo
es el nmero, ms alta es la prioridad. El intervalo es 1-65535 y el valor
predeterminado es 32768.

Puertos mx.

Nmero de interfaces (1-8) que puede ser activo en cualquier momento


en un grupo de agregacin del LACP. El valor no puede superar el
nmero de interfaces asignadas al grupo. Si el nmero de interfaces
asignadas supera el nmero de interfaces activas, el cortafuegos utiliza
las prioridades del puerto de las interfaces para determinar cules estn
en modo de espera. Puede establecer prioridades de puerto al configurar
interfaces individuales para el grupo.

154 Configuracin de red

Palo Alto Networks

Tabla 74. Configuracin de interfaz de grupo de agregacin (Continuacin)


Campo

Descripcin

Misma direccin MAC


del sistema para modo
Activo-Pasivo de HA

Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo


valor de prioridad del sistema. Sin embargo, en una implementacin
activa/pasiva, el ID del sistema de cada uno puede ser igual o distinto,
dependiendo de si asigna o no la misma direccin MAC. Cuando los
peers del LACP (tambin en modo de HA) se virtualizan (apareciendo
para la red como un dispositivo nico), usando la misma direccin MAC
del sistema para los cortafuegos, se recomienda minimizar la latencia
durante el fallo. Cuando los peers del LACP no se virtualizan, usando
la direccin MAC nica de cada cortafuegos, se recomienda minimizar
la latencia del fallo. Si los cortafuegos no estn en modo de HA activo/
pasivo, PAN-OS ignora este campo. (Los cortafuegos de una implementacin activa/activa requieren direcciones MAC nicas, de forma que
PAN-OS las asigne automticamente.)
LACP utiliza la direccin MAC para derivar un ID de sistema a cada
peer del LACP. Si el par del cortafuegos y el par de peers tienen valores
de prioridad del sistema idnticos, el LACP utiliza los valores de ID
del sistema para determinar qu cancela al otro con respecto a las
prioridades del puerto. Si ambos cortafuegos tienen la misma direccin
MAC, ambos tendrn el mismo ID del sistema, que ser mayor o menor
que el ID del sistema de los peers del LACP. Si los cortafuegos de HA
tienen direcciones MAC nicas, es posible que uno tenga un ID del
sistema mayor que los peers del LACP y el otro un ID del sistema menor.
En este caso, cuando el fallo se produzca en los cortafuegos, la prioridad
de puerto cambia entre los peers del LACP y el cortafuegos que se activa.

Direccin MAC

Si ha activado Usar la misma direccin MAC del sistema, seleccione una


direccin MAC generada por el sistema, o introduzca la suya propia,
para ambos cortafuegos del par de HA. Debe verificar que la direccin es
nica globalmente.

Configuracin de una interfaz Ethernet de agregacin


Red > Interfaces
Para configurar una interfaz de Ethernet de agregacin, aada primero el grupo de agregacin
al que asignar la interfaz (consulte Configuracin de los grupos de interfaces de agregacin).
En segundo lugar, haga clic en el nombre de la interfaz que asignar al grupo de agregacin.
La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregacin,
aunque cambiar el tipo a Agregar Ethernet cuando la configure. Especifique la siguiente
informacin para la interfaz.

Palo Alto Networks

Configuracin de red 155

Tabla 75. Configuracin de interfaz de Ethernet de agregacin


Campo

Descripcin

Tipo de interfaz

Seleccione Agregar Ethernet.

Agregar grupo

Asigne la interfaz a un grupo de agregacin.

Comentarios

Introduzca una descripcin opcional de la interfaz.

Pestaa Avanzada
Nota: Si activa el LACP para el grupo de agregacin, se recomienda establecer la misma velocidad de enlace y
valores duplicados para cada interfaz del grupo. Para los valores que no coinciden, la operacin de compilacin
muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad ms alta y dplex completo.
Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado),


deshabilitado (Desactivado) o determinado automticamente (Auto).

Prioridad de puerto
LACP

El cortafuegos solo utiliza este campo si ha activado el Protocolo de


control de agregacin de grupo (LACP) para el grupo de agregacin.
Un grupo de agregacin podra tener ms interfaces de las que admite
en los estados activos. (En la configuracin del grupo de agregacin, el
parmetro Puertos mx. determina el nmero de interfaces activas).
En esta caso, la prioridad de puerto asignada a cada interfaz determina si
est activa o en espera. Cuanto ms bajo es el valor numrico, ms alta es
la prioridad. El intervalo es 1-65535 y el valor predeterminado es 32768.

156 Configuracin de red

Palo Alto Networks

Configuracin de una interfaz HA


Red > Interfaces
Todas las interfaces HA tienen una funcin especfica: una interfaz se utiliza para la sincronizacin de la configuracin y latidos y la otra interfaz se utiliza para la sincronizacin del
estado. Si se activa la opcin de alta disponibilidad, se puede utilizar una tercera interfaz HA
para reenviar paquetes.
Algunos cortafuegos de Palo Alto Networks incluyen puertos fsicos exclusivos para
su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de
datos). En el caso de cortafuegos que no incluyen puertos exclusivos, debe especificar
los puertos de datos que se utilizarn para HA. Si desea ms informacin sobre HA,
consulte Habilitacin de HA en el cortafuegos.
Para definir interfaces HA, haga clic en un nombre de interfaz y especifique la siguiente
informacin.

Tabla 76. Configuracin de interfaz HA


Campo

Descripcin

Nombre de interfaz

Seleccione la interfaz de la lista desplegable. Puede modificar el nombre


si lo desea.

Tipo de interfaz

Seleccione HA de la lista desplegable.

Comentarios

Introduzca una descripcin opcional de la interfaz.

Pestaa Avanzada
Velocidad de enlace

Seleccione la velocidad de la interfaz en Mbps (10, 100 o 1000) o el modo


automtico.

Dplex de enlace

Seleccione si el modo de transmisin de la interfaz es dplex completo


(Completo), dplex medio (Medio) o automtico (Auto).

Estado de enlace

Seleccione si el estado de la interfaz es habilitado (Activado),


deshabilitado (Desactivado) o determinado automticamente (Auto).

Configuracin de una interfaz VLAN


Red > Interfaces > VLAN
Se puede configurar una interfaz VLAN para proporcionar enrutamiento en una red de capa 3
(IPv4 e IPv6). Se pueden aadir uno o varios puertos Ethernet de capa 2 (Configuracin de
una interfaz Ethernet de capa 2) a una interfaz VLAN. Todas las configuraciones de la
interfaz VLAN tienen una configuracin bsica y pestaas de configuracin adicionales.
Para configurar una interfaz VLAN, seleccione la pestaa VLAN y haga clic en Aadir.
Especifique los ajustes de configuracin bsica y, a continuacin, los ajustes de IPv4 e IPv6
segn corresponda.

Palo Alto Networks

Configuracin de red 157

Tabla 77. Configuracin bsica de la interfaz VLAN


Campo

Descripcin

Nombre de interfaz

Especifique un sufijo numrico a la interfaz (1-4999).

Perfil de flujo de red

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o
haga clic en Nuevo para definir un nuevo perfil. Para obtener ms
informacin, consulte Configuracin de ajustes de flujo de red.
Nota: El cortafuegos de la serie PA-4000 no admite esta caracterstica.

Comentarios

Aada una descripcin opcional de la interfaz.

Pestaa Configuracin
VLAN

Seleccione VLAN o haga clic en Nuevo para definir una nueva VLAN
(consulte Configuracin de una interfaz VLAN). Si selecciona
Ninguno, se elimina la asignacin actual de VLAN de la interfaz.

Enrutador virtual

Seleccione un enrutador virtual o haga clic en Nuevo para definir un


nuevo enrutador virtual (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin


est activada, seleccione un vsys para la interfaz o haga clic en Nuevo
para definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Pestaa Avanzada
Otra informacin

Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuracin est destinada a aquellas situaciones en las
que un tnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parmetro permite
ajustarlo.

Entradas ARP/Interfaz

Para aadir una o ms entradas ARP estticas, haga clic en Aadir e


introduzca una direccin IP y la direccin (MAC) de su hardware
asociado y una interfaz de capa 3 que pueda acceder a la direccin
del hardware.

Entradas de ND

Haga clic en Aadir para introducir la direccin IP y MAC de los vecinos


que se aadirn al descubrimiento.

158 Configuracin de red

Palo Alto Networks

Pestaa IPv4 de VLAN


Si configura una VLAN para su acceso a una red IPv4, debe configurar los siguientes ajustes
en la pestaa IPv4:

Tabla 78. Configuracin de IPv4 de la interfaz VLAN


Campo

Descripcin

Pestaa IPv4
Esttico

Seleccione Esttico para asignar direcciones IP estticas. Haga clic en


Aadir e introduzca una direccin IP y una mscara de red para la
interfaz en la notacin de enrutamiento entre dominios sin clases (CIDR):
direccin_ip/mscara (por ejemplo, 192.168.2.0/24). Puede introducir
mltiples direcciones IP para la interfaz. La base de informacin de
reenvo (FIB) que utiliza su sistema determina el nmero mximo de
direcciones IP.

Cliente DHCP

Seleccione DHCP para utilizar la asignacin de direcciones DHCP para la


interfaz y especifique los siguientes ajustes:
Habilitar: seleccione la casilla de verificacin para activar el cliente
DHCP en la interfaz.
Crear automticamente ruta predeterminada que apunte al servidor:
Seleccione la casilla de verificacin para que se cree automticamente
una ruta predefinida que apunte al servidor DHCP cuando se conecte.
Mtrica de ruta predeterminada: Especifique la mtrica de ruta asociada
con la ruta predefinida que se utilizar para seleccionar la ruta (opcional,
intervalo 1-65535).
Haga clic en Mostrar informacin de tiempo de ejecucin de cliente
DHCP para abrir una ventana que muestre todos los ajustes recibidos
del servidor DHCP, incluyendo el estado de concesin de DHCP, la
asignacin de IP dinmica, la mscara de subred, la puerta de enlace,
la configuracin del servidor (DNS, NTP, dominio, WINS, NIS, POP3
y SMTP).

Entradas de ARP

Para aadir una o ms entradas ARP, introduzca una direccin IP y su


hardware asociado (MAC) y haga clic en Aadir. Para eliminar una
entrada esttica, seleccione la entrada y haga clic en Eliminar.

Pestaa IPv6 de VLAN


Si configura una VLAN para su acceso a una red IPv6, debe configurar los siguientes ajustes
en la pestaa IPv6:

Tabla 79. Configuracin de IPv6 de la interfaz VLAN


Campo

Descripcin

Pestaa IPv6
Habilitar IPv6 en la
interfaz

Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en


la subinterfaz.

ID de interfaz

Introduzca el identificador nico ampliado de 64 bits en formato


hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz
se deja en blanco, el cortafuegos utilizar el EUI-64 generado desde la
direccin MAC de la interfaz fsica.

Palo Alto Networks

Configuracin de red 159

Tabla 79. Configuracin de IPv6 de la interfaz VLAN (Continuacin)


Campo

Descripcin

Direccin

Haga clic en Aadir e introduzca una direccin IPv6 y la longitud del


prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte de host de la direccin. Seleccione
Difusin por proximidad para incluir el enrutador mediante el nodo
ms cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a la
interfaz ser la que especifique completamente en el cuadro de texto de la
direccin.
Utilice la opcin Enviar anuncio de enrutador (Enviar RA) para habilitar
el anuncio del enrutador en esta direccin IP. Tambin puede configurar
que se enve la marca Autnomo y definir la opcin Enlace activo. Debe
habilitar la opcin Habilitar anuncio de enrutador de forma global en la
interfaz antes de activar Enviar anuncio de enrutador para una direccin
IP concreta.

Resolucin de direccin
(Duplicar deteccin de
direccin)

Seleccione la casilla de verificacin para habilitar Duplicar deteccin de


direccin (DAD) y especifique la siguiente informacin.
Intentos DAD: Especifique el nmero de intentos del intervalo de
solicitacin de vecinos de DAD antes de que falle el intento de
identificar a los vecinos (intervalo 1-10).
Tiempo alcanzable: Especifique el tiempo que un vecino permanece
alcanzable despus de una consulta y respuesta correctas (intervalo:
1-36.000 segundos).
Intervalo de solicitacin de vecinos (NS): Especifique el nmero de
segundos de intentos DAD antes de indicar el fallo (intervalo 1-10
segundos).

Habilitar anuncio de
enrutador

Seleccione la casilla de verificacin para habilitar Anuncio de enrutador


(RA) para proporcionar la configuracin automtica de direcciones sin
estado (SLAAC) de interfaces IPv6. De esta forma el cortafuegos puede
actuar como una puerta de enlace predeterminada para hosts IPv6 que no
estn configurados estticamente y proporcionar al host un prefijo IPv6
que se puede utilizar para la configuracin de direcciones. Se puede
utilizar un servidor DHCPv6 diferente en conjuncin con esta funcin
para proporcionar DNS y otros ajustes a los clientes.
Esta opcin es un ajuste global de la interfaz. Tambin puede definir
las opciones de anuncio de enrutador por direccin IP haciendo clic en
Aadir e introduciendo una direccin IP. Debe activar esta opcin en la
interfaz si va a especificar la opcin Enviar anuncio de enrutador por
direccin.
Especifique la siguiente informacin que utilizarn los clientes que
reciban los mensajes RA.
Min. de intervalo (seg): Especifique el intervalo mnimo por segundos
en el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
enrutador se enviarn a intervalos aleatorios entre los valores mnimo y
mximo configurados (intervalo 3-1350 segundos; opcin predefinida
200 segundos).
Mx. de intervalo (seg): Especifique el intervalo mximo por segundos
en el que el cortafuegos enviar anuncios de enrutador. Los anuncios de
enrutador se enviarn a intervalos aleatorios entre los valores mnimo y
mximo configurados (intervalo 4-1800 segundos; opcin predefinida
600 segundos).

160 Configuracin de red

Palo Alto Networks

Tabla 79. Configuracin de IPv6 de la interfaz VLAN (Continuacin)


Campo

Descripcin

Habilitar anuncio
de enrutador
(Continuacin)

Lmite de salto: Especifique el lmite de salto que se aplicar a los


clientes para paquetes salientes. Introduzca 0 si no desea ningn lmite
de salto (intervalo 1-255; opcin predefinida 64).
MTU de enlace: Especifique la MTU de enlace que se aplicar a los
clientes. Seleccione sin especificar para establecer una MTU sin enlace
(intervalo: 1280-9192; opcin predeterminada: sin especificar).
Tiempo alcanzable (ms): Especifique el tiempo que el cliente utilizar
para asumir que un vecino es alcanzable despus de recibir un mensaje
de confirmacin. Seleccione sin especificar para especificar un valor
de tiempo no alcanzable (intervalo: 0-3600000 milisegundos; opcin
predeterminada: sin especificar).
Tiempo de retransmisin (ms) Especifique el temporizador de transmisin que el cliente utilizar para determinar cunto tiempo debe
esperar antes de retransmitir los mensajes de solicitacin de vecinos.
Seleccione sin especificar para no establecer ningn tiempo de retransmisin (intervalo 0-4294967295 milisegundos; opcin predeterminada:
sin especificar).
Duracin de enrutador (seg): Especifique la duracin del enrutador que
indicar al cliente cunto tiempo se utilizar el cortafuegos/enrutador
como el enrutador predeterminado (intervalo: 0-9.000 segundos; opcin
predeterminada 1.800).
Configuracin gestionada: Seleccione la casilla de verificacin para
indicar al cliente que las direcciones estn disponibles en DHCPv6.
Otras configuraciones: Seleccione la casilla de verificacin para indicar
al cliente que existen otras direcciones de informacin mediante
DHCPv6, como ajustes relacionados con DNS.
Comprobacin de coherencia: Seleccione la casilla de verificacin para
activar comprobaciones de coherencia que utilizar el cortafuegos para
verificar que el anuncio del enrutador enviado desde otros enrutadores
est transmitiendo informacin coherente en el enlace. Si se detectan
incoherencias, se crear un log.

Configuracin de una interfaz de loopback


Red > Interfaces > Loopback
Puede configurar una o varias interfaces de loopback si la topologa de la red las requiere
(IPv4 y IPv6). Las configuraciones de interfaz de loopback tienen una configuracin bsica y
pestaas de configuracin adicionales. Para configurar una interfaz de loopback, seleccione
Red > Interfaces > Loopback y haga clic en Aadir. Especifique los ajustes de configuracin
bsica en primer lugar, despus los ajustes avanzados y, a continuacin, los ajustes de IPv4
e IPv6.

Palo Alto Networks

Configuracin de red 161

Tabla 80. Configuracin avanzada y bsica de la interfaz de loopback


Campo

Descripcin

Nombre de interfaz

Especifique un sufijo numrico a la interfaz (1-4999).

Perfil de flujo de red

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener ms informacin,
consulte Configuracin de ajustes de flujo de red.
Nota: El cortafuegos de la serie PA-4000 no admite esta caracterstica.

Comentarios

Aada una descripcin opcional de la interfaz.

Pestaa Configuracin
Enrutador virtual

Seleccione un enrutador virtual o haga clic en Nuevo para definir un


nuevo enrutador virtual (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Pestaa Avanzada
Otra informacin

Especifique los siguientes ajustes:


Perfil de gestin: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la unidad mxima de transmisin (MTU) en bytes
para los paquetes enviados en esta interfaz (de 576 a 1500, opcin
predeterminada 1500). Si las mquinas de ambos extremos del
cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD),
el valor de MTU se devolver en un mensaje con necesidad de
fragmentacin ICMP indicando que la MTU es demasiado larga.
Ajustar TCP MSS: Si selecciona esta casilla de verificacin, el tamao
de segmento mximo (MSS) se ajusta a 40 bytes menos que la MTU de
interfaz. Esta configuracin est destinada a aquellas situaciones en
las que un tnel que atraviesa la red necesita un MSS de menor. Si un
paquete no cabe en el MSS sin fragmentarse, este parmetro permite
ajustarlo.

162 Configuracin de red

Palo Alto Networks

Pestaa IPv4 de la interfaz de loopback


Si configura una interfaz de loopback para su acceso a una red IPv4, debe configurar los
siguientes ajustes en la pestaa IPv4:

Tabla 81. Configuracin de IPv4 de la interfaz de loopback


Campo

Descripcin

Direccin IP

Haga clic en Aadir para introducir una direccin IP y mscaras de red


para la interfaz.

Pestaa IPv6 de la interfaz de loopback


Si configura una interfaz de loopback para su acceso a una red IPv6, debe configurar los
siguientes ajustes en la pestaa IPv6:

Tabla 82. Configuracin de IPv6 de la interfaz de loopback


Campo

Descripcin

Habilitar IPv6 en la
interfaz

Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en


la subinterfaz.

ID de interfaz

Especifique el identificador hexadecimal de 64 bits de la subinterfaz.

Direccin

Introduzca la direccin IPv6. Seleccione Usar ID de interfaz como parte


de host para asignar una direccin IPv6 a la interfaz que utilizar el ID de
interfaz como la parte de host de la direccin. Seleccione Difusin por
proximidad para incluir el enrutador mediante el nodo ms cercano.

Configuracin de una interfaz de tnel


Red > Interfaces > Tnel
Se pueden configurar una o varias interfaces de tnel segn exija su topologa de red (IPv4 e
IPv6). Todas las configuraciones de la interfaz de tnel tienen una configuracin bsica y
pestaas de configuracin adicionales. Para configurar una interfaz de tnel, seleccione la
pestaa Tnel y haga clic en Aadir. Especifique los ajustes de configuracin bsica y,
a continuacin, los ajustes de IPv4 e IPv6 segn corresponda.

Tabla 83. Configuracin de interfaz de tnel


Campo

Descripcin

Nombre de interfaz

Especifique un sufijo numrico a la interfaz (1-4999).

Perfil de flujo de red

Si quiere exportar el trfico IP unidireccional que atraviesa una interfaz


de entrada a un servidor NetFlow, seleccione el perfil del servidor o haga
clic en Nuevo para definir un nuevo perfil. Para obtener ms informacin,
consulte Configuracin de ajustes de flujo de red.
Nota: El cortafuegos de la serie PA-4000 no admite esta caracterstica.

Comentarios

Aada una descripcin opcional de la interfaz.

Pestaa Configuracin
Enrutador virtual

Palo Alto Networks

Seleccione un enrutador virtual o haga clic en Nuevo para definir un


nuevo enrutador virtual (consulte Configuracin de un enrutador
virtual). Si selecciona Ninguno, se elimina la asignacin del enrutador
virtual actual de la interfaz.

Configuracin de red 163

Tabla 83. Configuracin de interfaz de tnel (Continuacin)


Campo

Descripcin

Sistema virtual

Si el cortafuegos admite varios sistemas virtuales (vsys) y esa funcin est


activada, seleccione un vsys para la interfaz o haga clic en Nuevo para
definir un nuevo vsys.

Zona de seguridad

Seleccione una zona de seguridad para la interfaz o haga clic en Nuevo


para definir una nueva zona. Si selecciona Ninguno, se elimina la
asignacin de zona actual de la interfaz.

Pestaa Avanzada
Otra informacin

Especifique lo siguiente:
Perfil de gestin: Seleccione un perfil que especifique los protocolos,
si existen, que se pueden utilizar para gestionar el cortafuegos en esta
interfaz.
MTU: Introduzca la MTU en bytes para los paquetes enviados en esta
interfaz (512-1500; opcin predeterminada 1500). Si las mquinas de
ambos extremos del cortafuegos ejecutan PMTUD, el valor de MTU
se devolver en un mensaje con necesidad de fragmentacin ICMP
indicando que la MTU es demasiado larga.
El cortafuegos considera de forma automtica la sobrecarga del tnel al ejecutar
la fragmentacin de IP y tambin ajusta el tamao mximo del segmento (MSS)
segn sea necesario.

Pestaa IPv4 de la interfaz de tnel


Si configura una interfaz de tnel para su acceso a una red IPv4, debe configurar los siguientes
ajustes en la pestaa IPv4:

Tabla 84. Configuracin de IPv4 de la interfaz de tnel


Campo

Descripcin

Direccin IP

Haga clic en Aadir para introducir direcciones IP y mscaras de red para


la interfaz.

164 Configuracin de red

Palo Alto Networks

Pestaa IPv6 de la interfaz de tnel


Si configura una interfaz de tnel para su acceso a una red IPv6, debe configurar los siguientes
ajustes en la pestaa IPv6:

Tabla 85. Configuracin de IPv6 de la interfaz de tnel


Campo

Descripcin

Habilitar IPv6 en la
interfaz

Seleccione la casilla de verificacin para habilitar las direcciones IPv6 en


la interfaz.
Esta opcin permite enrutar el trfico IPv6 en un tnel IPv4 IPSec y ofrece
confidencialidad entre redes IPv6. El trfico IPv6 se encapsula mediante
IPv4 y, a continuacin, mediante ESP.
Para enrutar el trfico IPv6 hacia el tnel, puede utilizar una ruta esttica
hacia el tnel, o bien utilizar una regla de reenvo basado en polticas
(PBF) para dirigir el trfico y ofrecer redundancia al supervisar el otro
extremo del tnel y conmutacin por error cuando sea necesario.

ID de interfaz

Introduzca el identificador nico ampliado de 64 bits en formato


hexadecimal, por ejemplo, 00:26:08:FF:FE:DE:4E:29. Si el ID de interfaz
se deja en blanco, el cortafuegos utilizar el EUI-64 generado desde la
direccin MAC de la interfaz fsica.

Direccin

Haga clic en Aadir e introduzca una direccin IPv6 y la longitud del


prefijo, por ejemplo 2001:400:f00::1/64. Seleccione Usar ID de interfaz
como parte de host para asignar una direccin IPv6 a la interfaz que
utilizar el ID de interfaz como la parte de host de la direccin. Seleccione
Difusin por proximidad para incluir el enrutador mediante el nodo ms
cercano. Si no se selecciona Prefijo, la direccin IPv6 asignada a la
interfaz ser la que especifique completamente en el cuadro de texto de
la direccin.

Configuracin de un enrutador virtual


Red > Enrutador virtual
Utilice esta pgina para definir enrutadores virtuales. La definicin de enrutadores
virtuales permite configurara reglas de reenvo de capa 3 y activar el uso de protocolos
de enrutamiento dinmicos. Todas las interfaces de capa 3, de loopback y VLAN definidas en
el cortafuegos se deben asociar con un enrutador virtual. Cada interfaz solo puede pertenecer
a un nico enrutador virtual.
La definicin de un enrutador virtual requiere la configuracin de la asignacin de los
ajustes en la pestaa General y en cualquiera de las siguientes pestaas, segn exija su
topologa de red:

Pestaa Rutas estticas: Consulte Configuracin de la pestaa Rutas estticas.

Pestaa Perfil de redistribucin: Consulte Configuracin de la pestaa Perfiles de


redistribucin.

Pestaa RIP: Consulte Configuracin de la pestaa RIP.

Pestaa OSPF: Consulte Configuracin de la pestaa OSPF.

Pestaa OSPFv3: Consulte Configuracin de la pestaa OSPFv3.

Pestaa BGP: Consulte Configuracin de la pestaa BGP.

Pestaa Multicast: Consulte Configuracin de la pestaa Multicast.

Palo Alto Networks

Configuracin de red 165

Configuracin de la pestaa General


Red > Enrutador virtual > General
Todas las configuraciones del enrutador virtual exigen que aada interfaces de capa 3 y cifras
de distancia administrativa segn se describe en la siguiente tabla:

Tabla 86. Configuracin de enrutador virtual - Pestaa General


Campo

Descripcin

Nombre

Especifique un nombre para identificar el enrutador virtual (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Interfaces

Seleccione las interfaces que desea incluir en el enrutador virtual.


Cuando selecciona una interfaz, se incluye en el enrutador virtual y se
puede utilizar como una interfaz de salida en la pestaa de enrutamiento
del enrutador virtual.
Para especificar el tipo de interfaz, consulte Configuracin de la interfaz
de un cortafuegos.
Cuando aade una interfaz, sus rutas conectadas se aaden automticamente.

Distancias
administrativas

Especifique las siguientes distancias administrativas:


Rutas estticas (10-240, opcin predefinida 10).
OSPF Int (10-240, opcin predefinida 30).
OSPF Ext (10-240, opcin predefinida 110).
IBGP (10-240, opcin predefinida 200).
EBGP (10-240, opcin predefinida 20).
RIP (10-240, opcin predefinida 120).

Configuracin de la pestaa Rutas estticas


Red > Enrutador virtual > Rutas estticas
Opcionalmente puede introducir una o ms rutas estticas. Haga clic en la pestaa IP o IPv6
para especificar la ruta mediante direcciones IPv4 o IPv6. Aqu suele ser necesario configurar
las rutas predefinidas (0.0.0.0/0). Las rutas predefinidas se aplican a destinos que de otro
modo no se encontraran en la tabla de enrutamiento del enrutador virtual.

Tabla 87. Configuracin de enrutador virtual - Pestaa Rutas estticas


Campo

Descripcin

Nombre

Introduzca un nombre para identificar la ruta esttica (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

IP Destino

Introduzca una direccin IP y una mscara de red en la notacin de


enrutamiento entre dominios sin clases (CIDR): direccin_ip/mscara
(por ejemplo, 192.168.2.0/24 para IPv4 o 2001:db8::/32 para IPv6).

Interfaz

Seleccione la interfaz para reenviar paquetes al destino o configure el


siguiente salto, o ambos.

166 Configuracin de red

Palo Alto Networks

Tabla 87. Configuracin de enrutador virtual - Pestaa Rutas estticas (Continuacin)


Campo
Siguiente salto

Descripcin
Especifique los siguientes ajustes de salto:
Ninguno: Seleccione esta opcin si no existe el siguiente salto en la ruta.
Direccin IP: Especifique la direccin IP del siguiente enrutador de salto.
Descartar: Seleccione esta opcin si desea descartare l trfico que se
dirige a este destino.
Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como
el siguiente salto. Esta opcin permite configurar rutas internamente
entre enrutadores virtuales en un nico cortafuegos.

Distancia administrativa

Especifique la distancia administrativa de la ruta esttica (10-240; opcin


predefinida 10).

Mtrica

Especifique una medida para la ruta esttica (1 - 65535).

No instalar

Seleccione esta opcin si no desea instalar la ruta en la tabla de reenvos.


La ruta se retiene en la configuracin para su referencia futura.

Configuracin de la pestaa Perfiles de redistribucin


Red > Enrutador virtual > Perfiles de redistribucin
Los perfiles de redistribucin dirigen el cortafuegos para filtrar, establecer la prioridad y
realizar acciones basadas en el comportamiento de red deseado. La redistribucin de rutas
permite a las rutas estticas y a las rutas adquiridas por otros protocolos anunciarse mediante
protocolos de enrutamiento especficos. Los perfiles de redistribucin se deben aplicar a los
protocolos de enrutamiento para que surtan efecto. Sin las reglas de redistribucin, cada
uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su mbito.
Los perfiles de redistribucin se pueden aadir o modificar despus de configurar todos los
protocolos de enrutamiento y de establecer la topologa de red resultante. Aplique perfiles de
redistribucin a los protocolos RIP y OSPF definiendo reglas de exportacin. Aplique perfiles
de redistribucin a BGP en la pestaa Reglas de distribucin. Consulte la tabla siguiente.

Tabla 88. Configuracin de enrutador virtual - Pestaa Perfiles de redistribucin


Campo

Descripcin

Nombre

Haga clic en Aadir para mostrar la pgina Perfil de redistribucin e


introduzca el nombre del perfil.

Prioridad

Introduzca un nivel de prioridad (intervalo 1-255) para este perfil.


Los perfiles se muestran en orden (con los nmeros ms bajos primero).

Redistribuir

Seleccione si la redistribucin de la ruta se realizar segn los ajustes


de esta ventana.
Redistr.: Seleccione si la redistribucin se realizar con rutas de
candidato coincidentes. Si selecciona esta opcin, introduzca un
nuevo valor mtrico. Un valor mtrico inferior significa una ruta
ms preferible.
No hay ninguna redistribucin: Seleccione si no se realizar ningn
tipo de redistribucin.

Palo Alto Networks

Configuracin de red 167

Tabla 88. Configuracin de enrutador virtual - Pestaa Perfiles de redistribucin (ContiCampo

Descripcin

Pestaa Filtro general


Tipo

Seleccione las casillas de verificacin para especificar los tipos de ruta


de candidato.

Interfaz

Seleccione las interfaces para especificar las interfaces de reenvo de la


ruta de candidato.

IP Destino

Para especificar el destino de la ruta de candidato, introduzca la direccin


IP o la subred de destino (con el formato x.x.x.x o x.x.x.x/n) y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.

Siguiente salto

Para especificar la puerta de enlace de la ruta de candidato, introduzca la


direccin IP o la subred (con el formato x.x.x.x o x.x.x.x/n) que represente
el siguiente salto y haga clic en Aadir. Para eliminar una entrada, haga
clic en el icono
asociado con la entrada.

Pestaa Filtro OSPF


Tipo de ruta

Seleccione las casillas de verificacin para especificar los tipos de ruta de


candidato OSPF.

rea

Especifique el identificador de rea de la ruta de candidato OSPF.


Introduzca el ID de rea OSPF (con el formato x.x.x.x), y haga clic en
Aadir. Para eliminar una entrada, haga clic en el icono
asociado con
la entrada.

Etiqueta

Especifique los valores de etiqueta OSPF. Introduzca un valor de etiqueta


numrica (1-255) y haga clic Aadir. Para eliminar una entrada, haga clic
en el icono
asociado con la entrada.

Pestaa Filtro BGP


Comunidad

Especifique una comunidad para la poltica de enrutamiento BGP.

Comunidad extendida

Especifique una comunidad extendida para la poltica de enrutamiento


BGP.

Configuracin de la pestaa RIP


Red > Enrutador virtual > RIP
La configuracin del protocolo de informacin de enrutamiento (RIP) requiere que se
establezcan los siguientes ajustes generales:

Tabla 89. Configuracin de enrutador virtual - Pestaa RIP


Campo

Descripcin

Habilitar

Seleccione la casilla de verificacin para activar el protocolo RIP.

Rechazar ruta por


defecto

Seleccione la casilla de verificacin si no desea obtener ninguna de las


rutas predefinidas mediante RIP. Es muy recomendable seleccionar esta
casilla de verificacin.

168 Configuracin de red

Palo Alto Networks

Adems, se deben configurar ajustes en las siguientes pestaas:

Pestaa Interfaces: Consulte Configuracin de la pestaa Interfaces.

Pestaa Temporizadores: Consulte Configuracin de la pestaa Temporizadores.

Pestaa Perfiles de autenticacin: Consulte Configuracin de la pestaa Perfiles de


autenticacin.

Pestaa Reglas de exportacin: Consulte Configuracin de la pestaa Reglas de


exportacin.

Configuracin de la pestaa Interfaces


Red > Enrutador virtual > RIP > Interfaces
En la siguiente tabla se describen los ajustes de la pestaa Interfaces.

Tabla 90.

Configuracin de RIP Pestaa Interfaces

Campo

Descripcin

Interfaces
Interfaz

Seleccione la interfaz que ejecuta el protocolo RIP.

Habilitar

Seleccione esta opcin para habilitar estos ajustes.

Anunciar

Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor
mtrico especificado.

Mtrica

Especifique un valor mtrico para el anuncio del enrutador. Este campo


solo es visible si se ha seleccionado la casilla de verificacin Anunciar.

Perfil de autenticacin

Seleccione el perfil.

Modo

Seleccione Normal, Pasivo o Enviar nicamente.

Configuracin de la pestaa Temporizadores


Red > Enrutador virtual > RIP > Temporizadores
En la siguiente tabla se describen los ajustes de la pestaa Temporizadores.

Tabla 91. Configuracin de RIP Pestaa Interfaces


Campo

Descripcin

Temporizadores
Segundos del intervalo
(seg)

Defina la duracin del intervalo de tiempo en segundos. Esta duracin se


utiliza para el resto de los campos de temporizacin de RIP (1 - 60).

Intervalo de
actualizaciones

Introduzca el nmero de intervalos entre los anuncios de actualizacin de


rutas (1 - 3600).

Intervalos de
vencimiento

Introduzca el nmero de intervalos entre la ltima hora de actualizacin


de la ruta hasta su vencimiento (1- 3600).

Intervalo de eliminacin

Introduzca el nmero de intervalos entre la hora de vencimiento de la


ruta hasta su eliminacin (1- 3600).

Palo Alto Networks

Configuracin de red 169

Configuracin de la pestaa Perfiles de autenticacin


Red > Enrutador virtual > RIP > Perfiles de autenticacin
La tabla siguiente describe los ajustes de la pestaa Perfiles de autenticacin.

Tabla 92. Configuracin de RIP Pestaa Perfiles de autenticacin


Campo

Descripcin

Perfiles de autenticacin
Nombre de perfil

Tipo de contrasea

Introduzca un nombre para el perfil de autenticacin para autenticar


los mensajes RIP. Para autenticar mensajes RIP, primero defina los
perfiles de autenticacin y a continuacin, aplquelos a las interfaces
en la pestaa RIP.
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Sencillo, introduzca la contrasea sencilla y, a continuacin,
confirme.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opcin Preferido.

Configuracin de la pestaa Reglas de exportacin


Red > Enrutador virtual > RIP > Reglas de exportacin
La tabla siguiente describe los ajustes de la pestaa Reglas de exportacin.

Tabla 93. Configuracin de RIP Pestaa Reglas de exportacin


Campo

Descripcin

Reglas de exportacin
Reglas de exportacin

(Solo lectura) Muestra las rutas aplicables a las rutas que enva el
enrutador virtual a un enrutador de recepcin.
Permitir redistribucin de ruta predeterminada: Seleccione la casilla
de verificacin para permitir que el cortafuegos redistribuya su ruta
predeterminada a los peers.
Perfil de redistribucin: Seleccione un perfil de redistribucin que
permite modificar la redistribucin de la ruta, el filtro, la prioridad y
la accin, en funcin del comportamiento de red deseado. Consulte
Configuracin de la pestaa Perfiles de redistribucin.

170 Configuracin de red

Palo Alto Networks

Configuracin de la pestaa OSPF


Red > Enrutador virtual > OSPF
La configuracin del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los
siguientes ajustes generales:

Tabla 94. Configuracin del enrutador virtual - Pestaa OSPF


Campo

Descripcin

Habilitar

Seleccione la casilla de verificacin para activar el protocolo OSPF.

Rechazar ruta por


defecto

Seleccione la casilla de verificacin si no desea obtener ninguna de las


rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.

ID del enrutador

Especifique el ID del enrutador asociado con la instancia OSPF en este


enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.

Adems, se deben configurar ajustes en las siguientes pestaas:

Pestaa reas: Consulte Configuracin de la pestaa reas.

Pestaa Perfiles de autenticacin: Consulte Configuracin de la pestaa Perfiles de


autenticacin.

Pestaa Reglas de exportacin: Consulte Configuracin de la pestaa Reglas de


exportacin.

Pestaa Avanzado: Consulte Configuracin de la pestaa Avanzado.

Configuracin de la pestaa reas


Red > Enrutador virtual > OSPF > reas
La tabla siguiente describe los ajustes de la pestaa reas.

Tabla 95. Configuracin de OSPF Pestaa reas


Campo

Descripcin

reas
ID de rea

Configure el rea en el que los parmetros OSPF se pueden aplicar.


Introduzca un identificador del rea en formato x.x.x.x. Es el identificador
que cada vecino debe aceptar para formar parte de la misma rea.

Palo Alto Networks

Configuracin de red 171

Tabla 95. Configuracin de OSPF Pestaa reas (Continuacin)


Campo
Tipo

Descripcin
Seleccione una de las siguientes opciones.
Normal: No hay restricciones; el rea puede aceptar todos los tipos
de rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que
no sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen
si desea aceptar este tipo de LSA. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del rea de cdigo auxiliar, junto con el valor
mtrico asociado (1-255). Tambin puede seleccionar el tipo de ruta que
se utilizar para anunciar el LSA predefinido. Haga clic en Aadir en la
seccin Intervalos externos e introduzca los intervalos si desea activar o
suprimir rutas externas de anuncios que se obtienen mediante NSSA a
otras reas.

Intervalo

172 Configuracin de red

Haga clic en Aadir para aadir direcciones de destino LSA en el rea


en subredes. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.

Palo Alto Networks

Tabla 95. Configuracin de OSPF Pestaa reas (Continuacin)


Campo

Descripcin

Interfaz

Haga clic en Aadir e introduzca la siguiente informacin en cada interfaz


que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envan ni reciben, si selecciona esta opcin, la interfaz se incluir en la
base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino automticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben
definir manualmente. La definicin manual de vecino solo se permite
en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255).
Es la prioridad del enrutador para ser el enrutador designado (DR)
o de reserva (BDR) segn el protocolo OSPF. Si el valor es cero,
el enrutador no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Intervalo de saludo (segundos): Intervalo en el que el proceso de
OSPF enva paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
Recuentos fallidos: Nmero de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. En intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de temporizador de fallos.
Intervalo: 3-20. Valor predeterminado: 4.
Intervalo de retransmisin (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
Retraso de trnsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo.

Palo Alto Networks

Configuracin de red 173

Tabla 95. Configuracin de OSPF Pestaa reas (Continuacin)


Campo

Descripcin

Interfaz (Continuacin)

Retraso de saludo de reinicio correcto (segundos): Se aplica a una


interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos enva los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envan paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
tambin avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajar durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador
de fallos de 40 segundos. Si el retraso de saludo de reinicio correcto
se establece en 10 segundos, ese retraso de 10 segundos de los paquetes
de saludo se enmarca cmodamente dentro del temporizador de fallos
de 40 segundos, de forma que la adyacencia no agotar su tiempo
de espera durante un reinicio correcto. Intervalo: 1-10 segundos.
Valor predeterminado: 10 segundos.

Enlace virtual

Configure los ajustes del enlace virtual para mantener o mejorar la


conectividad del rea troncal. Los ajustes se deben definir para
enrutadores de borde de rea y se deben definir en el rea troncal
(0.0.0.0). Haga clic en Aadir e introduzca la siguiente informacin en
enlace virtual que se incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el vnculo virtual.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.

Configuracin de la pestaa Perfiles de autenticacin


Red > Enrutador virtual > OSPF > Perfiles de autenticacin
La tabla siguiente describe los ajustes de la pestaa Perfiles de autenticacin.

Tabla 96. Configuracin de OSPF Pestaa Perfiles de autenticacin


Campo

Descripcin

Perfiles de autenticacin
Nombre de perfil

174 Configuracin de red

Introduzca un nombre para el perfil de autenticacin. Para autenticar


mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.

Palo Alto Networks

Tabla 96. Configuracin de OSPF Pestaa Perfiles de autenticacin (Continuacin)


Campo
Tipo de contrasea

Descripcin
Seleccione el tipo de contrasea (simple o MD5).
Si selecciona Simple, introduzca la contrasea.
Si selecciona MD5, introduzca una o ms entradas de contrasea,
incluyendo ID de clave (0-255), Clave y, opcionalmente el estado
Preferido. Haga clic en Aadir en cada entrada y, a continuacin,
haga clic en ACEPTAR. Para especificar la clave que se debe utilizar
para autenticar el mensaje saliente, seleccione la opcin Preferido.

Configuracin de la pestaa Reglas de exportacin


Red > Enrutador virtual > OSPF > Reglas de exportacin
La tabla siguiente describe los ajustes de la pestaa Reglas de exportacin.

Tabla 97. Configuracin de OSPF Pestaa Perfiles de autenticacin


Campo

Descripcin

Reglas de exportacin
Permitir redistribucin
de ruta predeterminada

Seleccione la casilla de verificacin para permitir la redistribucin de las


rutas predeterminadas mediante OSPF.

Nombre

Seleccione el nombre del perfil de redistribucin. El valor debe ser una


subred IP o un nombre de perfil de redistribucin vlido.

Nuevo tipo de ruta

Seleccione el tipo de mtrica que se aplicar.

Nueva etiqueta

Especifique una etiqueta para la ruta que tenga un valor de 32 bits.

Mtrica

Especifique la mtrica de ruta asociada con la ruta exportada que se


utilizar para seleccionar la ruta (opcional, intervalo 1-65535).

Configuracin de la pestaa Avanzado


Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado.

Tabla 98. Configuracin de OSPF Pestaa Avanzado


Campo

Descripcin

Avanzado
Compatibilidad RFC
1583

Palo Alto Networks

Selecciona la casilla de verificacin para garantizar la compatibilidad con


RFC 1583.

Configuracin de red 175

Tabla 98. Configuracin de OSPF Pestaa Avanzado (Continuacin)


Campo

Descripcin

Temporizadores

Retraso de clculo SPF (seg): Esta opcin es un temporizador que le


permite definir el retraso de tiempo entre la recepcin de nueva informacin de topologa y ejecutar un clculo SPF. Los valores menores
permiten una reconvergencia OSPF ms rpida. Los enrutadores que
se emparejan con el cortafuegos se deben configurar de manera similar
para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval
en RFC 2328. Los valores ms bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipologa.

Reinicio correcto

Habilitar reinicio correcto: Habilitado de forma predeterminada; un


cortafuegos que tenga esta funcin activada indicar a los enrutadores
vecinos que continen usndolo como ruta cuando tenga lugar una
transicin que lo desactive temporalmente.
Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuar reenviando a un
dispositivo adyacente durante el reinicio del dispositivo.
Habilitar comprobacin de LSA estricta: Habilitado de forma predeterminada; esta funcin hace que el cortafuegos que tenga habilitado el
modo auxiliar de OSPF salga de este modo si se produce un cambio de
topologa.
Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de
este mientras se estn restableciendo o el enrutador se est reiniciando.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos.
Mx. de hora de reinicio del mismo nivel: Periodo de gracia mximo
en segundos que el cortafuegos aceptar como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia ms
largo en su LSA de gracia, el cortafuegos no entrar en modo auxiliar.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 140 segundos.

Configuracin de la pestaa OSPFv3


Red > Enrutador virtual > OSPFv3
La configuracin del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se
establezcan los siguientes ajustes generales:

Tabla 99. Configuracin del enrutador virtual - Pestaa OSPF


Campo

Descripcin

Habilitar

Seleccione la casilla de verificacin para activar el protocolo OSPF.

Rechazar ruta por


defecto

Seleccione la casilla de verificacin si no desea obtener ninguna de las


rutas predefinidas mediante OSPF. Es muy recomendable seleccionar esta
casilla de verificacin, especialmente en rutas estticas.

ID del enrutador

Especifique el ID del enrutador asociado con la instancia OSPF en este


enrutador virtual. El protocolo OSPF utiliza el ID del enrutador para
identificar de manera nica la instancia OSPF.

Adems, se deben configurar ajustes en las siguientes pestaas:

176 Configuracin de red

Palo Alto Networks

Pestaa reas: Consulte Configuracin de la pestaa reas.

Pestaa Perfiles de autenticacin: Consulte Configuracin de la pestaa Perfiles de


autenticacin.

Pestaa Reglas de exportacin: Consulte Configuracin de la pestaa Reglas de


exportacin.

Pestaa Avanzado: Consulte Configuracin de la pestaa Avanzado.

Configuracin de la pestaa reas


Red > Enrutador virtual > OSPFv3 > reas
La tabla siguiente describe los ajustes de la pestaa reas.

Tabla 100. Configuracin del enrutador virtual - Pestaa reas


Campo

Descripcin

Autenticacin

Seleccione el nombre del perfil de autenticacin que desea especificar


para esta rea de OSPFarea.

Tipo

Seleccione una de las siguientes opciones.


Normal: No hay restricciones; el rea puede aceptar todos los tipos de
rutas.
Cdigo auxiliar: No hay salida desde el rea. Para acceder a un destino
fuera del rea, es necesario atravesar el lmite, que conecta con el resto
de reas. Si selecciona esta opcin, seleccione Aceptar resumen si desea
aceptar este tipo de anuncio de estado de enlace (LSA) de otras reas.
Tambin puede especificar si desea incluir una ruta LSA predefinida
en los anuncios al rea de cdigo auxiliar, junto con el valor mtrico
asociado (1-255).
Si la opcin Aceptar resumen de un rea de cdigo auxiliar de la
interfaz de enrutador de borde de rea (ABR) est desactivada, el rea
OSPF se comportar como un rea totalmente de cdigo auxiliar (TSA)
y ABR no propagar ninguno de los LSA de resumen.
NSSA (Not-So-Stubby Area, rea no totalmente de cdigo auxiliar):
Es posible salir del rea directamente, pero solo mediante rutas que no
sean OSPF. Si selecciona esta opcin, seleccione Aceptar resumen si
desea aceptar este tipo de LSA. Especifique si desea incluir una ruta
LSA predefinida en los anuncios al rea de cdigo auxiliar, junto con
el valor mtrico asociado (1-255). Tambin puede seleccionar el tipo de
ruta que se utilizar para anunciar el LSA predefinido. Haga clic en
Aadir en la seccin Intervalos externos e introduzca los intervalos si
desea activar o suprimir rutas externas de anuncios que se obtienen
mediante NSSA a otras reas.

Intervalo

Palo Alto Networks

Haga clic en Aadir para que la subred aada direcciones IPv6 de destino
LSA en el rea. Habilite o suprima LSA de anuncios que coincidan con
la subred y haga clic en ACEPTAR. Repita esta accin para aadir
intervalos adicionales.

Configuracin de red 177

Tabla 100. Configuracin del enrutador virtual - Pestaa reas (Continuacin)


Campo

Descripcin

Interfaz

Haga clic en Aadir e introduzca la siguiente informacin en cada


interfaz que se incluir en el rea y haga clic en ACEPTAR.
Interfaz: Seleccione la interfaz.
Habilitar: Permite que la configuracin de la interfaz OSPF surta efecto.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
Pasivo: Seleccione la casilla de verificacin si no desea que la interfaz
OSPF enve o reciba paquetes OSPF. Aunque los paquetes OSPF no se
envan ni reciben, si selecciona esta opcin, la interfaz se incluir en la
base de datos de LSA.
Tipo de enlace: Seleccione Difusin si desea poder acceder a todos los
vecinos mediante la interfaz y poder descubrirlos automticamente por
mensajes de tipo hello de multicast OSPF, como una interfaz Ethernet.
Seleccione p2p (punto a punto) para descubrir al vecino automticamente. Seleccione p2mp (punto a multipunto) si los vecinos se deben
definir manualmente. La definicin manual de vecino solo se permite
en modo p2mp.
Mtrica: Introduzca la mtrica OSPF de esta interfaz (0-65535).
Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255).
Es la prioridad del enrutador para ser el enrutador designado (DR) o de
reserva (BDR) segn el protocolo OSPF. Si el valor es cero, el enrutador
no se designar como DR ni BDR.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.
Intervalo de saludo (segundos): Intervalo en el que el proceso de
OSPF enva paquetes de saludo a sus vecinos directamente conectados.
Intervalo: 0-3600 segundos. Valor predeterminado:
10 segundos.
Recuentos fallidos: Nmero de ocasiones en las que se puede producir
el intervalo de saludo para un vecino sin que OSPF reciba un paquete
de saludo desde el vecino, antes de que OSPF considere que ese vecino
tiene un fallo. En intervalo de saludo multiplicado por los recuentos
fallidos es igual al valor del temporizador de temporizador de fallos.
Intervalo: 3-20. Valor predeterminado: 4.
Intervalo de retransmisin (segundo): Tiempo que espera el OSPF para
recibir un anuncio de estado de enlace (LSA) de un vecino antes de que
el OSPF retransmita el LSA. Intervalo: 0-3600 segundos. Valor predeterminado: 10 segundos.
Retraso de trnsito (segundo): Tiempo que un LSA se retrasa antes de
enviarse a una interfaz. Intervalo: 0-3600 segundos. Valor predeterminado: 1 segundo.

178 Configuracin de red

Palo Alto Networks

Tabla 100. Configuracin del enrutador virtual - Pestaa reas (Continuacin)


Campo

Descripcin

Interfaz (Continuacin)

Retraso de saludo de reinicio correcto (segundos): Se aplica a una


interfaz de OSPF cuando se configura la alta disponibilidad activa/
pasiva. Retraso de saludo de reinicio correcto es el tiempo durante el
cual el cortafuegos enva los paquetes de LSA de gracia en intervalos de
1 segundo. Durante este tiempo no se envan paquetes de saludo desde
el cortafuegos de reinicio. Durante el reinicio, el temporizador de fallos
(que es el intervalo de saludo multiplicado por los recuentos fallidos)
tambin avanza. Si el temporizador de fallos es demasiado corto, la
adyacencia bajar durante el reinicio correcto a causa del retraso de
saludo. Por lo tanto, se recomienda que el temporizador de fallos sea al
menos cuatro veces el valor del retraso de saludo de reinicio correcto.
Por ejemplo, un intervalo de saludo de 10 segundos y un valor de
recuentos fallidos de 4 da como resultado un valor de temporizador de
fallos de 40 segundos. Si el retraso de saludo de reinicio correcto se
establece en 10 segundos, ese retraso de 10 segundos de los paquetes de
saludo se enmarca cmodamente dentro del temporizador de fallos de
40 segundos, de forma que la adyacencia no agotar su tiempo de
espera durante un reinicio correcto. Intervalo: 1-10 segundos. Valor
predeterminado: 10 segundos.
Vecinos: En interfaces p2pmp, introduzca la direccin IP de todos los
vecinos accesibles mediante esta interfaz.

Enlaces virtuales

Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del rea troncal. Los ajustes se deben definir para enrutadores de
borde de rea y se deben definir en el rea troncal (0.0.0.0). Haga clic en
Aadir e introduzca la siguiente informacin en enlace virtual que se
incluir en el rea troncal y haga clic en ACEPTAR.
Nombre: Introduzca un nombre para el vnculo virtual.
ID de instancia: Introduzca un nmero de ID de instancia OSPFv3.
ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del
enlace virtual.
rea de trnsito: Introduzca el ID del rea de trnsito que contiene
fsicamente al enlace virtual.
Habilitar: Seleccione para habilitar el enlace virtual.
Sincronizacin: Es recomendable que mantenga sincronizada su
configuracin temporal predefinida.
Perfil de autenticacin: Seleccione un perfil de autenticacin definido
previamente.

Palo Alto Networks

Configuracin de red 179

Configuracin de la pestaa Perfiles de autenticacin


Red > Enrutador virtual > OSPFv3 > Perfiles de autenticacin
La tabla siguiente describe los ajustes de la pestaa Perfiles de autenticacin.

Tabla 101. Configuracin de OSPFv3 Pestaa Perfiles de autenticacin


Campo

Descripcin

Perfiles de autenticacin
Nombre de perfil

Introduzca un nombre para el perfil de autenticacin. Para autenticar


mensajes OSPF, primero defina los perfiles de autenticacin y a
continuacin, aplquelos a las interfaces en la pestaa OSPF.

SPI

Especifique el ndice de parmetros de seguridad (SPI) para los paquetes


transversales desde el cortafuegos remoto hasta el peer.

Protocolo

Especifique uno de los siguientes protocolos:


ESP: Protocolo de carga de seguridad encapsulada.
AH: Protocolo del encabezado de autenticacin

Algoritmo criptogrfico

Especifique una de las siguientes opciones:


Ninguno: No se utilizar ningn algoritmo criptogrfico.
SHA1: Algoritmo de hash seguro 1.
SHA256: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 256 bits.
SHA384: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 384 bits.
SHA512: Algoritmo de hash seguro 2. Conjunto de cuatro funciones de
hash con un resumen de 512 bits.
MD5: Algoritmo de resumen de mensaje de MD5.

Clave/Confirmar clave

Introduzca y confirme una clave de autenticacin.

Cifrado

Especifica una de las siguientes opciones:


aes128: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 128 bits.
aes192: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 192 bits.
aes256: Se aplica el estndar de cifrado avanzado (AES) usando las
claves criptogrficas de 256 bits.
nulo: No se utiliza ningn cifrado.
No est disponible si no se ha seleccionado el protocolo AH.

Clave/Confirmar clave

180 Configuracin de red

Introduzca y confirme una clave de cifrado.

Palo Alto Networks

Configuracin de la pestaa Reglas de exportacin


Red > Enrutador virtual > OSPF > Reglas de exportacin
La tabla siguiente describe los ajustes de la pestaa Reglas de exportacin.

Tabla 102. Configuracin de OSPF Pestaa Perfiles de autenticacin


Campo

Descripcin

Reglas de exportacin
Permitir redistribucin
de ruta predeterminada

Seleccione la casilla de verificacin para permitir la redistribucin de las


rutas predeterminadas mediante OSPF.

Nombre

Seleccione el nombre del perfil de redistribucin. El valor debe ser una


subred IP o un nombre de perfil de redistribucin vlido.

Nuevo tipo de ruta

Seleccione el tipo de mtrica que se aplicar.

Nueva etiqueta

Especifique una etiqueta para la ruta que tenga un valor de 32 bits.

Mtrica

Especifique la mtrica de ruta asociada con la ruta exportada que se


utilizar para seleccionar la ruta (opcional, intervalo 1-65535).

Configuracin de la pestaa Avanzado


Red > Enrutador virtual > OSPF > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado.

Tabla 103. Configuracin de OSPF Pestaa Avanzado


Campo

Descripcin

Avanzado
Deshabilitar enrutamiento de trnsito para
el clculo de SPF

Seleccione esta casilla de verificacin si desea establecer el R-bit en los


LSA del enrutador enviados desde este dispositivo para indicar que el
enrutador no est activo. Cuando est en este estado, el dispositivo
participa en OSPFv3 pero ningn otro enrutador enva trfico de trnsito.
En este estado, el trfico local seguir reenvindose al dispositivo. Es til
cuando se realiza mantenimiento con una red de dos bases porque el
trfico se puede volver a enrutar en el dispositivo mientras este siga
siendo accesible.

Temporizadores

Retraso de clculo SPF (seg): Esta opcin es un temporizador que le


permite definir el retraso de tiempo entre la recepcin de nueva informacin de topologa y ejecutar un clculo SPF. Los valores menores
permiten una reconvergencia OSPF ms rpida. Los enrutadores que
se emparejan con el cortafuegos se deben configurar de manera similar
para optimizar los tiempos de convergencia.
Intervalo LSA (seg): Esta opcin especifica el tiempo mnimo entre las
transmisiones de las dos instancias del mismo LSA (mismo enrutador,
mismo tipo, mismo ID de LSA). Es un equivalente de MinLSInterval en
RFC 2328. Los valores ms bajos se pueden utilizar para reducir los
tiempos de reconvergencia cuando se producen cambios en la tipologa.

Palo Alto Networks

Configuracin de red 181

Tabla 103. Configuracin de OSPF Pestaa Avanzado (Continuacin)


Campo

Descripcin

Reinicio correcto

Habilitar reinicio correcto: Habilitado de forma predeterminada; un


cortafuegos que tenga esta funcin activada indicar a los enrutadores
vecinos que continen usndolo como ruta cuando tenga lugar una
transicin que lo desactive temporalmente.
Habilitar modo auxiliar: Habilitado de forma predeterminada; un
cortafuegos que tenga este modo activado continuar reenviando a
un dispositivo adyacente durante el reinicio del dispositivo.
Habilitar comprobacin de LSA estricta: Habilitado de forma predeterminada; esta funcin hace que el cortafuegos que tenga habilitado el
modo auxiliar de OSPF salga de este modo si se produce un cambio
de topologa.
Periodo de gracia (seg): Periodo de tiempo en segundos que los
dispositivos peer deben continuar reenviando a las adyacencias de
este mientras se estn restableciendo o el enrutador se est reiniciando.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 120 segundos.
Mx. de hora de reinicio del mismo nivel: Periodo de gracia mximo
en segundos que el cortafuegos aceptar como enrutador de modo
auxiliar Si los dispositivos peer ofrecen un periodo de gracia ms largo
en su LSA de gracia, el cortafuegos no entrar en modo auxiliar.
Intervalo: 5 - 1800 segundos. Valor predeterminado: 140 segundos.

Configuracin de la pestaa BGP


Red > Enrutador virtual > BGP
La configuracin del protocolo de puerta de enlace de borde (BGP) requiere que se
establezcan los siguientes ajustes:

Tabla 104. Configuracin de enrutador virtual - Pestaa BGP


Campo

Descripcin

Habilitar

Seleccione la casilla de verificacin para activar funciones de BGP.

ID del enrutador

Introduzca la direccin IP para asignarla al enrutador virtual.

Nmero AS

Introduzca el nmero AS al que pertenece el enrutador virtual, en funcin


del ID del enrutador (intervalo 1-4294967295).

Adems, se deben configurar ajustes en las siguientes pestaas:

Pestaa General: Consulte Configuracin de la pestaa General.

Pestaa Avanzado: Consulte Configuracin de la pestaa Avanzado.

Pestaa Grupo del peer: Consulte Configuracin de la pestaa Grupo del peer.

Pestaa Importar: Consulte Configuracin de las pestaas Importar y Exportar.

Pestaa Exportar: Consulte Configuracin de las pestaas Importar y Exportar.

Pestaa Anuncio condicional: Consulte Configuracin de la pestaa Anuncio


condicional.

182 Configuracin de red

Palo Alto Networks

Pestaa Agregado: Consulte Configuracin de la pestaa Anuncio condicional.

Pestaa Reglas de redistr.: Consulte Configuracin de la pestaa Reglas de distr..

Configuracin de la pestaa General


Red > Enrutador virtual > BGP > General
La tabla siguiente describe los ajustes de la pestaa General.

Tabla 105. Configuracin de BGP Pestaa General


Campo

Descripcin

Pestaa General
Rechazar ruta por
defecto

Seleccione la casilla de verificacin para ignorar todas las rutas


predeterminadas anunciadas por peers BGP.

Instalar ruta

Seleccione la casilla de verificacin para instalar rutas BGP en la tabla


de enrutamiento global.

Agregar MED

Seleccione esta opcin para activar la agregacin de rutas incluso si las


rutas tienen valores diferentes de discriminador de salida mltiple (MED).

Preferencia local
predeterminada

Especifica un valor que se puede asignar para determinar preferencias


entre diferentes rutas.

Formato AS

Seleccione el formato de 2 (predefinido) o 4 bytes. Este ajuste es


configurable por motivos de interoperabilidad.

Comparar siempre MED

Permite comparar MED para rutas de vecinos en diferentes sistemas


autnomos.

Comparacin determinista de MED

Active la comparacin MED para elegir entre rutas anunciadas por peers
IBGP (peers BGP en el mismo sistema autnomo).

Perfiles de autenticacin

Haga clic en Aadir para incluir un nuevo perfil de autenticacin y


configurar los siguientes ajustes:
Nombre del perfil: Introduzca un nombre para identificar el perfil.
Secreto/Confirmar secreto: Introduzca y confirme la contrasea para
comunicaciones de peer BGP.
Haga clic en el icono

Palo Alto Networks

para eliminar un perfil.

Configuracin de red 183

Configuracin de la pestaa Avanzado


Red > Enrutador virtual > BGP > Avanzado
La tabla siguiente describe los ajustes de la pestaa Avanzado:

Tabla 106. Configuracin de BGP Pestaa Avanzado


Campo

Descripcin

Pestaa Avanzada
Reinicio correcto

Active la opcin de reinicio correcto.


Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede
permanecer inhabilitada (intervalo 1-3600 segundos; opcin predefinida 120 segundos).
Hora de reinicio local: Especifique el tiempo que el dispositivo local
tarda en reiniciar. Este valor se le comunica a los peers (intervalo 1-3600
segundos; opcin predefinida 120 segundos).
Mx. de hora de reinicio del peer: Especifique el tiempo mximo que
el dispositivo local acepta como perodo de gracia para reiniciar los
dispositivos peer (intervalo 1-3600 segundos; opcin predefinida
120 segundos).

ID de clster reflector

Especifique un identificador IPv4 para representar el clster reflector.

AS de miembro de
confederacin

Especifique el identificador de la confederacin AS que se presentar


como un AS nico a los peers BGP externos.

Perfiles de amortiguacin

Entre los parmetros se incluyen:


Nombre del perfil: Introduzca un nombre para identificar el perfil.
Habilitar: activa el perfil.
Corte: Especifique un umbral retirada de ruta por encima del cual, se
suprime un anuncio de ruta (intervalo 0,0-1000,0; opcin predefinida 1,25).
Reutilizar: Especifique un umbral de retirada de ruta por debajo del
cual una ruta suprimida se vuelve a utilizar (intervalo 0,0-1000,0; opcin
predeterminada 5).
Mx. de tiempo de espera: Especifique el tiempo mximo durante el
que una ruta se puede suprimir, con independencia de su inestabilidad
(intervalo 0-3600 segundos; opcin predeterminada 900 segundos).
Media vida de disminucin alcanzable: Especifique el tiempo despus
del cual la mtrica de estabilidad de una ruta se divide entre dos si la
ruta se considera alcanzable (intervalo 0-3600 segundos; opcin predefinida 300 segundos).
Media vida de disminucin no alcanzable: Especifique el tiempo
despus del cual la mtrica de estabilidad de una ruta se divide entre
dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos;
opcin predefinida 300 segundos).
Haga clic en el icono

184 Configuracin de red

para eliminar un perfil.

Palo Alto Networks

Configuracin de la pestaa Grupo del peer


Red > Enrutador virtual > BGP > Grupo del peer
La tabla siguiente describe los ajustes de la pestaa Grupo del peer.

Tabla 107. Configuracin de BGP Pestaa Grupo del peer


Campo

Descripcin

Pestaa Grupo del peer


Nombre

Introduzca un nombre para identificar el peer.

Habilitar

Seleccione para activar el peer.

Agregar ruta AS
confederada

Seleccione la casilla de verificacin para incluir una ruta a la AS de


confederacin agregada configurada.

Restablecimiento parcial
con informacin
almacenada

Seleccione la casilla de verificacin para ejecutar un restablecimiento


parcial del cortafuegos despus de actualizar los ajustes de peer.

Tipo

Especifique el tipo o grupo de peer y configure los ajustes asociados


(consulte la tabla siguiente para ver las descripciones de Importar
siguiente salto y Exportar siguiente salto).
IBGP: Especifique lo siguiente:
Exportar siguiente salto
EBGP confederado: Especifique lo siguiente;
Exportar siguiente salto
IBGP confederado: Especifique lo siguiente:
Exportar siguiente salto
EBGP: Especifique lo siguiente:
Importar siguiente salto
Exportar siguiente salto
Eliminar AS privado (seleccione si desea forzar que BGP elimine
nmeros AS privados).

Importar siguiente salto

Seleccione una opcin para importar el siguiente salto:


original: Utilice la direccin del salto siguiente en el anuncio de la ruta
original.
uso-peer: Utilice la direccin IP del peer como la direccin del salto
siguiente.

Exportar siguiente salto

Seleccione una opcin para exportar el siguiente salto:


resolver: Resuelve la direccin del siguiente salto mediante la tabla de
reenvo local.
usar mismas: Sustituya la direccin del siguiente salto con la direccin
de esta direccin IP del enrutador para garantizar que estar en la ruta
de reenvo.

Palo Alto Networks

Configuracin de red 185

Tabla 107. Configuracin de BGP Pestaa Grupo del peer (Continuacin)


Campo

Descripcin

Peer

Para agregar un nuevo peer, haga clic en Nuevo y configure los siguientes
ajustes:
Nombre: Introduzca un nombre para identificar el peer.
Habilitar: Seleccione para activar el peer.
As del peer: Especifique el AS del peer.
Direccin local: Seleccione una interfaz de cortafuegos y una direccin
IP local.
Opciones de conexin: Especifique las siguientes opciones:
Perfil de autenticacin: Seleccione el perfil.
Intervalo entre mensajes de mantenimiento de conexin: Especifique un intervalo despus del cual las rutas de un peer se supriman
segn el parmetro de tiempo de espera (intervalo 0-1200 segundos;
opcin predeterminada: 30 segundos).
Salto mltiple: Defina el valor del tiempo de vida (TTL) en el
encabezado IP (intervalo 1-255; opcin predefinida 0). El valor
predeterminado 0 significa 2 para eBGP y 255 para iBGP.
Abrir tiempo de retraso: Especifique el tiempo de retraso entre la
apertura de la conexin TCP del peer y el envo del primer mensaje
abierto de BGP (intervalo 0-240 segundos; opcin predeterminada:
0 segundos).
Tiempo de espera: Especifique el perodo de tiempo que puede
transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un
peer antes de cerrar la conexin del peer. (rango: 3-3600 segundos;
valor predeterminado: 90 segundos)
Tiempo de espera de inactividad: Especifique el tiempo de espera
en estado de inactividad antes de volver a intentar la conexin
con el peer (intervalo 1-3600 segundos; opcin predeterminada:
15 segundos).
Direccin del peer: Especifique la direccin IP y el puerto del peer.
Opciones avanzadas: Configure los siguientes ajustes:
Cliente reflector: Seleccione el tipo de cliente reflector (No cliente,
Cliente o Cliente en malla). Las rutas que se reciben de los clientes
reflector se comparten con todos los peers BGP internos y externos.
Tipo del peer: Especifique un peer bilateral o djelo sin especificar.
Mx. de prefijos: Especifique el nmero mximo de prefijos de IP
compatibles (1 - 100000 o ilimitado).
Conexiones entrantes/Conexiones salientes: Especifique los nmeros
de puertos entrantes y salientes y seleccione la casilla de verificacin
Permitir para permitir el trfico desde o hacia estos puertos.

186 Configuracin de red

Palo Alto Networks

Configuracin de las pestaas Importar y Exportar


Red > Enrutador virtual > BGP > Importar
Red > Enrutador virtual > BGP > Exportar
La tabla siguiente describe los ajustes de la pestaa Importar y Exportar.

Tabla 108. Configuracin de BGP Pestaas Importar y Exportar


Campo

Descripcin

Pestaas Importar reglas/Exportar reglas


Importar reglas/
Exportar reglas

Haga clic en la pestaa secundaria de BGP Importar reglas o Exportar


reglas. Para agregar una nueva regla, haga clic en Aadir y configure los
siguientes ajustes:
Pestaa secundaria General:
Nombre: Especifique un nombre para identificar la regla.
Habilitar: Seleccione para activar la regla.
Utilizada por: Seleccione los grupos de peer que utilizarn esta regla.
Pestaa secundaria Coincidencia:
Expresin regular de ruta AS: Especifique una expresin regular
para el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin
regular para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una
expresin regular para el filtrado de cadenas de comunidad
extendidas.
Prefijo de direccin: Especifique direcciones o prefijos IP para el
filtrado de rutas.
MED: Especifique un valor de MED para el filtrado de rutas.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de
la ruta.
Pestaa secundaria Accin:
Accin: Especifique una accin (Permitir o Denegar) que se realizar
cuando se cumplan las condiciones especificadas.
Preferencia local: Especifique un valor de preferencia local nicamente si la accin es Permitir.
MED: Especifique un valor de MED, nicamente si la accin es
Permitir (0- 65535).
Peso: Especifique un valor de de peso, nicamente si la accin es
Permitir. (0- 65535).
Siguiente salto: Especifique un enrutador de siguiente salto,
nicamente si la accin es Permitir.
Origen: Especifique el tipo de la ruta original: IGP, EGP o incompleta,
nicamente si la accin es Permitir.
Lmite de ruta AS: Especifique un lmite de ruta AS, nicamente si la
accin es Permitir.
Ruta AS: Especifique una ruta AS: Ninguna, Eliminar, Preceder,
Eliminar y preceder, nicamente si la accin es Permitir.

Palo Alto Networks

Configuracin de red 187

Tabla 108. Configuracin de BGP Pestaas Importar y Exportar (Continuacin)


Campo
Importar reglas/
Exportar reglas
(Continuacin)

Descripcin
Comunidad: Especifique una opcin de comunidad: Ninguna,
Eliminar todo, Eliminar Regex, Anexar o Sobrescribir, nicamente
si la accin es Permitir.
Comunidad extendida: Especifique una opcin de comunidad:
Ninguna, Eliminar todo, Eliminar Regex, Anexar o Sobrescribir,
nicamente si la accin es Permitir.
Amortiguacin: Especifique un parmetro de amortiguacin, nicamente
si la accin es Permitir.Haga clic en el icono
para eliminar un grupo.
Haga clic en Duplicar para aadir un nuevo grupo con los mismos ajustes
que el grupo seleccionado. Se aade un sufijo al nombre del nuevo grupo
para distinguirlo del original.

Configuracin de la pestaa Anuncio condicional


Red > Enrutador virtual > BGP > Anuncio condicional
La tabla siguiente describe los ajustes de la pestaa Anuncio condicional.

Tabla 109. Configuracin de BGP Pestaas Anuncio condicional


Campo

Descripcin

Pestaa Anuncio
condicional

La funcin de anuncio condicional BGP permite controlar la ruta que


se anunciar en caso de que no exista ninguna ruta diferente en la tabla
de enrutamiento BGP local (LocRIB), indicando un fallo de peering o
alcance. Esta funcin es muy til si desea probar y forzar rutas de un
AS a otro, por ejemplo, si tiene enlaces a Internet con varios ISP y desea
enrutar el trfico a un nico proveedor, en lugar de a los otros, salvo que
se produzca una prdida de conectividad con el proveedor preferido. Con
la funcin de anuncio condicional, puede configurar un filtro no existente
que busque el prefijo de la ruta preferida. Si se encuentra alguna ruta
coincidente con el filtro no existente en la tabla de enrutamiento BGP
local, solo entonces el dispositivo permitir el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en
su filtro de anuncio. Para configurar el anuncio condicional, seleccione la
pestaa Anuncio condicional y haga clic en Aadir. A continuacin se
describe cmo se configuran los valores en los campos.

Poltica

Especifique el nombre de la poltica para esta regla de anuncio


condicional.

Habilitar

Seleccione la casilla de verificacin para activar el anuncio condicional


de BGP.

Utilizado por

Haga clic en Aadir y seleccione los grupos de peer que utilizarn esta
poltica de anuncio condicional.

188 Configuracin de red

Palo Alto Networks

Tabla 109. Configuracin de BGP Pestaas Anuncio condicional (Continuacin)


Campo

Descripcin

Pestaa secundaria
Filtros no existentes

Utilice esta pestaa para especificar el prefijo de la ruta preferida.


Especifica la ruta que desea anunciar, si est disponible en la tabla de
ruta de BGP local. Si un prefijo se va a anunciar y coincide con un filtro no
existente, el anuncio se suprimir.
Haga clic en Aadir para crear un filtro no existente.
Filtros no existentes: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
MED: Especifique un valor de MED para el filtrado de rutas.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto de la ruta preferida.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.

Pestaa secundaria
Anunciar filtros

Utilice esta pestaa para especificar el prefijo de la ruta de la tabla de


enrutamiento Local-RIB que se debera anunciar en caso de que la ruta del
filtro no existente no est disponible en la tabla de enrutamiento local.
Si un prefijo se va a anunciar y no coincide con un filtro no existente, el
anuncio se producir.
Haga clic en Aadir para crear un filtro de anuncio.
Anunciar filtros: Especifique un nombre para identificar este filtro.
Habilitar: Seleccione para activar el filtro.
Expresin regular de ruta AS: Especifique una expresin regular para
el filtrado de rutas AS.
Expresin regular de la comunidad: Especifique una expresin regular
para el filtrado de cadenas de comunidad.
Expresin regular de comunidad extendida: Especifique una expresin
regular para el filtrado de cadenas de comunidad extendidas.
MED: Especifique un valor de MED para el filtrado de rutas.
Prefijo de direccin: Haga clic en Aadir y especifique el prefijo NLRI
exacto para anunciar la ruta si la ruta preferida no est disponible.
Siguiente salto: Especifique los enrutadores o subredes del salto
siguiente para el filtrado de rutas.
Del peer: Especifique los enrutadores del peer para el filtrado de la ruta.

Palo Alto Networks

Configuracin de red 189

Configuracin de la pestaa Agregado


Red > Enrutador virtual > BGP > Agregado
La tabla siguiente describe los ajustes de la pestaa Agregado:

Tabla 110. Configuracin de BGP Pestaa Agregado


Campo

Descripcin

Pestaa Agregado
Nombre

Introduzca un nombre para la configuracin de agregacin.

Suprimir filtros

Defina los atributos que harn que las rutas coincidentes se supriman.

Anunciar filtros

Defina los atributos para los filtros anunciados que asegurarn que
cualquier enrutador que coincida con el filtro definido se publicar en
los peers.

Agregar atributos
de ruta

Defina los atributos que se utilizarn para hacer coincidir las rutas que
se agregarn.

Configuracin de la pestaa Reglas de distr.


Red > Enrutador virtual > BGP > Reglas de distr.
En la siguiente tabla se describe la configuracin de la pestaa Reglas de redistr.:

Tabla 111. Configuracin de BGP Reglas de distr.


Campo

Descripcin

Pestaa Reglas de redistr.


Nombre

Seleccione el nombre del perfil de redistribucin.

Permitir redistribucin
de ruta predeterminada

Seleccione la casilla de verificacin para permitir que el cortafuegos


redistribuya su ruta predefinida a los peers BGP.

Reglas de redistr.

Para agregar una nueva regla, haga clic en Aadir, configure los
siguientes ajustes y haga clic en Listo. Los parmetros de esta tabla
se han descrito anteriormente en las pestaas Importar reglas y
Exportar reglas.
Haga clic en el icono

190 Configuracin de red

para eliminar una regla.

Palo Alto Networks

Configuracin de la pestaa Multicast


Red > Enrutador virtual > Multicast
La configuracin de protocolos de multicast necesita que se configuren los siguientes ajustes
estndar:

Tabla 112. Configuracin de enrutador virtual - Pestaa Multicast


Campo

Descripcin

Habilitar

Seleccione la casilla de verificacin para activar el enrutamiento multicast.

Adems, se deben configurar ajustes en las siguientes pestaas:

Pestaa Punto de encuentro: Consulte Configuracin de la pestaa Espacio de direccin


especfico de origen.

Pestaa Interfaces: Consulte Configuracin de la pestaa Interfaces.

Pestaa Umbral SPT: Consulte Configuracin de la pestaa Umbral SPT.

Pestaa Espacio de direccin especfico de origen: Consulte Configuracin de la


pestaa Espacio de direccin especfico de origen.

Palo Alto Networks

Configuracin de red 191

Configuracin de la pestaa Espacio de direccin especfico de origen


Red > Enrutador virtual > Multicast > Punto de encuentro
La tabla siguiente describe los ajustes de la pestaa Punto de encuentro:

Tabla 113. Configuracin de multicast Pestaa Punto de encuentro


Campo

Descripcin

Pestaa secundaria Punto de encuentro


Tipo de RP

Seleccione el tipo de Punto de encuentro (RP) que se ejecutar en este


enrutador virtual. Se debe configurar un RP esttico de forma explcita en
otros enrutadores PIM, mientras que se elige automticamente un RP
candidato.
Ninguno: Seleccione esta opcin si no hay ningn RP ejecutndose en
este enrutador virtual.
Esttico: Especifique una direccin IP esttica para el RP y seleccione las
opciones de Interfaz de RP y Direccin de RP en las listas desplegables.
Active la casilla de verificacin Cancelar RP obtenido para el mismo
grupo si desea utilizar el RP especificado del RP elegido para este grupo.
Candidato:: Especifique la siguiente informacin para el candidato del
RP que se ejecuta en este enrutador virtual:
Interfaz de RP: Seleccione una interfaz para el RP. Los tipos de
interfaz vlidos incluyen loopback, L3, VLAN, Ethernet agregada y
tnel.
Direccin de RP: Seleccione una direccin IP para el RP.
Prioridad: Especifique una prioridad para los mensajes de RP
candidato (opcin predefinida 192).
Intervalo de anuncio: Especifique un intervalo entre anuncios para
mensajes RP candidatos.
Lista de grupos: Si selecciona Esttico o Candidato, haga clic en Aadir
para especificar una lista de grupos en los que este RP candidato se
propone para ser el RP.

Punto de encuentro
remoto

Haga clic en Aadir y especifique la siguiente informacin:


Direccin IP: Especifique la direccin IP del RP.
Cancelar RP obtenido para el mismo grupo: Active esta casilla de
verificacin si desea utilizar el RP especificado del RP elegido para
este grupo.
Grupo: Especifique una lista de grupos en los que la direccin especificada actuar como RP.

192 Configuracin de red

Palo Alto Networks

Configuracin de la pestaa Interfaces


Red > Enrutador virtual > Multicast > Interfaces
En la siguiente tabla se describe la configuracin de la pestaa Interfaces:

Tabla 114. Configuracin de multicast Pestaa Interfaces


Campo

Descripcin

Pestaa secundaria Interfaces


Nombre

Introduzca un nombre para identificar un grupo de interfaces.

Descripcin

Introduzca una descripcin opcional.

Interfaz

Haga clic en Aadir para especificar una o ms interfaces de cortafuegos.

Permisos de grupos

Especifique las reglas generales para el trfico de multicast:


Cualquier fuente: Haga clic en Aadir para especificar una lista de
grupos de multicast para los que se permite el trfico PIM-SM.
Origen especfico: Haga clic en Aadir para especificar una lista de
grupos de multicast y pares de origen de multicast para los que se
permite el trfico PIM-SSM.

IGMP

Especifique reglas para el trfico IGMP. IGMP se debe activar para el host
del lado de las interfaces (enrutador IGMP) o para interfaces de host
proxy IGMP.
Habilitar: Active la casilla de verificacin para activar la configuracin
IGMP.
Versin IGMP: Seleccione la versin 1, 2 o 3 que se ejecutar en la
interfaz.
Aplicar opcin de IP de enrutador-alerta: Seleccione la casilla de
verificacin para solicitar la opcin IP de alerta de enrutador cuando
se comunique mediante IGMPv2 o IGMPv3. Esta opcin se debe
deshabilitar para su compatibilidad con IGMPv1.
Potencia: Seleccione un valor entero para las cuentas de prdida de
paquete en una red (intervalo 1-7; opcin predefinida 2). Si la prdida
del paquete es comn, seleccione un valor mayor.
Mx. de fuentes: Especifique la cantidad mxima de pertenencias
especficas de origen permitido en esta interfaz (0 = ilimitado).
Mx. de grupos: Especifique la cantidad mxima de grupos permitidos
en esta interfaz.
Configuracin de consultas: Especifique lo siguiente:
Intervalo de consulta: Especifique el intervalo al que se enviarn las
consultas generales a todos los hosts.
Mx. de tiempo de respuesta de consulta: Especifique el tiempo
mximo entre una consulta general y una respuesta de un host.
ltimo intervalo de consulta de miembro: Especifique el intervalo
entre los mensajes de consulta entre grupos o de origen especfico
(incluyendo los enviados en respuesta a los mensajes salientes
del grupo).
Salida inmediata: Active la casilla de verificacin para salir del
grupo inmediatamente cuando reciba un mensaje de salida.

Palo Alto Networks

Configuracin de red 193

Tabla 114. Configuracin de multicast Pestaa Interfaces (Continuacin)


Campo

Descripcin

Configuracin PIM

Especifique los siguientes ajustes de multicast independiente de


protocolo (PIM):
Habilitar: Seleccione la casilla de verificacin para permitir que esta
interfaz reciba y/o reenve mensajes PIM
Imponer intervalo: Especifique el intervalo entre mensajes de imposicin
de PIM.
Intervalo de saludo: Especifique el intervalo entre mensajes de saludo
de PIM.
Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de
unin y poda de PIM (segundos). El valor predeterminado es 60.
Prioridad de DR: Especifique la prioridad del enrutador que se ha
designado para esta interfaz
Borde de BSR: Active la casilla de verificacin para utilizar la interfaz
como borde de arranque.
Vecinos PIM: Haga clic en Aadir para especificar la lista de vecinos
que se comunicarn mediante PIM.

Configuracin de la pestaa Umbral SPT


Red > Enrutador virtual > Multicast > Umbral SPT
La tabla siguiente describe los ajustes de la pestaa Umbral SPT.

Tabla 115. Configuracin de multicast Pestaa Umbral SPT


Campo

Descripcin

Pestaa secundaria Umbral SPT


Nombre

El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en


kbps) a la que el enrutamiento multicast cambiar desde la distribucin
del rbol compartido (con origen en el punto de encuentro) a la
distribucin del rbol de origen.
Haga clic en Aadir para especificar los siguientes ajustes de SPT:
Grupo/prefijo de multicast: Especifique la direccin/prefijo IP para
el que SPT se cambiar a la distribucin del rbol de origen cuando el
rendimiento alcance los umbrales deseados (kbps).
Umbral: Especifique el rendimiento al que se cambiar desde la distribucin del rbol compartido a la distribucin del rbol de origen.

194 Configuracin de red

Palo Alto Networks

Configuracin de la pestaa Espacio de direccin especfico de origen


Red > Enrutador virtual > Multicast > Espacio de direccin especfico de origen
La tabla siguiente describe los ajustes de la pestaa Espacio de direccin especfico de origen.

Tabla 116. Configuracin de multicast Pestaa Espacio de direccin especfico


de origen
Campo

Descripcin

Pestaa secundaria Espacio de direccin especfico de origen


Nombre

Define los grupos de multicast a los que el cortafuegos proporcionar


servicios de multicast de origen especfico (SSM).
Haga clic en Aadir para especificar los siguientes ajustes de direcciones
de origen especfico:
Nombre: Introduzca un nombre para identificar este grupo de ajustes.
Grupo: Especifique los grupos del espacio de direccin SSM.
Incluido: Active esta casilla de verificacin para incluir los grupos
especificados en el espacio de direccin SSM.

Definicin de zonas de seguridad


Red > Zonas
Para que la interfaz de un cortafuegos pueda procesar el trfico, se debe asignar a una zona
de seguridad. Para definir zonas de seguridad, haga clic en Nueva y especifique la siguiente
informacin:

Tabla 117. Configuracin de zona de seguridad


Campo

Descripcin

Nombre

Introduzca un nombre de una zona (hasta 15 caracteres). Este nombre


aparece en la lista de zonas cuando se definen polticas de seguridad y
se configuran interfaces. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, puntos, guiones y guiones bajos.

Ubicacin

Este campo solo aparece si el dispositivo admite varios sistemas virtuales


(vsys) y esa funcin est activada. Seleccione el vsys que se aplicar a
esta zona.

Tipo

Seleccione un tipo de zona (Capa 2, Capa 3, Cable virtual, Tap, o sistema


virtual externo) para enumerar todas las interfaces de ese tipo que no
tengan una zona asignada. Los tipos de zona de capa 2 y capa 3 enumeran
todas las interfaces y subinterfaces Ethernet de ese tipo. El tipo de sistema
virtual externo es para comunicaciones entre los sistemas virtuales del
cortafuegos.
Cada interfaz puede pertenecer a una zona en un sistema virtual.

Perfiles de proteccin
de zonas

Palo Alto Networks

Seleccione un perfil que especifique cmo responde la puerta de enlace


de seguridad a los ataques en esta zona. Para aadir nuevos perfiles,
consulte Definicin de perfiles de proteccin de zonas.

Configuracin de red 195

Tabla 117. Configuracin de zona de seguridad (Continuacin)


Campo

Descripcin

Ajuste de log

Seleccione un perfil para reenviar logs de proteccin de zonas a un


sistema externo.
Si tiene un perfil de reenvo de logs denominado predeterminado, este se
seleccionar automticamente para este campo cuando defina una nueva
zona de seguridad. Puede cancelar esta configuracin predeterminada en
cualquier momento seleccionado un perfil de reenvo de logs diferente
cuando establezca una nueva zona de seguridad. Para definir o aadir
un nuevo perfil de reenvo de logs (y para denominar a un perfil
predeterminado y que este campo se rellene automticamente), haga clic
en Nuevo (consulte Reenvo de logs).

Habilitar identificacin
de usuarios

Habilite la funcin de identificacin de usuarios por zonas.

ACL de identificacin
de usuarios
Lista de permitidos

Introduzca la direccin IP o la direccin IP/mscara de un usuario o


grupo para su identificacin (por ejemplo, 10.1.1.1/24). Haga clic en
Aadir. Repita el procedimiento las veces que sea necesario. Si no se ha
configurado una lista de permitidos, se permiten todas las direcciones IP.

ACL de identificacin
de usuarios
Lista de excluidos

Introduzca la direccin IP o la direccin IP/mscara de un usuario


o grupo que no debe ser identificado explcitamente (por ejemplo,
10.1.1.1/24). Haga clic en Aadir. Repita el procedimiento las veces que
sea necesario. Si no se ha configurado una lista de excluidos, se permiten
todas las direcciones IP.

Compatibilidad de VLAN
Red > VLAN
El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802.1Q. Cada una de las
interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. La misma
VLAN se puede asignar a varias interfaces de capa 2, pero cada interfaz solo puede pertenecer
a una VLAN.

Tabla 118. Configuracin de VLAN


Campo

Descripcin

Nombre

Introduzca un nombre de VLAN (de hasta 31 caracteres). Este nombre


aparece en la lista de redes VLAN cuando se configuran interfaces.
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Interfaz de VLAN

Seleccione una interfaz VLAN para permitir enrutar el trfico fuera de la


VLAN. Para definir una interfaz VLAN, consulte Configuracin de una
interfaz VLAN.

Interfaces

Especifique interfaces del cortafuegos para VLAN.

Configuracin de MAC
esttica

Especifique la interfaz mediante la que una direccin MAC es alcanzable.


Sustituye a todas las asignaciones obtenidas de interfaz a MAC.

196 Configuracin de red

Palo Alto Networks

Servidor y retransmisin DHCP


Red > DHCP
Se puede configurar una interfaz en el cortafuegos como servidor DHCP o como agente de
retransmisin DHCP. Un servidor DHCP en una interfaz Ethernet de capa 2, Ethernet de
agregacin o VLAN de capa 3 puede asignar direcciones IP y proporcionar opciones de DHCP
a los clientes. Se admiten varios servidores DHCP. Las solicitudes de los clientes se pueden
reenviar a todos los servidores, con la primera respuesta del servidor devuelta al cliente.
La tabla enumera los campos de las pestaas Servidor DHCP y Retransmisin DHCP.

Tabla 119. Configuracin de DHCP


Campo

Descripcin

Pestaa servidor DHCP


Interfaz

Seleccione la interfaz del cortafuegos para que acte como servidor DHCP.

Modo

Especifique si desea que el servidor de DHCP se active o desactive o


seleccione el modo automtico, que activar el servidor DHCP, pero que
lo desactivar si otro servidor de DHCP se detecta en la red.

Hacer ping a la IP al
asignar IP nuevas

Seleccione la casilla de verificacin para que el servidor DHCP enve un


mensaje ping cuando se asigne una direccin IP a un cliente. Si el ping
recibe una respuesta, significar que ya hay un dispositivo diferente
con esa direccin, por lo que no est disponible para su asignacin.
El servidor DHCP asigna la siguiente direccin desde el grupo.

Concesin

Duracin que el servidor DHCP asigna a una direccin IP para un cliente.


Seleccione Ilimitado o seleccione Tiempo de espera e introduzca la
duracin de la concesin en das, horas y, de forma optativa, minutos.
Por ejemplo, si solo introduce horas la concesin se restringe a ese
nmero de horas.

Origen de herencia

Seleccione una interfaz de cliente DHCP de origen o una interfaz de


cliente PPPoE para propagar distintos ajustes de servidor en el servidor
de DHCP. Si especifica un origen de herencia, seleccione una o varias
opciones que desee como heredadas desde este origen. El servidor puede
heredar direcciones de servidor DNS, WINS, NIS, NTP, POP3 y SMTP, y
un sufijo DNS.

Puerta de enlace

Introduzca la direccin IP de la puerta de enlace de red que se utiliza para


acceder a cualquier dispositivo que no est en la misma LAN que este
servidor DHCP.

Subred de Ippool

Introduzca la mscara de red (formato x.x.x.x) que se aplica a las


direcciones del campo Grupos de IP.

DNS principal

Seleccione como heredada o introduzca la direccin IP del servidor del


sistema de nombre de dominio (DNS) que prefiera.

DNS secundario

Seleccione como heredada o introduzca la direccin IP del servidor DNS


alternativo.

WINS principal

Seleccione como heredada o introduzca la direccin IP del servidor del


servicio de nomenclatura de Internet de Windows (DNS) que prefiera.

WINS secundario

Seleccione como heredada o introduzca la direccin IP del servidor WINS


alternativo.

Palo Alto Networks

Configuracin de red 197

Tabla 119. Configuracin de DHCP (Continuacin)


Campo

Descripcin

NIS principal

Seleccione como heredada o introduzca la direccin IP del servidor del


servicio de informacin de red (NIS) que prefiera.

NIS secundario

Seleccione como heredada o introduzca la direccin IP del servidor NIS


alternativo.

NTP principal

Seleccione como heredada o introduzca la direccin IP del protocolo de


tiempo de red primario (NTP) que prefiera. Si especifica un servidor NTP
primario y uno secundario, el cortafuegos los utilizar indistintamente.

NTP secundario

Seleccione como heredada o introduzca la direccin IP del servidor NTP


secundario.

Servidor POP3

Seleccione como heredada o introduzca la direccin IP del servidor del


Protocolo de oficina de correo (POP3) .

Servidor SMTP

Seleccione como heredada o introduzca la direccin IP del Protocolo


simple de transferencia de correo (SMTP).

Sufijo DNS

Seleccione como heredada o introduzca un sufijo que el cliente pueda


utilizar localmente cuando se introduzca un nombre de host sin
restricciones que no pueda resolver.

Grupos de IP

Haga clic en Aadir y especifique el intervalo de direcciones IP que este


servidor puede asignar a los clientes y al que se aplica esta configuracin
de DHCP. Puede introducir una IP y una mscara de subred (por ejemplo,
192.168.1.0/24) o un intervalo de direcciones IP (por ejemplo,
192.168.1.10-192.168.1.20).
Se necesita al menos un grupo de IP; puede introducir varios grupos de
IP. Para editar una entrada existente, haga clic en Editar, realice los
cambios necesarios y, a continuacin, haga clic en Listo. Para eliminar
una entrada, haga clic en Eliminar.

Direccin reservada

Especifique una direccin IP (formato x.x.x.x) desde los grupos de IP que


no quiera que asigne dinmicamente el servidor DHCP a un cliente.
De forma opcional, introduzca la direccin MAC (formato
xx:xx:xx:xx:xx:xx) del dispositivo al que desea asignar de forma
permanente la direccin reservada. Cuando el cliente que tiene esa
direccin MACenva una solicitud al servidor, el servidor asignar la
direccin reservada al cliente.
Puede introducir varias direcciones reservadas y direcciones MAC.
Para editar una entrada existente, haga clic en Editar, realice los cambios
necesarios y, a continuacin, haga clic en Listo. Para eliminar una
entrada, haga clic en Eliminar.
Si deja esta rea en blanco, no se reservarn direcciones IP.

Pestaa Retransmisin DHCP


Interfaz

Seleccione la interfaz del cortafuegos para que acte como agente de


retransmisin DHCP.

IPv4

Active la casilla de verificacin IPv4 para utilizar direcciones IPv4 para


retransmisiones DHCP y especifique direcciones IPv4 para hasta cuatro
servidores DHCP.

IPv6

Active la casilla de verificacin IPv6 para utilizar direcciones IPv6 para


retransmisiones DHCP y especifique direcciones IPv6 para hasta cuatro
servidores DHCP. Especifique una interfaz de salida si utiliza una
direccin de multicast IPv6 para su servidor.

198 Configuracin de red

Palo Alto Networks

Proxy DNS
Red > Proxy DNS
En el caso de todas las consultas DNS que se dirigen a una direccin IP de interfaz, el
cortafuegos admite la direccin selectiva de consultas a diferentes servidores DNS en funcin
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envan mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un nico paquete UDP.
Si el nombre de dominio no es encuentra en la cach proxy de DNS, el nombre de dominio se
busca segn la configuracin de las entradas e el objeto proxy DNS especfico (en la interfaz
en la que se recibe la consulta DNS) y se reenva a un servidor de nombres en funcin de
los resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. Tambin se admiten entradas estticas y cach.

Tabla 120. Configuracin de Proxy DNS


Campo

Descripcin

Nombre

Especifique un nombre para identificar el proxy DNS (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Habilitar

Seleccione la casilla de verificacin para activar proxy DNS.

Origen de herencia

Seleccione un origen para heredar las configuraciones del servidor DNS


predefinido. Se suele utilizar en implementaciones de sucursales, en las
que a la interfaz WAN del cortafuegos se accede mediante DHCP o PPPoE.

Principal

Especifique las direcciones IP de los servidores DNS primario y


secundario. Si el servidor DNS primario no se encuentra, se utilizar el
secundario.

Secundario
Comprobar origen
de herencia

Haga clic en el enlace para ver la configuracin del servidor asignada


actualmente a las interfaces del cliente DHCP y PPoE. Pueden incluir
DNS, WINS, NTP, POP3, SMTP o sufijo DNS.

Interfaz

Active las casillas de verificacin Interfaz para especificar las interfaces


del cortafuegos que admiten las reglas de proxy DNS. Seleccione una
interfaz de la lista desplegable y haga clic en Aadir. Puede aadir
varias interfaces. Para eliminar una interfaz, seleccinela y haga clic
en Eliminar.

Palo Alto Networks

Configuracin de red 199

Tabla 120. Configuracin de Proxy DNS (Continuacin)


Campo

Descripcin

Reglas de proxy DNS

Identifique reglas del servidor proxy DNS. Haga clic en Aadir y


especifique la siguiente informacin:
Nombre: Se requiere un nombre para poder designar la entrada esttica
y modificar mediante CLI.
Activar el almacenamiento en cach de dominios resueltos por esta
asignacin: Active esta casilla de verificacin para activar el almacenamiento en cach de dominios resueltos por esta asignacin.
Nombre de dominio: Haga clic en Aadir e introduzca el nombre
de dominio del servidor proxy. Repita esta accin para aadir ms
nombres. Para eliminar un nombre, seleccinelo y haga clic en
Eliminar. En el caso de una regla de proxy DNS, el nmero de testigos
en una cadena comodn debe coincidir con el nmero de testigos en el
dominio solicitado. Por ejemplo, *.ingeniera.local no coincidir con
ingeniera.local. Se deben especificar ambos.
Principal/Secundario: Introduzca el nombre de host o la direccin IP de
los servidores DNS principal y secundario.

Entradas estticas

Proporcione un FQDN esttico a las asignaciones de direccin IP que


se distribuirn en respuesta a consultas DNS realizadas por los hosts.
Haga clic en Aadir y especifique la siguiente informacin:
Nombre: Introduzca un nombre para la entrada esttica.
FQDN: Introduzca el nombre de dominio completo (FQDN) que se
asignar a las direcciones IP estticas definidas en el campo Direccin.
Direccin: Haga clic en Aadir e introduzca las direcciones IP que se
asignan a este dominio.
Repita esta accin para aadir ms direcciones. Para eliminar una
direccin, seleccinela y haga clic en Eliminar.

Avanzado

Especifique la siguiente informacin:


Cach: Seleccione la casilla de verificacin para activar el almacenamiento DNS y especifique la siguiente informacin:
Tamao: Especifique el nmero de entradas que retendr la cach
(intervalo 1024-10240; opcin predefinida 1024).
Tiempo de espera: Especifique la duracin (horas) despus de la
que se eliminarn todas las entradas. Los valores de tiempo de vida
DNS se utilizan para eliminar las entradas de cach cuando se han
almacenado durante menos tiempo que el perodo configurado. Tras
el tiempo de espera, las nuevas solicitudes se deben resolver y volver
a guardar en la cach (intervalo 4 a 24, opcin predefinida 4 horas).
Consultas TCP: Seleccione la casilla de verificacin para activar las
consultas DNS utilizando DNS y especifique la siguiente informacin:
Mx. de solicitudes pendientes: Especifique el lmite superior del
nmero de solicitudes DNS sTCP pendientes simultneas que
admitir el cortafuegos (intervalo 64-256, opcin predefinida 64).

200 Configuracin de red

Palo Alto Networks

Tabla 120. Configuracin de Proxy DNS (Continuacin)


Campo

Descripcin

Avanzado
(Continuacin)

Reintentos de consultas de UDP: Especifique los ajustes de reintentos


de consultas UDP:
Intervalo: Especifique el tiempo en segundos despus del cual se
enviar otra solicitud si no se ha recibido respuesta (intervalo 1-30,
opcin predefinida 2 segundos).
Intentos: Especifique el nmero mximo de intentos (sin incluir el
primer intento) despus de los cuales se intentar el siguiente
servidor DNS (intervalo 1-30, opcin predefinida 5).

Definicin de perfiles de gestin de interfaz


Red > Perfiles de red > Gestin de interfaz
Utilice esta pgina para especificar los protocolos que se utilizan para gestionar el cortafuegos.
Para asignar perfiles de gestin a cada interfaz, consulte Configuracin de una interfaz
Ethernet de capa 3 y Configuracin de una subinterfaz Ethernet de capa 3.

Tabla 121. Configuracin del Perfil de gestin de interfaz


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de gestin de interfaz cuando se configuran
interfaces. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Ping

Active la casilla de verificacin de cada servicio para activarlo en las


interfaces donde se aplique el perfil.

Telnet
SSH
HTTP
OCSP de HTTP
HTTPS
SNMP
Pginas de respuesta
Servicio de ID de
usuario
Direcciones IP
permitidas

Palo Alto Networks

La casilla de verificacin Pginas de respuesta controla si los puertos


utilizados como pginas de respuesta de portal cautivo y filtrado URL
se abren con interfaces de capa 3. Los puertos 6080 y 6081 se mantienen
abiertos si se activa este ajuste.
La opcin Servicio de ID de usuario es necesaria para permitir la
comunicacin entre cortafuegos si un cortafuegos acta como un punto
de redistribucin para proporcionar informacin de asignacin de
usuarios a otros cortafuegos de PAN-OS. Consulte Pestaa Agentes de
ID de usuarios.
Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la
gestin de cortafuegos.

Configuracin de red 201

Definicin de perfiles de supervisin


Red > Perfiles de red > Supervisar
Un perfil de supervisor se utiliza para supervisar las reglas de reenvo basado en polticas
(PFB) de tneles de IPSec y dispositivos de siguiente salto. En ambos casos, el perfil de
supervisin se utiliza para especificar la medida que se adoptar cuando un recurso (tnel
de IPSec o dispositivo de siguiente salto) no est disponible. Los perfiles de supervisin son
opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para
garantizar el cumplimiento de las reglas PBF. Los siguientes ajustes se utilizan para configurar
un perfil de supervisin.

Tabla 122.

Configuracin de supervisin

Campo

Descripcin

Nombre

Introduzca un nombre para identificar el perfil de supervisin (de hasta


31 caracteres). El nombre hace distincin entre maysculas y minsculas
y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios,
guiones y guiones bajos.

Accin

Especifique la accin que se realizar si el tnel no est disponible. Si el


nmero de umbral de latidos se pierde, el cortafuegos realiza la accin
especificada.
Esperar recuperacin: Espera a que el tnel se recupere, no realiza
ninguna accin adicional. Los paquetes continuarn envindose de
acuerdo con la regla PBF.
Conmutacin por error: El trfico cambiar a una ruta de seguridad,
si existe una disponible. El cortafuegos utiliza la bsqueda de tabla de
enrutamiento para determinar el enrutamiento durante la sesin.
En ambos casos, el cortafuegos intentar negociar nuevas claves de IPSec
para acelerar la recuperacin.

Intervalo

Especifique el tiempo entre latidos (intervalo 2-10; opcin predefinida 3).

Umbral

Especifique el nmero de latidos que se perdern antes de que el


cortafuegos realice la accin especificada (intervalo 2-100; opcin
predefinida 5).

Definicin de perfiles de proteccin de zonas


Red > Perfiles de red > Proteccin de zona
Un perfil de proteccin de zona ofrece proteccin frente a las inundaciones ms comunes,
ataques de reconocimiento y otros ataques basados en paquetes. Est diseado para proporcionar una proteccin amplia en la zona de entrada (p. ej. la zona donde el trfico entra al
cortafuegos) y no estn diseados para proteger un host de extremo especfico o el trfico que
vaya a una zona de destino particular. Para aumentar las capacidades de proteccin de zona
en el cortafuegos, utilice la base de reglas de proteccin DoS para la coincidencia con una zona
especfica, interfaz, direccin IP o usuario.
Nota: La proteccin de zona solo se aplica cuando no hay ninguna coincidencia de sesin para el paquete.
Si el paquete coincide con una sesin existente, sortear el ajuste de proteccin de zona.

202 Configuracin de red

Palo Alto Networks

Para configurar un perfil Proteccin de zona, haga clic en Aadir y especifique los siguientes
ajustes:

Tabla 123. Configuracin de Perfil de proteccin de zonas


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de proteccin de zonas cuando se
configuran zonas. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios y guiones bajos.

Descripcin

Introduzca una descripcin opcional para el perfil de proteccin de zonas.

Cuando se define un perfil Proteccin de zona, debe configurar los ajustes en la pestaa
General y en cualquiera de las siguientes pestaas, segn sea necesario segn su topologa
de red:

Pestaa Proteccin contra inundaciones: Consulte Configuracin de la proteccin


contra inundaciones.

Pestaa Proteccin de reconocimiento: Consulte Configuracin de la proteccin de


reconocimiento.

Pestaa Proteccin de ataque basada en paquetes: Consulte Configuracin de la


proteccin de ataque basada en paquetes.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:

Zonas externas para permitir la comunicacin entre sistemas virtuales


Puertas de enlace compartidas para permitir que los sistemas virtuales
compartan una interfaz comn y una direccin IP para las comunicaciones
externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para permitir la fragmentacin de IP y la proteccin de ICMPv6 debe crear un perfil
de proteccin de zona distinto para la puerta de enlace compartida.
Para activar la proteccin frente a inundaciones SYN en una puerta de enlace
compartida puede aplicar un perfil de proteccin de inundacin SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo est disponible el
descarte aleatorio temprano para la proteccin frente a inundacin SYN

Palo Alto Networks

Configuracin de red 203

Configuracin de la proteccin contra inundaciones


Red > Perfiles de red > Proteccin de zona > Proteccin contra inundaciones
La tabla siguiente describe los ajustes de la pestaa Proteccin contra inundaciones.

Tabla 124. Configuracin de la pestaa Proteccin contra inundaciones


Campo

Descripcin

Umbrales de proteccin contra inundaciones: Inundacin SYN


Accin

Seleccione la accin que se adoptar en respuesta a un ataque de


inundacin SYN.
Descarte aleatorio temprano: Permite descartar paquetes SYN para
mitigar un ataque de inundacin:
Si el flujo supera el umbral de tasa de alerta, se genera una alarma.
Si el flujo supera el umbral de tasa de activacin, se descartan
paquetes SYN individuales de forma aleatoria para reducir el flujo.
Si el flujo supera el umbral de tasa de mxima, se descartan todos los
paquetes.
Cookies SYN: Calcula un nmero de secuencia de paquetes SYN-ACK
que no requieren almacenar las conexiones pendientes en memoria. Es
el mtodo preferido.

Alerta (paquetes/seg.)

Introduzca el nmero de paquetes SYN recibidos por la zona (en un


segundo) que genera una alarma de ataque. Las alarmas se pueden en
el panel (consulte Uso del panel) y en el log de amenazas (consulte
Realizacin de capturas de paquetes).

Activar (paquetes/seg.)

Introduzca el nmero de paquetes SYN recibidos por la zona (en un


segundo) que genera la accin especificada.

Mximo (paquetes/seg.)

Introduzca el nmero mximo de paquetes SYN que se pueden recibir


por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.

Umbrales de proteccin contra inundaciones: Inundacin ICMP


Alerta (paquetes/seg.)

Introduzca el nmero de solicitudes de eco ICMP (pings) recibidos por


segundo que genera una alarma de ataque.

Activar (paquetes/seg.)

Introduzca el nmero de paquetes ICMP recibidos por la zona (en un


segundo) que causa que se descarten los siguientes paquetes ICMP.

Mximo (paquetes/seg.)

Introduzca el nmero mximo de paquetes ICMP que se pueden recibir


por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.

Umbrales de proteccin contra inundaciones: ICMPv6


Alerta (paquetes/seg.)

Introduzca el nmero de solicitudes de eco ICMPv6 (pings) recibidos por


segundo que genera una alarma de ataque.

Activar (paquetes/seg.)

Introduzca el nmero de paquetes ICMPv6 recibidos por segundo en


la zona que causa que se descarten los siguientes paquetes ICMPv6.
La medicin se detiene cuando el nmero de paquetes ICMPv6 es inferior
al umbral.

Mximo (paquetes/seg.)

Introduzca el nmero mximo de paquetes ICMPv6 que se pueden recibir


por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.

204 Configuracin de red

Palo Alto Networks

Tabla 124. Configuracin de la pestaa Proteccin contra inundaciones (Continuacin)


Campo

Descripcin

Umbrales de proteccin contra inundaciones: UDP


Alerta (paquetes/seg.)

Introduzca el nmero de paquetes UDP recibidos por la zona (en un


segundo) que genera una alarma de ataque.

Alerta (paquetes/seg.)

Introduzca el nmero de paquetes UDP recibidos por la zona (en un


segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta
se desactiva si el nmero de paquetes UDP es inferior al umbral.

Mximo (paquetes/seg.)

Introduzca el nmero mximo de paquetes UDP que se pueden recibir


por segundo. Cualquier nmero de paquetes que supere el mximo se
descartar.

Umbrales de proteccin contra inundaciones: Otras IP


Alerta (paquetes/seg.)

Introduzca el nmero de paquetes IP recibidos por la zona (en un segundo)


que genera una alarma de ataque.

Activar (paquetes/seg.)

Introduzca el nmero de paquetes IP recibidos por la zona (en un


segundo) que genera el descarte aleatorio de paquetes IP. La respuesta
se desactiva si el nmero de paquetes IP es inferior al umbral. Cualquier
nmero de paquetes que supere el mximo se descartar.

Mximo (paquetes/seg.)

Introduzca el nmero mximo de paquetes IP que se pueden recibir


por segundo. Cualquier nmero de paquetes que supere el mximo
se descartar.

Configuracin de la proteccin de reconocimiento


Red > Perfiles de red > Proteccin de zona > Proteccin de reconocimiento
La tabla siguiente describe los ajustes de la pestaa Proteccin de reconocimiento.

Tabla 125. Configuracin de la pestaa Proteccin de reconocimiento


Campo

Descripcin

Proteccin de reconocimiento: Examen de puerto TCP, Examen de puerto de UDP,


Limpieza de host
Intervalo (seg)

Introduzca el intervalo de tiempo para la deteccin de exmenes puerto y


limpieza de host (segundos).

Umbral (eventos)

Introduzca el nmero de puertos explorados en el intervalo de tiempo


especificado que activarn este tipo de proteccin (eventos).

Accin

Introduzca la accin que el sistema adoptar como respuesta a este tipo


de evento:
Permitir: Permite la exploracin de puerto de reconocimiento de
limpieza de host.
Alerta: Genera una alerta para cada exploracin o limpieza que coincida
con el umbral del intervalo de tiempo especificado.
Bloquear: Descarta todos los paquetes enviados desde el origen al
destino durante el resto del intervalo de tiempo especificado.
Bloquear IP: Descarta el resto de paquetes durante un perodo de
tiempo especificado. Seleccione si se bloquear el trfico de origen,
destino, o el de origen y destino, e introduzca la duracin (segundos).

Palo Alto Networks

Configuracin de red 205

Tabla 125. Configuracin de la pestaa Proteccin de reconocimiento (Continuacin)


Campo

Descripcin

IPv6 Colocar paquetes con


Encabezado de
enrutamiento tipo 0

Active la casilla de verificacin para colocar los paquetes de IPv6 que


incluirn un encabezado de enrutador de tipo 0.

Direccin compatible
de IPv4

Active la casilla de verificacin para colocar los paquetes IPv6 que


incluyan una direccin compatible con IPv4.

Direccin de origen de
multicast

Active la casilla de verificacin para colocar los paquetes IPv6 que


incluyan una direccin de origen de multicast.

Direccin de fuente de
difusin por proximidad

Active la casilla de verificacin para colocar los paquetes IPv6 que


incluyan una direccin de fuente de difusin por proximidad.

Configuracin de la proteccin de ataque basada en paquetes


Red > Perfiles de red > Proteccin de zona > Proteccin de ataque basada en paquetes
Las siguientes pestaas se utilizan para la configuracin de la proteccin de ataque basada
en paquetes:

Colocar TCP/IP: Consulte Configuracin de la pestaa Colocar TCP/IP.

Colocacin de ICMP: Consulte Configuracin de la pestaa Colocacin de ICMP.

Colocacin de IPv6: Consulte .

ICMPv6: Consulte Configuracin de la pestaa Colocacin de IPv6.

Configuracin de la pestaa Colocar TCP/IP


Para configurar Colocar TCP/IP, especifique los siguientes ajustes:

Tabla 126. Configuracin de la pestaa Proteccin de ataque basada en paquetes


Campo

Descripcin

Pestaa secundaria Colocar TCP/IP


Direccin IP de rplica

Active la casilla de verificacin para activar la proteccin contra


replicacin de direccin IP.

Trfico fragmentado

Descarta los paquetes IP fragmentados.

Segmento TCP
superpuesto no
coincidente

Este ajuste har que el cortafuegos informe sobre una falta de coincidencia
de superposicin y coloque el paquete cuando los datos de segmento no
coincidan en estas situaciones:
El segmento est dentro de otro segmento.
El segmento est superpuesto a parte de otro segmento.
El segmento cubre otro segmento.
Este mecanismo de proteccin utiliza nmeros de secuencia para
determinar el lugar donde residen los paquetes dentro del flujo de
datos TCP.

Eliminar marca de
tiempo de TCP

206 Configuracin de red

Determina si el paquete tiene una marca de tiempo de TCP en el


encabezado y, si es as, la elimina.

Palo Alto Networks

Tabla 126. Configuracin de la pestaa Proteccin de ataque basada en paquetes (ContiCampo

Descripcin

Rechazar TCP sin SYN

Determina si el paquete se rechazar, si el primer paquete de la


configuracin de sesin TCP no es un paquete SYN:
Global: Utilice el ajuste del sistema asignado mediante CLI.
S: Rechaza TCP sin SYN.
No: Acepta TCP sin SYN. Tenga en cuenta que permitir el trfico que no
es de sincronizacin de TCP puede impedir que las polticas de bloqueo
de archivos funcionen de la forma esperada en aquellos casos en los que
no se establece la conexin del cliente o servidor despus de que se
produzca el bloqueo.

Ruta asimtrica

Determine si los paquetes que contienen nmeros de secuencia fuera del


umbral o ACK de fallo de sincronizacin se descartarn o se derivarn:
Global: Utilice el ajuste del sistema asignado mediante CLI.
Colocar: Descarte los paquetes que contienen una ruta asimtrica.
Derivar: Derive los paquetes que contienen una ruta asimtrica.

Descartar opciones IP
Enrutamiento de fuente
estricto

Descarta paquetes con la opcin de IP de enrutamiento de origen estricto


activada.

Enrutamiento de origen
no estricto

Descarta paquetes con la opcin de IP de enrutamiento de origen no


estricto activada.

Marca de tiempo

Descarta paquetes con la opcin de marca de tiempo activada.

Ruta de log

Descarta paquetes con la opcin de ruta de log activada.

Seguridad

Descarta paquetes con la opcin de seguridad activada.

ID de secuencia

Descarta paquetes con la opcin de ID de secuencia activada.

Desconocido

Descarta paquetes si no se conoce la clase ni el nmero.

Forma incorrecta

Descarta paquetes si tienen combinaciones incorrectas de clase, nmero y


longitud basadas en RFC 791, 1108, 1393 y 2113.

Palo Alto Networks

Configuracin de red 207

Configuracin de la pestaa Colocacin de ICMP


Para configurar Colocacin de ICMP, especifique los siguientes ajustes:

Tabla 127. Configuracin de la pestaa Colocacin de ICMP


Campo

Descripcin

Pestaa secundaria Colocacin de ICMP


ID de 0 de ping de ICMP

Descarta paquetes si el paquete de ping de ICMP tiene un identificador


con el valor de 0.

Fragmento de ICMP

Descarta paquetes formados con fragmentos ICMP.

Paquete de ICMP de
gran tamao (>1024)

Descarta paquetes ICMP con un tamao mayor de 1024 bytes.

Suprimir error caducado


ICMP TTL

Detiene el envo de mensajes caducados ICMP TTL.

Suprimir fragmento de
ICMP necesario

Detiene el envo de mensajes necesarios por la fragmentacin ICMP en


respuesta a paquetes que exceden la interfaz MTU y tienen el bit no
fragmentar (DF) activado. Este ajuste interfiere el proceso PMTUD que
ejecutan los hosts tras el cortafuegos.

Configuracin de la pestaa Colocacin de IPv6


Para configurar Colocacin de IPv6, especifique los siguientes ajustes:

Tabla 128. Configuracin de la pestaa Colocacin de IPv6


Campo

Descripcin

Pestaa secundaria ICMPv6


Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explcita

Requiere una bsqueda de poltica de seguridad explcita para errores de


destinos ICMPv6 no alcanzables incluso con una sesin existente.

Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


paquetes ICMPv6 demasiado grandes incluso con una sesin existente.

Tiempo superado de
ICMPv6: requiere
coincidencia explcita
de regla de seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


tiempo de ICMPv6 superado incluso con una sesin existente.

Problema de parmetro
de ICMPv6: requiere
coincidencia explcita
de regla de seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


problema de parmetro de ICMPv6 incluso con una sesin existente.

Redireccin de ICMPv6:
requiere coincidencia
explcita de regla de
seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


redireccionamiento de ICMPv6 incluso con una sesin existente.

208 Configuracin de red

Palo Alto Networks

Configuracin de la pestaa Colocacin de IPv6


Para configurar Colocacin de IPv6, especifique los siguientes ajustes:

Tabla 129. Configuracin de la pestaa Colocacin de IPv6


Campo

Descripcin

Pestaa secundaria
ICMPv6
Destino ICMPv6 no
alcanzable: requiere
regla de seguridad
explcita

Requiere una bsqueda de poltica de seguridad explcita para errores de


destinos ICMPv6 no alcanzables incluso con una sesin existente.

Paquete de ICMPv6
demasiado grande:
requiere coincidencia
explcita de regla de
seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


paquetes ICMPv6 demasiado grandes incluso con una sesin existente.

Tiempo superado de
ICMPv6: requiere
coincidencia explcita
de regla de seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


tiempo de ICMPv6 superado incluso con una sesin existente.

Problema de parmetro
de ICMPv6: requiere
coincidencia explcita
de regla de seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


problema de parmetro de ICMPv6 incluso con una sesin existente.

Redireccin de ICMPv6:
requiere coincidencia
explcita de regla de
seguridad

Requiere una bsqueda de poltica de seguridad explcita para errores de


redireccionamiento de ICMPv6 incluso con una sesin existente.

Palo Alto Networks

Configuracin de red 209

210 Configuracin de red

Palo Alto Networks

Captulo 5

Polticas y perfiles de seguridad


Esta seccin describe cmo configurar polticas y perfiles de seguridad:

Tipos de polticas

Directrices de definicin de polticas

Perfiles de seguridad

Otros objetos de las polticas

Tipos de polticas
Las polticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y
tomando las medidas necesarias de forma automtica. Se admiten los siguientes tipos de
polticas:

Polticas bsicas de seguridad para bloquear o permitir una sesin de red basada en
la aplicacin, las zonas y direcciones de origen y destino y, opcionalmente, el servicio
(puerto y protocolo). Las zonas identifican interfaces fsicas o lgicas que envan o reciben
trfico. Consulte Definicin de polticas de seguridad.

Polticas de traduccin de direccin de red (NAT) para traducir direcciones y puertos,


segn sea necesario. Consulte Definicin de polticas de traduccin de direccin de red.

Polticas de reenvo basado en polticas para determinar la interfaz de salida (egress)


utilizada despus del procesamiento. Consulte Polticas de reenvo basado en polticas.

Polticas de descifrado para especificar el descifrado del trfico de las polticas de


seguridad. Cada una de las polticas puede especificar las categoras de las URL del
trfico que desea descifrar. El descifrado SSH se utiliza para identificar y controlar los
tneles SSH, as como el acceso SSH (Secure Shell). Consulte Polticas de descifrado.

Polticas de cancelacin para anular las definiciones de la aplicacin proporcionadas por


el cortafuegos. Consulte Definicin de polticas de application override.

Polticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el


trfico para su tratamiento, cuando pasa por una interfaz con QoS activado. Consulte
Definicin de polticas de QoS.

Palo Alto Networks

Polticas y perfiles de seguridad 211

Polticas de portal cautivo para solicitar la autenticacin de los usuarios no identificados.


Consulte Definicin de polticas de portal cautivo.

Polticas de denegacin de servicio (DoS) para proteger de ataques DoS y tomar las
medidas de proteccin en respuesta que coincidan con las reglas. Consulte Definicin de
polticas DoS.
Las polticas compartidas introducidas en Panorama se muestran en color verde
en las pginas de la interfaz web del cortafuegos y no se pueden editar a nivel de
dispositivo.

Directrices de definicin de polticas


Las siguientes directrices especficas son aplicables cuando interacta con las pginas de la
pestaa Polticas:

Las reglas predeterminadas que indican al cortafuegos cmo gestionar el trfico que no
coincida con ninguna otra regla en la base de reglas se muestran en la parte inferior de la
base de reglas de seguridad. Estas reglas se predefinen en el cortafuegos para permitir
todo el trfico de intrazona y denegar todo el trfico de interzona. Como son parte de
la configuracin predefinida, debe cancelarlas con el fin de editar la configuracin de
polticas seleccionada. Si usa Panorama, tambin puede cancelar las reglas predeterminadas y, a continuacin, enviarlas a los cortafuegos de un grupo de dispositivos o
contexto compartido. Tambin puede revertir las reglas predeterminadas, lo que
restaura la configuracin predefinida o la configuracin enviada a Panorama.

Para aplicar un filtro a la lista, seleccinelo de la lista desplegable Reglas de filtro.


Para aadir un valor que defina un filtro, haga clic en la flecha hacia abajo del elemento
y seleccione Filtro. Observe que las reglas predeterminadas no son parte del filtro de la
base de reglas y siempre aparecen en la lista de reglas filtradas.

Para ver informacin sobre grupos de aplicaciones, filtros o sobre el contenedor cuando
cree o visualice polticas de seguridad, PBF o QoS, coloque el ratn sobre el objeto en la
columna Aplicacin, haga clic en la flecha hacia abajo y seleccione Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener
que desplazarse a las pestaas de objetos.

Para aadir una nueva regla de poltica, realice una de las siguientes acciones:
Haga clic en Aadir en la parte inferior de la pgina.
Seleccione una regla en la que basar este nueva regla y haga clic en Duplicar regla o
bien, seleccione una regla haciendo clic en el espacio en blanco, y seleccione Duplicar
regla en la parte inferior de la pgina (una regla seleccionada tiene el fondo de color
amarillo). La regla copiada, regla n se inserta debajo de la regla seleccionada, donde
n es el siguiente nmero entero disponible que hace que el nombre de la regla sea nico.

212 Polticas y perfiles de seguridad

Palo Alto Networks

El orden en que aparecen las reglas es el mismo orden en que las reglas se comparan con
el trfico de red. Puede cambiar el orden de una regla de una de las siguientes maneras:
Seleccione la regla y haga clic en Mover hacia arriba, Mover hacia abajo, Mover a la
parte superior o Mover a la parte inferior.
Haga clic en la flecha hacia abajo del nombre de la regla y seleccione Mover. En la
ventana emergente, seleccione una regla y elija si mover la regla que ha seleccionado,
para reordenar antes o despus de esta regla.

Para habilitar una regla, seleccinela y haga clic en Habilitar.

Para mostrar las reglas que no se estn utilizando actualmente, seleccione la casilla de
verificacin Resaltar reglas no utilizadas.

Regla en uso

Regla no utilizada (fondo de puntos amarillos)

Para mostrar el log de la poltica, haga clic en la flecha hacia abajo del nombre de la regla
y seleccione Visor de log.

En algunas entradas puede visualizar el valor actual haciendo clic en la flecha hacia abajo
de la entrada, y seleccionando Valor. Tambin puede editar, filtrar o eliminar algunos
elementos directamente desde el men de la columna.

Palo Alto Networks

Polticas y perfiles de seguridad 213

Si tiene un gran de polticas definidas, puede utilizar la barra de filtros para buscar
objetos que se utilicen en una poltica basada en el nombre del objeto o en la direccin IP.
La bsqueda tambin incluir los objetos incrustados para buscar una direccin en un
objeto de direccin o en un grupo de direcciones. En la siguiente captura de pantalla, la
direccin IP 10.8.10.177 se ha introducido en la barra de filtros y se muestra la poltica
aaa. Esa poltica utiliza un objeto de grupo de direccin denominado aaagroup, que
contiene la direccin IP.
Barra de filtros

Resultados de filtros

Puede mostrar u ocultar columnas concretas en la vista de cualquiera de las pginas


de Polticas.

214 Polticas y perfiles de seguridad

Palo Alto Networks

Especificacin de usuarios y aplicaciones para las polticas


Polticas > Seguridad
Polticas > Descifrado
Puede restringir las polticas de seguridad que se deben aplicar a aplicaciones o usuarios
seleccionados haciendo clic en el enlace del usuario o aplicacin en la pgina de reglas del
dispositivo Seguridad o Descifrado. Para obtener ms informacin sobre cmo restringir las
reglas segn la aplicacin, consulte Definicin de aplicaciones.
Para restringir una poltica a los usuarios/grupos seleccionados, realice los siguientes pasos:
1.

En la pgina de reglas del dispositivo Seguridad o Descifrado, haga clic en la pestaa


Usuario para abrir la ventana de seleccin.
Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID), la lista de
usuarios no se muestra y deber introducir la informacin del usuario manualmente.

2.

Haga clic en el men desplegable situado encima de la tabla Usuario de origen para
seleccionar el tipo de usuario:
Cualquiera: Incluye todo el trfico independientemente de los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante
GlobalProtect pero que no han iniciado sesin en su sistema. Cuando se configura la
opcin Anterior al inicio de sesin en el portal de clientes de GlobalProtect, cualquier
usuario que no est registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas polticas para
usuarios anteriores al inicio de sesin y, aunque el usuario no haya iniciado sesin
directamente, sus equipos estarn autenticados en el dominio como si hubieran
iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP
con datos de usuario asignados. Esta opcin es equivalente al grupo usuarios del
dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir, las direcciones IP
que no estn asignadas a un usuario. Por ejemplo, podra usar desconocido para
acceso de invitados a alguna parte porque tendrn una IP en su red, pero no se
autenticarn en el dominio y no tendrn ninguna IP en la informacin de asignacin
de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana. Por ejemplo, puede
que quiera aadir a un usuario, una lista de individuos, algunos grupos o aadir
usuarios manualmente.

3.

Para aadir grupos de usuarios, seleccione la casilla de verificacin Grupos de usuarios


disponibles y haga clic en Aadir grupo de usuarios. Tambin puede escribir el texto de
uno o ms grupos y hacer clic en Aadir grupo de usuarios.

4.

Para aadir usuarios individuales, introduzca una cadena de bsqueda en el campo


Usuario y haga clic en Buscar. Puede seleccionar los usuarios y hacer clic en Aadir
usuario. Tambin puede introducir los nombres de usuarios individuales en el rea
Ms usuarios.

5.

Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o
de descripcin.

Palo Alto Networks

Polticas y perfiles de seguridad 215

Definicin de polticas en Panorama


Los grupos de dispositivos en Panorama le permiten gestionar polticas de forma centralizada
en los dispositivos gestionados (o cortafuegos). Las polticas definidas en Panorama se crean
como reglas previas o reglas posteriores; las reglas previas y las reglas posteriores le permiten
implementar la poltica siguiendo un sistema de capas.
Las reglas previas o posteriores se pueden definir en un contexto compartido como polticas
compartidas para todos los dispositivos gestionados o, en un grupo de dispositivos, como
especficas para un determinado grupo de dispositivos. Debido a que las reglas previas y
posteriores se definen en Panorama y, a continuacin, se envan de Panorama a los dispositivos
gestionados, podr ver las reglas en los cortafuegos gestionados, pero solo podr editarlas
en Panorama.

Reglas previas: Reglas aadidas a la parte superior del orden de las reglas y que se
evalan en primer lugar. Puede utilizar las reglas previas para aplicar la poltica de uso
aceptable para una organizacin; por ejemplo, para bloquear el acceso a categoras de
URL especficas o permitir el trfico DNS a todos los usuarios.

Reglas posteriores: Reglas que se aaden al final del orden de reglas y que se evalan
despus de las reglas previas y de las reglas definidas localmente en el dispositivo. Las
reglas posteriores suelen incluir reglas para impedir el acceso al trfico basado en App-ID,
ID de usuario o servicio.

Reglas predeterminadas: Reglas que indican al cortafuegos cmo gestionar el trfico


que no coincide con ninguna regla previa, regla posterior o regla local de un dispositivo.
Estas reglas son parte de la configuracin predefinida de Panorama. Debe cancelarlas
para permitir la edicin de determinados ajustes en ellas.

Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los
dispositivos gestionados. En cada base de reglas, la jerarqua de las mismas se marca
visualmente para cada grupo de dispositivos (y dispositivo gestionado), lo que permite
revisarlas entre un gran nmero de reglas.
Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y, opcionalmente,
elimine o deshabilite las reglas. Las reglas no utilizadas actualmente se muestran con un
fondo de puntos amarillos. Cada dispositivo mantiene una marca para las reglas que tienen
una coincidencia. Panorama supervisa cada dispositivo, obtiene y agrega la lista de reglas sin
coincidencia. Dado que la marca se restablece cuando se produce un restablecimiento del
plano de datos al reiniciar, la prctica recomendada es supervisar esta lista peridicamente
para determinar si la regla ha tenido una coincidencia desde la ltima comprobacin antes de
eliminarla o deshabilitarla.
Para crear polticas, consulte la seccin relevante de cada base de reglas.

Definicin de polticas de seguridad

Definicin de polticas de traduccin de direccin de red

Definicin de polticas de QoS

Polticas de reenvo basado en polticas

Polticas de descifrado

Definicin de polticas de application override

Definicin de polticas de portal cautivo

Definicin de polticas DoS

216 Polticas y perfiles de seguridad

Palo Alto Networks

Definicin de polticas de seguridad


Polticas > Seguridad
Use esta pgina para definir polticas de seguridad que determinarn si se bloquear o
permitir una nueva sesin de red en funcin de los atributos de trfico, como la aplicacin,
zonas de seguridad y direcciones de origen y destino, el servicio de aplicacin (como HTTP) o
el usuario/grupo.
Las polticas de seguridad pueden ser tan generales o especficas como sea necesario.
Las reglas de poltica se comparan con el trfico entrante en secuencia y al aplicar la primera
regla que coincida con el trfico, las reglas ms especficas deben anteceder a las reglas ms
generales. Por ejemplo, una regla de una aplicacin simple debe anteceder a una regla para
todas las aplicaciones si el resto de configuraciones de trfico son las mismas.
Para el trfico que no coincide con ninguna regla definida, se aplican las reglas predeterminadas. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de
seguridad) se predefinen para permitir todo el trfico de intrazona (en la zona) y denegar el
trfico interzona (entre zonas). Aunque estas reglas son parte de la configuracin predefinida
y son de solo lectura de forma predeterminada, puede cancelarlas y cambiar un nmero
limitado de ajustes, incluidas las etiquetas, accin (permitir o denegar) configuracin de log y
perfiles de seguridad. Si usa Panorama, tambin puede cancelar las reglas predeterminadas y,
a continuacin, enviarlas a los cortafuegos gestionados como parte de un grupo de dispositivos o contexto compartido. En este caso, puede seguir cancelando estas reglas predeterminadas en el cortafuegos, de la misma forma a cmo puede cancelar ajustes enviados desde una
plantilla. Si desea volver a la configuracin predefinida o a la configuracin enviada desde
Panorama, puede revertir las reglas predeterminadas.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad. Para obtener informacin sobre cmo definir
polticas en Panorama, consulte Definicin de polticas en Panorama.
Haga clic en Aadir para definir una nueva regla, haga clic en Duplicar para copiar una regla
existente o haga clic en el nombre de una regla para editar una existente. Las tablas siguientes
describen los campos para aadir o editar una regla de seguridad:

Pestaa General

Pestaa Origen

Pestaa Usuario

Pestaa Destino

Pestaa Aplicacin

Pestaa Categora de URL/servicio

Pestaa Acciones

Palo Alto Networks

Polticas y perfiles de seguridad 217

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
seguridad. Tambin puede configurar una pestaa para que le permita ordenar o filtrar
polticas cuando estas son muy numerosas.

Tabla 130. Configuracin de polticas de seguridad (pestaa General)


Campo

Descripcin

Nombre

Introduzca un nombre para identificar la regla (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones
bajos. Solo se requiere el nombre.

Tipo de regla

Especifica si la regla se aplica al trfico en una zona, entre zonas o ambas.


universal (predeterminado): aplica la regla a todo el trfico coincidente
de interzona e intrazona en las zonas de origen y destino especificadas.
Por ejemplo, si crea una regla universal con las zonas de origen A y B y
las zonas de destino A y B, esta se aplicar a todo el trfico dentro de la
zona A, a todo el trfico de la zona B, a todo el trfico que vaya de la zona
A a la B y a todo el trfico de la zona B a la A.
intrazona: aplica la regla a todo el trfico coincidente dentro de las zonas
de origen especificadas (no puede especificar una zona de destino para
las reglas de intrazona). Por ejemplo, si establece la zona de origen en A y
B, la regla se aplicar a todo el trfico dentro de la zona A y a todo el
trfico dentro de la zona B, pero no al trfico entre las zonas A y B.
interzona: aplica la regla a todo el trfico coincidente entre la zona de
origen especificada y las zonas de destino. Por ejemplo, si establece la
zona de origen en A, B, y C y la zona de destino en A y B, la regla se
aplicar al trfico que va de la zona a A a la B, de la zona B a la A, de la
zona C a la A y de la zona C a la B, pero no al trfico dentro de las zonas
A, B o C.

Descripcin

Introduzca una descripcin de la poltica (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para


especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar
o filtrar polticas. Es til cuando ha definido muchas polticas y desea
revisar las que estn etiquetadas con una palabra clave especfica. Por
ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad con
Entrante en DMZ, polticas de descifrado con las palabras descifrado y sin
descifrado, o usar el nombre de un centro de datos especfico para polticas
asociadas con esa ubicacin.
Tambin puede aadir etiquetas a las reglas predeterminadas.

218 Polticas y perfiles de seguridad

Palo Alto Networks

Tabla 130. Configuracin de polticas de seguridad (pestaa General) (Continuacin)


Campo

Descripcin

Otros ajustes

Especifique cualquier combinacin de las siguientes opciones:


Programacin: Para limitar los das y horas en los que la regla est en
vigor, seleccione una programacin de la lista desplegable. Para definir
nuevas programaciones, haga clic en Nueva (consulte Programaciones).
Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en
paquetes que coincidan con la regla, seleccione IP DSCP o Precedencia de
IP e introduzca el valor de QoS en formato binario o seleccione un valor
predeterminado de la lista desplegable. Para obtener ms informacin
sobre QoS, consulte Configuracin de la calidad de servicio.
Deshabilitar inspeccin de respuesta de servidor: Para deshabilitar la
inspeccin de paquetes del servidor en el cliente, seleccione esta casilla
de verificacin. Esta opcin puede ser de utilidad en condiciones con
gran carga del servidor.

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica.

Tabla 131. Configuracin de polticas de seguridad (pestaa Origen)


Campo

Descripcin

Zona de origen

Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones pblicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.

Direccin de origen

Haga clic en Aadir para aadir las direcciones, direcciones


de grupos o regiones de origen (la opcin predeterminada es
Cualquiera). Realice su seleccin en la lista desplegable o haga clic
en Direccin, Grupo de direcciones, o en el enlace Regiones en la
parte inferior de la lista desplegable y especifique la configuracin.

Pestaa Usuario
Utilice la pestaa Usuario para hacer que la poltica realice las acciones definidas basndose en un
usuario individual o un grupo de usuarios. Si est usando GlobalProtect con Perfil de informacin del
host (HIP) habilitado, tambin puede basar la poltica en informacin recopilada por GlobalProtect.
Por ejemplo, el nivel de acceso del usuario puede estar determinado por un perfil de informacin del
host (HIP) que informe al cortafuegos acerca de la configuracin local del usuario. La informacin
HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en
ejecucin en el host, los valores de registro y muchas ms comprobaciones si el host tiene instalado
software antivirus.

Palo Alto Networks

Polticas y perfiles de seguridad 219

Tabla 132. Configuracin de polticas de seguridad (pestaa Usuario)


Campo

Descripcin

Usuario de origen

Haga clic en Aadir para seleccionar los usuarios o grupos de


usuarios de origen sometidos a la poltica. Los siguientes tipos de
usuarios de origen son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los
datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado
sesin en su sistema. Cuando se configura la opcin Anterior al
inicio de sesin en el portal de clientes de GlobalProtect, cualquier
usuario que no est registrado en su equipo en ese momento ser
identificado con el nombre de usuario Anterior al inicio de sesin.
Puede crear estas polticas para usuarios anteriores al inicio de
sesin y, aunque el usuario no haya iniciado sesin directamente,
sus equipos estarn autenticados en el dominio como si hubieran
iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es
decir, cualquier IP con datos de usuario asignados. Esta opcin es
equivalente al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es
decir, las direcciones IP que no estn asignadas a un usuario.
Por ejemplo, podra usar desconocido para acceso de invitados
a alguna parte porque tendrn una IP en su red, pero no se autenticarn en el dominio y no tendrn ninguna IP en la informacin
de asignacin de usuarios en el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera aadir a un usuario, una lista de
individuos, algunos grupos o aadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios
(User-ID), la lista de usuarios no se muestra y deber introducir la
informacin del usuario manualmente.

Perfiles HIP

220 Polticas y perfiles de seguridad

Haga clic en Aadir para seleccionar los perfiles de informacin de


host (HIP) para identificar a los usuarios.

Palo Alto Networks

Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.

Tabla 133. Configuracin de polticas de seguridad (pestaa Destino)


Campo

Descripcin

Zona de destino

Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, si tiene tres zonas internas diferentes (Marketing,
Ventas y Relaciones pblicas) que se dirigen todas a la zona de
destino no fiable, puede crear una regla que cubra todas las clases.
Nota: En las reglas de intrazona, no puede definir una zona de destino
porque estos tipos de reglas solo pueden hacer coincidir trfico con un
origen y un destino dentro de la misma zona. Para especificar las zonas
que coincidan con una regla de intrazona, solo necesita establecer la zona
de origen.

Direccin de destino

Haga clic en Aadir para aadir las direcciones, direcciones de


grupos o regiones de destino (la opcin predeterminada es
Cualquiera). Realice su seleccin en la lista desplegable o haga
clic en Direccin, en el enlace en la parte inferior de la lista
desplegable y especifique la configuracin de la direccin.

Pestaa Aplicacin
Use la pestaa Aplicacin para que la accin de la poltica se produzca basndose en una
aplicacin o grupo de aplicaciones. Un administrador tambin puede usar una firma de
identificacin de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de
propiedad reservada o para detectar atributos especficos de una aplicacin existente.
Las aplicaciones personalizadas se definen en Objetos > Aplicaciones.

Tabla 134. Configuracin de polticas de seguridad (pestaa Aplicacin)


Campo

Descripcin

Aplicacin

Seleccione si desea especificar aplicaciones a la


regla de seguridad. Si una aplicacin tiene mltiples
funciones, puede seleccionar una aplicacin general o
aplicaciones individuales. Si selecciona una aplicacin
general se incluirn todas las funciones y la definicin
de la aplicacin se actualizar automticamente a
medida que se aadan futuras funciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de seguridad, podr ver los detalles
de estos objetos al pasar el ratn por encima del objeto
en la columna Aplicacin, haciendo clic en la flecha
hacia abajo y seleccionando Valor. De esta forma
podr ver fcilmente miembros de la aplicacin directamente desde la poltica, sin tener que desplazarse a
las pestaas de objetos.

Palo Alto Networks

Polticas y perfiles de seguridad 221

Pestaa Categora de URL/servicio


Use la pestaa Categora de URL/servicio para hacer que la accin de la poltica se realice en
funcin de nmeros de puerto TCP o UDP especficos. Una categora de URL tambin puede
usarse como un atributo para la poltica.

Tabla 135. Configuracin de polticas de seguridad (pestaa Categora de URL/servicio)


Campo

Descripcin

Servicio

Seleccione los servicios para limitar nmeros de puertos TCP y/o


UDP concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: las aplicaciones seleccionadas se permiten o deniegan
en cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Las aplicaciones seleccionadas se permiten o deniegan nicamente segn sus puertos
predeterminados por Palo Alto Networks. Esta opcin se
recomienda para polticas de permiso porque impide que las
aplicaciones se ejecuten en puertos y protocolos no habituales,
que si no es a propsito, puede ser una seal de comportamiento
y uso de aplicaciones no deseados. Tenga en cuenta que cuando
usa esta opcin, el dispositivo sigue comprobando todas las
aplicaciones en todos los puertos, pero con esta configuracin,
las aplicaciones solo tienen permiso en sus puertos/protocolos
predeterminados.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente
o seleccione Servicio o Grupo de servicios para especificar una
nueva entrada. Consulte Servicios y Grupos de servicios.

Categora de URL

Seleccione las categoras URL de la regla de seguridad.


Seleccione Cualquiera para permitir o denegar todas las sesiones,
con independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione
una categora concreta (incluyendo una categora personalizada)
de la lista desplegable. Puede aadir varias categoras. Consulte
Categoras de URL personalizadas para obtener ms informacin sobre cmo definir categoras personalizadas.

222 Polticas y perfiles de seguridad

Palo Alto Networks

Pestaa Acciones
Use la pestaa Acciones para determinar la accin que se llevar a cabo con el trfico que
coincida con los atributos de poltica definidos.

Tabla 136. Configuracin de polticas de seguridad (pestaa Acciones)


Campo

Descripcin

Configuracin de accin

Haga clic en Permitir o Denegar para permitir o bloquear una


nueva sesin de red para el trfico que coincida con esta regla.
Tambin puede cambiar la configuracin de Accin en las reglas
predeterminadas.

Ajuste de perfil

Asocie perfiles o grupos de perfiles con la regla de seguridad:

Para especificar la comprobacin realizada por los perfiles de

Palo Alto Networks

seguridad predeterminados, seleccione los perfiles individuales


de Antivirus, Antispyware, Proteccin de vulnerabilidades,
Filtrado de URL, Bloqueo de archivo o Filtrado de datos.
Para especificar un grupo de perfil en lugar de perfiles individuales, seleccione Grupo en Tipo de perfil y, a continuacin,
seleccione un grupo de perfil de la lista desplegable Perfil de
grupo. Si tiene configurado un grupo de perfiles de seguridad
denominado predeterminado, la configuracin del perfil se
rellenar automticamente para usar el grupo de perfiles de
seguridad predeterminado: Tipo de perfil se establecer en
Grupo y el campo Perfil de grupo mostrar el grupo de perfiles
de seguridad predeterminado seleccionado de forma predeterminada. Vaya a Objeto > Grupos de perfiles de seguridad
para aadir un grupo de perfiles de seguridad y ponga al grupo
el nombre predeterminado, para que las nuevas polticas de
seguridad se asocien automticamente con el grupo de perfiles
seguridad predeterminado. Puede cancelar esta configuracin
predeterminada en cualquier momento modificando los campos
Ajuste de perfil como desee.
Para definir nuevos perfiles o grupos de perfiles, haga clic en
Nuevo junto al perfil o grupo adecuado (consulte Grupos de
perfiles de seguridad).

Polticas y perfiles de seguridad 223

Tabla 136. Configuracin de polticas de seguridad (pestaa Acciones)


Campo

Descripcin

Ajuste de log

Especifique cualquier combinacin de las siguientes opciones:


Para generar entradas de trfico en el log de trfico local que
cumplan esta regla, seleccione las siguientes opciones:
Log al iniciar sesin. Genera una entrada de log de trfico al
inicio de la sesin (deshabilitada de forma predeterminada).
Log al finalizar sesin. Genera una entrada de log de trfico al
final de la sesin (habilitada de forma predeterminada).
Si las entradas de inicio o fin de la sesin se registran, tambin lo
harn las entradas de colocacin y denegacin.
Perfil de reenvo de logs: Para enviar el log del trfico local y las
entradas del log de amenazas a destinos remotos, como servidores
de Panorama y Syslog, seleccione un perfil de logs de la lista
desplegable Perfil de reenvo de logs. Tenga en cuenta que la
generacin de entradas del log de amenazas est determinada
por los perfiles de seguridad. Si tiene un perfil de reenvo de logs
denominado predeterminado, este se seleccionar automticamente
para este campo cuando cree nuevas polticas de seguridad.
Puede cancelar esta configuracin predeterminada en cualquier
momento seleccionado un perfil de reenvo de logs diferente
cuando establezca una nueva poltica de seguridad. Para definir
o aadir un nuevo perfil de reenvo de logs (y para denominar a
un perfil predeterminado y que este campo se rellene automticamente), haga clic en Nuevo (consulte Reenvo de logs).
Tambin puede cambiar la configuracin del log en las reglas
predeterminadas.

Otros ajustes

Especifique cualquier combinacin de las siguientes opciones:


Programacin: Para limitar los das y horas en los que la regla est
en vigor, seleccione una programacin de la lista desplegable.
Para definir nuevas programaciones, haga clic en Nueva (consulte
Programaciones).
Marca de QoS: Para cambiar el ajuste de Calidad de servicio
(QoS) en paquetes que coincidan con la regla, seleccione IP
DSCP o Precedencia de IP e introduzca el valor de QoS en
formato binario o seleccione un valor predeterminado de la lista
desplegable. Para obtener ms informacin sobre QoS, consulte
Configuracin de la calidad de servicio.
Deshabilitar inspeccin de respuesta de servidor: Para deshabilitar la inspeccin de paquetes del servidor en el cliente, seleccione
esta casilla de verificacin. Esta opcin puede ser de utilidad en
condiciones con gran carga del servidor.

224 Polticas y perfiles de seguridad

Palo Alto Networks

Polticas NAT
Si define interfaces de capa 3 en el cortafuegos, puede utilizar polticas de traduccin de
direccin de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino
se convertirn entre pblicos y privados. Por ejemplo, las direcciones de origen privadas se
pueden traducir a direcciones pblicas en el trfico enviado desde una zona interna (fiable) a
una zona pblica (no fiable).
NAT tambin es compatible en interfaces de cable virtual. Si ejecuta NAT en interfaces de
cable virtual, es recomendable que traduzca las direcciones de origen a una subred diferente
de la subred con la que se comunican los dispositivos vecinos. Proxy ARP no es compatible
con cables virtuales y los dispositivos vecinos solo podrn resolver solicitudes ARP para
direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.
Si configura NAT en el cortafuegos, es importante tener en cuenta que tambin se debe
configurar una poltica de seguridad para permitir el trfico NAT. La poltica de seguridad
se basar en la direccin de la zona posterior y anterior a NAT.
El cortafuegos admite los siguientes tipos de traduccin de direccin:

IP dinmica/Puerto: Para el trfico saliente. Mltiples clientes pueden utilizar las mismas
direcciones IP pblicas con diferentes nmeros de puerto de origen. Las reglas de IP
dinmica/NAT de puerto permiten traducir una direccin IP nica, un intervalo de
direcciones IP, una subred o una combinacin de todas ellas. Si una interfaz de salida
tiene una direccin IP asignada dinmicamente, puede ser de utilidad especificar la
interfaz como la direccin traducida. Si especifica la interfaz en la regla de IP dinmica/
puerto, la poltica NAT se actualizar automticamente para utilizar cualquier direccin
adquirida por la interfaz para subsiguientes traducciones.
IP dinmica/NAT de puerto de Palo Alto Networks admite ms sesiones NAT que
las admitidas por el nmero de direcciones y puertos IP disponibles. El cortafuegos
puede utilizar direcciones IP y combinaciones de puertos hasta dos veces (de forma
simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro veces en
PA-4020 y PA-5020, y ocho veces en dispositivos PA-4050, PA-4060, PA-5050,
PA-5060 y PA-7050 cuando las direcciones IP de destino son exclusivas.

IP dinmica: Para el trfico saliente. Las direcciones de origen privadas se traducen a la


siguiente direccin disponible en el intervalo de direcciones especificado. Las polticas de
NAT de IP dinmica permiten especificar una direccin IP nica, mltiples IP, mltiples
intervalos IP o mltiples subredes como el grupo de direcciones traducidas. Si el grupo
de direcciones de origen es mayor que el grupo de direcciones traducidas, las nuevas
direcciones IP que buscan traduccin se vern bloqueadas, mientras que el grupo de
direcciones traducidas se utiliza en su totalidad. Para evitar este problema, puede
especificar un grupo de reserva que se utilizar si el grupo primario agota sus
direcciones IP.

IP dinmica: Para el trfico entrante o saliente. Puede utilizar la IP esttica de origen o


destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una direccin IP pblica a mltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.

Palo Alto Networks

Polticas y perfiles de seguridad 225

Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a las
direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.
La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.

Tabla 137. Tipos de NAT


Tipos de
NAT de
PAN-OS

El puerto de
destino es el
mismo

El puerto
de destino
puede
cambiar

Tipo de
asignacin

IP dinmica/
puerto

No

No

Muchas a 1
MaN

Hasta 254 direcciones


consecutivas

No

MaN

Hasta 32.000
direcciones
consecutivas

No

1a1

Ilimitado

IP dinmica
IP esttica

Tamao del grupo


de direcciones
traducidas

MaN
MIP
Opcional

226 Polticas y perfiles de seguridad

1 a muchas
PAT VIP

Palo Alto Networks

Determinacin de configuracin de zona en NAT y poltica de seguridad


Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP
anteriores a NAT configuradas en la poltica. Por ejemplo, si traduce el trfico entrante a un
servidor interno (al que se accede mediante una IP pblica de servidores de Internet), es
necesario configurar la poltica NAT mediante la zona en la que reside la direccin IP pblica.
En este caso, las zonas de origen y destino seran las mismas. Como ejemplo adicional, si
traduce el trfico de host saliente a una direccin IP pblica, es necesario configurar la poltica
NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts.
La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya
modificado el paquete.
La poltica de seguridad es diferente de la poltica NAT en que las zonas posteriores a NAT
se deben utilizar para controlar el trfico. NAT puede afectar a las direcciones IP de origen o
destino y pueden llegar a modificar la interfaz saliente y la zona. Si crea polticas de seguridad
con direcciones IP especficas, es importante tener en cuenta que las direcciones IP anteriores a
NAT se utilizarn en la correspondencia de polticas. La poltica de seguridad debe permitir
de forma explcita el trfico sujeto a NAT, si el trfico atraviesa mltiples zonas.

Opciones de regla NAT


El cortafuegos admite reglas no NAT y reglas NAT bidireccionales.

Reglas no NAT
Las reglas no NAT estn configuradas para permitir la exclusin de direcciones IP definidas
en el intervalo de las reglas NAT definidas posteriormente en la poltica NAT. Para definir
una poltica no NAT, especifique todos los criterios coincidentes y seleccione Sin traduccin
de origen en la columna de traduccin de origen.

Reglas NAT bidireccionales


El ajuste bidireccional en reglas NAT de origen estticas crea una regla NAT de destino para
el trfico en los mismo recursos en la direccin opuesta. En este ejemplo, se utilizan dos reglas
NAT para crear una traduccin de origen del trfico saliente desde la IP 10.0.1.10 a la IP
pblica 3.3.3.1; y una traduccin de destino para el trfico destinado de la IP pblica 3.3.3.1 a
la IP privada 10.0.1.10. Este par de reglas se pueden simplificar configurando nicamente la
tercera regla NAT, utilizando la funcin bidireccional.

Ilustracin 2. Reglas NAT bidireccionales

Palo Alto Networks

Polticas y perfiles de seguridad 227

Ejemplos de poltica NAT


La siguiente regla de polticas NAT traduce un intervalo de direcciones de origen privadas
(10.0.0.1 a 10.0.0.100 en la zona L3Trust) en una direccin IP pblica nica (200.10.2.100 en la
zona L3Untrust) y un nmero de puerto de origen nico (traduccin de origen dinmica).
La regla solo se aplica al trfico recibido en una interfaz Capa 3 en la zona L3Trust que se
destina a una interfaz en la zona L3Untrust. Como las direcciones privadas estn ocultas, las
sesiones de red no se pueden iniciar desde la red pblica. Si la direccin pblica no est en
una direccin de interfaz de cortafuegos (o en la misma subred), el enrutador local requiere
una ruta esttica para dirigir el trfico de retorno al cortafuegos.
La poltica de seguridad debe configurarse explcitamente para permitir el trfico coincidente
con esta regla NAT. Cree una poltica de seguridad con zonas y direcciones de origen/destino
que coincidan con la regla NAT.

Ilustracin 3. Traduccin de direccin de origen dinmica


En el siguiente ejemplo, la primera regla NAT traduce la direccin privada de un servidor de
correo interno en una direccin IP pblica esttica. La regla solo se aplica al correo saliente
enviado desde la zona L3Trust a la zona L3Untrust. Para el trfico en direccin opuesta
(correo electrnico entrante), la segunda regla traduce la direccin de destino de la direccin
pblica del servidor a su direccin privada. La regla 2 utiliza L3Untrust para las zonas de
origen y destino porque la poltica NAT se basa en la zona de direcciones anterior a NAT.
En este caso, esa direccin anterior a NAT es una direccin IP Pblica y, por lo tanto, se
encuentra en la zona L3Untrust.

Ilustracin 4. Origen esttico y Traduccin de direccin de destino


En ambos ejemplos, si la direccin pblica no est en la direccin de la interfaz del cortafuegos
(o en la misma subred), debe aadir una ruta esttica al enrutador local para enrutar el trfico
al cortafuegos.

NAT64
NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6
e IPv4. Permite a los clientes de IPv6 acceder a los servidores IPv4; y a los clientes de IPv4
acceder a servidores IPv6. Existen tres mecanismos principales de transicin definidos por
IETF: pila doble, tneles y transicin. Si tiene redes IPv4 e IPv6 exclusivas y se requiere
comunicacin, debe utilizar la traduccin.
Si utiliza polticas NAT64 en el cortafuegos de Palo Alto Networks, es necesario que disponga
de una solucin DNS64 externa para desacoplar la funcin de consultas de DNS de la funcin
NAT.

228 Polticas y perfiles de seguridad

Palo Alto Networks

Las siguientes funciones NAT64 son compatibles:

Stateful NAT64, que permite mantener las direcciones IPv4 para que una direccin IPv4
pueda asignarse a mltiples direcciones IPv6. Una direccin IPv4 tambin se puede
compartir con NAT44. En contraste, Stateless NAT64 asigna una direccin IPv4 a una
direccin IPv6.

Traduccin de comunicacin IPv4 iniciada. El enlace esttico de IPv4 asigna una


direccin/nmero de puerto IPv4 a una direccin IP IPv6. PAN-OS tambin admite la
reescritura, lo que le permite conservar an ms direcciones IPv4.

Permite traducir subredes /32, /40, /48, /56, /64 y /96.

Compatibilidad de varios prefijos. Puede asignar un prefijo NAT64 por regla.

No requiere que conserve un grupo de direcciones IPv4 especficamente para NAT64.


Por lo tanto, puede utilizar una direccin IP simple para NAT44 y NAT64.

Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques
de bucle de hairpinning.

Permite la traduccin de paquetes TCP/UDP/ICMP por RFC, as como otros protocolos


sin ALG (best effort). Por ejemplo, es posible traducir un paquete GRE. Esta traduccin
tiene la misma limitacin que NAT44.

Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamao mximo de


segmento) para TCP.

Permite configurar el parmetro IPv6 MTU. El valor predeterminado es 1280, que es


el valor mnimo de MTU para el trfico IPv6. Este ajuste se configura en la pestaa
Dispositivo > Configuracin > Sesiones en Ajustes de sesin.

Traduce el atributo de longitud entre IPv4 e IPv6.

Admitido en interfaces y subinterfaces de capa 3, tnel e interfaces VLAN.

Ejemplos de NAT64
Puede configurar dos tipos de traduccin con el cortafuegos: comunicacin IPv6 iniciada, que
es similar al origen NAT en IPv4, y comunicacin IPv4 iniciada con un servidor IPv6, que es
similar al destino NAT en IPv4.
Comunicacin IPv6 iniciada
En este tipo de traduccin, la direccin IPv6 de destino de la regla NAT es un prefijo que
sigue al formato RFC 6052 (/32, /40,/48,/56,/64 y /96). La mscara de red de la direccin
IPv6 de destino en la regla se utilizara para extraer la direccin IPv4. La traduccin de origen
necesita tener un puerto e IP dinmicas para implementar Stateful NAT64. La direccin
IPv4 definida como origen se configura de la misma forma que una traduccin de destino
NAT44. El campo de traduccin de destino no est definido. Sin embargo, debe realizarse
una traduccin de destino ya que la direccin se extrae de la direccin IPv6 en el paquete.
Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. Debe tener en
cuenta que en un prefijo /96, est en los ltimos 4 octetos, pero la ubicacin de la direccin
IPv4 sera diferente si el prefijo no es /96.

Palo Alto Networks

Polticas y perfiles de seguridad 229

Servidor DNS64

Cortafuegos
Puerta de enlace NAT64
Red IPv6
Fiable

No fiable

Internet IPv4

Host IPv6

Ilustracin 5. Diagrama de red de cliente NAT64 IPv6 a IPv4


La tabla siguiente describe los valores necesarios en esta poltica NAT64.

Tabla 138.
IP de origen

IP de destino

Traduccin de origen

Traduccin de destino

Cualquier
direccin
IPv6

Prefijo NAT64 IPv6


con mscara de red
compatible con
RFC6052

IP dinmica y modo de
puerto (usar direcciones
IPv4)

Ninguno
(Extrada de las direcciones
IPv6 de destino)

Comunicacin IPv4 iniciada


La direccin IPv4 se asigna a la direccin IPv6 y puede usar el modo de IP esttica en la
traduccin de origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y
se adjunta a la direccin IPv4 de origen. La direccin de destino es la direccin IP definida en
la columna de traduccin de destino. Es posible reescribir el puerto de destino. Este mtodo
permite que una nica direccin IP comparta mltiples servidores IPv6 mediante una
asignacin esttica en el puerto.

Servidor IPv6
Servidor DNS

Cortafuegos
Puerta de enlace NAT64
Internet IPv4

Red IPv6
No fiable

Fiable

Host IPv4

Ilustracin 6. Diagrama de red de cliente NAT64 IPv4 Internet a IPv6

230 Polticas y perfiles de seguridad

Palo Alto Networks

La tabla siguiente describe los valores necesarios en esta poltica NAT64.

Tabla 139. Valores de IPv4 iniciada


IP de origen

IP de destino

Traduccin de origen

Traduccin de destino

Cualquier
direccin IPv4

Direccin IPv4

Modo de IP esttica

Direccin simple IPv6


(direccin IP del servidor real)

(Prefijo IPv6 en formato


RFC 6052)

Note: Puede especificar una


reescritura del puerto del
servidor.

El motor de procesamiento del paquete del cortafuegos debe realizar una bsqueda en la ruta
para buscar la zona de destino antes de buscar en la regla NAT. En NAT64, es importante
solucionar la accesibilidad del prefijo NAT64 para la asignacin de la zona de destino, porque
el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. Es muy probable que
el prefijo NAT64 acierte con la ruta predeterminada, o que se cancele porque no hay ninguna
ruta. Puede configurar una interfaz de tnel sin punto de finalizacin porque este tipo de
interfaz actuar como un puerto de loopback y aceptar otras mscaras de subred adems
de /128. Aplique el prefijo NAT64 al tnel y aplique la zona adecuada para garantizar que
el trfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Tambin podr
cancelar el trfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.

Escenarios IETF para la transicin IPv4/IPv6


Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. El cortafuegos de
Palo Alto Networks admite todos los escenarios menos uno de ellos, tal y como se indica en la
siguiente tabla.

Tabla 140. Resumen de implementaciones de escenarios IETF para el uso


de PAN-OS
Escenario
Red IPv6 a
Internet IPv4

IP de
origen
Cualquier
direccin
IPv6

IP de destino
Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC 6052.

Modo de IP
dinmica y
puerto.

Modo de IP
esttica.

Internet IPv4
a una red
IPv6

Cualquier
direccin
IPv4

Direccin IPv4
simple

Internet IPv6
a una red
IPv4

Cualquier
direccin
IPv6

Prefijo IPv6
enrutable
globalmente con
mscara de red
compatible con
RFC 6052.

Red IPv4
a Internet
IPv6

No admitida actualmente

Palo Alto Networks

Traduccin
de origen

Traduccin de destino
Ninguno
(extrada de direcciones
IPv6 de destino)

Usar direccin
IPv4 pblica
Direccin IPv6 simple

Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada

Ninguno
(extrada de direcciones
IPv6 de destino)

Polticas y perfiles de seguridad 231

Tabla 140. Resumen de implementaciones de escenarios IETF para el uso


de PAN-OS (Continuacin)
IP de
origen

Escenario
Red IPv4 a
red IPv6

Red IPv6 a
red IPv4

IP de destino

Traduccin
de origen

Cualquier
direccin
IPv4

Direccin IPv4
simple

Modo de IP
esttica.

Cualquier
direccin
IPv6

Prefijo NAT64
IPv6 con mscara
de red compatible
con RFC 6052.

Traduccin de destino
Direccin IPv6 simple

Prefijo IPv6 en
formato RFC 6052
IP dinmica y
puerto.
Usar direccin
IPv4 privada

Ninguno
(extrada de direcciones
IPv6 de destino)

IP esttica: Para trfico entrante o saliente. Puede utilizar la IP esttica de origen o


destino, mientras que puede dejar el puerto de origen o destino sin modificar. Si se utiliza
para asignar una direccin IP pblica a mltiples servidores y servicios privados, los
puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino.
Es posible que necesite definir rutas estticas en el enrutador adyacente y/o el cortafuegos para garantizar que el trfico enviado a una direccin IP Pblica se enruta a las
direcciones privadas correctas. Si la direccin pblica es la misma que la interfaz del
cortafuegos (o est en la misma subred), no se necesitar una ruta esttica para esa
direccin en el enrutador. Si especifica puertos de servicio (TCP o UDP) para NAT,
el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080.
Para especificar un nico puerto, como TCP 80, debe definir un nuevo servicio.

La siguiente tabla resume los tipos de NAT. Los dos mtodos dinmicos asignan un intervalo
de direcciones cliente (M) a un grupo (N) de direcciones NAT, donde M y N son nmeros
diferentes. N tambin puede ser 1. IP dinmica/NAT de puerto es diferente de NAT de IP
dinmica en que los puertos TCP y UDP de origen no se conservan en IP dinmica/puerto,
mientras que permanecen inalterables con NAT de IP dinmica. Tambin existen lmites
diferentes del tamao del grupo de IP traducido, tal y como se indica a continuacin.
Con NAT de IP esttica, existe una asignacin de uno a uno entre cada direccin original y su
direccin traducida. Se puede expresar como 1 a 1 para una direccin IP nica asignada o M a
M para un grupo de direcciones IP asignadas una a una.

Tabla 141. Tipos de NAT


Tipos de NAT
de PAN-OS
IP dinmica/
puerto
IP dinmica

El puerto de
destino es el
mismo

El puerto
de destino puede
cambiar

Tipo de
asignacin

Tamao del grupo de


direcciones traducidas

No

No

Muchas a 1

Hasta 254 direcciones


consecutivas

MaN
S

232 Polticas y perfiles de seguridad

No

MaN

Hasta 32.000 direcciones


consecutivas

Palo Alto Networks

Tabla 141. Tipos de NAT (Continuacin)


Tipos de NAT
de PAN-OS

El puerto de
destino es el
mismo

El puerto
de destino puede
cambiar

Tipo de
asignacin

Tamao del grupo de


direcciones traducidas

IP esttica

No

1a1

Ilimitado

MaN
MIP
Opcional

1 a muchas
PAT VIP

Definicin de polticas de traduccin de direccin de red


Polticas > NAT
Las reglas de traduccin NAT se basan en las zonas de origen y destino, en las direcciones
de origen y destino, y en el servicio de aplicacin (como HTTP). Al igual que las polticas de
seguridad, las reglas de poltica NAT se comparan con el trfico entrante en secuencia, y se
aplica la primera regla que coincida.
A medida que sea necesario, aada rutas estticas al enrutador local para enrutar el trfico
a todas las direcciones pblicas hacia el cortafuegos. Es posible que tambin necesite aadir
reglas estticas a la interfaz de destino en el cortafuegos para reducir el trfico en la direccin
privada.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Las siguientes tablas describen la configuracin de polticas NAT:

Pestaa General

Pestaa Paquete original

Pestaa Paquete traducido

Palo Alto Networks

Polticas y perfiles de seguridad 233

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica NAT.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.

Tabla 142. Configuracin reglas NAT (pestaa General)


Campo

Descripcin

Nombre

Cambie cambiar el nombre predeterminado de la regla y/o


introducir una descripcin de la regla.

Descripcin

Introduzca una descripcin de la poltica (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para


especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas
polticas y desea revisar las que estn etiquetadas con una palabra
clave especfica. Por ejemplo, tal vez quiera etiquetar determinadas
polticas de seguridad con Entrante en DMZ, polticas de descifrado
con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos especfico para polticas asociadas con esa
ubicacin.

Tipo de NAT

Especifique ipv4 para NAT entre direcciones IPv4 o traduccin


nat64 entre direcciones IPv6 e IPv4.
No puede combinar intervalos de direcciones IPv4 e IPv6 en una nica
regla NAT.

Pestaa Paquete original


Use la pestaa Paquete original para definir el trfico de origen y destino que se traducir,
as como el tipo de interfaz de destino y el tipo de servicio. Se pueden configurar varias zonas
de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o
direcciones IP especficas.

Tabla 143. Configuracin de reglas NAT (pestaa Paquete original)


Campo

Descripcin

Zona de origen
Zona de destino

Seleccione una o ms zonas de origen y destino para el paquete


original (no NAT). (El valor predeterminado es cualquiera.)
Las zonas deben ser del mismo tipo (capa 2, capa 3 o de cable
virtual, Virtual Wire). Para definir nuevas zonas, consulte
Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin.
Por ejemplo, puede configurar los ajustes para que mltiples
direcciones NAT internas se dirijan a la misma direccin IP externa.

Interfaz de destino

234 Polticas y perfiles de seguridad

Especifique el tipo de interfaz de traduccin. La interfaz de destino


se puede utilizar para traducir direcciones IP de manera diferente
en caso de que la red est conectada a dos proveedores de Internet
con grupos diferentes de direcciones IP.

Palo Alto Networks

Tabla 143. Configuracin de reglas NAT (pestaa Paquete original)


Campo

Descripcin

Servicio

Especifique los servicios para los que las direcciones de origen y


destino se traducen. Para definir nuevos grupos de servicio,
consulte Grupos de servicios.

Direccin de origen
Direccin de destino

Especifique una combinacin de direcciones de origen y destino


para las que las direcciones de origen y destino se deben traducir.

Pestaa Paquete traducido


Use la pestaa Paquete traducido para determinar el tipo de traduccin que se realizar
en el origen y la direccin o puerto a la que se traducir. Tambin se puede configurar
una traduccin de direccin de destino para un host interno que al que se necesite acceder
desde una direccin IP pblica. En este caso, defina una direccin de origen (pblica) y una
direccin de destino (privada) en la pestaa Paquete original para un host interno y habilite
Traduccin de direccin de destino en la pestaa Paquete traducido e introduzca la direccin
traducida. Cuando se acceda a la direccin pblica, se traducir a la direccin interna
(destino) del host interno.

Palo Alto Networks

Polticas y perfiles de seguridad 235

Tabla 144. Configuracin de reglas NAT (pestaa Paquete traducido)


Campo

Descripcin

Traduccin de direccin
de origen

Introduzca una direccin o un intervalo de direcciones IP (direccin1direccin2) a la que se traduce la direccin de origen, y seleccione
un grupo de direcciones dinmicas o estticas. El tamao del
intervalo de direcciones est limitado por el tipo del grupo de
direcciones:
IP dinmica y puerto: La seleccin de direcciones se basa en un
hash de la direccin de IP de origen. Para una direccin de IP de
origen, el cortafuegos utilizar la misma direccin de origen
traducida para todas las sesiones. IP dinmica y NAT de puerto
origen admite aproximadamente 64.000 sesiones simultneas en
cada direccin IP en el grupo NAT. En algunas plataformas, se
permite un exceso de suscripciones, lo que permite a una nica IP
albergar ms de 64.000 sesiones simultneas.
IP dinmica/NAT de puerto de Palo Alto Networks admite
ms sesiones NAT que las admitidas por el nmero de direcciones
y puertos IP disponibles. El cortafuegos puede utilizar direcciones
IP y combinaciones de puertos hasta dos veces (de forma simultnea) en PA-200, PA-500, serie PA-2000 y serie PA-3000, cuatro
veces en PA-4020 y PA-5020, y ocho veces en dispositivos
PA-4050, PA-4060, PA-5050 y PA-5060 cuando las direcciones
IP de destino son exclusivas.
IP dinmica: Se utiliza la siguiente direccin disponible en el
intervalo especificado, pero el nmero de puerto no se cambia.
Se admiten hasta 32.000 direcciones IP consecutivas. Un grupo de
direcciones IP dinmicas puede contener varias subredes, por lo
que podr traducir sus direcciones de red internas a dos o ms
subredes pblicas diferentes.
Avanzado (traduccin de IP dinmica de reserva):
Utilice esta opcin para crear un grupo de reserva que
ejecutar la traduccin de IP y puerto, y que se utilizar si el
grupo primario agota sus direcciones. Puede definir las direcciones del grupo utilizando la opcin Direccin traducida o
Direccin de interfaz, para interfaces que reciben una direccin
IP dinmica. Si crea un grupo de reserva, asegrese de que las
direcciones no se solapan con las direcciones del grupo primario.
IP esttica: Se utiliza la misma direccin y el puerto permanece
inalterable. Por ejemplo, si el intervalo de origen es 192.168.0.1192.168.0.10 y el intervalo de traduccin es 10.0.0.1-10.0.0.10, la
direccin 192.168.0.2 siempre se traduce a 10.0.0.2. El intervalo de
direccin es casi ilimitado.
Ninguna: La traduccin no se ejecuta.

Traduccin de direccin
de destino

236 Polticas y perfiles de seguridad

Introduzca una direccin o intervalo de direcciones IP y un nmero


de puerto traducido (1 a 65535) al que la direccin y nmero de
puerto de destino se traducirn. Si el campo Puerto traducido se
deja en blanco, el puerto de destino no se modifica. La traduccin
de destino se suele utilizar para permitir un servidor interno,
como un servidor de correo electrnico al que se accede desde la
red pblica.

Palo Alto Networks

Polticas de reenvo basado en polticas


Polticas > Reenvo basado en polticas
Normalmente, cuando el trfico entra en el cortafuegos, el enrutador virtual de la interfaz de
entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de
destino basada en la direccin IP de destino. Gracias al reenvo basado en polticas (PBF),
puede especificar otra informacin para determinar la interfaz de salida, incluyendo la zona,
direccin y usuario de origen, as como la direccin, aplicacin y servicio de destino. La sesin
inicial de una direccin IP y puerto de destino concretos asociados con una aplicacin no
coincidir con una regla de aplicacin especfica y se reenviarn de acuerdo con reglas PBF
subsiguientes (que no especifican ninguna aplicacin) o la tabla de reenvo del enrutador
virtual. El resto de sesiones de esa direccin IP y puerto de destino de la misma aplicacin
coincidirn con una regla especfica de aplicacin. Para garantizar el reenvo mediante reglas
PBF, no se recomienda el uso de reglas especficas de la aplicacin.
Cuando sea necesario, las reglas PBF se pueden utilizar para forzar el trfico mediante un
sistema virtual adicional con la accin de reenvo Reenviar a Vsys. En este caso, es necesario
definir una regla PBF adicional que reenve el paquete desde el sistema virtual de destino
mediante una interfaz de salida (egress) concreta en el cortafuegos.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:

Pestaa General

Pestaa Origen

Pestaa Destino/aplicacin/servicio

Pestaa Reenvo

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica PBF.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.

Campo

Descripcin

Nombre

Introduzca un nombre para identificar la regla (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo.
Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos. Solo se
requiere el nombre.

Descripcin

Introduzca una descripcin de la poltica (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para especificar
la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite ordenar o
filtrar polticas. Es til cuando ha definido muchas polticas y desea revisar las que
estn etiquetadas con una palabra clave especfica. Por ejemplo, tal vez quiera
etiquetar determinadas polticas de seguridad con Entrante en DMZ, polticas de
descifrado con las palabras descifrado y sin descifrado, o usar el nombre de un
centro de datos especfico para polticas asociadas con esa ubicacin.

Palo Alto Networks

Polticas y perfiles de seguridad 237

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de reenvo.

Campo

Descripcin

Zona de origen

Para elegir zonas de origen (el valor predeterminado es cualquiera),


haga clic en Aadir y seleccione una de la lista desplegable. Para definir
nuevas zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.
Note: Solo se admiten zonas de tipo Capa 3 para reenvo basado en
polticas.

Direccin de origen

Haga clic en Aadir para aadir las direcciones, direcciones de grupos o


regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.

Usuario de origen

Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de


origen sometidos a la poltica. Los siguientes tipos de usuarios de origen
son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos
de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en
el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas
polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn
autenticados en el dominio como si hubieran iniciado sesin
completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opcin es equivalente
al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estn asignadas a un usuario. Por ejemplo,
podra usar desconocido para acceso de invitados a alguna parte
porque tendrn una IP en su red, pero no se autenticarn en el dominio
y no tendrn ninguna IP en la informacin de asignacin de usuarios en
el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera aadir a un usuario, una lista de
individuos, algunos grupos o aadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deber introducir la informacin del usuario
manualmente.

238 Polticas y perfiles de seguridad

Palo Alto Networks

Pestaa Destino/aplicacin/servicio
Use la pestaa Destino/aplicacin/servicio para definir la configuracin de destino que se
aplicar al trfico que coincida con la regla de reenvo.

Campo

Descripcin

Direccin de destino

Haga clic en Aadir para aadir las direcciones, direcciones de grupos


o regiones de destino (la opcin predeterminada es Cualquiera). Realice
su seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.

Aplicacin

Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir


nuevas aplicaciones, consulte Definicin de aplicaciones. Para definir
grupos de aplicaciones, consulte Definicin de grupos de aplicaciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
PFB, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podr ver fcilmente miembros de
la aplicacin directamente desde la poltica, sin tener que ir hasta las
pestaas de objetos.

Pestaa Reenvo
Use la pestaa Reenvo para definir la accin y la informacin de red que se aplicar al trfico
que coincida con la poltica de reenvo. El trfico se puede reenviar a una direccin IP de
siguiente salto, un sistema virtual o bien se puede interrumpir el trfico.

Campo

Descripcin

Direccin de destino

Haga clic en Aadir para aadir las direcciones, direcciones de grupos o


regiones de destino (la opcin predeterminada es Cualquiera). Realice
su seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin.

Aplicacin

Seleccione si desea especificar aplicaciones a la regla de PFB. Para definir


nuevas aplicaciones, consulte Definicin de aplicaciones. Para definir
grupos de aplicaciones, consulte Definicin de grupos de aplicaciones.
Si utiliza grupos de aplicaciones, filtros o un contenedor en la regla de
PFB, podr ver los detalles de estos objetos al pasar el ratn por encima
del objeto en la columna Aplicacin, haciendo clic en la flecha hacia abajo
y seleccionando Valor. De esta forma podr ver fcilmente miembros de
la aplicacin directamente desde la poltica, sin tener que ir hasta las
pestaas de objetos.

Accin

Seleccione una de las siguientes opciones:


Reenviar: Especifique la direccin IP del prximo salto y la interfaz de
salida (egress) (la interfaz que toma el paquete para el siguiente salto
especificado).
Reenviar a VSYS: Seleccione el sistema virtual de reenvo en la lista
desplegable.
Descartar: descarta el paquete.
No hay ningn PBF: No altera la ruta que tomar el paquete.

Palo Alto Networks

Polticas y perfiles de seguridad 239

Campo

Descripcin

Programacin

Para limitar los das y horas en los que la regla est en vigor, seleccione
una programacin de la lista desplegable. Para definir nuevas
programaciones, consulte Programaciones.

Polticas de descifrado
Polticas > Descifrado
Puede configurar el cortafuegos para descifrar el trfico y ganar en visibilidad, control y
seguridad granular. Las polticas de descifrado se pueden aplicar a una capa de sockets
seguros (SSL) y a trfico Secure Shell (SSH). El descifrado SSH se puede utilizar para descifrar
el trfico SSH entrante y saliente para asegurar que los protocolos no se estn utilizando para
tneles de aplicaciones y contenido no permitido.
Cada una de las polticas de descifrado especifica las categoras o URL para descifrar o no.
El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus, Vulnerabilidades, Antispyware, Filtrado de URL y Bloqueo de archivos al trfico SSL descifrado antes
de volverse a cifrar a medida que el trfico sale del dispositivo. Puede aplicar perfiles de
descifrado a sus polticas con objeto de bloquear y controlar diferentes aspectos del trfico.
Para obtener ms informacin, consulte Perfiles de descifrado. Con el descifrado activado,
la seguridad de punto a punto entre clientes y servidores se mantiene, y el cortafuegos acta
como un agente externo de confianza durante la conexin. Ningn tipo de trfico descifrado
sale del dispositivo.
Las polticas de descifrado pueden ser tan generales o especficas como sea necesario.
Las reglas de las polticas se comparan con el trfico en secuencias, por lo que las reglas
ms especficas deben preceder a las reglas ms generales. Para mover una regla a la parte
superior de las polticas y que tenga preferencia, seleccinela y haga clic en Mover hacia
arriba. Una poltica que excluya el trfico del descifrado (con la accin No hay ningn
descifrado) siempre debe tener preferencia para poder entrar en vigor.
El cifrado de proxy SSL de reenvo requiere que se le presente al usuario la configuracin de
un certificado de confianza, si el servidor al que se conecta el usuario posee un certificado
firmado por una entidad de certificacin de confianza del cortafuegos. Para configurar este
certificado, cree uno en la pgina Dispositivo > Gestin de certificados > Certificados y, a
continuacin, haga clic en el nombre del certificado y active la casilla Reenviar certificado
fiable. Consulte Gestin de certificados de dispositivos.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Algunas aplicaciones no funcionarn si las descifra el cortafuegos. Para evitarlo,
PAN-OS no descifrar el trfico SSL de estas aplicaciones y los ajustes de reglas de
cifrado no se aplicarn.
Para ver una lista de estas aplicaciones, consulte el artculo de ayuda ubicado en
https://live.paloaltonetworks.com/docs/DOC-1423.

240 Polticas y perfiles de seguridad

Palo Alto Networks

Las siguientes tablas describen la configuracin de polticas de descifrado:

Pestaa General

Pestaa Origen

Pestaa Destino

URL/servicio

Pestaa Opciones

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
descifrado. Tambin puede configurar una pestaa para que le permita ordenar o filtrar
polticas cuando estas son muy numerosas.

Campo

Descripcin

Nombre

Introduzca un nombre para identificar la regla (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.

Descripcin

Introduzca una descripcin de la regla (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para


especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas polticas y
desea revisar las que estn etiquetadas con una palabra clave especfica.
Por ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad
con Entrante en DMZ, polticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos especfico para
polticas asociadas con esa ubicacin.

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de descifrado.

Campo

Descripcin

Zona de origen

Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.

Palo Alto Networks

Polticas y perfiles de seguridad 241

Campo

Descripcin

Direccin de origen

Haga clic en Aadir para aadir las direcciones, direcciones de grupos o


regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.

Usuario de origen

Haga clic en Aadir para seleccionar los usuarios o grupos de usuarios de


origen sometidos a la poltica. Los siguientes tipos de usuarios de origen
son compatibles:
Cualquiera: Incluye todo el trfico independientemente de los datos de
usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos conectados a
la red mediante GlobalProtect pero que no han iniciado sesin en su
sistema. Cuando se configura la opcin Anterior al inicio de sesin en
el portal de clientes de GlobalProtect, cualquier usuario que no est
registrado en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede crear estas
polticas para usuarios anteriores al inicio de sesin y, aunque el
usuario no haya iniciado sesin directamente, sus equipos estarn
autenticados en el dominio como si hubieran iniciado sesin
completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir,
cualquier IP con datos de usuario asignados. Esta opcin es equivalente
al grupo usuarios del dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos, es decir,
las direcciones IP que no estn asignadas a un usuario. Por ejemplo,
podra usar desconocido para acceso de invitados a alguna parte
porque tendrn una IP en su red, pero no se autenticarn en el dominio
y no tendrn ninguna IP en la informacin de asignacin de usuarios en
el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta ventana.
Por ejemplo, puede que quiera aadir a un usuario, una lista de
individuos, algunos grupos o aadir usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deber introducir la informacin del usuario
manualmente.

Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.

Campo

Descripcin

Zona de destino

Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.

242 Polticas y perfiles de seguridad

Palo Alto Networks

Campo

Descripcin

Direccin de destino

Haga clic en Aadir para aadir las direcciones, direcciones de grupos o


regiones de destino (la opcin predeterminada es Cualquiera). Realice
su seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.

URL/servicio
Use la pestaa Categora de URL para aplicar la poltica de descifrado a cualquier categora
de URL, o bien especifique una lista de categoras de URL a las que se aplicar la poltica.

Campo

Descripcin

Pestaa Categora
de URL

Seleccione las categoras URL de la regla de descifrado.


Seleccione Cualquiera para buscar en todas las sesiones, con independencia de la categora URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Categoras de
URL personalizadas para obtener ms informacin sobre cmo definir
categoras personalizadas.

Pestaa Opciones
Use la pestaa Opciones para determinar si el trfico coincidente debera descifrarse o no.
Si se ha definido Descifrar, especifique el tipo de descifrado. Tambin puede aadir funciones
de descifrado adicionales configurando o seleccionando un perfil de descifrado.

Campo

Descripcin

Accin

Seleccione Descifrar o No descifrar para el trfico.

Tipo

Seleccione el tipo de trfico para descifrar de la lista desplegable:


Proxy SSL de reenvo: Especifique que la poltica descifrar el trfico
del cliente destinado a un servidor externo.
Proxy SSH: Especifique que la poltica descifrar el trfico SSH.
Esta opcin permite controlar los tneles SSH en polticas, especificando el ID de aplicacin (App-ID) de tnel ssh.
Inspeccin de entrada SSL: Especifique que la poltica descifrar el
trfico de inspeccin entrante SSL.

Perfil de descifrado

Palo Alto Networks

Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte


Perfiles de descifrado.

Polticas y perfiles de seguridad 243

Definicin de polticas de application override


Polticas > Application override
Para cambiar la forma en la que el cortafuegos clasifica el trfico de la red en las aplicaciones,
puede especificar polticas de application override. Por ejemplo, si desea controlar una de sus
aplicaciones personalizadas, puede utilizar una poltica de application override para
identificar el trfico de esa aplicacin en funcin de la zona, direccin de origen y destino,
puerto y protocolo. Si tiene aplicaciones de red clasificadas como desconocidas, puede crear
nuevas definiciones de aplicaciones (consulte Definicin de aplicaciones).
Al igual que las polticas de seguridad, las polticas de application override pueden ser tan
generales o especficas como sea necesario. Las reglas de las polticas se comparan con el
trfico en secuencias, por lo que las reglas ms especficas deben preceder a las reglas ms
generales.
Como el motor de ID de aplicaciones (App-ID) de PAN-OS clasifica el trfico identificando
el contenido especfico de la aplicacin en el trfico de red, la definicin de aplicacin personalizada no puede utilizar un nmero de puerto para identificar una aplicacin. La definicin
de la aplicacin tambin debe incluir el trfico (restringido por zona y direccin IP de origen,
y zona y direccin IP de destino).
Para crear una aplicacin personalizada con application override:
1.

Defina la aplicacin personalizada. Consulte Definicin de aplicaciones. No es necesario


especificar firmas para la aplicacin si la aplicacin se utiliza nicamente para reglas de
application override.

2.

Defina una poltica de application override que especifique si la aplicacin personalizada


se debe activar. Una poltica suele incluir la direccin IP del servidor que ejecuta
la aplicacin personalizada y un conjunto restringido de direcciones IP o una zona
de origen.

Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,


consulte Polticas y perfiles de seguridad.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Use las siguientes tablas para configurar una regla de application override.

Pestaa General

Pestaa Origen

Pestaa Destino

Pestaa Protocolo/Aplicacin

244 Polticas y perfiles de seguridad

Palo Alto Networks

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de
application override. Tambin puede configurar una pestaa para que le permita ordenar o
filtrar polticas cuando estas son muy numerosas.

Campo

Descripcin

Nombre

Introduzca un nombre para identificar la regla (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.

Descripcin

Introduzca una descripcin de la regla (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para


especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas polticas y
desea revisar las que estn etiquetadas con una palabra clave especfica.
Por ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad
con Entrante en DMZ, polticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos especfico para
polticas asociadas con esa ubicacin.

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de application override.

Campo

Descripcin

Zona de origen

Haga clic en Aadir para seleccionar las zonas de origen (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.

Direccin de origen

Palo Alto Networks

Haga clic en Aadir para aadir las direcciones, direcciones de grupos o


regiones de origen (la opcin predeterminada es Cualquiera). Realice su
seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.

Polticas y perfiles de seguridad 245

Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.

Campo

Descripcin

Zona de destino

Haga clic en Aadir para seleccionar las zonas de destino (la opcin
predeterminada es Cualquiera). Las zonas deben ser del mismo tipo
(capa 2, capa 3 o de cable virtual, Virtual Wire). Para definir nuevas
zonas, consulte Definicin de zonas de seguridad.
Puede utilizar mltiples zonas para simplificar la gestin. Por ejemplo,
si tiene tres zonas internas diferentes (Marketing, Ventas y Relaciones
pblicas) que se dirigen todas a la zona de destino no fiable, puede crear
una regla que cubra todas las clases.

Direccin de destino

Haga clic en Aadir para aadir las direcciones, direcciones de grupos o


regiones de destino (la opcin predeterminada es Cualquiera). Realice
su seleccin en la lista desplegable o haga clic en Direccin, Grupo de
direcciones, o en el enlace Regiones en la parte inferior de la lista
desplegable y especifique la configuracin. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas.

Pestaa Protocolo/Aplicacin
Use la pestaa Protocolo/Aplicacin para definir el protocolo (TCP o UDP), puerto y
aplicacin que definen con mayor exactitud los atributos de la aplicacin para que coincida
con la poltica.

Campo

Descripcin

Protocolo

Seleccione el protocolo por el que la aplicacin se puede cancelar.

Puerto

Introduzca el nmero de puerto (0 a 65535) o el intervalo de nmeros


de puerto (puerto1-puerto2) de las direcciones de origen especificadas.
Si especifica varios puertos o intervalos, deben estar separados por comas.

Aplicacin

Seleccione la aplicacin de cancelacin de los flujos de trfico que


coincidan con los criterios de la regla anterior. Si cancela una aplicacin
personalizada, no se realizar una inspeccin de amenazas. La excepcin
es si cancela una aplicacin predeterminada que admite la inspeccin de
amenazas.
Para definir nuevas aplicaciones, consulte Definicin de aplicaciones.

246 Polticas y perfiles de seguridad

Palo Alto Networks

Definicin de polticas de portal cautivo


Polticas > Portal cautivo
Use la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticacin de usuarios mediante un perfil de autenticacin, una secuencia de autenticacin o un
perfil de certificado. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID)
para aumentar las funciones de identificacin de usuarios ms all del dominio de Active
Directory. Los usuarios se dirigen hacia el portal y se autentican, creando una asignacin de
usuario a direccin IP.
Antes de definir polticas de portal cautivo, habilite las funciones y configure los ajustes
de portal cautivo en la pgina Identificacin de usuarios, tal y como se describe en
Configuracin del cortafuegos para la identificacin de usuarios.
Para obtener informacin y directrices de configuracin acerca de otros tipos de polticas,
consulte Polticas y perfiles de seguridad.
Las siguientes tablas describen la configuracin de polticas de portal cautivo:

Pestaa General

Pestaa Origen

Pestaa Destino

Pestaa Categora de URL/servicio

Pestaa Accin

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica de portal
cautivo. Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas
cuando estas son muy numerosas.

Campo

Descripcin

Nombre

Introduzca un nombre para identificar la regla (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.

Descripcin

Introduzca una descripcin de la regla (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para


especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas polticas y
desea revisar las que estn etiquetadas con una palabra clave especfica.
Por ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad
con Entrante en DMZ, polticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos especfico para
polticas asociadas con esa ubicacin.

Palo Alto Networks

Polticas y perfiles de seguridad 247

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica de portal cautivo.

Campo
IP Origen

Descripcin
Especifique la siguiente informacin:
Seleccione una zona de origen si necesita aplicar la poltica al trfico
entrante de todas las interfaces de una zona concreta. Haga clic en
Aadir para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la
poltica del portal cautivo desde las direcciones de origen especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.

Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.

Campo
IP Destino

Descripcin
Especifique la siguiente informacin:
Seleccione una zona de destino si necesita aplicar la poltica al trfico de
todas las interfaces de una zona concreta. Haga clic en Aadir para
especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica del portal cautivo desde las direcciones de destino especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
mltiples interfaces o zonas.

Pestaa Categora de URL/servicio


Use la pestaa Categora de URL/servicio para hacer que la accin de la poltica se realice en
funcin de nmeros de puerto TCP o UDP especficos. Una categora de URL tambin puede
usarse como un atributo para la poltica.

Campo

Descripcin

Servicio

Seleccione los servicios para limitar nmeros de puertos TCP y/o UDP
concretos. Seleccione una de las siguientes opciones de la lista
desplegable:
Cualquiera: los servicios seleccionados se permiten o deniegan en
cualquier protocolo o puerto.
Valor predeterminado de aplicacin: Los servicios seleccionados se
permiten o deniegan nicamente segn los puertos predeterminados
por Palo Alto Networks. Esta opcin es la recomendada para polticas
de permiso.
Seleccionar: Haga clic en Aadir. Seleccione un servicio existente o
seleccione Servicio o Grupo de servicios para especificar una nueva
entrada. Consulte Servicios y Grupos de servicios.

248 Polticas y perfiles de seguridad

Palo Alto Networks

Campo
Categora de URL

Descripcin
Seleccione las categoras URL de la regla de portal cautivo.
Seleccione Cualquiera para aplicar las acciones especificadas en la
pestaa Servicio/Accin con independencia de la categora de URL.
Para especificar una categora, haga clic en Aadir y seleccione una
categora concreta (incluyendo una categora personalizada) de la lista
desplegable. Puede aadir varias categoras. Consulte Categoras de
URL personalizadas para obtener ms informacin sobre cmo definir
categoras personalizadas.

Pestaa Accin
Use la pestaa Acciones para determinar si el usuario ver un formato web, un cuadro de
dilogo de reto de explorador o si no se producir ningn desafo de portal cautivo.

Campo

Descripcin

Configuracin de accin

Seleccione la accin que se realizar:


Formato web: Abre una pgina de portal cautivo en la que el usuario
puede introducir explcitamente las credenciales de autenticacin.
portal no cautivo: Permite el paso del trfico sin abrir una pgina de
portal cautivo para su autenticacin.
reto de explorador: Abre una solicitud de autenticacin NT LAN
Manager (NTLM) en el explorador web del usuario. El explorador web
responder utilizando las credenciales de inicio de sesin actuales del
usuario.

Definicin de polticas DoS


Polticas > Proteccin DoS
Las polticas de proteccin DoS permiten controlar el nmero de sesiones entre interfaces,
zonas, direcciones y pases, basadas en sesiones agregadas o direcciones IP de origen y/o
destino. Por ejemplo, puede controlar el trfico desde y hacia determinadas direcciones o
grupos de direcciones o desde determinados usuarios y para servicios concretos.
Una poltica DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o
paquetes por segundo) que indican un ataque. Entonces podr seleccionar una accin
protectora en una poltica cuando se active una coincidencia.
Para obtener informacin sobre cmo definir polticas en Panorama, consulte Definicin de
polticas en Panorama.
Use esta pgina para aadir, editar o eliminar reglas de polticas DoS. Para aadir una nueva
regla de poltica, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.

Palo Alto Networks

Polticas y perfiles de seguridad 249

Pestaa General
Use la pestaa General para configurar un nombre y una descripcin de la poltica DoS.
Tambin puede configurar una pestaa para que le permita ordenar o filtrar polticas cuando
estas son muy numerosas.

Campo

Descripcin

Nombre

Introduzca un nombre para identificar la regla (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos. Solo se requiere el nombre.

Descripcin

Introduzca una descripcin de la regla (hasta 255 caracteres).

Etiqueta

Si necesita aadir una etiqueta a la poltica, haga clic en Aadir para


especificar la etiqueta.
Una etiqueta de poltica es una palabra clave o frase que le permite
ordenar o filtrar polticas. Es til cuando ha definido muchas polticas y
desea revisar las que estn etiquetadas con una palabra clave especfica.
Por ejemplo, tal vez quiera etiquetar determinadas polticas de seguridad
con Entrante en DMZ, polticas de descifrado con las palabras descifrado
y sin descifrado, o usar el nombre de un centro de datos especfico para
polticas asociadas con esa ubicacin.

250 Polticas y perfiles de seguridad

Palo Alto Networks

Pestaa Origen
Use la pestaa Origen para definir la zona de origen o direccin de origen que define el trfico
de origen entrante al que se aplicar la poltica DoS.

Campo
IP Origen

Descripcin
Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de origen que se aplicar a la poltica
DoS desde las direcciones de origen especficas. Seleccione la casilla de
verificacin Negar para seleccionar cualquier direccin excepto las
configuradas. Haga clic en Aadir para especificar varias direcciones.
Especifique el parmetro Usuario de origen que se aplicar a la
poltica DoS para el trfico procedente de los usuarios especficos.
Los siguientes tipos de usuarios de origen son compatibles:

Cualquiera: Incluye todo el trfico independientemente de


los datos de usuario.
Anterior al inicio de sesin: Incluye a usuarios remotos
conectados a la red mediante GlobalProtect pero que no
han iniciado sesin en su sistema. Cuando se configura la
opcin Anterior al inicio de sesin en el portal de clientes
de GlobalProtect, cualquier usuario que no est registrado
en su equipo en ese momento ser identificado con el
nombre de usuario Anterior al inicio de sesin. Puede
crear estas polticas para usuarios anteriores al inicio de
sesin y, aunque el usuario no haya iniciado sesin
directamente, sus equipos estarn autenticados en el
dominio como si hubieran iniciado sesin completamente.
Usuario conocido: Incluye a todos los usuarios autenticados, es decir, cualquier IP con datos de usuario asignados.
Esta opcin es equivalente al grupo usuarios del
dominio en un dominio.
Desconocido: Incluye a todos los usuarios desconocidos,
es decir, las direcciones IP que no estn asignadas a un
usuario. Por ejemplo, podra usar desconocido para acceso
de invitados a alguna parte porque tendrn una IP en su
red, pero no se autenticarn en el dominio y no tendrn
ninguna IP en la informacin de asignacin de usuarios en
el cortafuegos.
Seleccionar: Incluye los usuarios seleccionados en esta
ventana. Por ejemplo, puede que quiera aadir a un
usuario, una lista de individuos, algunos grupos o aadir
usuarios manualmente.
Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID),
la lista de usuarios no se muestra y deber introducir la informacin del usuario
manualmente.

Palo Alto Networks

Polticas y perfiles de seguridad 251

Pestaa Destino
Use la pestaa Destino para definir la zona de destino o direccin de destino que define el
trfico de destino al que se aplicar la poltica.

Campo
IP Destino

Descripcin
Especifique la siguiente informacin:
Seleccione Interfaz de la lista desplegable Tipo para aplicar la poltica
DoS al trfico entrante en una interfaz o en un grupo de interfaces.
Seleccione Zona si la poltica DoS se debe aplicar al trfico entrante
desde todas las interfaces en una zona concreta. Haga clic en Aadir
para especificar mltiples interfaces o zonas.
Especifique el parmetro Direccin de destino que se aplicar a la
poltica DoS para el trfico a las direcciones de destino especficas.
Seleccione la casilla de verificacin Negar para seleccionar cualquier
direccin excepto las configuradas. Haga clic en Aadir para especificar
varias direcciones.

Pestaa Opcin/Proteccin
Use la pestaa Opcin/Proteccin para configurar opciones adicionales de la poltica DoS,
como el tipo de servicio (http o https) o la accin que se realizar y decidir si se activar un
reenvo de log para el trfico coincidente. Tambin puede definir una programacin que
determine cundo estar activa la poltica y seleccionar un perfil DoS agregado o clasificado
que defina ms atributos para la proteccin DoS.

Campo

Descripcin

Servicio

Seleccione en la lista desplegable la poltica DoS que se aplicar


nicamente a los servicios configurados.

Accin

Seleccione la accin en la lista desplegable:


Denegar: Cancela todo el trfico.
Permitir: Permite todo el trfico.
Proteger: Aplica las protecciones proporcionadas en los umbrales que
se configuran como parte del perfil DoS aplicado a esta regla.

Programacin

Seleccione una programacin preconfigurada de la lista desplegable, que


se aplicar a la regla DoS a una fecha/hora concretas.

Reenvo de logs

Si quiere activar el reenvo de entradas de logs de amenazas a un servicio


externo, como un servidor syslog o Panorama, seleccione un perfil de
reenvo de logs de la lista desplegable o haga clic en Perfil para crear uno
nuevo. Tenga en cuenta que solo ser registrado y reenviado el trfico que
coincida con una accin de la regla.

Agregado

Seleccione un perfil de proteccin DoS de la lista desplegable para


determinar la tasa a la que desea adoptar las medidas en respuesta a las
amenazas DoS. Esta configuracin se aplica al total del trfico del origen
especificado al destino especificado.

252 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Campo

Descripcin

Clasificado

Seleccione la casilla de verificacin y especificar los siguientes ajustes:


Perfil: Seleccione un perfil de la lista desplegable.
Direccin: Seleccione si la regla se aplicar al origen, destino, o a las
direcciones IP de origen y destino.
Si se especifica un perfil clasificado, las limitaciones del perfil se aplican a
una direccin IP de origen, direccin IP de destino, o pares de direcciones
IP de origen y destino. Por ejemplo, puede especificar un perfil clasificado
con un lmite de sesin de 100 y especificar un parmetro Direccin de
origen en la regla. El resultado sera un lmite de 100 sesiones en
cualquier momento para esa direccin IP de origen en particular.

Perfiles de seguridad
Cada una de las polticas de seguridad puede incluir especificaciones de uno o ms perfiles de
seguridad, lo que proporciona an ms nivel de proteccin y control.
Tambin puede aadir excepciones de amenazas a los perfiles de antispyware y vulnerabilidades. Con objeto de facilitar an ms la gestin de amenazas, puede aadir excepciones de
amenazas directamente desde la lista Supervisar > Logs > Amenazas. Las excepciones de
amenazas se suelen configurar cuando se producen falsos positivos. En este caso, puede
definir una excepcin para una amenaza hasta que Palo Alto Networks emita una nueva
firma para el falso positivo que se ha producido.
Los siguientes tipos de perfil estn disponibles:

Perfiles de antivirus como proteccin contra gusanos y virus o bloqueo de descargas de


spyware. Consulte Perfiles de antivirus.

Perfiles de antispyware para bloquear intentos de acceso a la red protegida por parte de
spyware. Consulte Perfiles de antispyware.

Perfiles de proteccin de vulnerabilidades para detener los intentos de explotacin de


fallos del sistema y de acceso no autorizado a los sistemas. Consulte Perfiles de
proteccin de vulnerabilidades.

Perfiles de filtrado de URL para restringir el acceso a sitios web especficos y a categoras
de sitios web. Consulte Perfiles de filtrado de URL.

Perfiles de bloqueo de archivos para bloquear los tipos de archivos seleccionados.


Consulte Perfiles de bloqueo de archivo.

Perfiles de filtrado de datos que ayudan a evitar que informacin confidencial, como
nmeros de tarjetas de crdito o nmeros de la seguridad social salgan de la zona
protegida por el cortafuegos. Consulte Perfiles de filtrado de datos.

Adems de los perfiles individuales, puede crear grupos en Objetos > Grupos de perfiles de
seguridad para combinar los perfiles que se apliquen con frecuencia conjuntamente.
No puede eliminar un perfil que se utiliza en una poltica de seguridad. Antes debe
quitar el perfil de la poltica de seguridad y luego eliminarlo.

Palo Alto Networks

Polticas y perfiles de seguridad 253

Perfiles de seguridad

Puede elegir entre las siguientes acciones cuando define perfiles de antivirus y antispyware.

Predeterminado: Realiza la accin predeterminada especificada internamente en la firma


de cada amenaza.

Permitir: Permite el trfico de la aplicacin.

Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.

Bloquear: Cancela el trfico de la aplicacin.

Las siguientes acciones estn disponibles cuando se definen objetos de spyware y vulnerabilidades personalizados:

Alerta: Genera una alerta para el flujo de trfico de cada aplicacin. La alerta se guarda en
el log de amenazas.

Colocar paquetes: Evita que todos los paquetes salgan del cortafuegos.

Restablecer ambos: Restablece el cliente y el servidor.

Restablecer cliente: Restablece el cliente.

Restablecer servidor: Restablece el servidor.

Bloquear IP: Esta accin bloquea el trfico de un par de origen u origen-destino


(configurable) durante un perodo de tiempo especificado.

Perfiles de antivirus
Objetos > Perfiles de seguridad > Antivirus
En la pgina Perfiles de antivirus puede configurar opciones para que el cortafuegos busque
virus mediante anlisis del trfico definido. Defina en qu aplicaciones se buscarn virus
mediante inspecciones y la accin que se llevar a cabo si se encuentra uno. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados, genera alertas de
Simple Mail Transport Protocol (SMTP), Internet Message Access Protocol (IMAP), y Post
Office Protocol Version 3 (POP3), y toma las medidas predeterminadas para el resto de las
aplicaciones (alerta o denegacin), dependiendo del tipo de virus detectado. El perfil se
adjuntar despus a una poltica de seguridad para determinar la inspeccin del trfico que
atraviese zonas especficas.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antivirus para el
trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico recibido de
zonas no fiables, como Internet, as como el trfico enviado a destinos altamente sensibles,
como granjas de servidores.
Consulte Perfiles de seguridad para ver una lista completa de los tipos de perfiles de
seguridad y las acciones que se aplicarn al trfico coincidente.
Las siguientes tablas describen la configuracin de reenvo basado en polticas:

Pgina de perfil de antivirus

Pestaa Antivirus

Pestaa Excepciones

254 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Pgina de perfil de antivirus


Use esta pgina para definir un nombre y una descripcin del perfil.

Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de antivirus cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, puntos,
guiones y guiones bajos.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

Pestaa Antivirus
Use la pestaa Antivirus para definir el tipo de trfico que se inspeccionar, como ftp y http, y
especifique a continuacin la accin aplicable. Puede definir diferentes acciones para firmas
de antivirus estndar (columna Accin) y firmas generadas por el sistema WildFire (Accin de
WildFire). Algunos entornos pueden requerir pruebas de estabilidad ms largas para firmas
de antivirus, por lo que esta opcin permite definir distintas acciones para los dos tipos de
firmas de antivirus ofrecidos por Palo Alto Networks. Por ejemplo, las firmas de antivirus
estndar pasan pruebas de estabilidad ms largas (24 horas) en comparacin con las firmas
de WildFire, que se pueden generar y emitir en 15 minutos o menos tras la deteccin de la
amenaza. Por ello, tal vez prefiera elegir la accin de alerta en las firmas de WildFire en lugar
del bloqueo.
Use la tabla Excepcin de aplicaciones para definir las aplicaciones que no sern inspeccionadas. Por ejemplo, puede que quiera permitir http pero no inspeccionar el trfico de una
aplicacin especfica que funcione a travs de http.

Campo

Descripcin

Captura de paquetes

Seleccione la casilla de verificacin para capturar paquetes identificados.

Descodificadores y
Acciones

Para cada tipo de trfico en el que desee buscar virus, seleccione una
accin de la lista desplegable. Tambin puede adoptar la medida
especfica en funcin de las firmas creadas por WildFire.

Excepciones de
aplicacin y acciones

Identifique aplicaciones que se considerarn excepciones a la regla de


antivirus.
Por ejemplo, para bloquear todo el trfico HTTP excepto el de una
aplicacin especfica, puede definir un perfil de antivirus para el que la
aplicacin es una excepcin. Bloquear es la accin del descodificador
HTTP, y Permitir es la excepcin de la aplicacin.
Para buscar una aplicacin, comience escribiendo el nombre de la
aplicacin en el cuadro de texto. Se mostrar una lista con las aplicaciones
coincidentes, en la que podr realizar una seleccin. La aplicacin se
aade a la tabla y puede asignar una accin.
Para cada excepcin de la aplicacin, seleccione la accin que se adoptar
cuando se detecte la amenaza.

Palo Alto Networks

Polticas y perfiles de seguridad 255

Perfiles de seguridad

Pestaa Excepciones
Use la pestaa Excepciones para definir la lista de amenazas que ignorar el perfil de
antivirus.

Campo

Descripcin

ID de amenaza

Aada amenazas especficas que deberan ignorarse. Aparecern las


excepciones ya especificadas. Puede aadir amenazas adicionales
introduciendo el ID de amenaza y haciendo clic en Aadir. Los ID de
amenaza se presentan como parte de la informacin del log de amenaza.
Consulte Visualizacin de logs.

Perfiles de antispyware
Objetos > Perfiles de seguridad > Antispyware
Una poltica de seguridad puede incluir informacin de un perfil antispyware para detectar
llamada a casa (deteccin del trfico del spyware instalado). El perfil antispyware
predeterminado detecta la proteccin de llamada a casa en todos los niveles de gravedad,
excepto los niveles bajo e informativo.
Los perfiles personalizados se pueden utilizar para minimizar la exploracin antispyware
para el trfico entre zonas de seguridad fiables y para maximizar la inspeccin o el trfico
recibido de zonas no fiables, como Internet, as como el trfico enviado a destinos altamente
sensibles, como granjas de servidores.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta.
El ajuste de firmas DNS proporciona un mtodo adicional de identificacin de hosts
infectados en una red. Estas firmas detectan bsquedas DNS concretas de nombres de host
asociados con malware. Las firmas DNS se pueden configurar para permitir, alertar o (por
defecto) bloquear cuando se observen estas consultas, al igual que las firmas de antivirus
normales. Adems, los hosts que realizan consultas DNS en dominios malware aparecern
en el informe de botnet. Las firmas DNS se descargan como parte de las actualizaciones de
antivirus.
La pgina Antispyware muestra un conjunto predeterminado de columnas. Existen ms
columnas de informacin disponibles en el selector de columnas. Haga clic en la flecha a la
derecha de un encabezado de columna y seleccione las columnas en el submen Columnas.
Para obtener ms informacin, consulte Uso de tablas en pginas de configuracin.
Las siguientes tablas describen la configuracin de perfil de antispyware:

Tabla 145. Configuracin de perfil de antispyware


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de antispyware cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, puntos,
guiones y guiones bajos.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

256 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Tabla 145. Configuracin de perfil de antispyware (Continuacin)


Campo

Descripcin

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Pestaa Reglas
Nombre de regla

Especifique el nombre de la regla.

Nombre de amenaza

Introduzca Cualquiera para buscar todas las firmas o introduzca el texto


para buscar cualquier firma con el texto indicado como parte del nombre
de la firma.

Gravedad

Seleccione un nivel de gravedad (crtico, alto, medio, bajo o informativo).

Accin

Seleccione una accin (Predeterminada, Alerta, Permitir o Colocar) para


cada amenaza.

Captura de paquetes

Seleccione la casilla de verificacin para capturar paquetes identificados.


Seleccione paquete nico para capturar un paquete cuando se detecta,
o bien seleccione la opcin captura extendida para capturar de 1 a 50
paquetes. La captura extendida ofrece mucho ms contexto de la amenaza
al analizar los logs de amenazas. Para ver la captura de paquetes,
desplcese hasta Supervisar > Logs > Amenaza, busque la entrada del
log que le interesa y haga clic en la flecha verde hacia abajo de la segunda
columna. Para definir el nmero de paquetes que deben capturarse,
desplcese hasta Dispositivo > Configuracin > ID de contenido y edite
la seccin Configuracin de deteccin de amenaza.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.

Pestaa Excepciones
Excepciones

Seleccione la casilla de verificacin Habilitar para cada amenaza a la que


desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.

Pestaa firma DNS

Palo Alto Networks

Polticas y perfiles de seguridad 257

Perfiles de seguridad

Tabla 145. Configuracin de perfil de antispyware (Continuacin)


Campo

Descripcin

Accin para consultas


de DNS

Seleccione la medida que se adoptar cuando se realicen bsquedas


DNS en sitios conocidos de software malintencionado (Alertar, Permitir,
sinkhole o predeterminada (Bloquear)).
La accin sinkhole de DNS ofrece a los administradores un mtodo para
identificar hosts infectados en la red usando trfico DNS, incluso aunque
el cortafuegos est antes de un servidor de DNS local (es decir, que el
cortafuegos no puede ver el originador de una solicitud de DNS). Si tiene
instalada una licencia de prevencin de amenazas y tiene activado un
perfil antispyware, las firmas basadas en DNS se activarn en las solicitudes de DNS destinadas a dominios de software malintencionado.
En una implementacin tpica, donde el cortafuegos est antes del
servidor DNS local, el log de amenazas identificar la resolucin DNS
local como el origen del trfico en lugar del host infectado. Las consultas
DNS de software malintencionado falsificadas resuelven este problema
de visibilidad generando respuestas errneas a las consultas dirigidas
a dominios malintencionados, de modo que los clientes que intenten
conectarse a dominios malintencionados (mediante comando y control,
por ejemplo) intenten conectarse en su lugar a una direccin IP especificada por el administrador. Los hosts infectados pueden identificarse
fcilmente en los logs de trfico porque cualquier host que intente
conectarse a la IP sinkhole est infectado casi con toda seguridad con
software malintencionado.
Tras seleccionar la accin sinkhole, especifique una direccin IPv4 o
IPv6 que se usar como sinkhole (la predeterminada es la IP del loopback,
que resolver los dominios al host local). Cuando se configura una
direccin IP sinkhole, los clientes infectados pueden ser identificados
filtrando los logs de trfico o generando un informe personalizado que
compruebe las sesiones de la direccin IP especificada. Es importante
seleccionar una direccin IP mediante la cual una sesin tenga que
enrutarse a travs del cortafuegos para que este pueda ver la sesin;
por ejemplo, una IP no usada en otra zona interna.
A continuacin se detalla la secuencia de eventos que se sucedern al
habilitar la funcin sinkhole:

Captura de paquetes

258 Polticas y perfiles de seguridad

1.

El software malintencionado en el ordenador de un cliente infectado


enva una consulta DNS para resolver un host malintencionado en
Internet.

2.

La consulta DNS del cliente se enva a un servidor DNS interno, que


a su vez realiza una consulta al servidor de DNS pblico al otro lado
del cortafuegos.

3.

La consulta DNS coincide con una entrada DNS en la base de datos


de firmas DNS, de modo que la accin sinkhole se llevar a cabo en
la consulta.

4.

El cliente infectado intenta entonces iniciar una sesin en el host,


pero usa la direccin IP falsificada en su lugar. La direccin IP
falsificada es la direccin definida en la pestaa Firmas DNS del
perfil Antispyware al seleccionar la accin sinkhole.

5.

Se alerta al administrador de la consulta DNS malintencionada en el


log de amenazas, quien puede entonces buscar en los logs de trfico
la direccin IP sinkhole y localizar fcilmente la direccin IP del
cliente que intenta iniciar una sesin con la direccin IP sinkhole.

Seleccione la casilla de verificacin para capturar paquetes identificados.

Palo Alto Networks

Perfiles de seguridad

Tabla 145. Configuracin de perfil de antispyware (Continuacin)


Campo

Descripcin

Habilitar supervisin
de DNS pasivo

Se trata de una funcin opcional que permite al cortafuegos actuar como


un sensor DNS pasivo y enviar informacin de DNS escogida a Palo Alto
Networks para que sea analizada y poder mejorar as las funciones de
inteligencia y prevencin de amenazas. Los datos recopilados incluyen
consultas DNS no recursivas (es decir, con origen en la resolucin
recursiva local, no en clientes individuales) y cargas de paquetes de
respuesta. El equipo de investigacin de amenazas de Palo Alto
Networks usa esta informacin para conocer mejor cmo funciona la
propagacin de software malintencionado y las tcnicas de evasin que
se aprovechan del sistema DNS. La informacin recopilada a travs de
estos datos se usa para mejorar la precisin y la capacidad para detectar
software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB
URL filtering), las firmas de comando y control basadas en DNS y
WildFire. Se recomienda habilitar esta funcin.

Cuando el cortafuegos se configura con rutas de servicio personalizadas,


la funcin de DNS pasivo utilizar la ruta de servicio de WildFire para
enviar la informacin de DNS a Palo Alto Networks.
La opcin est deshabilitada de manera predeterminada.
ID de amenaza

Introduzca manualmente excepciones de firma DNS (intervalo 40000004999999).

Perfiles de proteccin de vulnerabilidades


Objetos > Perfiles de seguridad > Proteccin de vulnerabilidades
Una poltica de seguridad puede incluir especificaciones de un perfil de proteccin de
vulnerabilidades que determine el nivel de proteccin contra desbordamiento de bfer,
ejecucin de cdigo ilegal y otros intentos de explotar las vulnerabilidades del sistema.
Hay dos perfiles predefinidos disponibles para la funcin de proteccin de vulnerabilidades:

El perfil predeterminado aplica la accin predeterminada a todas las vulnerabilidades


de gravedad crtica, alta y media del servidor y del cliente. No detecta los eventos de
proteccin de vulnerabilidad informativos y bajos.

El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de


gravedad crtica, alta y media y utiliza la accin predeterminada para los eventos de
proteccin de vulnerabilidad bajos e informativos.

Los perfiles personalizados se pueden utilizar para minimizar la comprobacin de vulnerabilidades para el trfico entre zonas de seguridad fiables y para maximizar la proteccin del
trfico recibido de zonas no fiables, como Internet; y el trfico enviado a destinos altamente
sensibles, como granjas de servidores. Para aplicar los perfiles de proteccin de vulnerabilidades a las polticas de seguridad, consulte Definicin de polticas de seguridad.
Los parmetros de Reglas especifican conjuntos de firmas para habilitar, as como las medidas
que se deben adoptar cuando se active una firma de un conjunto.
Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. Por ejemplo,
puede bloquear todos los paquetes coincidentes con una firma, excepto el del paquete
seleccionado, que genera una alerta. La pestaa Excepcin admite funciones de filtrado.

Palo Alto Networks

Polticas y perfiles de seguridad 259

Perfiles de seguridad

La pgina Proteccin de vulnerabilidades muestra un conjunto predeterminado de


columnas. Existen ms columnas de informacin disponibles en el selector de columnas.
Haga nclic en la flecha a la derecha de un encabezado de columna y seleccione las columnas
en el submen Columnas. Para obtener ms informacin, consulte Uso de tablas en pginas
de configuracin.
Las siguientes tablas describen la configuracin de perfil de proteccin de vulnerabilidades:

Tabla 146. Configuracin del perfil de proteccin de vulnerabilidades


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de proteccin de vulnerabilidades cuando
se definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, puntos, guiones y guiones bajos.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Pestaa Reglas
Nombre de regla

Especifique un nombre para identificar la regla.

Nombre de amenaza

Especifique una cadena de texto para buscar. El cortafuegos aplica un


conjunto de firmas a la regla buscando nombres de firmas para esta
cadena de texto.

Accin

Seleccione la accin (Alertar, Permitir, Predeterminada o Bloquear) que


se realizar cuando se active la regla. La accin Predeterminada se basa
en la accin por defecto que forma parte de cada firma proporcionada
por Palo Alto Networks. Para ver la accin predeterminada de una
firma, desplcese a Objetos > Perfiles de seguridad > Proteccin de
vulnerabilidades y haga clic en Aadir o seleccione un perfil existente.
Haga clic en la pestaa Excepciones y, a continuacin, haga clic en
Mostrar todas las firmas. Aparecer una lista de todas las firmas y
ver una columna Accin.

Host

Especifique si desea limitar las firmas de la regla a las del lado del cliente,
lado del servidor o (cualquiera).

Captura de paquetes

Seleccione la casilla de verificacin para capturar paquetes identificados.


Seleccione paquete nico para capturar un paquete cuando se detecta,
o bien seleccione la opcin captura extendida para capturar de 1 a 50
paquetes. La captura extendida ofrece mucho ms contexto de la amenaza
al analizar los logs de amenazas. Para ver la captura de paquetes,
desplcese hasta Supervisar > Logs > Amenaza, busque la entrada del
log que le interesa y haga clic en la flecha verde hacia abajo de la segunda
columna. Para definir el nmero de paquetes que deben capturarse,
desplcese hasta Dispositivo > Configuracin > ID de contenido y edite
la seccin Configuracin de deteccin de amenaza.
Solo se producir captura de paquetes si la accin est permitida o alerta.
Si est definida la opcin de bloqueo, la sesin finaliza inmediatamente.

Categora

260 Polticas y perfiles de seguridad

Seleccione una categora de vulnerabilidad si desea limitar las firmas a las


que coinciden con esa categora.

Palo Alto Networks

Perfiles de seguridad

Tabla 146. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)


Campo

Descripcin

Lista CVE

Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea


limitar las firmas a las que tambin coinciden con las CVE especificadas.
Cada CVE tiene el formato CVE-aaaa-xxxx, donde aaaa es el ao y xxxx es
un identificador nico. Puede realizar una bsqueda de cadenas en este
campo. Por ejemplo, para buscar las vulnerabilidades del ao 2011,
introduzca 2011.

ID de proveedor

Especifique el ID del proveedor si desea limitar las firmas a las


coincidentes con la de los Id de los proveedores especificados.
Por ejemplo, los ID de proveedor de Microsoft tienen el formato
MSaa-xxx, donde aa es el ao en formato de dos dgitos y xxx es el
identificador nico. Por ejemplo, para buscar Microsoft en el ao 2009,
introduzca MS09.

Gravedad

Palo Alto Networks

Seleccione el nivel de gravedad (informativo, bajo, medio, alto o crtico)


si desea limitar las firmas a las coincidentes con los niveles de gravedad
especificados.

Polticas y perfiles de seguridad 261

Perfiles de seguridad

Tabla 146. Configuracin del perfil de proteccin de vulnerabilidades (Continuacin)


Campo

Descripcin

Pestaa Excepciones
Amenazas

Seleccione la casilla de verificacin Habilitar para cada amenaza a la que


desee asignar una accin, o seleccionar Todas para responder a todas las
amenazas indicadas. La lista depende del host, categora y gravedad
seleccionada. Si la lista est vaca, no hay amenazas en las selecciones
actuales.
Seleccione una accin de la lista desplegable o seleccione una opcin de la
lista desplegable Accin en la parte superior de la lista para aplicar la
misma accin a todas las amenazas. Si la casilla de verificacin Mostrar
todo est seleccionada, aparecern todas las firmas. Si la casilla de
verificacin Mostrar todo no est seleccionada, solo se mostrarn las
firmas que son excepciones.
Seleccione la casilla de verificacin Captura de paquetes si desea capturar
paquetes identificados.
La base de datos de firma de vulnerabilidad contiene firmas que indican
un ataque de fuerza bruta; por ejemplo, el ID de amenaza 40001 se activa
en un ataque de fuerza bruta de FTP. Las firmas de fuerza bruta se
activan cuando se produce una condicin en un determinado umbral
temporal. Los umbrales estn preconfigurados para firmas de fuerza
bruta y se pueden modificar haciendo clic en el icono de lpiz
junto al
nombre de la amenaza de la pestaa Vulnerabilidad (con la opcin
Personalizada seleccionada). Puede especificar el nmero de resultados
por unidad de tiempo y si se aplicarn los umbrales de origen, destino u
origen-destino.
Los umbrales se pueden aplicar en una IP de origen, IP de destino o una
combinacin de IP de origen y destino.
La accin predeterminada se muestra entre parntesis. La columna CVE muestra
los identificadores de vulnerabilidades y exposiciones comunes (CVE). Estos
identificadores nicos y comunes son para vulnerabilidades de seguridad de
informacin pblicamente conocidas.
Utilice la columna Excepciones de direccin IP para aadir filtros de
direccin IP a una excepcin de amenaza. Si las direcciones IP se aaden a
una excepcin de amenaza, la accin de excepcin de la amenaza de esa
firma solo sustituir a la accin de la regla, si la firma est activada por
una sesin con la IP de origen y destino con una IP coincidente en la
excepcin. Puede aadir hasta 100 direcciones IP por firma. Con esta
opcin no tiene que crear una nueva regla de poltica y un nuevo perfil de
vulnerabilidad para crear una excepcin para una direccin IP concreta.

262 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Perfiles de filtrado de URL


Objetos > Perfiles de seguridad > Filtrado de URL
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de una URL
que bloquee el acceso a sitios web y a categoras de sitios web especficas, que aplique Safe
Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una
licencia de filtrado URL). Tambin puede definir una lista de bloqueo de sitios web que
est siempre bloqueada (o que generen alertas) y una lista de permiso de sitios web que
est siempre permitida.
Para aplicar los perfiles de filtrado de URL a las polticas de seguridad, consulte Definicin
de polticas de seguridad. Para crear categoras de URL personalizadas con sus propias listas
de URL, consulte Categoras de URL personalizadas.
Las siguientes tablas describen la configuracin de perfil de filtrado de URL:

Tabla 147. Configuracin de perfil de filtrado de URL


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de filtrado de URL cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Categoras
(configurable solo
para BrightCloud)

Seleccione la medida que se adoptar si vence la licencia de filtrado


de URL:

Accin tras el
vencimiento de
la licencia

Bloquear: Bloquea el acceso a todos los sitios web.


Permitir: Permite el acceso a todos los sitios web.
Nota: Si usa la base de datos BrightCloud y define esta opcin para bloquear al
vencimiento de la licencia, se bloquearn todas las URL, no solo las categoras de
URL definidas para bloquearse. Si elige Permitir, se permitirn todas las URL.
Si usa PAN-DB, el filtrado de URL seguir funcionando y las categoras de URL
que se encuentran en cach actualmente se usarn para bloquear o permitir en
funcin de su configuracin.

Palo Alto Networks

Polticas y perfiles de seguridad 263

Perfiles de seguridad

Tabla 147. Configuracin de perfil de filtrado de URL (Continuacin)


Campo

Descripcin

Lista de bloqueadas

Introduzca las direcciones IP o los nombres de la ruta URL de los sitios


web que desee bloquear o cuyas alertas desee generar. Introduzca las
URL una a una.
Importante: Debe omitir la parte http y https de las URL cuando aada
los sitios web a la lista.
Las entradas de la lista de bloqueo deben ser una coincidencia
completa y no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea bloquear el dominio entero, debe incluir *.paloaltonetworks.com
y paloaltonetworks.com.
Ejemplos:
www.paloaltonetworks.com
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo.
Un testigo puede ser cualquier nmero de caracteres ASCII que no
contenga un carcter separador o *. Por ejemplo, los siguientes patrones
son vlidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*

(Los testigos son: "*", "yahoo" y "com")


(Los testigos son: "www", "*" and "com")
(Los testigos son: "www", "yahoo", "com",
"search", "*")

Los siguientes patrones no son vlidos porque el carcter * no es el


nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Accin

Seleccione la medida que se adoptar cuando se acceda a un sitio web de


la lista de bloqueo.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta al
log de URL.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y el resto de parmetros de
cancelacin se especifican en el rea de cancelacin de administrador de
URL de la pgina Configuracin. Consulte la Tabla 1 en Definicin de
la configuracin de gestin.

264 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Tabla 147. Configuracin de perfil de filtrado de URL (Continuacin)


Campo

Descripcin

Lista de permitidas

Introduzca las direcciones IP o los nombres de la ruta URL de los sitios


web que desee permitir o cuyas alertas desee generar. Introduzca una
direccin IP o URL en cada lnea.
Importante: Debe omitir la parte http y https de las URL cuando aada
los sitios web a la lista.
Las entradas de la lista de permitidas deben ser una coincidencia
completa y no distinguen entre maysculas y minsculas. Por ejemplo,
www.paloaltonetworks.com es diferente de paloaltonetworks.com.
Si desea permitir el dominio entero, debe incluir *.paloaltonetworks.com
y paloaltonetworks.com.
Ejemplos:
www.paloaltonetworks.com
198.133.219.25/en/US
Las listas de bloqueadas y permitidas admiten patrones de comodines.
Los siguientes caracteres se consideran separadores:
.
/
?
&
=
;
+
Toda cadena separada por el carcter anterior se considera un testigo.
Un testigo puede ser cualquier nmero de caracteres ASCII que no
contenga un carcter separador o *. Por ejemplo, los siguientes patrones
son vlidos:
*.yahoo.com
www.*.com
www.yahoo.com/search=*

(Los testigos son: "*", "yahoo" y "com")


(Los testigos son: "www", "*" and "com")
(Los testigos son: "www", "yahoo", "com", "search",
"*")

Los siguientes patrones no son vlidos porque el carcter * no es el


nico carcter en el testigo.
ww*.yahoo.com
www.y*.com
Esta lista tiene prioridad sobre las categoras de sitios web seleccionados.

Palo Alto Networks

Polticas y perfiles de seguridad 265

Perfiles de seguridad

Tabla 147. Configuracin de perfil de filtrado de URL (Continuacin)


Campo

Descripcin

Categora/Accin

Seleccione, para cada categora, la medida que se adoptar cuando accede


a un sitio web de esa categora.
Alertar: Permite al usuario acceder al sitio web, pero aade una alerta al
log de URL.
Permitir: Permite al usuario acceder al sitio web.
Bloquear: Bloquea el acceso al sitio web.
Continuar: Permite al usuario continuar a la pgina bloqueada despus
de hacer clic en Continuar en la pgina bloqueada.
Cancelar: Permite al usuario acceder a la pgina bloqueada despus de
introducir una contrasea. La contrasea y el resto de parmetros de
cancelacin se especifican en el rea de cancelacin de administrador de
URL de la pgina Configuracin. Consulte la Tabla 11 en Definicin
de la configuracin de gestin.
Nota: Las pginas Continuar y Cancelar no se mostrarn correctamente en
mquinas cliente configuradas para utilizar un servidor proxy.

Comprobar categora
de URL

Haga clic para acceder al sitio web donde podr introducir una URL o
direccin IP para ver informacin de categorizacin.

Filtrado de URL
dinmica

Seleccione para activar las bsquedas en la nube y categorizar la URL.


Esta opcin se activa si la base de datos local no puede categorizar la
URL.

Valor predeterminado:
Deshabilitado
(configurable solo para
BrightCloud)

Si la URL no se resuelve despus de que aparezca la ventana de tiempo de


espera de 5 segundos, la respuesta aparece como URL no resuelta.

Con PAN-DB, esta opcin


est habilitada de forma
predeterminada y no es
configurable.
Pgina de contenedor
de log nicamente

Seleccione la casilla de verificacin para incluir en el log nicamente las


URL que coinciden con el tipo de contenido especificado.

Valor predeterminado:
Habilitado

266 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Tabla 147. Configuracin de perfil de filtrado de URL (Continuacin)


Campo

Descripcin

Habilitar forzaje de
bsquedas seguras

Seleccione esta casilla de verificacin para forzar el filtrado de bsquedas


seguras estricto.

Valor predeterminado:
Deshabilitado

Al habilitarla, esta opcin evitar que los usuarios que realicen bsquedas
en Internet usando uno de los tres principales proveedores de bsquedas
(Bing, Google, Yahoo, Yandex o YouTube) vean los resultados de
bsqueda, a menos que tengan definida la opcin de bsqueda segura
estricta en sus exploradores para estos motores de bsqueda. Si un
usuario realiza una bsqueda usando uno de estos motores y su explorador o motor de bsqueda no tiene configurada la opcin bsqueda
segura en la opcin estricta, los resultados de bsqueda sern bloqueados
(dependiendo de la accin definida en el perfil) y se pedir al usuario que
defina la opcin estricta en la configuracin de bsqueda segura.

Para usar esta funcin,


no es necesaria una
licencia de filtrado
de URL.

Nota: Si est realizando una bsqueda en Yahoo! Japan (yahoo.co.jp) mientras


est registrado en su cuenta de Yahoo!, la opcin de bloqueo para el ajuste de
bsqueda tambin debe estar habilitada.
Para forzar la bsqueda segura, debe aadirse el perfil a la poltica de
seguridad. Y, para activar la bsqueda segura para los sitios cifrados
(HTTPS), debe aadirse el perfil a una poltica de cifrado.
La habilidad del cortafuegos para detectar la configuracin de bsquedas
seguras dentro de estos tres proveedores se actualizar usando la
actualizacin de firma Aplicaciones y amenazas. Si un proveedor cambia
el mtodo de configuracin de bsquedas seguras que usa Palo Alto
Networks para detectar estas configuraciones, se llevar a cabo una
actualizacin de firmas para garantizar que se detecta la configuracin
adecuadamente. Adems, la evaluacin para determinar si un sitio se
considera seguro o no la realizan los proveedores de bsquedas, no Palo
Alto Networks.
Para evitar que los usuarios omitan esta funcin usando otros proveedores de bsquedas, configure el perfil de filtrado de URL para que
bloquee la categora de los motores de bsqueda y que se puedan
permitir Bing, Google, Yahoo, Yandex y YouTube.
Consulte la Gua del administrador de PAN-OS para obtener ms
informacin.

Palo Alto Networks

Polticas y perfiles de seguridad 267

Perfiles de seguridad

Tabla 147. Configuracin de perfil de filtrado de URL (Continuacin)


Campo

Descripcin

Logging de la cabecera
HTTP

La activacin del logging de la cabecera HTTP proporciona visibilidad


sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor.
Cuando estn activados, uno o varios de los siguientes pares de valores
de atributos se graban en el log de filtrado de URL:
Agente-usuario (User-Agent): El navegador web que utilizaba el
usuario para acceder a la URL. Esta informacin se enva en la solicitud
de HTTP al servidor. Por ejemplo, el agente-usuario puede ser Internet
Explorer o Firefox. El valor Agente-usuario del log admite hasta 1024
caracteres.
Sitio de referencia: URL de la pgina web que enlazaba el usuario a otra
pgina web; se trata del origen que ha redirigido (referencia) al usuario
a la pgina web que se est solicitando. El valor del sitio de referencia
en el log admite hasta 256 caracteres.
X reenviado para: opcin del campo de encabezado que conserva la
direccin IP del usuario que ha solicitado la pgina web. Le permite
identificar la direccin IP del usuario. Es especialmente til si tiene un
servidor proxy en su red o ha implementado NAT de origen, algo que
enmascara la direccin IP del usuario de tal forma que todas las solicitudes parecen originarse desde la direccin IP del servidor proxy o una
direccin IP comn. El valor de x reenviado para en el log admite hasta
128 caracteres.

268 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Perfiles de bloqueo de archivo


Objetos > Perfiles de seguridad > Bloqueo de archivo
Una poltica de seguridad puede incluir la especificacin de un perfil de bloqueo de archivos
que impida que los tipos de archivos seleccionados se carguen o descarguen, o que genere
una alerta cuando se detecten. Si se selecciona la accin Reenviar, los tipos de archivos
compatibles se enviarn a WildFire, donde sern analizados para buscar comportamientos
malintencionados. La Tabla 149 enumera los formatos de archivo compatibles en el momento
de esta publicacin. Sin embargo, dado que en una actualizacin de contenido se puede
aadir una nueva compatibilidad con un tipo de archivo, para ver la lista ms actualizada,
haga clic en Aadir en el campo Tipos de archivo del cuadro de dilogo Perfil de bloqueo
de archivo.
Para aplicar los perfiles de bloqueo de archivo a las polticas de seguridad, consulte
Definicin de polticas de seguridad.
Las siguientes tablas describen la configuracin de perfil de bloqueo de archivo:

Tabla 148. Configuracin de perfil de bloqueo de archivo


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de bloqueo de archivos cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

Palo Alto Networks

Polticas y perfiles de seguridad 269

Perfiles de seguridad

Tabla 148. Configuracin de perfil de bloqueo de archivo (Continuacin)


Campo

Descripcin

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Reglas

Defina una o ms reglas para especificar la medida que se adoptar (si se


especifica alguna) para los tipos de archivos seleccionados. Para aadir
una regla, especifique los siguientes ajustes y haga clic en Aadir:
Nombre: Introduzca un nombre para la regla (hasta 31 caracteres).
Aplicaciones: Seleccione las aplicaciones a las que afectar la regla o
seleccione Cualquiera.
Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o
para los que desee generar alertas.
Direccin: Seleccione la direccin de la transferencia de archivos
(Cargar, Descargar o Ambos).
Accin: Seleccione la medida que se adoptar cuando se detecten
archivos de los tipos seleccionados:
Alertar: Se aade una entrada al log de amenazas.
Bloquear: El archivo se bloquea.
Continuar: Aparecer un mensaje para el usuario indicando que se
ha solicitado una descarga y le pide confirmacin para continuar.
El propsito es advertir al usuario de una posible descarga desconocida (tambin se conocen como descargas drive-by) y darle al
usuario la opcin de continuar o detener la descarga.

Cuando crea un perfil de bloqueo de archivos con la accin Continuar


o Continuar y reenviar (utilizado para el reenvo de WildFire),
nicamente puede elegir la aplicacin navegacin web. Si elige
cualquier otra aplicacin, el trfico que coincida con la poltica de
seguridad no fluir hacia el cortafuegos debido al hecho de que los
usuarios no vern una pgina que les pregunte si desean continuar.
Reenviar: El archivo se enva automticamente a WildFire.
Continuar y reenviar: Aparece una pgina de continuacin y el
archivo se enva a WildFire (combina las acciones Continuar y
Reenviar). Esta accin solo funciona con trfico basado en web.
Esto se debe al hecho de que un usuario debe hacer clic en continuar
antes de que el archivo se reenve y la opcin de pgina de respuesta
de continuacin solo est disponible con http/https.

270 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Tabla 149. Formatos de archivo compatibles con bloqueo de archivos


Campo

Descripcin

apk

Archivo de paquete de aplicaciones Android

avi

Archivo de vdeo basado en el formato Microsoft AVI (RIFF)

avi-divx

Archivo de vdeo AVI codificado con el cdec DivX

avi-xvid

Archivo de vdeo AVI codificado con el cdec XviD

bat

Archivo por lotes MS DOS

bmp-upload

Archivo de imagen de mapa de bits (carga nicamente)

cab

Archivo comprimido de Microsoft Windows

cdr

Archivo de Corel Draw

class

Archivo bytecode de Java

cmd

Archivo de comandos de Microsoft

dll

Biblioteca de vnculos dinmicos de Microsoft Windows

doc

Documento de Microsoft Office

docx

Documento de Microsoft Office 2007

dpx

Archivo Digital Picture Exchange

dsn

Archivo Database Source Name

dwf

Archivo Design Web Format de Autodesk

dwg

Archivo Autodesk AutoCAD

edif

Archivo Electronic Design Interchange Format

email-link

Al enviar el tipo de archivo email-link, el cortafuegos extrae los enlaces de


HTTP/HTTPS contenidos en los mensajes de correo electrnico POP3 y
SMTP y los enva a la nube de WildFire para su anlisis (esta funcin
no est admitida en el dispositivo WF-5000 WildFire). Observe que el
cortafuegos solo extrae enlaces e informacin de sesin asociada (emisor,
receptor y asunto) de los mensajes de correo electrnico que atraviesan el
cortafuegos; no recibe, almacena, reenva ni ve el mensaje de correo
electrnico.
Despus de recibir un enlace de correo electrnico de un cortafuegos,
WildFire visita los enlaces para determinar si la pgina web correspondiente alberga alguna explotacin. Si determina que la pgina es benigna,
no se enviar ninguna entrada de log al cortafuegos. Si el enlace es malintencionado, se genera un informe de anlisis detallado de WildFire en el
log de presentaciones de WildFire y la URL se aade a PAN-DB.

encrypted-doc

Documento cifrado de Microsoft Office

encrypted-docx

Documento cifrado de Microsoft Office 2007

encrypted-office2007

Archivo cifrado de Microsoft Office 2007

encrypted-pdf

Documento cifrado de Adobe PDF

encrypted-ppt

Documento cifrado de Microsoft PowerPoint

encrypted-pptx

Documento cifrado de Microsoft PowerPoint 2007

encrypted-rar

Archivo cifrado rar

Palo Alto Networks

Polticas y perfiles de seguridad 271

Perfiles de seguridad

Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)


Campo

Descripcin

encrypted-xls

Archivo cifrado de Microsoft Office Excel

encrypted-xlsx

Archivo cifrado de Microsoft Office Excel 2007

encrypted-zip

Archivo cifrado zip

exe

Ejecutable de Microsoft Windows

flash

Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC.


El archivo SWF suministra grficos de vector, texto, vdeo y sonido en
Internet; este contenido se ve en el reproductor Adobe Flash. El archivo
SWC es un paquete comprimido de componentes SWF.

flv

Archivo de Adobe Flash Video

gds

Archivo Graphics Data System

gif-upload

Archivo de imagen GIF (carga nicamente)

gzip

Archivos comprimidos con la aplicacin gzip

hta

Archivo de aplicacin HTML

iso

Imagen de disco segn la normativa ISO-9660

iwork-keynote

Documentos de iWork Keynote de Apple

iwork-numbers

Documentos de iWork Numbers de Apple

iwork-pages

Documentos de iWork Pages de Apple

jar

Archivo Java

jpeg-upload

Archivo de imagen JPG/JPEG (carga nicamente)

lnk

Acceso directo a archivo de Microsoft Windows

lzh

Archivo comprimido con la utilidad/algoritmo lha/lhz

mdb

Archivo Microsoft Access Database

mdi

Archivo Microsoft Document Imaging

mkv

Archivo Matroska Video

mov

Archivo Apple Quicktime Movie

mp3

Archivo de audio MP3

mp4

Archivo de audio MP4

mpeg

Archivo de audio y vdeo con la compresin MPEG-1 o MPEG-2

msi

Archivo paquete de Microsoft Windows Installer

msoffice

Archivo de Microsoft Office (doc, docx, ppt, pptx, pub, pst, rtf, xls, xlsx).
Si quiere que el cortafuegos bloquee/reenve archivos de MS Office, se
recomienda que seleccione el grupo msoffice para asegurarse de que se
identificarn todos los tipos de archivos de MS Office admitidos en lugar
de seleccionar individualmente cada tipo de archivo.

ocx

Archivo Microsoft ActiveX

pdf

Archivo Adobe Portable Document

PE

Microsoft Windows Portable Executable (exe, dll, com, scr, ocx, cpl, sys,
drv, tlb)

272 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Tabla 149. Formatos de archivo compatibles con bloqueo de archivos (Continuacin)


Campo

Descripcin

pgp

Clave de seguridad o firma digital cifrada con software PGP

pif

Archivo de informacin de programas de Windows con instrucciones


ejecutables

pl

Archivo de comandos Perl

png-upload

Archivo de imagen PNG (carga nicamente)

ppt

Presentacin en Microsoft Office PowerPoint

pptx

Presentacin en Microsoft Office PowerPoint 2007

psd

Documento de Adobe Photoshop

rar

Archivo comprimido creado con winrar

reg

Archivo de registro de Windows

rm

Archivo RealNetworks Real Media

rtf

Archivo de documento de formato de texto enriquecido de Windows

sh

Archivo de comandos Shell de Unix

stp

Archivo de grficos estndar para el intercambio de datos de modelo de


productos en 3D

tar

Archivo comprimido tar de Unix

tdb

Archivo Tanner Database (www.tannereda.com)

tif

Archivo Windows Tagged Image

torrent

Archivo de BitTorrent

wmf

Metaarchivo de Windows para guardar imgenes de vectores

wmv

Archivo de vdeo Windows Media

wri

Archivo de documento de Windows Write

wsf

Archivo de comandos de Windows

xls

Microsoft Office Excel

xlsx

Microsoft Office 2007 Excel

zcompressed

Archivo Z comprimido en Unix, se descomprime con la utilidad


uncompress

Cdigo postal

Archivo Winzip/pkzip

Palo Alto Networks

Polticas y perfiles de seguridad 273

Perfiles de seguridad

Perfiles de filtrado de datos


Objetos > Perfiles de seguridad > Filtrado de datos
Una poltica de seguridad puede incluir la especificacin de un perfil de filtrado de datos
que ayuda a identificar informacin confidencial como nmeros de tarjetas de crdito o
de la seguridad social y que evita que dicha informacin salga del rea protegida por el
cortafuegos.
Para aplicar los perfiles de filtrado de datos a las polticas de seguridad, consulte Definicin
de polticas de seguridad.
Las siguientes tablas describen la configuracin de perfil de filtrado de datos:

Tabla 150. Configuracin de Perfiles de filtrado de datos


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de reenvo de logs cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Captura de datos

Seleccione la casilla de verificacin para recopilar automticamente los


datos bloqueados por el filtro.

Especifique una contrasea para Gestionar proteccin de datos en la pgina


Configuracin para ver sus datos capturados. Consulte Definicin de la
configuracin de gestin.
Para aadir un patrn de datos, haga clic en Aadir y especifique la siguiente informacin.

274 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Tabla 151. Configuracin de patrones de datos


Campo

Descripcin

Patrn de datos

Seleccione un patrn de datos existente de la lista desplegable Patrn de


datos o configure un nuevo patrn de datos seleccionando Patrn de
datos de la lista y especificando la siguiente informacin:
Nombre: Configure un nombre para el patrn de datos.
Descripcin: Configure una descripcin para el patrn de datos.
Compartido: Seleccione esta opcin si el objeto del patrn de datos se
compartir en diferentes sistemas virtuales.
Peso: Especifique valores de unidades para los patrones especificados
que se utilizarn en el clculo de umbrales. Por ejemplo, si designa un
peso de 5 para SSN#, cada instancia de un patrn SSN superar el
umbral en 5. En otras palabras, la deteccin de diez patrones SSN dar
como resultado 10 x 5 (peso) = 50.
CC#: Especifique un peso para el campo de tarjeta de crdito
(intervalo 0-255).
SSN#: Especifique un peso para el campo del nmero de la
seguridad social, donde el campo incluye guiones, como 123-45-6789
(intervalo 0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).
Patrones personalizados: Para buscar un patrn de datos personalizado para el trfico que cumpla este perfil, cree un patrn de datos
personalizado haciendo clic en Aadir y especifique el nombre del
patrn, expresin regular (regex) que se buscar y peso (0-255, 255 es
el peso mximo). Puede aadir mltiples expresiones coincidentes al
mismo perfil del patrn de datos.

Aplicaciones

Especifique las aplicaciones que se incluirn en la regla de filtrado:


Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones
enumeradas. Esta seleccin no bloquea todas las aplicaciones posibles,
solo las enumeradas.
Haga clic en Aadir para especificar aplicaciones individuales.

Tipos de archivos

Especifique los tipos de archivos que se incluirn en la regla de filtrado:


Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos
enumerados. Esta seleccin no bloquea todos los posibles tipos de
archivo, solo los enumerados.
Haga clic en Aadir para especificar tipos de archivos individuales.

Direccin

Especifique si desea aplicar el filtro en la direccin de la carga, descarga


o ambas.

Umbral de alerta

Especifique el valor que activar la alerta. Por ejemplo si tiene un umbral


de 100 con un peso de SSN de 5, la regla necesitar detectar al menos
20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100).

Umbral de bloqueo

Especifique el valor que activar el bloqueo. Por ejemplo si tiene un


umbral de 100 con un peso de SSN de 5, la regla necesitar detectar al
menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de
peso = 100).

Palo Alto Networks

Polticas y perfiles de seguridad 275

Perfiles de seguridad

Perfiles DoS
Objetos > Perfiles de seguridad > Proteccin DoS
Los perfiles de proteccin DoS estn diseados para una seleccin muy precisa y los perfiles
de proteccin de zona de aumento. El perfil DoS especifica los tipos de acciones y los criterios
de coincidencia para detectar un ataque de DoS. Estos perfiles se adjuntan a polticas de
proteccin de DoS para permitirle controlar el trfico entre interfaces, zonas, direcciones y
pases segn sesiones agregadas o direcciones IP nicas de origen o o destino. Para aplicar
perfiles DoS a polticas DoS, consulte Definicin de polticas DoS.
Si tiene un entorno de sistema virtual mltiple y ha activado lo siguiente:

Zonas externas para permitir la comunicacin entre sistemas virtuales


Puertas de enlace compartidas para permitir que los sistemas virtuales
compartan una interfaz comn y una direccin IP para las comunicaciones
externas.
Los siguientes mecanismos de proteccin de zona y de DoS se desactivarn en la
zona externa:
Cookies SYN
Fragmentacin de IP
ICMPv6
Para permitir la fragmentacin de IP y la proteccin de ICMPv6, debe crear un
perfil de proteccin de zona distinto para la puerta de enlace compartida.
Para activar la proteccin frente a inundaciones SYN en una puerta de enlace
compartida, puede aplicar un perfil de proteccin de inundacin SYN con descarte
aleatorio temprano o cookies SYN; en una zona externa solo est disponible el
descarte aleatorio temprano para la proteccin frente a inundacin SYN

276 Polticas y perfiles de seguridad

Palo Alto Networks

Perfiles de seguridad

Las siguientes tablas describen la configuracin de perfil de DoS:

Tabla 152. Configuracin de perfiles DoS


Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de reenvo de logs cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Descripcin

Introduzca una descripcin del perfil (hasta 255 caracteres).

Tipo

Especifique uno de los tipos de perfil siguientes:


Agregar: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplan los criterios de la regla en la que se aplica
el perfil. Por ejemplo, una regla de agregacin con un umbral de
inundacin SYN de 10000 paquetes por segundo (pps) cuenta todos
los paquetes que cumplen esa regla DoS concreta.
Clasificado: Aplica los umbrales DoS configurados en el perfil a todos
los paquetes que cumplen el criterio de clasificacin (IP de origen, IP de
destino, o IP de origen y destino).

Pestaa Proteccin contra inundaciones


Pestaa secundaria
Inundacin SYN

Seleccione la casilla de verificacin para activar la proteccin de


inundacin SYN y especificar los siguientes ajustes:

Pestaa secundaria
Inundacin de UDP

Accin: (Inundacin SYN nicamente) Seleccione entre las siguientes


opciones:

Pestaa secundaria
Inundacin de ICMP

Descarte aleatorio temprano: Descarta paquetes de forma aleatoria


antes de alcanzar el lmite DoS.

Otras pestaas
secundarias

Cookies SYN: Utilice esta opcin para generar confirmaciones, de


forma que no sea necesario cancelar conexiones en presencia de un
ataque de inundacin SYN.
Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS
(intervalo 0-2000000 pps, por defecto, 10000 pps).
Activar tasa: Seleccione la tasa (pps) a la que se activar la respuesta
DoS (intervalo 0-2000000 pps, por defecto, 10000 pps).
Tasa mxima: Especifique la tasa a la que los paquetes se descartarn o
se bloquearn.
Duracin del bloqueo: Especifique la duracin (en segundos) durante
la que los paquetes infractores se denegarn. Los paquetes que lleguen
durante la duracin del bloqueo no afectarn al recuento para activar
las alertas.

Nota: Si define lmites de umbral de paquetes por segundo (pps) de


perfiles de proteccin de zonas, el umbral se basa en los paquetes por
segundo que no coinciden con ninguna sesin establecida previamente.

Palo Alto Networks

Polticas y perfiles de seguridad 277

Otros objetos de las polticas

Tabla 152. Configuracin de perfiles DoS (Continuacin)


Campo

Descripcin

Pestaa Proteccin de recursos


Sesiones

Seleccione la casilla de verificacin para habilitar la proteccin de los


recursos.

Mx. de lmites
simultneos

Especifique el nmero mximo de sesiones simultneas. Si el tipo de


perfil DoS es de agregacin, este lmite se aplica a todo el trfico entrante
que cumple la regla DoS en la que se aplica el perfil DoS. Si el tipo de
perfil DoS es de clasificacin, este lmite se aplica a todo el trfico
clasificado (IP de origen, IP de destino, o IP de origen y destino) que
cumple la regla DoS en la que se aplica el perfil DoS.

Otros objetos de las polticas


Los objetos de las polticas son los elementos que le permiten construir, programar y buscar
polticas. Los siguientes tipos de elementos son compatibles:

Direcciones y grupos de direcciones para determinar el mbito de la poltica. Consulte


Definicin de grupos de direcciones.

Aplicaciones y grupos de aplicaciones que permiten especificar cmo se tratan las


aplicaciones de software en las polticas. Consulte Aplicaciones y grupos de
aplicaciones.

Filtros de aplicacin que permiten simplificar bsquedas. Consulte Filtros de


aplicacin.

Servicios y grupos de servicios que limitan los nmeros de puertos. Consulte Servicios.

Etiquetas para ordenar y filtrar objetos. Consulte Trabajo con etiquetas.

Patrones de datos para definir categoras de informacin confidencial para polticas de


filtrado de datos. Consulte Patrones de datos.

Categoras URL personalizadas que contienen sus propias listas de URL que se incluyen
como grupo en perfiles de filtrado URL. Consulte Categoras de URL personalizadas.

Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las


amenazas. Consulte Grupos de perfiles de seguridad.

Reenvo de log para especificar configuraciones de log. Consulte Reenvo de logs.

Programaciones para especificar cundo estn las polticas activas. Consulte


Programaciones.

278 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Definicin de objetos de direcciones


Objetos > Direcciones
Un objeto de direccin puede incluir una direccin IPv4 o IPv6 (direccin IP simple, intervalo,
subred) o FQDN. Le permite reutilizar el mismo objeto como direccin de origen o destino
en todas las bases de reglas de polticas sin tener que aadirlas cada vez de forma manual.
Se configura usando la interfaz web o la CLI y se requiere una operacin de compilacin para
hacer que el objeto forme parte de la configuracin.
Para definir un objeto de direccin, haga clic en Aadir y cumplimente los siguientes campos.

Tabla 153. Configuracin de nuevas direcciones


Campo

Descripcin

Nombre

Introduzca un nombre que describe las direcciones que se definirn


(de hasta 63 caracteres). Este nombre aparece en la lista de direcciones
cuando se definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, guiones y guiones bajos.

Compartido

Si el dispositivo est habilitado para operar en el modo de varios sistemas


virtuales, seleccione esta casilla de verificacin para compartir el objeto de
direccin con todos los sistemas virtuales del dispositivo.
En Panorama, seleccione la casilla de verificacin de Compartido para
compartir el objeto con todos los grupos del dispositivo. Si no est
seleccionada, el objeto pertenecer al grupo del dispositivo que se
muestre en la lista desplegable Grupo de dispositivos.

Descripcin

Introduzca una descripcin del objeto (hasta 255 caracteres).

Tipo

Especifique una direccin o intervalo de direcciones IPv4 o IPv6 o FQDN.


Mscara de red IP:
Introduzca la direccin IPv4 o IPv6 o la el intervalo de la direccin IP con
la siguiente notacin:
direccin_ip/mscara o direccin_ip
donde la mscara es el nmero de dgitos binarios significativos utilizados
para la porcin de red de la direccin.
Ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas
las direcciones desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e
introduzca un intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22

Palo Alto Networks

Polticas y perfiles de seguridad 279

Otros objetos de las polticas

Tabla 153. Configuracin de nuevas direcciones (Continuacin)


Campo

Descripcin

Tipo (continuacin)

FQDN:
Para especificar una direccin mediante FQDN, seleccione FQDN e
introduzca el nombre de dominio.
FQDN se resuelve inicialmente en el momento de la compilacin.
Por tanto, las entradas se actualizan cuando el cortafuegos realiza una
comprobacin cada 30 minutos; todos los cambios en la direccin IP de
las entradas se recogen en el ciclo de actualizacin.
FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy
DNS, si se configura un proxy. Para obtener informacin acerca del proxy
DNS, consulte Proxy DNS.

Etiquetas

Seleccione o introduzca etiquetas que desee aplicar a este objeto de


direccin.
Puede definir una etiqueta aqu o usar la pestaa Objetos > Etiquetas para
crear etiquetas nuevas. Si desea ms informacin sobre etiquetas, consulte
Trabajo con etiquetas.

Definicin de grupos de direcciones


Objetos > Grupos de direcciones
Para simplificar la creacin de polticas de seguridad, las direcciones que requieren los
mismos ajustes de seguridad se pueden combinar en grupos de direcciones. Un grupo de
direcciones puede ser esttico o dinmico.

Grupos de direcciones dinmicas: Un grupo de direcciones dinmicas cumplimenta sus


miembros dinmicamente usando bsquedas de etiquetas y filtros basados en etiquetas.
Los grupos de direcciones dinmicas son muy tiles si tiene una infraestructura virtual
amplia con cambios frecuentes en la ubicacin de la mquina virtual o la direccin IP.
Por ejemplo, si tiene una configuracin de conmutacin por error o incluye nuevas
mquinas virtuales con frecuencia y le gustara aplicar una poltica al trfico que va
o que procede de la nueva mquina sin modificar la configuracin o las reglas del
cortafuegos.
A diferencia de los grupos de direcciones estticas, en los que se especifica una direccin
de red en un host, los miembros de un grupo de direcciones dinmicas se cumplimentan
definiendo un criterio de coincidencia. El criterio de coincidencia usa operadores lgicos
y u o; cada host que quiera aadir al grupo de direcciones dinmicas debe incluir la
etiqueta o atributo definido en el criterio de coincidencia. Las etiquetas se pueden definir
directamente en el cortafuegos o en Panorama, as como definirse dinmicamente usando
la API XML y registrarse en el cortafuegos. Cuando se registra una direccin IP y la
etiqueta correspondiente (una o ms), cada grupo dinmico evala las etiquetas y
actualiza la lista de miembros de su grupo.
Para registrar una nueva direccin IP y etiquetas o cambios en las direcciones IP o
etiquetas actuales, debe usar secuencias de comandos que activen la API XML en el
cortafuegos. Si dispone de un entorno virtual con VMware, en lugar de usar secuencias
de comandos para activar la API XML, puede usar la funcin Orgenes de informacin
de VM (pestaa Dispositivo > Orgenes de informacin de VM) para configurar el

280 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar


informacin (direccin de red y etiquetas correspondientes) de nuevos servidores/
invitados implementados en estas mquinas virtuales.
Para usar un grupo de direcciones dinmicas en la poltica, debe realizar las siguientes
tareas.
Defina un grupo de direcciones dinmicas y haga referencia al mismo en la regla
de poltica.
Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que
puedan formarse los grupos de direcciones dinmicas. Esto se puede hacer usando
secuencias de comandos externas que usen la API XML en el cortafuegos o un
entorno basado en VMware configurando en la pestaa Dispositivo > Orgenes
de informacin de VM en el cortafuegos.
Los grupos de direcciones dinmicas tambin pueden incluir objetos de direcciones definidas
estticamente. Si crea un objeto de direccin y aplica las mismas etiquetas que ha asignado al grupo
de direcciones dinmicas, este incluir todos los objetos estticos y dinmicos que coincidan con las
etiquetas. Por lo tanto, puede usar etiquetas para agrupar objetos tanto dinmicos como estticos en
el mismo grupo de direcciones.

Grupos de direcciones estticas: Un grupo de direcciones estticas puede incluir


objetos de direccin que sean estticas, grupos de direcciones dinmicas o puede ser
una combinacin de objetos de direccin y grupos de direcciones dinmicas.
Para crear un grupo de direcciones, haga clic en Aadir y cumplimente los siguientes
campos.

Palo Alto Networks

Polticas y perfiles de seguridad 281

Otros objetos de las polticas

Tabla 154. Grupo de direcciones


Campo

Descripcin

Nombre

Introduzca un nombre que describe el grupo de direcciones (de hasta


63 caracteres). Este nombre aparece en la lista de direcciones cuando
se definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, guiones y guiones bajos.

Compartido

Si el dispositivo est habilitado para operar en el modo de varios sistemas


virtuales, seleccione esta casilla de verificacin para compartir el objeto de
direccin con todos los sistemas virtuales del dispositivo.
En Panorama, seleccione la casilla de verificacin de Compartido para
compartir el objeto con todos los grupos del dispositivo. Si no est
seleccionada, el objeto pertenecer al grupo del dispositivo que se
muestre en la lista desplegable Grupo de dispositivos.

Descripcin
Tipo

Introduzca una descripcin del objeto (hasta 255 caracteres).


Seleccione Esttico o Dinmico.
Para usar un grupo de direcciones dinmicas, use el criterio de
coincidencia para incluir los miembros en el grupo. Defina el criterio
Coincidencia usando los operadores Y u O.
Nota: Para ver la lista de atributos del criterio de coincidencia, debe haber
configurado el cortafuegos para acceder y recuperar los atributos desde el origen/
host. Cada mquina virtual en el origen de informacin configurado se registra
en el cortafuegos, que puede realizar un sondeo de la mquina para recuperar
cambios en direcciones IP o en la configuracin sin modificaciones en el
cortafuegos.
Para un grupo de direcciones estticas, haga clic en Aadir y seleccione
una o ms direcciones. Haga clic en Aadir para aadir un objeto o un
grupo de direcciones al grupo de direcciones. El grupo puede contener
objetos de direcciones y grupos de direcciones tanto estticas como
dinmicas.

Etiquetas

Seleccione o introduzca etiquetas que desee aplicar a este grupo de


direcciones. Si desea ms informacin sobre etiquetas, consulte Trabajo
con etiquetas.

Definicin de regiones
Objetos > Regiones
El cortafuegos permite la creacin de reglas de polticas aplicables a pases concretos y otras
regiones. La regin est disponible como una opcin si especifica el origen y el destino de las
polticas de seguridad, polticas de descifrado y polticas DoS. Puede elegir entre una lista
estndar de pases o usar los ajustes de regin que se describen en esta regin, para definir las
regiones personalizadas que se incluirn como opciones para reglas de poltica de seguridad.

282 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Las siguientes tablas describen la configuracin regional:

Tabla 155. Configuracin de nuevas direcciones


Campo

Descripcin

Nombre

Introduzca un nombre que describe la regin (de hasta 31 caracteres).


Este nombre aparece en la lista de direcciones cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Ubicacin geogrfica

Para especificar la latitud y la longitud, seleccione la casilla de verificacin y los valores (formato xxx.xxxxxx). Esta informacin se utiliza
en los mapas de trfico y amenazas de Appscope. Consulte Uso de
Appscope .

Direcciones

Especifique una direccin IP, un intervalo de direcciones IP o una subred


para identificar la regin, utilizando cualquiera de los siguientes formatos:
x.x.x.x
x.x.x.x-a.a.a.a
x.x.x.x/n

Palo Alto Networks

Polticas y perfiles de seguridad 283

Otros objetos de las polticas

Aplicaciones y grupos de aplicaciones


Objetos > Aplicaciones
La pgina Aplicaciones muestra los diferentes atributos de cada definicin de aplicacin,
como el riesgo de seguridad relativo de la aplicacin (1 a 5). El valor del riesgo se basa en
criterios como si la aplicacin puede compartir archivos, si es proclive a un uso incorrecto
o a intentos de evasin de cortafuegos. Los valores mayores indican un mayor riesgo.
El rea superior de navegacin de la aplicacin muestra los atributos que puede utilizar para
filtrar la vista. El nmero a la izquierda de cada entrada representa el nmero total de
aplicaciones con ese atributo.
El cortafuegos busca los patrones definidos de forma personalizada en el trfico de la red y
toma las medidas especificadas para la aplicacin. PAN-OS proporciona la capacidad de
desarrollar firmas para los contextos dentro de los siguientes protocolos:
Se agregan peridicamente nuevos descodificadores y contextos en publicaciones
semanales de contenido.
Segn la actualizacin de contenido 424, se admiten los siguientes descodificadores: HTTP,
HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH,
GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin
conocido como CIFS). Adems, segn la versin 4.0 de PAN-OS, esta capacidad de App-ID
personalizada se ha ampliado para incluir tambin TCP desconocido y UDP desconocido.
Puede realizar cualquiera de las siguientes funciones en esta pgina:

Para aplicar filtros de aplicacin, haga clic en un elemento que desee utilizar como base
para el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en
Networking y la lista solo mostrar las aplicaciones de red.

Para filtrar por ms columnas, seleccione una entrada en otra de las columnas. El filtrado
es sucesivo: en primer lugar se aplican los filtros de categora, a continuacin los filtros de
subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de aplicar una categora,
subcategora y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa
se restringe automticamente a las tecnologas que cumplen los requisitos de la categora
y subcategoras seleccionadas, aunque no se haya aplicado explcitamente un filtro de
tecnologa.
Cada vez que se aplica un filtro, la lista de aplicaciones de la parte inferior de la pgina se
actualiza automticamente, tal y como se muestra en la siguiente ilustracin. Los filtros
guardados se pueden visualizar en Objetos > Filtros de aplicacin.

284 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Para buscar una aplicacin concreta, introduzca el nombre o descripcin de la aplicacin


en el campo Bsqueda y pulse Intro. Se mostrar la aplicacin y las columnas de filtrado
se actualizarn con las estadsticas de las aplicaciones que coinciden con la bsqueda.
Una bsqueda incluye cadenas parciales. Cuando defina polticas de seguridad, puede
escribir reglas que se aplicarn a todas las aplicaciones que coincidan con un filtro
guardado. Estas reglas se actualizan dinmicamente cuando se aade una nueva
aplicacin mediante una actualizacin de contenido que coincida con el filtro.

Para ver detalles adicionales sobre la aplicacin o personalizar el riesgo y los valores de
tiempo de espera, como se describe en la siguiente tabla, haga clic en el nombre de la
aplicacin. Un lpiz amarillo sobre el icono que aparece a la izquierda del nombre de
la aplicacin significa que la aplicacin se ha personalizado. Observe que los ajustes
disponibles varan de una aplicacin a otra.

Palo Alto Networks

Polticas y perfiles de seguridad 285

Otros objetos de las polticas

Las siguientes tablas describen la configuracin de la aplicacin:

Tabla 156. Detalles de la aplicacin


Elemento

descripcin

Nombre

Nombre de la aplicacin.

Descripcin

Descripcin de la aplicacin (hasta 255 caracteres).

Informacin adicional

Enlaces a sitios web (Wikipedia, Google o Yahoo!) que contienen


ms informacin sobre la aplicacin.

Puertos estndar

Puertos que utiliza la aplicacin para comunicarse con la red.

Depende de aplicaciones

Lista de otras aplicaciones necesarias para el funcionamiento de


esta aplicacin.

Evasiva

Indica si la aplicacin intenta evitar los cortafuegos.

Uso de ancho de banda


excesivo

Indica si la aplicacin utiliza un ancho de banda excesivo que puede


comprometer el rendimiento de la red.

Utilizada por software


malintencionado

Indica si hay software malintencionado que utiliza la aplicacin.

Capaz de transferir archivos

Indica si la aplicacin puede transferir archivos o no.

Tiene vulnerabilidades
conocidas

Indica si la aplicacin tiene vulnerabilidades conocidas


actualmente.

Tuneliza otras aplicaciones

Indica si la aplicacin puede utilizar otras aplicaciones en los


mensajes que enva.

Proclive al uso indebido

Indica si la aplicacin tiende a inducir un uso indebido.

Ampliamente utilizado

Indica si los efectos de la aplicacin son amplios.

Categora

Categora de aplicacin.

Subcategora

Subcategora de aplicacin.

Tecnologa

Tecnologa de la aplicacin.
Riesgo asignado de la aplicacin.

Riesgo

Tiempo de espera de sesin

Para personalizar este ajuste, haga clic en el enlace Personalizar e


introduzca un valor (1-5), y haga clic en ACEPTAR.
Perodo de tiempo (en segundos) necesario para agotar el tiempo de
espera por inactividad (1-604800 segundos). Este tiempo de espera
es para protocolos diferentes a TCP o UDP. En el caso de TCP y
UDP, consulte las siguientes filas de esta tabla.
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo de espera para finalizar un flujo de aplicacin TCP
(1-604800 segundos).

Tiempo de espera de TCP


(segundos)

286 Polticas y perfiles de seguridad

Para personalizar este ajuste, haga clic en el enlace Personalizar


introduzca un valor (segundos), y haga clic en ACEPTAR.
Un valor de 0 no indica la ausencia de tiempo de espera, indica
que se usar el temporizador de sesin global, que es 3600 segundos
para TCP.

Palo Alto Networks

Otros objetos de las polticas

Tabla 156. Detalles de la aplicacin (Continuacin)


Elemento
Tiempo de espera de UDP
(segundos):

descripcin
Tiempo de espera para finalizar un flujo de aplicacin UDP
(1-604800 segundos).
Para personalizar este ajuste, haga clic en el enlace Personalizar
introduzca un valor (segundos), y haga clic en ACEPTAR.
Tiempo mximo que una sesin permanece en la tabla de la sesin
entre la recepcin del primer FIN y la recepcin del segundo FIN o
RST. Cuando el temporizador caduca, la sesin se cierra.

TCP semicerrado (segundos)

Valor predeterminado: Si este temporizador no est configurado en


el nivel de aplicacin, se utiliza el ajuste global. El rango es 1-604800
segundos
Si este valor se configura en el nivel de aplicacin, cancela el ajuste
global TCP semicerrado.
Tiempo mximo que una sesin permanece en la tabla de la sesin
despus de la recepcin del segundo FIN o RST. Cuando el temporizador caduca, la sesin se cierra.

Tiempo de espera TCP


(segundos)

Valor predeterminado: Si este temporizador no est configurado


en el nivel de aplicacin, se utiliza el ajuste global. El rango es
1-600 segundos
Si este valor se configura en el nivel de aplicacin, cancela el ajuste
global Tiempo de espera TCP.

Si el cortafuegos no puede identificar una aplicacin utilizando el ID de la aplicacin, el trfico


se clasifica como desconocido: TCP desconocido o UDP desconocido. Este comportamiento se
aplica a todas las aplicaciones desconocidas, excepto aquellas que emulan HTTP completamente. Para obtener ms informacin, consulte Trabajo con informes de Botnet.
Puede crear nuevas definiciones para aplicaciones desconocidas y a continuacin, definir
polticas de seguridad para las nuevas definiciones de la aplicacin. Adems, las aplicaciones
que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones
para simplificar la creacin de polticas de seguridad.

Palo Alto Networks

Polticas y perfiles de seguridad 287

Otros objetos de las polticas

Definicin de aplicaciones
Objetos > Aplicaciones
Utilice la pgina Aplicaciones para aadir una nueva aplicacin a la evaluacin del
cortafuegos cuando aplique polticas.

Tabla 157. Configuracin de nuevas aplicaciones


Campo

Descripcin

Pestaa Configuracin
Nombre

Introduzca el nombre de la aplicacin (de hasta 31 caracteres). Este


nombre aparece en la lista de aplicaciones cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, puntos,
guiones y guiones bajos. El primer carcter debe ser una letra.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir la aplicacin entre todos
los sistemas virtuales.

Descripcin

Introduzca una descripcin de la aplicacin como referencia general


(hasta 255 caracteres).

Categora

Seleccione la categora de la aplicacin, como correo electrnico o base de


datos. Para ver una descripcin de cada categora, consulte Categoras y
subcategoras de aplicacin. Esta categora se utiliza para generar el
grfico Diez categoras de aplicacin principales y est disponible para su
filtrado (consulte Centro de comando de aplicacin).

Subcategora

Seleccione la subcategora de la aplicacin, como correo electrnico o base


de datos. Para ver una descripcin de cada subcategora, consulte
Categoras y subcategoras de aplicacin. Esta subcategora se utiliza
para generar el grfico Diez categoras de aplicacin principales y est
disponible para su filtrado (consulte Centro de comando de aplicacin).

Tecnologa

Seleccione la tecnologa de la aplicacin. Para ver una descripcin de cada


tecnologa, consulte Tecnologas de la aplicacin.

Aplicacin primaria

Especifique una aplicacin principal para esta aplicacin. Este ajuste se


aplica cuando en una sesin coinciden las aplicaciones principal y
personalizadas; sin embargo, se registra la aplicacin personalizada
porque es ms especfica.

Riesgo

Seleccione el nivel de riesgo asociado con esta aplicacin (1= el ms bajo a


5= el ms alto).

Caractersticas

Seleccione las caractersticas de la aplicacin que pueden poner en riesgo


la aplicacin. Para ver una descripcin de cada caracterstica, consulte
Caractersticas de la aplicacin.

Pestaa Avanzada

288 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Tabla 157. Configuracin de nuevas aplicaciones (Continuacin)


Campo

Descripcin

Puerto

Si el protocolo que utiliza la aplicacin es TCP y/o UDP, seleccione


Puerto e introduzca una o ms combinaciones del protocolo y nmero
de puerto (una entrada por lnea). El formato general es:
<protocolo>/<puerto>
donde <puerto> es un nmero de puerto nico; o dinmica para una
asignacin dinmica de puertos.
Ejemplos: TCP/dinmica o UDP/32.
Este ajuste se aplica si utiliza app-default en la columna Service de una
regla de seguridad.

Protocolo IP

Especifique un protocolo IP diferente a TCP o UDP, seleccionando


Protocolo IP e introduciendo el nmero del protocolo (1 a 255).

Tipo de ICMP

Especifique un tipo de protocolo de mensajes de control de Internet


versin 4 (ICMP), seleccionando Tipo de ICMP e introduciendo el
nmero (intervalo 0-255).

Tipo de ICMP6

Especifique un tipo de protocolo de mensajes de control de Internet


versin 6 (ICMPv6), seleccionando Tipo de ICMP6 e introduciendo el
nmero (intervalo 0-255).

Ninguno

Especifique firmas independientes de protocolo, seleccionando Ninguno.

Tiempo de espera

Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin (intervalo 0-604800 segundos). Un valor de cero
indica que se utilizar el tiempo de espera predeterminado de la
aplicacin. Este valor se utiliza para protocolos diferentes de TCP y UDP
en todos los casos y para tiempos de espera TCP y UDP cuando no se
especifican los tiempos de espera TCP y UDP.

Tiempo de espera de
TCP

Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin TCP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizar el tiempo de espera predeterminado de
la aplicacin.

Tiempo de espera de
UDP

Introduzca el nmero de segundos antes de finalizar un flujo de inactividad de una aplicacin UDP (intervalo 0-604800 segundos). Un valor
de cero indica que se utilizar el tiempo de espera predeterminado de
la aplicacin.

TCP semicerrado

Introduzca el tiempo mximo que una sesin permanece en la tabla de la


sesin entre la recepcin del primer FIN y la recepcin del segundo FIN o
RST. Cuando el temporizador caduca, la sesin se cierra.
Valor predeterminado: Si este temporizador no est configurado en el
nivel de aplicacin, se utiliza el ajuste global. El rango es 1-604800
segundos.
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
TCP semicerrado.

Tiempo de espera TCP

Introduzca el tiempo mximo que una sesin permanece en la tabla de


la sesin despus de la recepcin del segundo FIN o RST. Cuando el
temporizador caduca, la sesin se cierra.
Valor predeterminado: Si este temporizador no est configurado en el
nivel de aplicacin, se utiliza el ajuste global. El rango es 1-600 segundos
Si este valor se configura en el nivel de aplicacin, cancela el ajuste global
Tiempo de espera TCP.

Palo Alto Networks

Polticas y perfiles de seguridad 289

Otros objetos de las polticas

Tabla 157. Configuracin de nuevas aplicaciones (Continuacin)


Campo

Descripcin

Analizando

Seleccione las casillas de verificacin de los tipos de anlisis que desee


permitir, en funcin de los perfiles de seguridad (tipos de archivos,
patrones de datos y virus).

Pestaa Firma
Firmas

Haga clic en Aadir para agregar una firma nueva y especificar la


siguiente informacin:
Nombre de firma: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga clic en Aadir condicin.
Seleccione un operador entre Coincidencia de patrones e Igual que.
Si selecciona el operador de coincidencia de patrones, especifique las
siguientes opciones:
Contexto: Seleccione uno de los contextos disponibles.
Patrn: Especifique una expresin regular. Consulte Tabla 162 para
ver reglas de patrones de expresiones regulares.
Calificador y Valor: Puede aadir pares de calificador/valor.
Si selecciona el operador de coincidencia igual que, especifique las
siguientes opciones:
Contexto: Seleccione entre solicitudes desconocidas y respuestas de
TCP o UDP.
Posicin: Seleccione los primeros cuatro bytes o los segundos cuatro
en la carga.
Mscara: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xffffff00.
Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.
Para mover una condicin en un grupo, seleccione la condicin y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.

No es necesario especificar firmas para la aplicacin si la aplicacin se utiliza


nicamente para reglas de application override.
Para importar una aplicacin, haga clic en Importar. Navegue y seleccione el archivo y el
sistema virtual de destino en la lista desplegable Destino.
Para exportar la aplicacin, seleccione la casilla de verificacin de la aplicacin y haga clic en
Exportar. Siga las instrucciones para guardar el archivo.

290 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Definicin de grupos de aplicaciones


Objetos > Grupos de aplicaciones
Para simplificar la creacin de polticas de seguridad, las aplicaciones que requieren los
mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. (Para definir
una nueva aplicacin, consulte Definicin de aplicaciones.)

Tabla 158. Nuevo grupo de aplicaciones


Campo

Descripcin

Nombre

Introduzca un nombre que describe el grupo de aplicaciones (de hasta


31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se
definen polticas de seguridad. El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, guiones y guiones bajos.

Aplicaciones

Haga clic en Aadir y seleccione las aplicaciones, filtros de aplicaciones


y/o grupos de aplicaciones diferentes que se incluirn en este grupo.

Filtros de aplicacin
Objetos > Filtros de aplicaciones
Puede definir filtros de aplicaciones para simplificar las bsquedas repetidas. Para definir
filtros de aplicaciones para simplificar las bsquedas repetidas, haga clic en Aadir e
introduzca el nombre del filtro.
En el rea superior de la ventana, haga clic en un elemento que desee utilizar como base para
el filtrado. Por ejemplo, para restringir la lista a la categora de redes, haga clic en networking.

Para filtrar por ms columnas, seleccione una entrada las columnas para mostrar las casillas
de verificacin. El filtrado es sucesivo: en primer lugar se aplican los filtros de categora, a
continuacin los filtros de subcategora, riesgos y, finalmente, los filtros de caractersticas.
Por ejemplo, la siguiente ilustracin muestra el resultado de elegir una categora, subcategora
y filtro de riesgo. Al aplicar los dos primeros filtros, la columna Tecnologa se restringe
automticamente a las tecnologas que cumplen los requisitos de la categora y subcategoras
seleccionadas, aunque no se haya aplicado explcitamente un filtro de tecnologa.
A medida que selecciona las opciones, la lista de aplicaciones de la parte inferior se actualiza
automticamente, tal y como se muestra en la ilustracin.

Palo Alto Networks

Polticas y perfiles de seguridad 291

Otros objetos de las polticas

Servicios
Objetos > Servicios
Cuando define polticas de seguridad de aplicaciones especficas, puede seleccionar uno
o ms servicios para limitar el nmero de puertos que las aplicaciones pueden utilizar.
El servicio predeterminado es Cualquiera, que permite todos los puertos TCP y UDP.
Los servicios HTTP y HTTPS son los predefinidos, pero puede agregar ms definiciones
de servicios. Los servicios que se suelen asignar juntos se pueden combinar en grupos de
servicios para simplificar la creacin de polticas de seguridad (consulte Grupos de
servicios).

292 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

La siguiente tabla describe la configuracin del servicio:

Tabla 159. Configuracin de servicios


Campo

Descripcin

Nombre

Introduzca el nombre del servicio (de hasta 63 caracteres). Este nombre


aparece en la lista de servicios cuando se definen polticas de seguridad.
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Descripcin

Introduzca una descripcin del servicio (hasta 255 caracteres).

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.

Protocolo

Seleccione el protocolo que utiliza el servicio (TCP o UDP).

Puerto de destino

Introduzca el nmero de puerto de destino (0 a 65535) o el intervalo de


nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de destino es obligatorio.

Puerto de origen

Introduzca el nmero de puerto de origen (0 a 65535) o el intervalo de


nmeros de puerto (puerto1-puerto2) que utiliza el servicio. Si especifica
varios puertos o intervalos, deben estar separados por comas. El puerto
de origen es opcional.

Grupos de servicios
Objetos > Grupos de servicios
Para simplificar la creacin de polticas de seguridad, puede combinar los servicios con los
mismos ajustes de seguridad en grupos de servicios. Para definir nuevos servicios, consulte
Servicios.
La siguiente tabla describe la configuracin del grupo de servicios:

Tabla 160. Configuracin de grupos de servicios


Campo

Descripcin

Nombre

Introduzca el nombre del grupo de servicios (de hasta 63 caracteres).


Este nombre aparece en la lista de servicios cuando se definen polticas de
seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Servicio

Haga clic en Aadir para agregar servicios al grupo. Realice su seleccin


en la lista desplegable o haga clic en Servicio, en el enlace en la parte
inferior de la lista desplegable y especifique la configuracin. Consulte
Servicios para obtener una descripcin de la configuracin.

Palo Alto Networks

Polticas y perfiles de seguridad 293

Otros objetos de las polticas

Trabajo con etiquetas


Objetos > Etiquetas
Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Las etiquetas
pueden aplicarse a objetos de direccin, grupos de direcciones (estticas y dinmicas), zonas,
servicios, grupos de servicios y reglas de polticas. Al etiquetarla, la palabra clave sirve para
ordenar o filtrar objetos; para distinguir objetos visualmente, tambin puede aplicar un color a
una etiqueta. Al aplicar un color a una etiqueta, la pestaa Poltica muestra el objeto con el
color de fondo.
Use esta etiqueta para crear, asignar un color, eliminar, renombrar y duplicar etiquetas.
Cada objeto puede tener hasta 64 etiquetas; cuando un objeto tiene varias etiquetas, muestra
el color de la primera etiqueta de la lista de etiquetas aplicada.
La pestaa Objetos > Etiquetas solo muestra las etiquetas definidas localmente en el cortafuegos (o en
Panorama). Si ha configurado grupos de direcciones dinmicas, esta pestaa no muestra las etiquetas
que se recuperan dinmicamente desde los orgenes de informacin de VM del cortafuegos.
Para aadir una nueva pestaa, haga clic en Aadir y, a continuacin, cumplimente los
siguientes campos:

Tabla 161. Configuracin de etiqueta


Campo

Descripcin

Nombre

Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres).


El nombre no distingue entre maysculas y minsculas.

Compartido

Seleccione la opcin Compartido si quiere compartir la etiqueta con todos


los sistemas virtuales en un cortafuegos con capacidad para mltiples
sistemas virtuales. Si no la selecciona, la etiqueta pertenecer al Sistema
virtual seleccionado actualmente en la lista desplegable.
En Panorama, una etiqueta puede pertenecer al grupo de dispositivos
seleccionado o puede ser un objeto compartido con todos los grupos de
dispositivos.

Color

Seleccione un color de la paleta de colores de la lista desplegable. El valor


predeterminado es Ninguno.

Comentarios

Aada una etiqueta o descripcin para recordar la funcin de la etiqueta.

294 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Patrones de datos
El patrn de datos le permite especificar categoras de informacin confidencial que desea
someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo configurar patrones de datos, consulte Listas de bloqueos
dinmicos.
Cuando aade un nuevo patrn (expresin regular), se aplican los siguientes requisitos
generales:

El patrn debe tener una cadena de al menos 7 bytes. Puede contener ms de 7 bytes,
pero no menos.

La bsqueda de cadenas distingue entre maysculas y minsculas, como la mayora


de motores de expresiones regulares. La bsqueda de confidencial es diferente de la
bsqueda de Confidencial o CONFIDENCIAL.

La sintaxis de expresin regular en PAN-OS es similar a la de los motores de expresiones


regulares tradicionales, pero cada motor es nico. La tabla siguiente describe la sintaxis
compatible con PAN-OS.

Tabla 162. Reglas de patrones


Sintaxis

Descripcin

Busca cualquier carcter nico.

Busca el carcter o la expresin anterior 0 o 1 veces. La expresin general DEBE estar


entre parntesis.
Ejemplo: (abc)?

Busca el carcter o la expresin anterior 0 o ms veces. La expresin general DEBE estar


entre parntesis.
Ejemplo: (abc)*

Busca el carcter o la expresin anterior 1 o ms veces. La expresin general DEBE estar


entre parntesis.
Ejemplo: (abc)+

Equivalente a o.
Ejemplo: ((bif)|(scr)|(exe)) busca bif, scr o exe. Tenga en cuenta que las
subcadenas deben estar entre parntesis.

Se utiliza para crear expresiones de intervalo.


Ejemplo: [c-z] busca cualquier carcter entre c y z, ambos inclusive.

[]

Busca cualquier carcter.


Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.

Busca cualquier carcter excepto.


Ejemplo: [^abz] busca cualquier carcter excepto a, b, o z.

{}

Nmero mnimo/mximo de bytes.


Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite -.

Para realizar una bsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carcter de escape precedindolo de \ (barra diagonal inversa).

&amp

& es un carcter especial, por lo que para buscar & en una cadena debe utilizar
&amp.

Palo Alto Networks

Polticas y perfiles de seguridad 295

Otros objetos de las polticas

Ejemplos de patrones de datos


A continuacin se incluyen algunos ejemplos de patrones personalizados vlidos:

.*((Confidencial)|(CONFIDENCIAL))
Busca la palabra Confidencial o CONFIDENCIAL en cualquier parte
.* al principio especifica que se debe buscar en cualquier parte en la secuencia
No busca confidencial (todas en minscula)

.*((Privado &amp Confidencial)|(Privado y Confidencial))


Busca Privado & Confidencial o Privado y Confidencial
Es ms preciso que buscar Confidencial

.*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
Busca Comunicado de prensa seguido de las diferentes formas de la palabra
borrador, lo que puede indicar que el comunicado de prensa no est preparado an
para ser emitido.

.*(Trinidad)
Busca un nombre de cdigo de proyecto, como Trinidad

Categoras de URL personalizadas


Objetos > Categoras URL personalizadas
La funcin de categoras URL personalizadas permite crear sus propias listas de URL que
puede seleccionar en cualquier perfil de filtrado de URL. Cada una de las categoras se puede
controlar de forma independiente y tendr una accin asociada en cada perfil de filtrado URL
(permitir, bloquear, continuar, cancelar, alertar o ninguno). La accin ninguno solo se aplica a
las categoras de URL personalizadas. El objetivo de seleccionar la opcin ninguno es garantizar que si existen varios perfiles de URL, la categora personalizada no influir en otros
perfiles. Por ejemplo, si tiene dos perfiles URL y la categora URL personalizada se establece
para bloquear en uno de los perfiles, el otro perfil debera tener la accin establecida en
ninguno si no quiere que se aplique.
Las entradas URL se pueden agregar individualmente o puede importar una lista de URL.
Para ello, cree un archivo de texto con las URL que se incluirn, con una URL por lnea.
Cada URL puede tener el formato www.ejemplo.com y puede contener * como comodn,
como en *.ejemplo.com. Para obtener informacin adicional sobre comodines, consulte la
descripcin de lista de bloqueadas en Tabla 147 en la pgina 263.
Las entradas URL aadidas a las categoras personalizadas no distinguen
entre maysculas y minsculas. De igual forma, para eliminar una categora
personalizada despus de que se haya aadido a un perfil de URL y de que se haya
establecido una accin, la accin debe estar establecida en Ninguno para poder
eliminar la categora personalizada.
Para obtener instrucciones sobre cmo configurar perfiles de filtrado URL, consulte Perfiles
de filtrado de URL.

296 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

La siguiente tabla describe la configuracin de URL personalizada:

Tabla 163. Categoras de URL personalizadas


Campo

Descripcin

Nombre

Introduzca un nombre para identificar la categora de URL personalizada


(de hasta 31 caracteres). Este nombre aparece en la lista de categoras
cuando se definen polticas de seguridad. El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, guiones y guiones bajos.

Descripcin

Introduzca una descripcin de la categora URL (hasta 255 caracteres).

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Sitios

En el rea Sitios, haga clic en Aadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.

Listas de bloqueos dinmicos


Objetos > Listas de bloqueos dinmicos
Utilice la pgina Listas de bloqueos dinmicos para crear un objeto de direccin basado
en una lista importada de direcciones IP. El origen de la lista debe ser un archivo de texto y
se debe encontrar en un servidor web. Puede definir la opcin Repetir para que actualice
automticamente la lista de dispositivos cada hora, da, semana o mes. Una vez haya creado
un objeto de lista de bloqueo dinmico, puede utilizar el objeto de la direccin en los campos
de origen y destino en las polticas de seguridad. Cada lista importada puede contener hasta
5.000 direcciones IP (IPv4 o IPv6), que pueden incluir intervalos o subredes de IP.
La lista debe contener una direccin IP, intervalo o subred por lnea, por ejemplo:
192.168.80.150/32 indica una direccin y 192.168.80.0/24 indica todas las direcciones
desde 192.168.80.0 hasta 192.168.80.255.
Ejemplo:
2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un
intervalo de direcciones. El formato es:
direccin_ipdireccin_ip
donde cada direccin puede ser IPv4 o IPv6.
Ejemplo:
2001:db8:123:1::1 - 2001:db8:123:1::22

Palo Alto Networks

Polticas y perfiles de seguridad 297

Otros objetos de las polticas

La siguiente tabla describe la configuracin de lista de bloqueadas dinmicas:

Tabla 164 Listas de bloque dinmico


Campo

Descripcin

Nombre

Introduzca un nombre para identificar la lista de bloqueos


dinmicos (de hasta 32 caracteres). Este nombre aparecer
cuando seleccione el origen o el destino de una poltica.

Descripcin

Introduzca una descripcin de la lista de bloqueos dinmicos


(hasta 255 caracteres).

IP Origen

Introduzca una ruta URL HTTP o HTTPS que contenga el


archivo de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.

Repetir

Especifique la frecuencia en la que la lista se debe importar.


Puede elegir cada hora, da, semana o mes. En el intervalo
especificado, la lista se importar a la configuracin. No es
necesario realizar una compilacin completa para que este tipo
de actualizacin tenga lugar.

Probar URL de origen

Comprueba que la URL de origen o la ruta del servidor est


disponible.

Firmas personalizadas de spyware y vulnerabilidades


Esta seccin describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de
vulnerabilidades.
Objetos > Firmas personalizadas > Patrones de datos
Objetos > Firmas personalizadas > Spyware
Objetos > Firmas personalizadas > Vulnerabilidad

Definicin de patrones de datos


Objetos > Firmas personalizadas > Patrones de datos
Utilice la pgina Patrones de datos para definir las categoras de informacin confidencial que
desea someter al filtrado mediante polticas de seguridad de filtrado de datos. Para obtener
instrucciones sobre cmo definir perfiles de filtrado de datos, consulte Perfiles de filtrado de
datos.

298 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

La siguiente tabla describe la configuracin de patrones de datos:

Tabla 165. Configuracin de patrones de datos


Campo

Descripcin

Nombre

Introduzca el nombre de patrn de datos (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Descripcin

Introduzca una descripcin del patrn de datos (hasta 255 caracteres).

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Peso

Introduzca el peso de los tipos de patrones especificados de forma


predeterminada. El peso es un nmero entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
funcin de este peso.
CC#: Especifique un peso para el campo de tarjeta de crdito (intervalo
0-255).
SSN#: Especifique un peso para el campo del nmero de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso mximo).
SSN# (sin guin): Especifique un peso para el campo del nmero de
la seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso mximo).

Patrones personalizados

Los patrones predefinidos incluyen el nmero de la tarjeta de crdito y el


de la seguridad social (con y sin guiones).
Haga clic en Aadir para agregar un patrn nuevo. Especifique un
nombre para el patrn, introduzca la expresin regular que define el
patrn e introduzca un valor de peso para asignarlo al patrn. Aada
los patrones que sean necesarios.

Definicin de firmas de spyware y vulnerabilidad


Objetos > Firmas personalizadas > Spyware y vulnerabilidades
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas
del cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones
de spyware y vulnerabilidades resultantes estn disponibles para su uso en cualquier perfil de
vulnerabilidad personalizado. El cortafuegos busca los patrones definidos de forma personalizada en el trfico de la red y toma las medidas especificadas para la explotacin de la vulnerabilidad. PAN-OS proporciona la capacidad de desarrollar firmas para los contextos dentro
de los siguientes protocolos:
Se agregan peridicamente nuevos descodificadores y contextos en publicaciones
semanales de contenido.
Segn la actualizacin de contenido 424, se admiten los siguientes descodificadores: HTTP,
HTTPS, DNS, FTP, IMAP, SMTP, Telnet, IRC (Internet Relay Chat), Oracle, RTMP, RTSP, SSH,
GNU-Debugger, GIOP (Global Inter-ORB Protocol), Microsoft RPC, Microsoft SMB (tambin
conocido como CIFS).

Palo Alto Networks

Polticas y perfiles de seguridad 299

Otros objetos de las polticas

Tambin puede incluir un atributo temporal cuando defina firmas personalizadas especificando un umbral por intervalo para activar posibles acciones en respuesta a un ataque.
Las acciones solo se activan una vez alcanzado el umbral.
Utilice la pgina Firmas personalizadas para definir firmas de perfiles de vulnerabilidades.

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware


Campo

Descripcin

Pestaa Configuracin
ID de amenaza

Introduzca un identificador numrico para la configuracin. En el caso


de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.

Nombre

Especifique el nombre de la amenaza.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Comentarios

Introduzca un comentario opcional.

Gravedad

Asigne un nivel que indique la gravedad de la amenaza.

Accin predeterminada

Asigne la accin predefinida que se activar si se cumplen las condiciones


de la amenaza:
Alertar: Genera una alerta.
Colocar paquetes: No permite el paso de paquetes.
Restablecer ambos: Restablece el cliente y el servidor.
Restablecer cliente: Restablece el cliente.
Restablecer servidor: Restablece el servidor.
Bloquear IP: Bloquea el trfico durante un perodo de tiempo especificado. Seleccione si se bloquear nicamente el trfico de origen o el de
origen y destino, e introduzca la duracin (segundos).

Direccin

Indique si la amenaza se evaluar desde el cliente al servidor, desde el


servidor al cliente, o ambos.

Sistema afectado

Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos o a


ambos. Se aplica a las firmas de vulnerabilidades, pero no a las firmas de
spyware.

CVE

Especifique las vulnerabilidades y exposiciones comunes (CVE) como


una referencia externa de informacin y anlisis adicional.

Proveedor

Especifique el identificador del proveedor de la vulnerabilidad como una


referencia externa de informacin y anlisis adicional.

Bugtraq

Especifique la bugtraq (similar a CVE) como una referencia externa de


informacin y anlisis adicional.

Referencia

Aada vnculos a la informacin o al anlisis. La informacin se muestra


cuando un usuario hace clic en la amenaza desde ACC, logs o el perfil de
vulnerabilidad.

300 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuacin)


Campo

Descripcin

Pestaa Firmas
Firma estndar

Seleccione el botn de opcin Estndar y haga clic en Aadir para aadir


una firma nueva. Especifique la siguiente informacin:
Estndar: Introduzca un nombre para identificar la firma.
Comentarios: Introduzca una descripcin opcional.
Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
mbito: Seleccione si desea aplicar esta firma a la transaccin actual
nicamente o a la sesin completa del usuario.
Especifique las condiciones para definir las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga clic en Aadir condicin. Realice su seleccin en
la lista desplegable Mtodo y Contexto. Especifique una expresin
regular en el campo Patrn. Aada los patrones que sean necesarios.
Para mover una condicin en un grupo, seleccione la condicin y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.

Firma de combinacin

Seleccione el botn de opcin Combinacin. En el rea por encima de las


pestaas secundarias, especifique la siguiente informacin:
En la pestaa secundaria Firmas de combinacin, especifique las
condiciones que definirn las firmas:
Aada una condicin haciendo clic en Aadir condicin AND o
Aadir condicin OR. Para aadir una condicin en un grupo, seleccione el grupo y haga clic en Aadir condicin. Realice su seleccin en
la lista desplegable Mtodo y Contexto. Especifique una expresin
regular en el campo Patrn. Aada los patrones que sean necesarios.
Para mover una condicin en un grupo, seleccione la condicin y haga
clic en el flecha Mover hacia arriba o Mover hacia abajo. Para mover
un grupo, seleccione el grupo y haga clic en el flecha Mover hacia
arriba o Mover hacia abajo. No puede mover condiciones de un grupo
a otro.
En la pestaa secundaria Atributo de fecha y hora, especifique la
siguiente informacin:
Nmero de resultados: Especifique el umbral que activar una accin
basada en una poltica como un nmero de resultados (1-1000) en un
nmero especificado de segundos (1-3600)
Criterios de agregacin: Especifique si los resultados los supervisar la
direccin IP de origen, la direccin IP de destino o una combinacin de
las direcciones IP de origen y destino.

Palo Alto Networks

Polticas y perfiles de seguridad 301

Otros objetos de las polticas

Grupos de perfiles de seguridad


Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que
se pueden tratar como una unidad y aadirse posteriormente a las polticas de seguridad.
Por ejemplo, puede crear un grupo de perfil de seguridad amenazas que incluya perfiles de
antivirus, antispyware y vulnerabilidades y crear una poltica de seguridad que incluya el
perfil amenazas.
Los perfiles de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y bloqueo
de archivos que se suelen asignar juntos pueden combinarse en grupos de perfiles para
simplificar la creacin de las polticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte Definicin de polticas de seguridad.
La siguiente tabla describe la configuracin de perfil de seguridad:

Tabla 167. Configuracin de grupos de perfiles de seguridad


Campo

Descripcin

Nombre

Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles cuando se definen polticas de seguridad.
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir compartir el perfil entre todos los
sistemas virtuales.

Perfiles

Seleccione un perfil de antivirus, antispyware, proteccin de vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluir en este
grupo. Los perfiles de filtrado de datos tambin se pueden especificar en
grupos de perfiles de seguridad. Consulte Perfiles de filtrado de datos.

302 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Reenvo de logs
Objetos > Reenvo de logs
Cada poltica de seguridad puede especificar un perfil de reenvo de log que determine si
las entradas de log de trfico y amenazas se registran de forma remota con Panorama, y/o
se envan como traps SNMP, mensajes de Syslog o notificaciones por correo electrnico.
De forma predefinida, solo se realizan logs locales.
Los log de trfico registran informacin sobre cada flujo de trfico, mientras que los logs de
amenazas registran las amenazas o problemas con el trfico de la red, como la deteccin de
virus o spyware. Tenga en cuenta que los perfiles de antivirus, antispyware y proteccin de
vulnerabilidades asociados con cada regla determinan las amenazas que se registran (de
forma local o remota). Para aplicar los perfiles de log a polticas de seguridad, consulte
Definicin de polticas de seguridad.
En un cortafuegos PA-7050, se debe configurar un tipo de interfaz especial
(Tarjeta de log) antes de que el cortafuegos reenve los siguientes tipos de logs:
Syslog, correo electrnico y SNMP. Esto tambin se aplica al reenvo a WildFire.
Una vez configurado el puerto, se usar este puerto automticamente para el
reenvo de logs y de WildFire y no har falta ninguna configuracin especial para
ello. Solo tiene que configurar el puerto de datos en uno de los NPC PA-7050
como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede
establecer contacto con sus servidores de logs. Para reenvo de WildFire, la red
necesitar comunicarse con la nube WildFire o dispositivo WildFire.
Si desea ms informacin sobre cmo configurar esta interfaz, consulte
Configuracin de una interfaz de tarjeta de log .
La siguiente tabla describe la configuracin de reenvo de logs:

Tabla 168.

Configuracin de perfiles de reenvo de logs

Campo

Descripcin

Nombre

Introduzca un nombre de perfil (de hasta 31 caracteres). Este nombre


aparece en la lista de perfiles de reenvo de logs cuando se definen
polticas de seguridad. El nombre hace distincin entre maysculas y
minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros,
espacios, guiones y guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.

Configuracin de trfico
Panorama

Palo Alto Networks

Seleccione la casilla de verificacin para habilitar el envo de entradas


del log de trfico al sistema de gestin centralizado de Panorama.
Para definir la direccin del servidor de Panorama, consulte Definicin
de la configuracin de gestin.

Polticas y perfiles de seguridad 303

Otros objetos de las polticas

Tabla 168.

Configuracin de perfiles de reenvo de logs (Continuacin)

Campo

Descripcin

Traps SNMP
Correo electrnico
Syslog

Seleccione los ajustes de SNMP, Syslog y/o correo electrnico que


especifican destinos adicionales a los que se envan las entradas de trfico.
Para definir nuevos destinos, consulte:
Configuracin de destinos de traps SNMP.
Descripcin de los campos personalizados de Syslog
Configuracin de servidores Syslog

Configuracin del log de amenazas


Panorama

Haga clic en la casilla de verificacin de cada nivel de seguridad de las


entradas del log de amenazas que se enviarn a Panorama. Los niveles de
gravedad son los siguientes:
Crtico: Ataques muy graves detectados por el motor de seguridad de
amenazas.
Alto: Ataques graves detectados por el motor de seguridad de amenazas.
Medio: Ataques leves detectados por el motor de seguridad de
amenazas, incluyendo el bloqueo de URL.
Bajo: Ataques de advertencias detectados por el motor de seguridad
de amenazas.
Informativo: El resto de eventos no incluidos en los niveles de
seguridad anteriores, incluyendo bsquedas de objeto de ataques
informativos.

Traps SNMP
Correo electrnico
Syslog

En cada nivel de gravedad, seleccione los ajustes de SNMP, Syslog y/o


correo electrnico que especifican destinos adicionales a los que se envan
las entradas del log de amenazas.

Perfiles de descifrado
Objetos > Perfiles de descifrado
Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de
reenvo, inspeccin entrante SSL y trfico SSH. Una vez haya creado un perfil de descifrado,
puede aplicar ese perfil a una poltica de descifrado.
Tambin puede controlar las CA de confianza de su dispositivo. Para obtener ms informacin, consulte Gestin de entidades de certificacin de confianza predeterminadas.
La siguiente tabla describe la configuracin de perfil de descifrado:

Tabla 169. Configuracin de perfiles de descifrado


Campo

Descripcin

Pestaa Proxy SSL de reenvo


Comprobaciones
de certificado de
servidor

Seleccione las opciones para controlar los certificados del servidor.

Bloquear sesiones
con certificados
caducados

Finalice la conexin SSL si el certificado del servidor est caducado. De esta


forma se evita que un usuario acepte un certificado caducado y contine con
una sesin SSL.

304 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

Tabla 169. Configuracin de perfiles de descifrado (Continuacin)


Campo

Descripcin

Bloquear sesiones
con emisores no
fiables

Finalice la sesin SSL si el emisor del certificado del servidor no es fiable.

Restringir
extensiones de
certificado

Limita las extensiones de certificados utilizados en el certificado de


servidor dinmico al uso de claves y claves extendidas.
Detalles: Muestra los detalles de los valores utilizados para el uso de claves y
claves extendidas.

Comprobaciones
de modo no
admitidas

Seleccione las opciones para controlar aplicaciones SSL no compatibles.

Bloquear sesiones
con versin no
compatible

Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible


con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.

Bloquear sesiones
con conjuntos de
cifras no
compatibles

Finalice la sesin si el conjunto de cifrado especificado en el protocolo de


enlace SSL si no es compatible con PAN-OS.

Bloquear sesiones
con autenticacin
de cliente

Finalice las sesiones con autenticacin de cliente para el trfico de proxy de


reenvo SSL.

Comprobaciones
de error

Seleccione la accin que se adoptar si los recursos del sistema no estn


disponibles para procesar el descifrado.

Bloquear sesiones
si no hay recursos
disponibles

Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.

Bloquear sesiones
si HSM no est
disponible

Finalizar sesiones si no hay un mdulo de seguridad de hardware (HSM)


disponible para firmar certificados.

Note: En el caso de modos no compatibles y de fallos, la informacin de la


sesin se guarda en cach durante 12 horas, por lo que las futuras sesiones
entre los mismos pares de hosts y servidor no se descifran. En su lugar, utilice
las casillas de verificacin para bloquear esas sesiones.
Pestaa Inspeccin de entrada SSL
Comprobaciones
de modo no
admitidas

Proporciona opciones de seleccin de control de sesiones si se detectan


modos no compatibles en el trfico SSL.

Bloquear sesiones
con versiones no
compatibles

Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible


con PAN-OS. Las versiones de SSL compatibles con PAN-OS son: SSLv3,
TLS1.0 y TLS1.1.

Bloquear sesiones
con conjuntos de
cifras no
compatibles

Finalice la sesin si el conjunto de cifrado utilizado no es compatible con


PAN-OS.

Comprobaciones
de error

Seleccione la accin que se adoptar si los recursos del sistema no estn


disponibles.

Palo Alto Networks

Polticas y perfiles de seguridad 305

Otros objetos de las polticas

Tabla 169. Configuracin de perfiles de descifrado (Continuacin)


Campo

Descripcin

Bloquear sesiones
si no hay recursos
disponibles

Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.

Bloquear sesiones
si HSM no est
disponible

Finalizar sesiones si no hay un mdulo de seguridad de hardware (HSM)


disponible para descifrar la clave de sesin.

Pestaa SSH
Comprobaciones
de modo no
admitidas

Proporciona opciones de seleccin de control de sesiones si se detectan


modos no compatibles en el trfico SSH. La versin SSH compatible es
la versin 2.

Bloquear sesiones
con versiones no
compatibles

Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible


con PAN-OS.

Bloquear sesiones
con algoritmos no
compatibles

Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no


es compatible con PAN-OS.

Comprobaciones
de error

Seleccione las medidas que se adoptarn si se producen errores de aplicacin


SSH y si no hay recursos del sistema disponibles.

Bloquear sesiones
con errores SSH

Finalice las sesiones si se producen errores SSH.

Bloquear sesiones
si no hay recursos
disponibles

Finalice las sesiones si los recursos del sistema no estn disponibles para
procesar el descifrado.

Programaciones
Objetos > Programaciones
De forma predeterminada, cada una de las polticas de seguridad se aplica a todas las fechas
y horas. Para limitar una poltica de seguridad a una hora concreta, puede definir programaciones y aplicarlas a las polticas correctas. Para cada programacin puede especificar una
fecha y un intervalo horario fijo, o bien una programacin diaria o semanal recurrente.
Para aplicar las programaciones a las polticas de seguridad, consulte Definicin de polticas
de seguridad.
Cuando se activa una poltica de seguridad en una programacin definida, solo se
vern afectadas por la poltica de seguridad las sesiones nuevas. Las sesiones
actuales no se ven afectadas por la poltica programada.

306 Polticas y perfiles de seguridad

Palo Alto Networks

Otros objetos de las polticas

La siguiente tabla describe la configuracin de la programacin:

Tabla 170. Ajustes de programacin


Campo

Descripcin

Nombre

Introduzca un nombre de la programacin (de hasta 31 caracteres). Este


nombre aparece en la lista de programaciones cuando se definen polticas
de seguridad. El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones
y guiones bajos.

Compartido

Si el dispositivo est en modo de Sistema virtual mltiple, seleccione esta


casilla de verificacin para permitir su uso compartido por todos los
sistemas virtuales.

Periodicidad

Seleccione la periodicidad (Diaria, Semanal o Sin repeticin).

Diario

Haga clic en Aadir y especifique una hora de inicio y de finalizacin en


formato de 24 horas (HH:MM).

Semanal

Haga clic en Aadir, seleccione un da de la semana y especifique una


hora de inicio y de finalizacin en formato de 24 horas (HH:MM).

Sin repeticin

Haga clic en Aadir y especifique una fecha y hora de inicio y de


finalizacin.

Palo Alto Networks

Polticas y perfiles de seguridad 307

Otros objetos de las polticas

308 Polticas y perfiles de seguridad

Palo Alto Networks

Captulo 6

Informes y logs
Esta seccin describe cmo visualizar los informes y logs proporcionados con el cortafuegos:

Uso del panel

Centro de comando de aplicacin

Uso de Appscope

Visualizacin de logs

Trabajo con informes de Botnet

Gestin de informes de resumen en PDF

Gestin de informes de actividad del usuario/grupo

Gestin de grupos de informes

Programacin de informes para entrega de correos electrnicos

Visualizacin de informes

Generacin de informes personalizados

Realizacin de capturas de paquetes

Realizacin de capturas de paquetes

Palo Alto Networks

Informes y logs 309

Uso del panel

La mayora de los informes de esta seccin admiten la seleccin opcional de un


sistema virtual en la lista desplegable de la parte superior de la pgina.

Uso del panel


Panel
Los widgets de la pgina Panel muestran informacin general del dispositivo, como la versin
de software, el estado operativo de cada interfaz, la utilizacin de recursos y hasta 10 entradas
en los logs Sistema, Configuracin y Amenaza. Aparecen las entradas de los logs de los
ltimos 60 minutos. Todos los widgets disponibles aparecen de forma predeterminada,
pero cada usuario puede eliminar y agregar widgets individuales segn sea necesario.
Haga clic en el icono
para actualizar el panel o un widget individual. Para cambiar el
intervalo de actualizacin automtica, seleccione un intervalo de la lista desplegable (1 min,
2 min, 5 min o Manual). Para agregar un widget al panel, haga clic en el men desplegable
Widget, seleccione una categora y luego el nombre del widget. Para eliminar un widget, haga
clic en
en la barra de ttulos.

Tabla 171. Grficos del panel


Grfico

Descripcin

Aplicaciones principales

Muestra las aplicaciones con la mayora de sesiones. El tamao del bloque


indica el nmero relativo de sesiones (pase el ratn sobre el bloque para
ver el nmero) y el color indica el riesgo de seguridad, desde verde (ms
bajo) a rojo (ms alto). Haga clic en una aplicacin para ver su perfil de
aplicacin.

Aplicaciones principales
de alto riesgo

Similar a Aplicaciones principales, excepto las que muestran las


aplicaciones de mayor riesgo con la mayora de las sesiones.

Informacin general

Muestra el nombre del dispositivo, el modelo, la versin del software de


PAN-OS, la aplicacin, las amenazas, las versiones de definicin del filtro
de URL, la fecha y hora actuales y el perodo de tiempo transcurrido
desde el ltimo reinicio.

Estado de la interfaz

Indica si cada interfaz est activa (verde), no est operativa (rojo) o en un


estado desconocido (gris).

Registros de amenazas

Muestra el ID de amenaza, la aplicacin y la fecha y hora de las 10 ltimas


entradas en el log Amenazas. El ID de amenaza es una descripcin
malintencionada de una URL que incumple el perfil de filtro de URL.
Solo aparecen las entradas de los logs de los ltimos 60 minutos.

Logs de configuracin

Muestra el nombre de usuario del administrador, el cliente (Web o CLI) y


la fecha y hora de las 10 ltimas entradas en el log Configuracin. Solo
aparecen las entradas de los ltimos 60 minutos.

Logs de filtrado de datos

Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el


log Filtrado de datos.

Registros de filtrado
de URL

Muestra la descripcin y la fecha y hora de los ltimos 60 minutos en el


log Filtrado de URL.

310 Informes y logs

Palo Alto Networks

Centro de comando de aplicacin

Tabla 171. Grficos del panel (Continuacin)


Grfico

Descripcin

Registros del sistema

Muestra la descripcin y la fecha y hora de las ltimos 10 entradas


en el log Sistema. Tenga en cuenta que una entrada Configuracin
instalada indica que se han llevado a cabo cambios en la configuracin
correctamente. Solo aparecen las entradas de los ltimos 60 minutos.

Recursos del sistema

Muestra el uso de CPU de gestin, el uso de plano de datos y el Nmero


de sesiones que muestra el nmero de sesiones establecidas a travs del
cortafuegos.

Administradores
registrados

Muestra la direccin IP de origen, el tipo de sesin (Web o CLI) y la hora


de inicio de sesin para cada administrador actualmente registrado.

Factor de riesgo de ACC

Muestra el factor de riesgo medio (1 a 5) para el trfico de red procesado


la semana pasada. Los valores mayores indican un mayor riesgo.

Alta disponibilidad

Si la alta disponibilidad (HA) est activada, indica el estado de la Alta


disponibilidad (HA) del dispositivo local y del peer: Verde (activa),
amarillo (pasiva) o negro (otro). Para obtener ms informacin sobre la
HA, consulte Habilitacin de HA en el cortafuegos.

Bloqueos

Muestra bloqueos de configuracin realizados por los administradores.

Centro de comando de aplicacin


ACC
Se muestran 5 grficos en la pgina Centro de comando de aplicacin (ACC):

Aplicacin

Filtrado de URL

Prevencin de amenazas

Filtrado de datos

Coincidencias HIP

La pgina Centro de comando de aplicacin (ACC) describe visualmente las tendencias e


incluye una vista del historial de trfico de la red. Muestra el nivel de riesgo general para su
trfico de red, los niveles de riesgo y el nmero de amenazas detectadas para las aplicaciones
ms activas y con mayor riesgo en su red, as como el nmero de amenazas detectadas desde
las categoras de aplicacin ms activas y desde todas las aplicaciones con cualquier nivel
de riesgo. Se puede visualizar el ACC para la hora, el da o la semana anterior o cualquier
perodo de tiempo definido de forma personalizada.
Los niveles de Riesgo (1=ms bajo a 5=ms alto) indican el riesgo de seguridad relativo de
la aplicacin dependiendo de criterios como si la aplicacin puede compartir archivos,
es proclive al uso indebido o intenta esquivar los cortafuegos.

Palo Alto Networks

Informes y logs 311

Centro de comando de aplicacin

Para ver el Centro de comando de aplicacin:


1.

En la pestaa ACC, cambie uno o varios de los ajustes siguientes en la parte superior de
la pgina:

a. Seleccione un sistema virtual, si los sistemas virtuales estn definidos.


b. Seleccione un perodo de tiempo en la lista desplegable Tiempo. El valor predeterminado es ltima hora.

c. Seleccione un mtodo de orden en la lista desplegableOrdenar por. Puede ordenar los


grficos en orden descendente por nmero de sesiones, bytes o amenazas. El valor
predeterminado es por nmero de sesiones.

d. Para el mtodo de orden seleccionado, seleccione el mayor nmero de aplicaciones y


categoras de aplicacin que aparecen en cada grfico en la lista desplegable Principal.

e. (Solo para Panorama) Seleccione el Origen de datos que se usa para generar la
visualizacin grfica de las tendencias de trfico.
Haga clic en el icono

de envo para aplicar los ajustes seleccionados.

El Origen de datos predeterminado para instalaciones nuevas es Panorama; Panorama usa los
logs enviados por los dispositivos gestionados. Para recuperar y visualizar una vista agregada
de los datos desde los dispositivos gestionados tendr que cambiar el origen de Panorama a
Datos de dispositivo remoto.
En una actualizacin, el origen de datos predeterminado es Datos de dispositivo remoto.

Ilustracin 7. Pgina del Centro de comando de aplicacin

312 Informes y logs

Palo Alto Networks

Centro de comando de aplicacin

2.

Para abrir pginas de logs asociadas a la informacin en la pgina, utilice los enlaces
de logs en la esquina inferior derecha de la pgina, como se muestra a continuacin.
El contexto de los logs coincide con la informacin que aparece en la pgina.

3.

Para filtrar la lista, haga clic en un elemento en una de las columnas, eso agregar ese
elemento a la barra de filtrado ubicada sobre los nombres de columna de log. Despus de
agregar los filtros deseados, haga clic en el icono Aplicar filtro
.

4.

Selecciona una vista desde la lista desplegable del rea de su inters, como se describe en
la siguiente tabla.

5.

Utilice las listas desplegables para Aplicaciones, Categoras de URL, Amenazas, Tipos de
contenido/archivo y Objetos de HIP.

Palo Alto Networks

Informes y logs 313

Centro de comando de aplicacin

Tabla 172. Grficos del Centro de comando de aplicacin


Grfico

Descripcin

Aplicacin

Muestra informacin organizada segn la seleccin del men.


La informacin incluye el nmero de sesiones, los bytes transmitidos
y recibidos, el nmero de amenazas, la categora de aplicacin, las
subcategoras de aplicacin, la tecnologa de aplicacin y el nivel de
riesgo, si es necesario.
Aplicaciones
Aplicaciones de alto riesgo
Categoras
Subcategoras
Tecnologa
Riesgo

Filtrado de URL

Muestra informacin organizada segn la seleccin del men.


La informacin incluye la URL, la categora de URL, el nmero de
repeticiones (nmero de intentos de acceso, si es necesario)
Categoras de URL
URL
Categoras de URL bloqueadas
URL bloqueadas

Prevencin de amenazas

Muestra informacin organizada segn la seleccin del men.


La informacin incluye el ID de la amenaza, el recuento (nmero de
incidencias), el nmero de sesiones y el subtipo (como vulnerabilidad),
si es necesario.
Amenazas
Tipos
Spyware
Llamada a casa de spyware
Descargas de spyware
Vulnerabilidades
Virus

Filtrado de datos

Tipos de contenido/archivo
Tipos
Nombres de archivos

Coincidencias HIP

Objetos HIP
Perfiles HIP

6.

Para ver detalles adicionales, haga clic en cualquiera de los enlaces. Se abrir una pgina
de detalles para mostrar informacin acerca del elemento en la lista principal y las listas
adicionales de los elementos relacionados.

314 Informes y logs

Palo Alto Networks

Centro de comando de aplicacin

Ilustracin 8. Pgina Examinar Centro de comando de aplicacin

Palo Alto Networks

Informes y logs 315

Uso de Appscope

Uso de Appscope
Supervisar > Appscope
Los informes de Appscope proporcionan visibilidad grfica en los siguientes aspectos de la red:

Cambios en el uso de la aplicacin y la actividad del usuario

Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red

Amenazas de red

Con los informes de Appscope, puede ver rpidamente si se produce algn comportamiento
inusual o inesperado y que la deteccin de cualquier comportamiento problemtico sea ms
sencilla; cada informe proporciona una ventana dinmica y personalizable por el usuario en
la red. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar.
En Panorama puede seleccionar tambin el origen de datos de la informacin que se muestra.
El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de
datos local de Panorama que almacena los logs enviados por los dispositivos remotos, en una
actualizacin el origen de datos predeterminado son los datos de dispositivo remoto. Para
recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos
gestionados tendr que cambiar el origen de Panorama a Datos de dispositivo remoto.
Al pasar el ratn por encima y hacer clic en las lneas o barras de los grficos, se pasa al
ACC y se proporciona informacin detallada sobre la aplicacin especfica, la categora de
la aplicacin, el usuario o el origen.

Tabla 173. Grficos del Centro de comando de aplicacin


Grfico

Descripcin

Resumen

Informe de resumen

Supervisor de cambios

Informe del supervisor de cambios

Supervisor de amenazas

Informe del supervisor de amenazas

Mapa de amenazas

Informe del mapa de amenazas

Supervisor de red

Informe del supervisor de red

Mapa de trfico

Informe del mapa de trfico

316 Informes y logs

Palo Alto Networks

Uso de Appscope

Informe de resumen
El informe Resumen (Ilustracin 9) muestra grficos de los cinco principales ganadores,
perdedores, aplicaciones de consumo de ancho de banda, categoras de aplicacin, usuarios
y orgenes.
Para exportar los grficos en el informe de resumen como un PDF, haga clic en
Cada grfico se guarda como una pgina en el PDF creado.

Ilustracin 9. Informe de resumen de Appscope

Palo Alto Networks

Informes y logs 317

Uso de Appscope

Informe del supervisor de cambios


El informe Supervisor de cambios (Ilustracin 10) muestra cambios realizados en un perodo
de tiempo especfico. Por ejemplo, Ilustracin 10 muestra las principales aplicaciones adquiridas en la ltima hora en comparacin con el ltimo perodo de 24 horas. Las principales
aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes.

Ilustracin 10. Informe del supervisor de cambios de Appscope


Este informe contiene los siguientes botones y las siguientes opciones.

318 Informes y logs

Palo Alto Networks

Uso de Appscope

Tabla 174. Opciones del informe del supervisor de cambios


Elemento

descripcin

Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Muestra mediciones de elementos que han
ascendido durante el perodo de medicin.
Muestra mediciones de elementos que han
descendido durante el perodo de medicin.
Muestra mediciones de elementos que se han
agregado durante el perodo de medicin.
Muestra mediciones de elementos que se han
suspendido durante el perodo de medicin.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.

Determina si ordenar entradas por porcentajes o


incremento bruto.
Exporta el grfico como imagen .png o PDF.

Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones de cambio.

Informe del supervisor de amenazas


El informe del supervisor de amenazas (Ilustracin 11) muestra un recuento de las principales
amenazas durante el perodo de tiempo seleccionado. Por ejemplo, Ilustracin 11 muestra los
10 principales tipos de amenaza en las ltimas 6 horas.

Palo Alto Networks

Informes y logs 319

Uso de Appscope

Ilustracin 11. Informe del supervisor de amenazas de Appscope

320 Informes y logs

Palo Alto Networks

Uso de Appscope

Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Este informe contiene los siguientes botones y las siguientes opciones.

Tabla 175. Botones del Informe del supervisor de amenazas


Botn

Descripcin

Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento medido: Amenaza, Categora
de amenaza, Origen o Destino.
Aplica un filtro para mostrar nicamente el tipo de elemento
seleccionado.
Determina si la informacin se presenta en un grfico de
columna apilado o un grfico de rea apilado.
Exporta el grfico como imagen .png o PDF.

Barra inferior
Especifica el perodo durante el que se realizaron las
mediciones.

Informe del mapa de amenazas


El informe del mapa de amenazas (Ilustracin 12) muestra una vista geogrfica de amenazas,
incluyendo la gravedad.

Ilustracin 12. Informe del mapa de amenazas de Appscope

Palo Alto Networks

Informes y logs 321

Uso de Appscope

Cada tipo de amenaza est indicado con colores como se indica en la leyenda debajo del
grfico. Haga clic en un pas en el mapa para acercarlo. Haga clic en el botn Alejar en la
esquina inferior derecha de la pantalla para alejar. Este informe contiene los siguientes
botones y las siguientes opciones.

Tabla 176. Botones del Informe del mapa de amenazas


Botn

Descripcin

Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Muestra las amenazas entrantes.

Muestra las amenazas salientes.

Aplica un filtro para mostrar nicamente el tipo de elemento


seleccionado.
Acerque y aleje el mapa.
Exporta el grfico como imagen .png o PDF.

Barra inferior
Indica el perodo durante el que se realizaron las mediciones.

Informe del supervisor de red


El informe Supervisor de red (Ilustracin 13) muestra el ancho de banda dedicado a
diferentes funciones de red durante el perodo de tiempo especificado. Cada funcin de
red est indicada con colores como se indica en la leyenda debajo del grfico. Por ejemplo,
la Ilustracin 13 muestra el ancho de banda de aplicacin en los 7 ltimos das basndose en
la informacin de sesin.

322 Informes y logs

Palo Alto Networks

Uso de Appscope

Ilustracin 13. Informe del supervisor de red de Appscope


El informe contiene los siguientes botones y opciones.

Tabla 177. Botones del Informe del supervisor de red


Botn

Descripcin

Barra superior
Determina el nmero de registros con la mayor medicin
incluidos en el grfico.
Determina el tipo de elemento indicado: Aplicacin,
Categora de aplicacin, Origen o Destino.
Aplica un filtro para mostrar nicamente el elemento
seleccionado. Ninguno muestra todas las entradas.
Determina si mostrar informacin de sesin o byte.

Determina si la informacin se presenta en un grfico de


columna apilado o un grfico de rea apilado.
Exporta el grfico como imagen .png o PDF.

Barra inferior
Indica el perodo durante el que se realizaron las mediciones
de cambio.

Palo Alto Networks

Informes y logs 323

Uso de Appscope

Informe del mapa de trfico


El informe Mapa de trfico (Ilustracin 14) muestra una vista geogrfica de los flujos de trfico
segn las sesiones o los flujos.

Ilustracin 14. Informe del mapa de trfico de Appscope


Cada tipo de trfico est indicado con colores como se indica en la leyenda debajo del grfico.
Este informe contiene los siguientes botones y las siguientes opciones.

324 Informes y logs

Palo Alto Networks

Visualizacin de logs

Tabla 178. Botones del Informe del mapa de amenazas


Botn

Descripcin

Barra superior
Determina el nmero de registros con la mayor
medicin incluidos en el grfico.
Muestra las amenazas entrantes.

Muestra las amenazas salientes.

Determina si mostrar informacin de sesin o


byte.
Acerque y aleje el mapa.
Exporta el grfico como imagen .png o PDF.

Barra inferior
Indica el perodo durante el que se realizaron
las mediciones de cambio.

Visualizacin de logs
Supervisar > Logs
El cortafuegos mantiene logs de coincidencias de WildFire, configuraciones, sistema, alarmas,
flujos de trfico, amenazas, filtrado de URL, filtrado de datos y Perfil de informacin de host
(HIP). Puede visualizar los logs actuales en cualquier momento. Para ubicar entradas
especficas, puede aplicar filtros a la mayora de los campos de log.
El cortafuegos muestra la informacin en logs por lo que se respetan los permisos
de administracin basado en funcin. Cuando muestra logs, solo se incluye la
informacin de cuyo permiso dispone. Para obtener informacin acerca de los
permisos de administrador, consulte Definicin de funciones de administrador.
Para ver los logs, haga clic en los tipos de logs en el lado izquierdo de la pgina en la pestaa
Supervisar.
Cada pgina de log cuenta con una rea de filtro en la parte superior de la pgina.

Utilice la rea de filtro de la siguiente forma:

Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese
elemento como una opcin de filtro de logs. Por ejemplo, si hace clic en el enlace Host
en la entrada de log de 10.0.0.252 y Explorador web, se agregarn ambos elementos y
la bsqueda encontrar entradas que coinciden con ambos (bsqueda Y).

Palo Alto Networks

Informes y logs 325

Visualizacin de logs

Para definir otro criterio de bsqueda, haga clic en el icono Aadir filtro de log.
Seleccione el tipo de bsqueda (y/o), el atributo a incluir en la bsqueda, el operador
asociado y los valores de la coincidencia, si es necesario. Haga clic en Aadir para agregar
el criterio al rea de filtro en la pgina de log, luego haga clic en Cerrar para cerrar la
ventana emergente. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada.
Puede combinar expresiones de filtro agregadas en la pgina de log con aquellas que ha
definido en la ventana emergente Expresin. Cada uno se agrega como una entrada en la
lnea Filtro de la pgina de log.
Si establece el filtro en Tiempo recibido como ltimos 60 segundos, algunos enlaces de
la pgina en el visor de logs podran no mostrar resultados ya que el nmero de pginas
puede aumentar o reducirse debido a la naturaleza dinmica de la hora seleccionada.

Para eliminar filtros y volver a mostrar la lista sin filtrar, haga clic en el botn Borrar filtro.

Para guardar sus selecciones como un nuevo filtro, haga clic en el botn Guardar filtro,
introduzca un nombre para el filtro y haga clic en ACEPTAR.

Para exportar la lista actual de logs (como se muestra en la pgina, incluyendo cualquier
filtro aplicado), haga clic en el botn Guardar filtro. Seleccione si abrir el archivo o
guardarlo en el disco y seleccione la casilla de verificacin si desea continuar utilizando
la misma opcin. Haga clic en ACEPTAR.

Para exportar la lista actual de logs en formato CSV, seleccione el icono Exportar a
CSV
. De manera predeterminada, la exportacin de la lista de logs al formato CSV
genera un informe CSV con hasta 2.000 lneas de logs. Para cambiar el lmite de lnea
de los informes CSV generados, utilice el campo Mx. de filas en exportacin CSV
(seleccione Dispositivo > Configuracin > Gestin > Configuracin de log e informes >
Exportacin e informes de logs o consulte Definicin de la configuracin de gestin).

Para cambiar el intervalo de actualizacin automtica, seleccione un intervalo de la lista


desplegable (1 min, 30 segundos, 10 segundos o Manual). Para cambiar el nmero de entradas
de logs por pgina, seleccione el nmero de filas en la lista desplegable Filas.
Las entradas de logs se recuperan en bloques de 10 pginas. Utilice los controles de pgina
en la parte inferior de la pgina para navegar por la lista de logs. Seleccione la casilla de
verificacin Resolver nombre de host para iniciar la resolucin de direcciones IP externas
en nombres de dominio.
Seleccione el icono Exportar a CSV

326 Informes y logs

para exportar un log a formato CSV.

Palo Alto Networks

Visualizacin de logs

Para mostrar detalles adicionales, haga clic en el icono de catalejo

de una entrada.

Si el origen o el destino cuentan con una direccin IP para la asignacin de nombres definida
en la pgina Direcciones, se presentar el nombre en lugar de la direccin IP. Para ver la
direccin IP asociada, mueva su cursor sobre el nombre.

Palo Alto Networks

Informes y logs 327

Visualizacin de logs

Revise la siguiente informacin en cada log.

Tabla 179. Descripciones del log


Grfico

Descripcin

Trfico

Muestra una entrada para el inicio y el final de cada sesin. Todas las entradas
incluyen la fecha y la hora, las zonas de origen y destino, las direcciones y
puertos, el nombre de la aplicacin, el nombre de la regla de seguridad aplicada
al flujo, la accin de la regla (permitir, denegar o borrar), la interfaz de entrada y
salida, el nmero de bytes y la razn para finalizar la sesin.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
sesin, como si una entrada ICMP agrega varias sesiones entre el mismo origen y
destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin
de la sesin o si se ha denegado o asignado la sesin. Una asignacin indica
que la regla de seguridad que ha bloqueado el trfico ha especificado una
aplicacin cualquiera, mientras que denegacin indica que la regla ha
identificado una aplicacin especfica.
Si se asigna el trfico antes de identificar la aplicacin, como cuando una regla
asigna todo el trfico a un servicio especfico, la aplicacin aparece como no
aplicable.

Amenaza

Muestra una entrada para cada alarma de seguridad generada por el


cortafuegos. Cada entrada incluye la fecha y hora, un nombre de amenaza o
URL, las zonas de origen y destino, direcciones, puertos, el nombre de aplicacin
y la accin de alarma (permitir o bloquear) y la gravedad.
Haga clic en
junto a una entrada para ver detalles adicionales acerca de la
amenaza, como si la entrada agrega varias amenazas del mismo tipo entre el
mismo origen y destino (el valor Recuento ser superior a uno).
Tenga en cuenta que la columna Tipo indica el tipo de amenaza, como virus
o spyware. La columna Nombre es la descripcin de la amenaza o URL y
la columna Categora es la categora de la amenaza (como Registrador de
pulsaciones de teclas) o la categora de la URL.
Si las capturas de paquetes locales estn activadas, haga clic en
junto a
una entrada para acceder a los paquetes capturados, como se indica en la
siguiente ilustracin. Para activar las capturas de paquetes locales, consulte
las subdivisiones en Perfiles de seguridad.

Filtrado de URL

Muestra logs de filtros de URL que bloquean el acceso a sitios web y categoras
de sitio web especficos o generan una alerta cuando se accede a un sitio web.
Puede activar la creacin de logs de las opciones de encabezados HTTP para la
URL. Consulte Perfiles de filtrado de URL para obtener ms informacin sobre
cmo definir perfiles de filtrado de URL.

Envos a WildFire

Muestra logs de archivos que se han cargado y actualizado por el servidor


WildFire, los datos de logs se reenvan al dispositivo despus del anlisis junto
con los resultados del anlisis.

328 Informes y logs

Palo Alto Networks

Trabajo con informes de Botnet

Tabla 179. Descripciones del log (Continuacin)


Grfico

Descripcin

Filtrado de datos

Muestra logs para las polticas de seguridad que ayudan a evitar que
informaciones confidenciales como nmeros de tarjetas de crdito o de la
seguridad social abandonen el rea protegida por el cortafuegos. Consulte
Perfiles de filtrado de datos para obtener ms informacin sobre cmo definir
perfiles de filtrado de datos.
Para configurar la proteccin de contrasea para el acceso a detalles de una
entrada de log, haga clic en el icono . Introduzca la contrasea y haga clic
en ACEPTAR. Consulte Definicin de pginas de respuesta personalizadas
para obtener instrucciones acerca de cmo cambiar o eliminar la contrasea de
proteccin de datos.
Nota: El sistema le solicitar introducir la contrasea solo una vez por sesin.
Este log tambin muestra informacin de perfiles de bloqueo de archivos.
Por ejemplo, si est bloqueando archivos .exe, el log le mostrar los archivos que
estaban bloqueados. Si reenva archivos a WildFire, podr ver los resultados de
dicha accin. En este caso, si reenva archivos PE a WildFire, por ejemplo, el log
mostrar que el archivo fue reenviado y tambin el estado para saber si se carg
correctamente en WildFire.

Configuracin

Muestra una entrada para cada cambio de configuracin. Cada entrada incluye
la fecha y hora, el nombre de usuario del administrador, la direccin IP desde la
cual se ha realizado el cambio, el tipo de cliente (Web o CLI), el tipo de comando
ejecutado, si el comando se ha ejecutado correctamente o ha fallado, la ruta de
configuracin y los valores anteriores y posteriores al cambio.

Sistema

Muestra una entrada para cada evento del sistema. Cada entrada incluye la fecha
y hora, la gravedad del evento y una descripcin del evento.

Coincidencias
HIP

Muestra informacin acerca de las polticas de seguridad aplicadas a clientes de


GlobalProtect. Para obtener ms informacin, consulte Configuracin del portal
de GlobalProtect.

Alarmas

El log Alarmas registra informacin detallada sobre las alarmas que genera el
sistema. La informacin de este log tambin se indica en la ventana Alarmas.
Consulte Definicin de la configuracin del log Alarma.

Visualizacin de la informacin del sistema


Supervisar > Explorador de sesin
Abra la pgina Explorador de sesin para explorar y filtrar sesiones actualmente en ejecucin
en el cortafuegos. Para obtener informacin acerca de las opciones de filtrado en esta pgina,
consulte Visualizacin de logs.

Trabajo con informes de Botnet


La funcin informes de botnet le permite utilizar mecanismos basados en el comportamiento
para identificar potenciales hosts infectados por botnet en la red. Mediante el uso de logs de
filtrado de datos, URL, amenazas y red, el cortafuegos evala las amenazas segn criterios
que incluyen visitas a sitios de malware y sitios de DNS dinmicos, visitas a dominios
registrados recientemente (en los 30 ltimos das), uso de aplicaciones desconocidas y la
existencia de trfico de Internet Relay Chat (IRC).

Palo Alto Networks

Informes y logs 329

Trabajo con informes de Botnet

Despus de establecer una correlacin e identificacin de los hosts que coinciden con un
comportamiento de botnet infectado, el cortafuegos asigna a cada posible host infectado un
margen de confianza del 1 al 5 para indicar la probabilidad de infeccin del botnet (1 indica la
probabilidad de infeccin ms baja y 5 la probabilidad ms alta). Como los mecanismos de
deteccin basados en el comportamiento requieren realizar una correlacin de trfico entre
varios logs durante un perodo de 24 horas, el cortafuegos genera un informe cada 24 horas
con una lista de hosts ordenada basndose en un nivel de confianza.

Configuracin del informe de Botnet


Supervisar > Botnet
Utilice estos ajustes para especificar tipos de trfico sospechoso (trfico que puede indicar
actividad de botnet). Para configurar los ajustes, haga clic en el botn Configuracin en el
lado derecho de la pgina Botnet.

Tabla 180. Ajustes de configuracin de Botnet


Campo

Descripcin

Trfico HTTP

Seleccione la casilla de verificacin Habilitar para los eventos que desea


incluir en los informes:
Visita a URL de software malintencionado: Identifica a los usuarios
que se estn comunicando con URL con software malintencionado
conocidas basndose en las categoras de filtrado de URL de software
malintencionado y Botnet.
Uso de DNS dinmica: Busca trfico de consultas DNS dinmicas que
pueden indicar una comunicacin de botnet.
Navegacin por dominios IP: Identifica a los usuarios que examinan
dominios IP en lugar de URL.
Navegacin en dominios registrados recientemente: Busca trfico en
dominios que se han registrado en los ltimos 30 das.
Archivos ejecutables desde sitios desconocidos: Identifica los archivos
ejecutables descargados desde URL desconocidas.

Aplicaciones
desconocidas

Seleccione las casillas de verificacin para marcar TCP desconocidos o


aplicaciones de UDP desconocidas como sospechosas y especifique las
siguiente informacin:
Sesiones por hora: Nmero de sesiones de aplicacin por hora asociadas
a la aplicacin desconocida.
Destinos por hora: Nmero de destinos por hora asociados a la aplicacin desconocida.
Bytes mnimos: Tamao mnimo de carga
Bytes mximos: Tamao mximo de carga.

IRC

330 Informes y logs

Seleccione la casilla de verificacin para incluir servidores IRC como


sospechosos.

Palo Alto Networks

Trabajo con informes de Botnet

Gestin de informes de Botnet


Supervisar > Botnet > Configuracin de informes
Puede especificar consultas de informes y luego generar y ver informes de anlisis de botnet.
Los informes estn basados en los ajustes de configuracin de botnet (consulteConfiguracin
del informe de Botnet). Puede incluir o excluir direcciones IP de origen o destino, usuarios,
zonas, interfaces, regiones o pases.
Los informes programadas solo se ejecutan una vez al da. Tambin puede generar y mostrar
informes a peticin haciendo clic en Ejecutar ahora en la ventana donde define las consultas
de informe. El informe generado aparece en la pgina Botnet.
Para gestionar informes de botnet, haga clic en el botn Ajuste de informe en el lado derecho
de la pgina Botnet.
Para exportar un informe, seleccione el informe y haga clic en Exportar a PDF o Exportar a CSV.

Tabla 181. Configuracin de informe de Botnet


Campo

Descripcin

Perodo de ejecucin
del informe

Seleccione el intervalo de tiempo para el informe (ltimas 24 horas o


ltimo da del calendario).

# Filas

Especifique el nmero de filas en el informe.

Programado

Seleccione la casilla de verificacin para ejecutar el informe diariamente.


Si no se selecciona la casilla de verificacin, puede ejecutar el informe
manualmente haciendo clic en Ejecutar ahora en la parte superior de la
ventana Informe de Botnet.

Generador de consultas

Cree la consulta de informe especificando lo siguiente y luego haga clic en


Aadir para agregar la expresin configurada a la consulta. Repita las
veces que sean necesarias para crear la consulta completa:
Conector: Especifique un conector lgico (Y/O).
Atributo: Especifique la zona, la direccin o el usuario de origen o
destino.
Operador: Especifique el operador para relacionar el atributo con
un valor.
Valor: Especifique el valor para coincidir.

Negar

Palo Alto Networks

Seleccione la casilla de verificacin para aplicar la negacin a la consulta


especificada, lo que significa que el informe contendr toda la informacin
que no sea resultado de la consulta definida.

Informes y logs 331

Gestin de informes de resumen en PDF

Gestin de informes de resumen en PDF


Supervisar > Informes en PDF > Gestionar resumen de PDF
Los informes de resumen en PDF contienen informacin recopilada de informes existentes,
basndose en los 5 principales de cada categora (en vez de los 50 principales). Tambin
pueden contener grficos de tendencias que no estn disponibles en otros informes.

Ilustracin 15. Informe de resumen en PDF

332 Informes y logs

Palo Alto Networks

Gestin de informes de resumen en PDF

Para crear informes de resumen en PDF, haga clic en Aadir. La pgina Gestionar informes
de resumen en PDF se abre para mostrar todos los elementos de informe disponibles.

Ilustracin 16. Gestin de informes en PDF


Utilice una o ms de estas opciones para disear el informe:

Para eliminar un elemento del informe, haga clic en el icono


en la esquina superior
derecha del cuadro de icono del elemento o elimine la casilla de verificacin del elemento
en el cuadro de lista desplegable correcto junto a la parte superior de la pgina.

Seleccione elementos adicionales seleccionndolos de los cuadros de la lista desplegable


junto a la parte superior de la pgina.

Arrastre y suelte el cuadro de icono de un elemento para desplazarlo a otra rea del
informe.
Se permite un mximo de 18 elementos de informe. Es posible que necesite
elementos existentes para agregar otros adicionales.

Haga clic en Guardar, introduzca un nombre para el informe, como se indica, y haga clic en
ACEPTAR.
Para mostrar informes en PDF, seleccioneInforme de resumen en PDF y seleccione un tipo
de informe de la lista desplegable en la parte inferior de la pgina para mostrar los informes
creados de ese tipo. Haga clic en el enlace de informe subrayado para abrir o guardar el
informe.

Palo Alto Networks

Informes y logs 333

Gestin de informes de actividad del usuario/grupo

Gestin de informes de actividad del usuario/grupo


Supervisar > Informes en PDF > Informe de actividad del usuario
Utilice esta pgina para crear informes que resumen la actividad de usuarios individuales o
grupos de usuarios. Haga clic en Nuevo y especifique la siguiente informacin.

Tabla 182. Configuracin del informe de actividad del usuario/grupo


Campo

Descripcin

Nombre

Introduzca un nombre para identificar el informe (de hasta 31 caracteres).


El nombre hace distincin entre maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y guiones bajos.

Tipo

Para informe de actividad de usuario: Seleccione Usuario e introduzca el


nombre de usuarioo direccin IP (IPv4 o IPv6) del usuario que ser el
asunto del informe.
En Panorama, debe haber configurado un dispositivo principal para cada
grupo de dispositivo para recuperar la informacin del grupo de usuarios
y generar el informe.
Para informe de actividad de grupo: Seleccione grupo e introduzca el
nombre del grupo.
En Panorama no puede crear informes de actividad del grupo porque
Panorama no tiene la informacin para asignar usuarios a los grupos.

Perodo de tiempo

Seleccione el perodo de tiempo para el informe en la lista desplegable.

Incluir navegacin
detallada

Seleccione esta opcin si quiere incluir logs de URL detallados en el


informe.

La informacin de navegacin detallada puede incluir un gran volumen de


logs (miles de logs) para el usuario o grupo de usuarios seleccionado y
puede hacer que el informe sea muy extenso.
El informe de actividad de grupo no incluye Resumen de navegacin por categora de URL;
el resto de informacin es comn para el informe de actividad de usuarios y el informe de
actividad de grupo.
Para ejecutar el informe a peticin, haga clic en Ejecutar ahora; para cambiar el nmero
mximo de filas que mostrar el informe, consulte Configuracin de log e informes.
Para guardar el informe, haga clic en Aceptar. Puede programar el entrega del informe por
correo electrnico; consulte Programacin de informes para entrega de correos electrnicos.

334 Informes y logs

Palo Alto Networks

Gestin de grupos de informes

Gestin de grupos de informes


Supervisar > Informes en PDF > Grupos de informes
Los grupos de informes le permiten crear conjuntos de informes que un sistema puede
recopilar y enviar como un informe agregado en PDF nico con una pgina de ttulo
opcional y todos los informes constituyentes incluidos.

Tabla 183.

Configuracin de grupo de informes

Campo

Descripcin

Nombre

Introduzca un nombre para identificar el grupo de informe (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Pgina de ttulo

Seleccione la casilla de verificacin para incluir una pgina de ttulo en


el informe.

Ttulo

Introduzca el nombre que aparecer como el ttulo del informe.

Seleccin del informe

Seleccione informes de la columna izquierda y haga clic en Aadir para


mover cada informe al grupo de informes en la derecha. Puede seleccionar
tipos de informe Predefinidos, Personalizados, De resumen en PDF y Vista
de log.
El informe Vista de log es un tipo de informe que se crea automticamente
cada vez que crea un informe personalizado y utiliza el mismo nombre
que el informe personalizado. Este informe mostrar los logs que se han
utilizado para crear el contenido del informe personalizado.
Para incluir los datos de vista de log, al crear un grupo de informes,
agregue su informe personalizado a la lista Informes personalizados y
luego agregue el informe de vista de log seleccionando el nombre del
informe coincidente de la lista Vista de log. Cuando reciba el informe, ver
sus datos del informe personalizado seguidos por los datos de log que se
han utilizado para crear el informe personalizado.

Para utilizar el grupo de informes, consulte Programacin de informes para entrega de


correos electrnicos.

Palo Alto Networks

Informes y logs 335

Programacin de informes para entrega de correos electrnicos

Programacin de informes para entrega de correos


electrnicos
Supervisar > Informes en PDF > Programador de correo electrnico
Utilice el programador de correo electrnico para programar informes para la entrega de
correo electrnico. Antes de agregar un programa, debe definir grupos de informe y un perfil
de correo electrnico. Consulte Gestin de grupos de informes y Configuracin de ajustes
de notificaciones por correo electrnico.
Los informes programados comienzan a ejecutarse a las 2:00 AM y el reenvo de correo
electrnico se produce despus de que finalice la ejecucin de todos los informes programados.

Tabla 184. Configuracin del programador de correo electrnico


Campo

Descripcin

Nombre

Permite introducir un nombre para identificar el programa (de hasta 31


caracteres). El nombre hace distincin entre maysculas y minsculas y
debe ser exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Grupo de informes

Seleccione el grupo de informes (consulte Gestin de grupos de informes).

Periodicidad

Seleccione la frecuencia con la que generar y enviar el informe.

Perfil de correo
electrnico

Seleccione el perfil que define los ajustes de correo electrnico. Consulte


Configuracin de ajustes de notificaciones por correo electrnico para
obtener ms informacin sobre cmo definir perfiles de correo electrnico.

Cancelar correos
electrnicos del
destinatario

Introduzca una direccin de correo electrnico opcional para utilizar en


lugar del destinatario especificado en el perfil de correo electrnico.

Visualizacin de informes
Supervisar > Informes
El cortafuegos proporciona varios informes 50 principal de las estadsticas de trfico del da
anterior o un da seleccionado de la semana anterior.
Para ver los informes, haga clic en los nombres de informes en la parte derecha de la pgina
(Informes personalizados, Informes de aplicacin, Informes de trfico, Informes de amenazas,
Informes de filtrado de URL e Informes de resumen en PDF).
De forma predeterminada, aparecen todos los informes del da de calendario anterior.
Para ver informes de cualquiera de los das anteriores, seleccione una fecha de creacin de
informe en la lista desplegable Seleccionar en la parte inferior de la pgina.
Los informes aparecen en secciones. Puede visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el log en formato CSV, haga clic en Exportar
a CSV. Para abrir la informacin de log en formato PDF, haga clic en Exportar a PDF.
Los archivos en PDF se abren en una nueva ventana. Haga clic en los iconos en la parte
superior de la ventana para imprimir o guardar el archivo.

336 Informes y logs

Palo Alto Networks

Generacin de informes personalizados

Generacin de informes personalizados


Supervisar > Gestionar informes personalizados
Puede crear informes personalizados basados opcionalmente en plantillas de informe
existentes. Los informes se pueden ejecutar a peticin o programar para su ejecucin cada
noche. Para ver informes definidos previamente, seleccione Informes en el men lateral.
Haga clic en Aadir para crear un nuevo informe personalizado. Para basar un informe en
una plantilla existente, haga clic en Cargar plantilla y seleccione la plantilla.
Especifique los siguientes ajustes para definir el informe.

Tabla 185. Configuracin de informes personalizados


Campo
Nombre

Descripcin
Introduzca un nombre para identificar el informe (de hasta 31 caracteres).
El nombre hace distincin entre maysculas y minsculas y debe ser
exclusivo. Utilice nicamente letras, nmeros, espacios, guiones y
guiones bajos.

Base de datos

Seleccione la base de datos para utilizar como el origen de datos para


el informe.

Perodo de tiempo

Seleccione un perodo de tiempo fijo o seleccione Personalizado y


especifique un intervalo de fecha y hora.

Ordenar por

cantidad de informacin para incluir en el informe. Las opciones

Seleccione opciones de orden para organizar el informe, incluyendo la


disponibles dependen de la eleccin de la base de datos.
Seleccione opciones de orden para organizar el informe, incluyendo la
Agrupar por

cantidad de informacin para incluir en el informe. Las opciones


disponibles dependen de la eleccin de la base de datos.

Programado

Seleccione la casilla de verificacin para ejecutar el informe cada noche.


Los informes luego estarn disponibles seleccionando Informes en el
men lateral.

Columnas

Seleccione columnas para incluir en el informe desde la lista Disponible


Columna y utilice las el icono para moverlas a la lista Seleccionadas
Columnas. Utilice las flechas hacia arriba y hacia abajo para volver a
ordenar las columnas seleccionadas y utilice el icono menos para
eliminar las columnas seleccionadas anteriormente.

Palo Alto Networks

Informes y logs 337

Realizacin de capturas de paquetes

Tabla 185. Configuracin de informes personalizados (Continuacin)


Campo

Descripcin
Para crear una consulta de informe, especifique lo siguiente y haga clic
en Aadir. Repita las veces que sean necesarias para crear la consulta
completa.

Generador de consultas

Conector: Seleccione el conector (y/o) para preceder la expresin que


est agregando.
Negar: Seleccione la casilla de verificacin para interpretar la consulta
como una negativa. En el ejemplo anterior, la opcin negar causa una
coincidencia en entradas que no se han producido en las ltimas 24
horas ni de la zona no fiable.
Atributo: Seleccione un elemento de datos. Las opciones disponibles
dependen de la eleccin de la base de datos.
Operador: Seleccione el criterio para determinar si se aplica el atributo
(como =). Las opciones disponibles dependen de la eleccin de la base
de datos.
Valor: Especifique el valor del atributo para coincidir.
Por ejemplo, la siguiente ilustracin (basada en la base de datos Log de
trfico) muestra una consulta que coincide si se ha recibido la entrada de
log de trfico en las ltimas 24 horas de la zona no fiable.

Realizacin de capturas de paquetes


Supervisar > Captura de paquetes
PAN-OS admite capturas de paquetes para la resolucin de problemas o la deteccin de
aplicaciones desconocidas. Puede definir filtros de modo que solo se capturen los paquetes
que coinciden con los filtros. Las capturas de paquetes se almacenan de forma local en el
dispositivo y estn disponibles para su descarga en su equipo local.
Captura de paquetes est destinado exclusivamente a la resolucin de problemas.
Esta funcin puede hacer que el rendimiento del sistema disminuya y solo debe
usarse en caso necesario. Cuando la captura se haya completado, recuerde
deshabilitar la caracterstica.
Para especificar opciones de captura y filtrado, especifique la informacin en la siguiente tabla.

338 Informes y logs

Palo Alto Networks

Realizacin de capturas de paquetes

Para borrar todos los ajustes de captura y filtrado, haga clic en Borrar toda la configuracin.
Para seleccionar archivos de captura para descargar, haga clic en el nombre del archivo en la
lista de archivos de captura en el lado derecho de la pgina.

Tabla 186. Configuracin de captura de paquetes


Campo

Descripcin

Configurar filtrado
Gestionar filtros

Haga clic en Gestionar filtros, haga clic en Aadir para agregar un nuevo
filtro y especifique la siguiente informacin:
Id: Introduzca o seleccione un identificador para el filtro.
Interfaz de entrada: Seleccione la interfaz del cortafuegos.
Origen: Especifique la direccin IP de origen.
Destino: Especifique la direccin IP de destino.
Puerto de origen: Especifique el puerto de origen.
Puerto de destino: Especifique el puerto de destino.
Proto: Especifique el protocolo para filtrar.
Sin Ip: Seleccione cmo tratar el trfico sin IP (excluir todo el trfico IP,
incluir todo el trfico IP, incluir solo trfico IP o no incluir un filtro de IP).
IPv6: Seleccione la casilla de verificacin para incluir paquetes de IPv6
en el filtro.

Filtrado

Haga clic para alternar las selecciones de activar o desactivar filtrado.

Anterior a la
coincidencia

Haga clic para alternar la opcin activar o desactivar anterior a la


coincidencia.
La opcin anterior a la coincidencia se agrega para fines de resolucin de
problemas avanzada. Cuando un paquete introduce el puerto de entrada
(ingress), avanza a travs de varios pasos de procesamiento antes de
analizar coincidencias en contra de filtros preconfigurados.
Es posible que un paquete, debido a un fallo, no alcance la etapa de
filtrado. Eso puede ocurrir, por ejemplo, si falla una bsqueda de ruta.
Establezca la configuracin anterior a la coincidencia como Activada para
emular una coincidencia positiva de cada paquete entrando en el sistema.
Eso permite al cortafuegos capturar incluso los paquetes que no alcanzan
el proceso de filtrado. Si un paquete puede alcanzar la etapa de filtrado,
se procesar de acuerdo con la configuracin del filtro y se descartar si
no consigue cumplir los criterios de filtrado.

Palo Alto Networks

Informes y logs 339

Realizacin de capturas de paquetes

Tabla 186. Configuracin de captura de paquetes (Continuacin)


Campo

Descripcin

Configuracin de captura
Captura de paquetes

Haga clic para alternar activar o desactivar capturas de paquetes.

Fase de captura de
paquetes

Etapa: Indique el punto en el que capturar el paquete:

Haga clic en Aadir y especifique la siguiente informacin:


Desplegar: Cuando el procesamiento de paquetes encuentra un error
y el paquete no se puede desplegar.
Cortafuegos: Cuando el paquete tiene una coincidencia de sesin o
se crea un primer paquete con una sesin correctamente
Recibir: Cuando se recibe el paquete en el procesador de plano de
datos.
Transmitir: Cuando se transmite el paquete en el procesador de
plano de datos.
Archivo: Especifica el nombre del archivo de captura. El nombre del
archivo debe comenzar por una letra y puede incluir letras, dgitos,
puntos, guiones bajos o guiones.
Recuento de paquetes: Especifica el nmero de paquetes despus del
que se detiene la captura.
Recuento de bytes: Especifica el nmero de bytes despus del que se
detiene la captura.

Archivos capturados
Archivos capturados

Haga clic en Eliminar para quitar un archivo de captura de paquetes


desde la lista donde se muestran los archivos capturados.

Configuracin
Borrar toda la
configuracin

340 Informes y logs

Haga clic en Borrar toda la configuracin para borrar completamente la


configuracin de captura de paquetes.

Palo Alto Networks

Captulo 7

Configuracin del cortafuegos para la


identificacin de usuarios

Configuracin del cortafuegos para la identificacin de usuarios

Pestaa Asignacin de usuario

Pestaa Agentes de ID de usuarios

Pestaa Agentes de servicios de terminal

Pestaa Asignacin de grupos

Pestaa Configuracin de portal cautivo

Configuracin del cortafuegos para la identificacin de usuarios


Dispositivo > Identificacin de usuarios
La identificacin de usuarios (User-ID) es una funcin de cortafuegos de prxima generacin
de Palo Alto Networks que le permite crear polticas y realizar informes basndose en usuarios
y grupos en lugar de direcciones IP individuales. Si est configurando un cortafuegos con
varios sistemas virtuales, debe crear una configuracin de identificacin de usuarios distinta
para cada sistema virtual; la informacin de asignacin de usuarios no se comparte entre los
distintos sistemas virtuales. Seleccione el sistema virtual que quiere configurar para identificacin de usuarios en el men desplegable Ubicacin de la parte superior de la pgina Identificacin de usuarios.
Despus de seleccionar un sistema virtual (si corresponde), utilice los ajustes de esta pgina
para establecer la configuracin de la identificacin de usuario.

Pestaa Asignacin de usuario

Pestaa Agentes de ID de usuarios

Pestaa Agentes de servicios de terminal

Pestaa Asignacin de grupos

Pestaa Configuracin de portal cautivo

Palo Alto Networks

Configuracin del cortafuegos para la identificacin de usuarios 341

Pestaa Asignacin de usuario


Utilice la pestaa Asignacin de usuario para configurar un cortafuegos que recupere los
datos de asignacin de direccin IP a nombre de usuario directamente de los servidores de
dominio. Esta funcin no requiere la instalacin de un agente de ID de usuarios en los
servidores de dominio. El cortafuegos tambin puede configurarse para redistribuir la
informacin de asignacin del usuario a otros cortafuegos.

Tabla 187. Configuracin de asignacin de usuarios


Campo

Descripcin

Configuracin de agente de ID de usuario de Palo Alto Networks


Esta seccin de la pantalla muestra los ajustes que utilizar el cortafuegos
para realizar la asignacin de direccin IP a usuario. Para configurar o
editar los ajustes, haga clic en el icono Editar , que abre el cuadro de
dilogo de configuracin, el cual contiene las siguientes pestaas
secundarias:
Autenticacin WMI
Supervisin de servidor
Sondeo de cliente
Cach
NTLM
Redistribucin
Filtrados de Syslog
Pestaa secundaria
Autenticacin WMI

Utilice esta pestaa secundaria para establecer las credenciales de


dominio de la cuenta que utilizar el cortafuegos para acceder a recursos
de Windows. Esto es necesario para supervisar servidores Exchange y
controladores de dominio, as como para el sondeo de WMI.
Nombre de usuario: Especifique la cuenta con permisos para realizar
consultas de WMI en equipos cliente y supervisin de servidor.
Introduzca el nombre de usuario mediante la sintaxis de dominio/
nombre de usuario.
Contrasea/Confirmar contrasea: Especifique la contrasea de la cuenta.

342 Configuracin del cortafuegos para la identificacin de usuarios

Palo Alto Networks

Tabla 187. Configuracin de asignacin de usuarios (Continuacin)


Campo

Descripcin

Pestaa secundaria
Supervisin de servidor

Habilitar log de seguridad: Seleccione la casilla de verificacin para


habilitar la supervisin de logs de seguridad en servidores Windows.
Se consultarn los logs de seguridad para ubicar la informacin de
asignacin de direccin IP a nombre de usuario en los servidores
especificados en la lista Supervisin de servidor.
Frecuencia del supervisor de log del servidor (seg.): Especifique con qu
frecuencia consultar el cortafuegos los servidores de Windows para
obtener informacin de asignacin de direccin IP a nombre de usuario
(valor predeterminado: 1 segundo, intervalo: 1-3600 segundos).
Habilitar sesin: Seleccione la casilla de verificacin para habilitar la
supervisin de sesiones del usuario en los servidores especificados en la
lista Supervisin de servidor. Cada vez que un usuario se conecta a un
servidor, se crea una sesin y esta informacin se puede utilizar tambin
para identificar la direccin IP del usuario.
Frecuencia de lectura de sesin o del servidor (seg.): Especifique con qu
frecuencia consultar el cortafuegos las sesiones del usuario del servidor
de Windows para obtener informacin de asignacin de direccin IP a
nombre de usuario (valor predeterminado: 10 segundos, intervalo: 1-3600
segundos).
Intervalo de consulta de eDirectory Novell (seg.): Especifique con qu
frecuencia consultar el cortafuegos los servidores de eDirectory Novell
para obtener informacin de asignacin de direccin IP a nombre de
usuario (valor predeterminado: 30 segundos, intervalo: 1-3600 segundos).

Pestaa Prueba
de cliente

Habilitar pruebas: Seleccione esta casilla de verificacin para habilitar el


sondeo WMI/NetBIOS para cada PC cliente identificado por el proceso
de asignacin del usuario. El sondeo ayudar a garantizar que el mismo
usuario est an registrado en el PC cliente con el fin de proporcionar
informacin precisa de usuario a IP.
Intervalo de sondeo (min.): Especifique el intervalo de sondeo del PC
cliente (valor predeterminado 20 minutos, intervalo 1-1440 minutos).
En implementaciones de gran tamao, es importante establecer el
intervalo de sondeo correctamente para proporcionar tiempo para
sondear cada cliente identificado. Por ejemplo, si dispone de 6.000
usuarios y un intervalo de 10 minutos, puede necesitar 10 consultas
WMI por segundo de cada cliente.

Note: Para que el sondeo de WMI funcione de forma eficaz, se debe


configurar el perfil Asignacin de usuario con una cuenta de
administrador de dominio, y cada PC cliente sondeado debe tener una
excepcin de administracin remota configurada en el cortafuegos de
Windows. Para que el sondeo de NetBIOS funcione de forma efectiva,
cada PC cliente sondeado debe proporcionar un puerto 139 en el
cortafuegos de Windows y debe tener los servicios de uso compartido
de archivos e impresoras activados.

Palo Alto Networks

Configuracin del cortafuegos para la identificacin de usuarios 343

Tabla 187. Configuracin de asignacin de usuarios (Continuacin)


Campo

Descripcin

Pestaa secundaria
Cach

Habilitar identificacin de usuario: Seleccione esta casilla de verificacin


para activar un valor de tiempo de espera para entradas de asignacin de
direccin IP a nombre de usuario. Cuando se alcanza el valor de tiempo
de espera, se borrar la asignacin de direccin IP a usuario y se recopilar una nueva asignacin. Eso garantizar que el cortafuegos tiene la
informacin ms actual sobre los desplazamientos de los usuarios y
permitir obtener nuevas direcciones IP.
Tiempo de espera de identificacin de usuario (min.): Establezca el
valor del tiempo de espera para las entradas de asignacin de direccin
IP a nombre de usuario (valor predeterminado: 45 minutos, intervalo:
1-1440).

Pestaa secundaria
NTLM

Habilitar procesamiento de autenticacin de NTLMSeleccione esta


casilla de verificacin para habilitar el proceso de autenticacin de NT
LAN Manager (NTLM). Cuando se configura el Portal cautivo con un
formulario web para capturar informacin de asignacin de usuario,
se autentica al cliente de forma transparente a travs de un desafo de
NTLM. Con esta opcin habilitada, el cortafuegos recopilar esta
informacin desde el dominio NTLM.
Si el recopilador de ID de usuario de PAN-OS y el agente de ID de
usuarios estn instalados en controladores de dominio, las respuestas
de NTLM irn directamente al controlador de dominio. Cuando el
cortafuegos est configurado para compartir su informacin de ID de
usuario con otros cortafuegos, puede entregar consultas de NTLM
procedentes de otros cortafuegos de PAN-OS, realizando la funcin del
agente de ID de usuarios.
Dominio de NTLM: Introduzca el nombre de dominio de NTLM.
Nombre de usuario del administrador: Introduzca la cuenta del
administrador que tiene acceso al dominio de NTLM.
Contrasea/Confirmar contrasea: Introduzca la contrasea del
administrador que tiene acceso al dominio de NTLM.
Nota: Solo puede habilitar el proceso de autenticacin de NTLM en un sistema
virtual (seleccione el sistema virtual en el men desplegable Ubicacin en la
parte superior de la pgina).

Pestaa secundaria
Redistribucin

Nombre del recopilador: Especifique el nombre del recopilador si


desea que este cortafuegos acte como punto de redistribucin para la
asignacin de usuarios para cada cortafuegos en su red.
El nombre del recopilador y la clave compartida previamente se utilizan
cuando se configuran los agentes del ID de usuario en los cortafuegos que
arrastrarn la informacin de asignacin del usuario.
Para permitir a un cortafuegos actuar como un punto de redistribucin,
necesita tambin activar
Servidor de ID de usuario en Red > Perfiles de red > Gestin de interfaz.
Clave preconvertida/Confirmar clave precompartida: Introduzca la
clave precompartida utilizada por otros cortafuegos para establecer una
conexin segura para transferencias de asignacin de usuarios.

344 Configuracin del cortafuegos para la identificacin de usuarios

Palo Alto Networks

Tabla 187. Configuracin de asignacin de usuarios (Continuacin)


Campo

Descripcin

Pestaa secundaria
Filtrados de Syslog

Utilice esta pestaa secundaria para especificar cmo debe analizar


el cortafuegos los mensajes de Syslog para extraer informacin de
asignacin (direccin IP y nombre de usuario) a partir de los mensajes
de Syslog que recibe. Para aadir un filtro de Syslog, haga clic en Aadir
y, a continuacin, cumplimente los siguientes campos. Puede crear filtros
distintos de diferentes emisores de Syslogs. Debe especificar qu filtro
se debe utilizar cuando agregue al emisor a la lista de servidores supervisados. Adems, antes de que los mensajes de Syslog sean aceptados en
una interfaz, el servicio de escucha de Syslog debe estar habilitado en el
perfil de gestin asociado con la interfaz.
Perfil de anlisis de Syslog: Introduzca un nombre para el perfil de
anlisis (hasta 63 caracteres alfanumricos). Palo Alto Networks
proporciona varios filtros de Syslog predefinidos, que se distribuyen
como actualizaciones de contenido de aplicacin y, por lo tanto, se
actualizan dinmicamente como filtros nuevos. Los filtros predefinidos
son generales para el cortafuegos, mientras que los filtros manuales solo
se aplican a un sistema virtual.
Descripcin: Introduzca una descripcin para el perfil (hasta 255 caracteres alfanumricos).
Tipo: Especifique el tipo de anlisis que se debe utilizar para filtrar la
informacin de asignacin de usuario. Se admiten dos tipos: Identificador Regex y Identificador de campo. Para crear los filtros, debe
conocer el formato de los mensajes de autenticacin en los Syslogs.
Las siguientes descripciones de campo muestran ejemplos de cmo
crear filtros para mensajes de Syslog que tengan el siguiente formato:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication
success User:domain\johndoe_4 Source:192.168.0.212

Identificador Regex: Con este tipo de anlisis puede especificar expresiones regulares para describir patrones de bsqueda e identificar y
extraer informacin de asignacin de usuario de los mensajes de Syslog.
Si selecciona esta opcin, debe especificar el regex que se debe utilizar
para hacer coincidir los eventos de autenticacin del mensaje de Syslog
y los campos de direccin IP y usuario en los mensajes de coincidencia.
Regex de eventos: Utilice este campo para especificar el regex e identificar los eventos de autenticacin correctos dentro de los mensajes de
Syslog. Por ejemplo, cuando se hacen coincidir con el mensaje de Syslog
de ejemplo anterior, el siguiente regex indica que el cortafuegos debe
coincidir con la primera {1} instancia de la cadena authentication
success. La barra invertida antes del espacio es un carcter regex de
"escape" estndar que indica al motor de regex que no trate el espacio
como carcter especial: (authentication\ success){1}"

Palo Alto Networks

Configuracin del cortafuegos para la identificacin de usuarios 345

Tabla 187. Configuracin de asignacin de usuarios (Continuacin)


Campo
Pestaa secundaria
Filtrados de Syslog
(Continuacin)

Descripcin
Regex de nombre de usuario: Introduzca el regex para identificar el
principio del nombre de usuario en los mensajes de autenticaciones
realizadas con xito. Por ejemplo, el regex User:([a-zA-Z0-9\\\._]+)
coincidira con la cadena User:johndoe_4 en el mensaje de ejemplo y
se extraera acme\johndoe1 como ID de usuario (User-ID). Utilice
este campo para especificar el regex e identificar el campo del nombre
de usuario en los mensajes de autenticaciones realizadas con xito.
Regex de direccin: Utilice este campo para especificar el campo de
direccin IP en los mensajes de autenticaciones realizadas con xito.
Por ejemplo, la siguiente expresin regular Source:([0-9]{1,3}\.
[0-9]){1,3}\.[0-9]{1,3}\.0-9]{1,3}) coincidira con la cadena
Source:192.168.0.212 en el mensaje de ejemplo y se extraera y
aadira 192.168.0.212 como la direccin IP en la asignacin de
direccin IP a nombre de usuario de identificacin de usuario
(User-ID) que se crea.
Identificador de campo: Con este tipo de anlisis se especifica una
cadena para que coincida con el evento de autenticacin y cadenas de
prefijo y sufijo para identificar la informacin de asignacin de usuario
en los Syslogs de la siguiente forma:
Cadena de eventos: Especifique la cadena que debe identificar el tipo
de log de evento desde el que extraer la informacin de asignacin de
usuario. Por ejemplo, usando el formato de syslog de ejemplo que
aparece anteriormente, debe introducir la cadena authentication
success para la coincidencia en los eventos de autenticacin
correctos del log.
Prefijo de nombre de usuario: Introduzca la cadena de coincidencia
para identificar el principio del campo del nombre de usuario en el
mensaje de Syslog de autenticacin. Por ejemplo, usando el formato
de Syslog del ejemplo anterior, debe introducir la cadena User: para
identificar el principio del nombre de usuario.
Delimitador de nombre de usuario: Introduzca el delimitador
utilizado para marcar el final del campo de nombre de usuario en
un mensaje de log de autenticacin. Por ejemplo, en el formato del
mensaje de log de ejemplo, al nombre de usuario le sigue un espacio,
por lo que debe introducir \s para indicar que el campo de nombre
de usuario est delimitado por un espacio.
Prefijo de direccin: Especifique una cadena para que coincida
Especifique la cadena que debe extraerse de la direccin IP del
mensaje de log. Por ejemplo, usando el formato de Syslog de ejemplo
que aparece anteriormente, debe introducir la cadena Source: para
identificar el campo de log del que extraer la direccin.
Delimitador de direccin: Introduzca la cadena coincidente utilizada
para marcar el final del campo de direccin IP en el mensaje de
autenticacin realizada con xito. Por ejemplo, en el formato del
mensaje de log de ejemplo, a la direccin le sigue un salto de lnea,
por lo que debe introducir \n para indicar que el campo de direccin
est delimitado por una nueva lnea.

346 Configuracin del cortafuegos para la identificacin de usuarios

Palo Alto Networks

Tabla 187. Configuracin de asignacin de usuarios (Continuacin)


Campo

Descripcin

Supervisin de
servidor

Utilice esta seccin de la pantalla para definir los servidores de Microsoft


Exchange, controladores de dominio, servidores Novell eDirectory o
emisores de Syslog con el fin de supervisar eventos de inicio de sesin.
Por ejemplo, en un entorno AD, el agente supervisar los logs de seguridad
en busca de renovaciones o concesiones de tickets de Kerberos, acceso
al servidor Exchange (si est configurado) y conexiones de servicio de
impresin y archivo (en el caso de servidores supervisados). Puede
definir entradas para hasta 50 emisores de Syslog por sistema virtual y
hasta un total de 100 servidores supervisados, incluidos emisores de
Syslog, Microsoft Active Directory, Microsoft Exchange o Novell
eDirectory.

Nota: Recuerde que para


que los eventos AD se
registren en el log de
seguridad, el dominio AD
debe configurarse para
registrar eventos de inicio
de sesin de cuenta
correctos.

Puede aadir otros tipos de dispositivos para el descubrimiento de


informacin de asignacin de usuario (como controladores inalmbricos,
dispositivos 802.1 o servicios Network Access Control, NAC) que el
cortafuegos no puede supervisar directamente configurndolos como
emisores de Syslog. Esto es til en entornos donde ya hay configurado
otro dispositivos para autenticar usuarios finales. Para que esto funcione,
tambin debe configurar el cortafuegos para escuchar Syslog y definir
cmo filtrar los mensajes de Syslog entrantes para extraer la informacin
de asignacin de usuario. Consulte Definicin de perfiles de gestin de
interfaz para obtener ms informacin sobre cmo habilitar el servicio
de Syslog en la interfaz.
Para descubrir automticamente los controladores de dominio de
Microsoft Active Directory mediante DNS, haga clic en Descubrir.
El cortafuegos descubrir controladores de dominio basados en el nombre
de dominio introducido en el campo Dispositivo > Configuracin >
Gestin > Configuracin general Dominio. A continuacin, puede
habilitar los servidores que desea utilizar para obtener informacin de
asignacin de usuarios.
Nota: La funcin Descubrir funciona solo para controladores de dominio;
no puede utilizarla para descubrir automticamente servidores de Exchange o
eDirectory.
Para definir nuevos servidores de supervisin manualmente o emisores
de Syslog a los que escuchar, haga clic en Aadir y, a continuacin,
cumplimente los siguientes campos:
Nombre: Introduzca un nombre para el servidor.
Descripcin: Introduzca una descripcin del servidor que se debe
supervisar.
Habilitado: Seleccione la casilla de verificacin para habilitar la supervisin de log de este servidor.
Tipo: Seleccione el tipo de servidor que se debe supervisar (Microsoft
Active Directory, Microsoft Exchange, Novell eDirectory o emisor de
Syslog). Segn el tipo de servidor seleccionado, aparece uno o varios de
los siguientes campos:
Direccin de red: Introduzca la direccin IP o el nombre de dominio
completo (FQDN) del servidor de Exchange o Active Directory que
se debe supervisar.
Perfil de servidor: Seleccione el perfil de servidor LDAP que se debe
usar para conectar al servidor Novell eDirectory.
Tipo de conexin: Especifica si el agente del cortafuegos escuchar
los mensajes de Syslog en UDP (puerto 514) o SSL (puerto 6514).

Palo Alto Networks

Configuracin del cortafuegos para la identificacin de usuarios 347

Tabla 187. Configuracin de asignacin de usuarios (Continuacin)


Campo
Supervisin
de servidor
(Continuacin)

Descripcin
Filtro: Seleccione el filtro de Syslog que se debe usar para extraer
nombres de usuario y direcciones IP a partir de los mensajes de
Syslog recibidos desde este servidor.
Nombre de dominio predeterminado: (optativo) Especifique un
nombre de dominio que preceda al nombre de usuario si no hay
ningn nombre de dominio presente en la entrada de log.
Para terminar de aadir el servidor, haga clic en ACEPTAR. El cortafuegos tratar de conectar al servidor. Cuando se conecte correctamente,
el estado aparecer como Conectado. Si el cortafuegos no puede conectarse, el estado mostrar un error, como conexin rehusada o la conexin
ha agotado el tiempo de espera.

Incluir/excluir redes
Utilice esta seccin de la pestaa para definir subredes especficas que
deban incluirse o excluirse de la asignacin direccin de IP a nombre de
usuario. Por ejemplo, si excluye 10.1.1.0/24, el identificador de usuario
(User-ID) no intentar encontrar nombres de usuarios para direcciones IP
en el intervalo excluido. Esto, a su vez incluir o excluir intervalos para
asignaciones enviadas a otros cortafuegos de PAN-OS.
Cuando defina un intervalo de red de inclusin o exclusin, se realizar
una exclusin total implcita. Por ejemplo, si incluye 10.1.1.0/24, se
excluir el resto de redes. Si excluye 10.1.1.0/24, se excluirn todas las
redes, por lo que, cuando utilice la exclusin, tambin deber contar con
una red de inclusin. De lo contrario, todas las redes se excluyen de la
asignacin de usuario.
Para aadir una red incluida/excluida, haga clic en Aadir y, a continuacin, cumplimente los siguientes campos.
Nombre: Introduzca un nombre para identificar el perfil que incluir o
excluir una red para fines de descubrimiento de identificacin de
usuario (User-ID).
Habilitada: Seleccione esta opcin para habilitar el perfil incluir/excluir.
Descubrimiento: Seleccione la opcin para incluir o excluirel intervalo
de red definido.
Direccin de red: Introduzca el intervalo de red que le gustara incluir o
excluir del descubrimiento de asignacin de direccin IP a usuario.
Por ejemplo, 10.1.1.0/24.
Secuencia de red de inclusin exclusin personalizada: Le permite
especificar una orden en la que el cortafuegos debe evaluar qu redes
deben incluirse o excluirse de la asignacin de usuario. Si no especifica
una secuencia personalizada, el cortafuegos evaluar la lista en el orden
en el que se hayan aadido las entradas.

Pestaa Agentes de ID de usuarios


Utilice la pestaa Agentes de ID de usuarios para configurar el cortafuegos y que interacte
con los agentes de identificacin de usuarios (agentes de User-ID) instalados en los servidores
del directorio de la red o con los cortafuegos configurados para identificacin de usuarios que
no tengan agentes en el intercambio de informacin de asignacin de direccin IP a usuario.
El agente de identificacin de usuario (User-ID) recopila informacin de asignacin de
direccin IP a nombre de usuario en los recursos de red y la proporciona al cortafuegos para
su uso en logs y polticas de seguridad.

348 Configuracin del cortafuegos para la identificacin de usuarios

Palo Alto Networks

La asignacin de identificacin de usuario necesita que el cortafuegos obtenga la


direccin IP origen del usuario antes de que la direccin IP se traduzca con NAT.
Si varios servidores tienen la misma direccin origen, debido a NAT o por el uso de
un dispositivo proxy, no ser posible una identificacin de usuario precisa.
En entornos donde otros dispositivos de red ya estn autenticando usuarios, puede
configurar el servicio de autenticacin para que reenve logs de eventos al agente de
identificacin de usuario que utiliza Syslog. El agente podra entonces extraer los
eventos de autenticacin desde los Syslogs y aadirlos a las asignaciones de
direccin IP a nombre de usuario de identificacin de usuario.
Para aadir un nuevo agente de identificacin de usuario a la lista de agentes con los que
se comunica este cortafuegos, haga clic en Aadir y, a continuacin, complete los siguientes
campos.

Tabla 188. Configuracin del agente de ID de usuario (User-ID)


Campo

Descripcin

Nombre

Introduzca un nombre para identificar al agente de identificacin de


usuario (User-ID) (hasta 31 caracteres). El nombre hace distincin entre
maysculas y minsculas y debe ser exclusivo. Utilice nicamente letras,
nmeros, espacios, guiones y guiones bajos.

Host

Introduzca la direccin IP del host de Windows en el que est instalado el


agente de identificacin de usuarios (User-ID).

Puerto

Introduzca el nmero de puerto en el que est configurado el servicio


del agente de identificacin de usuarios (User-ID) para escuchar las
solicitudes del cortafuegos. El nmero predeterminado del puerto del
servicio del agente de identificacin de usuarios (User-ID) de Windows es
5007. Sin embargo, puede utilizar cualquier puerto disponible siempre
que el cortafuegos y el servicio del agente de identificacin de usuarios
utilicen el mismo valor. Adems, puede utilizar distintos nmeros de
puerto en diferentes agentes.
Nota: Algunas versiones anteriores del agente de identificacin de usuarios
utilizan 2010 como el puerto predeterminado.

Nombre del recopilador

Si este cortafuegos est recibiendo informacin de asignacin de usuario


de otro cortafuegos configurado para redistribucin, especifique el
nombre del recopilador configurado en el cortafuegos que recopilar los
datos de asignacin del usuario (se muestra en la pestaa Dispositivo >
Identificacin de usuarios > Asignacin de usuario).

Clave precompartida del


recopilador/Confirmar
clave precompartida del
recopilador

Introduzca la clave precompartida que se utilizar para autorizar la


conectividad de SSL entre el agente de ID de usuarios y el cortafuegos
que acta como un punto de distribucin para la asignacin de usuarios.

Utilizar como Proxy


LDAP

Seleccione la casilla de verificacin para utilizar este agente de


identificacin de usuarios (User-ID) como proxy de LDAP para las
consultas al servidor LDAP (en lugar de que el cortafuegos se conecte
directamente al servicio de directorio). Esta opcin es til en entornos
donde se deseable el almacenamiento en cach o no es posible el acceso
directo del cortafuegos al servidor del directorio.

Palo Alto Networks

Configuracin del cortafuegos para la identificacin de usuarios 349

Tabla 188. Configuracin del agente de ID de usuario (User-ID) (Continuacin)


Campo

Descripcin

Utilizar para
autenticacin NTLM

Seleccione la casilla de verificacin para utilizar el agente de ID de


usuarios configurado para comprobar la autenticacin de cliente de
NTLM desde el portal cautivo con el dominio de Active Directory.

Habilitado

Seleccione la casilla de verificacin para permitir que el cortafuegos se


comunique con este agente de identificacin de usuarios.
Para terminar de aadir la entrada del agente de identificacin de
usuarios (User-ID), haga clic en ACEPTAR. El nuevo agente de
identificacin de usuarios aparece en la lista de agentes. Compruebe
que el icono de la columna Conectado es verde, lo que indica que el
cortafuegos puede comunicarse correctamente con el agente. Haga clic
en Actualizar conectados para intentar volver a conectar con los agentes
configurados. Si desea que el cortafuegos se comunique con agentes en
orden concreto (por ejemplo, basndose en su proximidad a ellos o en
si son una copia de seguridad o principal), haga clic en Secuencia de
agente personalizada y, a continuacin, ordene los agentes en el orden
que desee.

Pestaa Agentes de servicios de terminal


Utilice la pestaa Agentes de servicios de terminal para configurar el cortafuegos y que
interacte con los agentes de servicios de terminal (agentes TS) instalados en el red. El agente
TS identifica los usuarios individuales que admite el mismo servidor de terminal y que, por lo
tanto, tienen la misma direccin IP. El agente TS de un servidor terminal identifica a usuarios
individuales asignando intervalos de un puerto especfico a cada uno de los usuarios. Cuando
se asigna un intervalo de puerto a un usuario particular, el Agente de servicios de terminal
notifica el intervalo de puerto asignado a cada cortafuegos por lo que esa poltica se puede