Guía de referencia de interfaz web

Versión 7.0

Información de contacto
Sede de la empresa:
Palo Alto Networks
4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía
Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama.
Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos de la
interfaz:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007-2015 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisión: julio 1, 2015

ii

julio 1, 2015 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Contenido
Capítulo 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Interfaces de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Capítulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Uso de la interfaz web del cortafuegos de Palo Alto Networks . . . . . . . . . . 6
Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 14
Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Capítulo 3
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . . 16
Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . 34
Habilitación de supervisión de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Ruta de servicio de destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de la configuración de ID de contenido . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tiempos de espera de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . . 53
Ajustes de descifrado: Reenviar los ajustes de certificados
del servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuración de sesión de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • iii

Contenido

Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comportamiento tras el vencimiento de la licencia . . . . . . . . . . . . . . . . . . . . . 57
Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 63
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Requisitos de nombre de usuario y contraseña . . . . . . . . . . . . . . . . . . . . . . . . 70
Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 72
Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 77
Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes del servidor TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes del servidor Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 83
Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuración del log Configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuración del log Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log Coincidencias HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definición de configuración de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . . 94
Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configuración de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestión de certificados de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Gestión de entidades de certificación de confianza predeterminadas . . . . 100
Creación de un perfil del certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Gestión de perfiles de servicio SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 104
Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 116
Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 117
Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 119

Capítulo 4
Configuración de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

121

Definición de cables virtuales (Virtual Wires) . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . 122
Resumen de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Componentes comunes de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . 124

iv • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Contenido

Componentes comunes de interfaces de cortafuegos de la serie PA-7000 . . . .
Configure la interfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure la interfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de cable virtual (Virtual Wire) . . . . . . . . . . . . .
Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . . . .
Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una subinterfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . . . . .
Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . . . . .
Configuración una interfaz de agregación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de bucle invertido . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Perfiles de redistribución . . . . . . . . . . . . . . . .
Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Multidifusión. . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Más estadísticas de tiempo de ejecución para un enrutador virtual . . . . . .
Configuración de la compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dirección DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplo: Configure un servidor DHCP con opciones personalizadas . . . . . .
Configuración de proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Resumen proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acciones adicionales de proxy DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definiendo perfiles de gestiones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . .
Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuración de la protección de ataques basada en paquetes . . . . . . .
Definición de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

125
126
128
128
137
142
144
144
145
146
147
148
151
151
152
158
160
161
162
163
163
165
167
172
177
185
189
190
192
199
199
200
200
201
205
206
207
209
210
211
211
213
213
213
214
217
218
219
220
222
222
226
227

Guía de referencia de interfaz web, versión 7.0 • v

Contenido

Capítulo 5
Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

229

Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Traslado o duplicación de una política o un objeto . . . . . . . . . . . . . . . . . . .
Cancelación o reversión de una regla de seguridad predeterminada . . . .
Cancelación o reversión de un objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificación de usuarios y aplicaciones para las políticas. . . . . . . . . . . . .
Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloques de creación de una política de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Creación y gestión de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinación de configuración de zona en NAT y política de seguridad . . .
Opciones de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de política NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de cancelación de aplicación . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

vi • Guía de referencia de interfaz web, versión 7.0

230
230
232
233
234
235
235
236
237
245
247
248
250
250
251
252
252
256
256
257
258
260
261
262
263
264
265
266
266
267
268
268
269
269
270
270
271
271
272
272
273
273
274
274
274
275
276
276
277

Palo Alto Networks

Contenido

Acciones en perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cuadro de diálogo Perfil de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de análisis de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de objetos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del explorador de etiquetas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . .
Definición de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . .
Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

277
279
279
280
281
281
285
289
293
297
298
300
302
303
304
307
308
308
314
317
317
318
319
320
321
322
323
325
326
328
328
329
332
334
335
336
341

Capítulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

343

Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Centro de control de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Uso

Palo Alto Networks

Vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Informe Supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Guía de referencia de interfaz web, versión 7.0 • vii

Contenido

Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Interacción con logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 368
Uso del motor de correlación automatizada . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los objetos de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los eventos correlacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Configuración del informe de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Gestión de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 376
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Programación de informes para entrega de correos electrónicos . . . . . . . 378
Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Descripción general de captura de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Componentes de una captura de paquetes personalizada . . . . . . . . . . . . . . . . 382
Habilitación de captura de paquetes de amenazas . . . . . . . . . . . . . . . . . . . . . . 385

Capítulo 7
Configuración del cortafuegos para el usuario de usuarios . . . . . . . . . .

387

Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . .
Pestaña Asignación de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Configuración de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . .

387
388
395
397
397
400

Capítulo 8
Configuración de túneles de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

403

Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Gestión de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General de puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones avanzadas de puerta de enlace de IKE . . . . . . . . . . . . . . . .
Reinicie o actualice una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . .

Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de túneles VPN de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Identificadores proxy de Túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . .
Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . . . .
Reinicie o actualice un túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .

viii • Guía de referencia de interfaz web, versión 7.0

404
404
407
409
409
410
410
412
413
413
414
415
416

Palo Alto Networks

Contenido

Capítulo 9
Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

417

Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . 429
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Configuración del acceso de la puerta de enlace a un gestor
de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña Dispositivo móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Pestaña Administración de parches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Pestaña Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Pestaña Antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Copia de seguridad de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Cifrado de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Pestaña Prevención de pérdida de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . 451
Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Capítulo 10
Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .

455

Definición de un perfil de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Definición de una política de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Habilitación de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . 463
Descripción general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Habilitación de la QoS en una interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Supervisión de una interfaz de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Capítulo 11
Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . .

467

Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . 479
Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Aplicación de políticas a dispositivos específicos de
un grupo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • ix

Contenido

Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 482
Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . 483
Especificación de dominios de acceso de Panorama para administradores . . . 486
Compilación de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 488
Gestión de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . 490
Definición de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Definición de pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Duplicación de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Eliminación o deshabilitación de plantillas o pilas de plantillas . . . . . . . . . . . . . 495
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Habilitación del reenvío de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Cómo añadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Instalación de una actualización de software en un recopilador de logs . . . . . . 504
Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . 504
Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . 508
Gestión de actualizaciones de dispositivos y licencias . . . . . . . . . . . . . . . . 509
Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . 511
Programación de exportaciones de configuración. . . . . . . . . . . . . . . . . . . 512
Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 514

Registro del cortafuegos VM-Series como servicio en
el administrador NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Actualización de información del administrador de servicios VMware . . . . 517

Apéndice A
Compatibilidad con los estándares federales de procesamiento de la
información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

519

Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

x • Guía de referencia de interfaz web, versión 7.0

521

Palo Alto Networks

A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones por su protocolo y número de puerto. Asimismo. El cortafuegos le permite especificar políticas de seguridad basadas en la identificación precisa de cada una de las aplicaciones que atraviesen su red. spyware y otras amenazas. hasta el cortafuegos de la serie PA-7000. diseñado para oficinas remotas de una empresa.0 • 1 . Para habilitar de forma segura el uso de aplicaciones. versión 7. mantener una visibilidad y un control absolutos y proteger la organización de las ciberamenazas más recientes. puede definir políticas de seguridad para aplicaciones específicas o grupos de aplicaciones en lugar de utilizar una única política para todas las conexiones al puerto 80. Palo Alto Networks Guía de referencia de interfaz web. cada política de seguridad puede especificar perfiles de seguridad como protección frente a virus.Capítulo 1 Introducción Esta sección proporciona una descripción general del cortafuegos: • “Descripción general del cortafuegos” • “Características y ventajas” • “Interfaces de gestión” Descripción general del cortafuegos Palo Alto Networks® ofrece una gama completa de dispositivos de seguridad de nueva generación. que van desde el cortafuegos PA-200. el cortafuegos de nueva generación de Palo Alto Networks utiliza la inspección de paquetes y una biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y puertos idénticos. que es un chasis modular diseñado para centros de datos de alta velocidad. así como para identificar aplicaciones potencialmente malintencionadas que no utilicen puertos estándar. Puede especificar una política de seguridad para cada aplicación identificada con el fin de bloquear o permitir el tráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6).

0 Palo Alto Networks . • Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios web inadecuados (consulte “Perfiles de filtrado de URL”). El cortafuegos puede comunicarse con numerosos servidores de directorio. como Microsoft Active Directory. • Visibilidad del tráfico: Los extensos informes. permitiendo iniciar sesión de manera fácil y segura desde cualquier parte del mundo. El servicio App-ID puede bloquear aplicaciones de alto riesgo. y puede instalarse de manera transparente en cualquier red o configurarse para permitir un entorno conmutado o enrutado. versión 7. en lugar de zonas y direcciones de red. así como comportamientos de alto riesgo. 2 • Guía de referencia de interfaz web. registros y mecanismos de notificación ofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridad en la red. A continuación podrá utilizar esta información para una habilitación segura de aplicaciones que puede definirse por usuario o por grupo. También puede configurar un control detallado de determinados componentes de una aplicación basándose en usuarios y grupos (consulte “Configuración del cortafuegos para el usuario de usuarios”). o además de estas. El centro de comando de aplicación (ACC) de la interfaz web identifica las aplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes y logs”). y el tráfico cifrado con el protocolo Secure Sockets Layer (SSL) puede descifrarse e inspeccionarse. el administrador podría permitir que una organización utilizara una aplicación basada en Internet e impedir que cualquier otra organización de la empresa utilizarla la misma aplicación. eDirectory. Las velocidades de varios gigabits y la arquitectura de un único paso le ofrecen estos servicios sin apenas afectar a la latencia de red. como el intercambio de archivos. Las principales características y ventajas incluyen las siguientes: • Cumplimiento de políticas basadas en aplicaciones (App-ID™): El control de acceso según el tipo de aplicación es mucho más eficaz cuando la identificación de las aplicaciones no se basa únicamente en el protocolo y el número de puerto. • Prevención de amenazas: Los servicios de prevención de amenazas que protegen la red frente a virus. gusanos. SunOne. • GlobalProtect: El software GlobalProtect™ protege los sistemas cliente. spyware y otro tráfico malintencionado pueden variar según la aplicación y el origen del tráfico (consulte “Perfiles de seguridad”). OpenLDAP y la mayoría de los otros servidores de directorio basados en LDAP. • Versatilidad de red y velocidad: El cortafuegos de Palo Alto Networks puede añadirse o sustituir a su cortafuegos existente.Características y ventajas Características y ventajas Los cortafuegos de próxima generación de Palo Alto Networks ofrecen un control detallado del tráfico que tiene permiso para acceder a su red. como ordenadores portátiles. Por ejemplo. para proporcionar información de usuarios y grupos al cortafuegos. que se utilizan a nivel de campo. • Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad (HA) ofrece una tolerancia a fallos automática en el caso de cualquier interrupción en el hardware o el software (consulte “Habilitación de HA en el cortafuegos”). • Identificación de usuarios (User-ID™): La identificación de usuarios (User-ID) permite que los administradores configuren y apliquen políticas de cortafuegos basadas en usuarios y grupos de usuarios.

Palo Alto Networks Guía de referencia de interfaz web. Este enlace proporciona ayuda sobre los parámetros necesarios para cada tipo de llamada de la API. puede gestionar todos los dispositivos de manera centralizada mediante el sistema de gestión centralizado de Panorama. • Cortafuegos de la VM-Series: Un cortafuegos de VM-Series proporciona una instancia virtual de PAN-OS® situada para su uso en un entorno de centro de datos virtualizado y es perfecto para sus entornos de computación en la nube privados. una elaboración de informes y un registro basados en Internet para varios cortafuegos. públicos e híbridos. Hay disponible un explorador de API en el cortafuegos en https://cortafuegos/api. • Panorama: Es un producto de Palo Alto Networks que permite una gestión. Interfaces de gestión Los cortafuegos de próxima generación de Palo Alto Networks admiten las siguientes interfaces de gestión.0 • 3 . • CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet. informes y capturas de paquetes desde el cortafuegos. • Gestión y Panorama™: Puede gestionar cada cortafuegos mediante una interfaz web intuitiva o una interfaz de línea de comandos (CLI). Del mismo modo. el estado de funcionamiento. donde cortafuegos es el nombre de host o la dirección IP del cortafuegos. • API XML: Proporciona una interfaz basada en la transferencia de estado representacional (REST) para acceder a la configuración de dispositivos. • Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPS desde un explorador web. Secure Shell (SSH) o el puerto de la consola. que cuenta con una interfaz web muy parecida a la interfaz web de los cortafuegos de Palo Alto Networks.Interfaces de gestión • Elaboración de análisis e informes sobre software malintencionado: El servicio de seguridad WildFire™ proporciona análisis e informes detallados sobre el software malintencionado que pasa por el cortafuegos. La interfaz de Panorama es parecida a la interfaz web del cortafuegos pero con funciones de gestión adicionales (consulte “Gestión centralizada del dispositivo mediante Panorama” para obtener información sobre el uso de Panorama). versión 7.

versión 7.0 Palo Alto Networks .Interfaces de gestión 4 • Guía de referencia de interfaz web.

versión 7.Capítulo 2 Primeros pasos Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos de Palo Alto Networks: • “Uso de la interfaz web del cortafuegos de Palo Alto Networks” • “Obtención de ayuda para la configuración del cortafuegos” Palo Alto Networks Guía de referencia de interfaz web.0 • 5 .

Este documento identifica esta ruta de navegación en la interfaz web como Red > Enrutadores virtuales. las opciones de configuración están anidadas. En el caso de algunas pestañas.Uso de la interfaz web del cortafuegos de Palo Alto Networks Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 1 Haga clic en las pestañas de la parte superior para ver los elementos de configuración bajo esa categoría. el panel Enrutadores virtuales está seleccionado en la pestaña Red. versión 7. 2 Seleccione una opción del panel de la izquierda para ver las opciones de una pestaña.0 Palo Alto Networks . Por ejemplo. Haga clic en la lista desplegable del panel de la izquierda para expandir y contraer las opciones de configuración incluidas en el panel. 6 • Guía de referencia de interfaz web. El elemento resaltado es el que está seleccionado. en la captura de pantalla anterior.

debe hacer clic en ACEPTAR o Guardar para almacenar los cambios. seleccione las casillas de verificación junto al elemento y haga clic en Eliminar. Cuando haga clic en ACEPTAR. – Los campos obligatorios muestran un fondo amarillo claro. Dispositivos > Configuración).Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 3 Los botones de acción varían según la página pero la mayoría de las páginas incluyen los botones siguientes: • Añadir: Haga clic en Añadir para crear un nuevo elemento. • Modificar: Haga clic en el elemento con hiperenlace en la columna Nombre. haga clic en el icono de la esquina superior derecha de una sección para editar los ajustes. – Una vez haya configurado los ajustes. debe hacer clic en Compilar para guardar los cambios.0 • 7 . se actualizará la configuración candidata. – Para modificar secciones dentro de una página (por ejemplo. Guía de referencia de interfaz web. 4 Palo Alto Networks Cierre de sesión: Haga clic en el botón Cierre de sesión para cerrar la sesión de la interfaz web. Para guardar los cambios en la configuración que se esté ejecutando. • Eliminar: Para eliminar uno o más elementos. Haga clic en ACEPTAR para confirmar la eliminación o haga clic en Cancelar para cancelar la operación. versión 7.

Por ejemplo. junto con los estados. • Alarmas: Haga clic en Alarmas para ver la lista actual de alarmas en el log de alarmas. La lista mostrará las alarmas no reconocidas y reconocidas. Haga clic en el encabezado de una columna para ordenar según esa columna y haga clic de nuevo para invertir el orden. Utilice la lista desplegable Mostrar para filtrar la lista de tareas.0 Palo Alto Networks . haga clic en la flecha situada a la derecha de cualquier columna y seleccione o cancele la selección de la correspondiente casilla de verificación para mostrar u ocultar la columna en la pantalla. seleccione las casillas de verificación y haga clic en Reconocer. mensajes asociados y acciones. la interfaz web estará en español cuando inicie sesión en el cortafuegos. Para reconocer alarmas. • Idioma: Haga clic en Idioma para seleccionar el idioma que desee en la lista desplegable de la ventana Preferencia de idioma y. fechas de inicio. si el ordenador que utiliza para gestionar el cortafuegos tiene el español como configuración regional. A menos que especifique una preferencia de idioma. 6 Las tablas le permiten ordenar los datos y mostrar u ocultar las columnas que puede ver en la página. versión 7. 8 • Guía de referencia de interfaz web.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 5 • Tareas: Haga clic en el icono Tareas para ver la lista actual de Todos los elementos siguientes o aquellos que estén En ejecución: Tareas. La ventana Gestor de tareas muestra la lista de tareas. a continuación. Trabajos y Peticiones de log. el idioma de la interfaz web será el mismo que el idioma actual del ordenador desde el que inicie sesión. vaya a Dispositivo > Configuración de log > Alarmas. Para habilitar alarmas y notificaciones de alarmas web. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. Para mostrar u ocultar columnas. haga clic en ACEPTAR para guardar el cambio.

nombres o palabras claves de los elementos de la página. Los resultados de la búsqueda se mostrarán y el número de coincidencias aparecerá como una fracción de los elementos totales mostrados en la esquina izquierda del cuadro de entrada de filtro. Las opciones siguientes están disponibles en el cuadro de diálogo Compilar. Haga clic en el enlace Avanzado. El número total de elementos de la página se muestra en la esquina izquierda del cuadro de entrada de filtro. haga clic en . si es necesario. para borrar un filtro. consulte “Compilación de cambios”.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 7 Utilice el cuadro de entrada de filtro para buscar términos. para mostrar las opciones siguientes: – Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la operación de compilación. Si desea más información sobre Búsqueda. – Incluir políticas y objetos: (Solamente los cortafuegos que no pueden configurarse o que no están configurados para permitir varios sistemas virtuales) Incluir los cambios de configuración de políticas y objetos en la operación de compilación. Palo Alto Networks Guía de referencia de interfaz web. Para aplicar un filtro. versión 7. Compilación de cambios Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar. 8 Si desea más información sobre Compilar. consulte “Búsqueda de la configuración”.0 • 9 . – Incluir configuración de objeto compartido: (Solamente los cortafuegos con varios sistemas virtuales) Incluir los cambios de configuración de objetos compartidos en la operación de compilación. haga clic en . Si desea más información sobre Bloqueos. consulte “Bloqueo de transacciones”.

el cortafuegos ya no finaliza una compilación cuando aparece el primer error. modificado o eliminado. un nombre de política. como un perfil de servidor LDAP. incluidas las advertencias de dependencias de aplicaciones y atenuación de reglas. consulte “Definición de la configuración de operaciones”. Los cambios están indicados con colores dependiendo de los elementos que se han agregado. Por ejemplo.0. algunos de los elementos que cambió en la pestaña Dispositivo no se compilarán. un nombre de objeto. – Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o más sistemas virtuales. no se realizan cambios en la configuración que se está ejecutando. Búsqueda de la configuración La búsqueda global le permite buscar en la configuración candidata en un cortafuegos o en Panorama una cadena específica. A partir de PAN-OS 7. un ID de amenaza o un nombre de aplicación. si hace clic en Compilar y únicamente selecciona la opción Incluir configuración de dispositivo y red. A continuación tiene una lista de funciones de búsqueda global que le ayudarán a realizar búsquedas correctamente: 10 • Guía de referencia de interfaz web. lo que reduce los fallos considerablemente en el momento de la compilación. Por el contrario. La opción Validar está disponible en los perfiles de función de administrador para que pueda controlar quién puede validar las configuraciones. el cortafuegos recopila y muestra todos los errores y. así como perfiles de servidor utilizados para ID de usuario. La respuesta incluirá todos los errores y advertencias que incluiría una compilación completa o una compilación de sistemas virtuales. Esto permite que un administrador vea todos los errores inmediatamente tras un fallo de compilación y evita el ciclo de varias compilaciones que devuelven errores adicionales que también deben solucionarse antes de que todos los cambios se compilen correctamente. finaliza la compilación. de modo que pueda encontrar fácilmente todos los lugares donde se hace referencia a la cadena. – Vista previa de cambios: Haga clic en Vista previa de cambios para abrir una ventana con dos paneles que muestra los cambios propuestos en la configuración candidata en comparación con la configuración que se está ejecutando actualmente. como una dirección IP. Esto incluye certificados y opciones de ID de usuario. Los resultados de búsqueda se agrupan por categoría y proporcionan enlaces a la ubicación de la configuración en la interfaz web. Puede seleccionar el número de líneas que se mostrarán o mostrar todas las líneas. realice una compilación completa y seleccione las opciones de configuración Incluir configuración de dispositivo y red e Incluir políticas y objetos. La función Dispositivo > Auditoría de configuraciones realiza la misma función (consulte “Comparación de archivos de configuración”). – Validar cambios: Haga clic en Validar cambios para realizar una validación sintáctica (comprobar que la sintaxis de la configuración sea correcta) y una validación semántica (comprobar que la configuración está completa y tiene sentido) de la configuración del cortafuegos antes de compilar los cambios. Si desea más información sobre la compilación de cambios.0 y Panorama 7. versión 7. sin embargo. a continuación.Uso de la interfaz web del cortafuegos de Palo Alto Networks Los cambios de configuración que abarcan varias áreas de configuración pueden requerir una compilación completa. Esta validación le ayuda a saber si un cambio puede compilarse correctamente antes de realizar dicha compilación. Para compilar estos tipos de cambios.0 Palo Alto Networks . Esto también puede suceder si realiza una compilación parcial tras importar una configuración.

Lo mismo ocurre con los grupos de dispositivos de Panorama. Haga clic en un elemento de la lista para volver a ejecutar dicha búsqueda. Por ejemplo. haga clic en la lista desplegable situada junto a un elemento y haga clic en Búsqueda global. La lista del historial de búsqueda es exclusiva de cada cuenta de administrador. En este caso.Uso de la interfaz web del cortafuegos de Palo Alto Networks • Si inicia una búsqueda en un cortafuegos con varios sistemas virtuales habilitados o si hay funciones de administrador definidas. haga clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web y aparecerá una lista con las últimas 20 búsquedas. verá resultados de búsqueda de cualquier grupo de dispositivos para el que tenga permisos. La captura de pantalla siguiente muestra el icono Búsqueda que es visible desde todas las áreas de la interfaz web. • La búsqueda global buscará la configuración candidata. Palo Alto Networks Guía de referencia de interfaz web. • Los espacios del texto de búsqueda se tratan como operaciones AND. Puede iniciar una búsqueda global haciendo clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web de gestión o haciendo clic en Búsqueda global en cualquier área de la interfaz web que admita las búsquedas globales. • Para encontrar una frase exacta. indíquela entre comillas. • Para volver a ejecutar una búsqueda anterior. La captura de pantalla siguiente muestra el icono Búsqueda global que aparece cuando hace clic en la lista desplegable situada a la derecha de un nombre de política de seguridad. tanto la palabra “política” como la palabra “corporativa” deben existir en el elemento de configuración para encontrarlo. si busca política corporativa. Para acceder a la función Búsqueda global desde dentro de un área de configuración. versión 7.0 • 11 . la búsqueda global solamente devolverá resultados de las áreas del cortafuegos para las que tenga permisos.

Usuario. versión 7. solamente puede buscar contenido que el cortafuegos escriba en la configuración. Zona. Aplicación y Servicio. • Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que se liberen todos los bloqueos. Bloqueo de transacciones La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información por otro administrador hasta que se elimine el bloqueo. Dirección. Otro ejemplo son los nombres de usuarios recopilados cuando la función User-ID está habilitada. Por ejemplo. solamente tiene que hacer clic en la lista desplegable situada junto a cualquiera de estos campos y hacer clic en Búsqueda global. Se permiten los siguientes tipos de bloqueo: • Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores. Perfil HIP. El bloqueo se libera cuando el administrador que 12 • Guía de referencia de interfaz web. Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. Solamente puede eliminarse por el administrador que configuró el bloqueo o por un superusuario del sistema. un nombre de usuario o un grupo de usuarios que exista en la base de datos de User-ID solamente se puede buscar si el nombre o el grupo existe en la configuración.Uso de la interfaz web del cortafuegos de Palo Alto Networks El icono Búsqueda global está disponible para todos los campos que permitan la búsqueda. En el caso de DHCP. Por ejemplo. Los resultados de búsqueda se agrupan por categoría y puede pasar el cursor por encima de cualquier elemento para ver información detallada o hacer clic en el elemento para desplazarse a su página de configuración. puede buscar los campos siguientes: Nombre. como la entrada DNS. buscará en toda la configuración de ese nombre de zona y devolverá resultados de cada ubicación donde se haga referencia a la zona. en el caso de una política de seguridad. Para realizar una búsqueda. si hace clic en Búsqueda global en una zona denominada l3-vlan-trust. puede buscar un atributo de servidor DHCP. intervalos de direcciones o direcciones individuales de DHPC) asignado a usuarios por parte del cortafuegos. Etiquetas. La captura de pantalla siguiente muestra los resultados de búsqueda de la zona l3-vlan-trust: Las búsquedas globales no buscarán contenido dinámico (como logs. En este caso. como en la definición de un nombre de grupo de usuarios en una política. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios antes de que finalice el segundo administrador. Por lo general.0 Palo Alto Networks . pero no puede buscar direcciones individuales emitidas para usuarios.

Para desbloquear una transacción. versión 7.Uso de la interfaz web del cortafuegos de Palo Alto Networks aplicó el bloqueo compila los cambios actuales. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo (consulte “Configuración del sistema. el bloqueo también puede liberarse manualmente por parte del administrador que realizó el bloqueo o por un superusuario del sistema. Para bloquear una transacción. a continuación. Haga clic en Aplicación de un bloqueo. configuración y gestión de licencias”). haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo.0 • 13 . haga clic en el icono Bloqueo desbloqueado en la barra superior para abrir el cuadro de diálogo Bloqueos. Palo Alto Networks Guía de referencia de interfaz web. Agregue bloqueos adicionales según sea necesario y. La transacción está bloqueada y el icono de la barra superior cambia a un icono Bloqueo bloqueado que muestra el número de elementos bloqueados entre paréntesis. seleccione el ámbito del bloqueo desde la lista desplegable y haga clic en ACEPTAR. Cualquier administrador puede abrir la ventana de bloqueos para visualizar las transacciones actuales que están bloqueadas. junto con una marca de tiempo para cada una. haga clic en el icono Bloqueo bloqueado en la barra superior para abrir la ventana Bloqueos. Haga clic en el icono del bloqueo que quiera eliminar y haga clic en Sí para confirmar.

vaya a https://live.com. • Base de conocimientos: Para acceder a la base de conocimientos.paloaltonetworks.com.com/documentation. consulte: • Información general: Visite http://www. vaya a https://support.com.paloaltonetworks.paloaltonetworks.0 Palo Alto Networks .paloaltonetworks. versión 7. • Documentación: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos.Obtención de ayuda para la configuración del cortafuegos Exploradores compatibles Las versiones mínimas de los exploradores web compatibles para acceder a la interfaz web del cortafuegos son las siguientes: • Internet Explorer 7 • Firefox 3. 14 • Guía de referencia de interfaz web. • Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web para acceder al sistema de ayuda en línea. Asistencia técnica Para obtener asistencia técnica. área de colaboración para la interacción cliente/socio. consulte https://www. foros de debate y vídeos. Cómo obtener más información Para obtener más información acerca del cortafuegos.6 • Safari 5 • Chrome 11 Obtención de ayuda para la configuración del cortafuegos Utilice la información que aparece en esta sección para obtener ayuda con el uso del cortafuegos. información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos.

configuración y gestión de licencias” • “Definición de orígenes de información de VM” • “Instalación de software” • “Actualización de definiciones de aplicaciones y amenazas” • “Funciones. versión 7.0 • 15 .Capítulo 3 Gestión de dispositivos Utilice las siguientes secciones para obtener referencia de campo sobre la configuración de sistema básica y tareas de mantenimiento en el cortafuegos: • “Configuración del sistema. perfiles y cuentas de administrador” • “Configuración de perfiles de autenticación” • “Creación de una base de datos de usuario local” • “Cómo añadir grupos de usuarios locales” • “Configuración de ajustes de servidor RADIUS” • “Configuración de ajustes del servidor TACACS+” • “Configuración de ajustes de servidor LDAP” • “Configuración de ajustes del servidor Kerberos” • “Configuración de una secuencia de autenticación” • “Creación de un perfil del certificado” • “Programación de exportaciones de logs” • “Definición de destinos de logs” • “Configuración de ajustes de flujo de red” • “Uso de certificados” • “Cifrado de claves privadas y contraseñas del cortafuegos” • “Habilitación de HA en el cortafuegos” Palo Alto Networks Guía de referencia de interfaz web .

configuración y gestión de licencias En las siguientes secciones se describe cómo definir la configuración de red para el acceso de gestión (el cual define las rutas de servicio y los servicios).0 Palo Alto Networks . use la pestaña Dispositivo > Configuración > Gestión para configurar los cortafuegos que quiere gestionar con plantillas de Panorama. versión 7. En Panorama. 16 • Guía de referencia de interfaz web . utilice la pestaña Dispositivo > Configuración > Gestión para configurar la configuración de gestión. Para la gestión de cortafuegos. identificación de contenido. de forma optativa también puede utilizar la dirección IP de una interfaz de loopback para el puerto de gestión (consulte “Configuración de una interfaz de bucle invertido”). Utilice la pestaña Panorama > Configuración > Gestión para configurar los ajustes para Panorama.Configuración del sistema. y cómo gestionar las opciones de configuración (como los tiempos de espera de sesión globales. excepto donde se indique otra cosa. Configure los siguientes ajustes de gestión. análisis e informes de software malintencionado de WildFire): • “Definición de la configuración de gestión” • “Definición de la configuración de operaciones” • “Definición de módulos de seguridad de hardware” • “Habilitación de supervisión de SNMP” • “Definición de la configuración de servicios” • “Definición de un perfil de servidor de DNS” • “Definición de la configuración de ID de contenido” • “Configuración de ajustes de WildFire” • “Definición de la configuración de sesión” • “Comparación de archivos de configuración” • “Instalación de una licencia” Definición de la configuración de gestión Dispositivo > Configuración > Gestión Panorama > Configuración > Gestión En un cortafuegos. configuración y gestión de licencias • “Definición de sistemas virtuales” • “Definición de páginas de respuesta personalizadas” • “Visualización de información de asistencia técnica” Configuración del sistema. Estos se aplican tanto al cortafuegos como a Panorama.

Si selecciona ninguno. Para obtener una mejor seguridad. Nota: Se recomienda no usar el certificado predeterminado. Configuración de gestión Elemento Descripción Configuración general Nombre de host Introduzca un nombre de host (de hasta 31 caracteres). Titular de inicio de sesión Introduzca el texto personalizado que aparecerá en la página de inicio de sesión del cortafuegos. los informes en PDF seguirán utilizando el idioma especificado en este ajuste de configuración regional. Consulte “Gestión de informes de resumen en PDF”. números. Utilice únicamente letras. Consulte las preferencias de idioma en “Uso de la interfaz web del cortafuegos de Palo Alto Networks”. Dominio Introduzca el nombre de dominio completo (FQDN) del cortafuegos (de hasta 31 caracteres). Perfil de servicio SSL/TLS Asigne un perfil de servicio SSL/TLS existente o cree uno nuevo para especificar un certificado y los protocolos permitidos para proteger el tráfico entrante en la interfaz de gestión del dispositivo. Zona horaria Seleccione la zona horaria del cortafuegos. el dispositivo usa el certificado autofirmado preconfigurado. Configuración regional Seleccione un idioma para los informes en PDF de la lista desplegable. se recomienda que asigne un perfil de servicio SSL/TLS asociado a un certificado que haya firmado una entidad de certificación (CA) de confianza. Aunque haya establecido una preferencia de idioma específica para la interfaz web. consulte “Gestión de perfiles de servicio SSL/TLS”.Definición de la configuración de gestión • “Configuración general” • “Configuración de autenticación” • “Ajustes de Panorama: Dispositivo > Configuración > Gestión” (ajustes configurados en el cortafuegos para la conexión a Panorama) • “Ajustes de Panorama: Panorama > Configuración > Gestión” (ajustes configurados en Panorama para la conexión a los cortafuegos) • “Configuración de interfaz de gestión” • “Ajustes de la interfaz Eth1” (Únicamente en Panorama) • “Ajustes de la interfaz Eth2” (Únicamente en Panorama) • “Configuración de log e informes” • “Complejidad de contraseña mínima” Tabla 1. guiones y guiones bajos. El texto se muestra debajo de los campos Nombre y Contraseña.0 • 17 . Para obtener más información. Palo Alto Networks Guía de referencia de interfaz web . versión 7. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. espacios.

0) del cortafuegos.0 a 90. Este archivo define los atributos de autenticación necesarios para la comunicación entre el dispositivo y el servidor RADIUS. Nota: También puede definir un servidor NTP desde Dispositivo > Configuración > Servicios. Para este ajuste solo están disponibles los perfiles de autenticación que tengan un tipo definido en RADIUS y que hagan referencia a un perfil de servidor RADIUS. se produce un error de compilación si se usa el formato EUI-64. Use direcciones MAC asignadas por el hipervisor (únicamente cortafuegos VM-Series) Seleccione la casilla de verificación para que el cortafuegos VM-Series use las direcciones MAC asignadas por el hipervisor. Busque el número de serie en el correo electrónico de ejecución de pedido que se le ha enviado. Configuración de gestión (Continuación) Elemento Descripción Hora Defina la fecha y hora del cortafuegos: • Introduzca la fecha actual (con el formato AAAA/MM/DD). Número de serie (solo máquinas virtuales de Panorama) Introduzca el número de serie de Panorama. Capacidad de cortafuegos virtuales Habilita el uso de varios sistemas virtuales en cortafuegos que admiten esta función (consulte “Definición de sistemas virtuales”). el dispositivo usa el perfil de autenticación asociado con la cuenta del administrador para su autenticación (consulte “Creación de cuentas administrativas”). Configuración de autenticación Perfil de autenticación Seleccione el perfil de autenticación (o secuencia) para autenticar administradores que tengan cuentas externas (cuentas no definidas en el dispositivo). Base de datos de filtrado de URL (únicamente en Panorama) Seleccione un proveedor de filtrado de URL en Panorama: brightcloud o paloaltonetworks (PAN-DB). versión 7. Si habilita esta opción y usa una dirección IPv6 para la interfaz. el ID de la interfaz no debe usar el formato EUI-64. debe instalar también el archivo de diccionario RADIUS de Palo Alto Networks en el servidor RADIUS. Para obtener más información. que procede de la dirección IPv6 de la dirección MAC de la interfaz. Comprobación del vencimiento del certificado Indique al cortafuegos que deberá crear mensajes de advertencia cuando se acerque la fecha de vencimiento de los certificados integrados.Definición de la configuración de gestión Tabla 1. consulte “Bloqueo de transacciones”.0) y la longitud (de -180. Ubicación geográfica Introduzca la latitud (de -90. Cuando los administradores externos inician sesión. 18 • Guía de referencia de interfaz web . Adquirir bloqueo de compilación automáticamente Marque la casilla de verificación para aplicar automáticamente un bloqueo de compilación cuando cambie la configuración candidata. Si selecciona Ninguno. Para permitir la autenticación de administradores externos. Consulte la documentación de software del servidor RADIUS para obtener instrucciones sobre la ubicación de instalación del archivo. o bien seleccione la fecha de la lista desplegable. el dispositivo les solicita la información de autenticación (incluido el rol del administrador) desde el servidor RADIUS.0 a 180.0 Palo Alto Networks . Si desea información detallada. el dispositivo no autenticará a los administradores externos y estos no podrán iniciar sesión. Nota: Si un administrador es local. • Introduzca la hora actual con el formato de 24 horas (HH:MM:SS). En una configuración activa/ pasiva de alta disponibilidad (HA). en lugar de generar una dirección MAC usando el esquema personalizado de PAN-OS. consulte “Configuración de perfiles de autenticación” y “Configuración de ajustes de servidor RADIUS”.

Deshabilitar/Habilitar objetos y política de Panorama Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. También debe configurar los ajustes de conexión y uso compartido del objeto en Panorama. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. Reintentar recuento de envíos SSL a Panorama Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a Panorama (intervalo: 1-64. Para invertir la política de cortafuegos y la gestión de objetos en Panorama. predeterminado: 0) que PAN-OS permite para la interfaz web y la CLI antes de bloquear la cuenta. En condiciones normales de funcionamiento. Para conservar una copia local de las políticas y objetos del grupo de dispositivos del cortafuegos. Después de realizar una compilación. Tiempo de espera de inactividad Introduzca el intervalo de tiempo de espera en minutos (intervalo: 0-1440. interfaz web o de CLI no presenta ningún tiempo de espera. Configuración de gestión (Continuación) Elemento Descripción Perfil del certificado Seleccione el perfil del certificado que debe utilizar el administrador para acceder al cortafuegos. en el cuadro de diálogo que se abre al hacer clic en el botón. Para obtener instrucciones sobre cómo configurar perfiles de autenticación. Palo Alto Networks Guía de referencia de interfaz web . Tiempo de bloqueo Introduzca el número de minutos (intervalo: 0-60. esta acción también elimina estas políticas y objetos del cortafuegos. introduzca la dirección IP del servidor secundario de Panorama en el segundo campo Servidores de Panorama. predeterminado: 0). Tiempo de espera de envío para conexión a Panorama Introduzca el tiempo de espera en segundos para enviar mensajes de TCP a Panorama (intervalo: 1-240 segundos.0 • 19 . predeterminado: 25). Si el valor es 0. versión 7. Estos ajustes establecen una conexión entre el cortafuegos y Panorama. la sesión de gestión. Un valor de 0 significa que el número de intentos es ilimitado. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores de objetos y reglas diferentes a los definidos en el grupo de dispositivos. consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”. Ajustes de Panorama: Dispositivo > Configuración > Gestión Configure el siguiente ajuste en el cortafuegos o en una plantilla de Panorama. haga clic en Habilitar objetos y política de Panorama. Tiempo de espera de recepción para conexión a Panorama Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de Panorama (intervalo: 1-240 segundos. Si Panorama tiene una configuración de alta disponibilidad (HA). Al hacer clic en Desactivar política y objetos de Panorama. Servidores de Panorama Introduzca la dirección IP del servidor de Panorama. consulte “Creación de un perfil del certificado”. predeterminado: 240). predeterminado: 240). seleccione la casilla de verificación Importar política y objetos de Panorama antes de desactivar. las políticas y objetos pasan a formar parte de la configuración del cortafuegos y Panorama deja de gestionarlos.Definición de la configuración de gestión Tabla 1. Un valor de 0 significa que el número de intentos es ilimitado. se deshabilita la propagación de las políticas de grupo de dispositivos y objetos al cortafuegos. Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos (intervalo: 0-10. predeterminado: 0) que PAN-OS bloquea a un usuario si este alcanza el límite de intentos fallidos. De forma predeterminada.

desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. Tiempo de espera de recepción para conexión a dispositivo Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores configuración de dispositivos y red diferentes a los definidos en el grupo de dispositivos. PAN-OS busca en las políticas de Panorama referencias a direcciones. configure los siguientes ajustes en Panorama. servicios y objetos de grupo de servicio y no comparte ningún objeto sin referencia. versión 7. la información de la plantilla pasa a formar parte de la configuración del cortafuegos y Panorama deja de gestionarla. Estos ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones desde Panorama a los cortafuegos gestionados.0 Palo Alto Networks .Definición de la configuración de gestión Tabla 1. así como los parámetros de uso compartido de los objetos. Para conservar una copia de la información de la plantilla en el cortafuegos. Reintentar recuento de envío SSL a dispositivo Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a cortafuegos gestionados (intervalo: 1-64. esta acción también elimina la información de plantilla del cortafuegos. el valor antecesor sustituirá a cualquier valor de cancelación. 20 • Guía de referencia de interfaz web . predeterminado: 25). Configuración de gestión (Continuación) Elemento Descripción Deshabilitar/habilitar plantilla de dispositivo y red Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). Compartir con dispositivos objetos de direcciones y servicios no utilizados Seleccione esta casilla de verificación para compartir todos los objetos compartidos de Panorama y los objetos específicos de grupos de dispositivos con cortafuegos gestionados. Esto significa que si realiza una compilación de grupo de dispositivos. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. haga clic en Habilitar plantilla de dispositivo y red. Los objetos antecesores tienen prioridad Seleccione la casilla de verificación para especificar que si los grupos de dispositivos en diferentes niveles de la jerarquía tienen objetos del mismo tipo y nombre pero con valores diferentes. este ajuste global del sistema está deshabilitado y los objetos que cancele en un grupo sucesor tendrán prioridad en ese grupo sobre los valores heredados de los grupos antecesores. se deshabilita la propagación de información de plantillas (configuraciones de dispositivo y red) al cortafuegos. los valores de objeto en los grupos antecesores tienen prioridad sobre los valores de los grupos sucesores. Si desactiva la casilla de verificación. Al hacer clic en Desactivar dispositivo y plantilla de red. De manera predeterminada. predeterminado: 240). grupos de direcciones. Ajustes de Panorama: Panorama > Configuración > Gestión Si usa Panorama para gestionar los cortafuegos. También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla en Panorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”. Enviar tiempo de espera de conexión a dispositivo Introduzca el tiempo de espera en segundos para enviar mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. Este ajuste está deshabilitado de manera predeterminada. De forma predeterminada. Si quiere configurar el cortafuegos para que vuelva a aceptar plantillas. Esta opción reduce el recuento total de objetos asegurándose de que PAN-OS solo envía los objetos necesarios a cortafuegos gestionados. en el cuadro de diálogo que se abre al hacer clic en el botón seleccione la casilla de verificación Importar plantillas de dispositivo y red antes de deshabilitar. Después de realizar una compilación. En condiciones normales de funcionamiento. predeterminado: 240).

Ping.255. Recomendamos que compile siempre una configuración completa. SSL de escucha de Syslog de ID de usuario. Dirección IPv6/longitud de prefijo Si su red usa IPv6. Las opciones incluyen 10 Mbps. Utilice el ajuste de negociación automática predeterminado para que el dispositivo (Panorama o el cortafuegos) determine la velocidad de interfaz. Palo Alto Networks Guía de referencia de interfaz web . recopilación de logs y comunicación de grupos de recopiladores. De forma alternativa.0). Al usar esta opción para el dispositivo M-Series de Panorama. debe asignar también una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). OCSP de HTTP. Telnet. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz de gestión. dispositivo M-Series de Panorama o dispositivo virtual de Panorama. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). debe asignar también una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). De forma predeterminada. solo puede acceder al dispositivo a través del puerto de la consola para futuros cambios de configuración. Nota: Para completar la configuración de la interfaz de gestión. SNMP. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud de prefijo (para IPv6). asigne una dirección IPv6 a la interfaz de gestión. el cortafuegos no podrá conectarse y reenviar logs a Panorama o recibir actualizaciones de configuración. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. puede asignar la dirección IP de una interfaz de loopback para la gestión de dispositivos. si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador. Configuración de gestión (Continuación) Elemento Descripción Configuración de interfaz de gestión Esta interfaz se aplica al cortafuegos. Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz de gestión. SSH (Secure Shell). Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de cortafuegos.0 • 21 . Si compila una configuración parcial (por ejemplo. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. De manera predeterminada.Definición de la configuración de gestión Tabla 1. debe introducir también una máscara de red (por ejemplo. Servicios Seleccione los servicios que quiere que se habiliten en la dirección de interfaz de gestión especificada: HTTP. Sin embargo. el dispositivo M-Seriesutiliza la interfaz de gestión (MGT) para configuración. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz de gestión. asigne una dirección IPv4 a la interfaz de gestión. podría omitir la puerta de enlace predeterminada). Dirección IP (IPv4) Si la red utiliza IPv4. ID de usuario (User-ID). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz de gestión. se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes Eth1 o Eth2. debe especificar la dirección IP. añada la dirección IP de cada cortafuegos gestionado. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. De lo contrario. opción predeterminada 1500). UDP de escucha de Syslog de ID de usuario. la dirección IP que introduzca es la dirección de origen para el reenvío de logs. HTTPS. versión 7.255. 255. El dispositivo virtual de Panorama no admite interfaces separadas. 100 Mbps y 1 Gbps con dúplex completo o medio. Para indicar la máscara de red.

Ajustes de la interfaz Eth2 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada.255. versión 7. Configuración de gestión (Continuación) Elemento Descripción Ajustes de la interfaz Eth1 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. recopilación de logs y comunicación de grupos de recopiladores. opción predeterminada 1500). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz. 22 • Guía de referencia de interfaz web . Dirección IP (IPv4) Si su red utiliza IPv4. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. Las opciones incluyen 10 Mbps. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. debe introducir también una máscara de red (por ejemplo. asigne una dirección IPv4 a la interfaz Eth1. 100 Mbps y 1 Gbps con dúplex completo o medio. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Eth2 Seleccione esta casilla de verificación para activar la interfaz Eth2. Para indicar la máscara de red. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). puede configurarlo para la recopilación de logs o la comunicación de grupos de recopiladores cuando defina los recopiladores gestionados (Panorama > Recopiladores gestionados). Sin embargo. Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. Eth1 Seleccione esta casilla de verificación para activar la interfaz Eth1.Definición de la configuración de gestión Tabla 1. 255. De manera predeterminada.255. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. si habilita Eth1.255. si habilita Eth2. el dispositivo M-Series usa la interfaz de gestión para configuración. Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth1. 255. asigne una dirección IPv4 a la interfaz Eth2. Sin embargo.0). también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth1. Dirección IP (IPv4) Si su red utiliza IPv4.0).0 Palo Alto Networks . Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. recopilación de logs y comunicación de grupos de recopiladores. Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP. De manera predeterminada. puede configurarlo para la recopilación de logs o comunicación de grupos de recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados).255. debe introducir también una máscara de red (por ejemplo. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que el puerto Eth2). PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth1. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. el dispositivo M-Series usa la interfaz de gestión para configuración. debe asignar también una dirección IPv6 a la interfaz Eth1.

PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. opción predeterminada 1500). MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. Puerta de enlace IPv6 predeterminada Si ha especificado una dirección IPv6 a la interfaz. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth2. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth2. asigne una dirección IPv6 a la interfaz Eth2. Palo Alto Networks Guía de referencia de interfaz web . Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz.Definición de la configuración de gestión Tabla 1. también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth2). Para indicar la máscara de red. Las opciones incluyen 10 Mbps. Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth2. 100 Mbps y 1 Gbps con dúplex completo o medio. versión 7. Configuración de gestión (Continuación) Elemento Descripción Dirección IPv6/longitud de prefijo Si su red utiliza IPv6.0 • 23 .

El dispositivo elimina automáticamente los logs que superan el periodo especificado. la asignación de disco asociada cambia automáticamente.0 Palo Alto Networks . 24 • Guía de referencia de interfaz web . • Atributos para calcular y exportar informes de actividad de usuarios. • Días máx. logs de tráfico y amenazas). no los elimina a menos que se produzca una conmutación por error y se vuelva activo. Pestaña secundaria Almacenamiento de log (Las pestañas Almacenamiento de tarjeta de log y Almacenamiento de tarjeta de gestión solo se aplican a los cortafuegos de las series PA-7000) Especifique para cada tipo de log y tipo de resumen de log: • La cuota asignada en el disco duro para almacenamiento de logs. Los ajustes se aplican a todos los sistemas virtuales del cortafuegos. Si el total de todos los valores supera el 100%. Si esto sucede. no se fija ningún periodo. el peer pasivo no recibe logs y. En una configuración activa/pasiva de alta disponibilidad (HA). La pestaña Almacenamiento de log tiene la configuración de la cuota para el tráfico del tipo de datos en la LPC (por ejemplo. ajuste los porcentajes de modo que el total quede por debajo del límite del 100%. lo que significa que los logs no vencen nunca. Si reduce el tamaño de una cuota de log. Cuando una cuota de log alcanza el tamaño máximo. – Los logs que genera el servidor de gestión de Panorama y sus recopiladores gestionados (Panorama > Configuración > Gestión).Definición de la configuración de gestión Tabla 1. • Informes predefinidos creados en el cortafuegos/Panorama. por lo tanto. De manera predeterminada. el dispositivo elimina los logs más antiguos cuando compila los cambios. consulte “Definición de grupos de recopiladores de logs”. Los ajustes se sincronizan a través de alta disponibilidad. La pestaña Almacenamiento de la tarjeta de gestión tiene configuración de cuota para el tráfico de tipo de gestión almacenado en la SMC (por ejemplo. PRECAUCIÓN: Los logs de resumen semanales pueden superar el umbral y continuar hasta la siguiente eliminación si alcanzan el umbral de vencimiento entre dos fechas de eliminación de logs. Haga clic en ACEPTAR para guardar los cambios. – Logs que genera un cortafuegos (Dispositivo > Configuración > Gestión). los logs del sistema y logs de alarmas). Los cortafuegos de la serie PA-7000 almacenan los logs en la tarjeta de procesamiento de logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y divide las cuotas de registro en estas dos áreas. aparecerá un mensaje de color rojo en la página y un mensaje de error cuando intente guardar la configuración. versión 7. Configuración de gestión (Continuación) Elemento Descripción Configuración de log e informes Use esta sección para modificar: • Periodos de vencimiento y cuotas de almacenamiento para los logs e informes que generen los siguientes dispositivos. en forma de porcentaje. que es el periodo de vencimiento de los logs (intervalo: 1-2000). Para configurar los ajustes de logs que los cortafuegos envían a un recopilador gestionado. El dispositivo evalúa los logs a medida que los crea y elimina los logs que superan el periodo de vencimiento o el tamaño de cuota.. el dispositivo empieza a sustituir las entradas del log más antiguas por las nuevas. los logs de configuración. Haga clic en Restablecer valores predeterminados para recuperar los valores predeterminados. Al cambiar un valor de cuota.

predeterminado: 60).0 • 25 . el tiempo de exploración de dicha página seguirá siendo de 2 minutos.Definición de la configuración de gestión Tabla 1. Ejemplo: si el tiempo medio de exploración es de 2 minutos y un usuario abre una página web y visualiza dicha página durante 5 minutos. Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se considerará una nueva actividad de exploración. valor predeterminado: 5000). El cálculo ignorará las páginas web nuevas que se carguen entre el momento de la primera solicitud (hora de inicio) y el tiempo medio de exploración. Palo Alto Networks Guía de referencia de interfaz web . Para obtener más información sobre la página contenedora. (hora del dispositivo).): Configure esta variable para ajustar cómo se calcula el tiempo de exploración en segundos para “Informe de actividad del usuario” (intervalo: 0-300 segundos. Máx. valor predeterminado: 65535). El dispositivo elimina los informes que han vencido todas las noches a las 2 a. el nombre de host. El cálculo ignorará los sitios categorizados como anuncios web y redes de entrega de contenido. Cualquier solicitud que se produzca entre la primera carga de la página y el umbral de carga de página se considerará que son elementos de la página. predeterminado: 20). lo que significa que los informes no vencen nunca. Máx. Cualquier solicitud que se produzca fuera del umbral de carga de página se considerará que es el usuario haciendo clic en un enlace de la página. Período de vencimiento del informe: Defina el periodo de vencimiento en días para los informes (intervalo: 1-2000). El cálculo del tiempo de exploración se basa en las páginas contenedoras registradas en los logs de filtrado de URL. Formato de nombre de host de Syslog: Seleccione si desea utilizar el nombre de dominio completo (FQDN). Esto es así porque no hay forma de determinar durante cuánto tiempo un usuario visualiza una página concreta. Puede utilizar estas versiones guardadas para auditar y comparar cambios en la configuración.m. El umbral de carga de página también se utiliza en los cálculos para el informe de actividad de usuario. de filas en informe de actividad de usuario: Introduzca el número máximo de filas que se admite para los informes de actividad de usuario detallada (intervalo: 1-1048576. Las páginas contenedoras se utilizan como base para este cálculo debido a que muchos sitios cargan contenido de sitios externos que no debería considerarse. no se fija ningún periodo. la dirección IP (v4 o V6) en el encabezado del mensaje de Syslog. de filas en exportación CSV: Introduzca el número máximo de filas que aparecerán en los informes CSV generados desde el icono Exportar a CSV de la vista de logs de tráfico (rango 1-1048576. Detener tráfico cuando LogDb esté lleno: (Únicamente cortafuegos) Seleccione la casilla de verificación si desea que se detenga el tráfico a través del cortafuegos cuando la base de datos de logs esté llena (desactivada de manera predeterminada). Este comportamiento se ha diseñado para excluir los sitios externos que se carguen dentro de la página web de interés. Configuración de gestión (Continuación) Elemento Descripción Pestaña secundaria Exportación e informes de log Número de versiones para auditoría de configuraciones: Introduzca el número de versiones de configuración que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). Número de versiones para Configurar copias de seguridad: (Solo Panorama) Introduzca el número de copias de seguridad de configuraciones que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). Umbral de carga de página (seg): Esta opción le permite ajustar el tiempo previsto en segundos que tardan los elementos de una página en cargarse en la página (intervalo: 0-60. versión 7. Tiempo medio de exploración (seg. consulte “Páginas contenedoras”. este encabezado identifica el cortafuegos/Panorama desde el que se origina el mensaje. De manera predeterminada. El ajuste de tiempo medio de exploración es el tiempo medio que el administrador considera que tardará un usuario en explorar una página web.

Este comportamiento suele habilitarse para impedir que los cortafuegos envíen grandes volúmenes de logs almacenados en búfer cuando se restablezca la conexión con Panorama después de un período de tiempo significativo. Nota: Antes deshabilitar un informe. Si un informe predefinido forma parte de un conjunto de de informes y se deshabilita.Definición de la configuración de gestión Tabla 1. Si se consume el espacio. esta opción está habilitada. versión 7. Informes predefinidos: Hay informes predefinidos para aplicación. asegúrese de que no se incluye en ningún informe de grupos o informe PDF. puede deshabilitar los informes que no sean relevantes. las entradas más antiguas se eliminarán para permitir el registro de nuevos eventos. el conjunto de informes al completo dejará de contener datos. Una carga alta de CPU puede degradar el funcionamiento porque la CPU no tiene suficientes ciclos para procesar todos los paquetes. para deshabilitar un informe. Con los logs de NFS solo se monta la instancia principal de Panorama en el NFS. los cortafuegos solo envían logs en la instancia activa principal de Panorama. Utilice las opciones Seleccionar todo o Anular selección para habilitar o deshabilitar completamente la generación de los informes predefinidos. De forma predeterminada. (Solo en Panorama) Reenvío de log en búfer desde dispositivo: Permite al cortafuegos almacenar en búfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexión con Panorama. 26 • Guía de referencia de interfaz web . quite la marca de la casilla de verificación de los mismos. Solo logs principales activos al disco local: le permite configurar solo la instancia principal activa para guardar logs en el disco local. De forma predeterminada. Esta opción es válida para una máquina virtual de Panorama con un disco virtual y para el dispositivo M-Series en modo Panorama. la entradas de log se reenvían a la aplicación. Esta opción permite que un administrador configure los cortafuegos gestionados para que solo envíen los logs recién generados a Panorama cuando se produce un error de HA y la instancia secundaria de Panorama continúa creando logs para el NFS (después de promocionarse como principal). amenazas y filtrado de URL disponibles en el cortafuegos y en Panorama. Cuando se restaura la conexión con Panorama.0 Palo Alto Networks . estos informes predefinidos están habilitados. Configuración de gestión (Continuación) Elemento Descripción Habilitar log con carga alta: (Únicamente cortafuegos) Seleccione esta casilla de verificación si desea que se genere una entrada de log del sistema cuando la carga de procesamiento del paquete del cortafuegos esté al 100% de la utilización de la CPU. Por lo tanto. Debido a que los cortafuegos consumen recursos de memoria para generar resultados cada hora (y enviarlos a Panorama cuando se agrega y se compila para visualización). reduciendo así el uso de memoria. esta opción está deshabilitada. De forma predeterminada. el espacio en disco disponible para el almacenamiento en búfer depende de la cuota de almacenamiento de logs para la plataforma y el volumen de los logs que quedan por ejecutar. tráfico. Obtener únicamente nuevos logs al convertir a principal: Esta opción solo es aplicable cuando Panorama escribe logs en un recurso compartido de archivos de red (NFS). El log del sistema le avisa sobre este problema (se genera una entrada de log cada minuto) y le permite investigar la posible causa.

10 minúsculas. Con esta función. Es necesario cambiar la contraseña al iniciar sesión por primera vez Seleccione esta casilla de verificación para pedir a los administradores que cambien sus contraseñas la primera vez que inicien sesión en el dispositivo. Por ejemplo. Bloquear período de cambio de contraseña (días) El usuario no podrá cambiar sus contraseñas hasta que no se haya alcanzado el número de días especificado (rango: 0-365 días). la contraseña no está permitida. si el valor se fija en 2. utilice siempre el dispositivo principal cuando configure opciones de complejidad de contraseña y compile lo antes posible después de realizar cambios. asegúrese de no crear una combinación que no pueda aceptarse. Si establece el valor en 2. Letras en minúscula mínimas Exija un número mínimo de letras en minúscula de 0-15 caracteres. Caracteres especiales mínimos Exija un número mínimo de caracteres especiales (no alfanuméricos) de 0-15 caracteres. Longitud mínima Exija una longitud mínima de 1-15 caracteres. 10 números y 10 caracteres especiales. Bloquear inclusión de nombre de usuario (incluida su inversión) Seleccione esta casilla de verificación para impedir que el nombre de usuario de la cuenta (o la versión invertida del nombre) se utilice en la contraseña. Consulte “Definición de funciones de administrador” para obtener información sobre los caracteres válidos que pueden utilizarse en las cuentas. Para obtener más información. Por ejemplo. La nueva contraseña difiere por caracteres Cuando los administradores cambien sus contraseñas. Al ajustar los requisitos. Letras numéricas mínimas Exija un número mínimo de letras numéricas de 0-15 números. no puede establecer un requisito de 10 mayúsculas. porque el número 1 aparece tres veces seguidas. consulte “Definición de perfiles de contraseña”. el sistema aceptará la contraseña test11 u 11test11. puede garantizar que las cuentas de administrador locales del cortafuegos cumplan un conjunto definido de requisitos de contraseña. También puede crear un perfil de contraseña con un subconjunto de estas opciones que cancelará estos ajustes y que puede aplicarse a cuentas específicas. versión 7.Definición de la configuración de gestión Tabla 1.0 • 27 . Por ejemplo. Letras en mayúscula mínimas Exija un número mínimo de letras en mayúscula de 0-15 caracteres. Configuración de gestión (Continuación) Elemento Descripción Complejidad de contraseña mínima Habilitado Habilite los requisitos de contraseña mínimos para cuentas locales. Nota: La longitud de contraseña máxima que puede introducirse es de 31 caracteres. El intervalo es de 2-15. ya que esto excedería la longitud máxima de 31. si el valor se establece como 4. Evitar límite de reutilización de contraseña Exija que no se reutilice una contraseña anterior basándose en el recuento especificado. Nota: Si tiene configurada la alta disponibilidad (HA). pero no test111. no podrá reutilizar ninguna de sus últimas 4 contraseñas (rango: 0-50). los caracteres deben diferir según el valor especificado. Palo Alto Networks Guía de referencia de interfaz web . Bloquear caracteres repetidos Especifique el número de caracteres duplicados secuenciales permitidos en una contraseña. la contraseña puede contener el mismo carácter dos veces seguidas. pero si el mismo carácter se usa tres o cuatro veces seguidas.

se creará una copia de la configuración candidata actual. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). seleccione las funciones de gestión de configuración adecuadas que se describen en la tabla siguiente. ayudará a evitar estados de configuración no válidos que pueden producirse cuando se aplican cambios en tiempo real. Si pulsa Guardar. Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña.0 Palo Alto Networks . Puede guardar y restablecer la configuración candidata con la frecuencia que sea necesario y también cargar. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que la cuenta haya vencido (rango: 0-30 días). Al hacer clic en Compilar en la parte superior de la página. Este método le permite revisar la configuración antes de activarla. Si activa varios cambios simultáneamente. mientras que si selecciona Compilar. validar. se pedirá a los administradores que cambien su contraseña cada 90 días. si el valor se ha establecido como 3 y su cuenta ha vencido. lo que activa todos los cambios de configuración desde la última compilación. si el valor se establece como 90. actualizará la configuración activa con el contenido de la configuración candidata. Para gestionar configuraciones. versión 7. este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). se aplica la configuración candidata a la configuración activa. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. no la configuración activa.Definición de la configuración de operaciones Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. 28 • Guía de referencia de interfaz web . de 0 a 365 días. Por ejemplo. Inicio de sesión de administrador caducado permitido (recuento) Permita que el administrador inicie sesión el número de veces especificado después de que la cuenta haya vencido. se actualiza la configuración candidata actual. Por ejemplo. Es conveniente guardar periódicamente los ajustes de configuración que haya introducido haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla. Definición de la configuración de operaciones Dispositivo > Configuración > Operaciones Panorama > Configuración > Operaciones Cuando cambia un ajuste de configuración y hace clic en ACEPTAR. importar y exportar configuraciones.

La acción limpia el cortafuegos (elimina cualquier configuración local del mismo) y envía la configuración del cortafuegos almacenada en Panorama. Exportar versión de configuración Exporta una versión especificada de la configuración. consulte “Importa configuración del dispositivo en Panorama”. use esta opción para limpiarlo. • Exportar la configuración al cortafuegos sin cargarlo. Este comando limpia el cortafuegos del mismo modo que la opción Enviar y compilar. versión 7. Cargar instantánea de configuración con nombre Carga una configuración candidata desde la configuración activa (running-config. Exportar lote de configuración de dispositivos y Panorama (Únicamente en Panorama) Genera y exporta manualmente la versión más reciente de la copia de seguridad de configuración en curso de Panorama y de los cortafuegos gestionados. Exportar instantánea de configuración con nombre Exporta la configuración activa (running-config. Puede abrir el archivo y/o guardarlo en cualquier ubicación de red. Cargar versión de configuración Carga una versión especificada de la configuración. debe acceder a la CLI del cortafuegos y ejecutar el comando del modo de configuración load device-state. Guardar instantánea de configuración con nombre Guarda la configuración candidata en un archivo. Seleccione el archivo de configuración que debe exportarse. La configuración candidata actual se sobrescribirá. Introduzca un nombre de archivo o seleccione un archivo existente para sobrescribirlo.xml) o desde una configuración guardada o importada anteriormente. Palo Alto Networks Guía de referencia de interfaz web . Para obtener información relacionada. Después de importar una configuración de cortafuegos. de modo que pueda gestionarlo usando Panorama. Seleccione el archivo de configuración que debe cargarse.xml) no puede sobrescribirse.0 • 29 . Tenga en cuenta que el archivo de configuración activa actual (running-config. Para cargar la configuración. Para automatizar el proceso de crear y exportar el lote de configuración diariamente a un servidor SCP o FTP.xml) o una configuración guardada o importada anteriormente. La configuración en ejecución actual se sobrescribirá. Se producirá un error si no se ha guardado la configuración candidata.Definición de la configuración de operaciones Tabla 2. Exportar o insertar lote de configuración de dispositivo (Únicamente en Panorama) Le indica que seleccione un cortafuegos y realice una de las siguientes acciones en la configuración del cortafuegos almacenada en Panorama: • Enviar y compilar la configuración en el cortafuegos. Volver a la configuración en ejecución Restablece la última configuración en ejecución. La configuración candidata actual se sobrescribirá. Guardar configuración candidata Guarda la configuración candidata en la memoria flash (del mismo modo que si hiciera clic en Guardar en la parte superior de la página). consulte “Programación de exportaciones de configuración”. Funciones de gestión de configuración Función Descripción Gestión de configuración Volver a la última configuración guardada Restablece la última configuración candidata guardada desde la unidad local.

ya que puede que los certificados de satélite cambien a menudo. Haga clic en Examinar y seleccione el archivo de configuración que debe importarse. 30 • Guía de referencia de interfaz web .tgz y se guardará en /opt/ pancfg/mgmt/device-state. Esto debe hacerse con regularidad. Funciones de gestión de configuración (Continuación) Función Descripción Exportar estado de dispositivo (únicamente cortafuegos) Exporta la configuración y la información dinámica desde un cortafuegos que esté configurado como portal de GlobalProtect con la función VPN a gran escala (LSVPN) habilitada. El archivo se denominará device_state_cfg. Esto incluye la configuración en ejecución actual. Para obtener información sobre cómo utilizar la API XML. La exportación incluye una lista de todos los dispositivos satélite gestionados por el portal. Importante: Debe realizar manualmente la exportación del estado del dispositivo o crear una secuencia de comandos programada de la API XML para exportar el archivo a un servidor remoto. en el modo de configuración. plantillas de Panorama y políticas compartidas. Para crear el archivo de estado del dispositivo a partir de la CLI. la exportación incluirá la información de la Entidad de certificación (CA) y la lista de los dispositivos satélite con su información de autenticación. El comando de operación para exportar el archivo de estado del dispositivo es scp export device-state (también puede utilizar tftp export device-state). Si el dispositivo es un portal de GlobalProtect. ejecute save device state. servidor y satélite). consulte el documento “PAN-OS XML-Based Rest API Usage Guide” (Guía de uso de la API Rest basada en XML de PAN-OS. en inglés) en http://www.paloaltonetworks.0 Palo Alto Networks . Importar instantánea de configuración con nombre Importa un archivo de configuración desde cualquier ubicación de red.Definición de la configuración de operaciones Tabla 2.com/documentation. Importar estado de dispositivo (únicamente cortafuegos) Importa la información de estado del cortafuegos que se exportó mediante la opción Exportar estado de dispositivo. versión 7. se puede importar el archivo exportado para restablecer la información dinámica y de configuración del portal. la configuración en ejecución en el momento de la exportación y toda la información de los certificados (certificados de CA raíz. Si el portal tiene un fallo.

Para un cortafuegos con vsys múltiple. • Prefijo de nombre de grupo de dispositivo (únicamente cortafuegos vsys múltiple): De manera opcional. Configure las siguientes opciones de importación: • Dispositivo: Seleccione el cortafuegos desde el que Panorama importará las configuraciones. Panorama copia los objetos del cortafuegos compartidos en grupos de dispositivos en lugar de en Compartidos. Independientemente de su selección. no un vsys individual. Panorama crea automáticamente una plantilla que contenga las configuraciones de red y dispositivo. Los grupos de dispositivos estarán un nivel por debajo de la ubicación compartida en la jerarquía. el campo estará vacío. la importación excluye el objeto del cortafuegos. los nombres de reglas deben ser exclusivos: elimine una de las reglas antes de realizar una compilación en Panorama. pero no puede usar el nombre de un grupo de dispositivo existente. Sin embargo. Panorama importa el objeto en un grupo de dispositivos independientemente de que seleccione la casilla de verificación. Para otros cortafuegos.0 • 31 . Panorama crea automáticamente un grupo de dispositivos que contenga las configuraciones de política y objetos. – Si una configuración importada en una plantilla hace referencia a un objeto de cortafuegos compartido. • Nombre de plantilla: Introduzca un nombre para la plantilla que contendrá el dispositivo importado y los ajustes de red. Panorama importa ese objeto en Compartidos independientemente de que seleccione la casilla de verificación. Palo Alto Networks Guía de referencia de interfaz web . • Ubicación de importación de reglas: Seleccione si Panorama importará las políticas como reglas previas o posteriores. aunque puede reasignarlos a un grupo de dispositivos principal diferente cuando finalice la importación (consulte “Definición de grupos de dispositivos”). versión 7. Panorama muestra ambas reglas. cada grupo de dispositivo tiene un nombre vsys de manera predeterminada. este importa el objeto del cortafuegos en cada grupo de dispositivos. Funciones de gestión de configuración (Continuación) Función Descripción Importa configuración del dispositivo en Panorama (Únicamente en Panorama) Importa una configuración de cortafuegos en Panorama. ADVERTENCIA: Las versiones de contenido en Panorama (por ejemplo. base de datos de aplicaciones y amenazas) deben ser iguales o superiores a las versiones del cortafuegos desde el que importa una configuración. la compilación fallará. El menú desplegable solo enumera los cortafuegos conectados a Panorama y no asignados a ningún grupo de dispositivos o plantilla. el valor predeterminado es el nombre del cortafuegos. Puede editar los nombres predeterminados. Para cada sistema virtual (vsys) en el cortafuegos. ADVERTENCIA: Si Panorama tiene una regla que se llama igual que una regla de cortafuegos que está importando. Para otros cortafuegos. Panorama importa reglas de seguridad predeterminadas (predeterminada intrazona y predeterminada entre zonas) en la base de reglas posterior. Este ajuste tiene las siguientes excepciones: – Si un objeto de cortafuegos compartido se llama igual y tiene el mismo valor que un objeto de Panorama existente. No puede usar el nombre de una plantilla existente. Si anula la selección de la casilla de verificación.Definición de la configuración de operaciones Tabla 2. – Si un objeto compartido hace referencia a una configuración importada en una plantilla. el valor predeterminado es el nombre del cortafuegos. de lo contrario. lo que significa que Panorama importa objetos de Compartidos en el cortafuegos a Compartidos en Panorama. – Si el nombre o el valor del objeto compartido del cortafuegos no coinciden con el objeto compartido de Panorama. Puede seleccionar solamente un cortafuegos completo. • Nombre de grupo de dispositivo: Para un cortafuegos vsys múltiple. una cadena de caracteres como prefijo para cada nombre de grupo de dispositivo. • Importar objetos compartidos de los dispositivos en el contexto compartido de Panorama: Esta casilla de verificación está seleccionada de manera predeterminada.

Deberá desenchufar la fuente de alimentación y volver a enchufarla antes de poder activar el dispositivo. Todos los cambios de configuración que no se guardasen o compilasen se perderán (consulte “Definición de la configuración de operaciones”). Reiniciar plano de datos Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo. versión 7. utilice el comando de la CLI request restart dataplane.Definición de la configuración de operaciones Tabla 2. Todos los cambios de configuración que no se hayan guardado o compilado se perderán. utilice el comando de la CLI request shutdown system . • Se crearán logs del sistema que mostrarán el nombre del administrador que inició el apagado. cierra y registra las sesiones existentes y crea un log del sistema que muestra el nombre del administrador que inició el apagado. Nota: Si la interfaz web no está disponible. Nota: Si la interfaz web no está disponible. Funciones de gestión de configuración (Continuación) Función Descripción Operaciones de dispositivo Reiniciar Para reiniciar el cortafuegos o Panorama. utilice el comando de la CLI request restart system. Esta opción no está disponible en el cortafuegos PA-200 y Panorama. • Se cerrarán y registrarán las sesiones existentes. haga clic en Apagar dispositivo o Apagar Panorama y. Nota: Si la interfaz web no está disponible. Si no se puede crear esta entrada de log. • Se detendrán todos los procesos del sistema. Todos los administradores cerrarán sesión y se producirán los siguientes procesos: • Se cerrarán todas las sesiones de inicio de sesión. aparecerá una advertencia y el sistema no se apagará.0 Palo Alto Networks . 32 • Guía de referencia de interfaz web . haga clic en Reiniciar dispositivo. • Ahora podrá desmontar de manera limpia las unidades de disco y el dispositivo dejará de recibir alimentación. vuelve a cargar el software (PAN-OS o Panorama) y la configuración activa. Apagar Para realizar un apagado correcto del cortafuegos/Panorama. haga clic en Sí en el mensaje de confirmación. haga clic en Reiniciar plano de datos. El dispositivo cierra su sesión. • Se deshabilitarán las interfaces. a continuación.

haga clic en el icono de informe . Para ver un informe.Definición de la configuración de operaciones Tabla 2. • Para volver al logotipo predeterminado. Si es necesario. a continuación. Puede permitir que el cortafuegos envíe cualquiera de los siguientes tipos de información: • Informes de aplicación y amenazas • Informes de aplicaciones desconocidas • Informes de URL • Seguimientos de bloqueos de dispositivos Para ver una muestra del contenido de un informe estadístico que se enviará. • El tamaño de imagen máximo para cualquier imagen de logotipo es de 128 KB. cuando se utilizan en informes en PDF. Palo Alto Networks Guía de referencia de interfaz web . versión 7. • En el caso de las opciones de la pantalla de inicio de sesión y de la interfaz de usuario principal. En el caso de informes en PDF. se cargará información cada 4 horas. La información recopilada permite que el equipo de investigación mejore continuamente la eficacia de los productos de Palo Alto Networks basándose en información del mundo real. haga clic en la casilla de verificación que aparece junto al informe deseado y. se recortará la imagen para ajustarla. Este servicio está deshabilitado de manera predeterminada y.0 • 33 . • Imagen de pie de página del informe en PDF Haga clic en para cargar un archivo de imagen. el tamaño de las imágenes se ajustará automáticamente sin recortarlas. En todos los casos. consulte “Gestión de informes de resumen en PDF”. la imagen se mostrará del modo en que se visualizará. Funciones de gestión de configuración (Continuación) Función Descripción Varios Logotipos personalizados Utilice esta opción para personalizar cualquiera de los siguientes elementos: • Imagen de fondo de la pantalla de inicio de sesión • Imagen de encabezado de la interfaz de usuario principal • Imagen de la página de título del informe en PDF. Consulte “Habilitación de supervisión de SNMP”. Consulte “Gestión de informes de resumen en PDF”. una vez habilitado. al hacer clic en . Configuración del servicio de estadísticas La función Servicio de estadísticas permite que el cortafuegos envíe información de aplicaciones anónimas. Tenga en cuenta lo siguiente: • Los tipos de archivos admitidos son png. la vista previa muestra las dimensiones de imagen recomendadas. haga clic en la pestaña Muestra de informe. gif y jpg. Para obtener información sobre cómo generar informes en PDF. Configuración de SNMP Especifique parámetros de SNMP. elimine su entrada y realice una compilación. en para obtener una vista previa o en para eliminar una imagen cargada anteriormente. Se abrirá la pestaña Muestra de informe para mostrar el código del informe. Puede que tenga que ponerse en contacto con el creador de la imagen para eliminar los canales alfa de la imagen o asegurarse de que el software de gráficos que está utilizando no guarda los archivos con la función de canal alfa. Los archivos de imagen con un canal alfa no son compatibles y. los informes no se generan correctamente. amenazas y bloqueos al equipo de investigación de Palo Alto Networks.

Estado Consulte “Configuración del estado del módulo de seguridad de hardware de Luna SA de Safenet” o “Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect” según sea necesario. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. Nombre de grupo de alta disponibilidad. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. No se necesita otra configuración. Configuración de estado del proveedor de módulo HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. Alta disponibilidad Si se selecciona. se configura la alta disponibilidad del HSM. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Tabla 4.0 Palo Alto Networks . versión 7. la clave maestra se asegura en el HSM. Ajustes de configuración de HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. Cree varios nombres de módulos si está definiendo una configuración de alta disponibilidad del HSM. De forma predeterminada. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. Solo Luna SA de Safenet. Solo Luna SA de Safenet.Definición de módulos de seguridad de hardware Definición de módulos de seguridad de hardware Dispositivo > Configuración > HSM La pestaña HSM le permite ver el estado y configurar un módulo de seguridad de hardware (HSM). Dirección de origen de cortafuegos Dirección del puerto utilizado para el servicio HSM. 34 • Guía de referencia de interfaz web . Sin embargo. Para configurar un módulo de seguridad de hardware (HSM) en el cortafuegos. Clave maestra asegurada por HSM Si se activa. Nombre de módulo Especifique un nombre de módulo para el HSM. haga clic en el icono Editar de la sección Proveedor de módulo de seguridad de hardware y configure los siguientes ajustes. se trata de la dirección del puerto de gestión. Nombre de grupo configurado en el cortafuegos para la alta disponibilidad del HSM. Dirección de servidor Especifique una dirección de IPv4 para cualquier módulo HSM que esté configurando. Tabla 3. La siguiente configuración de estado aparece en la sección del proveedor de módulo de seguridad de hardware. se puede especificar como un puerto diferente a través de la opción Configuración de ruta de servicios en Dispositivo > Configuración > Servicios.

Rango 0 -500. Se debe configurar el nombre del módulo y la dirección del servidor de todos los módulos HSM. Partición Nombre de la partición en el HSM que se asignó en el cortafuegos. Ajustes de configuración de HSM (Continuación) Campo Descripción Alta disponibilidad Solo Luna SA de Safenet Seleccione esta casilla de verificación si está definiendo módulos HSM en una configuración de alta disponibilidad. Reintento de recuperación automática Solo Luna SA de Safenet Especifique el número de intentos que debe realizar el cortafuegos para recuperar la conexión con HSM antes de conmutarse por error a otro HSM en una configuración de alta disponibilidad del HSM.0 • 35 . Tabla 5. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect Campo Descripción Nombre Nombre del servidor del HSM. Palo Alto Networks Guía de referencia de interfaz web . Nombre de grupo de alta disponibilidad. versión 7. Ajustes de Configurar módulo de seguridad de hardware Campo Descripción Nombre de servidor Seleccione un nombre de servidor HSM en el cuadro desplegable. Dirección IP Dirección IP del HSM que se asignó en el cortafuegos. Contraseña de administrador Introduzca la contraseña del administrador de HSM para autenticar el cortafuegos en el HSM. Solo Luna SA de Safenet Especifique el nombre de grupo que se debe utilizar para el grupo de alta disponibilidad del HSM. Safenet Configuración del estado del módulo de seguridad de hardware de Luna SA de Campo Descripción Número de serie Se muestra el número de serie de la partición del HSM si la partición de HSM se ha autenticado correctamente. La sección Estado de módulo de seguridad de hardware proporciona la siguiente información sobre los HSM que se han autenticado correctamente.Definición de módulos de seguridad de hardware Tabla 4. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. La pantalla mostrará opciones diferentes dependiendo el proveedor HSM configurado. Seleccione Configurar módulo de seguridad de hardware y configure los siguientes ajustes para autenticar el cortafuegos en el HSM. Este ajuste tendrá el valor Autenticado si el HSM aparece en esta tabla. Este nombre lo utiliza el cortafuegos de forma interna. Dirección de sistema de archivos remoto Solo Thales Nshield Connect Configure la dirección IPv4 del sistema de archivos remoto utilizado en la configuración de HSM de Thales Nshield Connect. Tabla 6. Estado de módulo Estado de funcionamiento actual del HSM. Tabla 7.

versión 7. Haga clic en el enlace Configuración de SNMP y especifique los siguientes ajustes para permitir las solicitudes GET SNMP desde su gestor de SNMP: Tabla 8. Un trap SNMP identifica un evento con un ID de objeto único (OID) y los campos individuales se definen como una lista de enlaces de variables (varbind). Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar las estadísticas que recopila de los dispositivos de Palo Alto Networks. admite todos los caracteres y distingue entre mayúsculas y minúsculas. lo que significa que el dispositivo usa un OID exclusivo para cada trap SNMP en función del tipo de evento. Esta cadena puede tener hasta 127 caracteres. Los MIB SNMP definen todos los traps SNMP que genera el dispositivo. Este ajuste se indica en la MIB de información del sistema estándar. Cuando se genera un log o trap. Se recomienda no usar la cadena de comunidad pública predeterminada. Si anula la selección de esta casilla de verificación. 36 • Guía de referencia de interfaz web .0 Palo Alto Networks . Configuración de SNMP Campo Descripción Ubicación física Especifique la ubicación física del cortafuegos. todos los traps tendrán el mismo OID. consulte MIB compatibles. Para SNMP V2c Cadena de comunidad SNMP Introduzca la cadena de comunidad. Su selección controla los campos restantes que muestra el cuadro de diálogo. • Autenticado • No autenticado Habilitación de supervisión de SNMP Dispositivo > Configuración > Operaciones SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. esta información le permite identificar (en un gestor de SNMP) el dispositivo que ha generado la notificación. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores). Para configurar el perfil de servidor que habilita la comunicación del cortafuegos con los destinos trap SNMP en su red (consulte “Configuración de destinos de traps SNMP”). Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar.Habilitación de supervisión de SNMP Tabla 7. Utilizar definiciones de traps específicas Esta casilla de verificación está seleccionada de manera predeterminada. Contacto Introduzca el nombre o la dirección de correo electrónico de la persona responsable del mantenimiento del cortafuegos. Use la página Operaciones para configurar el dispositivo y usar la versión de SNMP compatible con su gestor de SNMP (SNMPv2c o SNMPv3). que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí cuando intercambian mensajes get (solicitud de estadísticas) y trap SNMP. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect (Continuación) Campo Descripción Estado de módulo Estado de funcionamiento actual del HSM.

Palo Alto Networks Guía de referencia de interfaz web . usan para operar eficientemente. Definición de la configuración de servicios Dispositivo > Configuración > Servicios En un cortafuegos donde hay múltiples sistemas virtuales habilitados.6. Para cada usuario.6. Usuarios Las cuentas de usuario SNMP proporcionan autenticación.Definición de la configuración de servicios Tabla 8.1. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. • Opción: Seleccione la lógica de coincidencia que se aplica al MIB. El dispositivo usa la contraseña para autenticar el gestor SNMP cuando se reenvían traps y se responde a solicitudes de estadísticas. Cada vista es un OID emparejado y una máscara binaria: el OID especifica un MIB y la máscara (en formato hexadecimal) especifica qué objetos son accesibles dentro (incluir coincidencias) o fuera (excluir coincidencias) del MIB. la pestaña Servicios se divide en las pestañas Global y Sistemas virtuales. Estos ajustes también se usan como los valores predeterminados para sistemas virtuales que no tienen un ajuste personalizado para un servicio. • OID: Especifique el OID del MIB. • Ver: Asigne un grupo de vistas al usuario. si el OID es 1. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. • Máscara: Especifique la máscara en formato hexadecimal.6. use el OID de máximo nivel 1. haga clic en Añadir. versión 7.3. guiones bajos o guiones.3.2 coincide con la máscara y 1. Los objetos no necesitan coincidir con los nodos restantes.0 • 37 .6. no hay dos pestañas. introduzca un nombre para el grupo y configure lo siguiente en cada vista que añada al grupo: • Ver: Especifique un nombre para una vista. • Contraseña privada: Especifique la contraseña de privacidad del usuario. Configuración de SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre/Vista Puede asignar un grupo de una o más vistas al usuario de un gestor de SNMP para controlar qué objetos MIB (estadísticas) del dispositivo puede obtener el usuario.6.3. haga clic en Añadir y configure los siguientes ajustes: • Usuarios: Especifique un nombre de usuario para identificar una cuenta de usuario de SNMP. sino simplemente un menú Servicios. Para cada grupo de vistas. 1. • Contraseña de autenticación: Especifique la contraseña de autenticación del usuario. El nombre de usuario puede tener hasta 31 caracteres. El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. puntos.) Use la pestaña Global para definir servicios para todo el cortafuegos.3.1. El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña.4. donde define los servicios que el cortafuegos o sus sistemas virtuales.1. la opción coincidente está fijada en incluir y la máscara es 0xf0.2 no. los objetos que solicite el usuario deberán tener OID que coincidan con los primeros cuatro nodos (f = 1111) de 1. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP y respuestas a solicitudes de estadísticas. Por ejemplo. privacidad y control de acceso cuando los dispositivos reenvían traps y los gestores SNMP obtienen estadísticas de dispositivos. (Si el cortafuegos es un único sistema virtual o si hay varios sistemas virtuales deshabilitados. En este ejemplo.1. Nota: Para proporcionar acceso a toda la información de gestión. respectivamente.1. defina la máscara en 0xf0 y configure la opción de coincidencia en incluir.

Use la pestaña Sistemas virtuales para especificar rutas de servicios para un único sistema virtual. puede configurar una IP/interfaz de origen específica para toda la comunicación por correo electrónico entre el cortafuegos y un servidor de correo electrónico y utilizar una interfaz/IP de origen diferente para las actualizaciones de Palo Alto. seleccione IPv4 o IPv6.) Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas. Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas. correo electrónico. Estos servicios se enumeran en la Tabla 10. haga clic en el icono Editar para definir las direcciones IP de destino de los servidores de sistemas de nombres de dominio (DNS). Hay dos formas de configurar rutas de servicio globales: – La opción Utilizar interfaz de gestión para todos forzará todas las comunicaciones de servicios de cortafuegos con servidores externos a través de la interfaz de gestión (MGT). Seleccione una ubicación (sistema virtual) y haga clic en Configuración de ruta de servicios. desplácese hasta la pestaña Dispositivo > Configuración > Gestión y edite la sección Configuración de interfaz de gestión.0 Palo Alto Networks . – La opción Personalizar le ofrece un control granular sobre la comunicación del servicio mediante la configuración de una interfaz de origen y una dirección IP específicas que el servicio usará como interfaz de destino y dirección IP de destino en su respuesta. Seleccione Heredar configuración de ruta de servicios globales o Personalizar rutas de servicio para un sistema virtual. La Tabla 9 describe los servicios globales. puede usar un Proxy DNS y un perfil de servidor DNS. RADIUS. La pestaña Destino es otra función de ruta de servicio global que puede personalizar. LDAP. deberá configurar la interfaz de gestión para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan servicios. syslog y mucho más. • En la sección Características de servicios. versión 7. 38 • Guía de referencia de interfaz web . Utilice la pestaña NTP específica para configurar los ajustes del protocolo de tiempo de red (NTP). (Por ejemplo. Para configurar la interfaz de gestión.Definición de la configuración de servicios • En la sección Servicios. Si selecciona esta opción. Consulte en la Tabla 10 los servicios que se pueden personalizar. Para controlar y redirigir solicitudes de DNS entre sistemas virtuales específicos. que indica si se puede configurar un servicio para el cortafuegos Global o los sistemas virtuales. Si elige personalizar configuraciones. el servidor de actualizaciones y el servidor proxy. haga clic en Configuración de ruta de servicios para especificar cómo se comunicará el cortafuegos con otros dispositivos o servidores para servicios como DNS. Consulte la Tabla 9 para conocer descripciones de los campos de las opciones disponibles en la sección Servicios. La pestaña Destino se muestra en la ventana Configuración de ruta de servicios y se describe en “Ruta de servicio de destino”. y si el servicio es compatible con direcciones de origen IPv4 o IPv6.

Puerto Introduzca el puerto para el servidor proxy. Servidor de DNS secundario Introduzca la dirección IP de un servidor DNS secundario que deberá utilizarse si el servidor principal no está disponible (opcional). introduzca la dirección IP o nombre de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el servidor primario no está disponible. NTP Dirección de servidor NTP Palo Alto Networks Introduzca la dirección IP o el nombre de host del servidor NTP que desee usar para sincronizar el reloj del cortafuegos. por ejemplo. Guía de referencia de interfaz web . Las opciones incluyen las siguientes: • Servidores DNS principal y secundario para proporcionar resolución de nombres de dominio. para resolver entradas de DNS en logs o para objetos de dirección basados en FDQN. introduzca la dirección IP o el nombre de host del servidor.Definición de la configuración de servicios Tabla 9.paloaltonetworks.com. Servidor DNS principal Introduzca la dirección IP del servidor DNS primario. Contraseña/ Confirmar contraseña Introduzca y confirme la contraseña para que el usuario acceda al servidor proxy. el cortafuegos o Panorama verificarán que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable. Esta opción añade un nivel de seguridad adicional para la comunicación entre el servidor del cortafuegos/Panorama y el servidor de actualización.0 • 39 . logs y la gestión de dispositivos. El servidor se utiliza para las consultas de DNS del cortafuegos. No cambie el nombre del servidor a menos que se lo indique la asistencia técnica. Usuario Introduzca el nombre de usuario para acceder al servidor. Sección Servidor proxy Servidor Si el dispositivo necesita utilizar un servidor proxy para acceder a los servicios de actualización de Palo Alto Networks. versión 7. Actualizar servidor Este ajuste representa la dirección IP o el nombre de host del servidor utilizado para descargar actualizaciones de Palo Alto Networks. El valor actual es updates. Este ajuste se utiliza para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de dirección FQDN. De forma optativa. Configuración de servicios Función Descripción Servicios DNS Seleccione el tipo de servicio de DNS: Servidor u Objeto proxy DNS. Verificar identidad del servidor de actualización Si se habilita esta opción. • Un proxy DNS que se haya configurado en el cortafuegos es otra opción para configurar servidores de DNS. para buscar el servidor de actualizaciones.

  — — Proxy: Servidor que actúa como proxy para el cortafuegos.  — — — Kerberos: Servidor de autenticación Kerberos.   — — RADIUS: Servidor de servicio de autenticación remota telefónica de usuario.   — — Flujo de red: Servidor de flujo de red para la recopilación de estadísticas de tráfico de red.     HSM: Servidor de módulo de seguridad de hardware.   — — DNS: Servidor de sistema de nombres de dominio. continúe introduciendo los siguientes campos: –ID de clave: Introduzca el ID de clave (1. Si selecciona la clave simétrica.  —  — LDAP: Servidor de protocolo ligero de acceso a directorios. versión 7. seleccione el tipo de autenticación que debe utilizar el cortafuegos: • Ninguno: Seleccione esta opción para desactivar la autenticación del NTP (predeterminado).   — — Actualizaciones de Palo Alto: Actualizaciones de Palo Alto Networks. Para cada servidor NTP. • Clave automática: Seleccione esta opción para que el cortafuegos utilice la clave automática (criptografía de clave pública) para autenticar las actualizaciones de hora del servidor NTP. el DNS se realiza en el perfil de servidor de DNS.Definición de la configuración de servicios Tabla 9. –Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticación del NTP (MD5 o SHA1). Configuración de servicios (Continuación) Función Descripción Tipo de autenticación Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor NTP.  —  — 40 • Guía de referencia de interfaz web .65534).  — — — Panorama: Servidor Panorama de Palo Alto Networks.     NTP: Servidor de protocolo de tiempo de red. * Para sistemas virtuales.   * * Correo electrónico: Servidor de correo electrónico. Tabla 10. Ajustes de configuración de ruta de servicios Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Estado de CRL: Servidor de lista de revocación de certificado (CRL). • Clave simétrica: Seleccione esta opción para que el cortafuegos utilice intercambio de clave simétrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor NTP. –Clave de autenticación/Confirmar clave de autenticación: Introduzca y confirme la clave de autenticación del algoritmo de autenticación.     SNMP Trap: Servidor trap de protocolo simple de administración de redes.0 Palo Alto Networks .     MDM: Servidor de gestión de dispositivos móviles.

    Actualizaciones de URL: Servidor de actualizaciones de Localizador de recursos uniforme (URL).   — — Supervisor de VM: Servidor de supervisor de máquina virtual. O bien puede elegir Personalizar. La Interfaz de origen tiene las siguientes tres opciones: • Heredar configuración global: Los servicios seleccionados heredarán la configuración global para estos servicios. la dirección IP seleccionada será el origen del tráfico de servicios. Por ejemplo. Ajustes de configuración de ruta de servicios (Continuación) Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Syslog: Servidor para registro de mensajes de sistema. seleccionar un servicio y hacer clic en Establecer rutas de servicio seleccionadas. haga clic en Establecer rutas de servicio seleccionadas y seleccione Interfaz de origen y Dirección de origen del menú desplegable. • Una interfaz del menú desplegable: Para los servicios en configuración. cuando defina sus servidores DNS en la pestaña Dispositivo > Configuración > Servicios.0 • 41 .  — — — Wildfire Public: Servidor WildFire de Palo Alto Networks público.     Agente UID: Servidor de agente de ID de usuarios. Palo Alto Networks Guía de referencia de interfaz web . Para Dirección de origen. No tiene que definir la dirección de destino porque el destino se configura para cada servicio en cuestión. seleccione uno de los servicios disponibles de la lista.     Wildfire Private: Servidor WildFire de Palo Alto Networks privado.Definición de la configuración de servicios Tabla 10. autorización y contabilidad (AAA.  — — — Al personalizar una ruta de servicios global. seleccionar IPv4 o IPv6. dicha acción establecerá el destino de las consultas de DNS. seleccione una dirección del menú desplegable. la opción Heredar configuración de ruta de servicios globales significa que todos los servicios del sistema virtual heredarán la configuración de ruta de servicios global. versión 7. las respuestas del servidor se enviarán a esta dirección de origen. las respuestas del servidor se enviarán a la interfaz seleccionada porque esta era la interfaz de origen. Para los servicios seleccionados. en la pestaña IPv4 o IPv6.     Tacplus: Servidor de sistema de control de acceso del controlador de acceso a terminales para servicios de autenticación. • Cualquiera: Permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles (interfaces en el sistema virtual específico). Una interfaz de origen definida en Cualquiera permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles. Al configurar rutas de servicio para un sistema virtual. por sus siglas en inglés). La dirección de origen muestra la dirección IPv4 o IPv6 asignada a la interfaz seleccionada.

no sirve para la ubicación compartida global. 42 • Guía de referencia de interfaz web . La pestaña Destino sirve para los siguientes casos de uso: • Cuando un servicio no tiene una ruta de servicio de aplicaciones. Una ruta de servicio de destino es un modo de configurar la ruta para cancelar la tabla de rutas de base de información de reenvío (FIB).Definición de un perfil de servidor de DNS Ruta de servicio de destino Dispositivo > Configuración > Servicios > Global Al regresar a la pestaña Global. Cualquier configuración en las rutas de servicio de destino cancelan las entradas de tabla de rutas. Se puede usar una ruta de servicio de destino para añadir una redirección personalizada de un servicio compatible con los servicios de la lista Personalizar (Tabla 10). La Tabla 11 define los campos para la ruta de servicio de destino. Las rutas de servicio de destino están disponibles solo en la pestaña Global (no la pestaña Sistemas virtuales). versión 7. si hace clic en Configuración de ruta de servicios y luego en Personalizar. aparece la pestaña Destino. No necesita introducir la subred de la dirección de destino. de modo que la ruta de servicio de un sistema virtual individual no puede cancelar entradas de tabla de rutas que no están asociadas a un sistema virtual. • Dentro de un único sistema virtual. Un perfil de servidor de DNS solo sirve para un sistema virtual. un origen de herencia o las direcciones DNS primarias y secundarias para los servidores de DNS. Interfaz de origen Seleccione la interfaz de origen que se utilizará para los paquetes que regresan del destino. La Tabla 12 describe la configuración del perfil de servidor de DNS. un perfil de servidor de DNS le permite especificar el sistema virtual que se está configurando. así como la interfaz y la dirección de origen (ruta de servicio) que se usará en los paquetes enviados al servidor de DNS. Tabla 11. Definición de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Para simplificar la configuración para un sistema virtual. La interfaz y la dirección de origen se usan como interfaz y dirección destino en la respuesta desde el servidor de DNS. Dirección de origen Seleccione la dirección de origen que se utilizará para los paquetes que regresan del destino. Configuración de ruta de servicio de destino Campo Descripción Destino Introduzca la dirección IP de destino.0 Palo Alto Networks . Pueden estar relacionadas o no relacionadas con cualquier servicio. cuando quiere usar varios enrutadores virtuales o una combinación de enrutador virtual y puerto de gestión.

De lo contrario. Ruta de servicio IPv4 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. Guía de referencia de interfaz web . la protección de datos y las páginas contenedoras. Si desea más información sobre el filtrado de URL. Comprobar estado de origen de herencia Haga clic para ver la información de origen de herencia. Origen de herencia Seleccione Ninguno si las direcciones del servidor de DNS no son heredadas. DNS secundario Especifique la dirección IP del servidor DNS secundario. Tabla 13. especifique el servidor de DNS desde el que el perfil debería heredar la configuración. Este valor se utiliza en el filtrado de URL dinámica para determinar la cantidad de tiempo que una entrada permanece en la caché después de ser devuelta por el servicio de filtrado de URL.Definición de la configuración de ID de contenido Tabla 12. consulte “Perfiles de filtrado de URL”. Definición de la configuración de ID de contenido Dispositivo > Configuración > ID de contenido Utilice la pestaña ID de contenido (Content-ID) para definir la configuración del filtrado de URL. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Dirección de origen Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. versión 7. Esta opción únicamente es aplicable al filtrado de URL que utilice la base de datos de BrightCloud.0 • 43 . DNS principal Especifique la dirección IP del servidor DNS primario. Ruta de servicio IPv6 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Configuración de ID de contenidos Función Descripción Filtrado de URL Tiempo de espera de caché de URL dinámica Palo Alto Networks Haga clic en Editar e introduzca el tiempo de espera (en horas). Configuración de perfil de servidor de DNS Campo Descripción Nombre Asigne un nombre al perfil de servidor de DNS. Ubicación Seleccione el sistema virtual al que pertenece el perfil. Dirección de origen Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS.

• Modo: Determina si la página de bloqueo se entrega de manera transparente (parece originarse en el sitio web bloqueado) o redirige al usuario al servidor especificado. Haga clic en para eliminar una entrada. predeterminado: 1800). Configuración de ID de contenidos Longitud de captura de paquetes extendida Establezca el número de paquetes que se deben capturar cuando la opción de captura extendida se habilita en perfiles de antispyware y vulnerabilidad. • Perfil de servicio SSL/TLS: Para especificar un certificado y las versiones de protocolo TLS para protección de comunicaciones al redireccionar a través del servidor especificado. Puede introducir hasta 20 entradas. Tiempo de espera de bloqueo de administrador de URL Especifique en minutos el período que un usuario está bloqueado y no puede utilizar la contraseña de cancelación de administrador de URL después de tres intentos incorrectos (1-86400.0 Palo Alto Networks . Para obtener más información. seleccione un perfil de servicio SSL/TLS. predeterminado: 15). consulte “Gestión de perfiles de servicio SSL/TLS”. consulte “Perfiles de filtrado de URL”): • Ubicación: Seleccione el sistema virtual en la lista desplegable (únicamente cortafuegos de VSYS múltiple). Los cortafuegos acceden a los servidores incluidos en esta lista de servidores de PAN-DB para bases de datos de URL. 44 • Guía de referencia de interfaz web .Definición de la configuración de ID de contenido Tabla 13. haga clic en Añadir y especifique la configuración que se aplica cuando un perfil de bloqueo de URL bloquea una página y la acción Cancelar se especifica (para obtener más información. Cancelación de administrador de URL Configuración de la cancelación de administrador de URL Para cada sistema virtual que quiera configurar para la cancelación de administradores de URL. introduzca la dirección IP para el redireccionamiento. versión 7. El cortafuegos conecta con la nube PAN-DB pública de manera predeterminada. • Contraseña/Confirmar contraseña: Introduzca la contraseña que el usuario debe introducir para cancelar la página de bloque. dirección IPv6 o FQDN para los servidores PAN-DB privados en su red. Configuración de ID de contenidos (Continuación) Función Descripción Tiempo de espera de caché de URL dinámica Especifique en minutos el intervalo que transcurre desde una acción de “continuación” por parte del usuario hasta el momento en que el usuario debe volver a pulsar el botón de continuación para las URL de la misma categoría (intervalo: 1-86400. Servidor PAN-DB (Necesario para la conexión a un servidor PAN-DB privado) Especifique la dirección IPv4. Si selecciona Redirigir. El rango es 1-50 y el valor predeterminado es 5. actualizaciones de URL y búsquedas de URL para categorizar páginas web. predeterminado: 900). Tiempo de espera de cancelación de administrador de URL Especifique en minutos el intervalo que transcurre desde que el usuario introduce la contraseña de cancelación de administrador hasta que el usuario debe volver a introducir la contraseña de cancelación de administrador para las URL de la misma categoría (intervalo: 1-86400. La solución PAN-DB privada es para empresas que no permiten que los cortafuegos accedan directamente a los servidores de PAN-DB en la nube pública.

Haga clic en Gestionar protección de datos y configure lo siguiente: • Para establecer una nueva contraseña si todavía no se ha establecido una. que contiene las direcciones IP de un cliente que solicita un servicio web cuando se implementa el cortafuegos entre Internet y un servidor proxy. haga clic en Eliminar contraseña. Configuración de ID de contenidos (Continuación) Función Descripción Permitir reenvío de contenido descifrado Seleccione la casilla de verificación para permitir que el cortafuegos reenvíe contenido descifrado a un servicio externo. de lo contrario. el cortafuegos solamente pone a cero el valor de XFF tras usarlo para atribución de usuarios. el servicio de ID de usuario usa la primera entrada de la izquierda. el servicio de ID de usuario usa esa dirección IP como un nombre de usuario para las referencias de asignación de grupos en las políticas. haga clic en Cambiar contraseña. Guía de referencia de interfaz web . Introduzca la contraseña anterior y. • Para cambiar la contraseña. vaya a la pestaña Dispositivo > Sistemas virtuales. Los logs de URL muestran los nombres de usuario coincidentes en el campo Usuario de origen. Si el encabezado tiene una dirección IP no válida. como números de tarjetas de crédito o números de la Seguridad Social. Si el servicio de ID de usuario no puede realizar la comparación o no tiene permiso en la zona asociada con la dirección IP. El servicio de ID de usuario compara los nombres de usuario que lee con los nombres de usuario que menciona su regla.Definición de la configuración de ID de contenido Tabla 13. esta opción está habilitada para cada sistema virtual. X-Forwarded-For Headers Usar X-Forwarded-For Header en ID de usuario Seleccione esta casilla de verificación para especificar que el servicio de ID de usuario lea las direcciones IP desde el encabezado de X-Forwarded-For (XFF) en las solicitudes del cliente de servicios web cuando se implementa el cortafuegos entre Internet y un servidor proxy que. Características de ID de contenido Gestionar protección de datos Palo Alto Networks Aumente la protección para acceder a logs que puedan incluir información confidencial. a continuación. el campo Usuario de origen muestra la dirección IP XFF con el prefijo x-fwd-for. de modo que esas políticas puedan controlar y registrar el acceso a los usuarios y grupos asociados. el cortafuegos puede reenviar contenido descifrado al realizar reflejo de puerto o enviar archivos de WildFire para su análisis.0 • 45 . haga clic en Establecer contraseña. Introduzca y confirme la contraseña. Strip-X-Forwarded-For Header Seleccione esta casilla de verificación para eliminar el encabezado X-Forwarded-For (XFF). introduzca y confirme la nueva contraseña. Para dispositivos con capacidad para varios sistemas virtuales. versión 7. Para habilitar esta configuración en cada sistema virtual. Si está seleccionada. • Para eliminar la contraseña y los datos que se han protegido. Nota: Al seleccionar esta casilla de verificación no se deshabilita el uso de encabezado XFF para atribución de usuarios en políticas (consulte “Usar X-Forwarded-For Header en ID de usuario”). ocultaría las direcciones IP a los usuarios. Si el encabezado tiene varias direcciones IP. El cortafuegos pone a cero el valor del encabezado antes de reenviar la solicitud y los paquetes reenviados no contienen información de IP de origen interna.

Configuración de ajustes de WildFire Dispositivo > Configuración > WildFire Utilice la pestaña WildFire para configurar los ajustes de WildFire en el cortafuegos. versión 7. Puede habilitar tanto la nube de WildFire como un dispositivo WildFire para que se usen para realizar análisis de archivos. deberá seleccionar la casilla de verificación “Permitir reenvío de contenido descifrado” del cuadro Configuración de Dispositivo > Configuración > ID de contenido > Filtrado de URL. Configuración de ID de contenidos (Continuación) Función Descripción Páginas contenedoras Utilice estos ajustes para especificar los tipos de URL que el cortafuegos seguirá o registrará basándose en el tipo de contenido. el cual puede seleccionar en la lista desplegable Ubicación. text/html. Nube privada de WildFire Especifique la dirección IP o FQDN del dispositivo WildFire que se usará para analizar archivos. Si un sistema virtual no tiene una página contenedora explícita definida. La adición de nuevos tipos de contenido para un sistema virtual cancela la lista predeterminada de tipos de contenido.0 Palo Alto Networks . Si no hay tipos de contenido asociados a un sistema virtual. Para usar la nube de WildFire alojada en Japón. Puede que desee utilizar el servidor japonés si no desea que se envíen archivos benignos a los servidores de nube estadounidenses. se utilizará la lista predeterminada de tipos de contenido. Tras introducir la configuración de WildFire. el sistema de la nube de Japón lo reenvía a los servidores de EE. application/soap+xml. application/xhtml+. Las páginas contenedoras se establecen según el sistema virtual. como application/ pdf.Configuración de ajustes de WildFire Tabla 13. Para reenviar contenido descifrado a WildFire. text/plain y text/xml.paloaltonetworks. donde el archivo se vuelve a analizar y se genera una firma. UU. UU. También puede establecer los límites de tamaño de archivo y la información de sesión sobre la que se informará. se utilizarán los tipos de contenido predeterminados. Si se encuentra en la región de Japón. para analizar archivos.paloaltonetworks.com para usar la nube de WildFire alojada en EE. Si se detecta que un archivo enviado a la nube de Japón es malintencionado. introduzca wildfire. 46 • Guía de referencia de interfaz web .. Tabla 14. Ajustes de WildFire en el cortafuegos Campo Descripción Configuración general Nube pública de WildFire Introduzca wildfire. puede especificar qué archivos se reenvían a la nube de WildFire o al dispositivo de WildFire creando un perfil de análisis de WildFire (Objetos > Perfiles de seguridad > Análisis de WildFire).jp. Haga clic en Añadir e introduzca o seleccione un tipo de contenido. puede que también experimente una respuesta más rápida en los envíos de muestras y la generación de informes.

Nota: Incluso si esta opción está activada en el cortafuegos. 2 MB de forma predeterminada • ms-office (Microsoft Office): 200 KB-10000 KB. 1 MB de forma predeterminada • pe (Portable Executable): 1-10 MB. los enlaces de correo electrónico que WildFire considera benignos no se registrarán debido a la cantidad potencial de enlaces procesados. 5 MB de forma predeterminada • apk (aplicaciones para Android): 1-50 MB. los archivos analizados por WildFire indicados como grayware aparecerán en el log Supervisar > Envíos de WildFire. 200 KB de forma predeterminada • jar (archivo de clase de Java empaquetado): 1-10 MB. Archivos Grayware del informe Cuando esta opción está activada (desactivada de forma predeterminada).0 • 47 . Palo Alto Networks Guía de referencia de interfaz web .Configuración de ajustes de WildFire Tabla 14. haga clic en el campo Límite de tamaño y aparecerá un mensaje emergente que mostrará el intervalo disponible y el valor predeterminado. Nota: Incluso si esta opción está activada en el cortafuegos. Para ver los intervalos válidos. los archivos analizados por WildFire indicados como benignos aparecerán en el log Supervisar > Envíos de WildFire. versión 7. los enlaces de correo electrónico que WildFire considera grayware no se registrarán debido a la cantidad potencial de enlaces procesados. 10 MB de forma predeterminada • pdf (Portable Document Format) 100 KB-1000 KB. Los rangos disponibles son: • flash (Adobe Flash): 1-10 MB. Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Tamaño de archivo máximo (MB) Especifique el tamaño de archivo máximo que se reenviará al servidor WildFire. 500 KB de forma predeterminada Nota: Los valores anteriores pueden variar según la versión de PAN-OS o la versión de contenido instalada. Informar de archivos benignos Cuando esta opción está activada (desactivada de forma predeterminada).

• Asunto de correo electrónico: Proporciona el asunto del correo electrónico en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Remitente de correo electrónico: Proporciona el nombre del remitente en los logs de WildFire e informes de WildFire detallados cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3.Definición de la configuración de sesión Tabla 14. • Usuario: Usuario de destino. La pestaña presenta las siguientes secciones: • “Configuración de sesión” • “Tiempos de espera de sesión” • “Ajustes de descifrado: Comprobación de revocación de certificado” • “Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy” • “Configuración de sesión de VPN” 48 • Guía de referencia de interfaz web . • Nombre de archivo: Nombre del archivo que se envió. la configuración de certificados de descifrado y los ajustes globales relacionados con las sesiones. • Aplicación: Aplicación de usuario que se utilizó para transmitir el archivo. De manera predeterminada. todo está seleccionado: • IP de origen: Dirección IP de origen que envió el archivo sospechoso. Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Ajustes de información de sesión Configuración Especifique la información que se reenviará al servidor WildFire. • Puerto de origen: Puerto de origen que envió el archivo sospechoso.0 Palo Alto Networks . como aplicar cortafuegos al tráfico IPv6 y volver a hacer coincidir la política de seguridad con las sesiones existentes cuando cambia la política. • Vsys: Sistema virtual del cortafuegos que identificó al posible software malintencionado. • Puerto de destino: Puerto de destino del archivo sospechoso. versión 7. • IP de destino: Dirección IP de destino del archivo sospechoso. Definición de la configuración de sesión Dispositivo > Configuración > Sesión Utilice la pestaña Sesión para configurar los tiempos de vencimiento de las sesiones. • URL: URL asociada al archivo sospechoso. • Destinatario de correo electrónico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3.

Definición de la configuración de sesión

Configuración de sesión
Tabla 15. Configuración de sesión
Campo

Descripción

Reanalizar sesiones
establecidas

Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que
el cortafuegos aplique las políticas de seguridad recién configuradas a las
sesiones que ya están en curso. Esta capacidad está habilitada de manera
predeterminada. Si este ajuste está deshabilitado, cualquier cambio de
política se aplica solo a las sesiones iniciadas después de que se haya
compilado un cambio de política.
Por ejemplo, si se ha iniciado una sesión de Telnet mientras había
configurada una política que permitía Telnet y, en consecuencia, ha
compilado un cambio de política para denegar Telnet, el cortafuegos aplica
la política revisada a la sesión actual y la bloquea.

Tamaño de depósito de
testigo de ICMPv6

Introduzca el tamaño de depósito para la limitación de tasa de mensajes de
error de ICMPv6. El tamaño de depósito de testigo es un parámetro del
algoritmo de depósito de testigo que controla la intensidad de las ráfagas
de transmisión de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).

Tasa de paquetes de
error de ICMPv6

Introduzca el número medio de paquetes de error de ICMPv6 por segundo
que se permiten globalmente a través del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depósito de testigo de
ICMPv6 se utiliza para activar la limitación de mensajes de error de
ICMPv6.

Habilitar cortafuegos
IPv6

Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y
seleccione la casilla de verificación Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se
habilita. Incluso si IPv6 está activado para una interfaz, el ajuste
Cortafuegos IPv6 también debe estar activado para que IPv6 funcione.

Habilitar trama gigante
MTU global

Seleccione esta opción para habilitar la compatibilidad con tramas gigantes
en interfaces de Ethernet. Las tramas gigantes tienen una unidad de
transmisión máxima (MTU) de 9192 bytes y están disponibles en
determinadas plataformas.
• Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
• Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no está
específicamente configurada, estas interfaces heredarán automáticamente
el tamaño de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor. Para configurar la MTU
para la interfaz (Red > Interfaces > Ethernet), consulte “Configuración de
interfaz de capa 3”.

Tamaño mínimo de
MTU para NAT64 en
IPv6

Introduzca la MTU global para el tráfico IPv6 traducido. El valor
predeterminado de 1280 bytes se basa en la MTU mínima estándar para el
tráfico IPv6.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 49

Definición de la configuración de sesión

Tabla 15. Configuración de sesión (Continuación)
Campo

Descripción

Ratio de
sobresuscripción NAT

Seleccione la velocidad de sobresuscripción NAT, es decir, el número de
ocasiones en las que el mismo par de dirección IP y puerto traducido se
pueden usar de forma simultánea. La reducción de la velocidad de
sobresuscripción disminuirá el número de traducciones de dispositivo
origen, pero proporcionará más capacidades de regla de NAT.
• Valor predeterminado de plataforma: La configuración explícita de la
velocidad de sobresuscripción está desactivada; se aplica la velocidad de
sobresuscripción predeterminada para la plataforma. Consulte las
velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
• 1x: 1 vez. Esto significa que no existe ninguna sobresuscripción; cada par
de dirección IP y puerto traducido se puede utilizar solo una vez en cada
ocasión.
• 2x: 2 veces
• 4x: 4 veces
• 8x: 8 veces

Tasa de paquetes (por
segundo) inalcanzable
de ICMP

Define el número máximo de respuestas de ICMP inalcanzable que puede
enviar el cortafuegos por segundo. Este límite es compartido por los
paquetes IPv4 e IPv6.
El valor predeterminado es 200 mensajes por segundo;
intervalo: 1-65535 mensajes por segundo.

Vencimiento acelerado

Activa el vencimiento acelerado de las sesiones inactivas.
Seleccione la casilla de verificación para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesión alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado a
los cálculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces más rápida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera más rápido
(la mitad). Para calcular el vencimiento acelerado de la sesión, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesión) entre
el factor de escala para determinar un tiempo de espera más corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo
general vencería después de 3600 segundos lo hará 10 veces más rápido
(en 1/10 del tiempo), es decir, 360 segundos.

Tiempos de espera de sesión
El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una
sesión en el cortafuegos después de la inactividad en esa sesión. De forma predeterminada,
cuando la sesión agota su tiempo de espera para el protocolo, PAN-OS cierra la sesión.
En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicación en la pestaña Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicación aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP.

50 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Utilice las opciones de esta sección para configurar los ajustes de los tiempos de espera globales:
específicamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mínimos en la red, lo que podría producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podría retrasarse la
detección de errores.

Tabla 16. Tiempos de espera de sesión
Campo

Descripción

Valor predeterminado

Tiempo máximo que una sesión que no es TCP/UDP ni ICMP se puede abrir
sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Descartar tiempo de
espera

PAN-OS aplica el tiempo de espera de descarte cuando se deniega una
sesión debido a las políticas de seguridad configuradas en el cortafuegos.

– Descartar valor
predeterminado

Solo se aplica al tráfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

– Descartar TCP

Se aplica al tráfico de TCP.
El valor predeterminado es 90 segundos; el intervalo es 1-1599999 segundos.

– Descartar UDP

Se aplica al tráfico de UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

ICMP

Tiempo máximo que una sesión ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.

Analizar

Tiempo máximo que cualquier sesión puede permanecer abierta después
de ser considerada inactiva. PAN-OS considera inactiva una aplicación
cuando supera el umbral de generación definido para la misma.
El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos.

TCP

Tiempo máximo que una sesión TCP permanece abierta sin una respuesta
después de que una sesión TCP active el estado Establecido (después de
que se complete el protocolo o la transmisión de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999 segundos.

Protocolo de
enlace TCP

Tiempo máximo entre la recepción de SYN-ACK y la siguiente ACK para
establecer completamente la sesión.
El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos.

Inicialización de TCP

Tiempo máximo entre la recepción de SYN y SYN-ACK antes de iniciar el
temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; intervalo: 1-60 segundos

TCP semicerrado

Tiempo máximo entre la recepción del primer FIN y la recepción del
segundo FIN o RST.
Valor predeterminado: 120 segundos; intervalo: 1-604800 segundos

Tiempo de espera
de TCP

Tiempo máximo después de recibir el segundo FIN o RST.
Valor predeterminado: 15 segundos; intervalo: 1-600 segundos

RST sin verificar

Tiempo máximo después de recibir un RST que no se puede verificar
(el RST está dentro de la ventana TCP pero tiene un número de secuencia
inesperado o el RST procede de una ruta asimétrica).
Valor predeterminado: 30 segundos; intervalo: 1-600 segundos

UDP

Tiempo máximo que una sesión UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 51

Definición de la configuración de sesión

Tabla 16. Tiempos de espera de sesión (Continuación)
Campo

Descripción

Portal cautivo

El tiempo de espera de la sesión de autenticación en segundos para el
formulario web del portal cautivo (predeterminado: 30; intervalo: 1-1599999).
Para acceder al contenido solicitado, el usuario debe introducir las
credenciales de autenticación en este formato y autenticarse correctamente.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, utilice la pestaña Dispositivo > Identificación de
usuario > Configuración de portal cautivo. Consulte “Pestaña
Configuración de portal cautivo”.

Ajustes de descifrado: Comprobación de revocación de certificado
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Comprobación de revocación
de certificado para establecer los parámetros descritos en la siguiente tabla.

Tabla 17. Características de sesión: Comprobación de revocación de certificado
Campo

Descripción

Habilitar: CRL

Seleccione esta casilla de verificación para utilizar el método de la lista de
revocación de certificados (CRL) y verificar el estado de revocación de los
certificados.
Si también activa el protocolo de estado de certificado en línea (OCSP), el
cortafuegos primero prueba con él; si el servidor OCSP no está disponible,
entonces el cortafuegos intenta utilizar el método CRL.
Para obtener más información sobre los certificados de descifrado, consulte
“Políticas de descifrado”.

Tiempo de espera de
recepción: CRL

Si ha activado el método CLR para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.

Habilitar: OCSP

Seleccione la casilla de verificación para utilizar OCSP y verificar el estado
de revocación de los certificados.

Tiempo de espera de
recepción: OCSP

Si ha activado el método OCSP para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.

Bloquear sesión con
estado de certificado
desconocido

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS cuando
el servicio OCSP o CRL devuelva un estado de revocación de certificados
desconocido. De lo contrario, el cortafuegos continuará con la sesión.

Bloquear sesión al
agotar el tiempo de
espera de
comprobación de
estado de certificado

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS
después de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión.

52 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Tabla 17. Características de sesión: Comprobación de revocación de certificado (Continuación)
Campo

Descripción

Tiempo de espera del
estado del certificado

Especifique el intervalo en segundos (1-60 segundos, 5 de forma
predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lógica de bloqueo
de sesión que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepción de OCSP/
CRL de la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud después de que pase el menor de dos intervalos: el
valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de CRL.

Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamaño de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvío SSL/TLS. La siguiente tabla describe los parámetros.

Tabla 18. Características de sesión: Reenviar los ajustes de certificados del servidor proxy
Campo

Descripción

Definido por el host de
destino

Seleccione esta opción si desea que PAN-OS genere certificados basados en
la clave que utiliza el servidor de destino:
• Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS genera
un certificado con ese tamaño de clave y un algoritmo de hash SHA-1.
• Si el servidor de destino utiliza un tamaño de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.

RSA de 1024 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamaño de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificación públicas
(CA) y navegadores más populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
según su configuración de seguridad, cuando el navegador presente dichas
claves, el usuario podría recibir un aviso o se podría bloquear
completamente la sesión SSL/TLS.

RSA de 2048 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamaño de clave que utiliza el servidor de destino.
Las CA públicas y los navegadores más populares admiten claves de
2048 bits, que proporcionan más seguridad que las claves de 1024 bits.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 53

Definición de la configuración de sesión

Configuración de sesión de VPN
En la pestaña Sesión, en la sección Configuración de sesión de VPN, configure los ajustes
globales relacionados con el cortafuegos que establece una sesión de VPN. La siguiente tabla
describe la configuración.

Tabla 19 Configuración de sesión de VPN
Campo

Descripción

Umbral de
activación de
cookies

Especifique un número máximo de asociaciones de seguridad (SA) IKE a
medio abrir IKEv2 permitidas por el cortafuegos, por encima del cual se activa
la validación de cookies. Si el número de SA IKE a medio abrir supera el
umbral de activación de cookies, el respondedor solicita una cookie y el
iniciador debe responder con una IKE_SA_INIT que contenga una cookie. Si la
cookie se valida correctamente, se puede iniciar otra sesión de SA.
Un valor de 0 significa que la validación de cookies está siempre activa.
El Umbral de activación de cookies es una configuración de cortafuegos global
y debería ser inferior a la configuración de SA medio abiertas máx., que
también es global.
Intervalo: 0-65535. Valor predeterminado: 500.

SA medio abiertas
máx.

Especifique el número máximo de SA IKE a medio abrir IKEv2 que los
iniciadores pueden enviar al cortafuegos sin obtener una respuesta. Cuando se
alcance el máximo, el cortafuegos no responderá a nuevos paquetes
IKE_SA_INIT. Intervalo: 1-65535. Valor predeterminado: 65535.

Certificados en
caché máx.

Especifique el número máximo de certificados de autoridades de certificados
(CA) de peer recuperados por HTTP que el cortafuegos puede almacenar en
caché. Este valor solo lo usan las funciones IKEv2 Hash y URL. Intervalo:
1-4000. Valor predeterminado: 500.

54 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Comparación de archivos de configuración

Comparación de archivos de configuración
Dispositivo > Auditoría de configuraciones
Puede ver y comparar archivos de configuración utilizando la página Auditoría de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el número de líneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente ilustración.
La página también incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuración consecutivas. Haga clic en
para
cambiar las configuraciones que se están comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se están
comparando por el conjunto siguiente de configuraciones guardadas.

Ilustración 1. Comparación de configuraciones

Panorama guarda automáticamente todos los archivos de configuración que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a través
de la interfaz de Panorama o localmente en el cortafuegos.

Instalación de una licencia
Dispositivo > Licencias
Use esta página para activar licencias en todas las plataformas del cortafuegos. Al adquirir
una suscripción de Palo Alto Networks, recibirá un código de autorización para activar una o
más claves de licencia.
En el cortafuegos VM-Series, esta página también permite desactivar una máquina virtual (VM).
Las siguientes acciones están disponibles en la página Licencias:

• Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que se han activado en el portal de
asistencia técnica, haga clic en Recuperar claves de licencia del servidor de licencias.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 55

Instalación de una licencia

• Activar característica mediante código de autorización: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que no se han activado anteriormente
en el portal de asistencia técnica, haga clic en Activar característica mediante código de
autorización. Introduzca su código de autorización y haga clic en ACEPTAR.

• Clave de licencia de carga manual: Si el cortafuegos no tiene conexión con el servidor de
licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:

a. Descargue el archivo de clave de licencia en https://support.paloaltonetworks.com y
guárdelo localmente.

b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PAN-DB
for URL Filtering), tendrá que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuación, hacer clic en Activar.
También puede ejecutar el comando de CLI “request url-filtering download
paloaltonetworks region <region name>”.

• Deshabilitar VM: Esta opción está disponible en el cortafuegos VM-Series con el modelo
Traiga su propia licencia, que es compatible con licencias perpetuas y temporales;
el modelo de licencias a petición no es compatible con esta funcionalidad.
Haga clic en Desactivar VM cuando ya no necesite una instancia del cortafuegos
VM-Series. Le permitirá liberar todas las licencias activas (licencias de suscripción,
licencias de capacidad de VM y derecho de asistencia) usando esta opción. Las licencias se
devuelven a su cuenta y podrá aplicarlas a nuevas instancias de un cortafuegos
VM-Series cuando sea necesario.
Al desactivar la licencia, la funcionalidad del cortafuegos se deshabilita y se queda sin
licencia; no obstante, la configuración permanece intacta.
– Haga clic en Continuar manualmente si el cortafuegos VM-Series no tiene acceso
directo a Internet. El cortafuegos genera un archivo de token. Haga clic en el enlace
Exportar token de licencia para guardar el archivo de token en su ordenador local y
luego reinicie el cortafuegos. Inicie sesión en el portal de asistencia de
Palo Alto Networks y acceda a la página Activos > Dispositivos; haga clic en el enlace
Deshabilitar VM para usar este archivo de token y completar el proceso de
desactivación.
– Haga clic en Continuar si desea desactivar las licencias del cortafuegos VM-Series.
Haga clic en Reiniciar ahora para completar el proceso de desactivación de licencias.
– Haga clic en Cancelar si desea cancelar y cerrar la ventana de desactivación de VM.

Comportamiento tras el vencimiento de la licencia
Póngase en contacto con el equipo de operaciones y ventas de Palo Alto Networks para
obtener información sobre cómo renovar sus licencias o suscripciones.

56 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de orígenes de información de VM

• Si vence la suscripción de prevención de amenazas en el cortafuegos, ocurrirá lo siguiente:
– Se genera una entrada de log en el sistema; la entrada indica que la suscripción ha vencido.
– Todas las funciones de prevención de amenazas continuarán funcionado con las
firmas que se instalaron en el momento en que caducó la licencia.
– Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
válida. De igual forma, la capacidad de restablecimiento a una versión anterior de las
firmas no es compatible si la licencia ha caducado.
– Las firmas de App-ID personalizadas continuarán funcionando y se pueden modificar.

• Si la licencia de soporte caduca, la prevención de amenazas y sus actualizaciones
continuarán funcionando normalmente.

• Si los derechos de soporte vencen, las actualizaciones de software dejarán de estar
disponibles. Deberá renovar su licencia para continuar teniendo acceso a las
actualizaciones de software e interactuar con el grupo de soporte técnico.

• Si vence una licencia de capacidad de VM temporal, no podrá obtener software o
actualizaciones de contenido para el cortafuegos hasta que renueve la licencia. Aunque
puede que tenga una suscripción válida (prevención de amenazas o WildFire, por
ejemplo) y una licencia de asistencia, debe tener una licencia de capacidad válida para
obtener el software y las actualizaciones de contenido más recientes.

Definición de orígenes de información de VM
Dispositivo > Orígenes de información de VM
Utilice esta pestaña para registrar cambios activamente en las máquinas virtuales (VM)
implementadas en cualquier de estos orígenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orígenes de información de VM.

• El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de
VMware y los entornos AWS-VPC, así como y recuperar cambios conforme realiza el
abastecimiento o modifica los invitados en estos orígenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orígenes.
Si sus cortafuegos están configurados con alta disponibilidad:
– En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes
de la información de la máquina virtual.
– En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orígenes de la máquina virtual.
Para obtener información sobre cómo funcionan de forma sincronizada los orígenes de
información de la VM y los grupos de direcciones dinámicas, y poder supervisar los
cambios en el entorno virtual, consulte la Guía de implementación de la serie VM.

• Para la dirección IP de la identificación de usuario, puede configurar los orígenes de la
información de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 57

Definición de orígenes de información de VM

realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orígenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.

Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos:

Atributos supervisados en un
origen de VMware

Atributos supervisados
en el AWS-VPC

• UUID

• Arquitectura

• Nombre

• Sistema operativo invitado

• Sistema operativo invitado

• ID de imagen

• Estado de máquina virtual: el estado de

• ID de instancia

alimentación es apagado, encendido,
en espera y desconocido.

• Estado de instancia

• Anotación

• Tipo de instancia

• Versión

• Nombre de clave

• Red: nombre del conmutador virtual,

• Colocación: arrendamiento, nombre de grupo,

nombre del grupo de puerto e ID de
VLAN

• Nombre del contenedor: nombre de
vCenter, nombre del objeto del centro
de datos, nombre del grupo de
recursos, nombre del clúster, host,
dirección IP del host.

zona de disponibilidad

• Nombre de DNS privado
• Nombre de DNS público
• ID de subred
• Etiqueta (clave, valor) (se admiten hasta
5 etiquetas por instancia)

• ID de VPC
Añadir: para añadir un nuevo origen para la supervisión de VM, haga clic en Añadir y,
a continuación, complete los detalles basados en el origen que se está supervisando:

• Para el servidor ESXi de VMware o vCenter, consulte “Activación de los orígenes de
información de la VM para los servidores ESXi de VMware o vCenter”.

• Para AWS-VPC, consulte “Activación de los orígenes de información de la VM para
AWS VPC”.
Actualizar conectados: Haga clic para actualizar el estado de la conexión; se actualiza la
visualización en pantalla. Este botón no actualiza la conexión entre el cortafuegos y los
orígenes supervisados.
Eliminar: Seleccione un origen de información de máquina virtual configurado y haga clic
para eliminar el origen configurado.

58 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Tipo Seleccione VPC de AWS. Contraseña Introduzca la contraseña y confirme la entrada. Tiempo de espera Introduzca el intervalo en horas después del cual se cierra la conexión al origen supervisado. espacios. Origen Introduzca el FQDN o la dirección IP del host/origen que se está supervisando. Activación de los orígenes de información de la VM para los servidores ESXi de VMware o vCenter Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). Puerto Especifique el puerto en el que está escuchando el host/origen. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. 5 segundos. Cuando se alcanza el límite especificado o si no se puede acceder al host o este no responde. números. Habilitado De forma predeterminada. guiones y guiones bajos. versión 7. Palo Alto Networks Guía de referencia de interfaz web . (puerto predeterminado 443). rango de 2-10 horas) (Optativo) Para cambiar el valor predeterminado. el rango es de 5-600 segundos) Tabla 21.0 • 59 . el estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. (de forma predeterminada. el cortafuegos cerrará la conexión al origen. Nombre de usuario Especifique el nombre de usuario necesario para autenticar para el origen. Utilice únicamente letras. (de forma predeterminada: 2 horas. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Activación de los orígenes de información de la VM para AWS VPC Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). si el host no responde. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. Utilice únicamente letras. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. la comunicación entre el cortafuegos y el origen configurado está activada. espacios. Tipo Seleccione si el host/origen que se está supervisando es un servidor ESXi o vCenter. seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado y especifique el valor. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente.Definición de orígenes de información de VM Tabla 20. números. guiones y guiones bajos.

vpc-1a2b3c4d. Cuando se alcanza el límite especificado o si no se puede acceder al origen o este no responde. el ID del VPC predeterminado aparecerá en los atributos de cuenta de AWS. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen.Definición de orígenes de información de VM Tabla 21. el rango es de 60-1200 segundos) Tiempo de espera Intervalo en horas después del cual se cierra la conexión al origen supervisado. por ejemplo. Esta información es una parte de las credenciales de seguridad de AWS. 60 segundos. versión 7. el cortafuegos cerrará la conexión al origen. El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de acceso secreto) para firmar digitalmente las llamadas de API realizadas a los servicios de AWS. (valor predeterminado 2 horas) (Optativo) Seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado. si el host no responde.amazonaws. 60 • Guía de referencia de interfaz web . El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente. (de forma predeterminada. Por ejemplo. Origen Añada la URI en la que reside la Virtual Private Cloud. Clave de acceso secreto Introduzca la contraseña y confirme la entrada. Solo se supervisan las instancias de EC2 implementadas en este VPC.us-west-1. Si su cuenta se configura para usar un VPC predeterminado.0 Palo Alto Networks .<su_región_AWS>.com ID de clave de acceso Introduzca la cadena de texto alfanumérico que identifica de forma exclusiva al usuario propietario o con autorización de acceso a la cuenta de AWS.amazonaws. Habilitado De forma predeterminada.com. la comunicación entre el cortafuegos y el origen configurado está activada. El estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. Activación de los orígenes de información de la VM para AWS VPC (Continuación) Campo Descripción Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. ec2. La sintaxis es: ec2. ID de VPC Introduzca el ID del AWS-VPC para supervisar.

a continuación. p. se recomienda que lo haga a una configuración que coincida con la versión del software. Si el ajuste de fecha del dispositivo no está actualizado.0. En la siguiente tabla se proporciona ayuda para utilizar la página de Software.) • Cuando realice una desactualización.0.0. Tabla 22. versión 7. ej. Tamaño Indica el tamaño de la imagen de software. • Los ajustes de fecha y hora del cortafuegos deben estar actualizados. de 5. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks.0.Instalación de software Instalación de software Dispositivo > Software Use esta página para ver las versiones de software disponibles. haga clic en ACEPTAR para guardar el archivo de configuración en su ordenador. para actualizar un cortafuegos de PAN-OS 5. seleccione running-config. (Haga clic en la pestaña Dispositivo > Configuración > Operaciones y seleccione Exportar instantánea de configuración con nombre. las sesiones no se sincronizarán si un dispositivo del clúster ejecuta una versión con características de PAN-OS diferente. El software PAN-OS está firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva versión.3. puede que el dispositivo crea equivocadamente que la firma del software es futura. Por ejemplo. Opciones de software Campo Descripción Versión Muestra las versiones de software que están disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. puede que se migre la configuración para admitir nuevas características.1). • Al actualizar un par de alta disponibilidad (HA) a una nueva versión con características (en la que cambie el primero o el segundo dígito de la versión de PAN-OS.0 a 6. Si está habilitada la sincronización de sesiones. instalar una versión (se requiere una licencia de asistencia). debe cargar (sin instalar) la versión base en el cortafuegos antes de cargar e instalar la versión de mantenimiento. Palo Alto Networks Guía de referencia de interfaz web . las muestra al principio de la lista. error al cargar en el gestor de software PAN. o de 6. Si hay actualizaciones disponibles.3. • Si necesita actualizar el cortafuegos a una versión de mantenimiento de PAN-OS para la cual la versión base es superior al software instalado actualmente. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones.xml y.12 a PAN-OS 6. eliminar una imagen de software del dispositivo o ver las notas de la versión. con código 171072. por lo que mostrará el mensaje Error de descifrado: la edición de GnuPG no es cero. Siga estas recomendaciones antes de actualizar o desactualizar la versión de software: • Lea las notas de la versión para ver una descripción de los cambios de una versión y la ruta de migración para instalar el software.0 • 61 . ya que una versión con características puede migrar determinadas configuraciones para admitir nuevas características. • Realice una copia de seguridad de su configuración actual. debe descargar (sin instalar) PAN-OS 6. descargar o actualizar una versión. haga clic en Comprobar ahora.0..0 en el cortafuegos antes de descargar e instalar PAN-OS 6.0 a 6.

Haga clic en el enlace para instalar el software. Se necesita reiniciar para completar el proceso de actualización. protección frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones dinámicas para las siguientes funciones: 62 • Guía de referencia de interfaz web . ej. Instalado actualmente Indica si la versión correspondiente de la imagen de software está activada y si se ejecuta actualmente en el cortafuegos. puede eliminar la imagen base de 6. Elimina la imagen de software cargada o descargada anteriormente del cortafuegos. visite el sitio de actualizaciones de software desde un ordenador con conexión a Internet. En una configuración de alta disponibilidad (HA). • Reinstalar: Se ha instalado la versión de software correspondiente.0. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks.1 a menos que crea que pueda necesitar una versión anterior en algún momento. Una vez cargada. Por ejemplo. Haga clic en el enlace para iniciar la descarga. Se suele utilizar esta opción si el cortafuegos no tiene acceso a Internet. puede seleccionar la casilla de verificación Sincronizar en el peer para enviar la imagen de software importada al peer HA. Disponible Indica la versión correspondiente de la imagen de software cargada o descargada en el cortafuegos. Para volver a instalar la misma versión. que es necesario al descargar actualizaciones desde el servidor de actualizaciones de Palo Alto Networks. Opciones de software (Continuación) Campo Descripción Fecha de versión Indica la fecha y hora en la que Palo Alto Networks publicó la versión. Los enlaces de Notas de versión no están disponibles para el software cargado. Botón Comprobar ahora Comprueba si hay nuevas actualizaciones de software en Palo Alto Networks. haga clic en el enlace.Actualización de definiciones de aplicaciones y amenazas Tabla 22. la página de software muestra la misma información (p. Actualización de definiciones de aplicaciones y amenazas Dispositivo > Actualizaciones dinámicas Panorama > Actualizaciones dinámicas Palo Alto Networks publica regularmente actualizaciones para la detección de aplicaciones. descargue la actualización en ese ordenador y en la página Dispositivo > Software del cortafuegos haga clic en Cargar para importar la imagen de software. • Instalar: Se ha descargado o cargado la versión de software correspondiente en el cortafuegos. Botón Cargar Importa una imagen de actualización de software desde un ordenador al que tiene acceso el cortafuegos. si ejecuta 7. Notas de versión Proporciona un enlace a las notas de la versión de la actualización de software correspondiente. versión 7. Para realizar una carga. Este enlace solo está disponible para actualizaciones que descargue del servidor de actualizaciones de Palo Alto Networks: no está disponible para actualizaciones cargadas..0 Palo Alto Networks . versión y tamaño) y los enlaces Instalar/Reinstalar para software cargado y descargado. Únicamente puede eliminar la imagen base en el caso de versiones anteriores que no necesiten actualizarse.

Se publican nuevas firmas de antivirus todos los días. • Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Esta actualización está disponible si cuenta con una suscripción de prevención de amenazas (y en este caso obtiene esta actualización en lugar de la actualización de aplicaciones). pero sí un contrato de asistencia/mantenimiento en vigor. • WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por el servicio de la nube de WildFire. Sin la suscripción. Esta opción le permite disfrutar de nuevas firmas de amenazas al instante. incluidas las firmas descubiertas por WildFire. • WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por un dispositivo de WildFire (WF-500). Además. Palo Alto Networks Guía de referencia de interfaz web . Debe tener una suscripción a una puerta de enlace de GlobalProtect para recibir estas actualizaciones. a continuación. • Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Debe contar con una suscripción a prevención de amenazas para obtener estas actualizaciones. seleccionar la actualización que desee descargar e instalar.Actualización de definiciones de aplicaciones y amenazas • Antivirus: Incluye firmas de antivirus nuevas y actualizadas. consulte “Programación de actualizaciones dinámicas”. • Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de URL de BrightCloud. versión 7. Todas las semanas se publican nuevas actualizaciones de aplicaciones. Se le muestra esta opción tanto al instalar una versión de contenido como al establecer la programación para instalar automáticamente versiones de publicación de contenido. leer las notas de versión de cada actualización y. el cortafuegos y el dispositivo se deben ejecutar en PAN-OS 6. Si está administrando sus cortafuegos con Panorama y desea programar actualizaciones dinámicas para uno o varios cortafuegos. debe crear una programación para estas actualizaciones antes de que GlobalProtect funcione. • Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect. Si tiene una licencia de PAN-DB. También puede revertir a una versión de una actualización instalada anteriormente. Esta actualización no requiere suscripciones adicionales. las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automática. También puede elegir instalar solamente las nuevas firmas de amenazas en una versión de publicación de contenido. Todas las semanas se publican nuevas aplicaciones y amenazas. Puede ver las actualizaciones más recientes. posteriormente puede revisar el impacto de la política en las nuevas firmas de aplicaciones y realizar cualquier actualización de políticas antes de habilitarlas. debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas.1 o superior y el cortafuegos debe estar configurado para el uso del dispositivo de WildFire para el análisis de enlaces de correo electrónico/archivos. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones.0 • 63 . Para recibir actualizaciones de contenido procedentes de un WF-500.

Al programar descargas e instalaciones periódicas de actualizaciones de contenido. ya sea solo para la descarga de las actualizaciones o para la descarga e instalación de estas en el cortafuegos. puede especificar el tiempo de espera antes de la actualización de contenidos. En las versiones de publicaciones de contenido de Aplicaciones y amenazas. También puede usar el cuadro de diálogo Nuevas aplicaciones para Habilitar/ Deshabilitar nuevas aplicaciones. Programación Le permite programar la frecuencia de recuperación de actualizaciones. introduzca el número de horas que debe esperarse en el campo Umbral (Horas). puede elegir Deshabilitar nuevas aplicaciones en actualización de contenido.0 Palo Alto Networks . Si hay actualizaciones disponibles. Cuando programa una actualización. así como la flexibilidad para habilitar aplicaciones tras preparar actualizaciones de políticas que podrían ser necesarias para aplicaciones recién identificadas y que pueden tratarse de manera diferente tras la actualización. si desea retrasar la instalación de nuevas actualizaciones hasta que haya transcurrido un determinado número de horas desde su publicación. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones de publicación de contenido. Tamaño Muestra el paquete de actualización de contenido. este campo podría mostrar un enlace para revisar Aplicaciones. Amenazas. (Para habilitar posteriormente aplicaciones que tienen deshabilitadas de manera automáticamente las actualizaciones de contenido. Última comprobación Muestra la fecha y hora en la que el cortafuegos se conectó por última vez al servidor de actualizaciones y comprobó si había alguna actualización disponible. Puede elegir deshabilitar una nueva aplicación incluida en una publicación de contenido si quiere evitar cualquier impacto en la política desde aplicación que se identifique exclusivamente (una aplicación se puede tratar de manera diferente antes y después de una instalación de contenido si una aplicación desconocida anteriormente se identifica y categoriza de manera de diferente). Opciones de las actualizaciones dinámicas Campo Descripción Versión Muestra las versiones disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. Tipo Indica si la descarga incluye una actualización completa o una actualización incremental.Actualización de definiciones de aplicaciones y amenazas En la siguiente tabla se proporciona ayuda para utilizar esta página. Nombre de archivo Muestra el nombre de archivo. Esta opción ofrece protección contra las amenazas más recientes. Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. seleccione el enlace Aplicaciones. las muestra al principio de la lista. Haga clic en esta opción para ver nuevas firmas de aplicaciones disponibles por primera vez desde la última versión de publicación de contenido instalada en el cortafuegos. Para ello. haga clic en Comprobar ahora. Tabla 23. Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido en el cortafuegos. Puede definir la frecuencia y el momento de la descarga de actualizaciones de contenido dinámico (día o fecha y hora). Características Enumera el tipo de firmas que puede incluir la versión de contenido. incluye información de la versión de contenido. Amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). versión 7. 64 • Guía de referencia de interfaz web .

Esta opción ofrece protección contra las amenazas más recientes.Actualización de definiciones de aplicaciones y amenazas Tabla 23. al descargar una versión de publicación de contenido de Aplicaciones y amenazas se habilita la opción de Revisión de políticas afectadas por las nuevas firmas de aplicaciones incluidas en la publicación. • Instalar: La versión de publicación de contenido correspondiente se ha descargado en el cortafuegos. Si el cortafuegos no tiene acceso a Internet.0 • 65 . Al instalar una nueva versión de publicación de contenido en Aplicaciones y amenazas. • Revertir: Anteriormente se ha descargado la versión de publicación de contenido correspondiente. Asimismo. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de publicación de contenido correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. • Revisión de políticas (solamente contenido de aplicaciones y amenazas): Revisa cualquier impacto en políticas de nuevas aplicaciones incluidas en una versión de publicación de contenido. Documentación Proporciona un enlace a las notas de la versión de la versión correspondiente. A continuación. Palo Alto Networks Guía de referencia de interfaz web . amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). debido al impacto de nuevas firmas de aplicaciones (para habilitar aplicaciones que ha deshabilitado anteriormente. y al mismo tiempo le concede la flexibilidad de habilitar aplicaciones tras preparar cualquier actualizaciones de políticas. Para volver a instalar la misma versión. También puede usar el cuadro de diálogo Revisión de políticas para añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) de una política de seguridad existente. Use esta opción para evaluar el tratamiento que recibe una aplicación antes y después de instalar una actualización de contenido. haga clic en el enlace. Haga clic en el enlace para instalar la actualización. utilice un ordenador conectado a Internet para ir al sitio Actualizaciones dinámicas para buscar y descargar la versión de publicación de contenido en su ordenador local. verá la opción de Deshabilitar nuevas aplicaciones en actualización de contenido. haga clic en el botón Cargar para cargar manualmente la imagen de software en el cortafuegos. Opciones de las actualizaciones dinámicas (Continuación) Campo Descripción Instalado actualmente Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido que se está ejecutando actualmente en el cortafuegos. Haga clic en el enlace para iniciar la descarga. versión 7. seleccione el enlace Aplicaciones. Elimine la versión de publicación de contenido descargada anteriormente del cortafuegos. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que se instala la versión de publicación de contenido correspondiente.

0 Palo Alto Networks . Una vez se hayan creado las cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas. consulte: • “Configuración de perfiles de autenticación” • “Definición de funciones de administrador” • “Creación de cuentas administrativas” • “Configuración de GlobalProtect”: Para obtener información sobre autenticación en redes privadas virtuales SSL (VPN) • “Especificación de dominios de acceso para administradores”: Para obtener instrucciones sobre cómo definir dominios de sistemas virtuales para administradores • “Creación de un perfil del certificado”: Para obtener instrucciones sobre la definición de perfiles de certificados para administradores Definición de funciones de administrador Dispositivo > Funciones de administrador Utilice la página Funciones de administrador para definir perfiles de funciones que determinen el acceso y las responsabilidades disponibles para los usuarios administrativos. que especifican privilegios detallados. Para obtener instrucciones sobre cómo añadir cuentas de administrador. perfiles y cuentas de administrador Funciones. versión 7. especifique una de las siguientes opciones para determinar el modo en que el cortafuegos autentica a los usuarios administradores que inician sesión: • Base de datos local: La información de inicio de sesión y contraseña de usuario se introduce directamente en la base de datos del cortafuegos. Puede asignar perfiles de funciones predefinidas o personalizadas. También hay tres funciones de administrador predefinidas que se pueden utilizar con fines de criterios comunes. el administrador de auditoría y el administrador criptográfico. Primero utiliza la función Superusuario para la configuración inicial del dispositivo y para crear las cuentas de administrador para el administrador de seguridad. • Perfil de autenticación: Seleccione un servidor externo existente de uno de los siguientes tipos para autenticar a usuarios: – RADIUS (Servidor de servicio de autenticación remota telefónica de usuario) – TACACS+ (Servidor de sistema de control de acceso del controlador de acceso a terminales) – LDAP (Protocolo ligero de acceso a directorios) – Kerberos Las funciones que asigne a las cuentas de administrador determinan las funciones que el cortafuegos permite a los administradores después de que inicien sesión. • Certificado de cliente: Se autentica a los usuarios mediante certificados de cliente existentes. consulte “Creación de cuentas administrativas”.Funciones. podrá iniciar sesión utilizando esas cuentas. perfiles y cuentas de administrador Al crear una cuenta de administrador. Para obtener más información. La cuenta Superusuario predeterminada en el 66 • Guía de referencia de interfaz web .

haga clic en Añadir y especifique la siguiente información: Palo Alto Networks Guía de referencia de interfaz web .Funciones. • Administrador criptográfico: El administrador criptográfico es responsable de la configuración y el mantenimiento de los elementos criptográficos relacionados con el establecimiento de conexiones seguras con el cortafuegos.. versión 7. Estas funciones de administrador no se pueden modificar y se definen de la manera siguiente: • Administrador de auditoría: El administrador de auditoría es responsable de la revisión regular de los datos de auditoría del cortafuegos. excepto en que todas tienen un acceso de solo lectura a la traza de auditoría (excepto el administrador de auditoría con acceso de lectura/eliminación completo).0 • 67 . la creación de la política de seguridad del cortafuegos) no asumidas por las otras dos funciones administrativas. • Administrador de seguridad: El administrador de seguridad es responsable del resto de tareas administrativas (p. Para añadir una función de administrador. Las funciones de administrador predefinidas se han creado donde las capacidades no se solapan. En el modo de funcionamiento estándar. la contraseña predeterminada de admin es admin. perfiles y cuentas de administrador modo CC (Criterios comunes) o FIPS (Estándar federal de procesamiento de información) es admin y la contraseña predeterminada es paloalto. ej.

Tabla 25. API XML Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la API XML. versión 7. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • devicereader: El acceso a un dispositivo seleccionado es de solo lectura. • superlector: El acceso al dispositivo actual es de solo lectura. espacios. Descripción Introduzca una descripción opcional de la función (de hasta 255 caracteres). haga clic en Añadir y especifique la siguiente información.0 Palo Alto Networks . • Solo lectura: acceso de solo lectura a la pestaña seleccionada. Definición de perfiles de contraseña Dispositivo > Perfiles de contraseña y Panorama > Perfiles de contraseña Los perfiles de contraseña le permiten establecer requisitos de contraseña básicos para una cuenta local individual.Definición de perfiles de contraseña Tabla 24. Para crear un perfil de contraseña. se pedirá a los administradores que cambien su contraseña cada 90 días. • deviceadmin: El acceso a un dispositivo seleccionado es completo. Utilice únicamente letras. este perfil de contraseña cancelará esos ajustes. Configuración de perfil de contraseña Campo Descripción Nombre Introduzca un nombre para identificar el perfil de contraseña (de hasta 31 caracteres). También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. • Deshabilitar: sin acceso a la pestaña seleccionada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de funciones de administrador Campo Descripción Nombre Introduzca un nombre para identificar esta función de administrador (de hasta 31 caracteres). Si habilita Complejidad de contraseña mínima (consulte “Complejidad de contraseña mínima”). números. Por ejemplo. de 0 a 365 días. si el valor se establece como 90. Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. Utilice únicamente letras. guiones y guiones bajos. números. Línea de comandos Seleccione el tipo de función para el acceso a la CLI: • Ninguno: El acceso a la CLI del dispositivo no está permitido. • superusuario: El acceso al dispositivo actual es completo. Interfaz de usuario web Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la interfaz web: • Habilitar: acceso de lectura/escritura a la pestaña seleccionada. Función Seleccione el ámbito de responsabilidad administrativa: dispositivo o sistema virtual (para dispositivos habilitados para sistemas virtuales múltiples). 68 • Guía de referencia de interfaz web . que proporciona requisitos de contraseña para todas las cuentas locales. excepto al definir nuevas cuentas o sistemas virtuales. espacios.

Palo Alto Networks Guía de referencia de interfaz web . seleccione el perfil en la lista desplegable Perfil de la contraseña. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). si el valor se ha establecido como 3 y su cuenta ha vencido. Caracteres válidos para nombres de usuario y contraseñas Tipo de cuenta Restricciones Conjunto de caracteres de contraseña No hay ninguna restricción en los conjuntos de caracteres de los campos de contraseña.) • Comillas (“ y ”) • Signo del dólar ($) • Paréntesis (“(” y “)”) • Dos puntos (:) Cuentas de administrador locales Los siguientes son los caracteres permitidos para los nombres de usuario locales: • Minúsculas (a-z) • Mayúsculas (A-Z) • Números (0-9) • Guión bajo (_) • Punto (.) • Guión (-) Nota: Los nombres de inicio de sesión no pueden empezar por guión (-). seleccione una cuenta y. Por ejemplo.0 • 69 . a continuación. seleccione Dispositivo > Administradores (para cortafuegos) o Panorama > Administradores. Administrador remoto. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que su cuenta haya vencido (rango: 0-30 días). Recuento de inicio de sesión de administrador posterior al vencimiento Permita que el administrador inicie sesión el número de veces especificado después de que su cuenta haya vencido. este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). Para aplicar un perfil de contraseña a una cuenta. Requisitos de nombre de usuario y contraseña La tabla siguiente enumera los caracteres válidos que se pueden utilizar en nombres de usuario y contraseñas para cuentas de PAN-OS y Panorama. Tabla 26. versión 7. VPN SSL o portal cautivo Los siguientes caracteres no están permitidos para el nombre de usuario: • Acento grave (`) • Corchetes angulares (< y >) • Y comercial (&) • Asterisco (*) • Arroba (@) • Signos de interrogación (¿ y ?) • Barra vertical (|) • Comilla simple (‘) • Punto y coma (. Configuración de perfil de contraseña Campo Descripción Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña.Definición de perfiles de contraseña Tabla 25.

Para añadir un administrador. se recomienda cambiar periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas. Configuración de cuentas de administrador Campo Descripción Nombre Introduzca un nombre de inicio de sesión para el administrador (de hasta 31 caracteres). puntos y guiones bajos. Para obtener más información. consulte “Configuración de perfiles de autenticación”. Tabla 27. versión 7. Si selecciona esta casilla de verificación. TACACS+. Utilice únicamente letras. También puede aplicar “Complejidad de contraseña mínima” desde Configuración > Gestión. a continuación. • Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de usuario o contraseña. Utilizar únicamente el certificado de autenticación de cliente (web) Seleccione la casilla de verificación para utilizar la autenticación con certificado de cliente para el acceso web. • Autenticación con clave pública (SSH): El administrador genera un par de claves pública y privada en la máquina que requiere acceso al dispositivo y. números. Un administrador de cortafuegos puede tener acceso completo o de solo lectura a un único cortafuegos o a un sistema virtual en un único cortafuegos. guiones. 70 • Guía de referencia de interfaz web . No se necesitan certificados. (Para obtener más información sobre administradores de Panorama. el certificado será suficiente para autenticar el acceso al dispositivo. Perfil de autenticación Seleccione un perfil de autenticación para la autenticación del administrador. Este ajuste se puede utilizar para RADIUS. consulte “Creación de cuentas administrativas de Panorama”. LDAP.) Se admiten las siguientes opciones de autenticación: • Autenticación con contraseña: El administrador introduce un nombre de usuario y una contraseña para iniciar sesión. Kerberos o la autenticación de base de datos local. Los cortafuegos tienen una cuenta de administrador predefinida con acceso completo. mayúsculas y números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. no es necesario ni el nombre de usuario ni la contraseña. Los nombres de inicio de sesión no pueden empezar por guión (-). También puede aplicar “Contraseña mínima” desde Configuración > Gestión. carga la clave pública en el dispositivo para permitir un acceso seguro sin exigir que el administrador introduzca un nombre de usuario y una contraseña. Para garantizar la seguridad de la interfaz de gestión del dispositivo. Puede utilizar este método junto con los perfiles de autenticación o para la autenticación de base de datos local.0 Palo Alto Networks . haga clic en Añadir y especifique la siguiente información. Nueva contraseña Confirmar nueva contraseña Introduzca y confirme una contraseña que haga distinción entre mayúsculas y minúsculas para el administrador (de hasta 31 caracteres).Creación de cuentas administrativas Creación de cuentas administrativas Dispositivo > Administradores Las cuentas de administrador controlan el acceso a los dispositivos. el certificado es suficiente para autenticar el acceso al dispositivo.

si es aplicable.0 • 71 . Para obtener más información. puede gestionar dominios de acceso localmente o usando VSA RADIUS (consulte “Especificación de dominios de acceso de Panorama para administradores”). Perfil de la contraseña Seleccione el perfil de contraseña. los dominios de acceso están vinculados a atributos específicos del proveedor (VSA) RADIUS y únicamente se admiten si se utiliza un servidor RADIUS para la autenticación del administrador (consulte “Configuración de ajustes de servidor RADIUS”). Especificación de dominios de acceso para administradores Dispositivo > Dominio de acceso Panorama > Dominio de acceso Utilice la página Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. Palo Alto Networks Guía de referencia de interfaz web . Sistema virtual (Solo para una función de administrador de sistema virtual del cortafuegos) Haga clic en Añadir para seleccionar los sistemas virtuales a los que puede acceder el administrador. Si selecciona Dinámico. • Administrador de Vsys (solo lectura): El acceso a un sistema virtual seleccionado en un cortafuegos específico es de solo lectura. En el cortafuegos. Los algoritmos de clave admitidos son DSA (1. La clave cargada se muestra en el área de texto de solo lectura. La función determina lo que el administrador puede ver y modificar. se mostrará un mensaje de nombre de usuario y contraseña para el administrador. excepto al definir nuevas cuentas o sistemas virtuales. Para crear un nuevo perfil de contraseña. Función Asigne una función a este administrador.024 bits) y RSA (768-4096 bits). • Administrador de dispositivo (solo lectura): El acceso a un cortafuegos seleccionado es de solo lectura. puede seleccionar una de las siguientes funciones preconfiguradas: • Superusuario: El acceso al cortafuegos actual es completo. • Administrador de dispositivo: El acceso a un cortafuegos seleccionado es completo. consulte “Definición de perfiles de contraseña”. • Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos específico (si hay varios sistemas virtuales habilitados) es completo. Nota: Si falla la autenticación con clave pública. consulte “Definición de funciones de administrador”. Configuración de cuentas de administrador (Continuación) Campo Descripción Utilizar autenticación de clave pública (SSH) Seleccione la casilla de verificación para utilizar la autenticación con clave pública SSH. • Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual.Especificación de dominios de acceso para administradores Tabla 27. Si elige Basado en función. Haga clic en Importar clave y explore para seleccionar el archivo de clave pública. Los formatos de archivo de clave admitidos son IETF SECSH y OpenSSH. En Panorama. versión 7. seleccione un perfil de función personalizado en la lista desplegable.

LDAP y Kerberos. guiones. TACACS+. Configuración de dominio de acceso Campo Descripción Nombre Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres). Sistemas virtuales Seleccione sistemas virtuales en la columna Disponibles y haga clic en Añadir para seleccionarlos. Tabla 28. guiones bajos y puntos. Si no se utiliza RADIUS. versión 7. use el comando CLI de autenticación para determinar si su cortafuegos o servidor de gestión Panorama puede comunicarse con el servicio de autenticación de back-end y si la solicitud de autenticación se realizó correctamente. acceso SSL-VPN y portal cautivo. Utilice únicamente letras. los ajustes de dominio de acceso de esta página se ignorarán. consulte la Guía del administrador de PAN-OS 7. Puede realizar pruebas de autenticación con la configuración del candidato. Consejo: Después de configurar un perfil de autenticación. se devuelve y el administrador se restringe a los sistemas virtuales definidos de dentro del dominio de acceso con nombre del dispositivo. números.0 Palo Alto Networks . de modo que sepa cuál es la configuración correcta antes de compilarla. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. este consulta al servidor RADIUS acerca del dominio de acceso del administrador. Los dominios de acceso únicamente son compatibles en dispositivos que admiten sistemas virtuales.0 o posterior. Los dispositivos de Palo Alto Networks son compatibles con servicios de autenticación de bases de datos locales RADIUS. 72 • Guía de referencia de interfaz web . Para obtener más información sobre este comando. Si hay un dominio asociado en el servidor RADIUS. Configuración de perfiles de autenticación Dispositivo > Perfil de autenticación Panorama > Perfil de autenticación Utilice la página Perfil de autenticación para configurar ajustes de autenticación que puede aplicar a cuentas de administradores.Configuración de perfiles de autenticación Cuando un administrador intenta iniciar sesión en el cortafuegos.

Se pueden producir errores de referencia mientras compila un perfil de autenticación y una secuencia con los mismos nombres en estos casos. puede tener hasta 31 caracteres. si la ubicación del perfil de autenticación es un vsys. seleccione la casilla de verificación para utilizar VSA RADIUS para definir el grupo que tiene acceso al cortafuegos. espacios. Una vez guardado el perfil. Ubicación Seleccione el ámbito en el que está disponible el perfil. • TACACS+: Utilice un servidor RADIUS para la autenticación. guiones. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Perfil de servidor Si el Tipo de autenticación es RADIUS. versión 7. Del mismo modo. incluidas letras. • LDAP: Use LDAP para autenticación. TACACS+. introduzca un atributo de directorio LDAP que identifique exclusivamente al usuario y que actúe como ID de inicio de sesión para ese usuario. PRECAUCIÓN: En un cortafuegos en modo de sistemas virtuales múltiples. El nombre distingue entre mayúsculas y minúsculas. no introduzca el mismo nombre como una secuencia de autenticación en la ubicación Compartido. “Configuración de ajustes de servidor LDAP” y “Configuración de ajustes del servidor Kerberos”. Palo Alto Networks Guía de referencia de interfaz web . seleccione un vsys o Compartido (todos los sistemas virtuales). no introduzca el mismo nombre como una secuencia en un vsys. • Kerberos: Use Kerberos para autenticación. Configuración de perfil de autenticación Campo Descripción Nombre Introduzca un nombre para identificar el perfil. Obtener grupo de usuarios Si el tipo de autenticación es RADIUS.Configuración de perfiles de autenticación Tabla 29. “Configuración de ajustes del servidor TACACS+”.0 • 73 . o Kerberos. El nombre debe ser exclusivo en la ubicación actual (cortafuegos o sistema virtual) en relación con otros perfiles de autenticación y secuencias de autenticación. En cualquier otro contexto. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Atributo de inicio de sesión Si el tipo de autenticación es LDAP. guiones bajos y puntos. si el perfil Ubicación está compartido. no puede cambiar su Ubicación. • RADIUS: Utilice un servidor RADIUS para la autenticación. seleccione el perfil de autenticación del menú desplegable. Pestaña Autenticación Tipo Seleccione el tipo de autenticación: • Ninguna: No utilice ninguna autenticación del cortafuegos. LDAP. Consulte “Configuración de ajustes de servidor RADIUS”. números. no puede seleccionar la Ubicación. • Base de datos local: Utilice la base de datos de autenticación del cortafuegos.

Los usuarios no podrán acceder a la VPN si las contraseñas caducan. en el nombre de cuenta de usuario usuario@EJEMPLO. el dominio es EJEMPLO. Consejo: Se recomienda configurar los agentes para que utilicen el método de conexión anterior al inicio de sesión. • Para anexar un dominio a la entrada del usuario. lo que evitará el acceso a la VPN). el administrador puede asignar una contraseña de LDAP temporal que permita a los usuarios iniciar sesión en la VPN. se recomienda establecer el modificador de autenticación en la configuración del portal para la autenticación de cookies para la actualización de configuración (de lo contrario. Consulte “Configuración de GlobalProtect”para obtener más información sobre la autenticación de cookies y la conexión anterior al inicio de sesión.LOCAL. Seleccione de entre las siguientes opciones: • Enviar solamente la información de usuario sin modificar. introduzca el Dominio de Kerberos (hasta 127 caracteres). Consejo: Si los usuarios dejan caducar sus contraseñas. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USE-RINPUT%@%USERDO-MAIN%. Esto permitirá a los usuarios conectarse al dominio para cambiar sus contraseñas incluso aunque la contraseña haya caducado. El dispositivo usa la cadena modificada para la autenticación y usa el valor Dominio de usuario para asignación de grupos de User-ID. Si especifica la variable %USERDOMAIN% y deja en blanco Dominio de usuario. De forma predeterminada. 74 • Guía de referencia de interfaz web . pero el inicio de sesión de la puerta de enlace fallará. Por ejemplo. Dominio de usuario y Modificador de nombre de usuario El dispositivo combina los valores de Dominio de usuario y Modificador de nombre de usuario para modificar la cadena de dominio/nombre de usuario que introduce un usuario durante el inicio de sesión. el dispositivo elimina todas las cadenas de dominio introducidas por usuarios. Esto se aplica tanto para dominios principales como secundarios. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USERDOMAIN%\%USE-RINPUT%. En este flujo de trabajo. la contraseña temporal se utilizará para autenticarse en el portal. Configuración de perfil de autenticación (Continuación) Campo Descripción Aviso de caducidad de contraseña Si el tipo de autenticación es LDAP y el perfil de autenticación es para usuarios de GlobalProtect. Corresponde al nombre de host del nombre de inicio de sesión del usuario.Configuración de perfiles de autenticación Tabla 29.LOCAL. dejar en blanco el Dominio de usuario (predeterminado) y definir el Modificador de nombre de usuario con la variable %USERINPUT% (predeterminado). defina con cuántos días de antelación empezarán a mostrarse mensajes de notificación a los usuarios para alertarles de que sus contraseñas vencen en x número de días. versión 7. Los modificadores Dominio de usuario tiene prioridad con respecto a nombres NetBIOS derivados automáticamente. los mensajes de notificación se mostrarán 7 días antes de la caducidad de la contraseña (de 1-255 días). Nota: Si el Modificador de nombre de usuario incluye la variable %USERDOMAIN%.0 Palo Alto Networks . Dominio de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. el valor Dominio de usuario sustituye a cualquier cadena de dominio que introduzcan los usuarios. • Para que un dominio preceda a la entrada del usuario. El dispositivo resuelve nombres de dominio con el nombre NetBIOS adecuado para la asignación de grupos de User-ID.

Un keytab contiene la información de cuenta de Kerberos (nombre principal y contraseña con hash) para el dispositivo. Cada perfil de autenticación puede tener un keytab.Configuración de perfiles de autenticación Tabla 29. la autenticación es inmediata. PRECAUCIÓN: Si define Intentos fallidos con un valor diferente de 0 pero deja Tiempo de bloqueo en 0. Palo Alto Networks Guía de referencia de interfaz web . Por ejemplo. que no tiene por qué ser Kerberos. haga clic en el enlace Importar y luego en Examinar para buscar el archivo keytab. el dispositivo intenta primero usar el keytab para establecer SSO. El algoritmo en el keytab tiene que coincidir con el algoritmo del vale de servicio que el servicio de concesión de vales emite para habilitar a los clientes para SSO. haga clic en ACEPTAR. Para eliminar usuarios o grupos. el proceso de autenticación se revierte a autenticación manual (nombre de usuario/contraseña) del tipo especificado. se ignora el Tiempo de bloqueo y nunca se bloquea al usuario. Pestaña Avanzada Lista de permitidas Haga clic en Añadir y seleccione todos o seleccione los usuarios y grupos específicos que tienen permiso para autenticarse con este perfil. De lo contrario. Intentos fallidos Introduzca el número de intentos de inicio de sesión erróneos (1-10) que permite el dispositivo antes de bloquear la cuenta de usuario. Un valor de 0 (predeterminado) significa que no hay límite. Configuración de perfil de autenticación (Continuación) Campo Descripción Keytab de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. versión 7. Su administrador de Kerberos determina qué algoritmos usan los vales de servicio. ningún usuario se puede autenticar. se ignora Intentos fallidos y nunca se bloquea al usuario. Para obtener más información sobre cómo crear keytabs válidos para dispositivos Palo Alto Networks. Nota: Si ha introducido un valor de Dominio de usuario. no necesita especificar dominios en la Lista de permitidas. a continuación. De lo contrario. Nota: Si el dispositivo está en modo FIPS (Estándar federal de procesamiento de información) o CC (Criterios comunes). PRECAUCIÓN: Si define Tiempo de bloqueo con un valor diferente de 0 pero deja Intentos fallidos en 0. De lo contrario. seleccione las casillas de verificación correspondientes y haga clic en Eliminar. introducir admin1 tiene el mismo efecto que introducir businessinc\admin1. Durante la autenticación. si el Dominio de usuario es businessinc y quiere añadir al usuario admin1 a la Lista de permitidas. Un valor de 0 (predeterminado) significa que el bloqueo se aplica hasta que el administrador desbloquee manualmente la cuenta de usuario. Si no añade entradas. puede usar también des3-cbc-sha1 o arcfour-hmac. necesaria para la autenticación SSO. el proceso de SSO fallará. el algoritmo tiene que ser aes128-cts-hmac-sha1-96 o aes256-cts-hmac-sha1-96. Puede especificar grupos que ya existen en su servicio de directorios o especificar grupos personalizados basados en filtros LDAP (consulte “Pestaña secundaria Grupo personalizado”). Si lo logra y el usuario que intenta acceder está en la “Lista de permitidas”. consulte la Guía del administrador de PAN-OS. Tiempo de bloqueo Introduzca el número de minutos (0-60) que el dispositivo bloqueará una cuenta de usuario desde que el usuario alcanza el número de intentos fallidos.0 • 75 .

añadirla a un grupo de usuarios y crear un perfil de autenticación utilizando el nuevo grupo. primero debe crear la cuenta local. Utilice la página Usuarios locales para añadir información de usuario a la base de datos local. Modo Utilice este campo para especificar la opción de autenticación: • Contraseña: Introduzca y confirme una contraseña para el usuario. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. debe habilitar el portal cautivo desde Dispositivo > Autenticación de usuario > Portal cautivo y seleccionar el perfil de autenticación. no puede seleccionar la Ubicación. Habilitar Seleccione la casilla de verificación para activar la cuenta de usuario. Consulte “Configuración del cortafuegos para la identificación de usuarios” para obtener más información. Una vez guardada la cuenta de usuario. guiones y guiones bajos. Utilice únicamente letras. espacios. administradores de dispositivos y usuarios de portal cautivo. números. No se requiere ningún servidor de autenticación externo con esta configuración. seleccione un vsys o Compartido (todos los sistemas virtuales). no puede cambiar su Ubicación. Ubicación Seleccione el ámbito en el que está disponible la cuenta de usuario. de modo que toda la gestión de cuentas se realiza en el cortafuegos o desde Panorama.Creación de una base de datos de usuario local Creación de una base de datos de usuario local Dispositivo > Base de datos de usuario local > Usuarios Puede establecer una base de datos local en el cortafuegos para almacenar información de autenticación para usuarios con acceso remoto. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tabla 30. Al configurar el portal cautivo. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Una vez haya configurado esto. • Hash de la contraseña: Introduzca una cadena de contraseña con hash. podrá crear una política desde Políticas > Portal cautivo. A continuación.0 Palo Alto Networks . En cualquier otro contexto. 76 • Guía de referencia de interfaz web . Configuración de usuario local Campo Descripción Nombre Introduzca un nombre para identificar al usuario (de hasta 31 caracteres). versión 7.

el predeterminado es 3). Para cortafuegos que tienen varios sistemas virtuales. Utilice únicamente letras. Tabla 32. versión 7. Tabla 31. Palo Alto Networks Guía de referencia de interfaz web . Ubicación Seleccione el ámbito en el que está disponible el grupo de usuarios. guiones y guiones bajos. espacios. no puede seleccionar la Ubicación. no puede seleccionar la Ubicación. números. Configuración de servidor RADIUS Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (intervalo: 1-30.0 • 77 . su valor se define previamente como Compartido (para cortafuegos) o como Panorama. En el contexto de un cortafuegos con más de un sistema virtual (vsys). la casilla de verificación aparece solo si la Ubicación es Compartida. seleccione un vsys o Compartido (todos los sistemas virtuales). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Reintentos Introduzca el número de reintentos automáticos tras un tiempo de espera antes de que falle la solicitud (intervalo: 1-5. Configuración de ajustes de servidor RADIUS Dispositivo > Perfiles de servidor > RADIUS Panorama > Perfiles de servidor > RADIUS Utilice la página RADIUS para configurar los ajustes de los servidores RADIUS con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). Todos los usuarios locales Haga clic en Añadir para seleccionar a los usuarios que desee añadir al grupo. En cualquier otro contexto. Una vez guardado el grupo de usuarios. espacios. no puede cambiar su Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). seleccione un vsys o Compartido (todos los sistemas virtuales). Utilice únicamente letras.Cómo añadir grupos de usuarios locales Cómo añadir grupos de usuarios locales Dispositivo > Base de datos de usuario local > Grupos de usuarios Utilice la página Grupos de usuarios para añadir información de grupo de usuarios a la base de datos local. Una vez guardado el perfil. números. En cualquier otro contexto. guiones y guiones bajos. no puede cambiar su Ubicación. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Ubicación Seleccione el ámbito en el que está disponible el perfil. predeterminado: 3). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de grupo de usuarios local Campo Descripción Nombre Introduzca un nombre para identificar el grupo (de hasta 31 caracteres).

• Servidor RADIUS: Introduzca la dirección IP del servidor o FQDN. Configuración de servidor RADIUS (Continuación) Campo Descripción Servidores Configure información para cada servidor en el orden preferido. Para cortafuegos de vsys múltiples. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. números. Configuración de ajustes del servidor TACACS+ Dispositivo > Perfiles de servidor > TACACS+ Panorama > Perfiles de servidor > TACACS+ Use la página TACACS+ para configurar ajustes para los servidores de sistema de control de acceso del controlador de acceso a terminales (TACACS+) con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). Utilizar conexión única para toda la autenticación Seleccione la casilla de verificación para usar la misma sesión TCP para todas las autenticaciones. • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor TACACS+. no puede cambiar su Ubicación. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Tabla 33. 78 • Guía de referencia de interfaz web . versión 7. Esta opción mejora el rendimiento al evitar el procesamiento que requiere iniciar y eliminar una sesión TCP diferente para cada evento de autenticación. • Servidor TACACS+: Introduzca la dirección IP o FQDN del servidor TACACS+. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. En cualquier otro contexto. seleccione un vsys o Compartido (todos los sistemas virtuales). espacios. Utilice únicamente letras. el predeterminado es 3).Configuración de ajustes del servidor TACACS+ Tabla 32. • Puerto: Introduzca el puerto del servidor (predeterminado: 49) para solicitudes de autenticación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor RADIUS.0 Palo Alto Networks . • Puerto: Introduzca el puerto del servidor (predeterminado: 1812) para solicitudes de autenticación. • Nombre: Introduzca un nombre para identificar el servidor. Configuración de servidor de TACACS+ Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). Una vez guardado el perfil. Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (el intervalo es de 1-20. no puede seleccionar la Ubicación. Servidores Haga clic en Añadir y especifique los siguientes parámetros para cada servidor TACACS+: • Nombre: Introduzca un nombre para identificar el servidor. guiones y guiones bajos. la casilla de verificación aparece solo si la Ubicación es Compartida. Ubicación Seleccione el ámbito en el que está disponible el perfil.

predeterminado: 30 segundos). Intervalo de reintento Especifique el intervalo en segundos tras el cual el sistema intentará conectarse al servidor LDAP después de un intento fallido anterior (intervalo: 1-3600. haga clic en Añadir e introduzca el nombre de host. la casilla de verificación aparece solo si la Ubicación es Compartida. Solicitar conexión SSL/TLS protegida Seleccione esta casilla de verificación si quiere que el dispositivo use SSL o TLS para comunicarse con el servidor de directorio. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. números. el dispositivo regresa a SSL. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Configuración de servidor LDAP Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). DN base Especifique el contexto raíz del servidor de directorio para acotar la búsqueda de información de usuario o grupo. seleccione un vsys o Compartido (todos los sistemas virtuales). El protocolo depende del puerto del servidor: • 389 (predeterminado): TLS (específicamente. predeterminado: 60). Utilice únicamente letras. Una vez guardado el perfil. no puede cambiar su Ubicación. • 636: SSL • Cualquier otro puerto: El dispositivo intenta primer usar TLS. Tipo Seleccione el tipo de servidor de la lista desplegable. no puede seleccionar la Ubicación. espacios. versión 7. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. El agente guardará la contraseña cifrada en el archivo de configuración. dirección IP o FQDN (servidor LDAP) y puerto (predeterminado: 389). Si el servidor de directorio no admite TLS. que actualiza la conexión de texto no cifrado con TLS). Enlazar DN Especifique el nombre de inicio de sesión (nombre distintivo) del servidor de directorio. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Tabla 34.0 • 79 . Contraseña/Confirmar contraseña Especifique la contraseña de la cuenta de enlace. Ubicación Seleccione el ámbito en el que está disponible el perfil. Palo Alto Networks Guía de referencia de interfaz web . Servidores Para cada servidor LDAP. En cualquier otro contexto. predeterminado: 30 segundos). Tiempo de espera de búsqueda Especifique el límite de tiempo impuesto al realizar búsquedas de directorio (1-30 segundos. Para cortafuegos que tienen varios sistemas virtuales.Configuración de ajustes de servidor LDAP Configuración de ajustes de servidor LDAP Dispositivo > Perfiles de servidor > LDAP Panorama > Perfiles de servidor > LDAP Utilice la página LDAP para configurar los ajustes de los servidores LDAP con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). Tiempo de espera de enlace Especifique el límite de tiempo impuesto al conectar con el servidor de directorio (1-30 segundos. La casilla de verificación está seleccionada de manera predeterminada. el dispositivo usa la operación StartTLS.

a continuación. El dispositivo verifica el certificado en dos aspectos: • El certificado es fiable y válido. Configuración de servidor LDAP (Continuación) Campo Descripción Verificar certificado de servidor para sesiones SSL Seleccione esta casilla de verificación (está sin marcar de manera predeterminada) si quiere que el dispositivo verifique el certificado que presenta el servidor de directorio para conexiones SSL/TLS. la conexión también. • El nombre del certificado debe coincidir con el Nombre del host del servidor LDAP. debe seleccionar también la casilla de verificación Solicitar conexión SSL/TLS protegida. El dispositivo comprueba primero la coincidencia del atributo Subject AltName del certificado y. Para habilitar esta verificación. Si el certificado usa el FQDN del servidor de directorio. Configuración de ajustes del servidor Kerberos Dispositivo > Perfiles de servidor > Kerberos Panorama > Perfiles de servidor > Kerberos Use la página de Kerberos para configurar un perfil de servidor que permita a los usuarios autenticarse de manera nativa en un controlador de dominio de Active Directory o un servidor de autenticación compatible con Kerberos V5. puede asignarlo a los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). 80 • Guía de referencia de interfaz web . prueba el atributo Subject DN. Después de configurar un perfil de servidor Kerberos. su entidad de certificación (CA) raíz y cualquier certificado intermedio debe estar en la tienda de certificados en Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. Para que el dispositivo confíe en el certificado. debe usar FQDN en el campo servidor LDAP para que se consiga la coincidencia de nombre. Si la verificación falla. versión 7.Configuración de ajustes del servidor Kerberos Tabla 34.0 Palo Alto Networks .

Palo Alto Networks Guía de referencia de interfaz web . guiones y guiones bajos. LDAP y RADIUS). Utilice únicamente letras. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. En cualquier otro contexto. Ubicación Seleccione el ámbito en el que está disponible el perfil. versión 7.Configuración de una secuencia de autenticación Para usar autenticación de Kerberos. Servidores En el caso de cada servidor Kerberos. Para cortafuegos que tienen varios sistemas virtuales. El dispositivo solo deniega el acceso si la autenticación falla con todos los perfiles de la secuencia. las cuentas de usuario residen en varios directorios (p. El dispositivo prueba los perfiles de manera secuencial descendente (aplicando la autenticación. • Servidor Kerberos: Introduzca la dirección IPv4 del servidor o FQDN. lista de permitidas y valores de bloqueo de cuenta) hasta que un perfil autentica correctamente al usuario. Tabla 35. la casilla de verificación aparece solo si la Ubicación es Compartida. no puede seleccionar la Ubicación. ej. números. seleccione un vsys o Compartido (todos los sistemas virtuales). Para ver información sobre perfiles de autenticación. debe poderse acceder a su servidor Kerberos de back-end a través de una dirección IPv4.0 • 81 . Una secuencia de autenticación es un conjunto de perfiles de autenticación que el dispositivo Palo Alto Networks intenta usar para la autenticación de usuarios cuando estos inician sesión. espacios. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. no puede cambiar su Ubicación.: base de datos local. registro único de Kerberos. haga clic en Añadir y especifique los siguientes ajustes: • Nombre: Introduzca un nombre para el servidor. Configuración de servidor Kerberos Campo Descripción Nombre de perfil Introduzca un nombre para identificar el servidor (de hasta 31 caracteres). su valor se define previamente como Compartido (para cortafuegos) o como Panorama. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Una vez guardado el perfil. • Puerto: Introduzca un número de puerto opcional (predeterminado: 88) para la comunicación con el servidor. consulte “Configuración de perfiles de autenticación”. Las direcciones IPv6 no son compatibles. Configuración de una secuencia de autenticación Dispositivo > Secuencia de autenticación Panorama > Secuencia de autenticación En algunos entornos.

guiones bajos y puntos. Configuración de secuencias de autenticación Campo Descripción Nombre Introduzca un nombre para identificar la secuencia. Los perfiles de logs contienen la información de programación y servidor FTP. prueba los perfiles de autenticación en la secuencia en orden descendente. Se pueden producir errores de referencia mientras compila una secuencia de autenticación y un perfil con los mismos nombres en estos casos. El nombre debe ser exclusivo en la Ubicación actual (cortafuegos o sistema virtual) en relación con otras secuencias de autenticación y perfiles de autenticación. 82 • Guía de referencia de interfaz web . números. puede tener hasta 31 caracteres. si la Ubicación de la secuencia de autenticación es un sistema virtual (vsys). Perfiles de autenticación Haga clic en Añadir y en el menú desplegable seleccione los perfiles de autenticación que quiera añadir a la secuencia. no introduzca el mismo nombre como un perfil en un vsys. no puede cambiar su Ubicación. no introduzca el mismo nombre como un perfil de autenticación en la ubicación Compartido. espacios. La entrada del usuario que usa el dispositivo para la coincidencia puede ser el texto que precede al nombre de usuario (separado por una barra invertida) o el texto que sigue al nombre de usuario (separado por el símbolo @).Programación de exportaciones de logs Tabla 36. no puede seleccionar la Ubicación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. En cualquier otro contexto. Para eliminar un perfil. Usar el dominio para determinar el perfil de autenticación Seleccione esta casilla de verificación (seleccionada de manera predeterminada) si quiere que el dispositivo busque coincidencias con el nombre de dominio que introduce un usuario durante el inicio de sesión con el Dominio de usuario o Dominio de Kerberos de un perfil de autenticación asociado a la secuencia y luego usar el perfil para autenticar el usuario. Programación de exportaciones de logs Dispositivo > Programación de la exportación de logs Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol (FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura entre el dispositivo y un host remoto. Por ejemplo.0 Palo Alto Networks . Ubicación Seleccione el ámbito en el que está disponible la secuencia. El nombre distingue entre mayúsculas y minúsculas. puede que un perfil especifique la recogida de los logs del día anterior cada día a las 3:00 y su almacenamiento en un servidor FTP específico. guiones. Del mismo modo. selecciónelo y haga clic en Eliminar. Una vez guardada la secuencia. incluidas letras. si la secuencia Ubicación está compartida. seleccione un perfil y haga clic en Mover hacia arriba o Mover hacia abajo. Si el dispositivo no encuentra una coincidencia. PRECAUCIÓN: En un cortafuegos con sistemas virtuales múltiples. En el contexto de un cortafuegos con más de un sistema virtual (vsys). versión 7. seleccione un vsys o Compartido (todos los sistemas virtuales). Para cambiar el orden de la lista.

deberá verificar y aceptar la clave de host del servidor SCP. logs de correlación (en algunas plataformas) y para configurar y habilitar alarmas. Descripción Introduzca una descripción opcional (de hasta 255 caracteres). Protocolo Seleccione el protocolo que debe utilizarse para exportar logs desde el cortafuegos a un host remoto.Definición de destinos de logs Haga clic en Añadir y especifique los siguientes ajustes: Tabla 37. versión 7. Amenaza. URL. No podrá cambiar el nombre después de crear el perfil. deberá hacer clic en el botón Conexión de servidor SCP de prueba para probar la conectividad entre el cortafuegos y el servidor SCP. Configuración de la programación de la exportación de logs Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). El valor predeterminado es anónimo. Además. Puerto Introduzca el número de puerto que utilizará el servidor FTP. De manera predeterminada. Si está utilizando SCP. Definición de destinos de logs Dispositivo > Configuración de log Utilice esta página para habilitar el cortafuegos y que registre cambios de configuración. puede habilitar funcionamiento remoto para Panorama. El valor predeterminado es Tráfico. Nombre de host Introduzca el nombre de host o dirección IP del servidor FTP que se utilizará para la exportación. esta opción está seleccionada. Habilitado Seleccione la casilla de verificación para habilitar la programación de exportaciones de logs. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. La siguiente tabla describe los destinos de logs remotos. Palo Alto Networks Guía de referencia de interfaz web . Utilice únicamente letras. logs de coincidencias HIP. Para cada log. que no es un protocolo seguro. Tipo de log Seleccione el tipo de log (Tráfico. Hora de inicio de exportación programada (a diario) Introduzca la hora del día (hh:mm) a la que comenzará la exportación en el formato de 24 horas (00:00 . Habilitar modo pasivo de FTP Seleccione la casilla de verificación para utilizar el modo pasivo para la exportación. El valor predeterminado es 21. y seleccionar un perfil de syslog y de servidor de correo electrónico para enviare mensajes de syslog y notificaciones de correo electrónico.23:59). Ruta Especifique la ruta ubicada en el servidor FTP que se utilizará para almacenar la información exportada.0 • 83 . espacios. Puede utilizar SCP para exportar logs de manera segura o puede utilizar FTP. Datos o Coincidencia HIP). eventos del sistema. números. y generar traps SNMP. guiones y guiones bajos. Contraseña Introduzca la contraseña para acceder al servidor FTP. Nombre de usuario Introduzca el nombre de usuario para acceder al servidor FTP. No se necesita contraseña si el usuario es “anónimo”.

consulte “Reenvío de logs”. el dispositivo de gestión central de Palo Alto. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Tabla 39. amenazas y tráfico.Definición de destinos de logs Tabla 38. Configuración del log Configuración Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. Para definir los servidores y destinatarios de correo electrónico. Trap SNMP Se pueden generar traps SNMP según el nivel de gravedad para entradas de los logs Sistema. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Trap SNMP Para generar traps SNMP para entradas del log configuración. seleccione el nombre del servidor Syslog. Destinos de logs remotos Destino Descripción Panorama Todas las entradas de logs se pueden reenviar a Panorama. así como para las entradas de log de configuración. Para definir los destinos de syslog. seleccione el perfil del servidor trap SNMP. consulte “Configuración de servidores Syslog”. Syslog Se pueden generar mensajes de Syslog según el nivel de gravedad para entradas de los logs de sistema. versión 7. consulte “Configuración de servidores Syslog”. consulte “Definición de la configuración de gestión”. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log de configuración. consulte “Configuración de destinos de traps SNMP”. Nota: Para configurar los destinos de los logs de tráfico. Para especificar la dirección del servidor de Panorama. Para especificar los nuevos destinos de traps SNMP. Amenaza y Tráfico. Configuración del log Configuración El widget Config le permite definir la configuración de las entradas del log de configuración. Para especificar un nuevo perfil de correo electrónico. seleccione un perfil de correo electrónico del menú desplegable. 84 • Guía de referencia de interfaz web . Para definir los nuevos destinos de traps SNMP. Para especificar nuevos servidores Syslog.0 Palo Alto Networks . Correo electrónico Se pueden enviar notificaciones de correo electrónico según el nivel de gravedad para entradas de los logs de sistema. Syslog Para generar mensajes de Syslog para entradas del log Configuración. pero no para entradas del log Configuración. así como para las entradas de log de configuración. amenazas y tráfico. consulte “Configuración de destinos de traps SNMP”.

como actualizaciones de paquetes de antivirus. Para obtener más información sobre el motor de correlación. Palo Alto Networks Guía de referencia de interfaz web . como cambios de contraseña de usuario. Configuración del log Sistema Campo Descripción Panorama Seleccione la casilla de verificación para cada nivel de gravedad de las entradas del log Sistema que se enviarán al sistema de gestión centralizado de Panorama. versión 7. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. consulte “Uso del motor de correlación automatizada”. • Informativo: Inicios de sesión/cierres de sesión. cambios de estado de enlaces e inicios de sesión y cierres de sesión de administradores en el cortafuegos. Para definir nuevos destinos. Los eventos correlacionados recopilan pruebas de comportamientos sospechosos o inusuales de los usuarios o hosts en la red. cambio de nombre o contraseña de administrador. seleccione los ajustes de SNMP. • Alto: Problemas graves. incluidas las interrupciones en las conexiones con dispositivos externos. • “Configuración de ajustes de notificaciones por correo electrónico”. En función de la gravedad del evento. como servidores Syslog y RADIUS. lo que incluye la conmutación por error de HA y los fallos de enlaces. Configuración del log de correlación Los logs de correlación se generan cuando un objeto de correlación coincide con un patrón o comportamiento y se registra un evento de correlación.Definición de destinos de logs Configuración del log Sistema El log Sistema muestra eventos del sistema. • “Configuración de servidores Syslog”. • Bajo: Notificaciones de menor gravedad. cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles de gravedad. consulte: • “Configuración de destinos de traps SNMP”. como fallos de HA.0 • 85 . Para especificar la dirección del servidor de Panorama. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log Sistema. mensajes de Syslog o notificaciones por correo electrónico. Tabla 40. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. Los niveles de gravedad son los siguientes: • Crítico: Fallos de hardware. consulte “Definición de la configuración de gestión”. • Medio: Notificaciones de nivel medio.

• Bajo: Indica la posibilidad de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos. consulte: • “Configuración de destinos de traps SNMP”. versión 7. se registra un evento crítico cuando un host que ha recibido un archivo considerado malintencionado por WildFire muestra la misma actividad de comando y control observada en ese archivo malintencionado dentro del espacio aislado de WildFire. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de correlación. Por ejemplo. como una visitas a una URL considerada malintencionada o un dominio DNS dinámico. seleccione los ajustes de SNMP. 86 • Guía de referencia de interfaz web . Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. • Informativo: Detecta un evento que podría resultar útil en conjunto para identificar una actividad sospechosa. Configuración del log de correlación Campo Descripción Panorama Seleccione la casilla de verificación de cada nivel de gravedad de las entradas del log de correlación que se enviarán a Panorama. • “Configuración de servidores Syslog”. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. un evento por separado no tiene por qué ser significativo en sí. mensajes de Syslog o notificaciones por correo electrónico. como las visitas repetidas a URL consideradas malintencionadas que sugiere la existencia de una actividad de comando y control generada por una secuencia de comandos. como el software malicioso detectado en cualquier punto de la red que coincida con la actividad de comando y control generada por un host concreto. • Medio: Indica que hay una probabilidad alta de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos.Definición de destinos de logs En función de la gravedad del evento. • “Configuración de ajustes de notificaciones por correo electrónico”. • Alto: Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad basándose en una correlación entre varios eventos de amenaza. Tabla 41. Los niveles de gravedad son los siguientes: • Crítico: Confirma que se ha comprometido la seguridad de un host basándose en eventos correlacionados que indican un patrón en aumento. Para definir nuevos destinos.0 Palo Alto Networks .

Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas del log de alarmas actual. Definición de configuración de alarmas La configuración de alarmas le permite habilitar alarmas y notificaciones de alarmas para la CLI y la interfaz web. Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas situado en la esquina inferior derecha de la interfaz web cuando la opción Alarma está configurada. Para reconocer alarmas. Configuración del log Coincidencias HIP Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. consulte “Configuración de destinos de traps SNMP”. Tabla 42. Trap SNMP Para generar traps SNMP para entradas del log Coincidencias HIP. Para especificar nuevos ajustes de correo electrónico. orden de columnas y actualización. la cuota predeterminada está configurada para notificar que se ha usado el 90% de la capacidad del disco. Syslog Para generar mensajes de Syslog para entradas del log Configuración. La configuración de alarmas permite actuar antes de que se llene el disco y se purguen los logs. Para especificar los nuevos destinos de traps SNMP. • Se ha alcanzado el umbral de fallos de cifrado/descifrado. • La base de datos de logs de cada tipo de log está casi llena. consulte “Configuración de servidores Syslog”.0 • 87 . La ventana Alarmas también incluye controles de páginas.Definición de destinos de logs Configuración del log Coincidencias HIP La configuración del log Coincidencias HIP (perfil de información de host) se utiliza para proporcionar información sobre las políticas de seguridad que se aplican a clientes de GlobalProtect. seleccione el nombre del destino de trap. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log Configuración. También le permite configurar notificaciones para esos eventos: • Se ha encontrado una coincidencia con una regla de seguridad (o grupo de reglas) en un umbral especificado y dentro de un intervalo de tiempo especificado. Para especificar nuevos servidores Syslog. Palo Alto Networks Guía de referencia de interfaz web . Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. seleccione el nombre del servidor Syslog. seleccione sus casillas de verificación y haga clic en Reconocer. versión 7. seleccione el nombre de la configuración de correo electrónico que especifica las direcciones de correo electrónico adecuadas.

Límites de grupos de políticas de seguridad Se genera una alarma si el conjunto de reglas alcanza el número de infracciones del límite de reglas especificado en el campo Umbral de infracciones durante el período especificado en el campo Período de tiempo de infracciones. amenazas. sistema. el cortafuegos registra cambios en la configuración. Los incumplimientos se cuentan cuando una sesión coincide con una política de denegación explícita. • Administradores suprimidos: No genera logs para los cambios que realizan los administradores enumerados en la configuración del cortafuegos. Especifique los siguientes ajustes: • Logging específico de CC: Permite logs ampulosos necesarios para el cumplimiento de criterios comunes (CC). versión 7. Haga clic en el enlace que corresponde al log (tráfico. URL. Habilitar notificaciones de alarmas por CLI Habilite notificaciones de alarmas por CLI cuando se produzca una alarma. eventos del sistema. amenazas de seguridad. Habilitar notificaciones de alarma web Abra una ventana para mostrar alarmas en las sesiones de usuario. edite la sección Configuración de alarma y utilice la siguiente tabla para definirla: Tabla 43. El botón Alarmas solo es visible cuando la casilla de verificación Habilitar alarmas está seleccionada. coincidencia HIP. alarma) que le gustaría borrar. • Logs de inicios de sesión incorrectos: Registra los inicios de sesión incorrectos en el cortafuegos por parte del administrador.Definición de destinos de logs Para añadir una alarma. Umbral de alarma de base de datos de log (% lleno) Genere una alarma cuando una base de datos de logs alcance el porcentaje indicado del tamaño máximo. configuración. Habilitar alarmas audibles El cortafuegos seguirá reproduciendo una alarma sonora cuando existan alarmas no reconocidas en la interfaz web o la CLI. Utilice la página Gestionar logs para borrar los logs del dispositivo. incluyendo el momento en que se producen y cuándo se reconocen. Utilice Etiquetas de política de seguridad para especificar las etiquetas con las que los umbrales de límite de reglas generarán alarmas. datos. 88 • Guía de referencia de interfaz web . flujos de tráfico y alarmas generadas por el dispositivo. • Logs de inicios de sesión correctos: Registra los inicios de sesión correctos en el cortafuegos por parte del administrador. Auditoría selectiva Nota: Estos ajustes aparecen en la página Alarmas únicamente en el modo Criterios comunes. Configuración del log Alarma Campo Descripción Habilitar alarmas Habilite alarmas basándose en los eventos enumerados en esta página. Umbral de fallo de cifrado/descifrado Especifique el número de fallos de cifrado/descifrado tras los cuales se genera una alarma. Estas etiquetas están disponibles para su especificación al definir políticas de seguridad. Límites de política de seguridad Se genera una alarma si un puerto o una dirección IP en concreto incumple una regla de denegación el número de veces especificado en el ajuste Umbral de infracciones de seguridad dentro del período (segundos) especificado en el ajuste Período de tiempo de infracciones de seguridad. Gestión de configuración de logs Cuando se configura para la creación de logs.0 Palo Alto Networks .

además de servir como contraseña para autenticar a los miembros de la comunidad entre sí durante el reenvío de traps. Tabla 44. Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar los traps de Palo Alto Networks. consulte MIB compatibles. Palo Alto Networks Guía de referencia de interfaz web . puntos. los dispositivos supervisados envían traps SNMP a los gestores de SNMP (servidores trap). guiones bajos o guiones. Utilice únicamente letras. Su selección controla los campos restantes que muestra el cuadro de diálogo. Para avisarle de eventos o alertas del sistema en su red. Ubicación Seleccione el ámbito en el que está disponible el perfil. En cualquier otro contexto. Para cada versión. Para habilitar GET SNMP (solicitudes de estadísticas desde un gestor SNMP). Use la página Trap SNMP para configurar el perfil del servidor que permite al cortafuegos o Panorama enviar traps a los gestores de SNMP. pude añadir hasta cuatro gestores SNMP. espacios. seleccione un vsys o Compartido (todos los sistemas virtuales).Configuración de destinos de traps SNMP Configuración de destinos de traps SNMP Dispositivo > Perfiles de servidor > Trap SNMP Panorama > Perfiles de servidor > Trap SNMP SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. Configuración de perfil de servidor de Trap SNMP Campo Descripción Nombre Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres). versión 7. consulte “Habilitación de supervisión de SNMP”. no puede seleccionar la Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Una vez guardado el perfil. Se recomienda no usar la cadena de comunidad pública predeterminada. que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. debe especificar qué tipos de logs activarán el cortafuegos para que envíe traps SNMP (consulte “Definición de destinos de logs”). guiones y guiones bajos. admite todos los caracteres y distingue entre mayúsculas y minúsculas. Para SNMP V2c Nombre Especifique un nombre para el gestor SNMP. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Comunidad Introduzca la cadena de comunidad. Tras crear el perfil del servidor. Esta cadena puede tener hasta 127 caracteres. No elimine perfiles de servidor usados por configuración de log Sistema o perfiles de logs. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar. números. no puede cambiar su Ubicación. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos.0 • 89 . Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3.

0 Palo Alto Networks . Contraseña de autenticación Especifique la contraseña de autenticación del usuario SNMP. EngineID Especifique el ID de motor del dispositivo. Especifique la privacidad de autenticación del usuario SNMP. El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña.Configuración de destinos de traps SNMP Tabla 44. Usuario Especifique un nombre de usuario para identificar la cuenta de usuario de SNMP (de hasta 31 caracteres). Para dispositivos en configuración de alta disponibilidad (HA). Cuando un gestor SNMP y el dispositivo se autentican entre sí. de modo que el gestor SNMP pueda identificar qué peer HA envió los traps. el valor se sincroniza y ambos peers usarán el mismo EngineID. Configuración de perfil de servidor de Trap SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre Especifique un nombre para el gestor SNMP. y con otros 10-128 caracteres para representar cualquier número de 5-64 bytes (2 caracteres por byte). Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. Contraseña priv. guiones bajos o guiones. puntos. los mensajes usan el número de serie del dispositivo como EngineID. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. debe estar en formato hexadecimal. de lo contrario. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP. deje el campo en blanco. versión 7. El dispositivo usa la contraseña para autenticar el gestor SNMP. Si deja este campo en blanco. con el prefijo 0x. los mensajes trap usan este valor para identificar exclusivamente el dispositivo. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. Si introduce un valor. 90 • Guía de referencia de interfaz web .

Tráfico. seleccione un vsys o Compartido (todos los sistemas virtuales). consulte RFC 3164 (formato BSD) o RFC 5424 (formato IETF). En el cuadro de diálogo. para TCP debe especificar un número de puerto). haga clic en un campo para añadirlo al área Formato de log. Formato Especifique el formato de Syslog que se debe utilizar: BSD (valor predeterminado) o IETF. TCP o SSL. En el contexto de un cortafuegos con más de un sistema virtual (vsys). guiones y guiones bajos. espacios. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. no puede seleccionar la Ubicación. Utilice únicamente letras. Puerto Introduzca el número de puerto del servidor Syslog (el puerto estándar para UDP es 514. Palo Alto Networks Guía de referencia de interfaz web . consulte “Configuración de ajustes de notificaciones por correo electrónico”. Ubicación Seleccione el ámbito en el que está disponible el perfil. podrá utilizarlos para las entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). Ver una descripción de cada campo que se pueda usar para logs personalizados. Otras cadenas de texto se pueden editar directamente en el área Formato de log. Utilice el cuadro Caracteres de escape para enumerar todos los caracteres que se escaparán sin espacios. Pestaña Servidores Nombre Haga clic en Añadir e introduzca un nombre para el servidor Syslog (de hasta 31 caracteres). no puede cambiar su Ubicación. números. Después de definir los servidores Syslog. Instalaciones Seleccione uno de los valores estándar de Syslog. No puede eliminar un servidor que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Para obtener más información sobre el campo Instalaciones.0 • 91 . espacios. Tabla 45. Configuración. Para obtener información detallada sobre los campos que se pueden utilizar para logs personalizados. números. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Amenaza o Coincidencias HIP. Una vez guardado el perfil. el puerto estándar para SSL es 6514. versión 7. Transporte Elija si desea transportar los mensajes de Syslog en UDP. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Servidor Introduzca la dirección IP del servidor Syslog. Escape Especifique secuencias de escape. guiones y guiones bajos. En cualquier otro contexto. debe especificar uno o más servidores Syslog. Seleccione el valor que asigna al modo en que su servidor Syslog usa el campo Instalaciones para gestionar mensajes. Nuevo servidor Syslog Campo Descripción Nombre Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres).Configuración de servidores Syslog Configuración de servidores Syslog Dispositivo > Perfiles de servidor > Syslog Panorama > Perfiles de servidor > Syslog Para generar mensajes de Syslog para logs Sistema. Utilice únicamente letras. Haga clic en ACEPTAR para guardar la configuración.

Utilice únicamente letras. De Introduzca la dirección de correo electrónico del remitente. guiones y guiones bajos. versión 7. Para obtener información sobre cómo programar la entrega de informes por correo electrónico. debe configurar un perfil de correo electrónico. En cualquier otro contexto. Ubicación Seleccione el ámbito en el que está disponible el perfil. Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Para añadir varios destinatarios. Después de definir la configuración de correo electrónico. Destinatario adicional También puede introducir la dirección de correo electrónico de otro destinatario. haga clic en un campo para añadirlo al área Formato de log. seleccione un vsys o Compartido (todos los sistemas virtuales). Configuración de notificaciones por correo electrónico Campo Descripción Nombre Introduzca un nombre para el perfil de servidor (de hasta 31 caracteres). 92 • Guía de referencia de interfaz web . Para Introduzca la dirección de correo electrónico del destinatario. En el cuadro de diálogo. Escape Incluya los caracteres de escape y especifique el carácter o los caracteres de escape.com”. números. Solo puede añadir un destinatario adicional. Mostrar nombre Introduzca el nombre mostrado en el campo De del correo electrónico. no puede cambiar su Ubicación. consulte “Programación de informes para entrega de correos electrónicos”. no puede seleccionar la Ubicación. podrá habilitar las notificaciones por correo electrónico para entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). En el contexto de un cortafuegos con más de un sistema virtual (vsys). Tabla 46. Puerta de enlace Introduzca la dirección IP o el nombre de host del servidor Simple Mail Transport Protocol (SMTP) utilizado para enviar el correo electrónico. Pestaña Servidores Servidor Introduzca un nombre para identificar el servidor (1-31 caracteres). Haga clic en ACEPTAR para guardar la configuración. su valor se define previamente como Compartido (para cortafuegos) o como Panorama.0 Palo Alto Networks . añada la dirección de correo electrónico de una lista de distribución.Configuración de ajustes de notificaciones por correo electrónico Configuración de ajustes de notificaciones por correo electrónico Dispositivo > Perfiles de servidor > Correo electrónico Panorama > Perfiles de servidor > Correo electrónico Para generar mensajes de correo electrónico para logs. espacios. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. como “alerta_seguridad@empresa. No puede eliminar un ajuste de correo electrónico que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. Una vez guardado el perfil.

espacios. versión 7. El cortafuegos es compatible con plantillas de NetFlow estándar y de empresa (específicas de PAN-OS). Tiempo de espera activo Especifique la frecuencia (en minutos) a la que el cortafuegos exporta registros de datos para cada sesión (1-60. con o sin NAT y con campos estándar o específicos de empresa. Puede habilitar NetFlow para que exporte todos los tipos de interfaces. de forma predeterminada 20) después de los cuales el cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier cambio en sus campos o un cambio en la selección de plantilla. Tipos de campos de PAN-OS Exporte campos específicos de PAN-OS para App-ID y el servicio de User-ID en registros de Netflow. 5 de forma predeterminada).0 • 93 . Tasa de actualización de plantilla Especifique el número de minutos (1-3600. números. El cortafuegos selecciona una plantilla según el tipo de datos que va a exportar: tráfico IPv4 o IPv6. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el cortafuegos exporta los datos NetFlow para todo el tráfico que atraviesa la interfaz hacia los servidores especificados. defina un perfil de servidor NetFlow. Utilice únicamente letras. utilice el valor del recopilador con la velocidad de actualización más rápida. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras. de forma predeterminada 30) o paquetes (1-600. guiones y guiones bajos. Los cortafuegos solo son compatibles con NetFlow unidireccional. Puede añadir un máximo de dos servidores por perfil.055). Puerto Especifique el número de puerto para el acceso al servidor (valor predeterminado: 2. Servidores Nombre Especifique un nombre para identificar el servidor (de hasta 31 caracteres). Después de asignar el perfil a una interfaz (consulte “Configuración de la interfaz de un cortafuegos”). tarjeta de log o reflejo de descifrado. Tabla 47.Configuración de ajustes de flujo de red Configuración de ajustes de flujo de red Dispositivo > Perfiles de servidor > Flujo de red Todos los cortafuegos son compatibles con la versión 9 de NetFlow. Establezca la frecuencia basada en cuántas veces quiere que el recopilador del flujo de datos actualice las estadísticas de tráfico. La frecuencia de actualización necesaria depende del recopilador de flujo de red: Si añade varios recopiladores de flujo de red al perfil del servidor. Para configurar exportaciones de datos NetFlow. Configuración de Netflow Campo Descripción Nombre Introduzca un nombre para el perfil de servidor Netflow (de hasta 31 caracteres). a excepción de las de alta disponibilidad (HA). números. Palo Alto Networks Guía de referencia de interfaz web . que especifique los servidores NetFlow que recibirán los datos y especifique los parámetros de exportación. pero no bidireccional. Servidor Especifique el nombre de host o la dirección IP del servidor. Los recopiladores NetFlow requieren plantillas para descifrar los campos exportados. a excepción de los cortafuegos de las series PA-4000 y PA-7000.

versión 7. Uso de certificados Dispositivo > Gestión de certificados > Certificados Los certificados se utilizan para cifrar datos y garantizar la comunicación en una red. También puede exportar e importar la clave de alta disponibilidad (HA) que protege la conexión entre los peers de HA en la red. Ruta de servicio IPv6 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6.Configuración de un perfil de servidor de DNS Configuración de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Configure un perfil de servidor DNS. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Ubicación Seleccione el sistema virtual al que pertenece el perfil. Tabla 48 Perfil de servidor de DNS Campo Descripción Nombre Especifique un nombre para el perfil de servidor SNMP. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. renovar. eliminar. DNS principal Especifique la dirección IP del servidor DNS principal. • “Gestión de entidades de certificación de confianza predeterminadas”: Utilice la página Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas para ver.0 Palo Alto Networks . – Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. o déjelo como heredado si ha elegido un origen de herencia. habilitar y deshabilitar las entidades de certificados (CA) en las que confía el cortafuegos. haga clic en este enlace para ver el estado del origen de herencia. importar. • “Gestión de certificados de dispositivos”: Use la página Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos para gestionar (generar. que se aplica a sistemas virtuales para simplificar la configuración. revocar) los certificados de dispositivos usados para garantizar la comunicación. 94 • Guía de referencia de interfaz web . – Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. Ruta de servicio IPv4 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. Comprobar estado de origen de herencia (Opcional) Si elige un servidor DNS desde el que heredar configuraciones. DNS secundario Especifique la dirección IP del servidor DNS secundario. o déjelo como heredado si ha elegido un origen de herencia. Origen de herencia (Opcional) Especifique el servidor de DNS desde el que el perfil debería heredar la configuración.

• Certificado de Syslog seguro: Este certificado activa el reenvío seguro de syslogs en un servidor de syslog externo. • CA raíz de confianza: El certificado está marcado como CA de confianza con fines de descifrado de reenvío. Nombre común Introduzca la dirección IP o FQDN que aparecerá en el certificado. seleccione esta casilla de verificación si quiere que el certificado esté disponible en cada vsys. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. En este caso. haga clic en Generar y especifique la siguiente información. • No fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA que no está en la lista de CA de confianza del cortafuegos. A continuación se mencionan algunos usos de los certificados: • Fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA de la lista de CA de confianza del cortafuegos. Si no es así. Compartido En un cortafuegos que tiene más de un sistema virtual (vsys). números. Configuración para generar un certificado Campo Descripción Nombre del certificado Introduzca un nombre (de hasta 31 caracteres) para identificar el certificado. utiliza un certificado de CA no fiable especial para firmar el certificado de descifrado. descifrado de SSL o LSVPN.Uso de certificados Gestión de certificados de dispositivos Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos Panorama > Gestión de certificados > Certificados Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como asegurar el acceso a la interfaz web. el usuario verá la página de error de certificado habitual al acceder al cortafuegos y deberá desestimar la advertencia de inicio de sesión.0 • 95 . Palo Alto Networks Guía de referencia de interfaz web . comprueba si el certificado ascendente ha sido emitido por una CA de confianza. versión 7. El certificado de CA raíz de confianza es para CA adicionales que son fiables para su empresa pero que no forman parte de la lista de CA fiables preinstalada. Solo se requiere el nombre. • Exclusión de SSL: Este certificado excluye las conexiones si se encuentran durante el descifrado de proxy de reenvío SSL. El cortafuegos tiene una extensa lista de CA de confianza existentes. Cuando el cortafuegos descifra tráfico. deberá hacer clic en el nombre del certificado en la página Certificados y seleccionar la casilla de verificación Reenviar certificado fiable. Utilice únicamente letras. Tabla 49. Si se utiliza un certificado autofirmado para el descifrado de proxy de reenvío. guiones y guiones bajos. espacios. Para generar un certificado.

Resumen Seleccione el algoritmo de resumen del certificado. OCSP responder Seleccione un perfil de respondedor OSCP de la lista desplegable (consulte “Cómo añadir un respondedor OCSP”). De lo contrario. Las opciones disponibles dependen de la generación de claves de algoritmos: • RSA: MD5. SHA256.0 Palo Alto Networks . SHA384 o SHA512 • DSA de curva elíptica: SHA256 o SHA384 Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. Vencimiento (días) Especifique el número de días que el certificado será válido. debe seleccionar SHA256. PRECAUCIÓN: Si especifica un Período de validez en una configuración del satélite de GlobalProtect. Si el algoritmo es DSA de curva elíptica. Nota: ECDSA usa tamaños de clave más pequeños que el algoritmo RSA y. versión 7. las claves RSA generadas deben ser de 2048 bits o superiores. El valor predeterminado es de 365 días. Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. Configuración para generar un certificado (Continuación) Campo Descripción Firmado por Un certificado se puede firmar con una entidad de certificación (CA) importado al cortafuegos o se puede utilizar un certificado autofirmado donde el propio cortafuegos es la CA. Para generar una solicitud de firma de certificado (CSR). ADVERTENCIA: Los cortafuegos que ejecutan versiones anteriores a PAN-OS 7. Marcar este certificado como CA le permitirá utilizarlo para firmar otros certificados en el cortafuegos. Autoridad del certificado Seleccione esta casilla de verificación si quiere que el cortafuegos emita el certificado. SHA1. son válidas ambas opciones de longitud (256 y 384). ECDSA también ofrece una seguridad igual o superior a la de RSA. y ningún certificado RSA firmado por una entidad de certificación (CA) ECDSA será válido en esos cortafuegos. Algoritmo Seleccione un algoritmo de generación de claves para el certificado: RSA o DSA de curva elíptica (ECDSA). El nombre de host correspondiente aparece en el certificado. Si el algoritmo es DSA de curva elíptica. ese valor cancelará el valor introducido en este campo.Uso de certificados Tabla 49. SHA384 o SHA512 como el algoritmo de resumen. Número de bits Seleccione la longitud de la clave del certificado.0 eliminarán cualquier certificado de ECDSA que envíe desde Panorama. ECDSA se recomienda para navegadores de clientes y sistemas operativos compatibles. Si ha importado certificados de CA o los ha emitido en el propio dispositivo (autofirmados). son válidos ambos algoritmos de resumen (SHA256 y SHA384). 96 • Guía de referencia de interfaz web . El dispositivo genera el certificado y el par de claves y entonces puede exportar el CSR. también tiene la opción de generar un certificado autofirmado para Panorama. el menú desplegable incluye los CA disponibles para firmar el certificado que se está creando. ofrece una mejora del rendimiento para las conexiones SSL/TLS de procesamiento. Si está utilizando Panorama. seleccione una autoridad externa (CSR). por lo tanto. seleccione RSA para compatibilidad con navegadores y sistemas operativos antiguos.

Tabla 50.0 • 97 . Revocar Seleccione el certificado que desea revocar y haga clic en Revocar. seleccione el certificado correspondiente y haga clic en Renovar.Uso de certificados Tabla 49. Estado. y Correo electrónico alternativo (SubjectAltName:email). Organización. no en el cortafuegos. Si una entidad de certificación (CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. puede especificar uno de los siguientes campos de nombre alternativo del asunto: Nombre de host (SubjectAltName:DNS). Configuración para generar un certificado (Continuación) Campo Descripción Atributos del certificado De forma alternativa. a continuación. Palo Alto Networks Guía de referencia de interfaz web . haga clic en Añadir para especificar atributos del certificado adicionales que se deben utilizar para identificar la entidad para la que está emitiendo el certificado. Departamento. haga clic en la columna Valor para ver los códigos de país ISO 6366. las claves privadas se almacenan en un almacén HSM externo. Si ha configurado un módulo de seguridad de hardware (HSM). Correo electrónico. Otras acciones admitidas Acciones Descripción Eliminar Seleccione el certificado que desea eliminar y haga clic en Eliminar. El certificado se establecerá instantáneamente en estado revocado. Localidad. Después de generar el certificado. IP (SubjectAltName:IP). Si el cortafuegos es la CA que emitió el certificado. Renovar En caso de que un certificado caduque o esté a punto de caducar. No es necesario realizar una compilación. el cortafuegos utilizará información del respondedor OCSP para actualizar el estado del certificado. Establezca el periodo de validez (en días) para el certificado y haga clic en Aceptar. seleccione País en la columna Tipo y. Puede añadir cualquiera de los siguientes atributos: País. Además. los detalles aparecen en la página. el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie diferente pero los mismos atributos que el certificado anterior. Nota: Para añadir un país como atributo de certificado. versión 7.

consulte “Definición de módulos de seguridad de hardware”. busque el archivo de clave privada cifrada (por lo general. • Seleccione el sistema virtual al que desea importar el certificado de la lista desplegable. es decir. haga clic en Importar y especifique los siguientes detalles • Nombre para identificar el certificado. Gestión de entidades de certificación de confianza predeterminadas Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas Utilice esta página para ver. Para importar claves para alta disponibilidad (HA). Para obtener una descripción de cada uno de ellos.pfx para PKCS#12 o . • Seleccione el formato de archivo para el archivo de certificado. Exportar clave de HA Defina el uso del certificado En la columna Nombre. Si está importando un certificado PKCS #12 y una clave privada. consulte usos. Si utiliza PEM. Para exportar claves para HA. fecha de vencimiento y estado de validez de cada una de ellas. seleccione el enlace para el certificado y las casillas de verificación para indicar cómo planea utilizar el certificado. importarse al cortafuegos 2 y viceversa. este será únicamente el certificado público. haga clic en Exportar clave de HA y especifique una ubicación en la que guardar el archivo. Seleccione la casilla de verificación Exportar clave privada e introduzca una frase de contraseña dos veces para exportar la clave privada además del certificado. a continuación.pem para formato de codificación base64).key). Otras acciones admitidas Acciones Descripción Importar Para importar un certificado. deshabilitar o exportar las entidades de certificación (CA) preincluidas en las que confía el cortafuegos. Si utiliza PEM. Exportar Para exportar un certificado. Aparece el nombre.Uso de certificados Tabla 50. Seleccione el formato de archivo que desea que utilice el certificado exportado (. seleccione el certificado que desea exportar y haga clic en Exportar. este será el único archivo que contiene a ambos objetos. haga clic en Importar clave de HA y explore para especificar el archivo de clave que se importará. • Utilice la opción Examinar para buscar el archivo de certificado. el archivo de clave se seleccionó anteriormente. • Seleccione la casilla de verificación Importar clave privada para cargar la clave privada e introducir la frase de contraseña dos veces. • Seleccione la casilla La clave privada reside en el módulo de seguridad de hardware si está utilizando un HSM par almacenar la clave privada para este certificado. 98 • Guía de referencia de interfaz web . Si desea más información sobre HSM. Importar clave de HA Las claves de HA se deben intercambiar entre ambos peers del cortafuegos. asunto.0 Palo Alto Networks . se debe exportar la clave del cortafuegos 1 y. Generar Consulte generar. Si utiliza PKCS #12. emisor. denominado *. versión 7.

En cualquier otro contexto. En el contexto de un cortafuegos con más de un sistema virtual (vsys). a continuación. Una vez guardado el perfil. Configuración de perfiles de certificado Tipo de página Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). Deshabilitar Haga clic en la casilla de verificación junto a la CA que desee deshabilitar y. Tabla 52. Tabla 51 Configuración de entidades de certificación de confianza Campo Descripción Habilitar Si ha deshabilitado una CA y desea habilitarla. versión 7. PAN-OS usa el campo de certificado que ha seleccionado en el menú desplegable Campo de nombre de usuario como el nombre de usuario y busca coincidencias con la dirección IP del servicio User-ID: • Asunto: PAN-OS utiliza el nombre común. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. haga clic en Exportar para exportar el certificado de CA. GlobalProtect. a continuación. Exportar Haga clic en la casilla de verificación junto a la CA y. • Asunto alternativo: Seleccione si PAN-OS utiliza el correo electrónico o nombre principal. VPN de sitio a sitio de IPSec. Configure un perfil de certificado para cada aplicación. no puede cambiar su Ubicación. Campo de nombre de usuario Si GlobalProtect usa solo certificados para autenticación de portal/ puerta de enlace. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • Ninguno: Suele destinarse al dispositivo GlobalProtect o a la autenticación anterior al inicio de sesión. números. haga clic en Deshabilitar. seleccione un vsys o Compartido (todos los sistemas virtuales).Creación de un perfil del certificado Esta lista no incluye los certificados de CA generados en el cortafuegos. Puede realizar esta acción para importar el certificado a otro sistema o si desea verlo fuera de línea. no puede seleccionar la Ubicación. cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado. Los perfiles especifican qué certificados deben utilizarse. Creación de un perfil del certificado Dispositivo > Gestión de certificados > Perfil del certificado Panorama > Gestión de certificados > Perfil del certificado Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo. Puede que le interese esto si solamente desea confiar en determinadas CA o eliminarlas todas para únicamente confiar en su CA local. Palo Alto Networks Guía de referencia de interfaz web . haga clic en Habilitar. guiones y guiones bajos. a continuación. gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama. haga clic en la casilla de verificación junto a la CA y. Ubicación Seleccione el ámbito en el que está disponible el perfil. Utilice únicamente letras.0 • 99 . espacios.

Para la mayoría de las implementaciones. Tiempo de espera del estado del certificado Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina. Utilizar CRL Seleccione la casilla de verificación para utilizar una lista de revocación de certificados (CRL) para verificar el estado de revocación de los certificados. Opcionalmente. Configuración de perfiles de certificado (Continuación) Tipo de página Descripción Dominio Introduzca el dominio NetBIOS para que PAN-OS pueda identificar a los usuarios mediante el ID de usuario. versión 7. Utilizar OCSP Seleccione la casilla de verificación para utilizar OCSP y verificar el estado de revocación de los certificados. Para utilizar un certificado diferente para la validación. el cortafuegos continuará con la sesión. el cortafuegos utiliza el certificado seleccionado en el campo Certificado de CA para validar las respuestas de OCSP. Tiempo de espera de recepción de OCSP Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del respondedor OCSP. Bloquear sesiones si no se puede recuperar el estado del certificado dentro del tiempo de espera Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones después de registrar un tiempo de espera de la solicitud de OCSP o CRL. el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible. si el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados.0 Palo Alto Networks . 100 • Guía de referencia de interfaz web . Cómo añadir un respondedor OCSP Dispositivo > Gestión de certificados > OCSP responder Utilice la página OCSP responder para definir un respondedor (servidor) del protocolo de estado de certificado en línea (OCSP) que verifique el estado de la revocación de los certificados. • De manera predeterminada. introduzca una URL de OCSP predeterminada (que comience por http:// o https://). el cortafuegos continuará con la sesión. Para cancelar ese ajuste. selecciónelo en el campo Verificación de certificado CA con OCSP. Tiempo de espera de recepción de CRL Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del servicio CRL. De lo contrario. estos campos no son aplicables. De lo contrario. Certificados de CA Haga clic en Añadir y seleccione un certificado de CA para asignarlo al perfil. Bloquear una sesión si el estado del certificado es desconocido Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva un estado de revocación de certificados desconocido (unknown). configure los siguientes campos para cancelar el comportamiento predeterminado. Nota: Si selecciona OCSP y CRL. el cortafuegos utiliza la URL del respondedor OCSP que estableció en el procedimiento “Cómo añadir un respondedor OCSP”.Cómo añadir un respondedor OCSP Tabla 52. • De manera predeterminada.

rellene los campos en la siguiente tabla y luego haga clic en ACEPTAR. a continuación. no puede cambiar su Ubicación. El nombre distingue entre mayúsculas y minúsculas. guiones y guiones bajos. • Opcionalmente. números. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Para añadir un perfil. Nombre de host Especifique el nombre de host (recomendado) o la dirección IP del respondedor OCSP. Gestión de perfiles de servicio SSL/TLS Dispositivo > Gestión de certificados > Perfil de servicio SSL/TLS Panorama > Gestión de certificados > Perfil de servicio SSL/TLS Los perfiles de servicio SSL/TLS especifican un certificado y una versión o conjunto de versiones de protocolo para servicios de dispositivos que utilizan SSL/TLS. Palo Alto Networks Guía de referencia de interfaz web . versión 7. los perfiles le permiten restringir los conjuntos de cifras disponibles para proteger la comunicación con los clientes que solicitan los servicios. haga clic en Configuración de revocación de certificados de descifrado. haga clic en Añadir. añada un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. espacios. seleccione OCSP de HTTP y. haga clic en Aceptar y Compilar. a continuación. Si configura el cortafuegos como respondedor OCSP. Ubicación Seleccione el ámbito en el que está disponible el respondedor. el nombre de host debe resolverse en una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP. configúrelo de forma optativa para verificar el estado de revocación de los certificados del servidor de destino: seleccione Dispositivo > Configuración > Sesiones. Mediante la definición de versiones de protocolo. introduzca el tiempo de espera de recepción (intervalo después del cual el cortafuegos deja de esperar una respuesta del OCSP) y. En segundo lugar. Debe ser exclusivo y utilizar únicamente letras. haga clic en Aceptar. seleccione Red > Perfiles de red > Gestión de interfaz. edite la sección Configuración de interfaz de gestión. • Si el cortafuegos descifra el tráfico SSL/TLS saliente. haga clic en Aceptar. para configurar el cortafuegos como respondedor OCSP. A partir de este valor. seleccione la opción para habilitar en la sección OCSP. a continuación.0 • 101 . En cualquier otro contexto. En primer lugar. seleccione Red > Interfaces. haga clic en Aceptar. habilitar un OCSP requiere las siguientes tareas: • Activar la comunicación entre el cortafuegos y el servidor del OCSP: seleccione Dispositivo > Configuración > Gestión. haga clic en Añadir. seleccione un vsys o Compartido (todos los sistemas virtuales). seleccione el perfil de gestión de la interfaz que ha configurado y. Una vez guardado el respondedor.Gestión de perfiles de servicio SSL/TLS Además de añadir un respondedor OCSP. Tabla 53 Configuración de respondedor OCSP Campo Descripción Nombre Introduzca un nombre para identificar al respondedor (hasta 31 caracteres). a continuación. PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando. seleccione OCSP de HTTP y. no puede seleccionar la Ubicación. su valor se define previamente como Compartido. seleccione Avanzado > Otra información. haga clic en el nombre de la interfaz que utilizará el cortafuegos para los servicios del OCSP.

TLSv1. Versión mín. versión 7. Versión máx. La clave maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar el acceso a la CLI).2 o Máx (la versión más reciente disponible). Consulte “Gestión de certificados de dispositivos”.0. Esta opción de clave maestra ofrece una capa añadida de seguridad. Cifrado de claves privadas y contraseñas del cortafuegos Dispositivo > Clave maestra y diagnóstico Panorama > Clave maestra y diagnóstico Utilice la página Clave maestra y diagnóstico para especificar una clave maestra para cifrar las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). Si los dispositivos tienen una configuración de alta disponibilidad (HA). Para eliminar un perfil. selecciónelo y haga clic en Eliminar. Tabla 54 Configuración de perfil de servicio SSL/TLS Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). la clave privada utilizada para autenticar el acceso a la interfaz web del dispositivo y cualquier otra clave cargada en el dispositivo. asegúrese de utilizar la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los certificados se cifran con la misma clave. selecciónelo. las claves privadas siempre se almacenan de forma cifrada en el dispositivo.1 o TLSv1. De manera predeterminada. Seleccione la versión de TLS más reciente que pueden usar los servicios a los que se asigna este perfil: TLSv1. la sincronización de la configuración de HA no funcionará correctamente. use solo certificados firmados. la casilla de verificación no está seleccionada y el perfil está disponible solo en el vsys seleccionado en la pestaña Dispositivo. Compartido Si el cortafuegos tiene más de un sistema virtual (vsys). Seleccione. guiones y guiones bajos. importe o genere un certificado para asociarlo con el perfil. espacios. Como la clave maestra se utiliza para cifrar el resto de claves. Seleccione la última versión de TLS que pueden usar los servicios a los que se asigna este perfil: TLSv1. El nombre distingue entre mayúsculas y minúsculas. puede seleccionar esta casilla de verificación para que el perfil esté disponible en todos los sistemas virtuales. TLSv1.Cifrado de claves privadas y contraseñas del cortafuegos Para duplicar un perfil. asegúrese de almacenarla en un lugar seguro. Debe ser exclusivo y utilizar únicamente letras. en el menú desplegable Ubicación. Si las claves maestras son diferentes.1. haga clic en Duplicar y luego en ACEPTAR. TLSv1.0 Palo Alto Networks . números. de forma predeterminada.2. Certificado PRECAUCIÓN: No use certificados de entidades de certificación (CA) para servicios SSL/TLS.0. Incluso aunque no se especifique una clave maestra nueva. 102 • Guía de referencia de interfaz web .

Deberá actualizar la clave maestra antes de su vencimiento.Habilitación de HA en el cortafuegos Para añadir una clave maestra. Tiempo para el recordatorio Especifique el número de días y horas antes del vencimiento. Almacenado en HSM Marque esta casilla si la clave maestra se cifra en un módulo de seguridad de hardware (HSM). La configuración HSM no está sincronizada entre dispositivos de peer en modo de alta disponibilidad. HSM no es compatible con los cortafuegos de las series PA-200. Habilitación de HA en el cortafuegos Dispositivo > Alta disponibilidad Para redundancia. Nueva clave principal Confirmar clave maestra Para cambiar la clave maestra. Criterios comunes En el modo Criterios comunes. HA Lite permite la sincronización de la configuración y la sincronización de algunos elementos de tiempo de Palo Alto Networks Guía de referencia de interfaz web . También se incluye un programador para especificar los momentos en los que se ejecutarán las dos pruebas automáticas. haga clic en el botón de edición en la sección Clave maestra y utilice la siguiente tabla para introducir los valores: Tabla 55. cada peer del par de HA se puede conectar a un origen HSM diferente. para los cortafuegos VM-Series. ambos peers deben estar en el mismo hipervisor y deben tener el mismo número de núcleos de CPU asignados a cada peer. los peers de HA se reflejan entre sí en la configuración. HA Lite Los cortafuegos de las series PA-200 y VM-Series edición NSX admiten una versión “lite” de la HA activa/pasiva que no incluye ninguna sincronización de sesiones. No puede utilizar HSM en una interfaz dinámica como un cliente DHCP o PPPoE. deben ejecutar la misma versión de PAN-OS y deben tener el mismo conjunto de licencias. el cortafuegos se puede implementar en una configuración activa/pasiva o activa/pasiva de alta disponibilidad (HA). versión 7. en cuyo momento se notificará al usuario del vencimiento inminente (rango: 1-365 días).0 • 103 . Duración Especifique el número de días y horas tras el cual vence la clave maestra (rango: 1-730 días). En un par de HA. utilice las plantillas de Panorama para configurar el origen de HSM en los cortafuegos gestionados. hay disponibles botones adicionales para ejecutar una prueba automática de algoritmos criptográficos y una prueba automática de integridad del software. ambos peers deben tener el mismo modelo. PA-500 y PA-2000. Para obtener información sobre cómo actualizar claves maestras. Asimismo. Por lo tanto. Cuando se configura en HA. consulte “Habilitación de HA en el cortafuegos”. Configuración de clave maestra y diagnóstico Campo Descripción Clave maestra actual Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del dispositivo. Si utiliza Panorama y desea mantener sincronizada la configuración en ambos peers. introduzca una cadena de 16 caracteres y confirme la nueva clave.

que garantiza que no se creen bucles en la red. Permite que varios pares de cortafuegos activos/pasivos residan en la misma red.Habilitación de HA en el cortafuegos ejecución. Esta opción permite que el estado de los enlaces de la interfaz permanezca activo hasta que se produzca una conmutación por error. • Dúplex de enlace: Seleccione una opción de dúplex para el enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). Este temporizador se utiliza cuando faltan latidos o mensajes de saludo debido a un fallo de supervisión de ruta o de enlace. capa 3 y Virtual Wire. La opción Automático es conveniente si es viable para su red. Configuración Activa/Pasiva Estado de enlace pasivo: apagado o automático. haga clic en Editar en el encabezado y especifique la información correspondiente descrita en la tabla siguiente. Configuración de HA Campo Descripción Pestaña General Configuración Especifique los siguientes ajustes: • Habilitar HA: Active las prestaciones de HA. El ID debe ser exclusivo cuando hay más de un par de alta disponibilidad residiendo en una red de capa 2. • ID de grupo: Introduzca un número para identificar el par activo/pasivo (de 1 a 63). 104 • Guía de referencia de interfaz web . información de concesión de cliente DHCP. versión 7. • Dirección IP de HA del peer: Introduzca la dirección IP de la interfaz de HA1 que se especifica en la sección Enlace de control del otro cortafuegos. • Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. • ID de dispositivo: Seleccione 0 o 1 para designar el cortafuegos como activo-primario o activo-secundario en una configuración de HA activa/ activa. • Habilitar sincronización de configuración: Sincronice la configuración entre peers.0 Palo Alto Networks . • Automático: Hace que el estado de los enlaces refleje la conectividad física. • Modo: Seleccione activo-activo o activo-pasivo. También admite la conmutación por error de túneles de IPSec (las sesiones deben volver a establecerse). información de concesión de servidor DHCP. Supervisar fallo de tiempo de espera descendente (min): Este valor entre 1 y 60 minutos determina el intervalo en el que un cortafuegos estará en un estado no funcional antes de volverse pasivo. Esta opción es compatible con el modo de capa 2. información de concesión de PPPoE y la tabla de reenvío del cortafuegos cuando está configurado en el modo de capa 3. • Crear copia de seguridad de la dirección IP de HA del peer: Introduzca la dirección IP del enlace de control de copia de seguridad del peer. pero descarta todos los paquetes recibidos. Esta opción no está disponible en el cortafuegos VM-Series en AWS. Esta es la opción predeterminada. disminuyendo la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control. • Descripción: Introduzca una descripción del par activo/pasivo (opcional). • Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). Tabla 56. Para cada sección de la página Alta disponibilidad.

Se recomienda este ajuste para evitar una conmutación por error de HA debido a los flaps ocasionales de los dispositivos vecinos (rango: 0-60. Configuración de HA (Continuación) Campo Descripción Configuración de elección Especifique la cantidad de tiempo (minutos) que un cortafuegos pasará en el estado no funcional antes de volverse pasivo. valor predeterminado: 3).º máximo de flaps: Se cuenta un flap cuando el cortafuegos deja el estado activo antes de que transcurran 15 minutos desde la última vez que dejó el estado activo. Palo Alto Networks Guía de referencia de interfaz web . › Tiempo de espera ascendente tras fallo de supervisor (ms): Especifique el intervalo durante el cual el cortafuegos permanecerá activo tras un fallo de supervisor de ruta o supervisor de enlace.Habilitación de HA en el cortafuegos Tabla 56. valor predeterminado: 1). valor predeterminado: 500 ms).000 ms. valor predeterminado: 1 min.). Puede especificar el número máximo de flaps permitidos antes de que se determine suspender el cortafuegos y que el cortafuegos pasivo tome el control (rango: 0-16. valor predeterminado: 0 ms).000 ms.0 • 105 .): Este intervalo de tiempo se aplica al mismo evento que Supervisar fallo de tiempo de espera ascendente (rango: 0-60. Se recomienda este temporizador para evitar una conmutación por error cuando ambos dispositivos experimentan el mismo fallo de supervisor de enlace/ruta simultáneamente. › Tiempo de espera ascendente principal adicional (min. El intervalo de tiempo adicional únicamente se aplica al dispositivo activo en el modo activo/pasivo y al dispositivo principal activo en el modo activo/activo. versión 7. Este temporizador únicamente se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de enlace (rango: 1-60. › N.. › Tiempo de espera para ser preferente: Introduzca el tiempo que un dispositivo secundario pasivo o activo esperará antes de tomar el control como dispositivo activo o principal activo (rango: 1-60 min. El valor 0 significa que no hay máximo (se necesita un número infinito de flaps antes de que el cortafuegos pasivo tome el control).

el puerto de gestión se usa como el enlace HA1. el puerto de gestión.0”) para las interfaces de HA1 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. la información del enlace de control de HA no podrá comunicarse entre los dispositivos y se producirá una conmutación por error. En este caso.Habilitación de HA en el cortafuegos Tabla 56. Como en este caso se está utilizando el puerto de gestión. El ajuste de copia de seguridad es opcional. • Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo (milisegundos) que el cortafuegos esperará antes de declarar un fallo de peer debido a un fallo del enlace de control (1. versión 7. no necesita habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos para el puerto de HA1 específico.0 Palo Alto Networks . • Puerta de enlace: Introduzca la dirección IP de la puerta de enlace predeterminada para las interfaces de HA1 principal y de copia de seguridad. Configuración de HA (Continuación) Campo Descripción Enlace de control (HA1)/Enlace de control (copia de seguridad de HA1) La configuración recomendada para la conexión del enlace de control de HA es utilizar el enlace HA1 específico entre los dos dispositivos y utilizar el puerto de gestión como interfaz de enlace de control (copia de seguridad de HA). como el cortafuegos PA-200. dado que los mensajes de control tienen que comunicarse desde el plano de datos hasta el plano de gestión. Esta opción supervisa el estado del enlace físico de los puertos de HA1. El ajuste de copia de seguridad es opcional.255.255. La importación/exportación de claves se realiza en la página Certificados (consulte Creación de un perfil del certificado). si se produce un fallo en el plano de datos. debe configurar el puerto de gestión para la conexión de HA del enlace de control y una interfaz de puerto de datos configurada con el tipo HA para la conexión de copia de seguridad de HA1 del enlace de control. Si está utilizando un puerto HA1 físico para el enlace de HA de enlace de control y un puerto de datos para el enlace de control (copia de seguridad de HA). Al utilizar un puerto de datos para el enlace de control de HA. El ajuste de copia de seguridad es opcional. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos para el puerto de HA1 específico. En el cortafuegos VM-Series en AWS. Lo mejor es utilizar los puertos de HA específicos o. En el caso de dispositivos que no tienen un puerto de HA específico.000-60. Configure este ajuste para la interfaz de HA1 principal. • Máscara de red: Introduzca la máscara de red de la dirección IP (como “255. debe tener en cuenta que. se recomienda habilitar la opción Copia de seguridad de heartbeat. valor predeterminado: 3. Especifique los siguientes ajustes para los enlaces de control de HA principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y de copia de seguridad.000 ms. no es necesario habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección porque las copias de seguridad de latidos ya se realizarán a través de la conexión de interfaz de gestión. en dispositivos que no tengan ningún puerto de HA específico.000 ms). • Dirección IPv4/IPv6: Introduzca la dirección IPv4 o IPv6 de la interfaz de HA1 para las interfaces de HA1 principal y de copia de seguridad. • Cifrado habilitado: Habilite el cifrado después de exportar la clave de HA desde el peer de HA e importarla a este dispositivo. 106 • Guía de referencia de interfaz web . La clave de HA de este dispositivo también debe exportarse desde este dispositivo e importarse al peer de HA.

• Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. solamente ese dispositivo enviará los mensajes de conexión persistente. el campo Puerta de enlace debería quedarse en blanco. debe utilizar esta acción. En una configuración activa/pasiva.0 • 107 . se producirá la acción definida (log o ruta de datos divididos). › Únicamente log: Seleccione esta opción para generar un mensaje del log Sistema de nivel crítico cuando se produzca un fallo de HA2 basándose en el ajuste de umbral. • Habilitar sincronización de sesión: Habilite la sincronización de la información de la sesión con el cortafuegos pasivo y seleccione una opción de transporte. El ajuste de copia de seguridad es opcional. El ajuste de copia de seguridad es opcional. Palo Alto Networks Guía de referencia de interfaz web . Configuración de HA (Continuación) Campo Descripción Enlace de datos (HA2) Especifique los siguientes ajustes para el enlace de datos principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA. • Conexión persistente de HA2: Seleccione esta casilla de verificación para habilitar la supervisión del enlace de datos de HA2 entre los peers de HA. Si la opción se establece únicamente en un dispositivo. Si la ruta de HA2 se recupera. • Puerta de enlace: Especifique la puerta de enlace predeterminada de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. • Máscara de red: Especifique la máscara de red de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. Configure este ajuste para las interfaces de HA2 principal y de copia de seguridad.Habilitación de HA en el cortafuegos Tabla 56. – UDP: Utilice esta opción para aprovechar el hecho de que la suma de comprobación se calcula sobre todo el paquete y no solamente el encabezado. se notificará al otro dispositivo si se produce un fallo y pasará al modo de ruta de datos divididos si se selecciona esa acción. • Transporte: Seleccione una de las siguientes opciones de transporte: – Ethernet: Utilice esta opción cuando los cortafuegos estén conectados opuesto con opuesto o a través de un conmutador (Ethertype 0x7261). • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. – Acción: Seleccione la acción que debe realizarse si fallan los mensajes de supervisión basándose en el ajuste de umbral. La opción está deshabilitada de manera predeterminada. – IP: Utilice esta opción cuando se requiera el transporte de capa 3 (número de protocolo IP: 99). El ajuste de copia de seguridad es opcional. Sin embargo. Si las direcciones IP de HA2 de los cortafuegos del par de HA están en la misma subred. Puede configurar la opción Conexión persistente de HA2 en ambos dispositivos o solamente un dispositivo del par de HA. ya que no es necesario dividir los datos porque no hay más de un dispositivo activo en un momento concreto. versión 7. como en la opción IP (puerto UDP 29281). • Dirección IP: Especifique la dirección IPv4 o IPv6 de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. Si se produce un fallo basado en el umbral establecido. se generará un log informativo. El ajuste de copia de seguridad es opcional.

› Umbral (ms): Tiempo durante el cual los mensajes de conexión persistente han fallado antes de que se haya activado una de las acciones anteriores (rango: 5. capa 2 o capa 3 cuando se necesite la supervisión de otros dispositivos de red en caso de conmutación por error y la supervisión de enlaces no sea suficiente por sí sola. valor predeterminado: 10.0 Palo Alto Networks . versión 7.000 ms). Configuración de HA (Continuación) Campo continuación Descripción › Ruta de datos divididos: Esta acción está diseñada para una configuración de HA activa/activa. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de rutas supervisados presentan fallos al responder. La supervisión de rutas permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden.Habilitación de HA en el cortafuegos Tabla 56. Nota: Cuando se configura un enlace de copia de seguridad de HA2. la propiedad de sesión y la configuración de sesión se establecerán como el dispositivo local y las nuevas sesiones se procesarán localmente durante la sesión. 108 • Guía de referencia de interfaz web . si el administrador o un fallo de supervisión deshabilita la sincronización de sesiones.000-60. Utilice la supervisión de rutas para configuraciones de Virtual Wire. la conmutación por error también se producirá si fallan los mensajes de conexión persistente de HA basados en el umbral definido. Con la opción Conexión persistente de HA2 habilitada. se producirá una conmutación por error en el enlace de copia de seguridad si hay un fallo en el enlace físico.000 ms. Pestaña Supervisión de enlaces y rutas (no disponible para el cortafuegos VM-Series en AWS) Supervisión de rutas Especifique lo siguiente: • Habilitado: Habilite la supervisión de rutas. En una configuración activa/activa.

especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre de grupo de enlaces. Para agregar un grupo de rutas.000 milisegundos. • Condición de fallo: Seleccione si se produce un fallo cuando alguna o todas las direcciones de destino especificadas presentan fallos al responder. El enrutador local debe ser capaz de enrutar la dirección al cortafuegos. versión 7. • IP de origen: En el caso de interfaces de Virtual Wire y de VLAN. VLAN o enrutador virtual en la lista de selección desplegable (la selección desplegable se rellena dependiendo de si añade un cable virtual. Pestaña Configuración Activa/Activa Reenvío de paquetes Palo Alto Networks Seleccione la casilla de verificación Habilitar para permitir el reenvío de paquetes a través del enlace de HA3. Guía de referencia de interfaz web . introduzca la dirección IP de origen utilizada en los paquetes sonda enviados al enrutador de siguiente salto (dirección IP de destino). Grupos de enlaces Defina uno o más grupos de enlaces para supervisar enlaces Ethernet específicos. Para añadir un grupo de enlaces. • IP de destino: Introduzca una o más direcciones de destino (separadas por comas) que se supervisarán. • Recuento de pings: Especifique el número de pings fallidos antes de declarar un fallo (rango: 3-10 pings. La supervisión de enlaces permite activar una conmutación por error cuando falla un enlace físico o un grupo de enlaces físicos. valor predeterminado: 10 pings). • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de enlaces supervisados presentan fallos. VLAN o ruta de enrutador virtual). • Condición de fallo: Seleccione si se produce un fallo cuando alguno o todos los enlaces seleccionados presentan fallos. Esto es obligatorio para sesiones enrutadas asimétricamente que requieren la inspección de capa 7 para inspección de identificación de aplicaciones y usuarios (App-ID y Content-ID). • Interfaces: Seleccione una o más interfaces Ethernet que se supervisarán. valor predeterminado: 200 milisegundos). Configuración de HA (Continuación) Campo Descripción Grupo de rutas Defina uno o más grupos de rutas para supervisar direcciones de destino específicas. Supervisión de enlaces Especifique lo siguiente: • Habilitado: Habilite la supervisión de enlaces. haga clic en Añadir para el tipo de interfaz (Virtual Wire. • Habilitado: Habilite el grupo de rutas.Habilitación de HA en el cortafuegos Tabla 56. VLAN o Enrutador virtual) y especifique lo siguiente: • Nombre: Seleccione un cable virtual. • Intervalo de ping: Especifique el intervalo entre los pings que se envían a la dirección de destino (rango: 200-60. • Habilitado: Habilite el grupo de enlaces. La dirección IP de origen para grupos de rutas asociados a enrutadores virtuales se configurará automáticamente como la dirección IP de interfaz que se indica en la tabla de rutas como la interfaz de salida (egress) para la dirección IP de destino especificada.0 • 109 .

Sincronización de QoS Sincronice la selección de perfil de QoS en todas las interfaces físicas. el cortafuegos intentará crear adyacencias de ruta y completar su tabla de ruta antes de procesar los paquetes. Este ajuste afecta a la sincronización de la configuración de QoS en la pestaña Red. Ambos dispositivos deben conectarse al mismo enrutador de siguiente salto a través de una red conmutada y deben utilizar únicamente rutas estáticas. Tiempo de espera de tentativa (seg. Configuración de HA (Continuación) Campo Descripción Interfaz de HA3 Seleccione la interfaz para reenviar paquetes entre peers de HA cuando está configurada en el modo activo/activo. Sin este temporizador. 110 • Guía de referencia de interfaz web . 60 segundos). Esta es la configuración recomendada para reducir al mínimo el uso del enlace de reenvío de paquetes de HA3.Habilitación de HA en el cortafuegos Tabla 56. el cortafuegos de recuperación entraría en estado activo-secundario inmediatamente y bloquearía los paquetes. Utilice esta opción cuando ambos dispositivos tengan velocidades de enlace similares y requieran los mismos perfiles de QoS en todas las interfaces físicas. • Dispositivo principal: Garantiza que todas las sesiones se configuran en el cortafuegos principal.) Cuando falla un cortafuegos en un estado activo/activo de HA. La sincronización del enrutador virtual se puede utilizar cuando el enrutador virtual no está empleando protocolos de enrutamiento dinámico. Este temporizador define la duración que tendrá en ese estado. ya que carecería de las rutas necesarias (de forma predeterminada. seleccione Dispositivo > Configuración < Sesión y la opción Habilitar trama gigante en la sección Configuración de sesión. debe activar las tramas gigantes (Jumbo Frames) en el cortafuegos y en todos los dispositivos de red intermediarios. Selección de propietario de sesión Especifique una de las siguientes opciones para seleccionar el propietario de sesión: • Dispositivo principal: Seleccione esta opción para que el cortafuegos principal activo gestione la inspección de capa 7 para todas las sesiones. este entrará en estado de tentativa. • Hash de IP: Determina el cortafuegos de configuración mediante un hash de la dirección IP de origen o dirección IP de origen y destino y un valor de inicialización de hash si se desea una mayor aleatorización. Configuración de sesión Seleccione el método para la configuración de sesión inicial. Este ajuste se recomienda principalmente para operaciones de solución de problemas. Cuando utilice la interfaz de HA3.0 Palo Alto Networks . versión 7. • Módulo de IP: Selecciona un cortafuegos basado en la paridad de la dirección IP de origen. Para habilitar las tramas gigantes (Jumbo Frames). Sincronización de VR Fuerce la sincronización de todos los enrutadores virtuales configurados en los dispositivos de HA. • Primer paquete: Seleccione esta opción para que el cortafuegos que reciba el primer paquete de la sesión sea responsable de la inspección de la capa 7 de manera que admita identificación de aplicaciones y usuarios (App-ID y Content-ID). La política de QoS se sincroniza independientemente de este ajuste. Durante el periodo de tentativa.

el otro peer tomará el control.0 • 111 . a continuación. Palo Alto Networks Guía de referencia de interfaz web . la dirección IP flotante pasará al peer de HA. Configuración de HA (Continuación) Campo Descripción Dirección virtual Haga clic en Añadir. – Hash de IP: Si se selecciona esta opción. El dispositivo con el valor más bajo tendrá la prioridad. Comandos de operación Suspender dispositivo local Cambia a Make local device functional Hace que el dispositivo de HA entre en el modo de suspensión y deshabilita temporalmente las prestaciones de HA en el cortafuegos. Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen. Esta opción únicamente debería utilizarse cuando el cortafuegos y los host se encuentren en el mismo dominio de difusión. También puede mezclar los tipos de direcciones virtuales del clúster: por ejemplo. a continuación. puede desconectar el cable del dispositivo activo (o activo-principal) o puede hacer clic en este enlace para suspender el dispositivo activo. – Prioridad de dispositivo 1: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. • Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo. El dispositivo con el valor más bajo tendrá la prioridad. seleccione la pestaña IPv4 o IPv6 y. CLI Para probar la conmutación por error. – Prioridad de dispositivo 0: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. • Flotante: Introduzca una dirección IP que se desplazará entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. versión 7. Debe configurar dos direcciones IP flotantes en la interfaz. Si falla alguno de los cortafuegos. • Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color ámbar en el cortafuegos pasivo. de modo que cada cortafuegos posea una y. – Dirección de conmutación por error si el estado de enlace no está operativo: Utilice la dirección de conmutación por error cuando el estado del enlace esté desactivado en la interfaz. • Uso compartido de carga de ARP: Introduzca una dirección IP que compartirá el par de HA y proporcionará servicios de puerta de enlace para hosts. el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en la paridad de la dirección IP de los solicitantes de ARP. el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en un hash de la dirección IP de los solicitantes de ARP. vuelva a hacer clic en Añadir para introducir opciones para una dirección virtual de HA que utilizará el clúster activo/activo de HA. Seleccione Algoritmo de selección de dispositivo: – Módulo de IP: Si se selecciona esta opción. establezca la prioridad. Aspectos importantes que hay que tener en cuenta al configurar la HA • La subred utilizada para la IP local y del peer no debe utilizarse en ningún otro lugar del enrutador virtual. puede utilizar el uso compartido de carga de ARP en la interfaz de LAN y una IP flotante en la interfaz de WAN. Si suspende el cortafuegos activo actual. Para volver a poner un dispositivo suspendido en un estado funcional. Puede seleccionar el tipo de dirección virtual para que sea Flotante o Uso compartido de carga de ARP.Habilitación de HA en el cortafuegos Tabla 56.

El vsys predeterminado y el modo de sistemas virtuales múltiples determinan si los cortafuegos aceptan configuraciones específicas de vsys durante una compilación de plantilla: • Los cortafuegos que están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para todos los vsys definidos en la plantilla. Si usa una plantilla de Panorama para definir vsys. Para sincronizar los cortafuegos desde la CLI del dispositivo activo. Aunque se desactive. Tenga en cuenta que la configuración del dispositivo desde el que introducirá la configuración sobrescribirá la configuración del dispositivo del peer. incluidos el enrutamiento estático y dinámico. debe crear/asignar enrutadores virtuales adicionales y asignar interfaces. 112 • Guía de referencia de interfaz web . utilice el comando request high-availability sync-to-remote running-config. VLAN y Virtual Wire. Cada vsys puede ser un cortafuegos independiente con su propia política de seguridad. Definición de sistemas virtuales Dispositivo > Sistemas virtuales Los sistemas virtuales (vsys) son instancias de cortafuegos (virtuales) independientes que puede gestionar por separado dentro de un cortafuegos físico. Para optimizar la administración de políticas. cuando se produce una conmutación por error y el dispositivo activo cambia a un estado pasivo. seleccionando la configuración local deseada en el cuadro de selección de la izquierda y la configuración del peer en el cuadro de selección de la derecha. Las funciones de red. el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el puerto. pertenecen a todo un cortafuegos y a todos sus vsys. un vsys le permite segmentan la administración de todas las políticas. Esto permite al administrador de vsys del departamento financiero gestionar las políticas de seguridad únicamente de dicho departamento. Si necesita segmentación de rutas para cada vsys. este verá el puerto como flap debido a su desactivación y posterior activación. pero no permite la transmisión hasta que el dispositivo vuelve a activarse. interfaces y administradores. puede establecer un vsys como predeterminado. puede definir un vsys financiero y. versión 7. • Sincronice los cortafuegos desde la interfaz web pulsando el botón Introducir configuración ubicado en el widget de HA en la pestaña Panel. y crear a su vez cuentas de administrador de vsys que permitan el acceso a vsys individuales. Este comportamiento es distinto al otros puertos. Para cada vsys puede especificar un conjunto de interfaces de cortafuegos físicas y lógicas (incluidas VLAN y Virtual Wire) y zonas de seguridad. definir políticas de seguridad que pertenezcan únicamente a ese departamento. puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de red. a continuación. como el puerto Ethernet de 1 gigabit. Si cuenta con un software de supervisión en el dispositivo vecino. por lo que el dispositivo vecino no detecta ningún flap. los vsys no controlan las funciones de control de dispositivos y niveles de red. En una configuración activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de SFP+ de 10 gigabits. si desea personalizar las características de seguridad para el tráfico asociado al departamento financiero. según corresponda.0 Palo Alto Networks . este puerto sigue permitiendo la transmisión. informes y funciones de visibilidad que proporciona el cortafuegos.Definición de sistemas virtuales • Puede comparar la configuración de los cortafuegos local y peer mediante la herramienta Auditoría de configuraciones de la pestaña Dispositivo. Por ejemplo.

Consulte la hoja de datos de su modelo de cortafuegos para obtener información sobre el número de vsys admitidos. este campo no aparece. • Las zonas son objetos dentro de vsys. Permitir reenvío de contenido descifrado Seleccione esta casilla de verificación para permitir que el sistema virtual reenvíe el contenido descifrado a un servicio exterior durante el reflejo de puerto o el envío de archivos de WildFire para análisis. debe habilitar primero la capacidad para varios vsys en el cortafuegos: seleccione Dispositivo > Configuración > Gestión. PA-5000 y PA-7000 Series admiten múltiples sistemas virtuales. Seleccione la página. Nombre Introduzca un nombre (de hasta 31 caracteres) para identificar el vsys. Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia adecuada. versión 7. Nota: Si usa una plantilla de Panorama para enviar configuraciones vsys. guiones y guiones bajos. estos cortafuegos aceptan configuraciones no específicas de vsys. seleccione la casilla de verificación Capacidad de cortafuegos virtuales y haga clic en ACEPTAR. Los cortafuegos de las series PA-4000. Nota: Si usa una plantilla de Panorama para configurar el vsys. • Puede establecer destinos de logs remotos (SNMP. espacios. Utilice únicamente letras.Definición de sistemas virtuales • Los cortafuegos que no están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para el vsys predeterminado. Tabla 57. Antes de definir una política o un objeto de las políticas. Configuración de sistemas virtuales Campo Descripción ID Introduzca un identificador que sea un número entero para el vsys. • Puede configurar rutas de servicios globales (para todos los vsys en un cortafuegos) o específicas de un vsys (consulte “Definición de la configuración de servicios”). Tenga en cuenta que si no establece un vsys como predeterminado. consulte Reflejo de puertos de descifrado. Antes de definir vsys. el nombre vsys en la plantilla debe coincidir con el nombre de vsys en el cortafuegos. syslog y correo electrónico). Antes de habilitar múltiples vsys.0 • 113 . modifique la Configuración general. números. haga clic en Añadir y especifique la siguiente información. Esto añade una página Dispositivo > Sistemas virtuales. seleccione el sistema virtual en la lista desplegable de la pestaña Políticas u Objetos. servicios y perfiles para que estén disponibles para todos los vsys (compartido) o con un único vsys. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. aplicaciones. tenga en cuenta lo siguiente: • Un administrador de vsys crea y gestiona todos los elementos necesarios para las políticas. Los cortafuegos PA-500 y PA-200 no admiten varios sistemas virtuales. Palo Alto Networks Guía de referencia de interfaz web . Para obtener información sobre el reflejo de puertos de descifrado.

Pestaña Recurso Especifique los límites de recursos permitidos para este vsys: • Límite de sesiones: número máximo de sesiones. una interfaz de capa 3 debe configurarse como puerta de enlace compartida. versión 7. • Reglas de NAT: número máximo de reglas de NAT. • Reglas de descripción: número máximo de reglas de descifrado. seleccione la casilla de verificación de ese tipo (Interfaz. VLAN. • Túneles de GlobalProtect concurrentes: número máximo de usuarios de GlobalProtect remotos concurrentes. Las puertas de enlace compartidas utilizan interfaces de capa 3 y. Puede añadir uno o más objetos de cualquier tipo. Virtual Wire. • Reglas de cancelación de aplicaciones: número máximo de reglas de cancelación de aplicaciones. Enrutador virtual o Sistema virtual visible). como mínimo. • Reglas de portal cautivo: número máximo de reglas de portal cautivo (CP). • Reglas de protección DoS: número máximo de reglas de denegación de servicio (DoS). • Reglas de reenvío basados en políticas: número máximo de reglas de reenvío basado en políticas (PBF). El resto de sistemas virtuales se comunican con el mundo exterior a través de la interfaz física mediante una única dirección IP. Configuración de puertas de enlace compartidas Dispositivo > Puertas de enlace compartidas Las puertas de enlace compartidas permiten a los sistemas virtuales múltiples compartir una única comunicación externa (tradicionalmente conectada a una red ascendente común como un proveedor de servicios de Internet). haga clic en Añadir y seleccione el objeto del menú desplegable. Consulte “Configuración de proxy DNS”. • Reglas de seguridad: número máximo de reglas de seguridad. Se utiliza un único enrutador virtual para enrutar el tráfico de todos los sistemas virtuales a través de la puerta de enlace compartida. selecciónelo y haga clic en Eliminar. • Reglas de QoS: número máximo de reglas de QoS.0 Palo Alto Networks . Puede configurar una zona “Vsys externa” para definir las reglas de seguridad en el sistema virtual. • Túneles VPN de sitio a sitio: número máximo de túneles de VPN de sitio a sitio. Las comunicaciones que se originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace compartida requieren una política similar para las comunicaciones que pasan entre dos sistemas virtuales. Para incluir objetos de un tipo especial. Para eliminar un objeto.Configuración de puertas de enlace compartidas Tabla 57. 114 • Guía de referencia de interfaz web . Configuración de sistemas virtuales (Continuación) Campo Descripción Pestaña General Seleccione un objeto de proxy de DNS si desea aplicar reglas de proxy de DNS a este vsys.

0 • 115 . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Definición de páginas de respuesta personalizadas Dispositivo > Páginas de respuesta Las páginas de respuesta personalizadas son las páginas web que se muestran cuando un usuario intenta acceder a una URL. Puede proporcionar un mensaje HTML personalizado que se descargará y mostrará en lugar del archivo o la página web que ha solicitado. Tipos de páginas de respuesta personalizadas Tipo de página Descripción Página de bloqueo de antivirus Acceso bloqueado debido a una infección por virus. Utilice únicamente letras. Tabla 59. Página de bloqueo de bloqueo de archivo Acceso bloqueado debido a que el acceso al archivo está bloqueado. Página de notificación de errores de certificado SSL Notificación de que un certificado SSL se ha revocado. versión 7.Definición de páginas de respuesta personalizadas Tabla 58. guiones y guiones bajos. seleccione qué servidores DNS se deben utilizar para las consultas de nombre de dominio. Página de opción continua de bloqueo de archivo Página para que los usuarios confirmen que la descarga debe continuar. Esta opción únicamente está disponible si las prestaciones de opción continua están habilitadas en el perfil de seguridad. La siguiente tabla describe los tipos de páginas de respuesta personalizadas que admiten mensajes del cliente. Nombre Introduzca un nombre para la puerta de enlace compartida (de hasta 31 caracteres). Página de inicio de sesión en el portal de GlobalProtect Página para los usuarios que intenten acceder al portal de GlobalProtect. Consulte “Perfiles de bloqueo de archivo”. Proxy DNS (Optativo) Si hay un proxy DNS configurado. Página de comodidad de portal cautivo Página para que los usuarios verifiquen su nombre de usuario y contraseña para máquinas que no formen parte del dominio. números. Cada sistema virtual puede tener sus propias páginas de respuesta personalizadas. espacios. Configuración de puertas de enlace compartidas Campo Descripción ID Identificador de la puerta de enlace (no utilizado por el cortafuegos). Página de bloqueo de aplicación Acceso bloqueado debido a que la aplicación está bloqueada por una política de seguridad. Palo Alto Networks Guía de referencia de interfaz web . Interfaces Seleccione casillas de verificación para las interfaces que utilizará la puerta de enlace compartida. Solo se requiere el nombre. Página de bienvenida de GlobalProtect Página de bienvenida para los usuarios que intenten iniciar sesión en el portal de GlobalProtect. Página de ayuda de portal de GlobalProtect Página de ayuda personalizada para usuarios de GlobalProtect (accesible desde el portal).

116 • Guía de referencia de interfaz web . haga clic en Importar o Exportar. Tipos de páginas de respuesta personalizadas (Continuación) Tipo de página Descripción Página de exclusión de descifrado de SSL Página de advertencia para el usuario que indica que esta sesión se inspeccionará. • Para exportar una página de respuesta HTML personalizada. La página de bloque pedirá al usuario que establezca la configuración de búsqueda segura como estricta. el archivo debe estar en formato HTML. a continuación. haga clic en el enlace del tipo de página que desee cambiar y. versión 7. haga clic en el enlace Habilitar del tipo de página. Se mostrará un mensaje para indicar si la importación se ha realizado con éxito. Con la página de cancelación.0 Palo Alto Networks . el usuario necesita una contraseña para cancelar la política que bloquea esta URL. Yahoo. Para que la importación tenga éxito. Explore para ubicar la página. elimine la página de bloqueo personalizada y realice una compilación. haga clic en el enlace Exportar del tipo de página. El usuario verá esta página si se realiza una búsqueda con Bing. Puede realizar cualquiera de las siguientes funciones bajo Páginas de respuesta: • Para importar una página de respuesta HTML personalizada. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción.Definición de páginas de respuesta personalizadas Tabla 59. Página de continuación y cancelación de filtrado de URL Página con política de bloqueo inicial que permite que los usuarios deriven el bloqueo. • Para habilitar o deshabilitar la página Bloqueo de aplicación o las páginas Exclusión de descifrado de SSL. Esto establecerá la página de bloqueo predeterminada como la nueva página activa. Google. un usuario que piense que la página se bloqueó de manera inadecuada puede hacer clic en el botón Continuar para ir a la página. Página de bloqueo de URL Acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por una política de seguridad. • Para usar la página de respuesta predeterminada de una página personalizada cargada anteriormente. Página de bloqueo de aplicación de búsqueda segura de filtro de URL Acceso bloqueado por una política de seguridad con un perfil de filtrado de URL que tiene habilitada la opción Forzaje de búsquedas seguras. Yandex o YouTube y la configuración de cuenta de su explorador o motor de búsqueda no está establecida como estricta. Seleccione o cancele la selección de la casilla de verificación Habilitar. Por ejemplo. Consulte la sección “Cancelación de administrador de URL” de la Tabla 1 para obtener instrucciones sobre cómo configurar la contraseña de cancelación.

Se publicarán alertas de aplicación y amenazas si se descubren alertas de importancia. • Alertas de producción/Alertas de aplicación y amenazas: Estas alertas se recuperarán desde los servidores de actualización de Palo Alto Networks cuando se acceda a esta página o se actualice. Una vez generado el informe. Después de generar el archivo. póngase en contacto con el ingeniero de sistemas de Palo Alto Networks o de un socio autorizado. • Archivo de asistencia técnica: Utilice el enlace Generar archivo de asistencia técnica para generar un archivo del sistema que pueda utilizar el grupo de asistencia técnica para facilitar la resolución de los problemas que pudiera estar experimentando el dispositivo. haga clic en Descargar archivo de asistencia técnica para recuperarlo y. donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el inicio de sesión de asistencia técnica. la fecha de vencimiento y alertas de producto y seguridad de Palo Alto Networks.Visualización de información de asistencia técnica Visualización de información de asistencia técnica Dispositivo > Asistencia técnica Panorama > Asistencia técnica La página de asistencia le permite acceder a opciones relacionadas con la asistencia técnica. El AVR resalta lo que se ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden existir. Realice cualquiera de las siguientes funciones en esta página: • Asistencia técnica: Utilice esta sección para ver la información de contacto de la asistencia técnica de Palo Alto Networks. a continuación. haga clic en el nombre de la alerta. haga clic en el enlace Descargar archivo de volcado de estadísticas para recuperar el informe. Tradicionalmente se utiliza como parte del proceso de evaluación. Las alertas de producción se publicarán si hay una recuperación a gran escala o un problema urgente relacionado con una determinada publicación.0 • 117 . Palo Alto Networks Guía de referencia de interfaz web . Puede ver la información de contacto de Palo Alto Networks. envíelo al departamento de asistencia técnica de Palo Alto Networks. según el número de serie de su dispositivo (cortafuegos o dispositivo de Panorama). Para ver los detalles de las alertas de producción o las alertas de aplicación y amenazas. • Enlaces: Esta sección proporciona un enlace a la página de inicio de asistencia técnica. el estado de la asistencia técnica del dispositivo o activar su contrato usando un código de autorización. El ingeniero de sistemas de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un informe de riesgos y visibilidad de la aplicación (Informe AVR). Para obtener más información sobre el informe AVR. • Archivo de volcado de estadísticas: Utilice el enlace Generar archivo de volcado de estadísticas para generar un conjunto de informes de XML que resuma el tráfico de red en los últimos 7 días. versión 7.

Visualización de información de asistencia técnica 118 • Guía de referencia de interfaz web .0 Palo Alto Networks . versión 7.

Capítulo 4 Configuración de red • “Definición de cables virtuales (Virtual Wires)” • “Configuración de la interfaz de un cortafuegos” • “Configuración de un enrutador virtual” • “Configuración de la compatibilidad de VLAN” • “Configuración de DHCP” • “Configuración de proxy DNS” • “Configuración de LLDP” • “Definiendo perfiles de gestiones de interfaz” • “Definición de perfiles de supervisión” • “Definición de perfiles de protección de zonas” • “Definición de perfiles LLDP” Palo Alto Networks Guía de referencia de interfaz web.0 • 119 . versión 7.

0 Palo Alto Networks . el estado del enlace no se propaga por el cable virtual. Un valor de cero indica tráfico sin etiquetar (opción predeterminada). guiones y guiones bajos. Si utiliza subinterfaces de cable virtual. Si este ajuste no está activado. Cortafuegos multicast Seleccione esta opción si desea poder aplicar reglas de seguridad al tráfico multicast. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de cable virtual y no se han asignado a otro cable virtual. ¿qué componentes tienen? “Componentes comunes de las interfaces de cortafuegos” “Componentes comunes de interfaces de cortafuegos de la serie PA-7000” 120 • Guía de referencia de interfaz web. espacios. la lista Tags permitidos causará que todo el tráfico con las etiquetas de la lista se clasifique en el cable virtual principal. En los siguientes temas se describen los tipos de interfaz y cómo configurarlos: ¿Qué está buscando? Consulte ¿Qué son las interfaces de cortafuegos? “Resumen de las interfaces de cortafuegos” Acabo de empezar con las interfaces de cortafuegos. Si especifica varias etiquetas o intervalos.Definición de cables virtuales (Virtual Wires) Definición de cables virtuales (Virtual Wires) Red > Cables virtuales Utilice esta página para definir cables virtuales (Virtual Wire) después de especificar dos interfaces de cable virtual en el cortafuegos. El tráfico que se excluye del valor de la etiqueta se descarta. Etiquetas permitidas Introduzca el número de etiqueta (0 a 4094) o el intervalo de números de etiqueta (tag1-tag2) del tráfico permitido en el cable virtual. Tabla 60. versión 7. el tráfico multicast se reenvía por el cable virtual. números. Este nombre aparece en la lista de cables virtuales cuando se configuran interfaces. Tenga en cuenta que los valores de etiqueta no se cambian en los paquetes de entrada o de salida. Si no selecciona esta casilla de verificación. Configuración de la interfaz de un cortafuegos Las interfaces de cortafuegos (puertos) permiten a un cortafuegos conectar con otros dispositivos de red y con otras interfaces del cortafuegos. Envío del estado del enlace Seleccione esta casilla de verificación si desea desactivar el otro puerto en un cable virtual cuando se detecta un estado de enlace no operativo. deben estar separados por comas. Las subinterfaces de cable virtual deben utilizar etiquetas que no existen en la lista principal Tags permitidos. Utilice únicamente letras. Configuración de cable virtual (cable virtual) Campo Descripción Nombre de cable virtual Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Interfaces Seleccione dos interfaces Ethernet de la lista de configuración de cable virtual.

puede configurar las interfaces de Ethernet en un cortafuegos para implementaciones de cable virtual. el reflejo de descifrado. puede enviar y recibir tráfico a distintas velocidades de transmisión. Puede configurar interfaces de Ethernet como los siguientes tipos: Tap. Las interfaces que admite el cortafuegos son: • Interfaces físicas: El cortafuegos tiene dos tipos de interfaces de Ethernet. Por ejemplo. Un cortafuegos de Palo Alto Networks puede funcionar en múltiples implementaciones de forma simultánea porque puede configurar las interfaces para admitir distintas implementaciones. capa 3 y modo tap.0 • 121 . capa 2. versión 7. la tarjeta de log (interfaz y subinterfaz). ¿dónde puedo encontrar información sobre cómo configurar un tipo de interfaz específico? Interfaces físicas (Ethernet) “Configure la interfaz de capa 2” “Configuración de la subinterfaz de capa 2” “Configure la interfaz de capa 3” “Configuración de la subinterfaz de capa 3” “Configuración de una interfaz de cable virtual (Virtual Wire)” “Configuración de una subinterfaz de cable virtual (Virtual Wire)” “Configuración de una interfaz de Tap” “Configuración de una interfaz de tarjeta de log” “Configuración de una subinterfaz de tarjeta de log” “Configuración de una interfaz de reflejo de descifrado” “Configuración de los grupos de interfaces de agregación” “Configuración una interfaz de agregación” “Configuración de una interfaz HA” Interfaces lógicas “Configuración de una interfaz VLAN” “Configuración de una interfaz de bucle invertido” “Configuración de una interfaz de túnel” ¿Busca más información? Consulte Networking (Redes) Resumen de las interfaces de cortafuegos Las configuraciones de interfaz en los puertos de datos del cortafuegos permiten que entre y salga el tráfico del cortafuegos. el cable virtual (interfaz y Palo Alto Networks Guía de referencia de interfaz web. cobre coaxial y fibra óptica.Resumen de las interfaces de cortafuegos ¿Qué está buscando? Consulte Sé bastante sobre interfaces de cortafuegos. alta disponibilidad (HA).

de bucle invertido o de túnel. esta columna indica si la interfaz es accesible y puede recibir tráfico a través de la red: • Verde: Configurado y ascendente • Rojo: Configurado pero desactivado o inactivo • Gris: No configurado Pase el ratón sobre un icono para mostrar información sobre herramientas que indique la velocidad de enlace y los ajustes dúplex en la interfaz. se elimina la asignación del enrutador virtual actual de la interfaz. • Interfaces lógicas: Esto incluye interfaces de red de área local virtual (VLAN). Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. SSH. la capa 2 (interfaz y subinterfaz). protocolo de configuración de host dinámico (DHCP) o el protocolo punto a punto sobre Ethernet (PPPoE). Puede adjuntar un sufijo numérico para subinterfaces. Tabla 61. VLAN.Componentes comunes de las interfaces de cortafuegos subinterfaz). Para una dirección IPv4. Componentes comunes de las interfaces de cortafuegos Campo Descripción Interfaz (nombre de interfaz) El nombre de interfaz viene predefinido y no puede cambiarlo. Si selecciona Ninguno. Tipo de interfaz Para las interfaces de Ethernet (Red > Interfaces > Ethernet). interfaces agregadas. Para una descripción de componentes que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. Debe configurar la interfaz física antes de definir una VLAN o una interfaz de túnel. Enrutador virtual Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Componentes comunes de las interfaces de cortafuegos La siguiente tabla describe los componentes de la página Red > Interfaces que son comunes para la mayoría de tipos de interfaz. Los tipos de interfaz y las velocidades de transmisión disponibles pueden variar por modelo de hardware. interfaces VLAN. 122 • Guía de referencia de interfaz web. Dirección IP Configure la dirección IPv4 o IPv6 de la interfaz de Ethernet. puede seleccionar el tipo de interfaz: • Puntear • HA • Reflejo de descifrado (solo cortafuegos de las series PA-7000. también puede seleccionar el modo de direccionamiento de la interfaz: estático. versión 7. Estado de enlace Para interfaces Ethernet. PA-5000 y PA-3000) • Virtual Wire • Capa 2 • Capa 3 • Tarjeta de log (solo cortafuegos de la serie PA-7000) • Agregar Ethernet Perfil de gestión Seleccione un perfil que defina los protocolos (por ejemplo. interfaces de bucle invertido e interfaces de túnel. interfaces de bucle invertido e interfaces de túnel.0 Palo Alto Networks . o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. consulte “Componentes comunes de interfaces de cortafuegos de la serie PA-7000”. la capa 3 (interfaz y subinterfaz) y la Ethernet agregada.

Si selecciona Ninguno. Comentarios Una descripción de la función u objetivo de la interfaz. por ejemplo) para editarla. Para permitir el intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a través de una interfaz de VLAN. Componentes comunes de interfaces de cortafuegos de la serie PA-7000 La siguiente tabla describe los componentes de la página Red > Interfaces > Ethernet que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. En los cortafuegos de la serie PA-7000.Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Tabla 61. VLAN Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). esta columna indica si se han habilitado las siguientes características: Protocolo de control de agregación de enlaces (LACP) Perfil de calidad del servicio (QoS) Protocolo de detección de nivel de enlace (LLDP) Perfil de flujo de red Cliente de protocolo de configuración de host dinámico (DHCP): Esta interfaz funciona como un cliente DHCP y recibir una dirección IP asignada dinámicamente. Palo Alto Networks Guía de referencia de interfaz web. Características En las interfaces Ethernet. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. debe configurar un objeto VLAN. versión 7. debe “Configuración de una interfaz de tarjeta de log” con un puerto de datos. Haga clic en el botón Agregar interfaz para crear una interfaz o haga clic en el nombre de una interfaz existente (ethernet1/1. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. se elimina la asignación de VLAN de la interfaz. se elimina la asignación de zona actual de la interfaz. Componentes comunes de las interfaces de cortafuegos Campo Descripción Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz.0 • 123 . Si selecciona Ninguno.

Note: El cortafuegos de la serie PA-4000 no admite esta característica. se elimina la asignación del servidor NetFlow actual de la interfaz. seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Campo Descripción Ranura Seleccione el número de ranura (1-12) de la interfaz. Configuración de interfaz de capa 2 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Tipo de interfaz Interfaz Ethernet Seleccione Capa2. versión 7. dúplex medio (Medio) o negociado automáticamente (Auto). 124 • Guía de referencia de interfaz web. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Si selecciona Ninguno. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. por ejemplo) que no esté configurado y especifique la siguiente información. Solo los cortafuegos de la serie PA-7000 tienen múltiples ranuras. Interfaz (nombre de interfaz) Seleccione el nombre de una interfaz que esté asociada con la Ranura seleccionada. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad.Configure la interfaz de capa 2 Tabla 62. Si usa Panorama para configurar una interfaz para cualquier otra plataforma de cortafuegos. se elimina la asignación de VLAN de la interfaz. haga clic en el nombre de una interfaz (ethernet1/1.0 Palo Alto Networks . Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Si selecciona Ninguno. VLAN Interfaz de Ethernet > Configurar Para habilitar el cambio entre las interfaces de Capa 2 o para habilitar el enrutamiento a través de una interfaz VLAN. se elimina la asignación de zona actual de la interfaz. Tabla 63. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno. Configure la interfaz de capa 2 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 2. seleccione la Ranura 1. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”).

Si selecciona Ninguno. seleccione una fila de interfaz física asociada. puede definir una interfaz lógica de capa 2 adicional (subinterfaz) para cada etiqueta VLAN asignada al tráfico que recibe el puerto. En el campo adyacente. haga clic en Añadir subinterfaz y especifique la siguiente información. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. se elimina la asignación actual de VLAN de la interfaz. desactivada (abajo) o determinado automáticamente (auto). Para configurar una subinterfaz de capa 2. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Configuración de subinterfaz de capa 2 Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. se elimina la asignación de zona actual de la subinterfaz. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales.0 • 125 . Comentarios Introduzca una descripción opcional para la subinterfaz. versión 7. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. “Configure la interfaz de capa 2”. Tabla 64. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”).Configuración de la subinterfaz de capa 2 Tabla 63. Palo Alto Networks Guía de referencia de interfaz web. Configuración de interfaz de capa 2 (Continuación) Campo Configurado en Descripción Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. Si selecciona Ninguno. Si selecciona Ninguno. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. Note: El cortafuegos de la serie PA-4000 no admite esta característica. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). VLAN Para permitir el cambio entre las interfaces de capa 2 o para permitir el enrutamiento a través de una interfaz VLAN. Configuración de la subinterfaz de capa 2 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado con una interfaz física de capa 2. o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. seleccione una VLAN. asígneles el mismo objeto VLAN a las subinterfaces. Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. Para permitir el intercambio entre subinterfaces de capa 2.

el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Si selecciona Ninguno. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Tipo de interfaz Interfaz Ethernet Seleccione Capa3. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. haga clic en el nombre de una interfaz (ethernet1/1. se elimina la asignación del servidor NetFlow actual de la interfaz. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Si selecciona Ninguno. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”).Configure la interfaz de capa 3 Configure la interfaz de capa 3 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 3. Si selecciona Ninguno. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Enrutador virtual Interfaz de Ethernet > Configurar Seleccione una enrutador virtual o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). se elimina la asignación de zona actual de la interfaz. 126 • Guía de referencia de interfaz web. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow.0 Palo Alto Networks . Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. se elimina la asignación del enrutador virtual actual de la interfaz. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Tabla 65. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de la interfaz en Mbps (10. por ejemplo) que no esté configurado y especifique la siguiente información. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Configuración de interfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. versión 7. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno. dúplex medio (Medio) o negociado automáticamente (Auto). Perfil de gestión Interfaz de Ethernet > Avanzado > Otra información Seleccione un perfil que defina los protocolos (por ejemplo. deshabilitado (Desactivado) o determinado automáticamente (Auto). opción predeterminada 1500). se elimina la asignación de perfil actual de la interfaz. 100 o 1000) o modo automático. SSH. MTU Interfaz de Ethernet > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es habilitado (Activado).

Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. selecciónela y haga clic en Eliminar. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. se asignará a la subinterfaz. no es compatible con subinterfaces sin etiquetar. Palo Alto Networks Guía de referencia de interfaz web. Otra variable de esta forma de clasificación es que todos los paquetes de multidifusión (multicast) y difusión se asignarán a la interfaz de base en lugar de a cualquiera de las subinterfaces. Dirección IP Interfaz de Ethernet > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de entrada (ingress) basada en el destino del paquete. Dirección Interfaz de Ethernet > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. Si la casilla de verificación Habilitar Proxy NDP está seleccionada. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred.Configure la interfaz de capa 3 Tabla 65. En la respuesta ND. Si un paquete no cabe en el MSS sin fragmentarse. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que seleccione Habilitar Proxy NDP si usa Traducción de prefijo de red IPv6 (NPTv6). introduzca la dirección IP y MAC del vecino. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y seleccione la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. Si la dirección es una subred. haga clic en Añadir y.0 • 127 . una de estas direcciones es la misma que la traducción de origen en NPTv6. El orden de las direcciones es indiferente. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Puede filtrar numerosas direcciones introduciendo una cadena de búsqueda y haciendo clic en el icono Aplicar filtro . a continuación. Idealmente. Para eliminar una entrada. versión 7. Como OSPF utiliza multidifusión. Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione esta casilla de verificación para activar el proxy del protocolo de detección de vecinos (ND) para la interfaz. Esto también significa que un paquete que va en dirección inversa debe tener su dirección de origen traducida a la dirección IP de la subinterfaz sin etiquetar. Si el destino es la dirección IP de una subinterfaz sin etiquetar. este parámetro permite ajustarlo. Interfaz de Ethernet > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). a continuación. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. haga clic en Añadir y. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Interfaz de Ethernet > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Subinterfaz no etiquetada Interfaz de Ethernet > Avanzado > Otra información Especifica que todas las interfaces que pertenecen a esta interfaz de capa 3 no se etiqueten. el cortafuegos envía su propia dirección MAC para la interfaz y solicita todos los paquetes destinados para estas direcciones. intervalos de IP.

Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada.Configure la interfaz de capa 3 Tabla 65. Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente PPPoE o DHCP. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Para una dirección IPv4 Tipo Interfaz de Ethernet > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. 192.2. 128 • Guía de referencia de interfaz web. • Dirección IPv4 Tipo = PPPoE Habilitar Interfaz Ethernet > IPv4 > PPPoE > General Seleccione esta casilla de verificación para activar la interfaz para la terminación PPPoE. Puede introducir múltiples direcciones IP para la interfaz. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. Para eliminar una dirección IP. • PPPoE: el cortafuegos utilizará la interfaz para el protocolo punto a punto sobre Ethernet (PPPoE).0/24 para IPv4 o 2001:db8::/32 para IPv6). realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. versión 7. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz.0 Palo Alto Networks . seleccione la dirección y haga clic en Eliminar. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Negar Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). • Dirección IPv4 Tipo = Estático IP Interfaz de Ethernet > IPv4 Haga clic en Añadir y.168. a continuación. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Nombre de usuario Interfaz Ethernet > IPv4 > PPPoE > General Introduzca el nombre de usuario de la conexión de punto a punto. Contraseña/ Confirmar contraseña Interfaz Ethernet > IPv4 > PPPoE > General Introduzca y confirme la contraseña del nombre de usuario.

optativa). de forma predeterminada. Autenticación Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione el protocolo de autenticación para las comunicaciones PPPoE: CHAP (Protocolo de autenticación por desafío mutuo). Dirección estática Interfaz Ethernet > IPv4 > PPPoE > Avanzado Realice uno de los siguientes pasos para especificar la dirección IP que ha asignado el proveedor de servicios de Internet (no predeterminado): Crear automáticamente ruta predeterminada que apunte al peer Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione esta casilla de verificación para crear automáticamente una ruta predeterminada que señale al peer PPPoE cuando se conecta. Guía de referencia de interfaz web.0 • 129 . introduzca una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. Acceder a concentrador Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. Auto (el cortafuegos determina el protocolo). Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Mostrar información de tiempo de ejecución de cliente PPPoE Interfaz Ethernet > IPv4 > PPPoE > General De forma opcional. • Dirección IPv4 Tipo = DHCP Habilitar Palo Alto Networks Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. en el proveedor de servicios de Internet. haga clic en este enlace para abrir un cuadro de diálogo que muestre los parámetros que el cortafuegos ha negociado con el proveedor de servicios de Internet (ISP) para establecer una conexión. Métrica de ruta predeterminada Interfaz Ethernet > IPv4 > PPPoE > Avanzado Para la ruta entre el cortafuegos y el proveedor de servicios de Internet. El nivel de prioridad aumenta conforme disminuye el valor numérico. al que se conecta el cortafuegos (no predeterminado). • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. introduzca la cadena de servicio (no predeterminado). En modo pasivo.0/24 para IPv4 o 2001:db8::/32 para IPv6).Configure la interfaz de capa 3 Tabla 65. PAP (Protocolo de autenticación de contraseña) o. un extremo PPPoE espera a que el concentrador de acceso envíe la primera trama. Si selecciona Ninguno. versión 7. La información específica depende del ISP.2. • Seleccione un objeto de dirección existente de tipo máscara de red IP. 192.168. se elimina la asignación del protocolo actual de la interfaz. Servicio Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. introduzca el nombre del concentrador de acceso. • Seleccione Ninguno para eliminar la asignación de dirección actual de la interfaz. Pasivo Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione la casilla de verificación para utilizar el modo pasivo. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo.

Configure la interfaz de capa 3 Tabla 65. la configuración del servidor (DNS. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Métrica de ruta predeterminada Interfaz de Ethernet > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. ID de interfaz Interfaz de Ethernet > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. WINS. la puerta de enlace. NIS.0 Palo Alto Networks . El nivel de prioridad aumenta conforme disminuye el valor numérico. POP3 y SMTP). Si deja este campo en blanco. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de Ethernet > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. versión 7. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. 00:26:08:FF:FE:DE:4E:29). Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. dominio. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. incluidos el estado de concesión de DHCP. NTP. no predeterminada). la máscara de subred. la asignación de IP dinámica. 130 • Guía de referencia de interfaz web.

Palo Alto Networks Guía de referencia de interfaz web. consulte “Habilitar anuncio de enrutador” en esta tabla. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de Ethernet > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. versión 7. ej. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. Cuando caduca la duración preferida. El valor predeterminado es de 604800. predeterminado 30).. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico.Configure la interfaz de capa 3 Tabla 65. Tiempo alcanzable Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. predeterminado 1). pero cualquier conexión existente es válida hasta que caduque la duración válida. configure los otros campos de esta sección. Habilitar detección de direcciones duplicadas Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. • Enviar anuncio de enrutador: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Dirección Interfaz de Ethernet > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. La duración válida debe ser igual o superar la duración preferida. 2001:400:f00::1/64). • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. predeterminado 1). Intentos DAD Interfaz de Ethernet > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. a continuación. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. Los campos restantes solo se aplican si habilita el RA.) Si desea información sobre el RA. El valor predeterminado es de 2592000. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida.0 • 131 .

0 Palo Alto Networks . predeterminado 600). predeterminado 200). predeterminado 64). El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. active esta casilla de verificación y configure los otros campos de esta sección. versión 7. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000.Configure la interfaz de capa 3 Tabla 65. predeterminado no especificado). de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. Si establece las opciones de RA para cualquier dirección IP. Límite de salto Interfaz de Ethernet > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. Tiempo de retransmisión (ms) Interfaz de Ethernet > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Esta opción es un ajuste global de la interfaz. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Mín. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Cuando acaba la duración. predeterminado no especificado). Si desea establecer las opciones de RA para direcciones IP individuales. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de Ethernet > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. consulte “Dirección” en esta tabla). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Tiempo alcanzable (ms) Interfaz de Ethernet > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. Introduzca 0 si no desea ningún límite de salto. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. 132 • Guía de referencia de interfaz web. de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. predeterminado no especificado). Máx. predeterminado 1800). MTU de enlace Interfaz de Ethernet > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Duración de enrutador (segundos) Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000.

Media (predeterminada) o Baja en relación con otros enrutadores del segmento. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta.0 • 133 . Palo Alto Networks Guía de referencia de interfaz web. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Preferencia de enrutador Interfaz de Ethernet > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6.Configure la interfaz de capa 3 Tabla 65. ajustes relacionados con DNS) a través de DHCPv6. Comprobación de coherencia Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. El cortafuegos envía logs sobre cualquier incoherencia. versión 7. Otras configuraciones Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. el cliente utiliza este campo para seleccionar un enrutador preferido. Configuración gestionada Interfaz de Ethernet > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6.

Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. En el campo adyacente. MTU Subinterfaz de capa3 > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. SSH. Sistema virtual Subinterfaz de capa3 > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. versión 7. Si selecciona Ninguno. puede definir interfaces adicionales lógicas de capa 3 (subinterfaces).0 Palo Alto Networks . se elimina la asignación de zona actual de la subinterfaz. se elimina la asignación del enrutador virtual actual de la interfaz. Note: El cortafuegos de la serie PA-4000 no admite esta característica.Configuración de la subinterfaz de capa 3 Configuración de la subinterfaz de capa 3 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado como interfaz física de capa 3. Para configurar una subinterfaz de capa 3. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Comentarios Subinterfaz de capa3 Introduzca una descripción opcional para la subinterfaz. Si selecciona Ninguno. seleccione una fila de interfaz física asociada. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Si selecciona Ninguno. Enrutador virtual Subinterfaz de capa3 > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Configuración de subinterfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Subinterfaz de capa3 El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. Tabla 66. Etiqueta Subinterfaz de capa3 Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. Zona de seguridad Subinterfaz de capa3 > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. “Configure la interfaz de capa 3”. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. se elimina la asignación de perfil actual de la interfaz. opción predeterminada 1500). 134 • Guía de referencia de interfaz web. haga clic en Añadir subinterfaz y especifique la siguiente información. Perfil de gestión Subinterfaz de capa3 > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Perfil de flujo de red Subinterfaz de capa3 Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow.

Guía de referencia de interfaz web. haga clic en Añadir y. Si se selecciona la casilla de verificación Habilitar Proxy NDP. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Subinterfaz de capa3 > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. a continuación. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha gris). En la respuesta ND. Si la dirección es una subred. El orden de las direcciones es indiferente. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Si un paquete no cabe en el MSS sin fragmentarse. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. el cortafuegos envía su propia dirección MAC para la interfaz. de modo que el cortafuegos recibirá paquetes dirigidos a las direcciones en la lista. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. Dirección Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. Subinterfaz de capa3 > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). intervalos de IP. Idealmente. Negar Palo Alto Networks Subinterfaz de capa3 > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. haga clic en Añadir y. introduzca la dirección IP y MAC del vecino. versión 7.Configuración de la subinterfaz de capa 3 Tabla 66. una de estas direcciones es la misma que la traducción de origen en NPTv6. a continuación. Para eliminar una entrada. Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic para activar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. Dirección IP Subinterfaz de capa3 > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. este parámetro permite ajustarlo. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred.0 • 135 . selecciónela y haga clic en Eliminar.

La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. POP3 y SMTP). introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Para eliminar una dirección IP. la máscara de subred. no predeterminada). la configuración del servidor (DNS. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. la puerta de enlace.168. NTP. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente DHCP. incluidos el estado de concesión de DHCP. • Seleccione un objeto de dirección existente de tipo máscara de red IP. NIS.Configuración de la subinterfaz de capa 3 Tabla 66. Mostrar información de tiempo de ejecución de cliente DHCP Subinterfaz de capa3 > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. dominio. 136 • Guía de referencia de interfaz web. la asignación de IP dinámica. 192. Puede introducir múltiples direcciones IP para la interfaz. • Dirección IPv4 Tipo = Estático IP Subinterfaz de capa3 > IPv4 Haga clic en Añadir y.2. El nivel de prioridad aumenta conforme disminuye el valor numérico. seleccione la dirección y haga clic en Eliminar. a continuación. versión 7. WINS. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Métrica de ruta predeterminada Subinterfaz de capa3 > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP.0/24 para IPv4 o 2001:db8::/32 para IPv6). • Cliente DHCP: permite a la subinterfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv4 Tipo Subinterfaz de capa3 > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la subinterfaz: • Estática: debe especificar manualmente la dirección IP.0 Palo Alto Networks . • Dirección IPv4 Tipo = DHCP Habilitar Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz.

El valor predeterminado es de 2592000. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. La duración válida debe ser igual o superar la duración preferida. Habilitar detección de direcciones duplicadas Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y.) Si desea información sobre el RA. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. consulte “Habilitar anuncio de enrutador” en esta tabla. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv6 Habilitar IPv6 en la interfaz Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. Si deja este campo en blanco. configure los otros campos de esta sección. – Autónomo: Haga clic aquí si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. pero cualquier conexión existente es válida hasta que caduque la duración válida. Dirección Subinterfaz de capa3 > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico.. • Enviar anuncio de enrutador: Haga clic aquí para habilitar el anuncio de enrutador (RA) para esta dirección IP. predeterminado 1).Configuración de la subinterfaz de capa 3 Tabla 66. Los campos restantes solo se aplican si habilita el RA. • Habilitar dirección en interfaz: Haga clic aquí para habilitar la dirección IPv6 en la interfaz. • Difusión por proximidad: Haga clic aquí para incluir el enrutador mediante el nodo más cercano.0 • 137 . – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. 00:26:08:FF:FE:DE:4E:29). 2001:400:f00::1/64). • Usar ID de interfaz como parte de host: Active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. Palo Alto Networks Guía de referencia de interfaz web. a continuación. ID de interfaz Subinterfaz de capa3 > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. versión 7. – Enlace activo: Haga clic aquí si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. Cuando caduca la duración preferida. ej. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. Intentos DAD Subinterfaz de capa3 > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. El valor predeterminado es de 604800.

Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Tiempo alcanzable Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Si establece las opciones de RA para cualquier dirección IP. Límite de salto Subinterfaz de capa3 > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. consulte “Dirección” en esta tabla). Mín. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. predeterminado no especificado). predeterminado 30). haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. Intervalo NS (intervalo de solicitación de vecinos) Subinterfaz de capa3 > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. MTU de enlace Subinterfaz de capa3 > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Tiempo de retransmisión (ms) Subinterfaz de capa3 > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. predeterminado 1). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. predeterminado no especificado).0 Palo Alto Networks . Si desea establecer las opciones de RA para direcciones IP individuales. Habilitar anuncio de enrutador Subinterfaz de capa3 > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350.Configuración de la subinterfaz de capa 3 Tabla 66. Máx. predeterminado 600). Esta opción es un ajuste global de la interfaz. predeterminado 64). active esta casilla de verificación y configure los otros campos de esta sección. 138 • Guía de referencia de interfaz web. Tiempo alcanzable (ms) Subinterfaz de capa3 > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. predeterminado no especificado). versión 7. Introduzca 0 si no desea ningún límite de salto. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. predeterminado 200).

tal y como se describe en el siguiente procedimiento y.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 66. Configuración gestionada Subinterfaz de capa3 > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. a continuación. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Identifique la interfaz que desee utilizar para el cable virtual en la pestaña Ethernet y elimínela de la zona de seguridad actual. Tipo de interfaz Interfaz Ethernet Seleccione Virtual Wire. Configuración de una interfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. versión 7. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Duración de enrutador (segundos) Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. el cliente utiliza este campo para seleccionar un enrutador preferido. Otras configuraciones Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. El cortafuegos envía logs sobre cualquier incoherencia. Para configurar un cable virtual (Virtual Wire) en el cortafuegos. Palo Alto Networks Guía de referencia de interfaz web. ajustes relacionados con DNS) a través de DHCPv6. Configuración de interfaces de cable virtual (Virtual Wire) Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. o una subred. 1. Un cable virtual no requiere ningún tipo de cambio en los dispositivos de red adyacentes. crear el cable virtual usando las interfaces que ha creado. Comprobación de coherencia Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. permitiendo que pase todo el tráfico entre los puertos. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. o solo el tráfico con etiquetas VLAN seleccionadas (no hay disponible ningún otro servicio de enrutamiento o conmutación). Preferencia de enrutador Subinterfaz de capa3 > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. También puede crear subinterfaces de cable virtual y clasificar el tráfico en función de una dirección o intervalo IP. Tabla 67. si la hubiera. Haga clic en el nombre de la interfaz y especifique la siguiente información. 2.0 • 139 . predeterminado 1800). primero debe definir las interfaces Virtual Wire. Cuando acaba la duración. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada.

Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Configuración de interfaces de cable virtual (Virtual Wire) (Continuación) Campo Configurado en Descripción Virtual Wire Interfaz de Ethernet > Configurar Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). dúplex medio (Medio) o negociado automáticamente (Auto). se elimina la asignación de zona actual de la interfaz.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 67. Si selecciona Ninguno. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. 140 • Guía de referencia de interfaz web. desactivada (abajo) o determinado automáticamente (auto). Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades.0 Palo Alto Networks . Si selecciona Ninguno. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. se elimina la asignación del cable virtual actual de la interfaz. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. versión 7. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona.

Note: El cortafuegos de la serie PA-4000 no admite esta característica. Para añadir una subinterfaz de cable virtual. a continuación. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. Clasificador IP Haga clic en Añadir para introducir una dirección IP. se elimina la asignación de servidor NetFlow actual de la subinterfaz. se elimina la asignación de zona actual de la subinterfaz. Virtual Wire Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). intervalo IP o subred para clasificar el tráfico en esta subinterfaz de cable virtual. Etiqueta Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. por ejemplo) que no esté configurada y especifique la siguiente información. En el campo adyacente. versión 7. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Para configurar una interfaz de Tap.Configuración de una subinterfaz de cable virtual (Virtual Wire) Configuración de una subinterfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el tráfico según las etiquetas VLAN o una combinación de etiqueta VLAN y clasificador IP. Si selecciona Ninguno. Comentarios Introduzca una descripción opcional para la subinterfaz. Configuración de una interfaz de Tap Red > Interfaces > Ethernet Puede usar una interfaz de Tap para supervisar el tráfico en un puerto. Palo Alto Networks Guía de referencia de interfaz web. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. Configuración de subinterfaces de cable virtual (Virtual Wire) Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. seleccione una fila de interfaz física asociada. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. “Configuración de una interfaz de cable virtual (Virtual Wire)”. se elimina la asignación del enrutador virtual actual de la subinterfaz. Tabla 68. Si selecciona Ninguno. haga clic en el nombre de una interfaz (ethernet1/1.0 • 141 . Si selecciona Ninguno. asignar el tráfico etiquetado a una zona y sistema virtual diferentes y. aplicar políticas de seguridad para el tráfico que coincida con los criterios definidos. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. haga clic en Añadir subinterfaz y especifique la siguiente información.

Si activa el reenvío de logs pero no configura ninguna interfaz como la tarjeta de log. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10.0 Palo Alto Networks . versión 7. se produce un error de compilación. se elimina la asignación del servidor NetFlow actual de la interfaz. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Solo un puerto del cortafuegos puede ser una interfaz de tarjeta de log. correo electrónico. Si selecciona Ninguno.Configuración de una interfaz de tarjeta de log Tabla 69. Configuración de una interfaz de tarjeta de log Red > Interfaces > Ethernet En un cortafuegos PA-7000. se elimina la asignación de zona actual de la interfaz. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Protocolo simple de administración de redes (SNMP) y reenvío de archivos WildFire. desactivada (abajo) o determinado automáticamente (auto). seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). por ejemplo) que no esté configurada y especifique la siguiente información. un puerto de datos debe tener un tipo de interfaz Tarjeta de log. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Tipo de interfaz Interfaz Ethernet Seleccione Tap. haga clic en el nombre de una interfaz (ethernet1/16. 142 • Guía de referencia de interfaz web. Un puerto de datos de tarjeta de log realiza el reenvío de logs para syslog. Si selecciona Ninguno. Esto se debe a que las funciones de tráfico y logs de esta plataforma superan las del puerto de gestión. Descripción Note: El cortafuegos de la serie PA-4000 no admite esta característica. dúplex medio (Medio) o negociado automáticamente (Auto). seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Para configurar una interfaz de tarjeta de log. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Configuración de interfaz de Tap Campo Configurado en Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo.

introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Configuración de la subinterfaz de tarjeta de log Campo Configurado en Descripción Nombre de interfaz Subinterfaz LPC El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz de tarjeta log que ha seleccionado.0 • 143 . Configuración de la interfaz de tarjeta de log Campo Configurado en Descripción Ranura Interfaz Ethernet Seleccione el número de ranura (1-12) de la interfaz. defina lo siguiente: Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Tipo de interfaz Interfaz Ethernet Seleccione Tarjeta de log. haga clic en Añadir subinterfaz y especifique la siguiente información. Palo Alto Networks Guía de referencia de interfaz web. • Dirección IP: Dirección IPv6 del puerto. “Configuración de una interfaz de tarjeta de log”. • Puerta de enlace predeterminada: Dirección IPv6 de la puerta de enlace predeterminada para el puerto. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). • Máscara de red: Máscara de red para la dirección IPv4 del puerto. versión 7. Tabla 71. Etiqueta Subinterfaz LPC Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. • Puerta de enlace predeterminada: Dirección IPv4 de la puerta de enlace para el puerto.Configuración de una subinterfaz de tarjeta de log Tabla 70. Comentarios Subinterfaz LPC Introduzca una descripción opcional para la interfaz. defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. seleccione una fila de interfaz física asociada. desactivada (abajo) o determinado automáticamente (auto). Lo mejor es hacer que la etiqueta sea igual al número de subinterfaz para una mayor facilidad de uso. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). dúplex medio (Medio) o negociado automáticamente (Auto). En el campo adyacente. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. IPv6 • Dirección IP: Dirección IPv4 del puerto. Configuración de una subinterfaz de tarjeta de log Red > Interfaces > Ethernet Para añadir una subinterfaz de tarjeta de log.

por ejemplo) que no esté configurada y especifique la siguiente información. PA-5000 y PA-3000. Configuración de la subinterfaz de tarjeta de log (Continuación) Campo Configurado en Descripción Sistema virtual Subinterfaz LPC > Configurar Seleccione el sistema virtual (vsys) al que se asigna la subinterfaz de tarjeta de procesamiento de log (LPC). Alternativamente. debe adquirir e instalar la licencia gratuita. 144 • Guía de referencia de interfaz web. esa interfaz se usa como interfaz fuente para todos los servicios que envía logs (syslog. Configuración de una interfaz de reflejo de descifrado Red > Interfaces > Ethernet Para utilizar la función Reflejo de puerto de descifrado. versión 7. Para permitir la función. debe seleccionar el tipo de la interfaz Reflejo de descifrado. correo electrónico. El reflejo del puerto de descifrado solo está disponible en los cortafuegos de las series PA-7000. SNMP) desde la tarjeta de log.0 Palo Alto Networks . puede hacer clic en el enlace Sistemas virtuales para añadir un nuevo vsys. • Puerta de enlace predeterminada: La dirección IPv6 del puerto de enlace predeterminado al puerto. IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. • Dirección IP: Dirección IPv6 del puerto. Esta función permite crear una copia del tráfico descifrado desde un cortafuegos y enviarla a una herramienta de recopilación de tráfico que pueda recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivo o análisis. Cuando una subinterfaz LPC se asigna a vsys. Aquellas organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP) necesitan esta función.Configuración de una interfaz de reflejo de descifrado Tabla 71. • Puerta de enlace predeterminada: La dirección IPv4 del puerto de enlace predeterminado para el puerto. Para configurar una interfaz de reflejo de descifrado. defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. haga clic en el nombre de una interfaz (ethernet1/1. • Máscara de red: La máscara de red para la dirección IPv4 del puerto. defina lo siguiente: IPv6 • Dirección IP: Dirección IPv4 del puerto.

PA-3000. PA-3000. cable virtual. una vez creado el grupo. Las siguientes propiedades pertenecen a la interfaz lógica. La interfaz de agregación que cree se convertirá en una interfaz lógica. direcciones IP. la compatibilidad se limita a las interfaces HA3. cable virtual. Por lo tanto. PA-4000. los enlaces de 1 Gbps deben ser completamente de cobre o de fibra. realice operaciones como configurar parámetros de capa 2 o capa 3 en el grupo de agregación en lugar de en interfaces individuales. PAN-OS valida esto durante la operación de compilación.1AX. haga clic en Añadir grupo de agregación y especifique la información en la siguiente tabla. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. configuración de Protocolo de control de agregación de enlace (LACP). entradas de Protocolo de resolución de direcciones (ARP) y entradas de Detección de vecinos (ND). PA-5000 y PA-7000. Tipo de interfaz Seleccione Reflejo de descifrado. Puede agregar XFP de 1 Gbps o 10 Gbps y Ethernet de SPF+. Las siguientes reglas se aplican a los grupos de agregación: • En un grupo. dúplex medio (Medio) o negociado automáticamente (Auto). todas las interfaces deben ser del mismo tipo. no a las interfaces subyacentes físicas: asignaciones de configuración (sistema virtual. zona de seguridad). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. La compatibilidad para HA3 está limitada a los cortafuegos de las series PA-500. interfaces de capa 2 o capa 3. Configuración de interfaz de reflejo de descifrado Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Palo Alto Networks Guía de referencia de interfaz web. No puede habilitar LACP para interfaces de cable virtual. enrutador virtual. versión 7. A continuación.Configuración de los grupos de interfaces de agregación Tabla 72. Configuración de los grupos de interfaces de agregación Red > Interfaces > Ethernet Un grupo de interfaces de agregación le permite combinar varias interfaces Ethernet usando la agregación de enlace IEEE 802. • Puede usar grupos de agregación para el escalado de la redundancia y rendimiento en el enlace HA3 (reenvío de paquetes) en implementaciones de HA Activo/Activo. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). • Un grupo puede tener hasta 8 interfaces. perfil de gestión. VLAN. • Los grupos de agregación admiten HA. de capa 2 capa 3. desactivada (abajo) o determinado automáticamente (auto). La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos de las series PA-500. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). • Si activa LACP para un grupo de agregación. asigne interfaces al grupo según lo descrito en “Configuración una interfaz de agregación”. Comentarios Introduzca una descripción opcional para la interfaz. En un grupo. Para configurar un grupo de agregación.0 • 145 . PA-4000 y PA-5000.

146 • Guía de referencia de interfaz web. configurar las pestañas Configurar y Avanzado como se en la Tabla 63. Entre cualquier par de peers LACP. se recomienda que uno sea activo y otro pasivo. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). el fallo se produce a la velocidad estándar definida en IEEE 802. • Activo: el cortafuegos consulta de forma activa el estado del LACP (disponible o sin respuesta) de dispositivos de peer. • Pasivo (predeterminado): el cortafuegos responde pasivamente a las consultas de estado del LACP procedentes de los dispositivos peer.Configuración de los grupos de interfaces de agregación Tabla 73. Si selecciona Ninguno se eliminará la asignación del servidor actual NetFlow desde el grupo de interfaz agregado. En el campo adyacente introduzca un sufijo numérico (1-8) para identificar el grupo agregado. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Agregar interfaz Ethernet Introduzca una descripción opcional para la interfaz. también puede configurar la pestaña LACP como se describe a continuación. así como configurar las pestañas LACP que se describen abajo. • Capa 3: También puede seleccionar un Perfil de flujo de red. Agregar configuración de grupo de interfaz Campo Configurado en Descripción Nombre de interfaz Agregar interfaz Ethernet El campo Nombre de interfaz de solo lectura se define como ae. • Capa 2: Puede seleccionar un Perfil de flujo de red. • Rápido: cada segundo • Lento: cada 30 segundos (este es el ajuste predeterminado) Conmutación rápida Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si. De lo contrario. Velocidad de transmisión Agregar interfaz Ethernet > LACP Seleccione la velocidad con la que el cortafuegos intercambia consultas y responde a los dispositivos peer. Perfil de flujo de red Agregar interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow.0 Palo Alto Networks . configurar las pestañas Configurar. y configurar las pestañas Configurar y Avanzado tal y como se describe en la Tabla 67. versión 7. cuando una interfaz tenga un fallo. • Virtual Wire: También puede seleccionar un Perfil de flujo de red. IPv4 o IPv6 y Avanzado como se describe en la Tabla 65.1AX (al menos tres segundos). que controla los requisitos de configuración y opciones que quedan: • HA: solo debe seleccionar esta opción si la interfaz es un enlace de HA3 entre dos cortafuegos en una implementación activa/activa. quiere que el cortafuegos cambie a una interfaz operativa en 1 segundo. Habilitar LACP Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si desea habilitar el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Tipo de interfaz Agregar interfaz Ethernet Seleccione el tipo de interfaz. LACP está deshabilitada de manera predeterminada. LACP no puede funcionar si los dos peers son pasivos. Modo Agregar interfaz Ethernet > LACP Seleccione el modo de LACP del cortafuegos. También puede seleccionar un Perfil de flujo de red y configurar la pestaña LACP como se describe abajo.

versión 7. para ambos cortafuegos del par de HA. usando la misma dirección MAC del sistema para los cortafuegos. Si los cortafuegos no están en modo de HA activo/pasivo. es posible que uno tenga un ID del sistema mayor que los peers del LACP y el otro un ID del sistema menor. usando la dirección MAC única de cada cortafuegos. Misma dirección MAC del sistema para modo ActivoPasivo de HA Agregar interfaz Ethernet > LACP Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. Dirección MAC Palo Alto Networks Agregar interfaz Ethernet > LACP Si ha activado Usar la misma dirección MAC del sistema. Si los cortafuegos de HA tienen direcciones MAC únicas. Si el par del cortafuegos y el par de peers tienen valores de prioridad del sistema idénticos. Debe verificar que la dirección es única globalmente.0 • 147 .) LACP utiliza la dirección MAC para derivar un ID de sistema a cada peer del LACP. seleccione una dirección MAC generada por el sistema. Observe que cuanto más bajo es el número. de forma que PAN-OS las asigne automáticamente. Agregar interfaz Ethernet > LACP Número de interfaces (1-8) que pueden ser activas en cualquier momento en un grupo de agregación del LACP. Puede establecer prioridades de puerto al configurar interfaces individuales para el grupo. o introduzca la suya propia. PAN-OS ignora este campo. que aparece a continuación). el cortafuegos utiliza las prioridades del puerto de las interfaces para determinar cuáles están en modo de espera. Cuando los peers del LACP (también en modo de HA) se virtualizan (apareciendo para la red como un dispositivo único). Agregar configuración de grupo de interfaz (Continuación) Campo Configurado en Descripción Prioridad del sistema Agregar interfaz Ethernet > LACP Número que determina si el cortafuegos o su peer sobrescribe el otro con respecto a las prioridades del puerto (consulte la descripción del campo Puertos máx. Sin embargo. El intervalo es 1-65535 y el valor predeterminado es 32768. el ID del sistema de cada uno puede ser igual o distinto. más alta es la prioridad. En este caso. cuando el fallo se produzca en los cortafuegos. Si el número de interfaces asignadas supera el número de interfaces activas.Configuración de los grupos de interfaces de agregación Tabla 73. El valor no puede superar el número de interfaces asignadas al grupo. en una implementación activa/pasiva. que será mayor o menor que el ID del sistema de los peers del LACP. Cuando los peers del LACP no se virtualizan. el LACP utiliza los valores de ID del sistema para determinar qué cancela al otro con respecto a las prioridades del puerto. (Los cortafuegos de una implementación activa/activa requieren direcciones MAC únicas. se recomienda minimizar la latencia durante el fallo. la prioridad de puerto cambia entre los peers del LACP y el cortafuegos que se activa. se recomienda minimizar la latencia del fallo. ambos tendrán el mismo ID del sistema. dependiendo de si asigna o no la misma dirección MAC. Puertos máx. Si ambos cortafuegos tienen la misma dirección MAC. Guía de referencia de interfaz web.

Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). Si se activa la alta disponibilidad activa/activa. se recomienda seleccionar la misma Velocidad de enlace y Dúplex de enlace para cada interfaz del grupo.0 Palo Alto Networks . Tabla 74. Capa3). desactivada (abajo) o determinado automáticamente (auto). Tipo de interfaz Seleccione Agregar Ethernet. Un grupo de agregación podría tener más interfaces de las que admite en los estados activos. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. la operación de compilación muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad más alta y dúplex completo. Comentarios Introduzca una descripción opcional para la interfaz. Configuración de interfaz de Ethernet de agregación Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. el parámetro Puertos máx. aunque cambiará el tipo a Agregar Ethernet cuando la configure. versión 7. “Configuración de los grupos de interfaces de agregación” y haga clic en el nombre de la interfaz que asignará al grupo agregado. Especifique la siguiente información para la interfaz. determina el número de interfaces activas). Prioridad de puerto LACP El cortafuegos solo utiliza este campo si ha activado el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). En este caso. Agregar grupo Asigne la interfaz a un grupo de agregación. 148 • Guía de referencia de interfaz web. la prioridad de puerto asignada a cada interfaz determina si está activa o en espera. Configuración de una interfaz HA Red > Interfaces > Ethernet Todas las interfaces de alta disponibilidad (HA) tienen una función específica: una interfaz se utiliza para la sincronización de la configuración y latidos y la otra interfaz se utiliza para la sincronización del estado. Cuanto más bajo es el valor numérico. Si activa el protocolo de control de agregación de enlaces (LACP) para el grupo de agregación. El intervalo es 1-65535 y el valor predeterminado es 32768. La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregación (por ejemplo. (En la configuración del grupo de agregación. más alta es la prioridad. el cortafuegos puede usar una tercera interfaz de HA para reenviar los paquetes. Para los valores que no coinciden. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. dúplex medio (Medio) o negociado automáticamente (Auto).Configuración una interfaz de agregación Configuración una interfaz de agregación Red > Interfaces > Ethernet Para configurar una interfaz Ethernet agregado.

por ejemplo) que no esté configurada y especifique la siguiente información. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. En el campo adyacente. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Para configurar una interfaz de HA. Comentarios Interfaz de VLAN Introduzca una descripción opcional para la interfaz. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. Tabla 76. desactivada (abajo) o determinado automáticamente (auto). En el caso de cortafuegos que no incluyen puertos exclusivos. Si selecciona Ninguno.0 • 149 . debe especificar los puertos de datos que se utilizarán para HA. haga clic en el nombre de una interfaz (ethernet1/1. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). Configuración de interfaz VLAN Campo Configurado en Descripción Nombre de interfaz Interfaz de VLAN El campo Nombre de interfaz de solo lectura se define como vlan. versión 7. Tabla 75. Configuración de interfaz HA Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Puede añadir uno o más puertos de Ethernet de capa 2 (consulte “Configure la interfaz de capa 2”) a una interfaz VLAN. escriba un sufijo numérico (1-9999) para identificar la interfaz. consulte “Habilitación de HA en el cortafuegos”. Si desea más información sobre HA. se elimina la asignación del servidor NetFlow actual de la interfaz. dúplex medio (Medio) o negociado automáticamente (Auto). Perfil de flujo de red Interfaz de VLAN Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Comentarios Introduzca una descripción opcional para la interfaz.Configuración de una interfaz VLAN Algunos cortafuegos de Palo Alto Networks incluyen puertos físicos exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de datos). Palo Alto Networks Guía de referencia de interfaz web. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Tipo de interfaz Seleccione HA. Configuración de una interfaz VLAN Red > Interfaces > VLAN Una interfaz VLAN puede proporcionar enrutamiento a una red de capa 3 (IPv4 e IPv6).

se elimina la asignación del enrutador virtual actual de la interfaz. Para eliminar una entrada. opción predeterminada 1500). haga clic en Añadir e introduzca una dirección IP y la dirección (Media Access Control o MAC) de su hardware asociado y seleccione una interfaz de capa 3 que pueda acceder a la dirección del hardware. se elimina la asignación de VLAN de la interfaz. versión 7. Interfaz de VLAN > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). Dirección MAC Interfaz Dirección IPv6 Dirección MAC 150 • Guía de referencia de interfaz web. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Sistema virtual Interfaz de VLAN > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. introduzca la dirección IPv6 y MAC del vecino. Perfil de gestión Interfaz de VLAN > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Ajustar TCP MSS Interfaz de VLAN > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. MTU Interfaz de VLAN > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno.0 Palo Alto Networks . Dirección IP Interfaz de VLAN > Avanzado > Entradas de ARP Para añadir una o más entradas de protocolo de resolución de direcciones (ARP) estáticas. a continuación. Si selecciona Ninguno. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. selecciónela y haga clic en Eliminar. se elimina la asignación de zona actual de la interfaz. haga clic en Añadir y. Si un paquete no cabe en el MSS sin fragmentarse. Si selecciona Ninguno. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas.Configuración de una interfaz VLAN Tabla 76. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción VLAN Interfaz de VLAN > Configurar Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva (consulte “Configuración de la compatibilidad de VLAN”). Zona de seguridad Interfaz de VLAN > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno. se elimina la asignación de perfil actual de la interfaz. Enrutador virtual Interfaz de VLAN > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). este parámetro permite ajustarlo. SSH.

El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Dirección Interfaz de VLAN > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. En la respuesta ND. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Para una dirección IPv4 Tipo Interfaz de VLAN > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar Proxy NDP Interfaz de VLAN > Avanzado > Proxy NDP Seleccione para habilitar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. una de estas direcciones es la misma que la traducción de origen en NPTv6. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha verde).0/24 para IPv4 o 2001:db8::/32 para IPv6). intervalos de IP. a continuación. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/ activo no admiten el cliente DHCP. Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6).168. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred. seleccione la dirección y haga clic en Eliminar. Puede introducir múltiples direcciones IP para la interfaz.2. 192. Para eliminar una dirección IP. versión 7. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Palo Alto Networks Guía de referencia de interfaz web. • Dirección IPv4 Tipo = Estático IP Interfaz de VLAN > IPv4 Haga clic en Añadir y. Si la dirección es una subred.Configuración de una interfaz VLAN Tabla 76. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP.0 • 151 . Idealmente. el cortafuegos envía su propia dirección MAC para la interfaz y básicamente solicita todos los paquetes destinados para estas direcciones. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Negar Interfaz de VLAN > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. Si se selecciona la casilla de verificación Habilitar Proxy NDP. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. El orden de las direcciones es indiferente.

Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. incluidos el estado de concesión de DHCP. POP3 y SMTP). 152 • Guía de referencia de interfaz web. Si deja este campo en blanco. no predeterminada). Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción • Dirección IPv4 Tipo = DHCP Habilitar Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de VLAN > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. Métrica de ruta predeterminada Interfaz de VLAN > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. NIS. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. Crear automáticament e ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. WINS. versión 7. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535.0 Palo Alto Networks . el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. la configuración del servidor (DNS.Configuración de una interfaz VLAN Tabla 76. la puerta de enlace. la asignación de IP dinámica. NTP. 00:26:08:FF:FE:DE:4E:29). la máscara de subred. dominio. El nivel de prioridad aumenta conforme disminuye el valor numérico. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. ID de interfaz Interfaz de VLAN > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo.

– Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. Cuando caduca la duración preferida.) Si desea información sobre el RA. pero cualquier conexión existente es válida hasta que caduque la duración válida. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. predeterminado 1). • Enviar RA: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. configure los otros campos de esta sección.0 • 153 . Palo Alto Networks Guía de referencia de interfaz web. Tiempo alcanzable Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. Los campos restantes solo se aplican si habilita el RA. consulte “Habilitar anuncio de enrutador” en esta tabla. 2001:400:f00::1/64). Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Dirección Interfaz de VLAN > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. versión 7. ej. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. El valor predeterminado es de 2592000. predeterminado 30). El valor predeterminado es de 604800. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. Habilitar detección de direcciones duplicadas Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. a continuación. predeterminado 1). lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. La duración válida debe ser igual o superar la duración preferida. Intentos DAD Interfaz de VLAN > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección.Configuración de una interfaz VLAN Tabla 76.. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de VLAN > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz.

debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. consulte “Dirección” en esta tabla). Preferencia de enrutador Interfaz de VLAN > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Duración de enrutador (segundos) Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. Esta opción es un ajuste global de la interfaz. Cuando acaba la duración. predeterminado no especificado). Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. predeterminado 64). de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. 154 • Guía de referencia de interfaz web. predeterminado 200). Si desea establecer las opciones de RA para direcciones IP individuales. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de VLAN > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Mín. predeterminado no especificado).0 Palo Alto Networks . Tiempo de retransmisión (ms) Interfaz de VLAN > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Límite de salto Interfaz de VLAN > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. predeterminado 1800). el cliente utiliza este campo para seleccionar un enrutador preferido. MTU de enlace Interfaz de VLAN > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Máx. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. predeterminado no especificado). el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295.Configuración de una interfaz VLAN Tabla 76. Introduzca 0 si no desea ningún límite de salto. versión 7. Tiempo alcanzable (ms) Interfaz de VLAN > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. active esta casilla de verificación y configure los otros campos de esta sección. Si establece las opciones de RA para cualquier dirección IP. predeterminado 600). de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada.

seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Perfil de flujo de red Interfaz de bucle invertido Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Enrutador virtual Interfaz de bucle invertido > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Otras configuraciones Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. El cortafuegos envía logs sobre cualquier incoherencia. Comprobación de coherencia Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. Zona de seguridad Interfaz de bucle invertido > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. se elimina la asignación del servidor NetFlow actual de la interfaz. SSH. ajustes relacionados con DNS) está disponible a través de DHCPv6. se elimina la asignación de zona actual de la interfaz. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Palo Alto Networks Guía de referencia de interfaz web. versión 7. se elimina la asignación del enrutador virtual actual de la interfaz. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Interfaz de bucle invertido Introduzca una descripción opcional para la interfaz. Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Si selecciona Ninguno. se elimina la asignación de perfil actual de la interfaz.0 • 155 . Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Configuración gestionada Interfaz de VLAN > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. escriba un sufijo numérico (1-9999) para identificar la interfaz. Configuración de una interfaz de bucle invertido Red > Interfaces > Bucle invertido Tabla 77. Si selecciona Ninguno. Si selecciona Ninguno. Sistema virtual Interfaz de bucle invertido > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Si selecciona Ninguno. En el campo adyacente. Configuración de interfaz de bucle invertido Campo Configurado en Descripción Nombre de interfaz Interfaz de bucle invertido El campo Nombre de interfaz de solo lectura se define como bucle invertido.Configuración de una interfaz de bucle invertido Tabla 76.

Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. a continuación. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de bucle invertido > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Si deja este campo en blanco. Configuración de interfaz de bucle invertido (Continuación) Campo Configurado en Descripción MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande.Configuración de una interfaz de bucle invertido Tabla 77. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. 00:26:08:FF:FE:DE:4E:29). 192. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. ID de interfaz Interfaz de bucle invertido > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. seleccione la dirección y haga clic en Eliminar. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. versión 7. Dirección Interfaz de bucle invertido > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p.168. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Si un paquete no cabe en el MSS sin fragmentarse. Para eliminar una dirección IP.0 Palo Alto Networks . ej. Para una dirección IPv4 IP Interfaz de bucle invertido > IPv4 Haga clic en Añadir y. 2001:400:f00::1/64).0/24 para IPv4 o 2001:db8::/32 para IPv6).2. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. opción predeterminada 1500). Puede introducir múltiples direcciones IP para la interfaz. Ajustar TCP MSS Interfaz de túnel > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz.. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. 156 • Guía de referencia de interfaz web. este parámetro permite ajustarlo. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6.

Si selecciona Ninguno.0 • 157 . versión 7. Perfil de flujo de red Interfaz de túnel Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. se elimina la asignación del servidor NetFlow actual de la interfaz. se elimina la asignación de zona actual de la interfaz. SSH. opción predeterminada 1500). escriba un sufijo numérico (1-9999) para identificar la interfaz. Enrutador virtual Interfaz de túnel > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno.Configuración de una interfaz de túnel Configuración de una interfaz de túnel Red > Interfaces > Túnel Tabla 78. Si selecciona Ninguno. Zona de seguridad Interfaz de túnel > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Sistema virtual Interfaz de túnel > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. se elimina la asignación del enrutador virtual actual de la interfaz. se elimina la asignación de perfil actual de la interfaz. Comentarios Interfaz de túnel Introduzca una descripción opcional para la interfaz. Palo Alto Networks Guía de referencia de interfaz web. Si selecciona Ninguno. Configuración de interfaz de túnel Campo Configurado en Descripción Nombre de interfaz Interfaz de túnel El campo Nombre de interfaz de solo lectura se define como túnel. En el campo adyacente. Note: El cortafuegos de la serie PA-4000 no admite esta característica. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU.

Configuración de un enrutador virtual Red > Enrutadores virtuales Utilice esta página para definir enrutadores virtuales. 2001:400:f00::1/64). Para eliminar una dirección IP.. Dirección Interfaz de túnel > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de túnel > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. 00:26:08:FF:FE:DE:4E:29). La definición de un enrutador virtual requiere la configuración de la asignación de los ajustes en la pestaña Configuración de enrutador > General y en cualquiera de las siguientes pestañas. ej. Puede introducir múltiples direcciones IP para la interfaz. Todas las interfaces de capa 3. según exija su topología de red: 158 • Guía de referencia de interfaz web. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. seleccione la dirección y haga clic en Eliminar. Configuración de interfaz de túnel (Continuación) Campo Configurado en Descripción Para una dirección IPv4 IP Interfaz de túnel > IPv4 Haga clic en Añadir y. • Seleccione un objeto de dirección existente de tipo máscara de red IP. de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un enrutador virtual.2. 192. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. La definición de enrutadores virtuales permite configurara reglas de reenvío de capa 3 y activar el uso de protocolos de enrutamiento dinámicos. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. versión 7. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. ID de interfaz Interfaz de túnel > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo.168.0/24 para IPv4 o 2001:db8::/32 para IPv6). Cada interfaz solo puede pertenecer a un único enrutador virtual. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. Si deja este campo en blanco. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP.0 Palo Alto Networks . a continuación.Configuración de un enrutador virtual Tabla 78. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección.

opción predefinida 200). • EBGP (10-240. Cuando ha configurado una porción de un enrutador virtual. • OSPF Ext (10-240. sus rutas conectadas se añaden automáticamente. • Pestaña RIP: Consulte “Configuración de la pestaña RIP”. • Pestaña Perfil de redistribución: Consulte “Configuración de la pestaña Perfiles de redistribución”. • IBGP (10-240. Para especificar el tipo de interfaz. Utilice únicamente letras.Configuración de un enrutador virtual • Pestaña Rutas estáticas: Consulte “Configuración de la pestaña Rutas estáticas”.Pestaña General Campo Descripción Nombre Especifique un nombre para identificar el enrutador virtual (de hasta 31 caracteres). Configuración de enrutador virtual . consulte “Configuración de la interfaz de un cortafuegos”. • Pestaña BGP: Consulte “Configuración de la pestaña BGP”. Interfaces Seleccione las interfaces que desea incluir en el enrutador virtual. Configuración de la pestaña General Red > Enrutador virtual > Configuración de enrutador > General Todas las configuraciones del enrutador virtual exigen que añada interfaces de capa 3 y cifras de distancia administrativa según se describe en la siguiente tabla: Tabla 79. se incluye en el enrutador virtual y se puede utilizar como una interfaz de salida en la pestaña de enrutamiento del enrutador virtual. • Pestaña ECMP: Consulte “Componentes del ECMP”. Distancias administrativas Palo Alto Networks Especifique las siguientes distancias administrativas: • Rutas estáticas (10-240. opción predefinida 10). • Enlace Más estadísticas de tiempo de ejecución: Consulte “Más estadísticas de tiempo de ejecución para un enrutador virtual”. • Pestaña OSPFv3: Consulte “Configuración de la pestaña OSPFv3”. • OSPF Int (10-240.0 • 159 . opción predefinida 20). guiones y guiones bajos. opción predefinida 110). • Pestaña Multidifusión: Consulte “Configuración de la pestaña Multidifusión”. Guía de referencia de interfaz web. opción predefinida 120). opción predefinida 30). en la página Red > Enrutadores virtuales. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • Pestaña OSPF: Consulte “Configuración de la pestaña OSPF”. Cuando selecciona una interfaz. puede ver información sobre un enrutador virtual concreto haciendo clic en Más estadísticas de tiempo de ejecución en la última columna. versión 7. números. • RIP (10-240. Cuando añade una interfaz.

Configuración de enrutador virtual . cada uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su ámbito.0. versión 7. Consulte la tabla siguiente. espacios. Las rutas predefinidas se aplican a destinos que de otro modo no se encontrarían en la tabla de enrutamiento del enrutador virtual. 160 • Guía de referencia de interfaz web. o ambos. Los perfiles de redistribución se pueden añadir o modificar después de configurar todos los protocolos de enrutamiento y de establecer la topología de red resultante. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Métrica Especifique una medida para la ruta estática (1 . Utilice únicamente letras. Aplique perfiles de redistribución a BGP en la pestaña Reglas de redistribución. Configuración de la pestaña Perfiles de redistribución Red > Enrutador virtual > Perfiles de redistribución Los perfiles de redistribución dirigen el cortafuegos para filtrar. Interfaz Seleccione la interfaz para reenviar paquetes al destino o configure el siguiente salto. Tabla 80. Siguiente salto Especifique los siguientes ajustes de salto: • Ninguno: Seleccione esta opción si no existe el siguiente salto en la ruta. Haga clic en la pestaña IP o IPv6 para especificar la ruta mediante direcciones IPv4 o IPv6.0. opción predefinida 10).0 Palo Alto Networks .65535).Configuración de un enrutador virtual Configuración de la pestaña Rutas estáticas Red > Enrutador virtual > Rutas estáticas Opcionalmente puede introducir una o más rutas estáticas. 192. Aplique perfiles de redistribución a los protocolos RIP y OSPF definiendo reglas de exportación.0/24 para IPv4 o 2001:db8::/32 para IPv6).168. No instalar Seleccione esta opción si no desea instalar la ruta en la tabla de reenvíos. guiones y guiones bajos. • Descartar: Seleccione esta opción si desea descartare l tráfico que se dirige a este destino. números. Aquí suele ser necesario configurar las rutas predefinidas (0. establecer la prioridad y realizar acciones basadas en el comportamiento de red deseado.2.Pestaña Rutas estáticas Campo Descripción Nombre Introduzca un nombre para identificar la ruta estática (de hasta 31 caracteres). Distancia administrativa Especifique la distancia administrativa de la ruta estática (10-240. Destino Introduzca una dirección IP y una máscara de red en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Esta opción permite configurar rutas internamente entre enrutadores virtuales en un único cortafuegos. • Dirección IP: Especifique la dirección IP del siguiente enrutador de salto. • Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como el siguiente salto. Sin las reglas de redistribución. La ruta se retiene en la configuración para su referencia futura. Los perfiles de redistribución se deben aplicar a los protocolos de enrutamiento para que surtan efecto. La redistribución de rutas permite a las rutas estáticas y a las rutas adquiridas por otros protocolos anunciarse mediante protocolos de enrutamiento específicos.0/0).

Si selecciona esta opción. Para eliminar una entrada.0 • 161 . Redistribuir Seleccione si la redistribución de la ruta se realizará según los ajustes de esta ventana.x o x. Palo Alto Networks Guía de referencia de interfaz web.Configuración de un enrutador virtual Tabla 81. versión 7. haga clic en el icono asociado con la entrada. Pestaña Filtro BGP Comunidad Especifique una comunidad para la política de enrutamiento BGP.x. haga clic en el icono asociado con la entrada.x o x. Interfaz Seleccione las interfaces para especificar las interfaces de reenvío de la ruta de candidato.x.x.Pestaña Perfiles de redistribución Campo Descripción Nombre Haga clic en Añadir para mostrar la página Perfil de redistribución e introduzca el nombre del perfil. Siguiente salto Para especificar la puerta de enlace de la ruta de candidato. Pestaña Filtro OSPF Tipo de ruta Seleccione las casillas de verificación para especificar los tipos de ruta de candidato OSPF. Introduzca un valor de etiqueta numérica (1-255) y haga clic Añadir. • Redistr.x.x. Área Especifique el identificador de área de la ruta de candidato OSPF.x. Introduzca el ID de área OSPF (con el formato x.: Seleccione si la redistribución se realizará con rutas de candidato coincidentes. Pestaña Filtro general Tipo Seleccione las casillas de verificación para especificar los tipos de ruta de candidato. haga clic en el icono asociado con la entrada. Comunidad extendida Especifique una comunidad extendida para la política de enrutamiento BGP. Destino Para especificar el destino de la ruta de candidato.x. introduzca un nuevo valor métrico.x). Para eliminar una entrada. introduzca la dirección IP o la subred de destino (con el formato x. Los perfiles se muestran en orden (con los números más bajos primero). Prioridad Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. • No hay ninguna redistribución: Seleccione si no se realizará ningún tipo de redistribución. Para eliminar una entrada.x. Un valor métrico inferior significa una ruta más preferible.x/n) que represente el siguiente salto y haga clic en Añadir.x. Configuración de enrutador virtual . introduzca la dirección IP o la subred (con el formato x. Para eliminar una entrada. Etiqueta Especifique los valores de etiqueta OSPF.x/n) y haga clic en Añadir.x. y haga clic en Añadir. haga clic en el icono asociado con la entrada.

Este campo solo es visible si se ha seleccionado la casilla de verificación Anunciar.0 Palo Alto Networks . Perfil de autenticación Seleccione el perfil. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante RIP. Modo Seleccione Normal. Además. Anunciar Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor métrico especificado. Tabla 83. Pasivo o Enviar únicamente. Configuración de enrutador virtual .Pestaña RIP Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo RIP. Configuración de RIP – Pestaña Interfaces Campo Descripción Interfaces Interfaz Seleccione la interfaz que ejecuta el protocolo RIP. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. • Pestaña Temporizadores: Consulte “Configuración de la pestaña Temporizadores”. Configuración de la pestaña Interfaces Red > Enrutador virtual > RIP > Interfaces En la siguiente tabla se describen los ajustes de la pestaña Interfaces. versión 7. Habilitar Seleccione esta opción para habilitar estos ajustes.Configuración de un enrutador virtual Configuración de la pestaña RIP Red > Enrutador virtual > RIP La configuración del protocolo de información de enrutamiento (RIP) requiere que se establezcan los siguientes ajustes generales: Tabla 82. se deben configurar ajustes en las siguientes pestañas: • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. Es muy recomendable seleccionar esta casilla de verificación. Métrica Especifique un valor métrico para el anuncio del enrutador. 162 • Guía de referencia de interfaz web.

a continuación. introduzca la contraseña sencilla y. Tabla 85. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > RIP > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Intervalos de eliminación Introduzca el número de intervalos entre la hora de vencimiento de la ruta hasta su eliminación (1. Haga clic en Añadir en cada entrada y. Tabla 84. confirme.3600). Palo Alto Networks Guía de referencia de interfaz web.Configuración de un enrutador virtual Configuración de la pestaña Temporizadores Red > Enrutador virtual > RIP > Temporizadores En la siguiente tabla se describen los ajustes de la pestaña Temporizadores. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. Clave y. Intervalo de actualizaciones Introduzca el número de intervalos entre los anuncios de actualización de rutas (1 . introduzca una o más entradas de contraseña. Seleccione el tipo de contraseña (simple o MD5).3600). seleccione la opción Preferido. Configuración de RIP – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Tipo de contraseña Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP. • Si selecciona Sencillo.60). versión 7. opcionalmente.3600). incluyendo ID de clave (0-255). aplíquelos a las interfaces en la pestaña RIP. Intervalos de vencimiento Introduzca el número de intervalos entre la última hora de actualización de la ruta hasta su vencimiento (1. • Si selecciona MD5. Para autenticar mensajes RIP. primero defina los perfiles de autenticación y a continuación. a continuación. haga clic en ACEPTAR. Configuración de RIP – Pestaña Temporizadores Campo Descripción Temporizadores Segundos del intervalo (seg) Defina la duración del intervalo de tiempo en segundos.0 • 163 . el estado Preferido. Esta duración se utiliza para el resto de los campos de temporización de RIP (1 .

versión 7. Además.Configuración de la pestaña Reglas de exportación”. Consulte “Configuración de la pestaña Perfiles de redistribución”. • Permitir redistribución de ruta predeterminada: Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predeterminada a los peers. 164 • Guía de referencia de interfaz web. el filtro. • Pestaña Reglas de exportación: Consulte “. Configuración de la pestaña OSPF Red > Enrutador virtual > OSPF La configuración del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los siguientes ajustes generales: Tabla 87. Tabla 86. Configuración del enrutador virtual . ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual.0 Palo Alto Networks . especialmente en rutas estáticas.Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. Es muy recomendable seleccionar esta casilla de verificación. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. la prioridad y la acción. • Perfil de redistribución: Seleccione un perfil de redistribución que permite modificar la redistribución de la ruta. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. en función del comportamiento de red deseado. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF.Configuración de un enrutador virtual Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > RIP > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Configuración de RIP – Pestaña Reglas de exportación Campo Descripción Reglas de exportación Reglas de exportación (Solo lectura) Muestra las rutas aplicables a las rutas que envía el enrutador virtual a un enrutador de recepción.

Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del área de código auxiliar. Introduzca un identificador del área en formato x.x. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. Si selecciona esta opción. es necesario atravesar el límite. el área puede aceptar todos los tipos de rutas. Tipo Seleccione una de las siguientes opciones. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. Si selecciona esta opción. • Normal: No hay restricciones.Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPF > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. • NSSA (Not-So-Stubby Area. versión 7. junto con el valor métrico asociado (1-255). área no totalmente de código auxiliar): Es posible salir del área directamente. Para acceder a un destino fuera del área. Repita esta acción para añadir intervalos adicionales. Guía de referencia de interfaz web.0 • 165 . Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. Es el identificador que cada vecino debe aceptar para formar parte de la misma área.x.x. Tabla 88. junto con el valor métrico asociado (1-255). • Código auxiliar: No hay salida desde el área. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. Intervalo Palo Alto Networks Haga clic en Añadir para añadir direcciones de destino LSA en el área en subredes. Configuración de OSPF – Pestaña Áreas Campo Descripción Áreas ID de área Configure el área en el que los parámetros OSPF se pueden aplicar. que conecta con el resto de áreas. seleccione Aceptar resumen si desea aceptar este tipo de LSA. pero solo mediante rutas que no sean OSPF.

• Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Valor predeterminado: 1 segundo. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos.0 Palo Alto Networks . Intervalo: 0-3600 segundos. Intervalo: 1-10 segundos. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/ pasiva. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Valor predeterminado: 4. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Aunque los paquetes OSPF no se envían ni reciben. ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. como una interfaz Ethernet. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. el enrutador no se designará como DR ni BDR. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. • Interfaz: Seleccione la interfaz. Por ejemplo. Si el valor es cero. si selecciona esta opción. antes de que OSPF considere que ese vecino tiene un fallo.Configuración de un enrutador virtual Tabla 88. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. Intervalo: 0-3600 segundos. Si el temporizador de fallos es demasiado corto. La definición manual de vecino solo se permite en modo p2mp. Intervalo: 0-3600 segundos. Por lo tanto. 166 • Guía de referencia de interfaz web. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Durante el reinicio. Valor predeterminado: 10 segundos. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. la interfaz se incluirá en la base de datos de LSA. Intervalo: 3-20. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. Valor predeterminado: 10 segundos. versión 7. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. Valor predeterminado: 10 segundos. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos.

Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. Para autenticar mensajes OSPF. introduzca una o más entradas de contraseña. haga clic en ACEPTAR.Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. opcionalmente el estado Preferido. aplíquelos a las interfaces en la pestaña OSPF. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. . Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. Guía de referencia de interfaz web. primero defina los perfiles de autenticación y a continuación. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida.0. versión 7. Clave y.0 • 167 .0. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. • Si selecciona Simple. Tipo de contraseña Seleccione el tipo de contraseña (simple o MD5).Configuración de un enrutador virtual Tabla 88. seleccione la opción Preferido. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPF > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Enlace virtual Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Haga clic en Añadir en cada entrada y. • Nombre: Introduzca un nombre para el enlace virtual. incluyendo ID de clave (0-255). Tabla 90. • Habilitar: Seleccione para habilitar el enlace virtual. a continuación. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente.0). • Si selecciona MD5. Tabla 89. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. introduzca la contraseña. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Palo Alto Networks Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF.

Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. Valor predeterminado: 120 segundos. Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Compatibilidad RFC 1583 Selecciona la casilla de verificación para garantizar la compatibilidad con RFC 1583. mismo ID de LSA). Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada. Los valores menores permiten una reconvergencia OSPF más rápida.0 Palo Alto Networks . Tabla 91. versión 7. Valor predeterminado: 140 segundos. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará.1800 segundos. • Habilitar modo auxiliar: Habilitado de forma predeterminada. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. intervalo 1-65535). • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. Es un equivalente de MinLSInterval en RFC 2328.1800 segundos. Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. • Máx. Intervalo: 5 .Configuración de un enrutador virtual Tabla 90. Configuración de OSPF – Pestaña Perfiles de autenticación (Continuación) Campo Descripción Nombre Seleccione el nombre del perfil de redistribución. el cortafuegos no entrará en modo auxiliar. Intervalo: 5 . mismo tipo. 168 • Guía de referencia de interfaz web. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia.

Además. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. Palo Alto Networks Guía de referencia de interfaz web. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. Configuración del enrutador virtual . versión 7. especialmente en rutas estáticas. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual.0 • 169 . • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”.Configuración de un enrutador virtual Configuración de la pestaña OSPFv3 Red > Enrutador virtual > OSPFv3 La configuración del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se establezcan los siguientes ajustes generales: Tabla 92. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”.Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. Es muy recomendable seleccionar esta casilla de verificación.

• Normal: No hay restricciones. pero solo mediante rutas que no sean OSPF. Para acceder a un destino fuera del área. Intervalo Haga clic en Añadir para que la subred añada direcciones IPv6 de destino LSA en el área. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. junto con el valor métrico asociado (1-255).Pestaña Áreas Campo Descripción Autenticación Seleccione el nombre del perfil de autenticación que desea especificar para esta área de OSPFarea.Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPFv3 > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. Especifique si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. Si selecciona esta opción. Si selecciona esta opción. Configuración del enrutador virtual . Tabla 93. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. • Código auxiliar: No hay salida desde el área. 170 • Guía de referencia de interfaz web. • NSSA (Not-So-Stubby Area. junto con el valor métrico asociado (1-255). área no totalmente de código auxiliar): Es posible salir del área directamente. es necesario atravesar el límite. versión 7. Tipo Seleccione una de las siguientes opciones. el área puede aceptar todos los tipos de rutas. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. seleccione Aceptar resumen si desea aceptar este tipo de LSA.0 Palo Alto Networks . Repita esta acción para añadir intervalos adicionales. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. que conecta con el resto de áreas.

Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Palo Alto Networks Guía de referencia de interfaz web. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/pasiva. Intervalo: 0-3600 segundos. antes de que OSPF considere que ese vecino tiene un fallo. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. si selecciona esta opción. Por lo tanto. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos. de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. • Vecinos: En interfaces p2pmp. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. como una interfaz Ethernet. ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Aunque los paquetes OSPF no se envían ni reciben. Intervalo: 0-3600 segundos. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. Valor predeterminado: 10 segundos. Si el temporizador de fallos es demasiado corto. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535).0 • 171 . Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. el enrutador no se designará como DR ni BDR. • Interfaz: Seleccione la interfaz. Valor predeterminado: 10 segundos. Durante el reinicio. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Si el valor es cero. versión 7. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. Intervalo: 0-3600 segundos. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Intervalo: 1-10 segundos. Valor predeterminado: 1 segundo. Intervalo: 3-20. Por ejemplo. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente.Configuración de un enrutador virtual Tabla 93. Configuración del enrutador virtual . Valor predeterminado: 4. introduzca la dirección IP de todos los vecinos accesibles mediante esta interfaz. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. Valor predeterminado: 10 segundos. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. la interfaz se incluirá en la base de datos de LSA. La definición manual de vecino solo se permite en modo p2mp.

Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPFv3 > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación.0. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR.Configuración de un enrutador virtual Tabla 93. • AH: Protocolo del encabezado de autenticación. • SHA512: Algoritmo de hash seguro 2. SPI Especifique el índice de parámetros de seguridad (SPI) para los paquetes transversales desde el cortafuegos remoto hasta el peer. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. Conjunto de cuatro funciones de hash con un resumen de 512 bits. Clave/Confirmar clave Introduzca y confirme una clave de autenticación. • SHA1: Algoritmo de hash seguro 1. Algoritmo criptográfico Especifique una de las siguientes opciones: • Ninguno: No se utilizará ningún algoritmo criptográfico. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. • MD5: Algoritmo de resumen de mensaje de MD5. Para autenticar mensajes OSPF. Configuración del enrutador virtual . • Nombre: Introduzca un nombre para el enlace virtual. • SHA384: Algoritmo de hash seguro 2.0.0 Palo Alto Networks . Conjunto de cuatro funciones de hash con un resumen de 256 bits. Conjunto de cuatro funciones de hash con un resumen de 384 bits. • Habilitar: Seleccione para habilitar el enlace virtual. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. • SHA256: Algoritmo de hash seguro 2. Protocolo Especifique uno de los siguientes protocolos: • ESP: Protocolo de carga de seguridad encapsulada. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. 172 • Guía de referencia de interfaz web. versión 7. aplíquelos a las interfaces en la pestaña OSPF. Configuración de OSPFv3: Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. Tabla 94.Pestaña Áreas (Continuación) Campo Descripción Enlaces virtuales Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. primero defina los perfiles de autenticación y a continuación.0).

intervalo 1-65535). el tráfico local seguirá reenviándose al dispositivo. Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. Tabla 96. Clave/Confirmar clave Introduzca y confirme una clave de cifrado. Nombre Seleccione el nombre del perfil de redistribución. No está disponible si no se ha seleccionado el protocolo AH. • nulo: No se utiliza ningún cifrado. En este estado. Tabla 95. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Deshabilitar enrutamiento de tránsito para el cálculo de SPF Palo Alto Networks Seleccione esta casilla de verificación si desea establecer el R-bit en los LSA del enrutador enviados desde este dispositivo para indicar que el enrutador no está activo. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. Configuración de OSPFv3: Pestaña Perfiles de autenticación (Continuación) Campo Cifrado Descripción Especifica una de las siguientes opciones: • aes-128-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 128 bits. Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. Cuando está en este estado. Es útil cuando se realiza mantenimiento con una red de dos bases porque el tráfico se puede volver a enrutar en el dispositivo mientras este siga siendo accesible. Guía de referencia de interfaz web. el dispositivo participa en OSPFv3 pero ningún otro enrutador envía tráfico de tránsito. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. • aes-192-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 192 bits. • aes-256-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 256 bits.0 • 173 .Configuración de un enrutador virtual Tabla 94. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. versión 7. Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. El valor debe ser una subred IP o un nombre de perfil de redistribución válido.

Valor predeterminado: 120 segundos. mismo ID de LSA). Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada.1800 segundos. Número AS Introduzca el número AS al que pertenece el enrutador virtual. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia. versión 7. Además. Los valores menores permiten una reconvergencia OSPF más rápida. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador. Intervalo: 5 . esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. • Habilitar modo auxiliar: Habilitado de forma predeterminada. el cortafuegos no entrará en modo auxiliar. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. Configuración de enrutador virtual . • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. Valor predeterminado: 140 segundos.Configuración de un enrutador virtual Tabla 96. Es un equivalente de MinLSInterval en RFC 2328. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. • Máx. Configuración de OSPF – Pestaña Avanzado (Continuación) Campo Descripción Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. mismo tipo. en función del ID del enrutador (intervalo 1-4294967295).1800 segundos. Intervalo: 5 .0 Palo Alto Networks . se deben configurar ajustes en las siguientes pestañas: • Pestaña General: Consulte “Configuración de la pestaña General”. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”.Pestaña BGP Campo Descripción Habilitar Seleccione la casilla de verificación para activar funciones de BGP. 174 • Guía de referencia de interfaz web. ID del enrutador Introduzca la dirección IP para asignarla al enrutador virtual. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. Configuración de la pestaña BGP Red > Enrutador virtual > BGP La configuración del protocolo de puerta de enlace de borde (BGP) requiere que se establezcan los siguientes ajustes: Tabla 97.

• Pestaña Agregado: Consulte “Configuración de la pestaña Anuncio condicional”. • Pestaña Exportar: Consulte “Configuración de las pestañas Importar y Exportar”. Palo Alto Networks Guía de referencia de interfaz web. versión 7. Configuración de BGP – Pestaña General Campo Descripción Pestaña General Rechazar ruta por defecto Seleccione la casilla de verificación para ignorar todas las rutas predeterminadas anunciadas por peers BGP. Haga clic en el icono para eliminar un perfil. • Pestaña Importar: Consulte “Configuración de las pestañas Importar y Exportar”.”. • Pestaña Anuncio condicional: Consulte “Configuración de la pestaña Anuncio condicional”. Agregar MED Seleccione esta opción para activar la agregación de rutas incluso si las rutas tienen valores diferentes de discriminador de salida múltiple (MED). Configuración de la pestaña General Red > Enrutador virtual > BGP > General La tabla siguiente describe los ajustes de la pestaña General. Este ajuste es configurable por motivos de interoperabilidad. Instalar ruta Seleccione la casilla de verificación para instalar rutas BGP en la tabla de enrutamiento global. Formato AS Seleccione el formato de 2 (predefinido) o 4 bytes. • Secreto/Confirmar secreto: Introduzca y confirme la contraseña para comunicaciones de peer BGP. • Pestaña Reglas de redistr. Comparar siempre MED Permite comparar MED para rutas de vecinos en diferentes sistemas autónomos. Preferencia local predeterminada Especifica un valor que se puede asignar para determinar preferencias entre diferentes rutas. Comparación determinista de MED Active la comparación MED para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo). Tabla 98.Configuración de un enrutador virtual • Pestaña Grupo del peer: Consulte “Configuración de la pestaña Grupo del peer”.0 • 175 .: Consulte “Configuración de la pestaña Reglas de distr. Perfiles de autenticación Haga clic en Añadir para incluir un nuevo perfil de autenticación y configurar los siguientes ajustes: • Nombre del perfil: Introduzca un nombre para identificar el perfil.

de hora de reinicio del peer: Especifique el tiempo máximo que el dispositivo local acepta como período de gracia para reiniciar los dispositivos peer (intervalo 1-3600 segundos. Haga clic en el icono para eliminar un perfil. • Media vida de disminución alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera alcanzable (intervalo 0-3600 segundos. ID de clúster reflector Especifique un identificador IPv4 para representar el clúster reflector. opción predeterminada 900 segundos). • Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede permanecer inhabilitada (intervalo 1-3600 segundos. Perfiles de amortiguación Entre los parámetros se incluyen: • Nombre del perfil: Introduzca un nombre para identificar el perfil. 176 • Guía de referencia de interfaz web.25). • Corte: Especifique un umbral retirada de ruta por encima del cual. AS de miembro de confederación Especifique el identificador de la confederación AS que se presentará como un AS único a los peers BGP externos. • Reutilizar: Especifique un umbral de retirada de ruta por debajo del cual una ruta suprimida se vuelve a utilizar (intervalo 0. Este valor se le comunica a los peers (intervalo 1-3600 segundos. Configuración de BGP – Pestaña Avanzado Campo Descripción Pestaña Avanzado Reinicio correcto Active la opción de reinicio correcto. de tiempo de espera: Especifique el tiempo máximo durante el que una ruta se puede suprimir. opción predefinida 300 segundos). opción predefinida 1.0 Palo Alto Networks . opción predefinida 300 segundos).0-1000. se suprime un anuncio de ruta (intervalo 0. con independencia de su inestabilidad (intervalo 0-3600 segundos.0. opción predefinida 120 segundos).0. • Máx. • Hora de reinicio local: Especifique el tiempo que el dispositivo local tarda en reiniciar. versión 7. • Habilitar: activa el perfil.Configuración de un enrutador virtual Configuración de la pestaña Avanzado Red > Enrutador virtual > BGP > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado: Tabla 99.0-1000. opción predefinida 120 segundos). • Media vida de disminución no alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos. opción predeterminada 5). • Máx. opción predefinida 120 segundos).

Configuración de BGP – Pestaña Grupo del peer Campo Descripción Pestaña Grupo del peer Nombre Introduzca un nombre para identificar el peer.0 • 177 . Exportar siguiente salto Seleccione una opción para exportar el siguiente salto: • resolver: Resuelve la dirección del siguiente salto mediante la tabla de reenvío local. Importar siguiente salto Seleccione una opción para importar el siguiente salto: • original: Utilice la dirección del salto siguiente en el anuncio de la ruta original. • usar mismas: Sustituya la dirección del siguiente salto con la dirección de esta dirección IP del enrutador para garantizar que estará en la ruta de reenvío. – Exportar siguiente salto • IBGP confederado: Especifique lo siguiente: – Exportar siguiente salto • EBGP: Especifique lo siguiente: – Importar siguiente salto – Exportar siguiente salto – Eliminar AS privado (seleccione si desea forzar que BGP elimine números AS privados). • IBGP: Especifique lo siguiente: – Exportar siguiente salto • EBGP confederado: Especifique lo siguiente. Ruta AS confederada agregada Seleccione la casilla de verificación para incluir una ruta a la AS de confederación agregada configurada. Habilitar Seleccione para activar el peer. • uso-peer: Utilice la dirección IP del peer como la dirección del salto siguiente. Restablecimiento parcial con información almacenada Seleccione la casilla de verificación para ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer. Tabla 100. versión 7. Palo Alto Networks Guía de referencia de interfaz web. Tipo Especifique el tipo o grupo de peer y configure los ajustes asociados (consulte la tabla siguiente para ver las descripciones de Importar siguiente salto y Exportar siguiente salto).Configuración de un enrutador virtual Configuración de la pestaña Grupo del peer Red > Enrutador virtual > BGP > Grupo del peer La tabla siguiente describe los ajustes de la pestaña Grupo del peer.

• Opciones avanzadas: Configure los siguientes ajustes: – Cliente reflector: Seleccione el tipo de cliente reflector (No cliente. opción predefinida 0). – Abrir tiempo de retraso: Especifique el tiempo de retraso entre la apertura de la conexión TCP del peer y el envío del primer mensaje abierto de BGP (intervalo 0-240 segundos. • Habilitar: Seleccione para activar el peer. – Tipo del peer: Especifique un peer bilateral o déjelo sin especificar. opción predeterminada: 30 segundos). • Dirección local: Seleccione una interfaz de cortafuegos y una dirección IP local. (rango: 3-3600 segundos. de prefijos: Especifique el número máximo de prefijos de IP compatibles (1 . – Intervalo entre mensajes de mantenimiento de conexión: Especifique un intervalo después del cual las rutas de un peer se supriman según el parámetro de tiempo de espera (intervalo 0-1200 segundos. haga clic en Nuevo y configure los siguientes ajustes: • Nombre: Introduzca un nombre para identificar el peer. – Máx. El valor predeterminado 0 significa 2 para eBGP y 255 para iBGP. Configuración de las pestañas Importar y Exportar Red > Enrutador virtual > BGP > Importar Red > Enrutador virtual > BGP > Exportar 178 • Guía de referencia de interfaz web. • Conexiones entrantes/Conexiones salientes: Especifique los números de puertos entrantes y salientes y seleccione la casilla de verificación Permitir para permitir el tráfico desde o hacia estos puertos. – Salto múltiple: Defina el valor del tiempo de vida (TTL) en el encabezado IP (intervalo 1-255.Configuración de un enrutador virtual Tabla 100. • As del peer: Especifique el AS del peer.100000 o ilimitado). valor predeterminado: 90 segundos) – Tiempo de espera de inactividad: Especifique el tiempo de espera en estado de inactividad antes de volver a intentar la conexión con el peer (intervalo 1-3600 segundos. • Opciones de conexión: Especifique las siguientes opciones: – Perfil de autenticación: Seleccione el perfil. opción predeterminada: 15 segundos).0 Palo Alto Networks . Las rutas que se reciben de los clientes reflector se comparten con todos los peers BGP internos y externos. versión 7. – Tiempo de espera: Especifique el período de tiempo que puede transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer antes de cerrar la conexión del peer. • Dirección del peer: Especifique la dirección IP y el puerto del peer. Configuración de BGP – Pestaña Grupo del peer (Continuación) Campo Descripción Peer Para agregar un nuevo peer. Cliente o Cliente en malla). opción predeterminada: 0 segundos).

únicamente si la acción es Permitir. únicamente si la acción es Permitir (0. – MED: Especifique un valor de MED para el filtrado de rutas. – Preferencia local: Especifique un valor de preferencia local únicamente si la acción es Permitir. Eliminar todo. – Comunidad extendida: Especifique una opción de comunidad: Ninguna. Haga clic en Duplicar para añadir un nuevo grupo con los mismos ajustes que el grupo seleccionado. Palo Alto Networks Guía de referencia de interfaz web. – Límite de ruta AS: Especifique un límite de ruta AS. • Pestaña secundaria Acción: – Acción: Especifique una acción (Permitir o Denegar) que se realizará cuando se cumplan las condiciones especificadas. únicamente si la acción es Permitir. – Habilitar: Seleccione para activar la regla. – Siguiente salto: Especifique un enrutador de siguiente salto.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Importar y Exportar: Tabla 101. Anexar o Sobrescribir. – MED: Especifique un valor de MED. – Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Haga clic en el icono para eliminar un grupo.65535). Eliminar Regex. Configuración de BGP – Pestañas Importar y Exportar Campo Descripción Pestañas Importar reglas/Exportar reglas Importar reglas/ Exportar reglas Haga clic en la pestaña secundaria de BGP Importar reglas o Exportar reglas.0 • 179 . Para agregar una nueva regla. – Utilizada por: Seleccione los grupos de peer que utilizarán esta regla. únicamente si la acción es Permitir. – Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. – Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Eliminar todo. Preceder. – Ruta AS: Especifique una ruta AS: Ninguna. EGP o incompleta. haga clic en Añadir y configure los siguientes ajustes: • Pestaña secundaria General: – Nombre: Especifique un nombre para identificar la regla. únicamente si la acción es Permitir. versión 7. Anexar o Sobrescribir. – Prefijo de dirección: Especifique direcciones o prefijos IP para el filtrado de rutas. Se añade un sufijo al nombre del nuevo grupo para distinguirlo del original. • Pestaña secundaria Coincidencia: – Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. – Peso: Especifique un valor de peso. – Comunidad: Especifique una opción de comunidad: Ninguna. – Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. – Origen: Especifique el tipo de la ruta original: IGP.65535). Eliminar Regex. (0. únicamente si la acción es Permitir. Eliminar y preceder. – Amortiguación: Especifique un parámetro de amortiguación. únicamente si la acción es Permitir. Eliminar. únicamente si la acción es Permitir. únicamente si la acción es Permitir.

• Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. solo entonces el dispositivo permitirá el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en su filtro de anuncio. Para configurar el anuncio condicional. • Filtros no existentes: Especifique un nombre para identificar este filtro. Haga clic en Añadir para crear un filtro no existente. salvo que se produzca una pérdida de conectividad con el proveedor preferido. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto de la ruta preferida. Habilitar Seleccione la casilla de verificación para activar el anuncio condicional de BGP. si tiene enlaces a Internet con varios ISP y desea enrutar el tráfico a un único proveedor. • MED: Especifique un valor de MED para el filtrado de rutas. A continuación se describe cómo se configuran los valores en los campos. seleccione la pestaña Anuncio condicional y haga clic en Añadir. si está disponible en la tabla de ruta de BGP local.Configuración de un enrutador virtual Configuración de la pestaña Anuncio condicional Red > Enrutador virtual > BGP > Anuncio condicional La tabla siguiente describe los ajustes de la pestaña Anuncio condicional: Tabla 102. Con la función de anuncio condicional.0 Palo Alto Networks . el anuncio se suprimirá. en lugar de a los otros. Pestaña secundaria Filtros no existentes Utilice esta pestaña para especificar el prefijo de la ruta preferida. Si un prefijo se va a anunciar y coincide con un filtro no existente. indicando un fallo de peering o alcance. • Habilitar: Seleccione para activar el filtro. Política Especifique el nombre de la política para esta regla de anuncio condicional. versión 7. Esta función es muy útil si desea probar y forzar rutas de un AS a otro. Configuración de BGP – Pestañas Anuncio condicional Campo Descripción Pestaña Anuncio condicional La función de anuncio condicional BGP permite controlar la ruta que se anunciará en caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB). puede configurar un filtro no existente que busque el prefijo de la ruta preferida. Utilizado por Haga clic en Añadir y seleccione los grupos de peer que utilizarán esta política de anuncio condicional. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Si se encuentra alguna ruta coincidente con el filtro no existente en la tabla de enrutamiento BGP local. por ejemplo. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. Especifica la ruta que desea anunciar. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. 180 • Guía de referencia de interfaz web.

• Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Anunciar filtros Defina los atributos para los filtros anunciados que asegurarán que cualquier enrutador que coincida con el filtro definido se publicará en los peers. Configuración de BGP – Pestañas Anuncio condicional (Continuación) Campo Descripción Pestaña secundaria Anunciar filtros Utilice esta pestaña para especificar el prefijo de la ruta de la tabla de enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté disponible en la tabla de enrutamiento local. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. • Anunciar filtros: Especifique un nombre para identificar este filtro. • MED: Especifique un valor de MED para el filtrado de rutas.Configuración de un enrutador virtual Tabla 102.0 • 181 . Suprimir filtros Defina los atributos que harán que las rutas coincidentes se supriman. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. • Habilitar: Seleccione para activar el filtro. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto para anunciar la ruta si la ruta preferida no está disponible. Configuración de BGP – Pestañas Agregado Campo Descripción Pestaña Agregado Nombre Introduzca un nombre para la configuración de agregación. el anuncio se producirá. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. Palo Alto Networks Guía de referencia de interfaz web. versión 7. Configuración de la pestaña Agregado Red > Enrutador virtual > BGP > Agregado La tabla siguiente describe los ajustes de la pestaña Agregado: Tabla 103. Si un prefijo se va a anunciar y no coincide con un filtro no existente. Agregar atributos de ruta Defina los atributos que se utilizarán para hacer coincidir las rutas que se agregarán. Haga clic en Añadir para crear un filtro de anuncio.

Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predefinida a los peers BGP. haga clic en Añadir. se deben configurar ajustes en las siguientes pestañas: • Pestaña Punto de encuentro: Consulte “Configuración de la pestaña Punto de encuentro”. Red > Enrutador virtual > BGP > Reglas de distr. configure los siguientes ajustes y haga clic en Listo. Para agregar una nueva regla. Reglas de redistr. • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. En la siguiente tabla se describe la configuración de la pestaña Reglas de redistr. Haga clic en el icono para eliminar una regla. Los parámetros de esta tabla se han descrito anteriormente en las pestañas Importar reglas y Exportar reglas. • Pestaña Espacio de dirección específico de origen: Consulte “Configuración de la pestaña Espacio de dirección específico de origen”. Nombre Seleccione el nombre del perfil de redistribución.Pestaña Multicast Campo Descripción Habilitar Seleccione la casilla de verificación para activar el enrutamiento multicast. Configuración de la pestaña Multidifusión Red > Enrutador virtual > Multidifusión La configuración de protocolos multicast necesita que se configuren los siguientes ajustes estándar: Tabla 105. Además.Configuración de un enrutador virtual Configuración de la pestaña Reglas de distr. Configuración de la pestaña Punto de encuentro Red > Enrutador virtual > Multicast > Punto de encuentro 182 • Guía de referencia de interfaz web. Configuración de BGP – Reglas de distr.: Tabla 104. versión 7. Campo Descripción Pestaña Reglas de redistr. • Pestaña Umbral SPT: Consulte “Configuración de la pestaña Umbral SPT”.0 Palo Alto Networks . Configuración de enrutador virtual .

– Intervalo de anuncio: Especifique un intervalo entre anuncios para mensajes RP candidatos. haga clic en Añadir para especificar una lista de grupos en los que este RP candidato se propone para ser el RP. mientras que se elige automáticamente un RP candidato. Configuración multicast – Pestaña Interfaces Campo Descripción Pestaña secundaria Interfaces Nombre Introduzca un nombre para identificar un grupo de interfaces. • Lista de grupos: Si selecciona Estático o Candidato. Palo Alto Networks Guía de referencia de interfaz web.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Punto de encuentro: Tabla 106. versión 7. Interfaz Haga clic en Añadir para especificar una o más interfaces de cortafuegos. Descripción Introduzca una descripción opcional. Configuración multicast – Pestaña Punto de encuentro Campo Descripción Pestaña secundaria Punto de encuentro Tipo de RP Seleccione el tipo de Punto de encuentro (RP) que se ejecutará en este enrutador virtual. Ethernet agregada y túnel. • Grupo: Especifique una lista de grupos en los que la dirección especificada actuará como RP. • Ninguno: Seleccione esta opción si no hay ningún RP ejecutándose en este enrutador virtual. • Cancelar RP obtenido para el mismo grupo: Active esta casilla de verificación si desea utilizar el RP especificado del RP elegido para este grupo. • Estático: Especifique una dirección IP estática para el RP y seleccione las opciones de Interfaz de RP y Dirección de RP en las listas desplegables. Active la casilla de verificación Cancelar RP obtenido para el mismo grupo si desea utilizar el RP especificado del RP elegido para este grupo.0 • 183 . Se debe configurar un RP estático de forma explícita en otros enrutadores PIM. • Candidato:: Especifique la siguiente información para el candidato del RP que se ejecuta en este enrutador virtual: – Interfaz de RP: Seleccione una interfaz para el RP. – Prioridad: Especifique una prioridad para los mensajes de RP candidato (opción predefinida 192). VLAN. – Dirección de RP: Seleccione una dirección IP para el RP. Configuración de la pestaña Interfaces Red > Enrutador virtual > Multicast > Interfaces En la siguiente tabla se describe la configuración de la pestaña Interfaces: Tabla 107. Punto de encuentro remoto Haga clic en Añadir y especifique la siguiente información: • Dirección IP: Especifique la dirección IP del RP. L3. Los tipos de interfaz válidos incluyen loopback.

0 Palo Alto Networks . • Prioridad de DR: Especifique la prioridad del enrutador que se ha designado para esta interfaz • Borde de BSR: Active la casilla de verificación para utilizar la interfaz como borde de arranque. • Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de unión y poda de PIM (segundos). – Salida inmediata: Active la casilla de verificación para salir del grupo inmediatamente cuando reciba un mensaje de salida. • Versión IGMP: Seleccione la versión 1. Configuración multicast – Pestaña Interfaces (Continuación) Campo Descripción Permisos de grupos Especifique las reglas generales para el tráfico multicast: • Cualquier fuente: Haga clic en Añadir para especificar una lista de grupos multicast para los que se permite el tráfico PIM-SM. 2 o 3 que se ejecutará en la interfaz. de grupos: Especifique la cantidad máxima de grupos permitidos en esta interfaz. El valor predeterminado es 60. seleccione un valor mayor. opción predefinida 2). • Aplicar opción de IP de enrutador-alerta: Seleccione la casilla de verificación para solicitar la opción IP de alerta de enrutador cuando se comunique mediante IGMPv2 o IGMPv3. • Habilitar: Active la casilla de verificación para activar la configuración IGMP. versión 7. Si la pérdida del paquete es común. 184 • Guía de referencia de interfaz web. – Máx. – Último intervalo de consulta de miembro: Especifique el intervalo entre los mensajes de consulta entre grupos o de origen específico (incluyendo los enviados en respuesta a los mensajes salientes del grupo). • Máx. • Potencia: Seleccione un valor entero para las cuentas de pérdida de paquete en una red (intervalo 1-7. de tiempo de respuesta de consulta: Especifique el tiempo máximo entre una consulta general y una respuesta de un host. Configuración PIM Especifique los siguientes ajustes multicast independiente de protocolo (PIM): • Habilitar: Seleccione la casilla de verificación para permitir que esta interfaz reciba y/o reenvíe mensajes PIM • Imponer intervalo: Especifique el intervalo entre mensajes de imposición de PIM. IGMP se debe activar para el host del lado de las interfaces (enrutador IGMP) o para interfaces de host proxy IGMP. • Intervalo de saludo: Especifique el intervalo entre mensajes de saludo de PIM. • Máx. • Vecinos PIM: Haga clic en Añadir para especificar la lista de vecinos que se comunicarán mediante PIM. • Configuración de consultas: Especifique lo siguiente: – Intervalo de consulta: Especifique el intervalo al que se enviarán las consultas generales a todos los hosts. de fuentes: Especifique la cantidad máxima de pertenencias específicas de origen permitido en esta interfaz (0 = ilimitado). IGMP Especifique reglas para el tráfico IGMP. Esta opción se debe deshabilitar para su compatibilidad con IGMPv1. • Origen específico: Haga clic en Añadir para especificar una lista de grupos multicast y pares de origen multicast para los que se permite el tráfico PIM-SSM.Configuración de un enrutador virtual Tabla 107.

Tabla 108. Configuración multicast – Pestaña Espacio de dirección específico de origen Campo Descripción Pestaña secundaria Espacio de dirección específico de origen Nombre Define los grupos multicast a los que el cortafuegos proporcionará servicios multicast de origen específico (SSM). • Umbral: Especifique el rendimiento al que se cambiará desde la distribución del árbol compartido a la distribución del árbol de origen. Configuración multicast – Pestaña Umbral SPT Campo Descripción Pestaña secundaria Umbral SPT Nombre El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en kbps) a la que el enrutamiento multicast cambiará desde la distribución del árbol compartido (con origen en el punto de encuentro) a la distribución del árbol de origen. Haga clic en Añadir para especificar los siguientes ajustes de direcciones de origen específico: • Nombre: Introduzca un nombre para identificar este grupo de ajustes. • Incluido: Active esta casilla de verificación para incluir los grupos especificados en el espacio de dirección SSM. Palo Alto Networks Guía de referencia de interfaz web. Configuración de la pestaña Espacio de dirección específico de origen Red > Enrutador virtual > Multicast > Espacio de dirección específico de origen La tabla siguiente describe los ajustes de la pestaña Espacio de dirección específico de origen. • Grupo: Especifique los grupos del espacio de dirección SSM. Tabla 109.Configuración de un enrutador virtual Configuración de la pestaña Umbral SPT Red > Enrutador virtual > Multicast > Umbral SPT La tabla siguiente describe los ajustes de la pestaña Umbral SPT. versión 7. Haga clic en Añadir para especificar los siguientes ajustes de SPT: • Grupo/prefijo multicast: Especifique la dirección/prefijo IP para el que SPT se cambiará a la distribución del árbol de origen cuando el rendimiento alcance los umbrales deseados (kbps).0 • 185 .

Perfiles de protección de zonas Seleccione un perfil que especifique cómo responde la puerta de enlace de seguridad a los ataques en esta zona. Ajuste de log Seleccione un perfil para reenviar logs de protección de zonas a un sistema externo. Para definir zonas de seguridad. haga clic en Nueva y especifique la siguiente información: Tabla 110. Si tiene un perfil de reenvío de logs denominado predeterminado. haga clic en Nuevo (consulte “Reenvío de logs”). Los tipos de zona de capa 2 y capa 3 enumeran todas las interfaces y subinterfaces Ethernet de ese tipo. números.Configuración de un enrutador virtual Definición de zonas de seguridad Red > Zonas Para que la interfaz de un cortafuegos pueda procesar el tráfico.0 Palo Alto Networks . Ubicación Este campo solo aparece si el dispositivo admite varios sistemas virtuales (vsys) y esa función está activada. versión 7. Cable virtual. puntos. Este nombre aparece en la lista de zonas cuando se definen políticas de seguridad y se configuran interfaces. Capa 3. este se seleccionará automáticamente para este campo cuando defina una nueva zona de seguridad. Para añadir nuevos perfiles. se debe asignar a una zona de seguridad. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tipo Seleccione un tipo de zona (Capa 2. Para definir o añadir un nuevo perfil de reenvío de logs (y para denominar a un perfil predeterminado y que este campo se rellene automáticamente). Utilice únicamente letras. El tipo de sistema virtual externo es para comunicaciones entre los sistemas virtuales del cortafuegos. Configuración de zona de seguridad Campo Descripción Nombre Introduzca un nombre de una zona (hasta 15 caracteres). Puede cancelar esta configuración predeterminada en cualquier momento seleccionado un perfil de reenvío de logs diferente cuando establezca una nueva zona de seguridad. Seleccione el vsys que se aplicará a esta zona. guiones y guiones bajos. consulte “Definición de perfiles de protección de zonas”. espacios. 186 • Guía de referencia de interfaz web. Tap. o sistema virtual externo) para enumerar todas las interfaces de ese tipo que no tengan una zona asignada. Cada interfaz puede pertenecer a una zona en un sistema virtual.

si hay múltiples rutas del mismo coste al mismo destino. Componentes del ECMP Red > Enrutadores virtuales > Configuración de enrutador > ECMP El procesamiento de trayectoria múltiple a igual coste (ECMP) es una función de red que permite al cortafuegos usar hasta cuatro rutas de igual coste hacia el mismo destino.50. Si la zona está fuera del intervalo. Si cancela la selección de la casilla de verificación. Sin esta función. si añade 10. el cortafuegos incluirá la información de asignación de usuario a todas las subredes de zona de 10. 10.Configuración de un enrutador virtual Tabla 110.0. haga clic en Añadir y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP. Configuración de zona de seguridad (Continuación) Campo Descripción Habilitar identificación de usuarios Si ha configurado el ID de usuario para realizar una asignación de dirección IP a nombre de usuario (detección). ACL de identificación de usuarios Lista de excluidos Para excluir la información de asignación de usuario para un subconjunto de subredes en la Lista de permitidos. informes y políticas excluirán la información de asignación de usuario del tráfico de la zona. use la Lista de permitidos y la Lista de excluidos. Para limitar la aplicación de información de asignación de usuario a subredes específicas en la zona después. Por defecto. el cortafuegos excluye la información de asignación de usuarios para todas las subredes de la zona. haga clic en Agregar y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP (por ejemplo.0.1. seleccione esta casilla de verificación para aplicar la información de asignación al tráfico en esta zona.50. Para definir el intervalo supervisado.0.2. Por ejemplo.1/24).0 • 187 . informes y políticas.0/22 a la Lista de excluidos. consulte la Guía del administrador de PAN-OS. Observe que solo puede incluir subredes que caigan dentro del intervalo de red que supervise el ID de usuario. los logs de cortafuegos.0/8. y excluye información de todas las subredes de zona fuera de 10. La exclusión de todas las demás subredes es implícita: no necesita añadirlas a la Lista de excluidos. para cada subred que vaya a excluir. el enrutador virtual selecciona una de estas rutas de la tabla de enrutamiento y la añade a su tabla de envío. Para limitar la información a subredes específicas de la zona. versión 7.0. consulte la Guía del administrador de PAN-OS. Si añade entradas a la Lista de excluidos pero no la Lista de permitidos. ACL de identificación de usuarios Lista de permitidos Por defecto.0/8 a la Lista de permitidos y 10. no usará ninguna de las demás Palo Alto Networks Guía de referencia de interfaz web.0/22.0.1. Para definir el intervalo supervisado. el cortafuegos aplica información de asignación de usuario al tráfico de todas las subredes de la zona. el cortafuegos aplica la información de asignación de usuario que detecte a todo el tráfico de la zona para usarla en logs. Añada entradas a la Lista de excluidos únicamente para excluir información de asignación de usuario para un subconjunto de redes en la Lista de permitidos. si selecciona esta casilla de verificación. no solo las subredes que ha añadido. Observe que el ID de usuario realiza una detección de la zona solo si cae dentro del intervalo de red que supervisa el ID de usuario.2. para cada subred. si no especifica las subredes en esta lista.0.0/8 excepto 10. el cortafuegos no aplicará la información de asignación de usuario al tráfico de la zona aunque seleccione la casilla de verificación Habilitar identificación de usuarios.

Ruta máx.Configuración de un enrutador virtual rutas a no ser que se interrumpa la ruta seleccionada. en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB seleccione una ruta alternativa. Seleccione el número máximo de rutas de coste igual (2. Esto significa que el cortafuegos selecciona una ruta de igual coste al principio de una nueva sesión. El equilibrio de carga de ECMP se realiza a nivel de sesión. de modo que el ajuste Retorno simétrico sobrescribe el equilibrio de cargas. 3 o 4) a una red de destino que puede copiarse del RIB al FIB. seleccione la pestaña ECMP y configure lo siguiente: Tabla 111 ECMP Campo Descripción Haga clic en Habilitar para habilitar ECMP. versión 7. en lugar de dejar algunos enlaces sin usar. desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. Para configurar ECMP para un enrutador virtual. • Cambie dinámicamente el tráfico a otro miembro de ECMP hacia el mismo destino si falla un enlace. Habilitar La activación. en lugar de usar la interfaz ECMP. Esto puede ayudar a reducir el tiempo de inactividad cuando falla el enlace. no a nivel de paquete.0 Palo Alto Networks . desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. Es decir. Note: La activación. en Configuración de enrutador. lo que puede provocar que se terminen las sesiones. permitiendo que el cortafuegos: • Equilibre la carga de los flujos (sesiones) al mismo destino en múltiples enlaces del mismo coste. el cortafuegos usará la interfaz de entrada a la que enviar los paquetes de retorno. lo que puede provocar que se terminen las sesiones. Valor predeterminado: 2. Este comportamiento solo se produce con flujos de tráfico del servidor al cliente. • Use el ancho de banda disponible en enlaces hacia el mismo destino. seleccione un enrutador virtual y. no cada vez que se recibe un paquete. 188 • Guía de referencia de interfaz web. La habilitación de la funcionalidad ECMP en un enrutador virtual permite que el cortafuegos tenga hasta cuatro rutas del mismo coste a un destino en esta tabla de reenvío. Retorno simétrico Tiene la opción se hacer clic en la casilla de verificación Retorno simétrico para provocar que los paquetes de retorno salgan de la misma interfaz a la que llegaron los paquetes de entrada asociados.

También puede introducir un valor de Valor de inicialización de hash (un entero) para aleatorizar aún más el equilibrio de cargas. con más frecuencia se seleccionará esa ruta de igual coste en una nueva sesión. Mientras mayor sea el peso de una ruta de coste igual específica. Más estadísticas de tiempo de ejecución para un enrutador virtual Haga clic en el enlace Más estadísticas de tiempo de ejecución de una fila de enrutador virtual para que se abra una ventana con información sobre ese enrutador virtual. el enrutador virtual equilibra las cargas de sesiones mediante esta opción. La ventana muestra las siguientes pestañas: • Pestaña Enrutamiento: Consulte “Pestaña Enrutamiento”. El campo Peso es de manera predeterminada 100. versión 7. escriba el Peso que se usará para esa interfaz. Un enlace de mayor velocidad recibirá un peso más alto que uno más lento. además de las direcciones IP de origen y destino. Haga clic en Añadir y seleccione una Interfaz para incluirla en el grupo de operación por turnos ponderada. Esto significa que el cortafuegos (ECMP) selecciona una ruta de igual coste al principio de una nueva sesión. Al seleccionar este algoritmo se abrirá la ventana Interfaz.0 • 189 . El equilibrio de carga de ECMP se realiza a nivel de sesión. En cada interfaz. • Pestaña BGP: Consulte “Pestaña BGP”. Palo Alto Networks Guía de referencia de interfaz web. que usa un hash de las direcciones IP de origen y destino en el encabezado del paquete para determinar qué ruta ECMP se puede usar. el intervalo 1-255. • Pestaña RIP: Consulte “Pestaña RIP”. Haga clic en Añadir de nuevo para añadir otra interfaz y peso. no cada vez que se recibe un paquete. para que haya más tráfico ECMP que atraviese el enlace más rápido.Configuración de un enrutador virtual Tabla 111 ECMP (Continuación) Campo Descripción Seleccione uno de los siguientes algoritmos de equilibrado de carga ECMP para usarlo en el enrutador virtual. Método • Módulo de IP: Por defecto. • Hash de IP: Tiene la opción de hacer clic en Usar puertos de origen/destino para incluir los puertos en el cálculo de hash. • Pestaña Multidifusión: Consulte “Pestaña Multidifusión”. • Operación por turnos equilibrada: Distribuye las secciones de ECMP entrantes de forma homogénea entre los enlaces. no a nivel de paquete. • Operación por turnos ponderada: Este algoritmo se puede usar para tener en cuenta distintas capacidades y velocidades de enlace.

• S: Inactivo (porque esta ruta tiene una métrica más alta) y estático. si no se recibe ninguna actualización. • A C: Activo y resultado de una interfaz interna (conectada) .0. Marcas • A?B: Activo y obtenido mediante BGP. Si el siguiente salto es 0. • A R: Activo y obtenido mediante RIP. Intervalos de vencimiento Número de intervalos desde que se recibió la última actualización del enrutador virtual de un peer.0 Palo Alto Networks . • Oi: OSPF intraárea. Intervalos de eliminación Número de intervalos tras el cual una ruta se marca como inutilizable y tras el cual. tras el cual el enrutador virtual marca las rutas del peer como inutilizables. • O1: OSPF externo tipo 1. Las rutas estáticas no tienen edad. versión 7. Pestaña RIP La siguiente tabla describe las Estadísticas de tiempo de ejecución de RIP del enrutador virtual.Destino = red. los Intervalos de vencimiento y el Intervalo de eliminación. la ruta se elimina de la tabla de enrutamiento.Configuración de un enrutador virtual Pestaña Enrutamiento La siguiente tabla describe las Estadísticas de tiempo de ejecución de enrutamiento del enrutador virtual. • A C: Activo y resultado de una interfaz interna (conectada) . Métrica Métrica de la ruta.0. Edad Edad de la entrada de la ruta en la tabla de rutas. • A S: Activo y estático. Interfaz Interfaz de salida del enrutador virtual que deberá usarse para llegar al siguiente salto. Tabla 113 Estadísticas de tiempo de ejecución de RIP Campo Descripción Pestaña secundaria Resumen Segundos del intervalo Número de segundos en un intervalo. 190 • Guía de referencia de interfaz web. • Oo: OSPF interárea.Destino = solo host. • O2: OSPF externo tipo 2. Siguiente salto Dirección IP del siguiente salto hacia la red de destino.0. Intervalo de actualizaciones Numero de intervalos entre las actualizaciones de anuncio de enrutamiento RIP que el enrutador virtual envía a los peer. esta valor afecta al Intervalo de actualización. Tabla 112 Estadísticas de tiempo de ejecución de enrutamiento Campo Descripción Destino Máscara de red y dirección IPv4 o dirección IPv6 y longitud de prefijo de redes que puede alcanzar el enrutador virtual. se indica la ruta predeterminada.

Mientras menor sea el valor métrico más prioridad tendrá en la tabla de enrutamiento para su selección como ruta preferida. fallo de autenticación o no hay suficiente memoria. que provoca que VR ignore cualquier ruta predeterminada anunciada por los peers BGP. demasiadas rutas en el paquete. ID de clave Clave de autenticación usada con los peers.0 • 191 . Palo Alto Networks Guía de referencia de interfaz web. versión 7. Pestaña secundaria Peer Dirección del peer Dirección IP de un peer hacia la interfaz RIP del enrutador virtual. Posibles causas por las que el cortafuegos no puede procesar el paquete RIP: x bytes por encima del límite de enrutamiento. Preferido Clave de autenticación preferida. subred incorrecta. Rechazar ruta por defecto Indica si se ha configurado la opción Rechazar ruta por defecto. Última actualización Fecha y hora a la que se recibió la última actualización de este peer. dirección ilegal. Causas posibles: ruta no válida. Enviar permitidos La marca de verificación indica que esta interfaz tiene permiso para enviar paquetes RIP.Configuración de un enrutador virtual Tabla 113 Estadísticas de tiempo de ejecución de RIP (Continuación) Campo Descripción Pestaña secundaria Interfaces Dirección Dirección IP de una interfaz en el enrutador virtual donde está activado RIP. Anunciar ruta predeterminada La marca de verificación indica que RIP anunciará su ruta predeterminada a sus peers. Recibir permitidos La marca de verificación indica que esta interfaz tiene permiso para recibir paquetes RIP. Versión de RIP Versión RIP que está ejecutando el peer. Paquetes no válidos Recuento de paquetes no válidos recibidos de este peer. fallo de importación o memoria insuficiente. Rutas no válidas Recuento de rutas no válidas recibidas de este peer. Pestaña BGP La siguiente tabla describe las estadísticas de tiempo de ejecución de BGP del enrutador virtual. MD5 o ninguno. Métrica de ruta predeterminada Métrica (recuento de saltos) asignada a la ruta predeterminada. Tabla 114 Estadísticas de tiempo de ejecución de BGP Campo Descripción Pestaña secundaria Resumen ID del enrutador Id de enrutador asignada a la instancia de BGP. Tipo de autenticación Tipo de autenticación: contraseña simple.

Reinicio correcto Indica si se ha activado o no Reinicio correcto (asistencia). como EBGP o IBGP. Grupo Nombre del grupo de peers al que pertenece este peer. Entradas salientes de RIB actuales Número de entradas en la tabla RIB saliente. AS local Número de AS al que pertenece VR. p. Tamaño AS Indica si el tamaño de Formato AS seleccionado es 2 Byte o 4 Byte.0 Palo Alto Networks . Pestaña secundaria Grupo de peers Nombre de grupo Nombre del grupo de peers. Duración de estado (seg. Pestaña secundaria Peer Nombre Nombre del peer. Peer AS Sistema autónomo al que pertenece el peer. El campo será 0 si VR no está en una confederación. Contraseña establecida Sí o No indica si se ha definido la autenticación. versión 7. Agregar MED independientemente Indica si se ha configurado la opción Agregar MED. Activo. Comparar siempre MED Indica si se ha configurado la opción Comparar siempre MED. Entradas salientes de RIB pico Número máximo de rutas Adj-RIB-Salida que se han asignado en un momento dado. Preferencia local predeterminada Muestra la preferencia local predeterminada configurada para el VR. ej. Tipo Tipo del grupo de peers configurados. Instalar ruta Indica si se ha configurado la opción Instalar ruta. que permite añadir una ruta aunque las rutas tengan valores MED distintos. que permite a una comparación elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo AS). IP local Dirección IP de la interfaz BGP en el VR.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Redistribuir ruta por defecto Indica si se ha configurado la opción Permitir redistribución de ruta predeterminada.) Duración del estado del peer. Confirmación abierta o Enviado abierto. que provoca que VR instale las rutas BGP en la tabla de enrutamiento global. Estado Estado del peer. Conectar. Establecido. 192 • Guía de referencia de interfaz web. Inactivo. IP del peer Dirección IP del peer. que permite comparar entre rutas de vecinos en distintos sistemas autónomos. Procesamiento determinista de MED Indica si se ha configurado la opción Comparación determinista de MED. ID de clúster Muestra el ID de clúster reflector configurado. AS de miembro local Número AS de miembro local (solo válido si el VR está en una confederación).

Peer Nombre del peer. Pestaña secundaria RIB local Prefijo Prefijo de red y máscara de subred en la base de información de enrutamiento local. Siguiente salto de tercero Sí o No indica si se ha configurado esta opción. Peso Atributo de peso asignado al prefijo. Próximo salto automático Sí o No indica si se ha configurado esta opción. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. El MED es un atributo métrico para una ruta. Es preferible una preferencia local más alta en lugar de más baja. Palo Alto Networks Guía de referencia de interfaz web. MED Atributo Discriminador de salida múltiple (MED) de la ruta. Si el cortafuegos tiene más de una ruta hacia el mismo prefijo. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida.0 • 193 . Cuando cambian las políticas de enrutamiento a un peer BGP. IP Origen Atributo de origen para el prefijo. la ruta con el peso más alto se instalará en la tabla de enrutamiento de IP. Pestaña secundaria RIB saliente Prefijo Entrada de enrutamiento de red en la base de información de enrutamiento. Se recomienda un restablecimiento parcial de las sesiones BGP en lugar de uno completo. Se prefiere un MED más bajo antes que uno más alto. Eliminar AS privado Indica si las actualizaciones eliminarán los números AS privados del atributo AS_PATH antes de que se envíen. versión 7. Atributo de preferencia local para la ruta. Es preferible una preferencia local más alta en lugar de más baja. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. que el AS que anuncia la ruta sugiere a un AS externo. cómo BGP programó la ruta. Recuento de flaps Número de flaps de la ruta. Peer Peer al que el VR anunciará esta ruta. Soporte de restablecimiento parcial Sí o No indica si el grupo de peers admite un restablecimiento parcial. Marca * indica que la ruta se seleccionó como la mejor ruta BGP. Preferencia local. Atributo de preferencia local para acceder al prefijo. Preferencia local. la lista se anuncia en las actualizaciones BGP. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. Ruta AS Lista de sistemas autónomos en la ruta hacia la red Prefijo. el restablecimiento parcial permite que las tablas de enrutamiento se actualicen sin borrar las sesiones BGP. las actualizaciones de tabla de enrutamiento pueden verse afectadas.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Agregar AS confederado Sí o No indican si se ha configurado la opción Agregar AS confederado.

cómo BGP programó la ruta. Versión Versión 1. Salida inmediata Sí o No indica si se ha configurado la Salida inmediata.0 Palo Alto Networks . Anunciar estado Estado anunciado de la ruta. Tiempo de activación del solicitante Tiempo que el solicitante IGMP ha estado activado. versión 7. MED Atributo Discriminador de salida múltiple (MED) del prefijo. Se prefiere un MED más bajo antes que uno más alto. Solicitante Dirección IP del solicitante IGMP en esa interfaz. Pestaña secundaria Pertenencia IGMP Interfaz Nombre de una interfaz a la que corresponde la pertenencia. 2 o 3 del Protocolo de administración de grupos de Internet (IGMP). El MED es un atributo métrico para una ruta. Tiempo de vencimiento del solicitante Tiempo restante para que caduque el cronómetro de presencia de otro solicitante. Pestaña secundaria Interfaz IGMP Interfaz Interfaz que tiene activado IGMP. IP Origen Atributo de origen para el prefijo. Interfaces entrantes Indica interfaces en las que el tráfico multicast entra en VR. Agregar estado Indica si la ruta se ha agregado con otras rutas. Límite de grupos Número de grupos multicast permitidos en la interfaz. Salida inmediata indica que el enrutador virtual eliminará una interfaz de la entrada de tabla de reenvíos sin enviar las consultas específicas de grupo IGMP de la interfaz. 194 • Guía de referencia de interfaz web.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Ruta AS Lista de sistemas autónomos en la ruta hacia la red de prefijo. Límite de orígenes Número de orígenes multicast permitidos en la interfaz. Grupo Dirección de grupo multicast de IP. Tabla 115 Estadísticas de tiempo de ejecución multicast Campo Descripción Pestaña secundaria FIB Grupo Dirección de grupo multicast que reenviará el VR. que el AS que anuncia la ruta sugiere a un AS externo. Origen Dirección de origen multicast. Potencia Potencia variable de la interfaz IGMP. Pestaña Multidifusión La siguiente tabla describe las estadísticas de tiempo de ejecución de IP multicast del enrutador virtual.

Modo de filtro Incluir o excluir el origen. o el tráfico de cualquier origen excepto este (excluir). Pestaña secundaria Vecino PIM Interfaz Nombre de la interfaz en el VR. DR Dirección IP del enrutador designado en esa interfaz. Modo PIM ASM o SSM. Palo Alto Networks Guía de referencia de interfaz web. Excluir caducidad Tiempo restante hasta que vence el estado Excluir de la interfaz. Tiempo de activación Tiempo que ha estado activada esta pertenencia. VR se ha configurado para incluir todo el tráfico o solo el que procede de este origen (incluir). Dirección secundaria Dirección IP secundaria del vecino. versión 7.0 • 195 . Tiempo de vencimiento Tiempo restante antes de que expire el vecino porque VR no recibe paquetes de saludo del vecino. Pestaña secundaria Interfaz PIM Interfaz Nombre de la interfaz que participa en PIM. IP Origen Indica dónde identificó VR el RP. Dirección Dirección IP del vecino.Configuración de un enrutador virtual Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción Origen Dirección de origen del tráfico multicast. Unir/eliminar intervalo Intervalo de unión/eliminación configurado (en segundos). Intervalo de saludo Intervalo de saludo configurado (en segundos). Temporizador de host V2 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 2 en la subred de IP adjuntada a la interfaz. Imponer intervalo Intervalo de imposición configurado (en segundos). RP Dirección IP del punto de encuentro del grupo. Temporizador de host V1 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 1 en la subred de IP adjuntada a la interfaz. Pestaña secundaria Asignación de grupos PIM Grupo Dirección IP del grupo asignado a un punto de encuentro. Tiempo de vencimiento Tiempo que queda antes de que venza la pertenencia. Inactivo Indica que la asignación del grupo al RP está inactiva. Tiempo de activación Tiempo que el vecino ha estado activado. Borde de BSR Sí o no. Prioridad de DR Prioridad configurada para el enrutador designado. Dirección Dirección IP de la interfaz.

La misma VLAN se puede asignar a varias interfaces de capa 2. consulte “Configuración de una interfaz VLAN”. cliente o agente de retransmisión de DHCP.0 Palo Alto Networks . Una interfaz en un cortafuegos Palo Alto Networks puede actuar como un servidor. Cada una de las interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. ¿Qué está buscando? Consulte ¿Qué es el DHCP? “Descripción general de DHCP” ¿Cómo asigna las direcciones un servidor DHCP? “Dirección DHCP” ¿Cómo se configura un servidor DHCP? “Componentes del servidor DHCP” 196 • Guía de referencia de interfaz web. Interfaz de VLAN Seleccione una interfaz VLAN para permitir enrutar el tráfico fuera de la VLAN. espacios. Configuración de VLAN Campo Descripción Nombre Introduzca un nombre de VLAN (de hasta 31 caracteres).1Q. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Interfaces Especifique interfaces del cortafuegos para VLAN. Configuración de MAC estática Especifique la interfaz mediante la que una dirección MAC es alcanzable. versión 7. Al asignar esas funciones a distintas interfaces. guiones y guiones bajos. Prioridad de DR Prioridad de enrutador designado que ha recibido el VR en el último mensaje de saludo PIM de este vecino. Configuración de DHCP El protocolo de configuración de host dinámico (DHCP) es un protocolo estandarizado que proporciona parámetros de configuración de capa de enlace y TCP/IP. el cortafuegos puede desempeñar múltiples funciones. Utilice únicamente letras. Sustituye a todas las asignaciones obtenidas de interfaz a MAC. Este nombre aparece en la lista de redes VLAN cuando se configuran interfaces. Configuración de la compatibilidad de VLAN Red > VLAN El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802. Para definir una interfaz VLAN. números. Tabla 116. y direcciones de red a los hosts configurados dinámicamente en una red TCP/IP. pero cada interfaz solo puede pertenecer a una VLAN.Configuración de la compatibilidad de VLAN Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción ID de generación Valor que el VR ha recibido del vecino en el último mensaje de saludo PIM que se ha recibido en esta interfaz.

En el cortafuegos. • Ubicación automática: El servidor DHCP asigna una dirección IP permanente a un cliente desde sus Grupos de IP. Este modelo consta de tres funciones que puede desempeñar el dispositivo: Cliente DHCP. • Asignación estática: El administrador de red selecciona la dirección IP para asignarla al cliente y el servidor DHCP se la envía. pueden asignarse a los clientes que necesitan solo un acceso temporal a la red. Este método de asignación de la dirección es útil cuando el cliente tiene un número limitado de direcciones IP. • Un dispositivo que actúa como un servidor DHCP puede atender a los clientes. servidor DHCP y agente de relé DHCP. el administrador de red ahorra tiempo y tiene el beneficio de reutilizar un número limitado de direcciones IP de clientes que ya no necesitan una conectividad de red. se realiza configurando un servidor DHCP y seleccionando una Dirección reservada para Palo Alto Networks Guía de referencia de interfaz web. como protocolo de transporte. protocolo de arranque y DHCP). y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que heredan del servidor DHCP. Dirección DHCP Hay tres formas en que el servidor DHCP asigna o envía una dirección IP a un cliente. • Un dispositivo que actúa como un agente de retransmisión DHCP escucha mensajes de transmite mensajes de DHCP de unidifusión y difusión y los transmite entre los clientes y los servidores DHCP. conocido como Concesión.Configuración de DHCP ¿Qué está buscando? Consulte ¿Cómo se configura un agente de retransmisión DHCP? “Componentes del retransmisión DHCP” ¿Cómo se configura un cliente DHCP? “Componentes del cliente DHCP” Mostrarme un ejemplo básico. DHCP usa protocolo de datagramas de usuario(UDP). RFC 768. versión 7. • Un dispositivo que funcione como cliente DHCP (host) puede solicitar una dirección IP y otros ajustes de configuración al servidor DHCP. “Ejemplo: Configure un servidor DHCP con opciones personalizadas” ¿Busca más información? Consulte DHCP. Si se usa alguno de esos tres mecanismos de direcciones DHCP. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo de configuración. El servidor puede ofrecer direcciones IP y muchas opciones DHCP a muchos clientes. Los mensajes DHCP que un cliente envía a un servidor se envían al puerto conocido 67 (UDP. Descripción general de DHCP Red > DHCP DHCP usa un modelo cliente-servidor de comunicación. Los mensajes DHCP que un servidor envía a un cliente se envían al puerto 68. • Ubicación dinámica: El servidor DHCP asigna una dirección IP reutilizable desde Grupos de IP de direcciones a un cliente para un periodo máximo de tiempo. una Concesión que se especifique como Ilimitada significa que la ubicación es permanente. La asignación DHCP estática es permanente.0 • 197 .

Antes de configurar un servidor DHCP. sin usar DHCP. En este caso. versión 7. sufra un corte de alimentación.0 Palo Alto Networks . por ejemplo. asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3. etc. Puede configurar múltiples direcciones reservadas. – Puede configurar una Dirección reservada sin configurar una Dirección MAC.). Puede reservar unas direcciones del grupo y asignarlas estáticamente a un fax e impresora. el servidor DHCP no asignará la Dirección reservada a ningún dispositivo. Vínculo hacia los temas relacionados: • “Componentes del servidor DHCP” • “Componentes del retransmisión DHCP” • “Componentes del cliente DHCP” • “Ejemplo: Configure un servidor DHCP con opciones personalizadas” Componentes del servidor DHCP Red > DHCP > Servidor DHCP La siguiente sección describe cada componente del servidor DHCP. reinicie o sufra un corte de alimentación. 198 • Guía de referencia de interfaz web. La asignación DHCP continúa en su lugar aunque el cliente se desconecte (cierre sesión. etc. si tiene una impresora en una LAN y no desea que su dirección IP siga cambiando porque se asocia con un nombre de impresora a través de DNS. – Si asigna todas las direcciones de Grupos IP como una Dirección reservada. Tenga en cuenta los siguientes puntos cuando configure una Dirección reservada: – Es una dirección de Grupos de IP. (a no ser que haya especificado que una Concesión sea Ilimitada). etc. reinicie. La asignación estática de una dirección IP es útil. desconecte. y de que la interfaz se asigna a una zona y un enrutador virtual. Otro ejemplo es si el dispositivo cliente se usa para una función crucial y debe mantener la misma dirección IP aunque el dispositivo se apague.Configuración de DHCP que corresponda con la Dirección MAC del dispositivo cliente. por ejemplo. los clientes del servidor recibirán nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se reinician. También debería conocer un grupo válido de direcciones IP de su plan de red que pueda designarse para que su servidor DHCP lo asigne a los clientes. – Si no configura ninguna Dirección reservada. no hay direcciones dinámicas libres para asignarlas al siguiente cliente DHCP que solicite una dirección.

Configuración de DHCP

Cuando añada un servidor DHCP, puede configurar los ajustes descritos en la tabla siguiente.
Los ajustes del servidor DHCP resultantes tendrán un aspecto similar al siguiente:

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción

Interfaz

Servidor DHCP

Nombre de la interfaz que funcionará como servidor DHCP.

Servidor DHCP

Seleccione habilitado o modo Automático. El modo
Automático activa el servidor y lo desactiva si se detecta
otro servidor DHCP en la red. El ajuste habilitado
desactiva el servidor.

Concesión

Si hace clic en Hacer ping a la IP al asignar IP nuevas, el
servidor hará ping a la dirección IP antes de asignarla a su
cliente. Si el ping recibe una respuesta, significará que ya
hay un dispositivo diferente con esa dirección, por lo que
no está disponible. El servidor asigna la siguiente dirección
desde el grupo. Si selecciona esta opción, la columna
Rastrear IP de la pantalla tendrá una marca de selección.

Modo

Hacer ping a la
IP al asignar IP
nuevas

Especifique un tipo de concesión.

Concesión

Grupos de IP

Dirección
reservada

Palo Alto Networks

Concesión

Concesión

• Ilimitada provoca que el servidor seleccione dinámicamente direcciones IP desde los Grupos IP y los asigne de
forma permanente a los clientes.
• Tiempo de espera determina cuánto durará esa concesión. Introduzca el número de Días y Horas y, opcionalmente, el número de Minutos.
Especifique el grupo de direcciones IP de estado desde el
que el servidor DHCP seleccione una dirección y la asigna a
un cliente DHCP.
Puede introducir una única dirección, una dirección/
<longitud de máscara>, como 192.168.1.0/24, o un intervalo
de direcciones, como 192.168.1.10-192.168.1.20.
También puede especificar una dirección IP (formato
x.x.x.x) desde los grupos de IP que no desee asignar
dinámicamente mediante el servidor DHCP.

Concesión

Si también especifica una Dirección MAC (formato
xx:xx:xx:xx:xx:xx), la Dirección reservada se asigna al
dispositivo asociado con la dirección MAC cuando ese
dispositivo solicita una dirección IP a través de DHCP.

Guía de referencia de interfaz web, versión 7.0 • 199

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Seleccione Ninguno (predeterminado) o seleccione una
interfaz de cliente DHCP de origen o una interfaz de cliente
PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Origen de herencia,
seleccione una o varias opciones que desee como heredadas
desde este origen.

Origen de
herencia

Opciones

Una de las ventajas de especificar un origen de herencia es
que las opciones DHCP se transfieren rápidamente desde el
servidor que está antes del cliente DHCP de origen.
También mantiene actualizadas las opciones del cliente si se
cambia una opción en el origen de herencia. Por ejemplo, si
el origen de herencia sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente
heredará automáticamente la nueva dirección como su
nuevo servidor NTP principal.

Opciones

Si ha seleccionado Origen de herencia, al hacer clic en
Comprobar estado de origen de herencia para abrir la
ventana Estado de interfaz de IP dinámica que muestra las
opciones que se han heredado desde el cliente DHCP.

Puerta de enlace

Opciones

Especifique la dirección IP de la puerta de enlace de la red
(una interfaz en el cortafuegos) que se usa para llegar a
cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.

Máscara de
subred

Opciones

Especifique la máscara de red que se aplica a las direcciones
del campo Grupos de IP.

Comprobar el
estado de origen
de herencia

200 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
En los siguientes campos, haga clic en la flecha hacia abajo y
seleccione Ninguno o heredado, o introduzca una dirección
IP de servidor remoto que su servidor DHCP enviará a los
clientes para acceder a ese servicio. Si ha seleccionado
heredado, el servidor DHCP hereda los valores desde el
cliente DHCP de origen, especificado como Origen de
herencia.
El servidor DHCP envía estos ajustes a sus clientes.

Opciones

Palo Alto Networks

Opciones

• DNS principal, DNS secundario: Dirección IP de los servidores del sistema de nombres de dominio (DNS) preferidos y alternativos.
• WINS principal, WINS secundario: Introduzca la dirección IP de los servidores Windows Internet Naming
Service (WINS) preferidos y alternativos.
• NIS principal, NIS secundario: Introduzca la dirección
IP de los servidores del Servicio de información de la red
(NIS) preferidos y alternativos.
• NTP principal, NTP secundario: Dirección IP de los servidores del protocolo de tiempo de redes (NTP) disponibles.
• Servidor POP3: Introduzca la dirección IP del servidor
Post Office Protocol de versión 3 (POP3).
• Servidor SMTP: Introduzca la dirección IP del servidor
del protocolo simple de transferencia de correo (SMTP).
• Sufijo DNS: Sufijo para que el cliente lo use localmente
cuando se introduce un nombre de host sin cualificar que
no puede resolver el cliente.

Guía de referencia de interfaz web, versión 7.0 • 201

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Haga clic en Añadir e introduzca el Nombre de la opción
personalizada que desea que el servidor DHCP envíe a los
clientes.
Introduzca un Código de opción (intervalo 1-254).

Opciones de
DHCP
personalizadas

Opciones

Si se introduce el Código de opción 43, aparece el campo
Identificador de clase de proveedor (VCI). Introduzca un
criterio de coincidencia que se compare con el VCI entrante
desde la opción 60 del cliente. El cortafuegos buscará en el
VCI entrante desde la opción 60 del cliente, busca el VCI
coincidente en su propia tabla de servidor DHCP y
devuelve el valor correspondiente al cliente en la opción 43.
El criterio de coincidencia de VCI es una cadena o valor
hexagonal. Un valor hexagonal debe tener un prefijo “0x”.
Haga clic en Heredado de fuente de herencia de DHCP
para que el servidor herede el valor para ese código de
opción desde el origen de herencia en lugar de introducir
un Valor de opción.
Como alternativa a la casilla de verificación, puede
continuar con lo siguiente:
Tipo de opción: Seleccione Dirección IP, ASCII o
Hexadecimal para especificar el tipo de datos usado para el
Valor de opción.
En Valor de opción, haga clic en Añadir e introduzca el
valor para la opción personalizada.

Componentes del retransmisión DHCP
Red > DHCP > Retransmisión DHCP
Antes de configurar una interfaz de cortafuegos como un agente de retransmisión DHCP,
asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha
asignado la interfaz a una zona y un enrutador virtual. Si quiere que la interfaz pueda pasar
mensajes DHCP entre los clientes y los servidores. La interfaz puede reenviar mensajes a un
máximo de cuatro servidores DHCP externos. Un mensaje de DHCPDISCOVER del cliente se
envía a todos los servidores configurados, y el mensaje DHCPOFFER del primer servidor que
responde se retransmite al cliente que originó la petición.

202 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 118. Configuración de retransmisión DHCP
Campo

Configurado en

Descripción

Interfaz

Retransmisión DHCP

Nombre de la interfaz que será el agente de retransmisión
DHCP.

IPv4/IPv6

Retransmisión DHCP

Seleccione el tipo de servidor DHCP y dirección IP que
especificará.

Dirección IP de
servidor DHCP

Retransmisión DHCP

Introduzca la dirección IP del servidor DHCP desde donde
y hacia donde retransmitirá los mensajes DHCP.

Interfaz

Retransmisión DHCP

Si ha seleccionado IPv6 como el protocolo de dirección IP
para el servidor DHCP y especificado una dirección
multicast, deberá también especificar una interfaz saliente.

Componentes del cliente DHCP
Red > Interfaces > Ethernet > IPv4
Red > Interfaces > VLAN > IPv4
Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegúrese de que ha
configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha asignado la interfaz a
una zona y un enrutador virtual. Realice esta tarea si quiere usar DHCP para solicitar una
dirección IPv4 para una interfaz en un cortafuegos.

Tabla 119. Configuración de cliente DHCP
Campo

Configurado en

Descripción

Tipo

IPv4

Haga clic en el botón de opción para Cliente DHCP y
seleccione Habilitar para configurar la interfaz como un
cliente DHCP.

Crear automáticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor

Métrica de ruta
predeterminada

Mostrar información de
tiempo de ejecución de
cliente DHCP

Palo Alto Networks

IPv4

Esto provoca que el cortafuegos cree una ruta estática a una
puerta de enlace predeterminada que será útil cuando los
clientes intenten acceder a muchos destinos que no
necesitan mantener rutas en una tabla de enrutamiento en
el cortafuegos.

IPv4

Una opción es introducir una Métrica de ruta
predeterminada (nivel de prioridad) para la ruta entre el
cortafuegos y el servidor de actualización. Un ruta con un
número más bajo tiene una prioridad alta durante la
selección de la ruta. Por ejemplo, una ruta con una métrica
de 10 se usa antes que una ruta con una métrica de 100.
El intervalo es de 1-65535. No hay un valor de métrica
predeterminado.

IPv4

Muestra todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesión de DHCP, la
asignación de dirección IP dinámica, la máscara de subred,
la puerta de enlace, la configuración del servidor (DNS,
NTP, dominio, WINS, NIS, POP3 y SMTP).

Guía de referencia de interfaz web, versión 7.0 • 203

Configuración de DHCP

Ejemplo: Configure un servidor DHCP con opciones personalizadas
En el siguiente ejemplo, se configura una interfaz en el cortafuegos como servidor DHCP.
El servidor DHCP se configura con las opciones 66 y 150 para proporcionar información sobre
servidores TFTP que proporciona configuraciones para teléfonos IP de Cisco. Esto significa
que cuando los clientes solicitan las opciones 66 y 150 del servidor, el servidor enviará estos
valores de opción en su respuesta. Los teléfonos IP de Cisco reciben su configuración desde
un servidor TFTP. La opción 66 de DHCP ofrece el nombre de host para un servidor TFTP; la
opción 150 ofrece la dirección IP de un servidor TFTP.

Configuración de un servidor DHCP con opciones personalizadas
1.

Seleccione Red > DHCP > Servidor DHCP.

2.

Seleccione la interfaz que sirve como servidor DHCP.

3.

En la pestaña Concesión, especifique Timeout como 1 día.

4.

Especifique el intervalo de direcciones IP en Grupos de IP que el servidor puede
asignar a los clientes.

204 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Configuración de un servidor DHCP con opciones personalizadas
5.

En la pestaña Opciones, escriba la dirección de puerta de enlace y la máscara de
subred para la red.

6.

Escriba las direcciones de los servidores que este servidor DHCP enviará a los clientes.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 205

Configuración de proxy DNS

Configuración de un servidor DHCP con opciones personalizadas
7.

Para introducir una opción DHCP personalizada, haga clic en Añadir. En este ejemplo,
escriba un nombre para la opción, como Nombre de host de teléfonos VoIP y el código
de opción 66. El nombre de la opción no se envía al cliente y facilita la identificación del
servidor.

8.

Seleccione ASCIl.

9.

Haga clic en Añadir para introducir el valor de opción TFTPserver10 y haga clic en
ACEPTAR.

10. Para introducir otra opción DHCP, haga clic en Añadir. Introduzca un nombre
diferente, como Dirección IP de teléfonos VoIP y el código de opción 150. El nombre
debe ser distinto del primer nombre porque los tipos de datos son diferentes.
11. Seleccione Dirección IP.
12. Haga clic en Añadir para introducir el valor de opción 10.1.1.1 (la dirección de
servidor TFTP principal) y haga clic en ACEPTAR.
13. Haga clic en ACEPTAR y seleccione Confirmar para guardar la configuración.

Configuración de proxy DNS
Los servidores DNS realizan el servicio de resolver un nombre de dominio con una dirección
IP y viceversa. Cuando configura el cortafuegos como un proxy DNS, actúa como un
intermediario entre los clientes y servidores y como un servidor DNS resolviendo consultas
desde su caché DNS. Use esta página para configurar los ajustes que determinan cómo el
cortafuegos sirve como un proxy DNS.

¿Qué desea saber?

Consulte

¿Cómo funciona el cortafuegos
como proxy de las solicitudes
DNS?

“Resumen proxy DNS”

¿Cómo se configura la caché
DHCP?

“Componentes del proxy DNS”

206 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de proxy DNS

¿Qué desea saber?

Consulte

¿Cómo configuro las
asignaciones de FQDN estática a
dirección IP?

“Componentes del proxy DNS”

¿Qué acciones adicionales puedo
realizar para gestionar proxies
DNS?

“Acciones adicionales de proxy DNS”

Resumen proxy DNS
Red > Proxy DNS
Para dirigir las consultas DNS a distintos servidores DNS según los nombres de dominio,
puede configurar el cortafuegos como un proxy DNS y especificar qué servidores DNS usar.
La especificación de múltiples servidores DNS puede garantizar la localización de las
consultas DNS y aumentar la eficiencia. Por ejemplo, puede reenviar todas las consultas DNS
corporativas a un servidor DNS corporativo y reenviar todas las demás consultas a los
servidores DNS ISP.
También puede enviar las consultas DNS a través de un túnel seguro para proteger detalles
sobre la configuración de red interna y le permite usar las funciones de seguridad como una
autenticación y cifrado.
En el caso de todas las consultas DNS que se dirigen a una dirección IP de interfaz, el
cortafuegos admite la dirección selectiva de consultas a diferentes servidores DNS en función
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envían mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un único paquete UDP.
La interfaz incluye las siguientes pestañas para definir el proxy DNS:

• Reglas de proxy DNS: Le permite configurar los ajustes de nombre, nombre de dominio y
servidor DNS primario y secundario.

• Entradas estáticas: Le permite configurar un FQDN estático a las asignaciones de
dirección IP que se distribuirán en respuesta a consultas DNS realizadas por los hosts.

• Avanzado: Le permite definir los reintentos de consulta TCP, consulta UDP y la caché.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 207

Configuración de proxy DNS

Si el nombre de dominio no se encuentra en la caché proxy de DNS, el cortafuegos busca una
coincidencia de configuración de las entradas en el objeto proxy DNS específico (en la interfaz
en la que se recibe la consulta DNS) y se reenvía a un servidor de nombres en función de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. También se admiten entradas estáticas y caché.

Consulte:
“Componentes del proxy DNS”
“Traslado o duplicación de una política o un objeto”

Componentes del proxy DNS
Red > Proxy DNS
La siguiente sección describe cada componente que puede configurar para establecer el
cortafuegos como un proxy DNS.

Tabla 120. Proxy DNS Configuración
Campo

Configurado en

Descripción

Habilitar

Proxy DNS

Seleccione la casilla de verificación para activar proxy DNS.

Nombre

Proxy DNS

Especifique un nombre para identificar el objeto proxy DNS
(hasta 31 caracteres). El nombre hace distinción entre mayúsculas
y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.

Ubicación

Proxy DNS

Especifique el sistema virtual al que se aplique el objeto proxy
DNS. Si quiere seleccionar Compartido, el campo Perfil de
servidor no está disponible. Introduzca los objetos de direcciones
o direcciones IP del servidor DNS Principal y Secundario. Para
que un sistema virtual utilice Proxy DNS, debe configurar uno
previamente. Vaya a Dispositivo > Sistemas virtuales, seleccione
un sistema virtual, y seleccione un Proxy DNS.

Origen de herencia

Proxy DNS

Seleccione un origen para heredar las configuraciones del
servidor DNS predefinido. Se suele utilizar en implementaciones
de sucursales, en las que a la interfaz WAN del cortafuegos se
accede mediante DHCP o PPPoE.

Comprobar el estado de
origen de herencia

Proxy DNS

Haga clic en el enlace para ver la configuración del servidor
asignada actualmente a las interfaces del cliente DHCP y PPoE.
Pueden incluir DNS, WINS, NTP, POP3, SMTP o sufijo DNS.

Perfil de servidor

Proxy DNS

Seleccione o cree un nuevo perfil de servidor DNS. Este campo no
aparece si la ubicación de los sistemas virtuales se especifica como
Compartido.

Principal

Proxy DNS

Especifique las direcciones IP de los servidores DNS primario y
secundario. Si el servidor DNS primario no se encuentra, se
utilizará el secundario.

Secundario

208 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

0 • 209 .ingeniería. Puede añadir varias interfaces.Configuración de proxy DNS Tabla 120. Palo Alto Networks Guía de referencia de interfaz web. Primario/Secundario Proxy DNS > Reglas de proxy DNS Introduzca el nombre de host o la dirección IP de los servidores DNS principal y secundario. De lo contrario. versión 7. Tras el tiempo de espera. No se requiere una interfaz si se usa el proxy DNS solo para la funcionalidad de la ruta de servicio.local” no coincidirá con “ingeniería. Para eliminar un nombre. Para eliminar una dirección. FQDN Proxy DNS > Entradas estáticas Introduzca el nombre de dominio completo (FQDN) que se asignará a las direcciones IP estáticas definidas en el campo Dirección. • Tiempo de espera: Especifique la duración (horas) después de la que se eliminarán todas las entradas. Nombre de dominio Proxy DNS > Reglas de proxy DNS Haga clic en Añadir e introduzca el nombre de dominio del servidor proxy. las nuevas solicitudes se deben resolver y volver a guardar en la caché (intervalo 4 a 24. Debe usarse una ruta de servicio de destino con un proxy DNS sin interfaz. Activar el almacenamiento en caché de dominios resueltos por esta asignación Proxy DNS > Reglas de proxy DNS Seleccione la casilla de verificación para activar el almacenamiento en caché de los dominios que se han resuelto mediante esta asignación. Los valores de tiempo de vida DNS se utilizan para eliminar las entradas de caché cuando se han almacenado durante menos tiempo que el período configurado. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Interfaz Proxy DNS Active las casillas de verificación Interfaz para especificar las interfaces del cortafuegos que admiten las reglas de proxy DNS. Dirección Proxy DNS > Entradas estáticas Haga clic en Añadir e introduzca las direcciones IP que se asignan a este dominio. el proxy DNS debe seleccionar una dirección IP de interfaz como origen (cuando no se definen rutas de servicio DNS). Repita esta acción para añadir más direcciones. si desea que la dirección IP de origen pueda definirse en la ruta de servicio de destino. selecciónela y haga clic en Eliminar. Por ejemplo. selecciónela y haga clic en Eliminar. Se deben especificar ambos. Para eliminar una interfaz. opción predefinida 1024). Repita esta acción para añadir más nombres. Caché Proxy DNS > Avanzado Seleccione la casilla de verificación para activar el almacenamiento en caché DNS y especifique la siguiente información: • Tamaño: Especifique el número de entradas que retendrá la caché (intervalo 1024-10240. Nombre Proxy DNS > Entradas estáticas Introduzca un nombre para la entrada estática. Nombre Proxy DNS > Reglas de proxy DNS Se requiere un nombre para poder modificar y hacer referencia a una entrada mediante CLI. Seleccione una interfaz de la lista desplegable y haga clic en Añadir.local”. En el caso de una regla de proxy DNS. “*. selecciónelo y haga clic en Eliminar. opción predefinida 4 horas). el número de testigos en una cadena comodín debe coincidir con el número de testigos en el dominio solicitado.

• Eliminar: Seleccione una entrada de proxy DNS y haga clic en Eliminar para eliminar la configuración de proxy DNS. versión 7. Especifique el límite superior del número de solicitudes DNS TCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256. • Deshabilitar: Para deshabilitar un proxy DNS. Descripción general de LLDP Red > LLDP El LLDP permite el cortafuegos para enviar y recibir las tramas Ethernet que contienen las unidades de datos LLDP (LLDPDUs) desde y hacia los vecinos. Configuración de LLDP El protocolo de detección de nivel de enlace (LLDP) ofrece un método automático de detección de los dispositivos vecinos y sus funciones en la capa de enlace. • Intentos: Especifique el número máximo de intentos (sin incluir el primer intento) después de los cuales se intentará el siguiente servidor DNS (intervalo 1-30. opción predeterminada: 2 segundos). opción predeterminada: 64) en el campo Máx. a la que se puede acceder mediante el protocolo simple 210 • Guía de referencia de interfaz web. El dispositivo receptor almacena la información en un MIB. haga clic en el nombre de la configuración de proxy DNS.0 Palo Alto Networks . haga clic en el nombre de la entrada de proxy DNS y se seleccione Habilitar. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Consultas TCP Proxy DNS > Avanzado Seleccione la casilla de verificación para activar las consultas DNS mediante TCP. opción predefinida 5). ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Definición de perfiles LLDP” ¿Busca más información? Consulte LLDP. de solicitudes pendientes. Para habilitar un proxy DNS que se haya deshabilitado.Configuración de LLDP Tabla 120. Acciones adicionales de proxy DNS Tras configurar el cortafuegos como un proxy DNS. haga clic en la entrada del proxy DNS y cancele la selección de Habilitar. Reintentos de consultas de UDP Proxy DNS > Avanzado Especifique los ajustes para los reintentos de consulta UDP: • Intervalo: Especifique el tiempo en segundos después del cual se enviará otra solicitud si no se ha recibido respuesta (intervalo 1-30. puede realizar las siguientes acciones en la página Red > Proxy DNS para gestionar las configuraciones de proxy DNS: • Modificar: Para modificar un proxy DNS.

Configuración de LLDP de administración de redes (SNMP). Configuración LLDP e información mostrada Campo Configurado en o Mostrado en Intervalo de transmisión (segundos) LLDP Retraso de transmisión (segundos) Múltiple tiempo de espera Palo Alto Networks Descripción Especifica el intervalo en el que se transmiten LLDPDUs. Este intervalo impide la inundación del segmento con LLDPDU si muchos cambios de red aumentan el número de cambios LLDP o si la interfaz provoca flaps. Valor predeterminado: 30 segundos. si los ajustes predeterminado no se adapta en su entorno. Intervalo: 1-100. Tabla 121. haga clic en Editar y después en Habilitar y configure los cuatro ajustes que se muestran en la siguiente tabla.0 • 211 . El LLDP permite que los dispositivos de red asignen su topología de red y funciones de programación de los dispositivos conectados. Intervalo: 1-3600 segundos. El tiempo de espera TTL es el tiempo que el cortafuegos conservará la información del peer como válido. Esto facilita la solución de problemas. versión 7. Valor predeterminado: 4. Intervalo: 1-600 segundos. Guía de referencia de interfaz web. LLDP Especifique un valor que se multiplica por el Intervalo de transmisión para determinar el tiempo total de espera TTL. Valor predeterminado: 2 segundos. independientemente del valor de multiplicador. Componentes del LLDP Red > LLDP Para habilitar el LLDP en el cortafuegos. El tiempo de espera TTL máximo es 65535. El Retraso de transmisión debe ser inferior al Intervalo de transmisión. El resto de entradas de la tabla describe las estadísticas de peer y estado. especialmente para las implementaciones de cable virtual donde el cortafuegos puede pasar desapercibido en una topología de red. LLDP Especifique el tiempo de intervalo entre las transmisiones LLDP enviados después de que se realice un cambio en un elemento de Tipo-Longitud-Valor (TLV).

Errores Estado Número de elementos Tiempo-Longitud-Valor (TLV) que se recibieron en la interfaz y contenían errores. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Intervalo de notificaciones LLDP Especifique el intervalo en el que las notificaciones de Trap SNMP y syslog se transmiten cuando se producen los cambios MIB. LLDP Estado Estado de LLDP: habilitado o deshabilitado. Valor predeterminado: 5 segundos. Modo Estado Modo LLDP de la interfaz: Tx/Rx. Perfil Estado Nombre del perfil asignado a la interfaz. por ejemplo. mal funcionamiento.Configuración de LLDP Tabla 121. Total recibidos Estado Número de tramas LLDP recibidas de la interfaz. Haga clic en la X roja para borrar el filtro. Tx solo o Rx solo. No reconocido Estado Número de TLV recibidos en la interfaz que no reconoce el agente local LLDP. un error de longitud cuando el sistema construye un LLDPDU para la transmisión. Entre los tipos de errores de TLV se incluyen: falta de uno o más TLV obligatorios. Total transmitidos Estado Número de LLDPDU transmitidos fuera de la interfaz. versión 7. 212 • Guía de referencia de interfaz web. información fuera de rango o error de longitud. filtro de catalejo Estado También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris.0 Palo Alto Networks . TLV descartado Estado Recuento de las tramas LLDP descartadas en la recepción. Interfaz Estado Nombre de las interfaces que tienen asignados perfiles LLDP. porque el tipo TLV está en el intervalo TLV reservado. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. Transmisión descartada Estado Número de LLDPDU que no se han transmitido fuera de la interfaz por un error. Por ejemplo. Caducado Estado Número de elementos eliminados desde Recibir MIB por una caducidad TTL adecuada. Intervalo: 1-3600 segundos.

Tipo de bastidor Mismos niveles El tipo de chasis en dirección MAC. P=Repetidor. Descripción del sistema Mismos niveles Descripción de puerto Mismos niveles Tipo de puerto Mismos niveles Nombre de interfaz. Descripción del puerto del peer. Más info Mismos niveles Haga clic en este enlace para ver los detalles de peer remoto. Nombre Mismos niveles Nombre del peer. Guía de referencia de interfaz web. B=Puente. Haga clic en la X roja para borrar el filtro. Descripción del peer. O=Otro. versión 7. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Borrar estadísticas LLDP Estado Haga clic en este botón de la parte inferior de la pantalla para borrar todas las estadísticas LLDP. filtro de catalejo Mismos niveles También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. ID de puerto Mismos niveles El cortafuegos usa el NombreIf de la interfaz.Configuración de LLDP Tabla 121. se usa la dirección MAC. Capacidades del sistema Mismos niveles Funcionalidades del sistema. R=Enrutador.0 • 213 . T=Teléfono Palo Alto Networks ID de bastidor del peer. W=LAN-Inalámbrico. Nombre del sistema Mismos niveles Nombre del peer. Dirección MAC Mismos niveles La dirección MAC del peer. Interfaz local Mismos niveles Interfaz en el cortafuegos que detectó el dispositivo vecino. ID de bastidor remoto Mismos niveles ID de puerto Mismos niveles IP de puerto del peer. que se basan en TLV obligatorios y opcionales.

versión 7. Definiendo perfiles de gestiones de interfaz Red > Perfiles de red > Gestión de interfaz Utilice esta página para especificar los protocolos que se utilizan para gestionar el cortafuegos. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Capacidades habilitadas Mismos niveles Dirección de gestión Mismos niveles Descripción Funcionalidades habilitadas en el peer.0 Palo Alto Networks .Definiendo perfiles de gestiones de interfaz Tabla 121. Dirección de gestión del peer. Para asignar perfiles de gestión a cada interfaz. consulte “Configure la interfaz de capa 3” y “Configuración de la subinterfaz de capa 3”. 214 • Guía de referencia de interfaz web.

En ambos casos. Si selecciona la casilla de verificación ID de usuario permite la comunicación entre cortafuegos donde uno redistribuye la asignación de usuarios y la información de asignación de grupo a los otros. Telnet SSH HTTP OCSP de HTTP HTTPS SNMP Páginas de respuesta ID de usuario Si selecciona la casilla de verificación Páginas de respuesta. Configuración del Perfil de gestión de interfaz Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).0 • 215 .Definición de perfiles de supervisión Tabla 122. espacios. Para obtener información detallada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. números. SSL de escucha de Syslog de ID de usuario UDP de escucha de Syslog de ID de usuario Direcciones IP permitidas Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la gestión de cortafuegos. el perfil de supervisión se utiliza para especificar la medida que se adoptará cuando un recurso (túnel de IPSec o dispositivo de siguiente salto) no esté disponible. Este nombre aparece en la lista de perfiles de gestión de interfaz cuando se configuran interfaces. versión 7. Ping Seleccione la casilla de verificación para cada servicio que desee activar en las interfaces a las que asigna el perfil. 6081 para el Portal cautivo en modo transparente. Definición de perfiles de supervisión Red > Perfiles de red > Supervisar Un perfil de supervisor se utiliza para supervisar las reglas de reenvío basado en políticas (PFB) de túneles de IPSec y dispositivos de siguiente salto. Utilice únicamente letras. los puertos usados para atender las páginas de respuesta del Portal cautivo quedan abiertos en las interfaces de capa 3: puerto 6080 para NTLM. consulte “Pestaña Agentes de ID de usuarios”. y 6082 para el Portal cautivo en el modo Redirigir. Los siguientes ajustes se utilizan para configurar un perfil de supervisión. Los perfiles de supervisión son opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para garantizar el cumplimiento de las reglas PBF. Palo Alto Networks Guía de referencia de interfaz web. guiones y guiones bajos.

Está diseñado para proporcionar una protección amplia en la zona de entrada (p. dirección IP o usuario. Descripción Introduzca una descripción opcional para el perfil de protección de zonas. opción predefinida 3). el cortafuegos realiza la acción especificada. • Esperar recuperación: Espera a que el túnel se recupere. Definición de perfiles de protección de zonas Red > Perfiles de red > Protección de zona Un perfil de protección de zona ofrece protección frente a las inundaciones más comunes. Para aumentar las capacidades de protección de zona en el cortafuegos. Utilice únicamente letras. Para configurar un perfil Protección de zona. 216 • Guía de referencia de interfaz web. Si el paquete coincide con una sesión existente.Definición de perfiles de protección de zonas Tabla 123. Los paquetes continuarán enviándose de acuerdo con la regla PBF. Configuración de Perfil de protección de zonas Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). números. Configuración de supervisión Campo Descripción Nombre Introduzca un nombre para identificar el perfil de supervisión (de hasta 31 caracteres). interfaz.. Este nombre aparece en la lista de perfiles de protección de zonas cuando se configuran zonas. • Conmutación por error: El tráfico cambiará a una ruta de seguridad. espacios y guiones bajos. opción predefinida 5). ej. El cortafuegos utiliza la búsqueda de tabla de enrutamiento para determinar el enrutamiento durante la sesión. Si el número de umbral de latidos se pierde. haga clic en Añadir y especifique los siguientes ajustes: Tabla 124. Utilice únicamente letras. Intervalo Especifique el tiempo entre latidos (intervalo 2-10. Note: La protección de zona solo se aplica cuando no hay ninguna coincidencia de sesión para el paquete. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. no realiza ninguna acción adicional. ataques de reconocimiento y otros ataques basados en paquetes. sorteará el ajuste de protección de zona. el cortafuegos intentará negociar nuevas claves de IPSec para acelerar la recuperación. si existe una disponible. En ambos casos. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 Palo Alto Networks . Umbral Especifique el número de latidos que se perderán antes de que el cortafuegos realice la acción especificada (intervalo 2-100. números. espacios. versión 7. la zona donde el tráfico entra al cortafuegos) y no están diseñados para proteger un host de extremo específico o el tráfico que vaya a una zona de destino particular. utilice la base de reglas de protección DoS para la coincidencia con una zona específica. Acción Especifique la acción que se realizará si el túnel no está disponible.

Configuración de la pestaña Protección contra inundaciones Campo Descripción Umbrales de protección contra inundaciones: Inundación SYN Acción Seleccione la acción que se adoptará en respuesta a un ataque de inundación SYN. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6. • Descarte aleatorio temprano: Permite descartar paquetes SYN para mitigar un ataque de inundación: – Si el flujo supera el umbral de tasa de alerta. debe crear un perfil de protección de zona separado para la puerta de enlace compartida. Tabla 125. se descartan paquetes SYN individuales de forma aleatoria para reducir el flujo. según lo requiera su topología de red: • Pestaña Protección contra inundaciones: Consulte “Configuración de la protección contra inundaciones”. Para activar la protección frente a inundaciones SYN en una puerta de enlace compartida puede aplicar un perfil de protección de inundación SYN con descarte aleatorio temprano o cookies SYN. Es el método preferido. Palo Alto Networks Guía de referencia de interfaz web. • Pestaña Protección de reconocimiento: Consulte “Configuración de la protección de reconocimiento”. – Si el flujo supera el umbral de tasa de activación. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. versión 7.0 • 217 . se descartan todos los paquetes. se genera una alarma. debe configurar los ajustes en la pestaña General y en cualquiera de las siguientes pestañas. en una zona externa solo está disponible el descarte aleatorio temprano para la protección frente a inundación SYN Configuración de la protección contra inundaciones Red > Perfiles de red > Protección de zona > Protección contra inundaciones La tabla siguiente describe los ajustes de la pestaña Protección contra inundaciones. • Cookies SYN: Calcula un número de secuencia de paquetes SYN-ACK que no requieren almacenar las conexiones pendientes en memoria.Definición de perfiles de protección de zonas Cuando se define un perfil Protección de zona. • Pestaña Protección de ataque basada en paquetes: Consulte “Configuración de la protección de ataques basada en paquetes”. – Si el flujo supera el umbral de tasa de máxima.

) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera una alarma de ataque. La respuesta se desactiva si el número de paquetes IP es inferior al umbral. Activar (paquetes/seg.) Introduzca el número máximo de paquetes ICMP que se pueden recibir por segundo. Umbrales de protección contra inundaciones: ICMPv6 Alerta (paquetes/seg. Máximo (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: Inundación ICMP Alerta (paquetes/seg. Máximo (paquetes/seg. Activar (paquetes/seg.) Introduzca el número máximo de paquetes SYN que se pueden recibir por segundo. Activar (paquetes/seg.) Introduzca el número de solicitudes de eco ICMP (pings) recibidos por segundo que genera una alarma de ataque. Máximo (paquetes/seg. Máximo (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: Otras IP Alerta (paquetes/seg.) Introduzca el número de paquetes ICMP recibidos por la zona (en un segundo) que causa que se descarten los siguientes paquetes ICMP.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera una alarma de ataque. Umbrales de protección contra inundaciones: UDP Alerta (paquetes/seg.) Introduzca el número de solicitudes de eco ICMPv6 (pings) recibidos por segundo que genera una alarma de ataque.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera una alarma de ataque.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes IP. Cualquier número de paquetes que supere el máximo se descartará. 218 • Guía de referencia de interfaz web. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Alerta (paquetes/seg.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes UDP.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera la acción especificada.Definición de perfiles de protección de zonas Tabla 125. Las alarmas se pueden en el panel (consulte “Uso del panel”) y en el log de amenazas (consulte “Realización de capturas de paquetes”). versión 7. Activar (paquetes/seg.) Introduzca el número máximo de paquetes ICMPv6 que se pueden recibir por segundo.) Introduzca el número de paquetes ICMPv6 recibidos por segundo en la zona que causa que se descarten los siguientes paquetes ICMPv6. Activar (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará.) Introduzca el número máximo de paquetes UDP que se pueden recibir por segundo. La medición se detiene cuando el número de paquetes ICMPv6 es inferior al umbral. Cualquier número de paquetes que supere el máximo se descartará.0 Palo Alto Networks . La respuesta se desactiva si el número de paquetes UDP es inferior al umbral.

• Bloquear IP: Descarta el resto de paquetes durante un período de tiempo especificado. Examen de puerto de UDP. Dirección de origen multicast Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de origen multicast.0 • 219 . • Bloquear: Descarta todos los paquetes enviados desde el origen al destino durante el resto del intervalo de tiempo especificado. versión 7.Definición de perfiles de protección de zonas Tabla 125. o el de origen y destino. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Máximo (paquetes/seg. Acción Introduzca la acción que el sistema adoptará como respuesta a este tipo de evento: • Permitir: Permite la exploración de puerto de reconocimiento de limpieza de host. • Alerta: Genera una alerta para cada exploración o limpieza que coincida con el umbral del intervalo de tiempo especificado. Cualquier número de paquetes que supere el máximo se descartará. Seleccione si se bloqueará el tráfico de origen. Dirección compatible de IPv4 Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección compatible con IPv4. Umbral (eventos) Introduzca el número de puertos explorados en el intervalo de tiempo especificado que activarán este tipo de protección (eventos). Tabla 126. IPv6 Colocar paquetes con Encabezado de enrutamiento tipo 0 Active la casilla de verificación para colocar los paquetes de IPv6 que incluirán un encabezado de enrutador de tipo 0. Configuración de la protección de reconocimiento Red > Perfiles de red > Protección de zona > Protección de reconocimiento La tabla siguiente describe los ajustes de la pestaña Protección de reconocimiento. Limpieza de host Intervalo (seg) Introduzca el intervalo de tiempo para la detección de exámenes puerto y limpieza de host (segundos). Configuración de la protección de ataques basada en paquetes Red > Perfiles de red > Protección de zona > Protección de ataque basada en paquetes Las siguientes pestañas se utilizan para la configuración de la protección de ataque basada en paquetes: • Descarte IP: Consulte “Configuración de la pestaña Descarte IP”. Configuración de la pestaña Protección de reconocimiento Campo Descripción Protección de reconocimiento: Examen de puerto TCP. Dirección de fuente de difusión por proximidad Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de fuente de difusión por proximidad. e introduzca la duración (segundos).) Introduzca el número máximo de paquetes IP que se pueden recibir por segundo. destino. Palo Alto Networks Guía de referencia de interfaz web.

1108. Enrutamiento de origen no estricto Descarta paquetes con la opción de IP de enrutamiento de origen no estricto activada.Definición de perfiles de protección de zonas • Descarte TCP: Consulte “Configuración de la pestaña Descarte TCP”. • ICMPv6: Consulte “Configuración de la pestaña Colocación de ICMPv6”. Seguridad Descarta paquetes con la opción de seguridad activada. Descartar opciones IP Enrutamiento de fuente estricto Descarta paquetes con la opción de IP de enrutamiento de origen estricto activada. Ruta de log Descarta paquetes con la opción de ruta de log activada. la elimina. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. ID de secuencia Descarta paquetes con la opción de ID de secuencia activada. • Colocación de ICMP: Consulte “Configuración de la pestaña Colocación de ICMP”. • Colocación de IPv6: Consulte “Configuración de la pestaña Colocación de IPv6”. número y longitud basadas en RFC 791. Forma incorrecta Descarta paquetes si tienen combinaciones incorrectas de clase. Segmento TCP superpuesto no coincidente Este ajuste hará que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. Comprobación de dirección IP estricta Tráfico fragmentado Descarta los paquetes IP fragmentados. Desconocido Descarta paquetes si no se conoce la clase ni el número. 1393 y 2113. 220 • Guía de referencia de interfaz web. si es así. Configuración de la pestaña Descarte IP Para configurar Descarte IP. Configuración de la pestaña Protección de ataque basada en paquetes Campo Descripción Pestaña secundaria Descarte IP Dirección IP de réplica Active la casilla de verificación para activar la protección contra replicación de dirección IP. • El segmento está superpuesto a parte de otro segmento. Marca de tiempo Descarta paquetes con la opción de marca de tiempo activada. • El segmento cubre otro segmento.0 Palo Alto Networks . Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y. especifique los siguientes ajustes: Tabla 127. versión 7.

• Sí: Rechaza TCP sin SYN. • El segmento está superpuesto a parte de otro segmento. La presentación dividida de cuatro o cinco direcciones o un procedimiento de establecimiento de sesión abierta simultánea son ejemplos de variaciones que no se permiten. Configuración de la pestaña Protección de ataque basada en paquetes (Continuación) Campo Descripción Rechazar TCP sin SYN Determina si el paquete se rechazará. • Sí: Rechaza TCP sin SYN. no se permiten las variaciones. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. • Colocar: Descarte los paquetes que contienen una ruta asimétrica.0 • 221 . Configuración de la pestaña Descarte TCP Para configurar Descarte TCP. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. especifique los siguientes ajustes: Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Segmento TCP superpuesto no coincidente Hace que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento.Definición de perfiles de protección de zonas Tabla 127. • El segmento cubre otro segmento. Protocolo de enlace dividido Evita que una sesión TCP se establezca si el procedimiento de establecimiento de sesión no usa la reconocida presentación de tres direcciones. Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. Cuando se configura esta opción para un perfil de protección de zona y el perfil se aplica a una zona. • No: Acepta TCP sin SYN. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. Rechazar TCP sin SYN Determina si el paquete se rechazará. Palo Alto Networks Guía de referencia de interfaz web. versión 7. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. las sesiones TCP para interfaces de esa zona deben establecerse usando una presentación estándar de tres direcciones. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. El cortafuegos del última generación Palo Alto Networks gestiona correctamente sesiones y todos los procesos de capa 7 para la presentación de enlace dividido y un establecimiento de sesión abierta simultánea sin configurar Protocolo de enlace dividido. • Derivar: Derive los paquetes que contienen una ruta asimétrica. • No: Acepta TCP sin SYN.

Definición de perfiles de protección de zonas Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. Configuración de la pestaña Colocación de IPv6 Campo Descripción Pestaña secundaria Descarte de IPv6 Encabezado de enrutamiento tipo 0 Descarta los paquetes IPv6 que contienen un encabezado de enrutamiento de Tipo 0. Configuración de la pestaña Colocación de IPv6 Para configurar Colocación de IPv6. Descartar ICMP incrustado con mensaje de error Descarta los paquetes ICMP que se incrustan con un mensaje de error. • Derivar: Derive los paquetes que contienen una ruta asimétrica. Fragmento de ICMP Descarta paquetes formados con fragmentos ICMP.0 Palo Alto Networks . Configuración de la pestaña Colocación de ICMP Campo Descripción Pestaña secundaria Colocación de ICMP ID de 0 de ping de ICMP Descarta paquetes si el paquete de ping de ICMP tiene un identificador con el valor de 0. especifique los siguientes ajustes: Tabla 129. Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y. Este ajuste interfiere el proceso PMTUD que ejecutan los hosts tras el cortafuegos. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. la elimina. Configuración de la pestaña Colocación de ICMP Para configurar Colocación de ICMP.024) Descarta paquetes ICMP con un tamaño mayor de 1024 bytes. Suprimir error caducado ICMP TTL Detiene el envío de mensajes caducados ICMP TTL. 222 • Guía de referencia de interfaz web. versión 7. si es así. Suprimir fragmento de ICMP necesario Detiene el envío de mensajes necesarios por la fragmentación ICMP en respuesta a paquetes que exceden la interfaz MTU y tienen el bit no fragmentar (DF) activado. especifique los siguientes ajustes: Tabla 130. Dirección compatible de IPv4 Descarta los paquetes IPv6 que se definen como una dirección IPv6 compatible con IPv4 RFC 4291. ICMP de gran tamaño (>1. Consulte RFC 5095 para la información de encabezado de enrutamiento de tipo 0.

Palo Alto Networks Guía de referencia de interfaz web. Tiempo superado de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de tiempo de ICMPv6 superado incluso con una sesión existente. que contiene opciones buscadas solo para el destino del paquete. Configuración de la pestaña Colocación de ICMPv6 Para configurar Colocación de ICMPv6. Extensión de destino Descarta los paquetes IPv6 que contienen la extensión de opciones de destino. Campo reservado diferente a cero Descarta paquetes IPv6 que tienen un encabezado con un campo reservado no definido a cero. especifique los siguientes ajustes: Tabla 131. Extensión de enrutamiento Descarta los paquetes IPv6 que contienen el encabezado de extensión de enrutamiento. que dirige los paquetes a uno o más nodos intermedios a su destino. Paquete de ICMPv6 demasiado grande: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de paquetes ICMPv6 demasiado grandes incluso con una sesión existente. Encabezado de fragmento innecesario Descarta los paquetes IPv6 con la etiqueta del último fragmento (M=0) y un desplazamiento de cero. MTU en paquete ICMP demasiado grande inferior a 1280 bytes Descarta los paquetes IPv6 que contienen un mensaje Paquete de error de ICMPv6 demasiado grande MTU inferior a 1.Definición de perfiles de protección de zonas Tabla 130.280. Configuración de la pestaña Colocación de ICMPv6 Campo Descripción Pestaña secundaria ICMPv6 Destino ICMPv6 no alcanzable: requiere regla de seguridad explícita Requiere una búsqueda de política de seguridad explícita para errores de destinos ICMPv6 no alcanzables incluso con una sesión existente. Configuración de la pestaña Colocación de IPv6 (Continuación) Campo Descripción Dirección de fuente de difusión por proximidad Descarta los paquetes IPv6 con una dirección de origen de difusión. Problema de parámetro de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de problema de parámetro de ICMPv6 incluso con una sesión existente. Opciones de IPv6 no válidas en encabezado de extensión Descarta los paquetes IPv6 que contienen opciones IPv6 no válidas en el encabezado de extensión. Extensión de salto por salto Descarta los paquetes IPv6 que contienen el encabezado de extensión de salto por salto.0 • 223 . versión 7.

que ocurrirán en el Intervalo de notificaciones global. Configuración de perfil de LLDP Campo Configurado en Descripción Nombre Perfil de LLDP Especifique un nombre para el perfil LLDP. transmisión-solo o recepción-solo. habilitar las notificaciones de syslog y SNMP y configurar el Tipo-Longitud-Valores (TLV) opcional que desea se transmitan a los peer LLDP. el cortafuegos enviará tanto un evento de syslog y trap SNMP como se configura en Dispositivo > Configuración de log > Sistema > Perfil de Trap SNMP y Perfil de Syslog. Modo Perfil de LLDP Seleccione el modo en el que funcionará LLDP: transmisión-recepción. 224 • Guía de referencia de interfaz web. Nombre del sistema Perfil de LLDP Permite que el objeto sysName del cortafuegos se envíe en el TLV Nombre de sistema. asigna el perfil a una o más interfaces. Configuración de la pestaña Colocación de ICMPv6 (Continuación) Campo Descripción Redirección de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de redireccionamiento de ICMPv6 incluso con una sesión existente.Definición de perfiles LLDP Tabla 131. Definición de perfiles LLDP ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Componentes de perfiles LLDP” ¿Busca más información? Consulte LLDP.0 Palo Alto Networks . Notificación Syslog SNMP Perfil de LLDP Permite las notificaciones de syslog y trap SNMP. versión 7. Componentes de perfiles LLDP Red > Perfiles de red > Perfil LLDP Un perfil de Protocolo de detección de nivel de enlace (LLDP) es la forma que le permite configurar el modo LLDP en el cortafuegos. Si se activa. Tabla 132. Descripción del sistema Perfil de LLDP Permite que el objeto sysDescr del cortafuegos se envíe en el TLV Descripción del sistema. Tras configurar el perfil LLDP. Descripción de puerto Perfil de LLDP Permite que el objeto ifAlias del cortafuegos se envíe en el TLV Descripción de puerto.

Si se especifica Ninguno. el cortafuegos anuncia la funcionalidad de enrutador (bit 6) u el bit Otro (bit 1). que se envían en el orden especificado. el cortafuegos anuncia la funcionalidad del Repetidor (bit 2) y el bit Otro (bit 1). Se requiere al menos una dirección de gestión si se ha activado el TLV Dirección de gestión. versión 7. Nombre Perfil de LLDP Especifique un nombre para Dirección de gestión. Perfil de LLDP Seleccione IPv4 o IPv6 y. el sistema usa la dirección MAC de la interfaz de transmisión a medida que se transmite la dirección de gestión.0 • 225 . Elección de IP Palo Alto Networks Guía de referencia de interfaz web. Puede introducir hasta cuatro direcciones de gestión. el cortafuegos anuncia la funcionalidad de puente MAC (bit 3) u el bit Otro (bit 1). • Si L2. Capacidades del sistema Perfil de LLDP • Si L3. L2 o cable virtual) de la interfaz que se enviará.Definición de perfiles LLDP Tabla 132. use los botones Mover hacia arriba o Mover hacia abajo. seleccione o introduzca que la dirección IP se transmita como la dirección de gestión. Configuración de perfil de LLDP (Continuación) Campo Configurado en Descripción Habilita el modo de implementación (L3. SNMP MIB combina las funcionalidades configuradas en las interfaces en una única entrada. Si no se configura la dirección IP de gestión. puede introducir una dirección IP en el siguiente campo a la selección de IPv4 o IPv6. Interfaz Perfil de LLDP Seleccione una interfaz cuya dirección IP será la Dirección de gestión. a través de la siguiente asignación en el TLV Capacidades del sistema. Para cambiar el orden. en el campo adyacente. • Si el cable virtual. Dirección de gestión Perfil de LLDP Permite que Dirección de gestión se envíe en el TLV Dirección de gestión.

0 Palo Alto Networks . versión 7.Definición de perfiles LLDP 226 • Guía de referencia de interfaz web.

• Políticas de traducción de dirección de red (NAT) para traducir direcciones y puertos. • Políticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el tráfico para su tratamiento. • Políticas de descifrado para especificar el descifrado del tráfico de las políticas de seguridad. consulte “Uso del explorador de etiquetas”. Palo Alto Networks Guía de referencia de interfaz web. opcionalmente. Consulte “Políticas de reenvío basado en políticas”. así como el acceso SSH (Secure Shell). Consulte “Estadísticas de QoS”. Consulte “Definición de políticas de seguridad” Para obtener información sobre cómo utilizar el explorador de etiquetas.Tipos de políticas Capítulo 5 Políticas y perfiles de seguridad Esta sección describe cómo configurar políticas y perfiles de seguridad: • • • • “Tipos de políticas” “Traslado o duplicación de una política o un objeto” “Perfiles de seguridad” “Otros objetos de las políticas” Tipos de políticas Las políticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las medidas necesarias de forma automática. Consulte “Políticas NAT” y “Definición de políticas de traducción de dirección de red”. según sea necesario. • Políticas de reenvío basado en políticas para cancelar la tabla de enrutamiento y especificar una interfaz de salida para el tráfico. las zonas y direcciones de origen y destino y. versión 7. Las zonas identifican interfaces físicas o lógicas que envían o reciben tráfico.0 • 227 . Cada una de las políticas puede especificar las categorías de las URL del tráfico que desea descifrar. Consulte “Definición de políticas de cancelación de aplicación”. Se admiten los siguientes tipos de políticas: Políticas básicas de seguridad para bloquear o permitir una sesión de red basada en la aplicación. • Políticas de cancelación para anular las definiciones de la aplicación proporcionadas por el cortafuegos. el servicio (puerto y protocolo). El descifrado SSH se utiliza para identificar y controlar los túneles SSH. Consulte “Políticas de descifrado”. cuando pasa por una interfaz con QoS activado.

versión 7.Tipos de políticas • Políticas de portal cautivo para solicitar la autenticación de los usuarios no identificados. a continuación. cumplimente los campos de la tabla siguiente y. Seleccione la posición de regla con respecto a otras reglas: Orden de regla (únicamente políticas) Error en el primer error detectado en la validación • Mover a la parte superior: La regla precederá al resto de reglas. Seleccione esta casilla de verificación (seleccionada de manera predeterminada) para que el dispositivo muestre el primer error que encuentre y deje de buscar más errores. Traslado o duplicación de una política o un objeto Al trasladar o duplicar políticas y objetos. Para duplicar políticas u objetos. seleccione la regla anterior. haga clic en Aceptar. tienen ajustes predefinidos que puede cancelar en un cortafuegos o en Panorama. selecciónelos en la pestaña Políticas u Objetos. Por ejemplo. Los ajustes que puede cancelar son un subconjunto del conjunto completo 228 • Guía de referencia de interfaz web. Si cancela la selección de la casilla de verificación. haga clic en Duplicar. seleccione Mover a otro vsys (únicamente cortafuegos) o Mover a otro grupo de dispositivos (únicamente Panorama). cumplimente los campos de la tabla siguiente y. un grupo de dispositivos o una ubicación compartida. Tabla 133 Configuración de traslado/duplicación Campo Descripción Reglas/objetos seleccionados Muestra el nombre y la ubicación actual (sistema virtual o grupo de dispositivos) de las políticas u objetos que ha seleccionado para la operación. se produce un error si el Destino no incluye un objeto al que se haga referencia en la regla de política que está moviendo. Cancelación o reversión de una regla de seguridad predeterminada Las reglas de seguridad predeterminadas. haga clic en Aceptar. a continuación. Si un cortafuegos recibe las reglas predeterminadas de un grupo de dispositivos. • Regla posterior: En la lista desplegable adyacente. haga clic en Mover.0 Palo Alto Networks . • Políticas de denegación de servicio (DoS) para proteger de ataques DoS y tomar las medidas de protección en respuesta que coincidan con las reglas. • Mover a la parte inferior: La regla seguirá al resto de reglas. el dispositivo buscará todos los errores antes de mostrarlos. predeterminada entre zonas y predeterminada intrazona. puede asignar un Destino (un sistema virtual en un cortafuegos o un grupo de dispositivos en Panorama) para el que tenga permisos de acceso. selecciónelos en la pestaña Políticas u Objetos. Destino Seleccione la nueva ubicación de la política u objeto: un sistema virtual. Para trasladar políticas u objetos. también puede cancelar los ajustes del grupo de dispositivos. Consulte “Definición de políticas DoS”. incluida la ubicación compartida. estas políticas compartidas no se pueden editar en el cortafuegos. El valor predeterminado es el Sistema virtual o Grupo de dispositivos que seleccionó en la pestaña Políticas u Objetos. El dispositivo o sistema virtual donde realice la cancelación almacena una versión local de la regla en su configuración. • Regla anterior: En la lista desplegable adyacente. Consulte “Definición de políticas de portal cautivo”. seleccione la regla posterior. Las políticas compartidas introducidas en Panorama se muestran de color verde en la interfaz web del cortafuegos.

Tipos de políticas (la tabla siguiente indica el subconjunto de reglas de seguridad). consulte “Definición de políticas de seguridad”. Seleccione la regla. haga clic en Cancelar y edite los ajustes en la tabla siguiente. Para cancelar una regla. Pestaña Acciones Configuración de acción Acción: Seleccione una de las siguientes acciones para el tráfico que coincida con la regla. • Restablecer servidor: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del servidor. La columna Nombre muestra el icono de cancelación para las reglas que tienen valores cancelados. Seleccione la regla. Etiqueta Seleccione una etiqueta en la lista desplegable. Para ver la acción de denegación definida de manera predeterminada para una aplicación. haga clic en Revertir y haga clic en Sí para confirmar la operación.0 • 229 . versión 7. Descripción La Descripción es de solo lectura. • Permitir: (Predeterminado) Permite el tráfico. Para revertir una regla cancelada a sus ajustes predefinidos o a los ajustes introducidos desde un grupo de dispositivos de Panorama. consulte la información detallada de la aplicación en Objetos > Aplicaciones. Palo Alto Networks Guía de referencia de interfaz web. • Restablecer cliente: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del cliente. Tabla 134 Cancelación de una regla de seguridad predeterminada Campo Descripción Pestaña General Nombre El Nombre que identifica la regla es de solo lectura. no puede cancelarlo. políticas de descifrado específicas de etiqueta con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. no puede cancelarlo. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. El cortafuegos no envía un mensaje de restablecimiento de TCP al host o la aplicación. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. La columna Nombre muestra el icono de herencia para las reglas que puede cancelar. Tipo de regla El Tipo de regla es de solo lectura. • Restablecer ambos: Envía un mensaje de restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. • Descartar: Descarta la aplicación silenciosamente. Para obtener información acerca de las reglas de seguridad predeterminadas. no puede cancelarla. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. • Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar que se define para la aplicación que el cortafuegos está denegando. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Por ejemplo.

primarios principales y primarios principales superiores en niveles sucesivamente mayores (lo que en conjunto se denomina antecesores). seleccione las siguientes opciones: – Log al iniciar sesión: Genera una entrada en el log Tráfico al inicio de una sesión (seleccionado de manera predeterminada). versión 7. • Para asignar un grupo de perfiles. • Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. haga clic en Nuevo en la lista desplegable del perfil o grupo correspondiente. – Log al finalizar sesión: Genera una entrada en el log Tráfico al final de una sesión (sin seleccionar de manera predeterminada). A continuación. Para revertir un objeto cancelado a sus valores heredados. seleccione la pestaña Objetos. seleccione el Grupo de dispositivos que tiene la versión cancelada. Sin embargo. 230 • Guía de referencia de interfaz web. de los cuales hereda políticas y objetos. seleccione la pestaña Objetos. Para cancelar un objeto. En el nivel superior. Cancelación o reversión de un objeto En Panorama. puede anidar grupos de dispositivos en una jerarquía de árbol de hasta cuatro niveles. seleccione la casilla de verificación Deshabilitar anulación y haga clic en Aceptar. seleccione el Grupo de dispositivos descendiente que tendrá la versión cancelada. Protección de vulnerabilidades. seleccione un Perfil de grupo en la lista desplegable. Puede cancelar un objeto en un descendiente de modo que sus valores difieran de los de un antecesor. No puede cancelar los ajustes Nombre o Compartido del objeto. en lugar de perfiles individuales.0 Palo Alto Networks . también incluirá entradas de colocación y denegación. a continuación. Ajuste de log Especifique cualquier combinación de las siguientes opciones: • Reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. La interfaz web muestra el icono para indicar que un objeto tiene valores heredados y muestra el icono para indicar que un objeto heredado tiene valores cancelados. no puede cancelar objetos compartidos o predeterminados (preconfigurados). Nota: Si configura el cortafuegos para incluir entradas al inicio o al final de una sesión en el log Tráfico. haga clic en el nombre del objeto para editarlo. las cancelaciones de ese objeto se deshabilitarán en todos los descendientes del Grupo de dispositivos seleccionado. haga clic en Revertir y haga clic en Sí para confirmar la operación. secundarios de segundo nivel y secundarios de tercer nivel (lo que en conjunto se denomina descendientes). Antispyware. seleccione el Grupo de dispositivos donde reside el objeto. Filtrado de URL. un grupo de dispositivos puede tener grupos de dispositivos primarios. Para definir un nuevo perfil de Reenvío de logs. seleccione el objeto. • Para definir nuevos perfiles (consulte “Perfiles de seguridad”) o grupos de perfiles (consulte “Grupos de perfiles de seguridad”). seleccione Grupo y. haga clic en Cancelar y edite los ajustes. En el nivel inferior. Esta capacidad de cancelación está habilitada de manera predeterminada. seleccione el objeto. seleccione un perfil de reenvío de logs de la lista desplegable. seleccione la pestaña Objetos. seleccione los perfiles individuales de Antivirus. un grupo de dispositivos puede tener grupos de dispositivos secundarios. Los perfiles de seguridad determinan la generación de entradas en el log Amenaza.Tipos de políticas Tabla 134 Cancelación de una regla de seguridad predeterminada (Continuación) Campo Descripción Ajuste de perfil Tipo de perfil: Asigne perfiles o grupos de perfiles a la regla de seguridad: • Para especificar la comprobación que realizan los perfiles de seguridad predeterminados. seleccione Perfil en la lista desplegable (consulte “Reenvío de logs”). Filtrado de datos y/o Análisis de WildFire. Bloqueo de archivo. seleccione Perfiles y. a continuación. como servidores de Panorama y Syslog. Para deshabilitar las cancelaciones de un objeto.

la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Palo Alto Networks Guía de referencia de interfaz web. 4. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Por ejemplo. algunos grupos o añadir usuarios manualmente. las direcciones IP que no estén asignadas a un usuario. Haga clic en el menú desplegable situado encima de la tabla Usuario de origen para seleccionar el tipo de usuario: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. realice los siguientes pasos: 1. Especificación de usuarios y aplicaciones para las políticas Políticas > Seguridad Políticas > Descifrado Puede restringir las políticas de seguridad que se deben aplicar a aplicaciones o usuarios seleccionados haciendo clic en el enlace del usuario o aplicación en la página de reglas del dispositivo Seguridad o Descifrado. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. puede que quiera añadir a un usuario. A continuación debe compilar en Panorama y en los grupos de dispositivos que contengan cancelaciones para introducir los valores heredados. Para añadir usuarios individuales. Por ejemplo. seleccione Panorama > Configuración > Gestión. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. seleccione la casilla de verificación Grupos de usuarios disponibles y haga clic en Añadir grupo de usuarios. También puede introducir los nombres de usuarios individuales en el área Más usuarios. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. introduzca una cadena de búsqueda en el campo Usuario y haga clic en Buscar. 5. – Desconocido: Incluye a todos los usuarios desconocidos. es decir. versión 7.Tipos de políticas Para sustituir todas las cancelaciones de objetos en Panorama con los valores heredados de la ubicación compartida o los grupos de dispositivos antecesores. una lista de individuos. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. haga clic en la pestaña Usuario para abrir la ventana de selección. También puede escribir el texto de uno o más grupos y hacer clic en Añadir grupo de usuarios. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. – Usuario conocido: Incluye a todos los usuarios autenticados. edite los ajustes de Panorama. 2. seleccione la casilla de verificación Los objetos antecesores tienen prioridad y haga clic en Aceptar. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de descripción. cualquier IP con datos de usuario asignados. Para restringir una política a los usuarios/grupos seleccionados. Puede seleccionar los usuarios y hacer clic en Añadir usuario.0 • 231 . En la página de reglas del dispositivo Seguridad o Descifrado. Para obtener más información sobre cómo restringir las reglas según la aplicación. aunque el usuario no haya iniciado sesión directamente. 3. consulte “Definición de aplicaciones”. Para añadir grupos de usuarios. Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). es decir.

Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. • “Definición de políticas de seguridad” • “Definición de políticas de traducción de dirección de red” • “Estadísticas de QoS” • “Políticas de reenvío basado en políticas” • “Políticas de descifrado” • “Definición de políticas de cancelación de aplicación” • “Definición de políticas de portal cautivo” • “Definición de políticas DoS” 232 • Guía de referencia de interfaz web. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. versión 7. a continuación. En cada base de reglas. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. opcionalmente. Estas reglas son parte de la configuración predefinida de Panorama. Debido a que las reglas previas y posteriores se definen en Panorama y. Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. como específicas para un determinado grupo de dispositivos. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. se envían de Panorama a los dispositivos gestionados. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). por ejemplo. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. la práctica recomendada es supervisar esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y. elimine o deshabilite las reglas. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o. en un grupo de dispositivos. regla posterior o regla local de un dispositivo. Debe cancelarlas para permitir la edición de determinados ajustes en ellas: consulte “Cancelación o reversión de una regla de seguridad predeterminada”. Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. obtiene y agrega la lista de reglas sin coincidencia. ID de usuario o servicio. Para crear políticas. Panorama supervisa cada dispositivo. pero solo podrá editarlas en Panorama.Tipos de políticas Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). podrá ver las reglas en los cortafuegos gestionados. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. lo que permite revisarlas entre un gran número de reglas.0 Palo Alto Networks . consulte la sección relevante de cada base de reglas.

Descripción general de políticas de seguridad Políticas > Seguridad Las políticas de seguridad le permiten aplicar reglas y realizar acciones. La interfaz incluye las siguientes pestañas para definir la política de seguridad: • General: Utilice la pestaña General para configurar un nombre y una descripción para la política de seguridad. Por ejemplo.Tipos de políticas Definición de políticas de seguridad Políticas > Seguridad Las políticas de seguridad hacen referencia a zonas de seguridad y gracias a ellas puede permitir. Por ejemplo. acción (permitir o denegar) configuración de log y perfiles de seguridad. Aunque estas reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada. el usuario o grupo de usuarios y el servicio (puerto y protocolo). restringir y realizar un seguimiento del tráfico de su red basándose en la aplicación. versión 7. consulte “Definición de políticas en Panorama” ¿Qué campos están disponibles para crear una política de seguridad? “Bloques de creación de una política de seguridad” ¿Cómo puedo utilizar la interfaz web para gestionar políticas de seguridad? “Creación y gestión de políticas” ¿Desea obtener más información? ¿No encuentra lo busca? Consulte Security Policy (en inglés). ¿Qué desea saber? Consulte ¿Qué es una política de seguridad? “Descripción general de políticas de seguridad” En el caso de Panorama. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir todo el tráfico de intrazona (en la zona) y denegar todo el tráfico interzona (entre zonas). el nivel de acceso del usuario puede estar determinado por un HIP que informe al cortafuegos acerca de la Palo Alto Networks Guía de referencia de interfaz web. Para el tráfico que no coincide con ninguna regla definida por el usuario. una regla de una aplicación simple debe anteceder a una regla para todas las aplicaciones si el resto de configuraciones de tráfico son las mismas. Las reglas de política se comparan con el tráfico entrante en secuencia y al aplicar la primera regla que coincida con el tráfico. De manera predeterminada. incluidas las etiquetas.0 • 233 . las reglas más específicas deben anteceder a las reglas más generales. se aplican las reglas predeterminadas. el cortafuegos incluye una regla de seguridad denominada regla1 que permite todo el tráfico desde la zona fiable a la zona no fiable. puede cancelarlas y cambiar un número limitado de ajustes. también puede basar la política en información recopilada por GlobalProtect. • Usuario: Utilice la pestaña Usuario para aplicar una política para usuarios individuales o un grupo de usuarios. Si está utilizando GlobalProtect con Perfil de información del host (HIP) habilitado. y pueden ser todo lo general o específicas como sea necesario. • Origen: Utilice la pestaña Origen para definir la zona o dirección de origen donde se origina el tráfico.

Consulte: “Bloques de creación de una política de seguridad” “Creación y gestión de políticas” 234 • Guía de referencia de interfaz web. La información HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en ejecución en el host. Un administrador también puede usar una firma de identificación de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad reservada o para detectar atributos específicos de una aplicación existente. • Destino: Utilice la pestaña Destino para definir la zona o dirección de destino para el tráfico. • Acciones: Utilice la pestaña Acciones para determinar la acción que se realizará basándose en el tráfico que coincida con los atributos de la política definida.0 Palo Alto Networks . • Categoría de URL/servicio: Utilice la pestaña Categoría de URL/servicio para especificar un número de puerto TCP y/o UDP específico o una categoría de URL como criterios de coincidencia en la política.Tipos de políticas configuración local del usuario. • Aplicación: Utilice la pestaña Aplicación para que la acción de la política se produzca basándose en una aplicación o un grupo de aplicaciones. los valores de registro y muchas más comprobaciones si el host tiene instalado software antivirus. Las aplicaciones personalizadas se definen en Objetos > Aplicaciones. versión 7.

tal vez quiera etiquetar determinadas reglas con palabras específicas como descifrado y sin descifrado. guiones y guiones bajos.0 • 235 . Cuando visualice la regla de seguridad predeterminada o cree una nueva regla. Por ejemplo. la numeración de reglas incorpora jerarquía en las reglas previas. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. podrá configurar las opciones descritas aquí. que pueden ser letras. Número de regla Nombre N/D General En Panorama. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Palo Alto Networks Guía de referencia de interfaz web. o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Cada regla se numera automáticamente y el orden cambia a medida que se mueven las reglas. versión 7. Al filtrar reglas para que coincidan con filtros específicos. cada regla se enumera con su número en el contexto del conjunto de reglas completo de la base de reglas y su puesto en el orden de evaluación.Tipos de políticas Bloques de creación de una política de seguridad La sección siguiente describe cada bloque de creación o componente de una regla de política de seguridad. Haga clic en Añadir para especificar la etiqueta para la política. en Panorama. las reglas previas y las posteriores se enumeran de forma independiente. También puede añadir etiquetas a las reglas predeterminadas. Cuando las reglas se envían desde Panorama a un cortafuegos gestionado. El nombre debe ser exclusivo en un cortafuegos y. reglas del dispositivo y reglas posteriores dentro de una base de reglas y refleja la secuencia de reglas y su orden de evaluación. Etiqueta General Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. espacios. números. Tabla 135. Introduzca un nombre para identificar la regla.

la regla se aplicará al tráfico que va de la zona a A a la B. 236 • Guía de referencia de interfaz web. pero no al tráfico entre las zonas A y B. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). si tiene tres zonas internas diferentes (Marketing. pero no al tráfico dentro de las zonas A. B. puede crear una regla que cubra todas las clases. Haga clic en Añadir para añadir las direcciones. Para definir nuevas zonas. • intrazona: aplica la regla a todo el tráfico coincidente dentro de las zonas de origen especificadas (no puede especificar una zona de destino para las reglas de intrazona). si establece la zona de origen en A. Por ejemplo. esta se aplicará a todo el tráfico dentro de la zona A. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. de la zona C a la A y de la zona C a la B. Por ejemplo. Por ejemplo. Grupo de direcciones o Regiones en la parte inferior de la lista desplegable y especifique la configuración. si crea una regla universal con las zonas de origen A y B y las zonas de destino A y B. Tipo Zona de origen Dirección de origen General Origen Origen • universal (predeterminado): aplica la regla a todo el tráfico coincidente de interzona e intrazona en las zonas de origen y destino especificadas. Virtual Wire). B o C. Por ejemplo. Realice su selección en la lista desplegable o haga clic en Dirección.0 Palo Alto Networks . Haga clic en Añadir para seleccionar las zonas de origen (el valor predeterminado es Cualquiera). de la zona B a la A. capa 3 o de cable virtual. consulte “Definición de zonas de seguridad”. versión 7. y C y la zona de destino en A y B.Tipos de políticas Tabla 135. a todo el tráfico de la zona B. Las zonas deben ser del mismo tipo (capa 2. Puede utilizar múltiples zonas para simplificar la gestión. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Especifica si la regla se aplica al tráfico en una zona. la regla se aplicará a todo el tráfico dentro de la zona A y a todo el tráfico dentro de la zona B. entre zonas o ambas. si establece la zona de origen en A y B. • interzona: aplica la regla a todo el tráfico coincidente entre la zona de origen especificada y las zonas de destino. a todo el tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la A.

cualquier IP con datos de usuario asignados. • Desconocido: Incluye a todos los usuarios desconocidos. algunos grupos o añadir usuarios manualmente. es decir. como por ejemplo si tienen instalados los parches de seguridad y las definiciones de antivirus más recientes. una lista de individuos. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios. puede que quiera añadir a un usuario. Guía de referencia de interfaz web. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect.0 • 237 . las direcciones IP que no estén asignadas a un usuario. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. Esta opción es equivalente al grupo de usuarios del dominio en un dominio. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. Por ejemplo. Haga clic en Añadir para seleccionar los perfiles de información de host (HIP) que identificarán a los usuarios. • Seleccionar: Incluye los usuarios seleccionados en esta ventana.Tipos de políticas Tabla 135. Un HIP le permite recopilar información sobre el estado de seguridad de sus hosts de extremo. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. aunque el usuario no haya iniciado sesión directamente. es decir. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Por ejemplo. • Usuario conocido: Incluye a todos los usuarios autenticados. Los siguientes tipos de usuarios de origen son compatibles: Usuario de origen Perfil HIP de origen Palo Alto Networks Usuario Usuario • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. versión 7. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente.

0 Palo Alto Networks . se incluirán todas las funciones y la definición de la aplicación se actualizará automáticamente a medida que se añadan futuras funciones. Virtual Wire). Si una aplicación tiene múltiples funciones. en el enlace en la parte inferior de la lista desplegable y especifique la configuración de la dirección. haciendo clic en la flecha hacia abajo y seleccionando Valor. Nota: En las reglas de intrazona. direcciones de grupos o regiones de destino (el valor predeterminado es Cualquiera). Para definir nuevas zonas. Si selecciona la aplicación general. filtros o contenedores en la regla de seguridad. Las zonas deben ser del mismo tipo (capa 2. Para especificar las zonas que coincidan con una regla de intrazona.Tipos de políticas Tabla 135. Seleccione si desea especificar aplicaciones a la regla de seguridad. Zona de destino Destino Puede utilizar múltiples zonas para simplificar la gestión. 238 • Guía de referencia de interfaz web. Realice su selección en la lista desplegable o haga clic en Dirección. versión 7. Dirección de destino Destino Haga clic en Añadir para añadir las direcciones. puede crear una regla que cubra todas las clases. Por ejemplo. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. capa 3 o de cable virtual. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). podrá ver la información detallada de estos objetos pasando el ratón por encima del objeto en la columna Aplicación. consulte “Definición de zonas de seguridad”. sin tener que desplazarse a las pestañas Objeto. puede seleccionar una aplicación general o aplicaciones individuales. si tiene tres zonas internas diferentes (Marketing. solo necesita establecer la zona de origen. Aplicación Aplicación Si utiliza grupos de aplicaciones. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. no puede definir una zona de destino porque estos tipos de reglas solo pueden hacer coincidir tráfico con un origen y un destino dentro de la misma zona.

Tenga en cuenta que cuando utiliza esta opción. el dispositivo sigue comprobando todas las aplicaciones en todos los puertos. haga clic en Añadir y seleccione una categoría específica (incluyendo una categoría personalizada) de la lista desplegable. Guía de referencia de interfaz web. pero con esta configuración. Seleccione las categorías URL de la regla de seguridad. con independencia de la categoría URL. Esta opción se recomienda para políticas de permiso porque impide que las aplicaciones se ejecuten en puertos y protocolos no habituales. • Selección: Haga clic en Añadir. Puede añadir varias categorías. puede ser una señal de comportamiento y uso de aplicaciones no deseados. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos predeterminados por Palo Alto Networks. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. versión 7. que si no es a propósito.0 • 239 . • Para especificar una categoría. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Categoría de URL Palo Alto Networks Categoría de URL/ servicio • Seleccione Cualquiera para permitir o denegar todas las sesiones. Consulte “Servicios” y “Grupos de servicios”.Tipos de políticas Tabla 135. Seleccione una de las siguientes opciones de la lista desplegable: Servicio Categoría de URL/ servicio • Cualquiera: Las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. las aplicaciones solamente tienen permiso en sus puertos y protocolos predeterminados.

el cortafuegos podría bloquear la sesión y enviar un restablecimiento para una aplicación. Habilitar este ajuste permite que el origen cierre o borre la sesión correctamente y evita que las aplicaciones fallen. En dichos casos. consulte la sección Configuración de sesión en Dispositivo > Configuración > Sesión. el tráfico no alcanza el host de destino. • Enviar ICMP inalcanzable: Solamente está disponible para interfaces de capa 3.Tipos de políticas Tabla 135. para todo el tráfico de UDP y para el tráfico de TCP descartado. versión 7. Para cancelar la acción predeterminada definida en las reglas de interzona e intrazona predefinidas. mientras que podría descartar la sesión silenciosamente para otra aplicación. consulte la información detallada de la aplicación en Objetos > Aplicaciones. puede habilitar el cortafuegos para enviar una respuesta inalcanzable de ICMP a la dirección IP de origen donde se originó el tráfico. Dado que la acción de denegación predeterminada varía según la aplicación. Cuando configura una política de seguridad para descartar tráfico o restablecer la conexión. seleccione una de las acciones siguientes: – Permitir: (Predeterminado) Permite el tráfico. – Restablecer ambos: Envía un restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. – Descartar: Descarta la aplicación silenciosamente.0 Palo Alto Networks . consulte “Cancelación o reversión de una regla de seguridad predeterminada” 240 • Guía de referencia de interfaz web. a menos que seleccione Enviar ICMP inalcanzable. – Restablecer cliente: Envía un restablecimiento de TCP al dispositivo de la parte del cliente. No se envía un restablecimiento de TCP al host o la aplicación. – Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar definida para la aplicación que se está denegando. Para ver la tasa de paquetes inalcanzable de ICMP configurada en el cortafuegos. Acción Acciones – Restablecer servidor: Envía un restablecimiento de TCP al dispositivo de la parte del servidor. Para ver la acción de denegación definida de manera predeterminada para una aplicación. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la acción para el tráfico que coincida con los atributos definidos en una regla.

a continuación. versión 7. Bloqueo de archivo y/o Filtrado de datos. Para definir nuevos perfiles o grupos de perfiles. seleccione Grupo en Tipo de perfil y. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la comprobación realizada por los perfiles de seguridad predeterminados. Filtrado de URL. Ajuste de perfil Acciones Para especificar un grupo de perfiles en lugar de perfiles individuales.0 • 241 . Antispyware. Palo Alto Networks Guía de referencia de interfaz web. seleccione los perfiles individuales de Antivirus.Tipos de políticas Tabla 135. Protección de vulnerabilidades. También puede adjuntar perfiles de seguridad (o grupos de perfiles) a las reglas predeterminadas. haga clic en Nuevo junto al perfil o grupo adecuado (consulte “Grupos de perfiles de seguridad”). seleccione un grupo de perfiles en la lista desplegable Perfil de grupo.

Tipos de políticas Tabla 135. 242 • Guía de referencia de interfaz web. seleccione una programación de la lista desplegable. • Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente. También puede cambiar la configuración del log en las reglas predeterminadas. Bloques de creación de una regla de seguridad Campo Configurado en Descripción La pestaña Opciones incluye los ajustes de logs y una combinación de otras opciones indicadas a continuación: Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. seleccione IP DSCP o Precedencia de IP e introduzca el valor de QoS en formato binario o seleccione un valor predeterminado de la lista desplegable. Para definir nuevos perfiles de log. Para obtener más información sobre QoS. Tenga en cuenta que la generación de entradas del log de amenazas está determinada por los perfiles de seguridad. • Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en paquetes que coincidan con la regla.0 Palo Alto Networks . Especifique cualquier combinación de las siguientes opciones: • Programación: Para limitar los días y horas en los que la regla está en vigor. Descripción General Introduzca una descripción de la política (hasta 255 caracteres). como servidores de Panorama y Syslog. Genera una entrada de log de tráfico al final de la sesión (habilitada de forma predeterminada). Para definir nuevas programaciones. consulte “Configuración de la calidad de servicio”. seleccione esta casilla de verificación. versión 7. haga clic en Nueva (consulte “Ajustes de descifrado SSL en un perfil de descifrado”). Nota: Si las entradas de inicio o fin de la sesión se registran. seleccione las siguientes opciones: Opciones Acciones • Log al iniciar sesión. también lo harán las entradas de colocación y denegación. seleccione un perfil de logs de la lista desplegable Perfil de reenvío de logs. haga clic en Nuevo (consulte “Reenvío de logs”). Esta opción puede ser de utilidad en condiciones con gran carga del servidor. Genera una entrada de log de tráfico al inicio de la sesión (deshabilitada de forma predeterminada). • Log al finalizar sesión. • Perfil de reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos.

• Seleccione una regla en la que basar la nueva regla y haga clic en Duplicar regla. Eliminar Seleccione una regla y haga clic en Eliminar para eliminar la regla existente. Palo Alto Networks Guía de referencia de interfaz web. Como son parte de la configuración predefinida. Para cambiar el orden en el que las reglas se evalúan con respecto al tráfico de red. seleccione la regla y haga clic en Deshabilitar. debe cancelarlas con el fin de editar la configuración de políticas seleccionada. la regla será de solo lectura en el cortafuegos y no podrá editarse localmente. o bien seleccione una regla haciendo clic en el espacio en blanco de la regla y seleccione Duplicar regla en la parte inferior de la página (una regla seleccionada en la interfaz web se muestra con un fondo de color amarillo). seleccione una regla y haga clic en Mover hacia arriba.Tipos de políticas Creación y gestión de políticas Utilice la página Políticas > Seguridad para añadir. Modificar Para modificar una regla. Si usa Panorama. consulte “Cancelación o reversión de una regla de seguridad predeterminada”. Mover Las reglas se evalúan de arriba a abajo y del modo enumerado en la página Políticas. selecciónela y haga clic en Habilitar. También puede revertir las reglas predeterminadas. Si desea información detallada sobre la duplicación. a continuación. haga clic en ella. consulte “Traslado o duplicación de una política o un objeto”. Mover a la parte superior o Mover a la parte inferior. Para obtener más información. realice una de las siguientes acciones: • Haga clic en Añadir en la parte inferior de la página. Si la regla se ha introducido desde Panorama. donde n es el siguiente número entero disponible que hace que el nombre de la regla sea único. Para obtener más información. Estas reglas predefinidas (permitir todo el tráfico de intrazona y denegar todo el tráfico de interzona) indican al cortafuegos cómo debe gestionar el tráfico que no coincida con ninguna otra regla de la base de reglas. Habilitar/ deshabilitar Para deshabilitar una regla. consulte “Traslado o duplicación de una política o un objeto”. “regla n” se inserta debajo de la regla seleccionada. Para habilitar una regla que esté deshabilitada. La regla copiada. Las acciones Cancelar y Revertir únicamente pertenecen a las reglas predeterminadas que se muestran en la parte inferior de la base de reglas de seguridad. enviarlas a los cortafuegos de un grupo de dispositivos o contexto compartido. Mover hacia abajo.0 • 243 . versión 7. modificar y gestionar políticas de seguridad: Tarea Añadir Descripción Para añadir una nueva regla de política. también puede cancelar las reglas predeterminadas y. lo que restaura la configuración predefinida o la configuración enviada a Panorama.

Nota: Las reglas predeterminadas no son parte del filtro de la base de reglas y siempre aparecen en la lista de reglas filtradas. selecciónelo de la lista desplegable Reglas de filtro. 244 • Guía de referencia de interfaz web. Práctica recomendada: Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. Para añadir un valor que defina un filtro. Seleccione o cancele la selección de la casilla de verificación junto al nombre de columna para alternar la visualización de cada columna. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar.Tipos de políticas Tarea Descripción Visualizar reglas no utilizadas Para buscar reglas no utilizadas actualmente. Aplicar filtros Para aplicar un filtro a la lista. En Panorama.0 Palo Alto Networks . Regla en uso Regla no utilizada (fondo de puntos amarillos) Mostrar/ ocultar columnas Para cambiar (mostrar u ocultar) las columnas que aparecen en cualquiera de las páginas de Políticas. haga clic en la lista desplegable del nombre de regla y seleccione Visor de log. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. haga clic en la lista desplegable del elemento y seleccione Filtro. Panorama obtiene y agrega la lista de reglas sin coincidencia. desde cada dispositivo gestionado. versión 7. podrá decidir si desea deshabilitar la regla o eliminarla. A continuación. supervise esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. seleccione la casilla de verificación Resaltar reglas no utilizadas. Para ver las sesiones de red registradas como coincidencias con respecto a la política.

utilice el filtro. Esa política utiliza un objeto de grupo de direcciones denominado aaagroup. que contiene la dirección IP. Por ejemplo. versión 7. Barra de filtros Resultados de filtros Reglas de vista previa (únicamente Panorama) Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. para ver las direcciones incluidas en un grupo de direcciones. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). la dirección IP 10. También puede editar. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. filtrar o eliminar algunos elementos directamente desde el menú de la columna. haga clic en la lista desplegable y seleccione Valor. En la siguiente captura de pantalla. En cada base de reglas. pase el ratón por encima del objeto en la columna Dirección. La búsqueda rastreará los objetos incrustados para encontrar una dirección en un objeto de dirección o en un grupo de direcciones. Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). Palo Alto Networks Guía de referencia de interfaz web.Definición de políticas en Panorama Tarea Descripción Puede mostrar el valor actual haciendo clic en la lista desplegable de la entrada y seleccionando Valor.8. lo que permite revisarlas entre un gran número de reglas.0 • 245 .10. Para buscar objetos que se utilicen dentro de una política basándose en el nombre del objeto o la dirección IP. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. Esto le permitirá ver rápidamente los miembros y las direcciones IP correspondientes del grupo de direcciones sin tener que navegar a las pestañas Objeto.177 se ha introducido en la barra de filtros y se muestra la política aaa.

Por ejemplo. ID de usuario o servicio. como específicas para un determinado grupo de dispositivos. es importante tener en cuenta que también se debe configurar una política de seguridad para permitir el tráfico NAT. Debido a que las reglas previas y posteriores se definen en Panorama y. El cortafuegos admite los siguientes tipos de traducción de dirección: • IP dinámica/Puerto: Para el tráfico saliente. Si ejecuta NAT en interfaces de cable virtual. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. Estas reglas son parte de la configuración predefinida de Panorama. cuatro veces en los cortafuegos PA-4020 y PA-5020 y ocho veces en los cortafuegos de las series PA-4050. Las reglas de IP dinámica/NAT de puerto permiten traducir una dirección IP única. Puede cancelar las reglas predeterminadas para permitir la edición de ajustes seleccionados en estas reglas e introducirlas en los dispositivos gestionados de un grupo de dispositivos o contexto compartido. Si una interfaz de salida tiene una dirección IP asignada dinámicamente. NAT también es compatible en interfaces de cable virtual. 246 • Guía de referencia de interfaz web. PA-500. a continuación. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. PA-2000 y PA-3000. PA-5060 y PA-7000 cuando las direcciones IP de destino sean exclusivas. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. por lo que los dispositivos vecinos solamente podrán resolver solicitudes ARP para direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual.0 Palo Alto Networks . Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. Para definir políticas. El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. versión 7. La política de seguridad se basará en la dirección de la zona posterior y anterior a NAT. un intervalo de direcciones IP. Si configura NAT en el cortafuegos. consulte “Bloques de creación de una política de seguridad” o “Creación y gestión de políticas”. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de puertos y direcciones IP disponibles. se envían de Panorama a los dispositivos gestionados. regla posterior o regla local de un dispositivo. pero solo podrá editarlas en Panorama. una subred o una combinación de todas ellas. Proxy ARP no es compatible con cables virtuales. en un grupo de dispositivos. PA-5050. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. puede ser de utilidad especificar la interfaz como la dirección traducida. Si especifica la interfaz en la regla de IP dinámica/ puerto. Políticas NAT Si define interfaces de capa 3 en el cortafuegos. la política NAT se actualizará automáticamente para utilizar cualquier dirección adquirida por la interfaz para subsiguientes traducciones. es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se comunican los dispositivos vecinos. Múltiples clientes pueden utilizar las mismas direcciones IP públicas con diferentes números de puerto de origen. podrá ver las reglas en los cortafuegos gestionados. PA-4060. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. puede utilizar políticas de traducción de dirección de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirán entre públicos y privados.Definición de políticas en Panorama Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o. las direcciones de origen privadas se pueden traducir a direcciones públicas en el tráfico enviado desde una zona interna (fiable) a una zona pública (no fiable). por ejemplo.

Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). debe definir un nuevo servicio. Si especifica puertos de servicio (TCP o UDP) para NAT. Puede utilizar la IP estática de origen o destino. mientras que permanecen inalterables con NAT de IP dinámica. no se necesitará una ruta estática para esa dirección en el enrutador.000 direcciones consecutivas Sí No 1a1 Ilimitado Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No IP dinámica IP estática MaN MIP Opcional Palo Alto Networks 1 a muchas PAT VIP Guía de referencia de interfaz web. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. N también puede ser 1. mientras que puede dejar el puerto de origen o destino sin modificar. La siguiente tabla resume los tipos de NAT. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. como TCP 80. También existen límites diferentes del tamaño del grupo de IP traducido. existe una asignación de uno a uno entre cada dirección original y su dirección traducida. Tipos de NAT Tipo de asignación Tamaño del grupo de direcciones traducidas No Muchas a 1MaN Hasta 254 direcciones consecutivas Sí No MaN Hasta 32. Tabla 136.Definición de políticas en Panorama • IP dinámica: Para el tráfico saliente. Para especificar un único puerto. Para evitar este problema. Las políticas de NAT de IP dinámica permiten especificar una dirección IP única. Con NAT de IP estática. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. donde M y N son números diferentes. Si el grupo de direcciones de origen es mayor que el grupo de direcciones traducidas. • IP dinámica: Para el tráfico entrante o saliente. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. versión 7. múltiples intervalos IP o múltiples subredes como el grupo de direcciones traducidas. las nuevas direcciones IP que buscan traducción se verán bloqueadas. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Las direcciones de origen privadas se traducen a la siguiente dirección disponible en el intervalo de direcciones especificado. múltiples IP. tal y como se indica a continuación. mientras que el grupo de direcciones traducidas se utiliza en su totalidad. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados.0 • 247 . puede especificar un grupo de reserva que se utilizará si el grupo primario agota sus direcciones IP.

Reglas NAT bidireccionales El ajuste bidireccional en reglas NAT de origen estáticas crea una regla NAT de destino para el tráfico en los mismo recursos en la dirección opuesta. si traduce el tráfico entrante a un servidor interno (al que se accede mediante una IP pública de servidores de Internet).1.1 a la IP privada 10. Opciones de regla NAT El cortafuegos admite reglas no NAT y reglas NAT bidireccionales. las zonas de origen y destino serían las mismas. La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya modificado el paquete. En este ejemplo. versión 7. En este caso. Si crea políticas de seguridad con direcciones IP específicas.1. La política de seguridad es diferente de la política NAT en que las zonas posteriores a NAT se deben utilizar para controlar el tráfico. si el tráfico atraviesa múltiples zonas. Reglas no NAT Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo de las reglas NAT definidas posteriormente en la política NAT.3.3. y una traducción de destino para el tráfico destinado de la IP pública 3. NAT puede afectar a las direcciones IP de origen o destino y pueden llegar a modificar la interfaz saliente y la zona. especifique todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen. La política de seguridad debe permitir de forma explícita el tráfico sujeto a NAT. Como ejemplo adicional.0. Para definir una política no NAT.1. es importante tener en cuenta que las direcciones IP anteriores a NAT se utilizarán en la correspondencia de políticas. es necesario configurar la política NAT mediante la zona en la que reside la dirección IP pública. Este par de reglas se pueden simplificar configurando únicamente la tercera regla NAT.10.10 a la IP pública 3.0.0 Palo Alto Networks .3. Por ejemplo.3. 248 • Guía de referencia de interfaz web. es necesario configurar la política NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts. utilizando la función bidireccional. si traduce el tráfico de host saliente a una dirección IP pública.Definición de políticas en Panorama Determinación de configuración de zona en NAT y política de seguridad Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP anteriores a NAT configuradas en la política. se utilizan dos reglas NAT para crear una traducción de origen del tráfico saliente desde la IP 10.

la segunda regla traduce la dirección de destino de la dirección pública del servidor a su dirección privada. Si la dirección pública no está en una dirección de interfaz de cortafuegos (o en la misma subred). Cree una política de seguridad con zonas y direcciones de origen/destino que coincidan con la regla NAT.Definición de políticas en Panorama Ilustración 2. La regla solo se aplica al tráfico recibido en una interfaz Capa 3 en la zona “L3Trust” que se destina a una interfaz en la zona “L3Untrust”. se encuentra en la zona “L3Untrust”. Ilustración 4. por lo tanto.0. la primera regla NAT traduce la dirección privada de un servidor de correo interno en una dirección IP pública estática. Reglas NAT bidireccionales Ejemplos de política NAT La siguiente regla de políticas NAT traduce un intervalo de direcciones de origen privadas (10. La regla 2 utiliza “L3Untrust” para las zonas de origen y destino porque la política NAT se basa en la zona de direcciones anterior a NAT. Palo Alto Networks Guía de referencia de interfaz web. si la dirección pública no está en la dirección de la interfaz del cortafuegos (o en la misma subred). debe añadir una ruta estática al enrutador local para enrutar el tráfico al cortafuegos. versión 7. En este caso. Para el tráfico en dirección opuesta (correo electrónico entrante). las sesiones de red no se pueden iniciar desde la red pública. Como las direcciones privadas están ocultas.10. esa dirección anterior a NAT es una dirección IP Pública y.0. La regla solo se aplica al correo saliente enviado desde la zona “L3Trust” a la zona “L3Untrust”. Origen estático y Traducción de dirección de destino En ambos ejemplos. Traducción de dirección de origen dinámica En el siguiente ejemplo.0. el enrutador local requiere una ruta estática para dirigir el tráfico de retorno al cortafuegos.2.100 en la zona “L3Trust”) en una dirección IP pública única (200.0.100 en la zona “L3Untrust”) y un número de puerto de origen único (traducción de origen dinámica).1 a 10.0 • 249 . Ilustración 3. La política de seguridad debe configurarse explícitamente para permitir el tráfico coincidente con esta regla NAT.

Por ejemplo. Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. El campo de traducción de destino no está definido. pero la ubicación de la dirección IPv4 sería diferente si el prefijo no es /96. Ejemplos de NAT64 Puede configurar dos tipos de traducción con el cortafuegos: comunicación IPv6 iniciada. la dirección IPv6 de destino de la regla NAT es un prefijo que sigue al formato RFC 6052 (/32./48. • Admitido en interfaces y subinterfaces de capa 3. • Traduce el atributo de longitud entre IPv4 e IPv6. /40. debe realizarse una traducción de destino ya que la dirección se extrae de la dirección IPv6 en el paquete. /48. es posible traducir un paquete GRE. que es similar al origen NAT en IPv4. que es similar al destino NAT en IPv4. Las siguientes funciones NAT64 son compatibles: • Stateful NAT64. Existen tres mecanismos principales de transición definidos por IETF: pila doble. y comunicación IPv4 iniciada con un servidor IPv6. está en los últimos 4 octetos. /64 y /96. Comunicación IPv6 iniciada En este tipo de traducción. La máscara de red de la dirección IPv6 de destino en la regla se utilizaría para extraer la dirección IPv4./56. Debe tener en cuenta que en un prefijo /96. • Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamaño máximo de segmento) para TCP. y a los clientes de IPv4 acceder a servidores IPv6. La traducción de origen necesita tener un “puerto e IP dinámicas” para implementar Stateful NAT64. Este ajuste se configura en la pestaña Dispositivo > Configuración > Sesiones en Ajustes de sesión. túnel e interfaces VLAN. • Traducción de comunicación IPv4 iniciada. El valor predeterminado es 1280. Esta traducción tiene la misma limitación que NAT44.0 Palo Alto Networks . Si utiliza políticas NAT64 en el cortafuegos de Palo Alto Networks. /56. • Permite la traducción de paquetes TCP/UDP/ICMP por RFC. • Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de hairpinning. Permite a los clientes de IPv6 acceder a los servidores IPv4. El enlace estático de IPv4 asigna una dirección/número de puerto IPv4 a una dirección IP IPv6.Definición de políticas en Panorama NAT64 NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4. así como otros protocolos sin ALG (best effort). Puede asignar un prefijo NAT64 por regla. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicación. • No requiere que conserve un grupo de direcciones IPv4 específicamente para NAT64. /40. La dirección IPv4 definida como origen se configura de la misma forma que una traducción de destino NAT44. • Permite configurar el parámetro IPv6 MTU. es necesario que disponga de una solución DNS64 externa para desacoplar la función de consultas de DNS de la función NAT. debe utilizar la traducción. lo que le permite conservar aún más direcciones IPv4. Stateless NAT64 asigna una dirección IPv4 a una dirección IPv6. • Compatibilidad de varios prefijos. Por lo tanto. • Permite traducir subredes /32./64 y /96). Una dirección IPv4 también se puede compartir con NAT44. versión 7. PAN-OS también admite la reescritura. En contraste. puede utilizar una dirección IP simple para NAT44 y NAT64. que es el valor mínimo de MTU para el tráfico IPv6. que permite mantener las direcciones IPv4 para que una dirección IPv4 pueda asignarse a múltiples direcciones IPv6. túneles y transición. 250 • Guía de referencia de interfaz web. Sin embargo.

IP de origen IP de destino Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC6052 Traducción de origen IP dinámica y modo de puerto (usar direcciones IPv4) Traducción de destino Ninguna (Extraída de las direcciones IPv6 de destino) Comunicación IPv4 iniciada La dirección IPv4 se asigna a la dirección IPv6 y puede usar el modo de IP estática en la traducción de origen. versión 7. Este método permite que una única dirección IP comparta múltiples servidores IPv6 mediante una asignación estática en el puerto. Red de cliente NAT64 IPv6 a IPv4 La tabla siguiente describe los valores necesarios en esta política NAT64. Tabla 137. La dirección de destino es la dirección IP definida en la columna de traducción de destino. Servidor IPv6 Servidor DNS Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv4 Ilustración 6.Definición de políticas en Panorama Servidor DNS64 Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv6 Ilustración 5. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y se adjunta a la dirección IPv4 de origen. Es posible reescribir el puerto de destino.0 • 251 . Red de Internet NAT64 IPv4 a cliente IPv6 Palo Alto Networks Guía de referencia de interfaz web.

o que se cancele porque no hay ninguna ruta. Modo de IP estática. En NAT64. versión 7.0 IP dinámica y puerto. El motor de procesamiento del paquete del cortafuegos debe realizar una búsqueda en la ruta para buscar la zona de destino antes de buscar en la regla NAT. Modo de IP dinámica y puerto. Valores de IPv4 iniciada IP de origen IP de destino Cualquier dirección IPv4 Dirección IPv4 Traducción de origen Modo de IP estática (Prefijo IPv6 en formato RFC 6052) Traducción de destino Dirección simple IPv6 (dirección IP del servidor real) Nota: Puede especificar una reescritura del puerto del servidor. También podrá cancelar el tráfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.Definición de políticas en Panorama La tabla siguiente describe los valores necesarios en esta política NAT64. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) Palo Alto Networks . Resumen de implementaciones de escenarios IETF para el uso de PAN-OS Escenario Red IPv6 a Internet IPv4 IP de origen Cualquier dirección IPv6 IP de destino Traducción de origen Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. Aplique el prefijo NAT64 al túnel y aplique la zona adecuada para garantizar que el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. Puede configurar una interfaz de túnel sin punto de finalización porque este tipo de interfaz actuará como un puerto de loopback y aceptará otras máscaras de subred además de /128. Tabla 139. Internet IPv4 a una red IPv6 Cualquier dirección IPv4 Dirección IPv4 simple Internet IPv6 a una red IPv4 Cualquier dirección IPv6 Prefijo IPv6 enrutable globalmente con máscara de red compatible con RFC 6052. tal y como se indica en la tabla siguiente. es importante solucionar la accesibilidad del prefijo NAT64 para la asignación de la zona de destino. porque el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. El cortafuegos de Palo Alto Networks admite todos los escenarios menos uno de ellos. Es muy probable que el prefijo NAT64 acierte con la ruta predeterminada. Red IPv4 a Internet IPv6 No admitida actualmente Traducción de destino Ninguna (extraída de direcciones IPv6 de destino) Usar dirección IPv4 pública Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 252 • Guía de referencia de interfaz web. Tabla 138. Escenarios IETF para la transición IPv4/IPv6 Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144.

También existen límites diferentes del tamaño del grupo de IP traducido. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. donde M y N son números diferentes. Si especifica puertos de servicio (TCP o UDP) para NAT. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. debe definir un nuevo servicio. no se necesitará una ruta estática para esa dirección en el enrutador. Traducción de destino Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 IP dinámica y puerto. Puede utilizar la IP estática de origen o destino. Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. mientras que puede dejar el puerto de origen o destino sin modificar. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto.Definición de políticas en Panorama Tabla 139. mientras que permanecen inalterables con NAT de IP dinámica. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). Tabla 140. Para especificar un único puerto. La siguiente tabla resume los tipos de NAT. como TCP 80. N también puede ser 1. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) • IP estática: Para tráfico entrante o saliente. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuación) IP de origen Escenario Red IPv4 a red IPv6 Red IPv6 a red IPv4 IP de destino Traducción de origen Cualquier dirección IPv4 Dirección IPv4 simple Modo de IP estática. Con NAT de IP estática.000 direcciones consecutivas Guía de referencia de interfaz web. existe una asignación de uno a uno entre cada dirección original y su dirección traducida.0 • 253 . tal y como se indica a continuación. versión 7. Tipos de NAT Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No No Palo Alto Networks Muchas a 1 MaN Sí IP dinámica Tipo de asignación No MaN Tamaño del grupo de direcciones traducidas Hasta 254 direcciones consecutivas Hasta 32. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados.

Las tablas siguientes describen los ajustes de NAT y NPTv6 (traducción de prefijo de red de IPv6 a IPv6): • “Pestaña General” • “Pestaña Paquete original” • “Pestaña Paquete traducido” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política NAT o NPTv6. versión 7. consulte “Definición de políticas en Panorama”. 254 • Guía de referencia de interfaz web. en las direcciones de origen y destino y en el servicio de aplicación (como HTTP). A medida que sea necesario. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando existan numerosas políticas. añada rutas estáticas al enrutador local para enrutar el tráfico a todas las direcciones públicas hacia el cortafuegos. Para obtener información sobre cómo definir políticas en Panorama. Al igual que las políticas de seguridad.Definición de políticas en Panorama Tabla 140. Seleccione el tipo de política NAT que está creando. las reglas de política NAT se comparan con el tráfico entrante en secuencia. lo que influirá en los campos que estarán disponibles en las pestañas Paquete original y Paquete traducido. Tipos de NAT (Continuación) Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación Tamaño del grupo de direcciones traducidas IP estática Sí No 1a1 Ilimitado MaN MIP Opcional 1 a muchas PAT VIP Definición de políticas de traducción de dirección de red Políticas > NAT Las reglas NAT se basan en las zonas de origen y destino.0 Palo Alto Networks . Es posible que también necesite añadir reglas estáticas a la interfaz de destino en el cortafuegos para reducir el tráfico en la dirección privada. y se aplica la primera regla que coincida con el tráfico.

exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. versión 7. Configuración de reglas NAT (pestaña Paquete original) Campo Descripción Zona de origen Zona de destino Seleccione una o más zonas de origen y destino para el paquete original (no NAT). así como el tipo de interfaz de destino y el tipo de servicio. consulte “Definición de zonas de seguridad”. que pueden ser letras. • nat64 para la traducción entre direcciones IPv6 y IPv4. No puede combinar intervalos de direcciones IPv4 e IPv6 en una única regla NAT. Pestaña Paquete original Utilice la pestaña Paquete original para definir el tráfico de origen y destino que se traducirá. políticas de descifrado con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. Virtual Wire). Guía de referencia de interfaz web. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. (El valor predeterminado es Cualquiera. Tabla 142. Para definir nuevas zonas. números. haga clic en Añadir para especificar la etiqueta. Se pueden configurar varias zonas de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o direcciones IP específicas. Por ejemplo. Configuración reglas NAT (pestaña General) Campo Descripción Nombre Introduzca un nombre para identificar la regla. guiones y guiones bajos. Tipo de NAT Especifique el tipo de traducción para el que va destinado la regla: • ipv4 para la traducción entre direcciones IPv4. La interfaz de destino se puede utilizar para traducir direcciones IP de manera diferente en caso de que la red esté conectada a dos proveedores de Internet con grupos diferentes de direcciones IP. • nptv6 para la traducción entre prefijos IPv6. capa 3 o de cable virtual. Puede utilizar múltiples zonas para simplificar la gestión.Definición de políticas en Panorama Tabla 141. en Panorama. podría etiquetar determinadas políticas de seguridad con Entrante en DMZ. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Descripción Introduzca una descripción de la regla (hasta 255 caracteres).0 • 255 . Por ejemplo. espacios. Etiqueta Si desea añadir una etiqueta a la política. El nombre debe ser exclusivo en un cortafuegos y.) Las zonas deben ser del mismo tipo (capa 2. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. puede configurar los ajustes para que múltiples direcciones NAT internas se dirijan a la misma dirección IP externa. Interfaz de destino Palo Alto Networks Especifique el tipo de interfaz de traducción.

versión 7. los prefijos configurados para Dirección de origen y Dirección de destino deben tener el formato xxxx:xxxx::/yy. Para definir nuevos grupos de servicio. Configuración de reglas NAT (pestaña Paquete original) (Continuación) Campo Descripción Servicio Especifique los servicios para los que las direcciones de origen y destino se traducen.Definición de políticas en Panorama Tabla 142. se traducirá a la dirección interna (destino) del host interno.0 Palo Alto Networks . Pestaña Paquete traducido Utilice la pestaña Paquete traducido para determinar. La traducción de dirección de destino también se puede configurar para un host interno que al que se necesite acceder desde una dirección IP pública. Para NPTv6. La dirección no puede tener definida una parte de identificador de interfaz (host). 256 • Guía de referencia de interfaz web. Dirección de origen Dirección de destino Especifique una combinación de direcciones de origen y destino que se traducirán. para la traducción de dirección de origen. Cuando se acceda a la dirección pública. defina una dirección de origen (pública) y una dirección de destino (privada) en la pestaña Paquete original para un host interno. y en la pestaña Paquete traducido habilite Traducción de dirección de destino e introduzca la Dirección traducida. En este caso. consulte “Grupos de servicios”. El intervalo admitido de longitudes de prefijo es de /32 a /64. el tipo de traducción que se realizará en el origen y la dirección y/o el puerto al que se traducirá.

Configuración de reglas NAT (pestaña Paquete traducido) Campo Descripción Traducción de dirección de origen Seleccione el tipo de traducción (grupo de direcciones dinámicas o estáticas) e introduzca una dirección IP o un intervalo de direcciones IP (dirección1-dirección2) a las que se traducirá la dirección de origen (Dirección traducida). IP dinámica y NAT de puerto origen admite aproximadamente 64.10.0. Por ejemplo. PA-2000 y PA-3000. El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200.1-192. Un grupo de direcciones IP dinámicas puede contener varias subredes. cuatro veces en los cortafuegos PA-4020 y PAh5020 y ocho veces en los cortafuegos PA-4050. En algunas plataformas. la dirección 192. El tamaño del intervalo de direcciones está limitado por el tipo del grupo de direcciones: • IP dinámica y puerto: La selección de direcciones se basa en un hash de la dirección de IP de origen.0. • IP estática: Siempre se utiliza la misma dirección para la traducción y el puerto permanece inalterable. PAh5050 y PA-5060 cuando las direcciones IP de destino sean exclusivas. por lo que podrá traducir sus direcciones de red internas a dos o más subredes públicas diferentes. PA-500.168. si el intervalo de origen es 192.2. – Avanzado (traducción de IP dinámica de reserva): Utilice esta opción para crear un grupo de reserva que ejecutará la traducción de IP y puerto.0.0.000 sesiones simultáneas.1-10. pero el número de puerto no se cambia. Puede definir las direcciones del grupo utilizando la opción Dirección traducida o Dirección de interfaz. para interfaces que reciben una dirección IP dinámica.0.0.168. El intervalo admitido de longitudes de prefijo es de /32 a /64. Se admiten hasta 32.2 siempre se traduce a 10. Para una dirección de IP de origen. versión 7.0.168.0 • 257 . • IP dinámica: Se utiliza la siguiente dirección disponible en el intervalo especificado. Si crea un grupo de reserva. PA-4060.000 sesiones simultáneas en cada dirección IP en el grupo NAT. los prefijos configurados para Dirección traducida deben tener el formato xxxx:xxxx::/yy. La dirección no puede tener definida una parte de identificador de interfaz (host). El intervalo de dirección es casi ilimitado. asegúrese de que las direcciones no se solapan con las direcciones del grupo primario.10 y el intervalo de traducción es 10.0. • Ninguna: La traducción no se ejecuta. – NPTv6 debe utilizar la traducción de IP estática para la traducción de dirección de origen.000 direcciones IP consecutivas.0.Definición de políticas en Panorama Tabla 143. Palo Alto Networks Guía de referencia de interfaz web. el cortafuegos utilizará la misma dirección de origen traducida para todas las sesiones. se permite un exceso de suscripciones. y que se utilizará si el grupo primario agota sus direcciones. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de direcciones y puertos IP disponibles. Para NPTv6. lo que permite a una única IP albergar más de 64.

La sección de direcciones de puerto y host sencillamente se reenvía sin cambios. incluyendo la zona. Para NPTv6. el puerto de destino no se modifica. Si habilita la traducción bidireccional. Para garantizar el reenvío mediante reglas PBF. no se recomienda el uso de reglas específicas de la aplicación. Configuración de reglas NAT (pestaña Paquete traducido) (Continuación) Campo Descripción Bidireccional (Opcional) Habilite la traducción bidireccional si quiere que el cortafuegos cree una traducción correspondiente (NAT o NPTv6) en la dirección opuesta de la traducción que configure. es necesario definir una regla PBF adicional que reenvíe el paquete desde el sistema virtual de destino mediante una interfaz de salida (egress) concreta en el cortafuegos. 258 • Guía de referencia de interfaz web. Traducción de dirección de destino: Dirección traducida Introduzca una dirección o intervalo de direcciones IP y un número de puerto traducido (1 a 65535) al que la dirección y número de puerto de destino se traducirán. La dirección no puede tener definida una parte de identificador de interfaz (host). Para obtener información sobre cómo definir políticas en Panorama.0 Palo Alto Networks . El resto de sesiones de esa dirección IP y puerto de destino de la misma aplicación coincidirán con una regla específica de aplicación. consulte “Definición de políticas en Panorama”. el enrutador virtual de la interfaz de entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de destino basada en la dirección IP de destino. aplicación y servicio de destino. La traducción de destino se suele utilizar para permitir un servidor interno. El intervalo admitido de longitudes de prefijo es de /32 a /64. La sesión inicial de una dirección IP y puerto de destino concretos asociados con una aplicación no coincidirá con una regla de aplicación específica y se reenviarán de acuerdo con reglas PBF subsiguientes (que no especifican ninguna aplicación) o la tabla de reenvío del enrutador virtual. Tenga en cuenta que el puerto traducido no es compatible con NPTv6 porque NPTv6 es una traducción de prefijo estricta. Políticas de reenvío basado en políticas Políticas > Reenvío basado en políticas Normalmente. Si el campo Puerto traducido se deja en blanco. algo que quizás no desee. así como la dirección. es extremadamente importante asegurarse de tener establecidas políticas de seguridad para controlar el tráfico en ambas direcciones. versión 7. En este caso. puede especificar otra información para determinar la interfaz de salida. Cuando sea necesario. Gracias al reenvío basado en políticas (PBF). como un servidor de correo electrónico al que se accede desde la red pública. las reglas PBF se pueden utilizar para forzar el tráfico mediante un sistema virtual adicional con la acción de reenvío Reenviar a Vsys.Definición de políticas en Panorama Tabla 143. los prefijos configurados para Dirección traducida de prefijo de destino deben tener el formato xxxx:xxxx::/yy. dirección y usuario de origen. cuando el tráfico entra en el cortafuegos. la función bidireccional permitirá la traducción automática de paquetes en ambas direcciones. Para obtener información y directrices de configuración acerca de otros tipos de políticas. consulte “Políticas y perfiles de seguridad”. Sin dichas políticas.

haga clic en Añadir y seleccione una de la lista desplegable. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Para definir nuevas zonas. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. políticas de descifrado con las palabras descifrado y sin descifrado. versión 7. en Panorama. Pestaña Origen Utilice la pestaña Origen para definir la zona de origen o la dirección de origen que define el tráfico de origen entrante al que se aplicará la política de reenvío. Etiqueta Si necesita añadir una etiqueta a la política. Guía de referencia de interfaz web. guiones y guiones bajos. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera).0 • 259 . haga clic en Añadir para especificar la etiqueta. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. puede crear una regla que cubra todas las clases. Por ejemplo. Por ejemplo. El nombre debe ser exclusivo en un cortafuegos y. Campo Descripción Nombre Introduzca un nombre para identificar la regla. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Nota: Solo se admiten zonas de tipo Capa 3 para reenvío basado en políticas. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Campo Descripción Zona de origen Para elegir zonas de origen (el valor predeterminado es cualquiera). consulte “Definición de zonas de seguridad”. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Descripción Introduzca una descripción de la política (hasta 255 caracteres). Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. Grupo de direcciones. Realice su selección en la lista desplegable o haga clic en Dirección. Puede utilizar múltiples zonas para simplificar la gestión. que pueden ser letras. espacios. números. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. si tiene tres zonas internas diferentes (Marketing.Definición de políticas en Panorama Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino/aplicación/servicio” • “Pestaña Reenvío” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política PBF.

Grupo de direcciones. • Usuario conocido: Incluye a todos los usuarios autenticados. las direcciones IP que no estén asignadas a un usuario. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Por ejemplo. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. algunos grupos o añadir usuarios manualmente.0 Palo Alto Networks . versión 7. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). esta regla se aplica a cualquier dirección IP. una lista de individuos. Por ejemplo. es decir. pero no se autenticarán en el dominio y no tendrán ninguna información de asignación de IP a usuario en el cortafuegos. es decir. Pestaña Destino/aplicación/servicio Utilice la pestaña Destino/aplicación/servicio para definir la configuración de destino que se aplicará al tráfico que coincida con la regla de reenvío. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. De manera predeterminada. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. cualquier IP con datos de usuario asignados. • Desconocido: Incluye a todos los usuarios desconocidos. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. puede que quiera añadir a un usuario. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Realice su selección en la lista desplegable o haga clic en Dirección. aunque el usuario no haya iniciado sesión directamente. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). 260 • Guía de referencia de interfaz web.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones.

• Reenviar a VSYS: Seleccione el sistema virtual de reenvío en la lista desplegable. Esta opción excluye los paquetes que coincidan con los criterios de origen/destino/aplicación/servicio definidos en la regla. podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación. haciendo clic en la flecha hacia abajo y seleccionando Valor. Cuando sea posible. Para definir grupos de aplicaciones. Seleccione Supervisar y añada un perfil de supervisión (predeterminado o personalizado) que especifique la acción cuando no se pueda alcanzar la dirección IP. Nota: No se recomienda usar las reglas específicas de aplicación con PBF. ej. El tráfico se puede reenviar a una dirección IP de siguiente salto o un sistema virtual. consulte “Definición de aplicaciones”. el cortafuegos usa la tabla de enrutamiento para excluir el tráfico coincidente del puerto redirigido. Para definir nuevas aplicaciones.. • No hay ningún PBF: No altera la ruta que tomará el paquete. Campo Descripción Acción Seleccione una de las siguientes opciones: • Reenviar: Especifique la dirección IP del próximo salto y la interfaz de salida (egress) (la interfaz que toma el paquete para el siguiente salto especificado). De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. consulte https://paloaltonetworks.html Si utiliza grupos de aplicaciones. Supervisar Habilite la supervisión para comprobar la conectividad con una Dirección IP de destino o con la dirección IP de Siguiente salto. Si desea información detallada. Siguiente salto Si dirige el paquete a una interfaz específica. use un objeto de servicio. que es el puerto de capa 4 (TCP o UDP) usado por el protocolo o la aplicación.0 • 261 . Interfaz de salida Dirige el paquete a una interfaz de salida específica. filtros o un contenedor en la regla de PBF. Palo Alto Networks Guía de referencia de interfaz web.com/documentation/70/pan-os/pan-os/policy/pbf. consulte “Definición de grupos de aplicaciones”. especifique la dirección IP de Siguiente salto para el paquete. sin tener que ir hasta las pestañas de objetos. Al habilitar el retorno simétrico se garantiza que el tráfico de retorno (p. desde la zona de confianza en la LAN a Internet) se reenvía a través de la misma interfaz por la cual el tráfico accede a Internet. Forzar vuelta simétrica (Necesario para entornos de enrutamiento asimétrico) Seleccione Forzar vuelta simétrica e introduzca una o más direcciones IP en la Lista de direcciones de próximo salto. Los paquetes coincidentes usan la tabla de enrutamiento en lugar de PBF. • Descartar: descarta el paquete. Pestaña Reenvío Use la pestaña Reenvío para definir la acción y la información de red que se aplicará al tráfico que coincida con la política de reenvío. o bien se puede interrumpir el tráfico. versión 7.Definición de políticas en Panorama Campo Descripción Aplicación/servicio Seleccione aplicaciones o servicios específicos para la regla de PBF.

versión 7. Consulte “Gestión de certificados de dispositivos”. Puede aplicar perfiles de descifrado a sus políticas con objeto de bloquear y controlar diferentes aspectos del tráfico. consulte “Ajustes de descifrado SSL en un perfil de descifrado”. consulte “Políticas y perfiles de seguridad”. Para configurar este certificado. Para evitarlo. Las reglas de las políticas se comparan con el tráfico en secuencias.com/docs/DOC-1423. seleccione una programación de la lista desplegable. Políticas de descifrado Políticas > Descifrado Puede configurar el cortafuegos para descifrar el tráfico y ganar en visibilidad. y a tráfico Secure Shell (SSH).Definición de políticas en Panorama Campo Descripción Programación Para limitar los días y horas en los que la regla está en vigor. Para obtener más información. SMTP(S) y FTP(S). Para obtener información y directrices de configuración acerca de otros tipos de políticas. Algunas aplicaciones no funcionarán si las descifra el cortafuegos. cree uno en la página Dispositivo > Gestión de certificados > Certificados y. Cada una de las políticas de descifrado especifica las categorías o URL para descifrar o no.0 Palo Alto Networks . selecciónela y haga clic en Mover hacia arriba. control y seguridad granular. consulte el artículo de ayuda ubicado en https:// live. y el cortafuegos actúa como un agente externo de confianza durante la conexión. El cifrado de proxy SSL de reenvío requiere que se le presente al usuario la configuración de un certificado de confianza. POP3(S). Las siguientes tablas describen la configuración de políticas de descifrado: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Opciones” 262 • Guía de referencia de interfaz web. Las políticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL). Ningún tipo de tráfico descifrado sale del dispositivo. consulte “Definición de políticas en Panorama”. la seguridad de punto a punto entre clientes y servidores se mantiene. Filtrado de URL y Bloqueo de archivos al tráfico SSL descifrado antes de volverse a cifrar a medida que el tráfico sale del dispositivo. Las políticas de descifrado pueden ser tan generales o específicas como sea necesario. Para mover una regla a la parte superior de las políticas y que tenga preferencia. Antispyware. El descifrado SSH se puede utilizar para descifrar el tráfico SSH entrante y saliente para asegurar que los protocolos no se están utilizando para túneles de aplicaciones y contenido no permitido. a continuación. El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus. Con el descifrado activado.paloaltonetworks. si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de certificación de confianza del cortafuegos. incluidos protocolos SSL encapsulados como IMAP(S). Para obtener información sobre cómo definir políticas en Panorama. PAN-OS no descifrará el tráfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarán. Para ver una lista de estas aplicaciones. Vulnerabilidades. por lo que las reglas más específicas deben preceder a las reglas más generales. Una política que excluya el tráfico del descifrado (con la acción No hay ningún descifrado) siempre debe tener preferencia para poder entrar en vigor. haga clic en el nombre del certificado y active la casilla Reenviar certificado fiable. consulte “Perfiles de descifrado”. Para definir nuevas programaciones.

Etiqueta Si necesita añadir una etiqueta a la política. en Panorama. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). consulte “Definición de zonas de seguridad”. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Campo Descripción Nombre Introduzca un nombre para identificar la regla. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). El nombre debe ser exclusivo en un cortafuegos y. Para definir nuevas zonas. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. políticas de descifrado con las palabras descifrado y sin descifrado. Por ejemplo. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. que pueden ser letras. si tiene tres zonas internas diferentes (Marketing. Grupo de direcciones. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas.0 • 263 . Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de descifrado.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de descifrado. espacios. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. haga clic en Añadir para especificar la etiqueta. Guía de referencia de interfaz web. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. capa 3 o de cable virtual. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Por ejemplo. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). puede crear una regla que cubra todas las clases. Las zonas deben ser del mismo tipo (capa 2. versión 7. Virtual Wire). Puede utilizar múltiples zonas para simplificar la gestión. Realice su selección en la lista desplegable o haga clic en Dirección. números. guiones y guiones bajos. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas.

direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Por ejemplo. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. algunos grupos o añadir usuarios manualmente. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Por ejemplo. es decir. Puede utilizar múltiples zonas para simplificar la gestión. • Desconocido: Incluye a todos los usuarios desconocidos. Grupo de direcciones. puede crear una regla que cubra todas las clases. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. • Usuario conocido: Incluye a todos los usuarios autenticados. las direcciones IP que no estén asignadas a un usuario. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Dirección de destino Haga clic en Añadir para añadir las direcciones.0 Palo Alto Networks . pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Para definir nuevas zonas. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). 264 • Guía de referencia de interfaz web. versión 7. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Realice su selección en la lista desplegable o haga clic en Dirección. capa 3 o de cable virtual. Virtual Wire). Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. si tiene tres zonas internas diferentes (Marketing. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. consulte “Definición de zonas de seguridad”. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). Las zonas deben ser del mismo tipo (capa 2. aunque el usuario no haya iniciado sesión directamente. puede que quiera añadir a un usuario. una lista de individuos. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. Por ejemplo. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. cualquier IP con datos de usuario asignados. es decir.

Pestaña Opciones Use la pestaña Opciones para determinar si el tráfico coincidente debería descifrarse o no. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. con independencia de la categoría URL. Campo Descripción Acción Seleccione Descifrar o No descifrar para el tráfico. • Inspección de entrada SSL: Especifique que la política descifrará el tráfico de inspección entrante SSL. Perfil de descifrado Palo Alto Networks Seleccione un perfil de descifrado existente o cree uno nuevo. • Para especificar una categoría. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se descifrarán (o estarán exentas de descifrado) únicamente en los puertos predeterminados definidos para las aplicaciones por Palo Alto Networks. Seleccione un servicio existente o especifique un nuevo Servicio o Grupo de servicios. especifique el tipo de descifrado. Puede añadir varias categorías. Tipo Seleccione el tipo de tráfico para descifrar de la lista desplegable: • Proxy SSL de reenvío: Especifique que la política descifrará el tráfico del cliente destinado a un servidor externo. Esta opción permite controlar los túneles SSH en políticas. especificando el ID de aplicación (App-ID) de túnel ssh. versión 7. Consulte “Perfiles de descifrado”. • Proxy SSH: Especifique que la política descifrará el tráfico SSH.0 • 265 . Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. Pestaña Categoría de URL Seleccione las categorías URL de la regla de descifrado. Si se ha definido Descifrar. • Seleccione Cualquiera para buscar en todas las sesiones. Consulte “Servicios” y “Grupos de servicios”.Definición de políticas en Panorama Pestaña Categoría de URL/servicio Utilice la pestaña Categoría de URL/servicio para aplicar la política de descifrado al tráfico en función del número de puerto TCP o a cualquier categoría de URL (o una lista de categorías). También puede añadir funciones de descifrado adicionales configurando o seleccionando un perfil de descifrado. • Seleccionar: Haga clic en Añadir. Campo Descripción Servicio Aplique la política de descifrado al tráfico en función de números de puertos TCP específicos. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Guía de referencia de interfaz web.

dirección de origen y destino. que pueden ser letras.Definición de políticas en Panorama Definición de políticas de cancelación de aplicación Políticas > Cancelación de aplicación Para cambiar la forma en la que el cortafuegos clasifica el tráfico de la red en las aplicaciones. en Panorama. Defina la aplicación personalizada. Por ejemplo. Para obtener información sobre cómo definir políticas en Panorama. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Defina una política de cancelación de aplicación que especifique si la aplicación personalizada se debe activar. la definición de aplicación personalizada no puede utilizar un número de puerto para identificar una aplicación. las políticas de cancelación de aplicación pueden ser tan generales o específicas como sea necesario. puede utilizar una política de cancelación de aplicación para identificar el tráfico de esa aplicación en función de la zona. números. Las reglas de las políticas se comparan con el tráfico en secuencias. Como el motor App-ID de PAN-OS clasifica el tráfico identificando el contenido específico de la aplicación en el tráfico de red. Una política suele incluir la dirección IP del servidor que ejecuta la aplicación personalizada y un conjunto restringido de direcciones IP o una zona de origen. Para obtener información y directrices de configuración acerca de otros tipos de políticas. 2. La definición de la aplicación también debe incluir el tráfico (restringido por zona y dirección IP de origen. Consulte “Definición de aplicaciones”. Para crear una aplicación personalizada con cancelación de aplicaciones: 1. El nombre debe ser exclusivo en un cortafuegos y. Use las siguientes tablas para configurar una regla de cancelación de aplicaciones. puerto y protocolo. Si tiene aplicaciones de red clasificadas como “desconocidas”. guiones y guiones bajos. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Al igual que las políticas de seguridad. puede especificar políticas de cancelación de aplicación.0 Palo Alto Networks . espacios. puede crear nuevas definiciones de aplicaciones (consulte “Definición de aplicaciones”). por lo que las reglas más específicas deben preceder a las reglas más generales. Campo Descripción Nombre Introduzca un nombre para identificar la regla. 266 • Guía de referencia de interfaz web. y zona y dirección IP de destino). consulte “Definición de políticas en Panorama”. • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Protocolo/Aplicación” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política de cancelación de aplicación. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. versión 7. consulte “Políticas y perfiles de seguridad”. si desea controlar una de sus aplicaciones personalizadas. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas.

Para definir nuevas zonas. Virtual Wire). Puede utilizar múltiples zonas para simplificar la gestión. Las zonas deben ser del mismo tipo (capa 2. Para definir nuevas zonas. Realice su selección en la lista desplegable o haga clic en Dirección. versión 7. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. políticas de descifrado con las palabras descifrado y sin descifrado. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Dirección de origen Haga clic en Añadir para añadir las direcciones. Puede utilizar múltiples zonas para simplificar la gestión. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). si tiene tres zonas internas diferentes (Marketing. puede crear una regla que cubra todas las clases. Grupo de direcciones. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de cancelación de aplicación. capa 3 o de cable virtual. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Por ejemplo. consulte “Definición de zonas de seguridad”. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración.0 • 267 . Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Virtual Wire). Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). haga clic en Añadir para especificar la etiqueta. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Palo Alto Networks Guía de referencia de interfaz web. puede crear una regla que cubra todas las clases. capa 3 o de cable virtual.Definición de políticas en Panorama Campo Descripción Etiqueta Si necesita añadir una etiqueta a la política. Por ejemplo. si tiene tres zonas internas diferentes (Marketing. Las zonas deben ser del mismo tipo (capa 2. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Por ejemplo. consulte “Definición de zonas de seguridad”. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política.

consulte “Definición de aplicaciones”. tal y como se describe en “Configuración del cortafuegos para el usuario de usuarios”. habilite las funciones y configure los ajustes de portal cautivo en la página Identificación de usuarios. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Si especifica varios puertos o intervalos. consulte “Políticas y perfiles de seguridad”. no se realizará una inspección de amenazas. Si cancela una aplicación personalizada. Grupo de direcciones. Puerto Introduzca el número de puerto (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) de las direcciones de destino especificadas.Definición de políticas en Panorama Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. La excepción es si cancela una aplicación predeterminada que admite la inspección de amenazas. Campo Descripción Protocolo Seleccione el protocolo por el que la aplicación se puede cancelar. deben estar separados por comas. Realice su selección en la lista desplegable o haga clic en Dirección. Los usuarios se dirigen hacia el portal y se autentican. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Antes de definir políticas de portal cautivo. Para definir nuevas aplicaciones. Las siguientes tablas describen la configuración de políticas de portal cautivo: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Acción” 268 • Guía de referencia de interfaz web. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID) para aumentar las funciones de identificación de usuarios más allá del dominio de Active Directory. Para obtener información y directrices de configuración acerca de otros tipos de políticas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. puerto y aplicación que definen con mayor exactitud los atributos de la aplicación para que coincida con la política. Pestaña Protocolo/Aplicación Use la pestaña Protocolo/Aplicación para definir el protocolo (TCP o UDP). Aplicación Seleccione la aplicación de cancelación de los flujos de tráfico que coincidan con los criterios de la regla anterior.0 Palo Alto Networks . versión 7. creando una asignación de usuario a dirección IP. Definición de políticas de portal cautivo Políticas > Portal cautivo Utilice la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticación de usuarios mediante un perfil de autenticación. una secuencia de autenticación o un perfil de certificado.

Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de portal cautivo. Campo Descripción Origen Especifique la siguiente información: • Seleccione una zona de origen si necesita aplicar la política al tráfico entrante de todas las interfaces de una zona concreta. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Haga clic en Añadir para especificar múltiples interfaces o zonas. números.0 • 269 . Palo Alto Networks Guía de referencia de interfaz web. El nombre debe ser exclusivo en un cortafuegos y. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Por ejemplo. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. versión 7. • Especifique el parámetro Dirección de origen que se aplicará a la política del portal cautivo desde las direcciones de origen específicas. Campo Descripción Nombre Introduzca un nombre para identificar la regla. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. políticas de descifrado con las palabras descifrado y sin descifrado. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. en Panorama. Etiqueta Si necesita añadir una etiqueta a la política. espacios. Haga clic en Añadir para especificar múltiples interfaces o zonas. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de portal cautivo. que pueden ser letras. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. guiones y guiones bajos. haga clic en Añadir para especificar la etiqueta.

Campo Descripción Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Campo Destino Descripción Especifique la siguiente información: • Seleccione una zona de destino si necesita aplicar la política al tráfico de todas las interfaces de una zona concreta. • Selección: Haga clic en Añadir. Haga clic en Añadir para especificar múltiples interfaces o zonas. Haga clic en Añadir para especificar múltiples interfaces o zonas. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. • Para especificar una categoría. Una categoría de URL también puede usarse como un atributo para la política. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. Consulte “Servicios” y “Grupos de servicios”. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. Esta opción es la recomendada para políticas de permiso. Categoría de URL Seleccione las categorías URL de la regla de portal cautivo. versión 7.0 Palo Alto Networks . Puede añadir varias categorías. 270 • Guía de referencia de interfaz web. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier protocolo o puerto. • Seleccione Cualquiera para aplicar las acciones especificadas en la pestaña Servicio/Acción con independencia de la categoría de URL. • Valor predeterminado de aplicación: Los servicios seleccionados se permiten o deniegan únicamente según los puertos predeterminados por Palo Alto Networks. • Especifique el parámetro Dirección de destino que se aplicará a la política del portal cautivo desde las direcciones de destino específicas. Pestaña Categoría de URL/servicio Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en función de números de puerto TCP o UDP específicos.

espacios. Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política DoS. Para obtener información sobre cómo definir políticas en Panorama. Campo Descripción Nombre Introduzca un nombre para identificar la regla. editar o eliminar reglas de políticas DoS. Para añadir una nueva regla de política. puede controlar el tráfico desde y hacia determinadas direcciones o grupos de direcciones o desde determinados usuarios y para servicios concretos. Use esta página para añadir. El nombre debe ser exclusivo en un cortafuegos y. zonas. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. consulte “Definición de políticas en Panorama”. a continuación. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. • reto de explorador: Abre una solicitud de autenticación NT LAN Manager (NTLM) en el explorador web del usuario. que pueden ser letras. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. basadas en sesiones agregadas o direcciones IP de origen y/o destino. Campo Descripción Configuración de acción Seleccione la acción que se realizará: • Formato web: Abre una página de portal cautivo en la que el usuario puede introducir explícitamente las credenciales de autenticación. • portal no cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su autenticación. guiones y guiones bajos. políticas de descifrado con las palabras descifrado y sin descifrado. haga clic en Añadir para especificar la etiqueta. Por ejemplo.Definición de políticas en Panorama Pestaña Acción Use la pestaña Acciones para determinar si el usuario verá un formato web.0 • 271 . Definición de políticas DoS Políticas > Protección DoS Las políticas de protección DoS permiten controlar el número de sesiones entre interfaces. Entonces podrá seleccionar una acción protectora en una política cuando se active una coincidencia. cumplimente los siguientes campos. en Panorama. Por ejemplo. un cuadro de diálogo de reto de explorador o si no se producirá ningún desafío de portal cautivo. versión 7. números. direcciones y países. El explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. Palo Alto Networks Guía de referencia de interfaz web. Etiqueta Si necesita añadir una etiqueta a la política. haga clic en Añadir y. Una política DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o paquetes por segundo) que indican un ataque. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas.

aunque el usuario no haya iniciado sesión directamente. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. • Especifique el parámetro Dirección de origen que se aplicará a la política DoS desde las direcciones de origen específicas.0 Palo Alto Networks . podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). algunos grupos o añadir usuarios manualmente. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Campo Descripción Origen Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. Los siguientes tipos de usuarios de origen son compatibles: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. – Desconocido: Incluye a todos los usuarios desconocidos. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. las direcciones IP que no estén asignadas a un usuario. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. es decir. Haga clic en Añadir para especificar múltiples interfaces o zonas. cualquier IP con datos de usuario asignados. versión 7.Definición de políticas en Panorama Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política DoS. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. – Usuario conocido: Incluye a todos los usuarios autenticados. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Haga clic en Añadir para especificar varias direcciones. puede que quiera añadir a un usuario. es decir. • Especifique el parámetro Usuario de origen que se aplicará a la política DoS para el tráfico procedente de los usuarios específicos. Por ejemplo. Por ejemplo. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. 272 • Guía de referencia de interfaz web. una lista de individuos.

como el tipo de servicio (http o https) o la acción que se realizará y decidir si se activará un reenvío de log para el tráfico coincidente.0 • 273 . puede especificar un perfil clasificado con un límite de sesión de 100 y especificar un parámetro Dirección de “origen” en la regla. • Permitir: Permite todo el tráfico. • Proteger: Aplica las protecciones proporcionadas en los umbrales que se configuran como parte del perfil DoS aplicado a esta regla. Reenvío de logs Si quiere activar el reenvío de entradas de logs de amenazas a un servicio externo. Pestaña Opción/Protección Use la pestaña Opción/Protección para configurar opciones adicionales de la política DoS. Clasificado Seleccione la casilla de verificación y especificar los siguientes ajustes: • Perfil: Seleccione un perfil de la lista desplegable. Por ejemplo. • Especifique el parámetro Dirección de destino que se aplicará a la política DoS para el tráfico a las direcciones de destino específicas. Si se especifica un perfil clasificado. También puede definir una programación que determine cuándo estará activa la política y seleccionar un perfil DoS agregado o clasificado que defina más atributos para la protección DoS. Campo Destino Descripción Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. Acción Seleccione la acción en la lista desplegable: • Denegar: Cancela todo el tráfico. • Dirección: Seleccione si la regla se aplicará al origen. Agregado Seleccione un perfil de protección DoS de la lista desplegable para determinar la tasa a la que desea adoptar las medidas en respuesta a las amenazas DoS. Campo Descripción Servicio Seleccione en la lista desplegable la política DoS que se aplicará únicamente a los servicios configurados. dirección IP de destino. versión 7. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. o pares de direcciones IP de origen y destino. que se aplicará a la regla DoS a una fecha/hora concretas. Haga clic en Añadir para especificar múltiples interfaces o zonas. como un servidor syslog o Panorama. Programación Seleccione una programación preconfigurada de la lista desplegable. Haga clic en Añadir para especificar varias direcciones. seleccione un perfil de reenvío de logs de la lista desplegable o haga clic en Perfil para crear uno nuevo. Tenga en cuenta que solo será registrado y reenviado el tráfico que coincida con una acción de la regla. Esta configuración se aplica al total del tráfico del origen especificado al destino especificado. o a las direcciones IP de origen y destino. las limitaciones del perfil se aplican a una dirección IP de origen. Palo Alto Networks Guía de referencia de interfaz web.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. destino. El resultado sería un límite de 100 sesiones en cualquier momento para esa dirección IP de origen en particular.

Las siguientes acciones son aplicables al definir perfiles de antivirus. como compras o apuestas. Consulte “Perfiles de protección de vulnerabilidades”. Consulte “Perfiles de filtrado de datos”. Los siguientes tipos de perfil están disponibles: • Perfiles de antivirus para proteger contra gusanos. salga de una red protegida. perfiles de protección de vulnerabilidades. puede combinar perfiles que a menudo se aplican en conjunto. • Perfiles de antispyware para bloquear los intentos del spyware en hosts comprometidos para realizar llamadas a casa o balizamiento a servidores externos de comando y control (C2). Consulte “Perfiles de bloqueo de archivo”. Consulte “Perfiles de filtrado de URL”.0 Palo Alto Networks . perfiles de antispyware. o como Restablecer ambos. Consulte “Perfiles de antivirus”. puede definir o cancelar la acción en el cortafuegos. Consulte “Perfiles de antispyware”. • Perfiles de filtrado de URL para restringir el acceso de los usuarios a sitios web específicos y/o categorías de sitios web.Perfiles de seguridad Perfiles de seguridad Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. que le informa del uso de la opción que ha habilitado para que se realice una notificación. y crear grupos de perfiles de seguridad en Objetos > Grupos de perfiles de seguridad. • Perfiles de filtrado de datos que ayudan a evitar que la información confidencial. objetos de spyware personalizados u objetos de vulnerabilidades personalizados. Acciones en perfiles de seguridad La acción especifica cómo responde un cortafuegos ante un evento de amenaza. • Perfiles de protección de vulnerabilidades para detener los intentos de explotación de fallos del sistema y de acceso no autorizado a los sistemas. Cada política de seguridad puede incluir uno o más perfiles de seguridad. como los números de tarjetas de crédito o de la seguridad social. que suele establecerse como Alerta. virus y troyanos y bloquear descargas de spyware. Además de perfiles individuales. Cada firma de amenaza o virus definida por Palo Alto Networks incluye una acción predeterminada. versión 7. • Perfiles de análisis de WildFire para especificar que se realice un análisis de archivos localmente en el dispositivo WildFire o en la nube de WildFire. No obstante. 274 • Guía de referencia de interfaz web. que restablece ambas partes de la conexión. Consulte “Perfiles de análisis de WildFire”. • Perfiles de bloqueo de archivo para bloquear tipos de archivos seleccionados y en la dirección de flujo de sesión especificada (entrante/saliente/ambas).

descarta la conexión. Para UDP.     Descartar Descarta el tráfico de la aplicación. restablece la conexión de la parte del servidor.                 Para UDP. Palo Alto Networks Guía de referencia de interfaz web.Perfiles de seguridad Acción Descripción Valor predeterminado Realiza la acción predeterminada especificada internamente para cada firma de amenaza. realiza la acción predeterminada para la firma de virus.     Alerta Genera una alerta para el flujo de tráfico de cada aplicación. Permitir Permite el tráfico de la aplicación. Restablecer ambos Para TCP. Bloquear IP Esta acción bloquea el tráfico de un par de origen u origendestino.0 • 275 . Para UDP. descarta la conexión. descarta la conexión. configurable durante un período de tiempo especificado. Restablecer servidor Para TCP. restablece la conexión tanto en el extremo del cliente como en el del servidor. versión 7.zado: spyware y nerabilidades vulnerabilidades     Para perfiles de antivirus. restablece la conexión de la parte del cliente. La alerta se guarda en el log de amenazas.     Restablecer cliente Para TCP. Perfil de Perfil de antisantivirus pyware Perfil de proObjeto personalitección de vul.

Perfiles de seguridad No puede eliminar un perfil que se utiliza en una política de seguridad. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados. Antes debe quitar el perfil de la política de seguridad y luego eliminarlo. así como el tráfico enviado a destinos altamente sensibles. Para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarán al tráfico coincidente. guiones y guiones bajos. Utilice únicamente letras. Defina en qué aplicaciones se buscarán virus mediante inspecciones y la acción que se llevará a cabo si se encuentra uno. dependiendo del tipo de virus detectado. Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables. espacios. puntos. y Post Office Protocol Version 3 (POP3). El perfil se adjuntará después a una política de seguridad para determinar la inspección del tráfico que atraviese zonas específicas. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). y toma las medidas predeterminadas para el resto de las aplicaciones (alerta o denegación). Perfiles de antivirus Objetos > Perfiles de seguridad > Antivirus En la página Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus mediante análisis del tráfico definido. números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Cuadro de diálogo Perfil de antivirus” • “Pestaña Antivirus” • “Pestaña Excepciones” Cuadro de diálogo Perfil de antivirus Utilice este cuadro de diálogo para definir un nombre y una descripción del perfil. Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). como granjas de servidores. Internet Message Access Protocol (IMAP). genera alertas de Simple Mail Transport Protocol (SMTP). como Internet. consulte “Perfiles de seguridad”. versión 7. Este nombre aparece en la lista de perfiles de antivirus cuando se definen políticas de seguridad. 276 • Guía de referencia de interfaz web.0 Palo Alto Networks .

Puede definir diferentes acciones para firmas de antivirus estándar (columna Acción) y firmas generadas por el sistema WildFire (Acción de WildFire). Por ejemplo. puede que quiera permitir http pero no inspeccionar el tráfico de una aplicación específica que funcione a través de http. La aplicación se añade a la tabla y puede asignar una acción. lo que significa que la cancelación está habilitada. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Pestaña Antivirus Use la pestaña Antivirus para definir el tipo de tráfico que se inspeccionará. Por ejemplo.0 • 277 . versión 7. Bloquear es la acción del descodificador HTTP. Campo Descripción Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Algunos entornos pueden requerir pruebas de estabilidad más largas para firmas de antivirus. Excepciones de aplicaciones y acciones Identifique aplicaciones que se considerarán excepciones a la regla de antivirus. • Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación. seleccione una acción de la lista desplegable. para bloquear todo el tráfico HTTP excepto el de una aplicación específica. Si cancela la selección de la casilla de verificación. Palo Alto Networks Guía de referencia de interfaz web. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. seleccione la acción que se adoptará cuando se detecte la amenaza. en la que podrá realizar una selección. Use la tabla Excepción de aplicaciones para definir las aplicaciones que no serán inspeccionadas. comience escribiendo el nombre de la aplicación en el cuadro de texto. Descodificadores y acciones Para cada tipo de tráfico en el que desee buscar virus. como ftp y http. Para cada excepción de la aplicación. las firmas de antivirus estándar pasan pruebas de estabilidad más largas (24 horas) en comparación con las firmas de WildFire. por lo que esta opción permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por Palo Alto Networks. Por ejemplo. tal vez prefiera elegir la acción de alerta en las firmas de WildFire en lugar del bloqueo. consulte “Acciones en perfiles de seguridad”. puede definir un perfil de antivirus para el que la aplicación es una excepción. que se pueden generar y emitir en 15 minutos o menos tras la detección de la amenaza.Perfiles de seguridad Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Para buscar una aplicación. Se mostrará una lista con las aplicaciones coincidentes. y especifique a continuación la acción aplicable. La casilla de verificación no está seleccionada de manera predeterminada. También puede adoptar la medida específica en función de las firmas creadas por WildFire. Para ver una lista de las acciones. Por ello. y Permitir es la excepción de la aplicación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados.

alertar o (por defecto) bloquear cuando se observen estas consultas. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. • Predeterminado: El perfil predeterminado utiliza la acción predeterminada para cada firma. Puede elegir entre dos perfiles de antispyware predefinidos en la política de seguridad. Las firmas DNS se pueden configurar para permitir. Los ID de amenaza se presentan como parte de la información del log de amenaza. Las firmas DNS se descargan como parte de las actualizaciones de antivirus. puede añadir excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. puede reducir el rigor de la inspección del antispyware del tráfico entre zonas de seguridad de confianza y aprovechar al máximo la inspección del tráfico recibido de Internet o del tráfico enviado a activos protegidos. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos. puede generar alertas para un conjunto específico de firmas y bloquear todos los paquetes que coincidan con el resto de firmas. alta y media y la establece como la acción de bloqueo. Con objeto de facilitar aún más la gestión de amenazas.0 Palo Alto Networks . Perfiles de antispyware Objetos > Perfiles de seguridad > Antispyware Puede adjuntar un perfil de antispyware a una política de seguridad para detectar conexiones de “llamada a casa” que se inicien desde spyware instalado en sistemas de su red. La página Antispyware muestra un conjunto predeterminado de columnas. Campo Descripción ID de amenaza Añada amenazas específicas que deberían ignorarse. Consulte “Visualización de logs”. versión 7. Aparecerán las excepciones ya especificadas. Existen más columnas de información disponibles en el selector de columnas. También puede crear perfiles personalizados. El ajuste de firmas DNS proporciona un método adicional de identificación de hosts infectados en una red.Perfiles de seguridad Pestaña Excepciones Use la pestaña Excepciones para definir la lista de amenazas que ignorará el perfil de antivirus. cada firma de amenaza incluye una acción predeterminada especificada por Palo Alto Networks. Puede añadir amenazas adicionales introduciendo el ID de amenaza y haciendo clic en Añadir. los hosts que realizan consultas DNS en dominios malware aparecerán en el informe de botnet. Cada uno de estos perfiles tiene un conjunto de reglas predefinidas (con firmas de amenazas) organizadas por la gravedad de la amenaza. al igual que las firmas de antivirus normales. Asegúrese de obtener las actualizaciones de contenido más recientes para estar protegido ante las nuevas amenazas y contar con nuevas firmas para cualquier falso positivo. Además. tal como especifica Palo Alto Networks al crear la firma. La acción predeterminada se utiliza con amenazas de gravedad baja e informativa. • Estricto: El perfil estricto cancela la acción definida en el archivo de firma para amenazas de gravedad crítica. Los ajustes de Reglas Los ajustes de Excepciones le permiten cambiar la acción de una firma específica. Para obtener más información. 278 • Guía de referencia de interfaz web. Por ejemplo. consulte “Bloqueo de transacciones”. Por ejemplo. Estas firmas detectan búsquedas DNS concretas de nombres de host asociados con malware. como granjas de servidores.

el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. edite la sección Configuración de ID de contenidos. espacios. consulte “Acciones en perfiles de seguridad”. Para ver la captura de paquetes. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. Gravedad Seleccione un nivel de gravedad (crítico. • Cada grupo de dispositivos en Panorama. desplácese hasta Dispositivo > Configuración > ID de contenido y. Acción Seleccione una acción para cada amenaza. medio. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. la sesión finaliza inmediatamente. puntos. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Utilice únicamente letras. bajo o informativo). Para definir el número de paquetes que deben capturarse. Si cancela la selección de la casilla de verificación. Seleccione paquete único para capturar un paquete cuando se detecta. Si cancela la selección de la casilla de verificación. números. Configuración de perfil de antispyware Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de antispyware: Tabla 144. Para ver una lista de las acciones. Este nombre aparece en la lista de perfiles de antispyware cuando se definen políticas de seguridad. desplácese hasta Supervisar > Logs > Amenaza. Solo se producirá captura de paquetes si la acción está permitida o alerta.0 • 279 . el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. guiones y guiones bajos. lo que significa que la cancelación está habilitada. Palo Alto Networks Guía de referencia de interfaz web. Si está definida la opción de bloqueo. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Nombre de amenaza Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para buscar cualquier firma con el texto indicado como parte del nombre de la firma. versión 7. alto. Pestaña Reglas Nombre de regla Especifique el nombre de la regla. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). a continuación.

Si las direcciones IP se añaden a una excepción de amenaza. Configuración de perfil de antispyware (Continuación) Campo Descripción Pestaña Excepciones Excepciones Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. o seleccionar Todas para responder a todas las amenazas indicadas. categoría y gravedad seleccionada. no hay amenazas en las selecciones actuales. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Pestaña firma DNS 280 • Guía de referencia de interfaz web. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Puede añadir hasta 100 direcciones IP por firma. Si la lista está vacía. La lista depende del host.0 Palo Alto Networks . versión 7.Perfiles de seguridad Tabla 144.

Guía de referencia de interfaz web. El cliente infectado intenta entonces iniciar una sesión en el host. que a su vez realiza una consulta al servidor de DNS público al otro lado del cortafuegos. Tras seleccionar la acción sinkhole. los clientes infectados pueden ser identificados filtrando los logs de tráfico o generando un informe personalizado que compruebe las sesiones de la dirección IP especificada. que el cortafuegos no puede ver el originador de una solicitud de DNS). de modo que la acción sinkhole se llevará a cabo en la consulta. Cuando se configura una dirección IP sinkhole. 2. La consulta DNS del cliente se envía a un servidor DNS interno. bloquear. 4. las firmas basadas en DNS se activarán en las solicitudes de DNS destinadas a dominios de software malintencionado. Se alerta al administrador de la consulta DNS malintencionada en el log de amenazas. versión 7. Los hosts infectados pueden identificarse fácilmente en los logs de tráfico porque cualquier host que intente conectarse a la IP sinkhole está infectado casi con toda seguridad con software malintencionado. por ejemplo. donde el cortafuegos está antes del servidor DNS local. La dirección IP falsificada es la dirección definida en la pestaña Firmas DNS del perfil Antispyware al seleccionar la acción sinkhole. sinkhole o predeterminada (alertar)]. quien puede entonces buscar en los logs de tráfico la dirección IP sinkhole y localizar fácilmente la dirección IP del cliente que intenta iniciar una sesión con la dirección IP sinkhole. especifique una dirección IPv4 y/o IPv6 que se utilizará como sinkhole (la predeterminada es la IP del loopback. Configuración de perfil de antispyware (Continuación) Campo Descripción Acción para consultas de DNS Seleccione la acción que se realizará cuando se hagan búsquedas DNS en sitios conocidos de software malintencionado [permitir. el log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del host infectado.Perfiles de seguridad Tabla 144. Seleccione la casilla de verificación para capturar paquetes identificados. incluso aunque el cortafuegos esté antes de un servidor de DNS local (es decir. La consulta DNS coincide con una entrada DNS en la base de datos de firmas DNS. En una implementación típica. pero usa la dirección IP falsificada en su lugar. por ejemplo) intenten conectarse en su lugar a una dirección IP especificada por el administrador. 3. una IP no usada en otra zona interna. Es importante seleccionar una dirección IP mediante la cual una sesión tenga que enrutarse a través del cortafuegos para que este pueda ver la sesión. El software malintencionado en el ordenador de un cliente infectado envía una consulta DNS para resolver un host malintencionado en Internet. Si tiene instalada una licencia de prevención de amenazas y tiene habilitado un perfil de antispyware en un perfil de seguridad. A continuación se detalla la secuencia de eventos que se sucederán al habilitar la función sinkhole: Captura de paquetes Palo Alto Networks 1. 5. Las consultas DNS de software malintencionado falsificadas resuelven este problema de visibilidad generando respuestas erróneas a las consultas dirigidas a dominios malintencionados.0 • 281 . de modo que los clientes que intenten conectarse a dominios malintencionados (mediante comando y control. La acción sinkhole de DNS ofrece a los administradores un método para identificar hosts infectados en la red usando tráfico DNS. que resolverá los dominios al host local).

Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. así como las medidas que se deben adoptar cuando se active una firma de un conjunto. No detecta los eventos de protección de vulnerabilidad informativos y bajos. La página Protección de vulnerabilidades muestra un conjunto predeterminado de columnas. con origen en la resolución recursiva local. versión 7. alta y media y utiliza la acción predeterminada para los eventos de protección de vulnerabilidad bajos e informativos. que genera una alerta. ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema. Por ejemplo. ID de amenaza Introduzca manualmente excepciones de firma DNS (intervalo 4000000-4999999). Hay dos perfiles predefinidos disponibles para la función de protección de vulnerabilidades: • El perfil predeterminado aplica la acción predeterminada a todas las vulnerabilidades de gravedad crítica. Perfiles de protección de vulnerabilidades Objetos > Perfiles de seguridad > Protección de vulnerabilidades Una política de seguridad puede incluir especificaciones de un perfil de protección de vulnerabilidades que determine el nivel de protección contra desbordamiento de búfer. consulte “Definición de políticas de seguridad”. como Internet. Cuando el cortafuegos se configura con rutas de servicio personalizadas. El equipo de investigación de amenazas de Palo Alto Networks usa esta información para conocer mejor cómo funciona la propagación de software malintencionado y las técnicas de evasión que se aprovechan del sistema DNS.Perfiles de seguridad Tabla 144. y el tráfico enviado a destinos altamente sensibles. puede bloquear todos los paquetes coincidentes con una firma. Configuración de perfil de antispyware (Continuación) Campo Descripción Habilitar supervisión de DNS pasivo Se trata de una función opcional que permite al cortafuegos actuar como un sensor DNS pasivo y enviar información de DNS escogida a Palo Alto Networks para que sea analizada y poder mejorar así las funciones de inteligencia y prevención de amenazas. La opción está deshabilitada de manera predeterminada. consulte “Bloqueo de transacciones”. alta y media del servidor y del cliente. Los perfiles personalizados se pueden utilizar para minimizar la comprobación de vulnerabilidades para el tráfico entre zonas de seguridad fiables y para maximizar la protección del tráfico recibido de zonas no fiables. La información recopilada a través de estos datos se usa para mejorar la precisión y la capacidad para detectar software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB URL filtering). no en clientes individuales) y cargas de paquetes de respuesta.0 Palo Alto Networks . Para obtener más información. 282 • Guía de referencia de interfaz web. La pestaña Excepción admite funciones de filtrado. Para aplicar los perfiles de protección de vulnerabilidades a las políticas de seguridad. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. Se recomienda habilitar esta función. excepto el del paquete seleccionado. la función de DNS pasivo utilizará la ruta de servicio de WildFire para enviar la información de DNS a Palo Alto Networks. las firmas de comando y control basadas en DNS y WildFire. Existen más columnas de información disponibles en el selector de columnas. Los parámetros de Reglas especifican conjuntos de firmas para habilitar. como granjas de servidores. Los datos recopilados incluyen consultas DNS no recursivas (es decir. • El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crítica.

Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección de vulnerabilidades: Tabla 145. Nombre de amenaza Especifique una cadena de texto para buscar. Acción Seleccione la acción que deberá realizarse cuando se active la regla. La acción Predeterminada se basa en la acción por defecto que forma parte de cada firma proporcionada por Palo Alto Networks. a continuación. Configuración del perfil de protección de vulnerabilidades Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Si cancela la selección de la casilla de verificación. consulte “Acciones en perfiles de seguridad”. Pestaña Reglas Nombre de regla Especifique un nombre para identificar la regla. espacios. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. lado del servidor o (cualquiera). Para ver una lista de las acciones. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Guía de referencia de interfaz web. versión 7. La casilla de verificación no está seleccionada de manera predeterminada. Utilice únicamente letras. desplácese a Objetos > Perfiles de seguridad > Protección de vulnerabilidades y haga clic en Añadir o seleccione un perfil existente. El cortafuegos aplica un conjunto de firmas a la regla buscando nombres de firmas para esta cadena de texto. Aparecerá una lista de todas las firmas y verá una columna Acción. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. guiones y guiones bajos. Este nombre aparece en la lista de perfiles de protección de vulnerabilidades cuando se definen políticas de seguridad. Si cancela la selección de la casilla de verificación. Host Palo Alto Networks Especifique si desea limitar las firmas de la regla a las del lado del cliente. • Cada grupo de dispositivos en Panorama. puntos. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Para ver la acción predeterminada de una firma. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. haga clic en Mostrar todas las firmas.0 • 283 . lo que significa que la cancelación está habilitada. números. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Haga clic en la pestaña Excepciones y.

Puede realizar una búsqueda de cadenas en este campo. alto o crítico) si desea limitar las firmas a las coincidentes con los niveles de gravedad especificados. Seleccione paquete único para capturar un paquete cuando se detecta. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Captura de paquetes Descripción Seleccione la casilla de verificación para capturar paquetes identificados. donde aaaa es el año y xxxx es un identificador único. donde aa es el año en formato de dos dígitos y xxx es el identificador único. para buscar las vulnerabilidades del año 2011. Lista CVE Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea limitar las firmas a las que también coinciden con las CVE especificadas. desplácese hasta Dispositivo > Configuración > ID de contenido y. Por ejemplo. Si está definida la opción de bloqueo. desplácese hasta Supervisar > Logs > Amenaza. Cada CVE tiene el formato CVE-aaaa-xxxx. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. para buscar Microsoft en el año 2009. Solo se producirá captura de paquetes si la acción está permitida o alerta. introduzca “2011”. 284 • Guía de referencia de interfaz web. Para definir el número de paquetes que deben capturarse. versión 7. Por ejemplo. a continuación. medio. introduzca “MS09”. la sesión finaliza inmediatamente. Gravedad Seleccione el nivel de gravedad (informativo. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. Por ejemplo. Categoría Seleccione una categoría de vulnerabilidad si desea limitar las firmas a las que coinciden con esa categoría. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. edite la sección Configuración de ID de contenidos. los ID de proveedor de Microsoft tienen el formato MSaa-xxx.0 Palo Alto Networks . Para ver la captura de paquetes. bajo.Perfiles de seguridad Tabla 145. ID de proveedor Especifique el ID del proveedor si desea limitar las firmas a las coincidentes con la de los Id de los proveedores especificados.

Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Descripción Pestaña Excepciones Amenazas Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. el ID de amenaza 40001 se activa en un ataque de fuerza bruta de FTP. Seleccione la casilla de verificación Captura de paquetes si desea capturar paquetes identificados. La acción predeterminada se muestra entre paréntesis. Los umbrales están preconfigurados para firmas de fuerza bruta y se pueden modificar haciendo clic en el icono de lápiz junto al nombre de la amenaza de la pestaña Vulnerabilidad (con la opción Personalizada seleccionada). La base de datos de firma de vulnerabilidad contiene firmas que indican un ataque de fuerza bruta. IP de destino o una combinación de IP de origen y destino. Las firmas de fuerza bruta se activan cuando se produce una condición en un determinado umbral temporal. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Si las direcciones IP se añaden a una excepción de amenaza. versión 7. Puede especificar el número de resultados por unidad de tiempo y si se aplicarán los umbrales de origen. o seleccionar Todas para responder a todas las amenazas indicadas. La lista depende del host. Si la casilla de verificación Mostrar todo está seleccionada. categoría y gravedad seleccionada. Si la lista está vacía. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. Si la casilla de verificación Mostrar todo no está seleccionada. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza.Perfiles de seguridad Tabla 145. destino u origen-destino. Puede añadir hasta 100 direcciones IP por firma. aparecerán todas las firmas. no hay amenazas en las selecciones actuales.0 • 285 . Seleccione una acción de la lista desplegable o seleccione una opción de la lista desplegable Acción en la parte superior de la lista para aplicar la misma acción a todas las amenazas. Los umbrales se pueden aplicar en una IP de origen. solo se mostrarán las firmas que son excepciones. La columna CVE muestra los identificadores de vulnerabilidades y exposiciones comunes (CVE). Estos identificadores únicos y comunes son para vulnerabilidades de seguridad de información públicamente conocidas. por ejemplo. Palo Alto Networks Guía de referencia de interfaz web.

Si elige Permitir. que aplique Safe Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una licencia de filtrado de URL). se bloquearán todas las URL. 286 • Guía de referencia de interfaz web. Configuración de perfil de filtrado de URL Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). La casilla de verificación no está seleccionada de manera predeterminada.Perfiles de seguridad Perfiles de filtrado de URL Objetos > Perfiles de seguridad > Filtrado de URL Una política de seguridad puede incluir la especificación de un perfil de filtrado de una URL que bloquee el acceso a sitios web y a categorías de sitios web específicas. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Este nombre aparece en la lista de perfiles de filtrado de URL cuando se definen políticas de seguridad. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). se permitirán todas las URL. números. guiones y guiones bajos. Para aplicar los perfiles de filtrado de URL a las políticas de seguridad. consulte “Definición de políticas de seguridad”. Si usa PAN-DB. espacios.0 Palo Alto Networks . Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. Categorías (configurable solo para BrightCloud) Acción tras el vencimiento de la licencia Seleccione la medida que se adoptará si vence la licencia de filtrado de URL: • Bloquear: Bloquea el acceso a todos los sitios web. Utilice únicamente letras. También puede definir una “lista de bloqueo” de sitios web que esté siempre bloqueada (o que generen alertas) y una “lista de permiso” de sitios web que esté siempre permitida. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Nota: Si usa la base de datos BrightCloud y define esta opción para bloquear al vencimiento de la licencia. lo que significa que la cancelación está habilitada. Para crear categorías de URL personalizadas con sus propias listas de URL. versión 7. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. • Cada grupo de dispositivos en Panorama. Las siguientes tablas describen la configuración de perfil de filtrado de URL: Tabla 146. consulte “Categorías de URL personalizadas”. • Permitir: Permite el acceso a todos los sitios web. no solo las categorías de URL definidas para bloquearse. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. el filtrado de URL seguirá funcionando y las categorías de URL que se encuentran en caché actualmente se usarán para bloquear o permitir en función de su configuración. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados.

219.*. "yahoo" y "com") www.133. los siguientes patrones son válidos: *.com” es diferente de “paloaltonetworks.com www.yahoo. Por ejemplo. + Toda cadena separada por el carácter anterior se considera un testigo. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada. "yahoo".com” y “paloaltonetworks. Si desea bloquear el dominio entero. debe incluir “*. Ejemplos: • www.paloaltonetworks.paloaltonetworks. "search".y*. “www.Perfiles de seguridad Tabla 146. pero añade una alerta al log de URL. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña.paloaltonetworks. / ? & = . "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. ww*.com”.com • 198.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de bloqueadas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee bloquear o cuyas alertas desee generar.0 • 287 . Por ejemplo. "com". Los siguientes caracteres se consideran separadores: . Introduzca las URL una a una.com Acción Seleccione la medida que se adoptará cuando se acceda a un sitio web de la lista de bloqueo.com”. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”).yahoo. • Alertar: Permite al usuario acceder al sitio web. Palo Alto Networks Guía de referencia de interfaz web. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *.com/search=* (Los testigos son: "www".yahoo. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista.com (Los testigos son: "*". Las entradas de la lista de bloqueo deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas.com (Los testigos son: "www". versión 7. "*" and "com") www. • Bloquear: Bloquea el acceso al sitio web.

"*" and "com") www.yahoo. / ? & = . ww*.com Esta lista tiene prioridad sobre las categorías de sitios web seleccionados. debe incluir “*. Por ejemplo. "com". Introduzca una dirección IP o URL en cada línea.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”).com (Los testigos son: "*".com” y “paloaltonetworks.com • 198.paloaltonetworks.com www. • Permitir: Permite al usuario acceder al sitio web.com”. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. "yahoo" y "com") www.com” es diferente de “paloaltonetworks. • Bloquear: Bloquea el acceso al sitio web.Perfiles de seguridad Tabla 146.*.yahoo. "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo.com”. Nota: Las páginas Continuar y Cancelar no se mostrarán correctamente en máquinas cliente configuradas para utilizar un servidor proxy. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada.133. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista. "yahoo". pero añade una alerta al log de URL.com (Los testigos son: "www". Si desea permitir el dominio entero. versión 7. “www. la medida que se adoptará cuando accede a un sitio web de esa categoría.0 Palo Alto Networks . para cada categoría.219. los siguientes patrones son válidos: *. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de permitidas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee permitir o cuyas alertas desee generar. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña.paloaltonetworks. 288 • Guía de referencia de interfaz web. "search".yahoo. Ejemplos: • www. Los siguientes caracteres se consideran separadores: . + Toda cadena separada por el carácter anterior se considera un testigo. Por ejemplo. • Alertar: Permite al usuario acceder al sitio web.com/search=* (Los testigos son: "www". Las entradas de la lista de permitidas deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas.y*. Categoría/Acción Seleccione.paloaltonetworks.

no es necesaria una licencia de filtrado de URL. Filtrado de URL dinámica Seleccione para activar las búsquedas en la nube y categorizar la URL. Valor predeterminado: Habilitado Habilitar forzaje de búsquedas seguras Seleccione esta casilla de verificación para forzar el filtrado de búsquedas seguras estricto. la evaluación para determinar si un sitio se considera seguro o no la realizan los proveedores de búsquedas. esta opción está habilitada de forma predeterminada y no es configurable. Si un usuario realiza una búsqueda usando uno de estos motores y su explorador o motor de búsqueda no tiene configurada la opción búsqueda segura en la opción estricta. Para forzar la búsqueda segura. Para evitar que los usuarios omitan esta función usando otros proveedores de búsquedas. versión 7. Si un proveedor cambia el método de configuración de búsquedas seguras que usa Palo Alto Networks para detectar estas configuraciones. debe añadirse el perfil a una política de cifrado. Yandex o YouTube) vean los resultados de búsqueda. a menos que tengan definida la opción de búsqueda segura estricta en sus exploradores para estos motores de búsqueda. Para usar esta función. configure el perfil de filtrado de URL para que bloquee la categoría de los motores de búsqueda y que se puedan permitir Bing. Nota: Si está realizando una búsqueda en Yahoo Japan (yahoo. Y.jp) mientras está registrado en su cuenta de Yahoo!. para activar la búsqueda segura para los sitios cifrados (HTTPS). Consulte la Guía del administrador de PAN-OS para obtener más información. se llevará a cabo una actualización de firmas para garantizar que se detecta la configuración adecuadamente.Perfiles de seguridad Tabla 146. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Comprobar categoría de URL Haga clic para acceder al sitio web donde podrá introducir una URL o dirección IP para ver información de categorización. la opción de bloqueo para el ajuste de búsqueda también debe estar habilitada. La habilidad del cortafuegos para detectar la configuración de búsquedas seguras dentro de estos tres proveedores se actualizará usando la actualización de firma Aplicaciones y amenazas. no Palo Alto Networks. Además.0 • 289 . (configurable solo para BrightCloud) Con PAN-DB. Valor predeterminado: Deshabilitado Si la URL no se resuelve después de que aparezca la ventana de tiempo de espera de 5 segundos. Página de contenedor de log únicamente Seleccione la casilla de verificación para incluir en el log únicamente las URL que coinciden con el tipo de contenido especificado.co. los resultados de búsqueda serán bloqueados (dependiendo de la acción definida en el perfil) y se pedirá al usuario que defina la opción estricta en la configuración de búsqueda segura. la respuesta aparece como “URL no resuelta”. Palo Alto Networks Guía de referencia de interfaz web. debe añadirse el perfil a la política de seguridad. Google. Yahoo. Google. Valor predeterminado: Deshabilitado Al habilitarla. Yandex y YouTube. Esta opción se activa si la base de datos local no puede categorizar la URL. Yahoo. esta opción evitará que los usuarios que realicen búsquedas en Internet usando uno de los tres principales proveedores de búsquedas (Bing.

Es especialmente útil si tiene un servidor proxy en su red o ha implementado NAT de origen. Por ejemplo. guiones y guiones bajos. Sin embargo. se trata del origen que ha redirigido (referencia) al usuario a la página web que se está solicitando. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Cuando están activados. Este nombre aparece en la lista de perfiles de bloqueo de archivos cuando se definen políticas de seguridad. Para aplicar los perfiles de bloqueo de archivo a las políticas de seguridad. versión 7. El valor Agente-usuario del log admite hasta 1024 caracteres. uno o varios de los siguientes pares de valores de atributos se graban en el log de filtrado de URL: • Agente-usuario (User-Agent): El navegador web que utilizaba el usuario para acceder a la URL. los tipos de archivos compatibles se enviarán a WildFire. El valor de x reenviado para en el log admite hasta 128 caracteres. algo que enmascara la dirección IP del usuario de tal forma que todas las solicitudes parecen originarse desde la dirección IP del servidor proxy o una dirección IP común. • Sitio de referencia: URL de la página web que enlazaba el usuario a otra página web. consulte “Definición de políticas de seguridad”.Perfiles de seguridad Tabla 146. Le permite identificar la dirección IP del usuario. donde serán analizados para buscar comportamientos malintencionados. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Esta información se envía en la solicitud de HTTP al servidor. Las siguientes tablas describen la configuración de perfil de bloqueo de archivo: Tabla 147.0 Palo Alto Networks . El valor del sitio de referencia en el log admite hasta 256 caracteres. • X-Forwarded-For: Opción del campo de encabezado que conserva la dirección IP del usuario que ha solicitado la página web. el agente-usuario puede ser Internet Explorer o Firefox. 290 • Guía de referencia de interfaz web. Perfiles de bloqueo de archivo Objetos > Perfiles de seguridad > Bloqueo de archivo Una política de seguridad puede incluir la especificación de un perfil de bloqueo de archivos que impida que los tipos de archivos seleccionados se carguen y/o descarguen. espacios. Si se selecciona la acción Reenviar. haga clic en Añadir en el campo Tipos de archivo del cuadro de diálogo Perfil de bloqueo de archivo. Utilice únicamente letras. Configuración de perfil de bloqueo de archivo Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). dado que en una actualización de contenido se puede añadir una nueva compatibilidad con un tipo de archivo. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Logging de la cabecera HTTP La activación del logging de la cabecera HTTP proporciona visibilidad sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor. La Tabla 148 enumera los formatos de archivo compatibles en el momento de esta publicación. para ver la lista más actualizada. o que genere una alerta cuando se detecten. números.

Si cancela la selección de la casilla de verificación. La casilla de verificación no está seleccionada de manera predeterminada. versión 7. Para añadir una regla. únicamente puede elegir la aplicación navegación web. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. lo que significa que la cancelación está habilitada. • Cada grupo de dispositivos en Panorama. Esta acción solo funciona con tráfico basado en web. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Si elige cualquier otra aplicación.Perfiles de seguridad Tabla 147. • Acción: Seleccione la medida que se adoptará cuando se detecten archivos de los tipos seleccionados: – Alertar: Se añade una entrada al log de amenazas. El propósito es advertir al usuario de una posible descarga desconocida (también se conocen como descargas drive-by) y darle al usuario la opción de continuar o detener la descarga. – Bloquear: El archivo se bloquea. Palo Alto Networks Guía de referencia de interfaz web. Reglas Defina una o más reglas para especificar la medida que se adoptará (si se especifica alguna) para los tipos de archivos seleccionados. • Dirección: Seleccione la dirección de la transferencia de archivos (Cargar. Descargar o Ambos). – Continuar: Aparecerá un mensaje para el usuario indicando que se ha solicitado una descarga y le pide confirmación para continuar. – Reenviar: El archivo se envía automáticamente a WildFire. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. • Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o para los que desee generar alertas. Esto se debe al hecho de que un usuario debe hacer clic en continuar antes de que el archivo se reenvíe y la opción de página de respuesta de continuación solo está disponible con http/https. • Aplicaciones: Seleccione las aplicaciones a las que afectará la regla o seleccione Cualquiera. especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre para la regla (hasta 31 caracteres). Si cancela la selección de la casilla de verificación.0 • 291 . el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los usuarios no verán una página que les pregunte si desean continuar. Configuración de perfil de bloqueo de archivo (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. – Continuar y reenviar: Aparece una página de continuación y el archivo se envía a WildFire (combina las acciones Continuar y Reenviar). Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el reenvío de WildFire).

Perfiles de seguridad Tabla 148. Si determina que la página es benigna. encrypted-doc Documento cifrado de Microsoft Office encrypted-docx Documento cifrado de Microsoft Office 2007 encrypted-office2007 Archivo cifrado de Microsoft Office 2007 encrypted-pdf Documento cifrado de Adobe PDF encrypted-ppt Documento cifrado de Microsoft PowerPoint encrypted-pptx Documento cifrado de Microsoft PowerPoint 2007 encrypted-rar Archivo cifrado rar encrypted-xls Archivo cifrado de Microsoft Office Excel encrypted-xlsx Archivo cifrado de Microsoft Office Excel 2007 encrypted-zip Archivo cifrado zip exe Ejecutable de Microsoft Windows 292 • Guía de referencia de interfaz web. Después de recibir un enlace de correo electrónico de un cortafuegos. el cortafuegos extrae los enlaces de HTTP/ HTTPS contenidos en los mensajes de correo electrónico POP3 y SMTP y los envía a la nube de WildFire para su análisis (esta función no está admitida en el dispositivo WF-5000 WildFire). reenvía ni ve el mensaje de correo electrónico. no se enviará ninguna entrada de log al cortafuegos. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor.0 Palo Alto Networks . receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos. no recibe. WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación. Formatos de archivo compatibles con bloqueo de archivos Campo Descripción apk Archivo de paquete de aplicaciones Android avi Archivo de vídeo basado en el formato Microsoft AVI (RIFF) avi-divx Archivo de vídeo AVI codificado con el códec DivX avi-xvid Archivo de vídeo AVI codificado con el códec XviD bat Archivo por lotes MS DOS bmp-upload Archivo de imagen de mapa de bits (carga únicamente) cab Archivo comprimido de Microsoft Windows cdr Archivo de Corel Draw class Archivo bytecode de Java cmd Archivo de comandos de Microsoft dll Biblioteca de vínculos dinámicos de Microsoft Windows doc Documento de Microsoft Office docx Documento de Microsoft Office 2007 dpx Archivo Digital Picture Exchange dsn Archivo Database Source Name dwf Archivo Design Web Format de Autodesk dwg Archivo Autodesk AutoCAD edif Archivo Electronic Design Interchange Format email-link Al enviar el tipo de archivo email-link. se genera un informe de análisis detallado de WildFire en el log de presentaciones de WildFire y la URL se añade a PAN-DB. Si el enlace es malintencionado. versión 7. almacena.

este contenido se ve en el reproductor Adobe Flash. xls. scr. pst. sys. pub. docx. pptx. versión 7. Los archivos pueden estar comprimidos varias veces con la intención de ocultar el tipo de archivo original y evadir la detección de contenido malintencionado. xlsx). Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción flash Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. flv Archivo de Adobe Flash Video gds Archivo Graphics Data System gif-upload Archivo de imagen GIF (carga únicamente) gzip Archivos comprimidos con la aplicación gzip hta Archivo de aplicación HTML iso Imagen de disco según la normativa ISO-9660 iwork-keynote Documentos de iWork Keynote de Apple iwork-numbers Documentos de iWork Numbers de Apple iwork-pages Documentos de iWork Pages de Apple jar Archivo Java jpeg-upload Archivo de imagen JPG/JPEG (carga únicamente) lnk Acceso directo a archivo de Microsoft Windows lzh Archivo comprimido con la utilidad/algoritmo lha/lhz mdb Archivo Microsoft Access Database mdi Archivo Microsoft Document Imaging mkv Archivo Matroska Video mov Archivo Apple Quicktime Movie mp3 Archivo de audio MP3 mp4 Archivo de audio MP4 mpeg Archivo de audio y vídeo con la compresión MPEG-1 o MPEG-2 msi Archivo paquete de Microsoft Windows Installer msoffice Archivo de Microsoft Office (doc. texto. cpl.Perfiles de seguridad Tabla 148. El archivo SWC es un paquete comprimido de componentes SWF. se recomienda que seleccione el grupo “msoffice” para asegurarse de que se identificarán todos los tipos de archivos de MS Office admitidos en lugar de seleccionar individualmente cada tipo de archivo. Codificación multinivel Archivo que se ha codificado cinco o más veces. el cortafuegos descodifica e identifica los archivos que se han codificado hasta cuatro veces. rtf. ppt. vídeo y sonido en Internet. sin embargo. com. tlb) pgp Clave de seguridad o firma digital cifrada con software PGP pif Archivo de información de programas de Windows con instrucciones ejecutables pl Archivo de comandos Perl Palo Alto Networks Guía de referencia de interfaz web. puede utilizar este tipo de archivo para bloquear los archivos que el cortafuegos no descodifique debido a que estén codificados cinco o más veces. De manera predeterminada.0 • 293 . ocx Archivo Microsoft ActiveX pdf Archivo Adobe Portable Document PE Microsoft Windows Portable Executable (exe. Varios niveles de codificación de archivo pueden indicar un comportamiento sospechoso. dll. El archivo SWF suministra gráficos de vector. Si quiere que el cortafuegos bloquee/reenvíe archivos de MS Office. ocx. drv.

com) tif Archivo Windows Tagged Image torrent Archivo de BitTorrent wmf Metaarchivo de Windows para guardar imágenes de vectores wmv Archivo de vídeo Windows Media wri Archivo de documento de Windows Write wsf Archivo de comandos de Windows xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel zcompressed Archivo Z comprimido en Unix. Después de crear un perfil de análisis de WildFire.Perfiles de seguridad Tabla 148. añadir el perfil a una política (Políticas > Seguridad) le permite aplicar los ajustes de perfil a cualquier tráfico que coincida con esa política (por ejemplo. una categoría de URL definida en la política). la aplicación o la dirección de transmisión del archivo (carga o descarga). Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción png-upload Archivo de imagen PNG (carga únicamente) ppt Presentación en Microsoft Office PowerPoint pptx Presentación en Microsoft Office PowerPoint 2007 psd Documento de Adobe Photoshop rar Archivo comprimido creado con winrar reg Archivo de registro de Windows rm Archivo RealNetworks Real Media rtf Archivo de documento de formato de texto enriquecido de Windows sh Archivo de comandos Shell de Unix stp Archivo de gráficos estándar para el intercambio de datos de modelo de productos en 3D tar Archivo comprimido tar de Unix tdb Archivo Tanner Database (www. 294 • Guía de referencia de interfaz web. Puede especificar que el tráfico se reenvíe a la nube pública o a la nube privada en función del tipo de archivo.0 Palo Alto Networks .tannereda. se descomprime con la utilidad uncompress zip Archivo Winzip/pkzip Perfiles de análisis de WildFire Objetos > Perfiles de seguridad > Análisis de WildFire Utilice un perfil de análisis de WildFire para especificar que se realice un análisis de archivos de WildFire localmente en el dispositivo WildFire o en la nube de WildFire. versión 7.

Para aplicar los perfiles de filtrado de datos a las políticas de seguridad. • Introduzca un Nombre descriptivo para cada regla que añada al perfil (hasta 31 caracteres). • Cada grupo de dispositivos en Panorama. puede describir las reglas de perfil o el uso previsto del perfil (hasta 255 caracteres). Si cancela la selección de la casilla de verificación. • Seleccione un Tipo de archivo para su análisis en el destino de análisis definido para la regla. • Aplique la regla al tráfico dependiendo de la Dirección de la transmisión. Utilice únicamente letras. descargar tráfico o ambas acciones. Perfiles de filtrado de datos Objetos > Perfiles de seguridad > Filtrado de datos Una política de seguridad puede incluir la especificación de un perfil de filtrado de datos que ayuda a identificar información confidencial como números de tarjetas de crédito o de la seguridad social y que evita que dicha información salga del área protegida por el cortafuegos. • Seleccione el Destino del tráfico que se reenviará para su análisis: – Seleccione la nube pública para que todo el tráfico que coincida con la regla se reenvíe a la nube pública de WildFire para su análisis. Configuración de perfil de análisis de WildFire Campo Descripción Nombre Introduzca un nombre descriptivo para el perfil de análisis de WildFire (hasta 31 caracteres). Descripción Opcionalmente. Si cancela la selección de la casilla de verificación.Perfiles de seguridad Tabla 149. – Seleccione la nube privada para que todo el tráfico que coincida con la regla se reenvíe al dispositivo de WildFire para su análisis. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. espacios. Puede aplicar la regla para cargar tráfico. Palo Alto Networks Guía de referencia de interfaz web. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. guiones y guiones bajos.0 • 295 . números. Reglas Defina una o más reglas para especificar que el tráfico se reenvíe a la nube pública de WildFire o al dispositivo WildFire (nube privada) para su análisis. versión 7. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. consulte “Definición de políticas de seguridad”. Este nombre aparecerá en la lista de perfiles de análisis de WildFire entre los que puede elegir al definir una política de seguridad. • Añada una Aplicación para que el tráfico de cualquier aplicación coincida con la regla y se reenvíe al destino de análisis especificado. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.

espacios. guiones y guiones bajos. Configuración de patrones de datos Campo Descripción Patrón de datos Seleccione un patrón de datos existente de la lista desplegable Patrón de datos o configure un nuevo patrón seleccionando Patrón de datos de la lista y especificando la información descrita en “Definición de patrones de datos”. números.Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de filtrado de datos: Tabla 150. • Haga clic en Añadir para especificar tipos de archivos individuales. Aplicaciones Especifique las aplicaciones que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones enumeradas. Consulte “Definición de la configuración de gestión”. Configuración de perfiles de filtrado de datos Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Esta selección no bloquea todas las aplicaciones posibles. solo las enumeradas. solo los enumerados. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Para añadir un patrón de datos. versión 7. Tabla 151. Si cancela la selección de la casilla de verificación. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. • Cada grupo de dispositivos en Panorama. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Captura de datos Seleccione la casilla de verificación para recopilar automáticamente los datos bloqueados por el filtro. Esta selección no bloquea todos los posibles tipos de archivo. La casilla de verificación no está seleccionada de manera predeterminada. lo que significa que la cancelación está habilitada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 Palo Alto Networks . Especifique una contraseña para Gestionar protección de datos en la página Configuración para ver sus datos capturados. Utilice únicamente letras. • Haga clic en Añadir para especificar aplicaciones individuales. 296 • Guía de referencia de interfaz web. Tipos de archivos Especifique los tipos de archivos que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos enumerados. Si cancela la selección de la casilla de verificación. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. haga clic en Añadir y especifique la siguiente información. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados.

en una zona externa. Umbral de alerta Especifique el valor que activará la alerta. Para protegerse contra inundaciones SYN en una puerta de enlace compartida. Perfiles DoS Objetos > Perfiles de seguridad > Protección DoS Los perfiles de protección DoS están diseñados para una selección muy precisa y los perfiles de protección de zona de aumento. Estos perfiles se adjuntan a políticas de protección de DoS para permitirle controlar el tráfico entre interfaces. zonas. puede aplicar un perfil de protección Inundación SYN con Descarte aleatorio temprano o Cookies SYN. consulte “Definición de políticas DoS”. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6. Umbral de bloqueo Especifique el valor que activará el bloqueo. Para aplicar perfiles DoS a políticas DoS. la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). debe crear un perfil de protección de zona separado para la puerta de enlace compartida. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un ataque de DoS. Configuración de patrones de datos (Continuación) Campo Descripción Dirección Especifique si desea aplicar el filtro en la dirección de la carga. versión 7. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5.0 • 297 . Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). direcciones y países según sesiones agregadas o direcciones IP únicas de origen o o destino. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5. descarga o ambas. solo Descarte aleatorio temprano está disponible para la protección contra inundaciones SYN Palo Alto Networks Guía de referencia de interfaz web.Perfiles de seguridad Tabla 151.

el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Por ejemplo. • Clasificado: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplen el criterio de clasificación (IP de origen. • Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación. o IP de origen y destino). La casilla de verificación no está seleccionada de manera predeterminada. 298 • Guía de referencia de interfaz web. una regla de agregación con un umbral de inundación SYN de 10000 paquetes por segundo (pps) cuenta todos los paquetes que cumplen esa regla DoS concreta. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras. Tipo Especifique uno de los tipos de perfil siguientes: • Agregar: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplan los criterios de la regla en la que se aplica el perfil. Si cancela la selección de la casilla de verificación. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. guiones y guiones bajos. IP de destino. números. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. lo que significa que la cancelación está habilitada. versión 7. Configuración del perfil de protección DoS Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Descripción Introduzca una descripción del perfil (hasta 255 caracteres).0 Palo Alto Networks .Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección DoS: Tabla 152.

• Etiquetas para ordenar y filtrar objetos. Otras pestañas secundarias • Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS (intervalo 0-2000000 pps. • Tasa máxima: Especifique la tasa a la que los paquetes se descartarán o se bloquearán. Los paquetes que lleguen durante la duración del bloqueo no afectarán al recuento para activar las alertas.Otros objetos de las políticas Tabla 152. Nota: Si define límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas. • Aplicaciones y grupos de aplicaciones que permiten especificar cómo se tratan las aplicaciones de software en las políticas. o IP de origen y destino) que cumple la regla DoS en la que se aplica el perfil DoS. IP de destino. este límite se aplica a todo el tráfico clasificado (IP de origen. versión 7. de forma que no sea necesario cancelar conexiones en presencia de un ataque de inundación SYN. Máx. Pestaña Protección de recursos Sesiones Seleccione la casilla de verificación para habilitar la protección de los recursos. 10000 pps). Palo Alto Networks Guía de referencia de interfaz web. Si el tipo de perfil DoS es de clasificación. Otros objetos de las políticas Los objetos de las políticas son los elementos que le permiten construir.0 • 299 . Consulte “Aplicaciones”. Consulte “Definición de grupos de direcciones”. • Duración del bloqueo: Especifique la duración (en segundos) durante la que los paquetes infractores se denegarán. programar y buscar políticas. por defecto. Los siguientes tipos de objetos son compatibles: • Direcciones y grupos de direcciones para determinar el ámbito de la política. • Activar tasa: Seleccione la tasa (pps) a la que se activará la respuesta DoS (intervalo 0-2000000 pps. Configuración del perfil de protección DoS (Continuación) Campo Descripción Pestaña Protección contra inundaciones Pestaña secundaria Inundación SYN Seleccione la casilla de verificación para activar la protección de inundación SYN y especificar los siguientes ajustes: Pestaña secundaria Inundación de UDP • Acción: (Inundación SYN únicamente) Seleccione entre las siguientes opciones: – Descarte aleatorio temprano: Descarta paquetes de forma aleatoria antes de alcanzar el límite DoS. Si el tipo de perfil DoS es de agregación. • Servicios y grupos de servicios que limitan los números de puertos. Consulte “Servicios”. Consulte “Etiquetas”. el umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión establecida previamente. de límites simultáneos Especifique el número máximo de sesiones simultáneas. • Filtros de aplicación que permiten simplificar búsquedas. 10000 pps). por defecto. este límite se aplica a todo el tráfico entrante que cumple la regla DoS en la que se aplica el perfil DoS. Consulte “Filtros de aplicación”. Pestaña secundaria Inundación de ICMP – Cookies SYN: Utilice esta opción para generar confirmaciones.

Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. haga clic en Añadir y cumplimente los siguientes campos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. lo que significa que la cancelación está habilitada. • Reenvío de log para especificar configuraciones de log. 300 • Guía de referencia de interfaz web. • Programaciones para especificar cuándo están las políticas activas. Definición de objetos de direcciones Objetos > Direcciones Un objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple. Le permite reutilizar el mismo objeto como dirección de origen o destino en todas las bases de reglas de políticas sin tener que añadirlas cada vez de forma manual. Para trasladar o duplicar objetos. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la dirección en grupos de dispositivos descendientes cancelando sus valores heredados. Consulte “Ajustes de descifrado SSL en un perfil de descifrado”. Tabla 153. • Cada grupo de dispositivos en Panorama. • Categorías URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo en perfiles de filtrado URL. el objeto de dirección únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Configuración de nuevas direcciones Campo Descripción Nombre Introduzca un nombre que describe las direcciones que se definirán (de hasta 63 caracteres).0 Palo Alto Networks . Se configura usando la interfaz web o la CLI y se requiere una operación de compilación para hacer que el objeto forme parte de la configuración. Consulte “Reenvío de logs”. guiones y guiones bajos. consulte “Traslado o duplicación de una política o un objeto”. Consulte “Grupos de perfiles de seguridad”. Si cancela la selección de la casilla de verificación. subred) o FQDN.Otros objetos de las políticas • Patrones de datos para definir categorías de información confidencial para políticas de filtrado de datos. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). La casilla de verificación no está seleccionada de manera predeterminada. Consulte “Patrones de datos”. versión 7. el objeto de dirección únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Consulte “Categorías de URL personalizadas”. números. • Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. Utilice únicamente letras. espacios. Si cancela la selección de la casilla de verificación. Para definir un objeto de dirección. intervalo. Compartido Seleccione esta casilla de verificación si quiere que el objeto de dirección esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.

80. si tiene una Palo Alto Networks Guía de referencia de interfaz web. seleccione Intervalo de IP. si se configura un proxy. e introduzca un intervalo de direcciones. Configuración de nuevas direcciones (Continuación) Campo Descripción Tipo Especifique una dirección o intervalo de direcciones IPv4 o IPv6 o FQDN.168. Los grupos de direcciones dinámicas son muy útiles si tiene una infraestructura virtual amplia con cambios frecuentes en la ubicación de la máquina virtual o la dirección IP. Para obtener información acerca del proxy DNS. Ejemplo: “2001:db8:123:1::1” o “2001:db8:123:1::/64” Intervalo de IP: Para especificar un intervalo de direcciones. seleccione FQDN e introduzca el nombre de dominio. versión 7. Ejemplo: “2001:db8:123:1::1 .255. FQDN se resuelve inicialmente en el momento de la compilación. consulte “Configuración de proxy DNS”. FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy DNS. Máscara de red IP: Introduzca la dirección IPv4 o IPv6 o la el intervalo de la dirección IP con la siguiente notación: dirección_ip/máscara o dirección_ip donde la máscara es el número de dígitos binarios significativos utilizados para la porción de red de la dirección. Ejemplo: “192. Si desea más información sobre etiquetas. Etiquetas Seleccione o introduzca etiquetas que desee aplicar a este objeto de dirección. Definición de grupos de direcciones Objetos > Grupos de direcciones Para simplificar la creación de políticas de seguridad. Por tanto. El formato es: dirección_ip–dirección_ip donde cada dirección puede ser IPv4 o IPv6. Puede definir una etiqueta aquí o usar la pestaña Objetos > Etiquetas para crear etiquetas nuevas.80. todos los cambios en la dirección IP de las entradas se recogen en el ciclo de actualización. Un grupo de direcciones puede ser estático o dinámico.80. las direcciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de direcciones.150/32” indica una dirección y “192.2001:db8:123:1::22” Tipo (continuación) FQDN: Para especificar una dirección mediante FQDN.168.0 • 301 .168.0/24” indica todas las direcciones desde 192.168.0 hasta 192. • Grupos de direcciones dinámicas: Un grupo de direcciones dinámicas cumplimenta sus miembros dinámicamente usando búsquedas de etiquetas y filtros basados en etiquetas.80.Otros objetos de las políticas Tabla 153. las entradas se actualizan cuando el cortafuegos realiza una comprobación cada 30 minutos. consulte “Etiquetas”. Por ejemplo.

haga clic en Añadir y cumplimente los siguientes campos. – Defina un grupo de direcciones dinámicas y haga referencia al mismo en la regla de política. Si dispone de un entorno virtual con VMware. debe usar secuencias de comandos que activen la API XML en el cortafuegos. en los que se especifica una dirección de red en un host. Los grupos de direcciones dinámicas también pueden incluir objetos de direcciones definidas estáticamente. puede usar la función Orígenes de información de VM (pestaña Dispositivo > Orígenes de información de VM ) para configurar el cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar información (dirección de red y etiquetas correspondientes) de nuevos servidores/invitados implementados en estas máquinas virtuales. El criterio de coincidencia usa operadores lógicos y u o. cada host que quiera añadir al grupo de direcciones dinámicas debe incluir la etiqueta o atributo definido en el criterio de coincidencia. A diferencia de los grupos de direcciones estáticas. • Grupos de direcciones estáticas: Un grupo de direcciones estáticas puede incluir objetos de dirección que sean estáticas. en lugar de usar secuencias de comandos para activar la API XML. Para crear un grupo de direcciones. debe realizar las siguientes tareas. 302 • Guía de referencia de interfaz web. los miembros de un grupo de direcciones dinámicas se cumplimentan definiendo un criterio de coincidencia. grupos de direcciones dinámicas o puede ser una combinación de objetos de dirección y grupos de direcciones dinámicas. puede usar etiquetas para agrupar objetos tanto dinámicos como estáticos en el mismo grupo de direcciones. versión 7.Otros objetos de las políticas configuración de conmutación por error o incluye nuevas máquinas virtuales con frecuencia y le gustaría aplicar una política al tráfico que va o que procede de la nueva máquina sin modificar la configuración o las reglas del cortafuegos. Para usar un grupo de direcciones dinámicas en la política. así como definirse dinámicamente usando la API XML y registrarse en el cortafuegos. cada grupo dinámico evalúa las etiquetas y actualiza la lista de miembros de su grupo.0 Palo Alto Networks . Cuando se registra una dirección IP y la etiqueta correspondiente (una o más). Para registrar una nueva dirección IP y etiquetas o cambios en las direcciones IP o etiquetas actuales. Por lo tanto. Si crea un objeto de dirección y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinámicas. Esto se puede hacer usando secuencias de comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware configurando en la pestaña Dispositivo > Orígenes de información de VM en el cortafuegos. este incluirá todos los objetos estáticos y dinámicos que coincidan con las etiquetas. – Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan formarse los grupos de direcciones dinámicas. Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama.

guiones y guiones bajos. Si desea más información sobre etiquetas. el grupo de direcciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. Guía de referencia de interfaz web. Compartido Seleccione esta casilla de verificación si quiere que el grupo de direcciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Para un grupo de direcciones estáticas. Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. La casilla de verificación no está seleccionada de manera predeterminada. versión 7. El grupo puede contener objetos de direcciones y grupos de direcciones tanto estáticas como dinámicas. Utilice únicamente letras. Defina el criterio Coincidencia usando los operadores Y u O. haga clic en Añadir y seleccione una o más direcciones. Para usar un grupo de direcciones dinámicas. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). que puede realizar un sondeo de la máquina para recuperar cambios en direcciones IP o en la configuración sin modificaciones en el cortafuegos. números.0 • 303 . use el criterio de coincidencia para incluir los miembros en el grupo. espacios. el grupo de direcciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. lo que significa que la cancelación está habilitada. Grupo de direcciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de direcciones (de hasta 63 caracteres).Otros objetos de las políticas Tabla 154. Nota: Para ver la lista de atributos del criterio de coincidencia. • Cada grupo de dispositivos en Panorama. Tipo Seleccione Estático o Dinámico. Cada máquina virtual en el origen de información configurado se registra en el cortafuegos. consulte “Etiquetas”. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de direcciones en grupos de dispositivos descendientes cancelando sus valores heredados. debe haber configurado el cortafuegos para acceder y recuperar los atributos desde el origen/host. Haga clic en Añadir para añadir un objeto o un grupo de direcciones al grupo de direcciones. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Etiquetas Palo Alto Networks Seleccione o introduzca etiquetas que desee aplicar a este grupo de direcciones.

La región está disponible como una opción si especifica el origen y el destino de las políticas de seguridad. políticas de descifrado y políticas DoS.x. espacios. Consulte “Uso de Appscope”. un intervalo de direcciones IP o una subred para identificar la región. Puede elegir entre una lista estándar de países o usar los ajustes de región que se describen en esta región. Utilice únicamente letras.xxxxxx). guiones y guiones bajos. números.x.x.x-a.x x. Direcciones Especifique una dirección IP. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.x/n 304 • Guía de referencia de interfaz web. Las siguientes tablas describen la configuración regional: Tabla 155. para definir las regiones personalizadas que se incluirán como opciones para reglas de política de seguridad. utilizando cualquiera de los siguientes formatos: x. Configuración de nuevas regiones Campo Descripción Nombre Introduzca un nombre que describe la región (de hasta 31 caracteres).a.0 Palo Alto Networks .x. versión 7.a x.a. seleccione la casilla de verificación y los valores (formato xxx. Esta información se utiliza en los mapas de tráfico y amenazas de Appscope.Otros objetos de las políticas Definición de regiones Objetos > Regiones El cortafuegos permite la creación de reglas de políticas aplicables a países concretos y otras regiones. Ubicación geográfica Para especificar la latitud y la longitud.x.x. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad.

El área superior de navegación de la aplicación de la página muestra los atributos que puede utilizar para filtrar la vista de la manera siguiente. “Descripción general de aplicaciones” Añadir una nueva aplicación o modificar una existente. Las publicaciones semanales de contenido incluyen periódicamente nuevos descodificadores y contextos para los que puede desarrollar firmas. si es proclive a un uso incorrecto o a intentos de evasión de cortafuegos. Palo Alto Networks Guía de referencia de interfaz web. como el riesgo de seguridad relativo de la aplicación (1 a 5).0 • 305 . El valor del riesgo se basa en criterios como si la aplicación puede compartir archivos.Otros objetos de las políticas Aplicaciones Objetos > Aplicaciones ¿Qué está buscando? Consulte Comprender los ajustes y atributos de aplicaciones que aparecen en la página Aplicaciones. versión 7. “Definición de aplicaciones” Descripción general de aplicaciones La página Aplicaciones muestra los diferentes atributos de cada definición de aplicación. Los valores mayores indican un mayor riesgo. El número a la izquierda de cada entrada representa el número total de aplicaciones con ese atributo.

después de instalar la actualización de contenido. Estas reglas se actualizan dinámicamente cuando se añade una nueva aplicación mediante una actualización de contenido que coincida con el filtro. Las reglas de seguridad definidas para bloquear. la lista de aplicaciones de la parte inferior de la página se actualizará automáticamente. los filtros Característica. la aplicación identificada de manera exclusiva ya no coincide con la regla de seguridad que permite el tráfico de exploración web. • Puede Deshabilitar una aplicación (o varias aplicaciones) para que la firma de aplicación no coincida con el tráfico. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. • Seleccione una aplicación deshabilitada y seleccione Habilitar la aplicación para que pueda implementarse de acuerdo con sus políticas de seguridad configuradas. haga clic en Importar.Otros objetos de las políticas Puede realizar cualquiera de las siguientes funciones en esta página: • Para aplicar filtros de aplicación. • Para importar una aplicación. seleccione una entrada en otra de las columnas. permitir o forzar una aplicación coincidente no se aplican al tráfico de la aplicación cuando la aplicación está deshabilitada.0 Palo Alto Networks . Puede decidir deshabilitar una aplicación que esté incluida con una nueva versión de publicación de contenido porque la implementación de la política de la aplicación podría cambiar cuando la aplicación esté identificada de manera exclusiva. En este caso. Cada vez que aplique un filtro. una aplicación identificada como tráfico de exploración web está permitida por el cortafuegos antes de una nueva instalación de versión de contenido. Subcategoría y Riesgo. aunque no se haya aplicado un filtro Tecnología de manera explícita. introduzca el nombre o descripción de la aplicación en el campo Búsqueda y pulse Intro. Una búsqueda incluye cadenas parciales. Se mostrará la aplicación y las columnas de filtrado se actualizarán con las estadísticas de las aplicaciones que coinciden con la búsqueda. Cuando defina políticas de seguridad. finalmente. Por ejemplo. Visualice todos los filtros guardados en Objetos > Filtros de aplicación. haga clic en un elemento que desee utilizar como base para el filtrado. • Para buscar una aplicación concreta. Por ejemplo. puede escribir reglas que se aplicarán a todas las aplicaciones que coincidan con un filtro guardado. Tecnología y Riesgo y. versión 7. podría decidir deshabilitar la aplicación para que el tráfico que coincida con la firma de aplicación siga estando clasificado como tráfico de exploración web y esté permitido. para restringir la lista a la categoría de colaboración. 306 • Guía de referencia de interfaz web. Por ejemplo. • Para filtrar por más columnas. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. a continuación los filtros Subcategoría. la columna Tecnología se restringe automáticamente a las tecnologías coherentes con la categoría y la subcategoría seleccionadas. si aplica un filtro Categoría. haga clic en colaboración y la lista solamente mostrará las aplicaciones de esta categoría.

Puede cancelar esta acción predeterminada en la política de seguridad. Esto le ayuda a evaluar si se requieren cambios de política en función de los cambios en la aplicación. Puertos estándar Puertos que utiliza la aplicación para comunicarse con la red. Ancho de banda excesivo Consume al menos 1 Mbps con regularidad en uso normal. Al crear una regla de política para permitir la aplicación seleccionada.0 • 307 . Observe que los ajustes disponibles varían de una aplicación a otra. El cuadro de diálogo Revisión de políticas le permite añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) desde o hacia una política de seguridad existente. Palo Alto Networks Guía de referencia de interfaz web. Información adicional Enlaces a sitios web (Wikipedia. o App-ID que han cambiado. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. La acción de denegación predeterminada puede especificar un descarte silencioso o un restablecimiento de TCP. También puede acceder al cuadro de diálogo Revisión de políticas al descargar e instalar versiones de publicación de contenido en la página Dispositivo > Actualizaciones dinámicas. como se describe en la siguiente tabla. versión 7. Las siguientes tablas describen la configuración de la aplicación: Tabla 156. De igual modo. los App-ID deshabilitados aparecerán en los logs como la aplicación como se identificaban anteriormente. Un lápiz amarillo sobre el icono que aparece a la izquierda del nombre de la aplicación significa que la aplicación se ha personalizado. las sesiones asociadas a esa aplicación coincidirán con la política como la anteriormente identificada como aplicación. Google o Yahoo!) que contienen más información sobre la aplicación. Denegar acción Los App-ID se desarrollan con una acción de denegación predeterminada que determina cómo responde el cortafuegos cuando la aplicación se incluye en una regla de seguridad con una acción de denegación. Característica Evasiva Utiliza un puerto o protocolo para cualquier cosa menos su propósito inicial con la intención de atravesar un cortafuegos. • Seleccione Políticas de revisión para evaluar la implementación basada en políticas para aplicaciones antes y después de instalar una versión de publicación de contenido. • Para ver detalles adicionales sobre la aplicación o personalizar el riesgo y los valores de tiempo de espera. Depende de Lista de otras aplicaciones necesarias para el funcionamiento de esta aplicación. Siga las instrucciones para guardar el archivo. haga clic en el nombre de la aplicación. Usa implícitamente Otras aplicaciones de las que depende la aplicación seleccionada pero que no necesita añadir a sus reglas de política de seguridad para permitir la aplicación seleccionada porque dichas aplicaciones son compatibles de manera implícita. también debe asegurarse de permitir otras aplicaciones de las que dependa la aplicación. Identificado anteriormente como Para nuevos App-ID. Si un App-ID está deshabilitado. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que no se instala la versión de publicación de contenido correspondiente.Otros objetos de las políticas • Para exportar una aplicación. Utilice el cuadro de diálogo Políticas de revisión para revisar el impacto de la política en las nuevas aplicaciones incluidas en una versión de publicación de contenido descargada. Detalles de la aplicación Elemento Descripción Nombre Nombre de la aplicación. esto indica cómo se identificaba anteriormente la aplicación. Descripción Descripción de la aplicación (hasta 255 caracteres).

mensajería instantánea. Ampliamente utilizado Probablemente cuente con más de 1. versión 7. Los servicios web son aplicaciones alojadas en las que el usuario no posee los datos (por ejemplo. Si no selecciona esta opción.0 Palo Alto Networks . voip y vídeo y publicación web. actualización de software y copia de seguridad de almacenamiento. Por ejemplo. gestión. Utilizada por software malintencionado El software malintencionado es conocido por utilizar la aplicación con fines de propagación.Otros objetos de las políticas Tabla 156. el software como servicio (SaaS) se caracteriza como un servicio en el que el software y la infraestructura son propiedad y están gestionados por el proveedor de servicios de aplicaciones pero en el que conserva el control completo sobre los datos. empresas sociales. Las diferentes categorías tienen diferentes subcategorías asociadas a ellas. compartir y transferir los datos. empresa general. el cortafuegos dejará de buscar coincidencias de aplicaciones adicionales después de la primera firma coincidente. ataque o robo de datos o se distribuye con software malintencionado. Vulnerabilidades Ha informado públicamente de vulnerabilidades. Continuar buscando otras aplicaciones Indica al cortafuegos que debe seguir intentando buscar coincidencias con otras firmas de aplicaciones. Tuneliza otras aplicaciones Puede incluir otras aplicaciones en su protocolo. Twitter o Facebook). las aplicaciones SaaS difieren de los servicios web. No obstante. Categoría La categoría de la aplicación será una de las siguientes: • sistemas empresariales • colaboración • internet general • multimedia • redes • desconocido Subcategoría Subcategoría en la que se clasifica la aplicación. erp-crm.000. En el cortafuegos. Detalles de la aplicación (Continuación) Elemento Descripción Proclive al uso indebido Habitualmente utilizada para fines nefarios o fácilmente establecida para llegar más allá de las intenciones del usuario. Tecnología basado en explorador Una aplicación que se basa en un explorador web para funcionar. Pandora) o donde el servicio está compuesto principalmente de datos compartidos proporcionados por numerosos suscriptores con fines sociales (por ejemplo. incluido quién puede crear. videoconferencia por Internet. LinkedIn. redes sociales. SaaS Recuerde que en el contexto de cómo se caracteriza una aplicación. intercambio de archivos. las subcategorías de la categoría sistemas empresariales incluyen servicio de autenticación. 308 • Guía de referencia de interfaz web. base de datos. programas de oficina. así como acceder a ellos. las subcategorías de la categoría colaboración incluyen correo electrónico. Archivos de transacción Tiene la capacidad de transferir un archivo de un sistema a otro a través de una red.000 de usuarios. servidor cliente Una aplicación que utiliza un modelo de servidor cliente donde uno o más clientes se comunican con un servidor en la red.

Para personalizar este ajuste. que es 3600 segundos para TCP.Otros objetos de las políticas Tabla 156. necesario para agotar el tiempo de espera por inactividad (el intervalo es de 1-604800 segundos). Este tiempo de espera es para protocolos diferentes a TCP o UDP. Tiempo de espera de TCP (segundos) Tiempo de espera de UDP (segundos): TCP semicerrado (segundos) Para personalizar este ajuste. Tiempo de espera. en segundos. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. Tiempo máximo. para finalizar un flujo de aplicación TCP (el intervalo es de 1-604800). Palo Alto Networks Guía de referencia de interfaz web. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. cancela el ajuste global TCP semicerrado. punto a punto Una aplicación que se comunica directamente con otros clientes para transferir información en vez de basarse en un servidor central para facilitar la comunicación. Opciones Tiempo de espera de sesión Período de tiempo. y haga clic en ACEPTAR. En el caso de TCP y UDP. en segundos. que una sesión permanece en la tabla de la sesión entre la recepción del primer paquete FIN y la recepción del segundo paquete FIN o RST. Detalles de la aplicación (Continuación) Elemento Descripción protocolo de red Una aplicación que se utiliza generalmente para la comunicación entre sistemas y que facilita la operación de red. versión 7. la sesión se cierra (el intervalo es de 1-604800). para finalizar un flujo de aplicación UDP (el intervalo es de 1-604800 segundos). Si este valor se configura en el nivel de aplicación. en segundos. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar.0 • 309 . consulte las siguientes filas de esta tabla. se utiliza el ajuste global. Un valor de 0 indica que se utilizará el temporizador de sesión global. Cuando el temporizador caduca. Tiempo de espera. Eso incluye la mayoría de los protocolos de IP. Para personalizar este ajuste. Para personalizar este ajuste. haga clic en el enlace Personalizar e introduzca un valor (1-5). Riesgo Riesgo asignado de la aplicación. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. en segundos.

en segundos. Además. tendrá la capacidad de deshabilitarlos mientras revisa el impacto de la política de la nueva aplicación. Si el cortafuegos no puede identificar una aplicación utilizando el App-ID. que una sesión permanece en la tabla de la sesión después de la recepción del segundo paquete FIN o un paquete RST. cancela el ajuste global Tiempo de espera TCP. También tiene la capacidad de Deshabilitar una aplicación que haya habilitado anteriormente. Cuando el temporizador caduca. se utiliza el ajuste global. Este comportamiento se aplica a todas las aplicaciones desconocidas. el tráfico se clasifica como desconocido: TCP desconocido o UDP desconocido. Si este valor se configura en el nivel de aplicación. Para obtener más información.0 Palo Alto Networks . Tras revisar la política. En el caso de aplicaciones añadidas tras la versión de publicación de contenido 490. puede deshabilitar varios App-ID por separado en cada sistema virtual. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. Si un App-ID está deshabilitado. consulte “Trabajo con informes de Botnet”. App-ID habilitado Indica si App-ID está habilitado o deshabilitado. la sesión se cierra (el intervalo es de 1-600). definir políticas de seguridad para las nuevas definiciones de la aplicación. 310 • Guía de referencia de interfaz web.Otros objetos de las políticas Tabla 156. versión 7. puede decidir Habilitar el App-ID. excepto aquellas que emulan HTTP completamente. En un cortafuegos de vsys múltiples. el tráfico de esa aplicación se tratará como el App-ID Identificado anteriormente como tanto en la política de seguridad como en los logs. Puede crear nuevas definiciones para aplicaciones desconocidas y a continuación. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creación de políticas de seguridad. Detalles de la aplicación (Continuación) Elemento Tiempo de espera TCP (segundos) Descripción Tiempo máximo.

números.Otros objetos de las políticas Definición de aplicaciones Objetos > Aplicaciones Utilice la página Aplicaciones para añadir una nueva aplicación a la evaluación del cortafuegos cuando aplique políticas. versión 7. lo que significa que la cancelación está habilitada. Utilice únicamente letras. Configuración de nuevas aplicaciones Campo Descripción Pestaña Configuración Nombre Introduzca el nombre de la aplicación (de hasta 31 caracteres). consulte “Característica”. Subcategoría Seleccione la subcategoría de la aplicación. Aplicación primaria Especifique una aplicación principal para esta aplicación. como correo electrónico o base de datos. Tabla 157. espacios. como correo electrónico o base de datos. Características Seleccione las características de la aplicación que pueden poner en riesgo la aplicación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la aplicación en grupos de dispositivos descendientes cancelando sus valores heredados. Si cancela la selección de la casilla de verificación. sin embargo. Descripción Introduzca una descripción de la aplicación como referencia general (hasta 255 caracteres). la aplicación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. se registra la aplicación personalizada porque es más específica. puntos. Esta subcategoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). Riesgo Seleccione el nivel de riesgo asociado con esta aplicación (1= el más bajo a 5= el más alto). Este ajuste se aplica cuando en una sesión coinciden las aplicaciones principal y personalizadas. La casilla de verificación no está seleccionada de manera predeterminada. El primer carácter debe ser una letra. Para ver una descripción de cada característica. Si cancela la selección de la casilla de verificación. Categoría Seleccione la categoría de la aplicación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Esta categoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). Compartido Seleccione esta casilla de verificación si quiere que la aplicación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.0 • 311 . Palo Alto Networks Guía de referencia de interfaz web. guiones y guiones bajos. la aplicación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. Tecnología Seleccione la tecnología de la aplicación. • Cada grupo de dispositivos en Panorama.

Tiempo de espera de UDP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación UDP (intervalo 0-604800 segundos). Tiempo de espera Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación (intervalo 0-604800 segundos). Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. cancela el ajuste global TCP semicerrado. Si este valor se configura en el nivel de aplicación. Este valor se utiliza para protocolos diferentes de TCP y UDP en todos los casos y para tiempos de espera TCP y UDP cuando no se especifican los tiempos de espera TCP y UDP. Este ajuste se aplica si utiliza app-default en la columna Service de una regla de seguridad. Ejemplos: TCP/dinámica o UDP/32. la sesión se cierra. se utiliza el ajuste global. se utiliza el ajuste global. Tiempo de espera TCP Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión después de la recepción del segundo FIN o RST. 312 • Guía de referencia de interfaz web. versión 7. El rango es 1-600 segundos. Protocolo IP Especifique un protocolo IP diferente a TCP o UDP. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Tipo de ICMP6 Especifique un tipo de protocolo de mensajes de control de Internet versión 6 (ICMPv6). Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. Si este valor se configura en el nivel de aplicación. seleccione Puerto e introduzca una o más combinaciones del protocolo y número de puerto (una entrada por línea). Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Cuando el temporizador caduca. seleccionando Tipo de ICMP e introduciendo el número (intervalo 0-255). Tipo de ICMP Especifique un tipo de protocolo de mensajes de control de Internet versión 4 (ICMP). la sesión se cierra. Ninguno Especifique firmas independientes de protocolo. seleccionando Tipo de ICMP6 e introduciendo el número (intervalo 0-255).Otros objetos de las políticas Tabla 157. Cuando el temporizador caduca. seleccionando Protocolo IP e introduciendo el número del protocolo (1 a 255). TCP semicerrado Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión entre la recepción del primer FIN y la recepción del segundo FIN o RST. seleccionando Ninguno. Tiempo de espera de TCP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación TCP (intervalo 0-604800 segundos). o dinámica para una asignación dinámica de puertos. cancela el ajuste global Tiempo de espera TCP. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Pestaña Avanzada Puerto Si el protocolo que utiliza la aplicación es TCP y/o UDP. El rango es 1h604800 segundos. El formato general es: <protocolo>/<puerto> donde <puerto> es un número de puerto único.0 Palo Alto Networks .

Para mover un grupo. en función de los perfiles de seguridad (tipos de archivos.0 • 313 . seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. por ejemplo. 0xffffff00. • Comentarios: Introduzca una descripción opcional. – Calificador y Valor: Puede añadir pares de calificador/valor.Otros objetos de las políticas Tabla 157. • Ámbito: Seleccione si desea aplicar esta firma a la transacción actual únicamente o a la sesión completa del usuario. Consulte Tabla 163 para ver reglas de patrones de expresiones regulares. Para importar una aplicación. haga clic en Importar. • Si selecciona el operador Igual que. – Patrón: Especifique una expresión regular. seleccione el grupo y haga clic en Añadir condición. – Posición: Seleccione los primeros cuatro bytes o los segundos cuatro en la carga. Siga las instrucciones para guardar el archivo. por ejemplo. Pestaña Firma Firmas Haga clic en Añadir para agregar una firma nueva y especificar la siguiente información: • Nombre de firma: Introduzca un nombre para identificar la firma. Para añadir una condición en un grupo. versión 7. Para exportar la aplicación. patrones de datos y virus). seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. • Importa el orden de las condiciones: Seleccione si el orden en que se definen las condiciones de la firma es importante. especifique las siguientes opciones: – Contexto: Seleccione uno de los contextos disponibles. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Analizando Seleccione las casillas de verificación de los tipos de análisis que desee permitir. • Seleccione un operador entre Coincidencia de patrones e Igual que. Palo Alto Networks Guía de referencia de interfaz web. Especifique las condiciones para definir las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR. – Máscara: Especifique un valor hexadecimal de 4 bytes. • Para mover una condición en un grupo. No puede mover condiciones de un grupo a otro. especifique las siguientes opciones: – Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o UDP. 0xaabbccdd. – Valor: Especifique un valor hexadecimal de 4 bytes. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. Si selecciona el operador Coincidencia de patrones. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación.

haga clic en networking. Nuevo grupo de aplicaciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de aplicaciones (de hasta 31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. Por ejemplo. consulte “Definición de aplicaciones”. el grupo de aplicaciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. guiones y guiones bajos. el grupo de aplicaciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. haga clic en Añadir e introduzca el nombre del filtro. Si cancela la selección de la casilla de verificación. filtros de aplicaciones y/o grupos de aplicaciones diferentes que se incluirán en este grupo. versión 7. Aplicaciones Haga clic en Añadir y seleccione las aplicaciones. haga clic en un elemento que desee utilizar como base para el filtrado. Compartido Seleccione esta casilla de verificación si quiere que el grupo de aplicaciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. números. • Cada grupo de dispositivos en Panorama. Para definir filtros de aplicaciones para simplificar las búsquedas repetidas. lo que significa que la cancelación está habilitada.0 Palo Alto Networks .) Tabla 158. En el área superior de la ventana. Filtros de aplicación Objetos > Filtros de aplicaciones Puede definir filtros de aplicaciones para simplificar las búsquedas repetidas. 314 • Guía de referencia de interfaz web. para restringir la lista a la categoría de redes. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de aplicaciones en grupos de dispositivos descendientes cancelando sus valores heredados. Si cancela la selección de la casilla de verificación. Utilice únicamente letras. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. espacios. (Para definir una nueva aplicación.Otros objetos de las políticas Definición de grupos de aplicaciones Objetos > Grupos de aplicaciones Para simplificar la creación de políticas de seguridad.

Por ejemplo. tal y como se muestra en la ilustración. la lista de aplicaciones de la parte inferior se actualiza automáticamente. los filtros Característica. pero puede agregar más definiciones de servicios. El servicio predeterminado es Cualquiera. la siguiente ilustración muestra el resultado de seleccionar un filtro Categoría. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. aunque no se haya aplicado explícitamente un filtro de tecnología.Otros objetos de las políticas Para filtrar por más columnas. Subcategoría y Riesgo. Servicios Objetos > Servicios Cuando define políticas de seguridad de aplicaciones específicas. seleccione una entrada las columnas para mostrar las casillas de verificación. versión 7. Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la creación de políticas de seguridad (consulte “Grupos de servicios”). Palo Alto Networks Guía de referencia de interfaz web. a continuación los filtros Subcategoría. A medida que selecciona las opciones. Tecnología y Riesgo y. Los servicios HTTP y HTTPS son los predefinidos. la columna Tecnología se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategoría seleccionadas. Al aplicar los dos primeros filtros. puede seleccionar uno o más servicios para limitar el número de puertos que las aplicaciones pueden utilizar.0 • 315 . quepermite todos los puertos TCP y UDP. finalmente.

El puerto de origen es opcional. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. puede combinar los servicios con los mismos ajustes de seguridad en grupos de servicios. Descripción Introduzca una descripción del servicio (hasta 255 caracteres). guiones y guiones bajos. versión 7. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del objeto de servicio en grupos de dispositivos descendientes cancelando sus valores heredados. Configuración de grupos de servicios Campo Descripción Nombre Introduzca el nombre del grupo de servicios (de hasta 63 caracteres). guiones y guiones bajos. Utilice únicamente letras. Configuración de servicios Campo Descripción Nombre Introduzca el nombre del servicio (de hasta 63 caracteres). • Cada grupo de dispositivos en Panorama. consulte “Servicios”. el objeto de servicio únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Si especifica varios puertos o intervalos. Para definir nuevos servicios. Utilice únicamente letras. Grupos de servicios Objetos > Grupos de servicios Para simplificar la creación de políticas de seguridad. números. La siguiente tabla describe la configuración del grupo de servicios: Tabla 160. Si cancela la selección de la casilla de verificación.Otros objetos de las políticas La siguiente tabla describe la configuración del servicio: Tabla 159. el objeto de servicio únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Si cancela la selección de la casilla de verificación.0 Palo Alto Networks . Si especifica varios puertos o intervalos. deben estar separados por comas. números. La casilla de verificación no está seleccionada de manera predeterminada. lo que significa que la cancelación está habilitada. Puerto de destino Introduzca el número de puerto de destino (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. 316 • Guía de referencia de interfaz web. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. espacios. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. Puerto de origen Introduzca el número de puerto de origen (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. El puerto de destino es obligatorio. espacios. Protocolo Seleccione el protocolo que utiliza el servicio (TCP o UDP). deben estar separados por comas. Compartido Seleccione esta casilla de verificación si quiere que el objeto de servicio esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.

Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de servicios en grupos de dispositivos descendientes cancelando sus valores heredados. Si cancela la selección de la casilla de verificación. zonas.0 • 317 . grupos de direcciones (estáticas y dinámicas). Puede utilizar una etiqueta para ordenar o filtrar objetos y para distinguir objetos visualmente debido a que pueden tener color. Las etiquetas pueden aplicarse a objetos de dirección. La casilla de verificación no está seleccionada de manera predeterminada. Configuración de grupos de servicios (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el grupo de servicios esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. en el enlace en la parte inferior de la lista desplegable y especifique la configuración. la pestaña Política muestra el objeto con un color de fondo. el grupo de servicios únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. grupos de servicios y reglas de políticas. Guía de referencia de interfaz web.Otros objetos de las políticas Tabla 160. versión 7. servicios. Servicio Haga clic en Añadir para agregar servicios al grupo. Etiquetas Objetos > Etiquetas Las etiquetas le permiten agrupar objetos usando palabras clave o frases. • Cada grupo de dispositivos en Panorama. ¿Qué desea saber? Consulte ¿Cómo puedo crear etiquetas? “Crear etiquetas” ¿Qué es el explorador de etiquetas? “Uso del explorador de etiquetas” ¿Cómo puedo buscar reglas que estén etiquetadas? “Gestión de etiquetas” ¿Cómo puedo agrupar reglas utilizando etiquetas? ¿Cómo puedo ver etiquetas utilizadas en una política? ¿Cómo puedo aplicar etiquetas a una política? ¿Desea obtener más información? Palo Alto Networks Consulte Policy (en inglés). Realice su selección en la lista desplegable o haga clic en Servicio. Al aplicar un color a una etiqueta. Si cancela la selección de la casilla de verificación. lo que significa que la cancelación está habilitada. el grupo de servicios únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Consulte “Servicios” para obtener una descripción de la configuración.

versión 7. la etiqueta únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. la pestaña Objetos > Etiquetas muestra las etiquetas que define localmente en el cortafuegos o envía desde Panorama al cortafuegos. El valor predeterminado es Ninguno. cumplimente los siguientes campos: Tabla 161. Cada objeto puede tener hasta 64 etiquetas. asignar un color y eliminar. • Edite una etiqueta: Para editar. haga clic en el nombre de etiqueta que aparezca como enlace y modifique los ajustes. El nombre no distingue entre mayúsculas y minúsculas. Esta pestaña no muestra las etiquetas que se recuperan dinámicamente de las fuentes de información de VM definidas en el cortafuegos para formar grupos de direcciones dinámicas.Otros objetos de las políticas Crear etiquetas Objetos > Etiquetas Utilice esta pestaña para crear una etiqueta. la etiqueta se crea automáticamente en el sistema virtual o grupo de dispositivos seleccionado actualmente en el cortafuegos o Panorama. Cuando crea una nueva etiqueta. muestra el color de la primera etiqueta aplicada. En el cortafuegos. Si cancela la selección de la casilla de verificación. a continuación. haga clic en Añadir y. cuando un objeto tiene varias etiquetas. Color Seleccione un color de la paleta de colores de la lista desplegable. También puede crear una nueva etiqueta cuando cree o edite una política en la pestaña Políticas. lo que significa que la cancelación está habilitada. • Añada una etiqueta: Para añadir una nueva pestaña. Compartido Seleccione esta casilla de verificación si quiere que la etiqueta esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.0 Palo Alto Networks . 318 • Guía de referencia de interfaz web. La etiqueta se crea automáticamente en el grupo de dispositivos o sistema virtual seleccionado actualmente. • Elimine una etiqueta: Para eliminar una etiqueta. Comentarios Añada una etiqueta o descripción para recordar la función de la etiqueta. Si cancela la selección de la casilla de verificación. La casilla de verificación no está seleccionada de manera predeterminada. Configuración de etiqueta Campo Descripción Nombre Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres). renombrar o asignar un color a una etiqueta. muestra las etiquetas que define en Panorama. la etiqueta únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. renombrar y duplicar etiquetas. haga clic en Eliminar y seleccione la etiqueta en la ventana. • Cada grupo de dispositivos en Panorama. en Panorama. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la etiqueta en grupos de dispositivos descendientes cancelando sus valores heredados. o etiquetas que se definen utilizando la API XML.

versión 7. Uso del explorador de etiquetas Políticas > Fundamento de la regla (seguridad. haga clic en Revertir.) El explorador de etiquetas presenta un resumen de todas las etiquetas utilizadas en una base de reglas (conjunto de políticas).. El campo Ubicación muestra el grupo de dispositivos actual. Haga clic en Duplicar o Mover y seleccione la etiqueta en la ventana.Otros objetos de las políticas • Traslade o duplique una etiqueta: La opción de trasladar o clonar una etiqueta le permite copiar una etiqueta o trasladarla a un grupo de dispositivos o sistema virtual diferente en dispositivos habilitados para varios sistemas virtuales. La tabla siguiente describe las opciones del explorador de etiquetas: Tabla 162. Orden de regla Palo Alto Networks Clasifica las etiquetas por orden de aparición en la base de reglas seleccionada. Cuando se muestran por orden de aparición. El número de regla al que se asocia la etiqueta se muestra junto con el nombre de la etiqueta. las etiquetas utilizadas en reglas contiguas se muestran agrupadas. También puede seleccionar la opción Deshabilitar anulación para deshabilitar cancelaciones adicionales. Cuando revierte una etiqueta. Cancele la selección de la casilla de verificación Error en el primer error detectado en la validación si desea que el proceso de validación detecte todos los errores del objeto antes de mostrar los errores. la casilla de verificación está habilitada y el proceso de validación se detiene cuando se detecta el primer error y solamente muestra ese error. acceso web. acceso al centro de datos. QoS. Esta vista es de especial utilidad si desea acotar la lista y ver reglas relacionadas que podrían estar extendidas en la base de reglas. Guía de referencia de interfaz web.0 • 319 . • Cancele o revierta una etiqueta (solamente en Panorama): La opción Cancelar está disponible si no seleccionó la opción Deshabilitar anulación al crear la etiqueta. De manera predeterminada. o ver únicamente la primera etiqueta aplicada a cada regla en la base de reglas. el campo Ubicación muestra el grupo de dispositivos o sistema virtual del que se heredó la etiqueta. Uso del explorador de etiquetas Campo Descripción Etiqueta (n. Le permite ver una lista de todas las etiquetas y el orden en el que se enumeran en la base de reglas. un grupo de dispositivos o un sistema virtual. NAT. proxy). Seleccione la ubicación de Destino (grupo de dispositivos o sistema virtual) de la etiqueta. Para deshacer los cambios en una etiqueta. puede acotar el resultado y examinar las reglas basándose en su función. Regla Enumera el número de regla o intervalo de números asociados a las etiquetas. buscar y filtrar en busca de una etiqueta específica. Filtrar por primera etiqueta de la regla Muestra solamente la primera etiqueta aplicada a cada regla en la base de reglas. cuando se selecciona. si la primera etiqueta de cada regla indica su función (administración. Pase el ratón por encima de la etiqueta para ver la ubicación en la que se definió la regla.º) Muestra la etiqueta y el número de regla o intervalo de números en los que la etiqueta se utiliza de manera contigua. La ubicación puede haberse heredado de la ubicación Compartido. Puede ordenar. Le permite cancelar el color asignado a la etiqueta heredado de un grupo de dispositivos compartido o antecesor. Por ejemplo.. examinar.

Cuando selecciona Ninguno. 2. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. consulte “Gestión de etiquetas”. También muestra el número total de etiquetas de la base de reglas y el número de etiquetas seleccionadas. Realice una de las siguientes acciones: – Seleccione una etiqueta en el explorador de etiquetas y. Para ver las etiquetas seleccionadas actualmente. Cuando suelte las etiquetas. el color (si hay un color asignado) y el número de veces que se utiliza en la base de reglas. Para ver las etiquetas seleccionadas actualmente. 1. – Arrastre y suelte etiquetas desde el explorador de etiquetas a la columna de etiquetas de la regla. Barra de búsquedas Le permite buscar una etiqueta. La etiqueta Ninguno representa las reglas que no tienen ninguna etiqueta. Uso del explorador de etiquetas (Continuación) Campo Descripción Alfabético Clasifica las etiquetas por orden alfabético en la base de reglas seleccionada. Borrar Borra el filtro de las etiquetas seleccionadas actualmente en la barra de búsquedas. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. La pantalla muestra el nombre de etiqueta. en la lista desplegable. Para conocer otras acciones. Gestión de etiquetas Etiquete una regla. 320 • Guía de referencia de interfaz web. no muestra los números de reglas de aquellas reglas no etiquetadas. introducir el término y hacer clic en el icono de flecha verde para aplicar el filtro. versión 7. seleccione Aplicar etiqueta a las selecciones. Seleccione una regla en el panel derecho. Visualice las etiquetas seleccionadas actualmente.Otros objetos de las políticas Tabla 162. Las etiquetas se filtran utilizando un operador OR. 1. Gestión de etiquetas La siguiente tabla enumera las acciones que puede realizar mediante el explorador de etiquetas. El panel derecho se actualiza para mostrar las reglas que tengan cualquiera de las etiquetas seleccionadas. aparecerá un cuadro de diálogo de confirmación. el panel derecho se filtra para mostrar las reglas que no tienen ninguna etiqueta asignada. Seleccione una o más etiquetas en el explorador de etiquetas. 2.0 Palo Alto Networks . 3.

Seleccione una o más etiquetas y pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Mover reglas en la lista desplegable. versión 7. Pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Quitar etiquetas a las reglas en la lista desplegable. Aparecerán las etiquetas que coincidan con el texto que ha introducido. introduzca las primeras letras del nombre de la etiqueta que quiera buscar y haga clic en . Puede filtrar reglas en función de etiquetas con un operador AND u OR. Los resultados se muestran con un operador AND.0 • 321 . seleccione una o más etiquetas en el explorador de etiquetas. El panel derecho mostrará solamente las reglas que incluyan las etiquetas seleccionadas actualmente. Guía de referencia de interfaz web. Elimine la etiqueta de una regla. Palo Alto Networks En el explorador de etiquetas. pase el ratón por encima del número de la columna Regla del explorador de etiquetas y seleccione Filtro en la lista desplegable. Seleccione una o más etiquetas. Busque una etiqueta. Reordene una regla utilizando etiquetas. Repita esta acción para añadir más etiquetas. pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Añadir nueva regla en la lista desplegable. Confirme que quiere eliminar la etiqueta seleccionada de la regla. la nueva regla se añadirá después de la regla a la que pertenezcan las etiquetas seleccionadas. El orden numérico de la nueva regla varía dependiendo de si seleccionó una regla en el panel derecho. Haga clic en en la barra de búsquedas del panel derecho. Añada una nueva regla que aplique las etiquetas seleccionadas. • Filtro AND: Para ver reglas que tengan todas las etiquetas seleccionadas. De lo contrario. Seleccione una etiqueta de la lista desplegable en la ventana para mover reglas y seleccione si desea aplicar la opción Mover antes de o Mover después de con respecto a la etiqueta seleccionada en la lista desplegable. la nueva regla se añadirá después de la regla seleccionada. Si no se ha seleccionado ninguna regla en el panel derecho.Otros objetos de las políticas Gestión de etiquetas Visualice reglas que coincidan con las etiquetas seleccionadas. • Filtro OR: Para ver reglas que tengan etiquetas específicas.

Otros objetos de las políticas

Patrones de datos
El patrón de datos le permite especificar categorías de información confidencial que desea someter al
filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cómo
configurar patrones de datos, consulte “Definición de patrones de datos”.
Cuando añade un nuevo patrón (expresión regular), se aplican los siguientes requisitos generales:

• El patrón debe tener una cadena de al menos 7 bytes. Puede contener más de 7 bytes, pero no menos.
• La coincidencia de cadena puede o no distinguir entre mayúsculas y minúsculas, dependiendo del
descodificador que se esté utilizando. Cuando sea necesario distinguir entre mayúsculas y
minúsculas, deberá definir patrones de todas las cadenas posibles para hallar coincidencias de todas
las variaciones de un término. Por ejemplo, si desea encontrar coincidencias de documentos
denominados como confidenciales, deberá crear un patrón para “confidencial”, “Confidencial” y
“CONFIDENCIAL”.
La sintaxis de expresión regular en PAN-OS es similar a la de los motores de expresiones regulares
tradicionales, pero cada motor es único. La tabla siguiente describe la sintaxis compatible con PAN-OS.

Tabla 163. Reglas de patrones
Sintaxis

Descripción

.

Busca cualquier carácter único.

?

Busca el carácter o la expresión anterior 0 o 1 veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)?

*

Busca el carácter o la expresión anterior 0 o más veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)*

+

Busca el carácter o la expresión anterior una o más veces. La expresión general DEBE
estar entre paréntesis.
Ejemplo: (abc)+

|

Equivalente a “o”.
Ejemplo: ((bif)|(scr)|(exe)) busca “bif”, “scr” o “exe”. Tenga en cuenta que las
subcadenas deben estar entre paréntesis.

-

Se utiliza para crear expresiones de intervalo.
Ejemplo: [c-z] busca cualquier carácter entre c y z, ambos inclusive.

[]

Busca cualquier carácter.
Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.

^

Busca cualquier carácter excepto.
Ejemplo: [^abz] busca cualquier carácter excepto a, b, o z.

{}

Número mínimo/máximo de bytes.
Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite “-”.

\

Para realizar una búsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carácter de escape precediéndolo de “\” (barra diagonal inversa).

&amp

& es un carácter especial, por lo que para buscar “&” en una cadena debe utilizar “&amp”.

322 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Ejemplos de patrones de datos
A continuación se incluyen algunos ejemplos de patrones personalizados válidos:

• .*((Confidencial)|(CONFIDENCIAL))
– Busca la palabra “Confidencial” o “CONFIDENCIAL” en cualquier parte
– “.*” al principio especifica que se debe buscar en cualquier parte en la secuencia
– Dependiendo de los requisitos de distinción entre mayúsculas y minúsculas del descodificador,
puede que esto no coincida con “confidencial” (todo en minúsculas)

• .*((Privado &amp Confidencial)|(Privado y Confidencial))
– Busca “Privado & Confidencial” o “Privado y Confidencial”
– Es más preciso que buscar “Confidencial”

• .*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
– Busca “Comunicado de prensa” seguido de las diferentes formas de la palabra borrador, lo que
puede indicar que el comunicado de prensa no está preparado aún para ser emitido.

• .*(Trinidad)
– Busca un nombre de código de proyecto, como “Trinidad”

Listas de bloqueos dinámicos
Objetos > Listas de bloqueos dinámicos
Utilice la página Listas de bloqueos dinámicos para crear un objeto de dirección basado en una lista
importada de direcciones IP. Debe crear esta lista como archivo de texto y guardarla en un servidor web al
que el cortafuegos pueda acceder y que pueda importar; el cortafuegos utilizará el puerto de gestión para
recuperar esta lista.
Puede configurar el cortafuegos para que actualice automáticamente la lista del dispositivo cada hora, día,
semana o mes. Una vez haya creado un objeto de lista de bloqueo dinámico, puede utilizar el objeto de la
dirección en los campos de origen y destino en las políticas de seguridad.
Se admite un máximo de diez listas de bloqueos dinámicos en la mayoría de las plataformas; las
excepciones son los cortafuegos de las series PA-5000 y PA-7000, que admiten hasta 50 listas. Cada lista
puede contener hasta 5.000 direcciones IP (IPv4 y/o IPv6), que pueden incluir intervalos y/o subredes de
IP. La lista debe contener una dirección IP, intervalo o subred por línea. A continuación se incluyen varios
ejemplos:
Dirección IP única:
IPv4: 192.168.80.150/32
IPv6: 2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de
direcciones. El formato es:
dirección_ip–dirección_ip
donde cada dirección puede ser IPv4 o IPv6.
IPv4: “192.168.80.0/24” indica todas las direcciones de 192.168.80.0 a 192.168.80.255
IPv6: 2001:db8:123:1::1 - 2001:db8:123:1::22

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 323

Otros objetos de las políticas

La siguiente tabla describe la configuración de lista de bloqueadas dinámicas:

Tabla 164 Listas de bloqueos dinámicos
Campo

Descripción

Nombre

Introduzca un nombre para identificar la lista de bloqueos
dinámicos (de hasta 32 caracteres). Este nombre aparecerá
cuando seleccione el origen o el destino de una política.

Compartido

Seleccione esta casilla de verificación si quiere que la lista de
bloqueos dinámicos esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación, la lista
de bloqueos dinámicos únicamente estará disponible para el
Sistema virtual seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación, la lista de bloqueos dinámicos
únicamente estará disponible para el Grupo de dispositivos
seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la lista de bloqueos
dinámicos en grupos de dispositivos descendientes cancelando
sus valores heredados. La casilla de verificación no está
seleccionada de manera predeterminada, lo que significa que la
cancelación está habilitada.

Descripción

Introduzca una descripción de la lista de bloqueos dinámicos
(hasta 255 caracteres).

Origen

Introduzca una ruta URL HTTP o HTTPS que contenga el archivo
de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.

Repetir

Especifique la frecuencia en la que la lista se debe importar.
Puede elegir cada hora, día, semana o mes. En el intervalo
especificado, la lista se importará a la configuración. No es
necesario realizar una compilación completa para que este tipo
de actualización tenga lugar.

Probar URL de origen
(solamente cortafuegos)

Comprueba que la URL de origen o la ruta del servidor está
disponible. Este botón solamente está disponible en la interfaz
web del cortafuegos, no en Panorama.

324 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Firmas personalizadas de spyware y vulnerabilidades
Esta sección describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de vulnerabilidades.
Objetos > Objetos personalizados > Patrones de datos
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
Objetos > Objetos personalizados > Categoría de URL

Definición de patrones de datos
Objetos > Objetos personalizados > Patrones de datos
Utilice la página Patrones de datos para definir las categorías de información confidencial que desea
someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre
cómo definir perfiles de filtrado de datos, consulte “Perfiles de filtrado de datos”.
La siguiente tabla describe la configuración de patrones de datos:

Tabla 165. Configuración de patrones de datos
Campo

Descripción

Nombre

Introduzca el nombre de patrón de datos (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Descripción

Introduzca una descripción del patrón de datos (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que el patrón de datos esté
disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, el patrón de datos
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el patrón de datos únicamente estará disponible
para el Grupo de dispositivos seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Palo Alto Networks

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del patrón de datos en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Guía de referencia de interfaz web, versión 7.0 • 325

Otros objetos de las políticas

Tabla 165. Configuración de patrones de datos (Continuación)
Campo

Descripción

Peso

Introduzca el peso de los tipos de patrones especificados de forma
predeterminada. El peso es un número entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
función de este peso.
• CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo
0-255).
• SSN#: Especifique un peso para el campo del número de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso máximo).
• SSN# (sin guión): Especifique un peso para el campo del número de la
seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso máximo).

Patrones personalizados

Los patrones predefinidos incluyen el número de la tarjeta de crédito y el
de la seguridad social (con y sin guiones).
Haga clic en Añadir para agregar un patrón nuevo. Especifique un
nombre para el patrón, introduzca la expresión regular que define el
patrón e introduzca un valor de peso para asignarlo al patrón. Añada los
patrones que sean necesarios.

Definición de firmas de spyware y vulnerabilidad
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas del
cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada
a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones de spyware y vulnerabilidades
resultantes están disponibles para su uso en cualquier perfil de vulnerabilidad personalizado.
El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las
medidas especificadas para la explotación de la vulnerabilidad.
Las publicaciones semanales de contenido incluyen periódicamente nuevos
descodificadores y contextos para los que puede desarrollar firmas.
También puede incluir un atributo temporal cuando defina firmas personalizadas especificando un
umbral por intervalo para activar posibles acciones en respuesta a un ataque. Las acciones solo se activan
una vez alcanzado el umbral.
Utilice la página Firma de spyware personalizada para definir firmas de perfiles de antispyware. Utilice la
página Firma de vulnerabilidad personalizada para definir firmas de perfiles de protección de
vulnerabilidades.

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware
Campo

Descripción

Pestaña Configuración
ID de amenaza

Introduzca un identificador numérico para la configuración. En el caso
de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.

Nombre

Especifique el nombre de la amenaza.

326 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Compartido

Seleccione esta casilla de verificación si quiere que la firma
personalizada esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, la firma
personalizada únicamente estará disponible para el Sistema virtual
seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la firma personalizada únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la firma en grupos de
dispositivos descendientes cancelando sus valores heredados.
La casilla de verificación no está seleccionada de manera
predeterminada, lo que significa que la cancelación está habilitada.

Comentarios

Introduzca un comentario opcional.

Gravedad

Asigne un nivel que indique la gravedad de la amenaza.

Acción predeterminada

Asigne la acción predefinida que se activará si se cumplen las
condiciones de la amenaza. Para ver una lista de las acciones, consulte
“Acciones en perfiles de seguridad”.

Dirección

Indique si la amenaza se evaluará desde el cliente al servidor, desde el
servidor al cliente, o ambos.

Sistema afectado

Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos
o a ambos. Se aplica a las firmas de vulnerabilidades, pero no a las
firmas de spyware.

CVE

Especifique las vulnerabilidades y exposiciones comunes (CVE) como
una referencia externa de información y análisis adicional.

Proveedor

Especifique el identificador del proveedor de la vulnerabilidad como
una referencia externa de información y análisis adicional.

Bugtraq

Especifique la bugtraq (similar a CVE) como una referencia externa de
información y análisis adicional.

Referencia

Añada vínculos a la información o al análisis. La información se
muestra cuando un usuario hace clic en la amenaza desde ACC, logs o
el perfil de vulnerabilidad.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 327

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Pestaña Firmas
Firma estándar

Seleccione el botón de opción Estándar y haga clic en Añadir para
añadir una firma nueva. Especifique la siguiente información:
• Estándar: Introduzca un nombre para identificar la firma.
• Comentarios: Introduzca una descripción opcional.
• Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
• Ámbito: Seleccione si desea aplicar esta firma a la transacción actual
únicamente o a la sesión completa del usuario.
Añada una condición haciendo clic en Añadir condición OR o Añadir
condición AND. Para añadir una condición en un grupo, seleccione el
grupo y haga clic en Añadir condición. Añada una condición a una
firma para que la firma se genere para el tráfico cuando los parámetros
que defina para la condición sean verdaderos. Seleccione un Operador
de la lista desplegable. El operador define el tipo de condición que
debe ser verdadera para que la firma personalizada coincida con el
tráfico. Seleccione un operador de entre Inferior a, Igual que, Mayor
que y Coincidencia de patrones.
• Cuando seleccione un operador Coincidencia de patrones,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione uno de los contextos disponibles.
– Patrón: Especifique una expresión regular. Consulte Tabla 163
para ver reglas de patrones de expresiones regulares.
– Calificador y Valor: Puede añadir pares de calificador/valor.
– Negar: Seleccione la casilla de verificación Negar para que la firma
personalizada coincida con el tráfico únicamente cuando la
condición Coincidencia de patrones definida no sea verdadera.
Esto le permite garantizar que la firma personalizada no se active
en ciertas circunstancia.
Nota: Una firma personalizada no se puede crear únicamente con
condiciones Negar; se debe incluir al menos una condición positiva para
poder especificar una condición Negar. Asimismo, si el ámbito de la firma
se establece como Sesión, no se podrá configurar una condición Negar
como la última condición que debe coincidir con el tráfico.
Ahora podrá definir excepciones para firmas de vulnerabilidades o
spyware personalizadas utilizando la nueva opción para negar la
generación de firmas cuando el tráfico coincida tanto con una firma
como con la excepción de la firma. Utilice esta opción para permitir
determinado tráfico en su red que de otro modo se clasificaría como
spyware o una explotación de la vulnerabilidad. En este caso, la firma
se ha generado para el tráfico que coincide con el patrón; el tráfico que
coincide con el patrón pero que también coincide con la excepción del
patrón se excluye de la generación de firmas y cualquier acción de
política asociada (como su bloqueo o denegación). Por ejemplo, puede
definir una firma para que se genere para URL redirigidas; sin
embargo, ahora también puede crear una excepción cuando la firma no
se genere para URL que redirijan a un dominio de confianza.

328 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción
• Cuando seleccione un operador Igual que, Inferior a o Mayor que,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione entre solicitudes desconocidas y respuestas
de TCP o UDP.
– Posición: Seleccione los primeros cuatro bytes o los segundos
cuatro en la carga.
– Máscara: Especifique un valor hexadecimal de 4 bytes, por
ejemplo, 0xffffff00.
– Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.

Firma de combinación

Seleccione el botón de opción Combinación. En el área por encima de
las pestañas secundarias, especifique la siguiente información:
En la pestaña secundaria Firmas de combinación, especifique las
condiciones que definirán las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo,
seleccione el grupo y haga clic en Añadir condición.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.
En la pestaña secundaria Atributo de fecha y hora, especifique la
siguiente información:
• Número de resultados: Especifique el umbral que activará una
acción basada en una política como un número de resultados (1-1000)
en un número especificado de segundos (1-3600)
• Criterios de agregación: Especifique si los resultados los supervisará
la dirección IP de origen, la dirección IP de destino o una
combinación de las direcciones IP de origen y destino.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.

Categorías de URL personalizadas
Objetos > Objetos personalizados > Categoría de URL
La función de categorías URL personalizadas permite crear sus propias listas de URL que puede
seleccionar en cualquier perfil de filtrado de URL. Cada una de las categorías se puede controlar de forma
independiente y tendrá una acción asociada en cada perfil de filtrado URL (permitir, bloquear, continuar,
cancelar, alertar o ninguno). La acción ninguno solo se aplica a las categorías de URL personalizadas.
El objetivo de seleccionar la opción ninguno es garantizar que si existen varios perfiles de URL, la categoría
personalizada no influirá en otros perfiles. Por ejemplo, si tiene dos perfiles URL y la categoría URL
personalizada se establece para bloquear en uno de los perfiles, el otro perfil debería tener la acción
establecida en ninguno si no quiere que se aplique.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 329

Otros objetos de las políticas

Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree
un archivo de texto con las URL que se incluirán, con una URL por línea. Cada URL puede tener el
formato “www.ejemplo.com” y puede contener * como comodín, como en “*.ejemplo.com”. Para obtener
información adicional sobre comodines, consulte la descripción del campo Lista de bloqueadas en la tabla
“Configuración de perfil de filtrado de URL”.
Las entradas URL añadidas a las categorías personalizadas no distinguen entre
mayúsculas y minúsculas. De igual forma, para eliminar una categoría
personalizada después de que se haya añadido a un perfil de URL y de que se haya
establecido una acción, la acción debe estar establecida en Ninguno para poder
eliminar la categoría personalizada.
Para obtener instrucciones sobre cómo configurar perfiles de filtrado URL, consulte “Perfiles de filtrado
de URL”.
La siguiente tabla describe la configuración de URL personalizada:

Tabla 167. Categorías de URL personalizadas
Campo

Descripción

Nombre

Introduzca un nombre para identificar la categoría de URL personalizada
(de hasta 31 caracteres). Este nombre aparece en la lista de categorías
cuando se definen políticas de seguridad. El nombre hace distinción
entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente
letras, números, espacios, guiones y guiones bajos.

Descripción

Introduzca una descripción de la categoría URL (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que la categoría de URL
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, la categoría de URL
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la categoría de URL únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la categoría de URL en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Sitios

En el área Sitios, haga clic en Añadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.

330 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Grupos de perfiles de seguridad
Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que se pueden
tratar como una unidad y añadirse posteriormente a las políticas de seguridad. Por ejemplo, puede crear
un grupo de perfil de seguridad “amenazas” que incluya perfiles de antivirus, antispyware y protección
contra vulnerabilidades y, a continuación, crear una política de seguridad que incluya el perfil
“amenazas”.
Los perfiles de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y bloqueo de archivos
que se suelen asignar juntos pueden combinarse en grupos de perfiles para simplificar la creación de las
políticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte “Definición de políticas de seguridad”.
La siguiente tabla describe la configuración de perfil de seguridad:

Tabla 168. Configuración de grupos de perfiles de seguridad
Campo

Descripción

Nombre

Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles cuando se definen políticas de seguridad.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Compartido

Seleccione esta casilla de verificación si quiere que el grupo de perfiles
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, el grupo de perfiles
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el grupo de perfiles únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del grupo de perfiles en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Perfiles

Seleccione un perfil de antivirus, antispyware, protección de
vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluirá
en este grupo. Los perfiles de filtrado de datos también se pueden
especificar en grupos de perfiles de seguridad. Consulte “Perfiles de
filtrado de datos”.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 331

solo se realizan logs locales. Configuración de perfiles de reenvío de logs Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Para aplicar los perfiles de log a políticas de seguridad. la red necesitará comunicarse con la nube WildFire o dispositivo WildFire. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. lo que significa que la cancelación está habilitada. La siguiente tabla describe la configuración de reenvío de logs: Tabla 169.Otros objetos de las políticas Reenvío de logs Objetos > Reenvío de logs Cada política de seguridad puede especificar un perfil de reenvío de log que determine si las entradas de log de tráfico y amenazas se registran de forma remota con Panorama. Si cancela la selección de la casilla de verificación. espacios. Utilice únicamente letras. En un cortafuegos de la serie PA-7000. La casilla de verificación no está seleccionada de manera predeterminada. Si cancela la selección de la casilla de verificación. Para reenvío de WildFire. como la detección de virus o spyware. antispyware y protección de vulnerabilidades asociados a cada regla determinan las amenazas que se registran (de forma local o remota). Si desea más información sobre cómo configurar esta interfaz. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. De forma predefinida. números. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. y/o se envían como traps SNMP.0 Palo Alto Networks . mensajes de Syslog o notificaciones por correo electrónico. Esto también se aplica al reenvío a WildFire. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Solamente tiene que configurar el puerto de datos en uno de los NPC de la serie PA-7000 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede establecer contacto con sus servidores de logs. mientras que los logs de amenazas registran las amenazas o problemas con el tráfico de la red. consulte “Configuración de una interfaz de tarjeta de log”. Tenga en cuenta que los perfiles de antivirus. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. • Cada grupo de dispositivos en Panorama. correo electrónico y SNMP. se debe configurar un tipo de interfaz especial (Tarjeta de log) antes de que el cortafuegos reenvíe los siguientes tipos de logs: Syslog. versión 7. 332 • Guía de referencia de interfaz web. Una vez configurado el puerto. Los log de tráfico registran información sobre cada flujo de tráfico. se usará este puerto automáticamente para el reenvío de logs y de WildFire y no hará falta ninguna configuración especial para ello. consulte “Definición de políticas de seguridad”.

Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de amenazas. Para obtener más información. versión 7. Perfiles de descifrado Objetos > Perfil de descifrado Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvío. Para definir la dirección del servidor de Panorama. Palo Alto Networks Guía de referencia de interfaz web. consulte “Gestión de entidades de certificación de confianza predeterminadas”. Configuración de perfiles de reenvío de logs (Continuación) Campo Descripción Configuración de tráfico Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log de tráfico al sistema de gestión centralizado de Panorama. Trap SNMP Correo electrónico Syslog Seleccione los ajustes de SNMP. incluyendo búsquedas de objeto de ataques informativos. Los niveles de gravedad son los siguientes: • Crítico: Ataques muy graves detectados por el motor de seguridad de amenazas. También puede controlar las CA de confianza de su dispositivo. • Medio: Ataques leves detectados por el motor de seguridad de amenazas. inspección entrante SSL y tráfico SSH. incluyendo el bloqueo de URL. • Bajo: Ataques de advertencias detectados por el motor de seguridad de amenazas. podrá añadir dicho perfil a una política de descifrado. cualquier tráfico que coincida con la política de descifrado se aplicará de acuerdo con los ajustes de perfil. Trap SNMP Correo electrónico Syslog En cada nivel de gravedad. Para definir nuevos destinos. seleccione los ajustes de SNMP. • Alto: Ataques graves detectados por el motor de seguridad de amenazas. consulte: • “Configuración de destinos de traps SNMP”. consulte “Definición de la configuración de gestión”. Haga clic en Añadir para crear un nuevo perfil de descifrado. • Informativo: El resto de eventos no incluidos en los niveles de seguridad anteriores. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas de tráfico.0 • 333 . Después de crear un perfil de descripción. • “Configuración de ajustes de notificaciones por correo electrónico” • “Configuración de servidores Syslog” Configuración del log de amenazas Panorama Haga clic en la casilla de verificación de cada nivel de seguridad de las entradas del log de amenazas que se enviarán a Panorama. o seleccione un perfil existente para duplicarlo mediante Duplicar o modificarlo. Un perfil de descifrado predeterminado se configura en el cortafuegos y se incluye automáticamente en las nuevas políticas de descifrado (no puede modificar el perfil de descifrado predeterminado).Otros objetos de las políticas Tabla 169.

La casilla de verificación no está seleccionada de manera predeterminada. lo que significa que la cancelación está habilitada. Si cancela la selección de la casilla de verificación (el ajuste predeterminado). versión 7. espacios. No hay descifrado y Proxy SSH Seleccione la casilla de verificación Reenviado solo si desea reflejar el tráfico descifrado solamente después de la aplicación de la política de seguridad. Si cancela la selección de la casilla de verificación.0 Palo Alto Networks . el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Tabla 170. lo que le permitirá reproducir eventos y analizar el tráfico que genere una amenaza o active una acción de descarte. números. PA-5000 y PA-7000) Reenviado solo (únicamente cortafuegos de las series PA-3000. PA-5000 y PA-7000) Pestañas Descifrado SSL. Para obtener información detallada sobre ajustes de perfiles adicionales de Descifrado SSL. Con esta opción. guiones y guiones bajos. No hay descifrado y Proxy SSH. como un dispositivo de DLP u otro sistema de prevención de intrusiones (IPS). el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Esta opción es de utilidad si está reenviando el tráfico descifrado a otros dispositivos de detección de amenazas.Otros objetos de las políticas Las siguientes secciones ofrecen descripciones de ajustes que suelen aplicarse al tráfico que coincide con una política de descifrado. instalar la licencia y reiniciar el cortafuegos. (únicamente cortafuegos de las series PA-3000. debe obtener una licencia de reflejo del puerto de descifrado. el cortafuegos reflejará todo el tráfico descifrado en la interfaz antes de la búsqueda de políticas de seguridad. así como información detallada sobre ajustes que pueden aplicarse específicamente a tráfico SSL descifrado. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. tráfico SSH descifrado y tráfico que coincida con una política de no descifrado (excepciones de descifrado): • • • • “Configuración general de perfiles de descifrado” “Ajustes de descifrado SSL en un perfil de descifrado” “Ajustes de ausencia de descifrado en un perfil de descifrado” “Ajustes de proxy SSH en un perfil de descifrado” Antes de poder habilitar el reflejo del puerto de descifrado. Si cancela la selección de la casilla de verificación. solamente se reflejará el tráfico reenviado a través del cortafuegos. Interfaz de reflejo de descifrado Seleccione una Interfaz que debe utilizarse para el reflejo del puerto de descifrado. consulte: • “Configuración de la pestaña Descifrado SSL” • “Configuración de la pestaña No hay descifrado” • “Configuración de la pestaña Proxy SSH” 334 • Guía de referencia de interfaz web. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Utilice únicamente letras. Configuración general de perfiles de descifrado Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). • Cada grupo de dispositivos en Panorama. Este nombre aparece en la lista de perfiles de descifrado cuando se definen políticas de descifrado.

Bloquear sesiones al agotar el tiempo de espera de comprobación de estado de certificado Finalice la sesión SSL si el estado del certificado no se puede recuperar en la cantidad de tiempo que el cortafuegos tiene configurado antes de dejar de esperar una respuesta de un servicio de estado de certificado. generando un certificado de reenvío fiable (o no fiable. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado especificado en el protocolo de enlace SSL si no es compatible con PAN-OS. El estado de revocación de certificado indica si se ha revocado o no la fiabilidad del certificado. Comprobaciones de modo no admitidas Seleccione las opciones para controlar aplicaciones SSL no compatibles. Bloquear sesiones con versión no compatible Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. TLS1. si el certificado del servidor original no está firmado por un CA de confianza) para el servidor externo que. versión 7. a continuación. Puede configurar el valor de Tiempo de espera del estado del certificado al crear o modificar un perfil de certificado (Dispositivo > Gestión de certificados > Perfil del certificado). Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. Puede utilizar estos ajustes para limitar o bloquear sesiones SSL en función de los criterios.1 y TLS1. el cortafuegos funciona como proxy para una sesión entre un cliente interno y un servidor externo. Bloquear sesiones con autenticación de cliente Finalice las sesiones con autenticación de cliente para el tráfico de proxy de reenvío SSL. el uso de conjuntos de cifras o versiones de protocolos no compatibles o la disponibilidad de los recursos del sistema para procesar el descifrado. El cortafuegos se establece como agente externo de confianza en la sesión. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. Configuración de la pestaña Descifrado SSL Campo Pestaña secundaria Proxy SSL de reenvío Descripción Con el descifrado del proxy SSL de reenvío. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. PAN-OS admite SSLv3. TLS1. Restringir extensiones de certificado Limita las extensiones de certificados utilizados en el certificado de servidor dinámico al uso de claves y claves extendidas. Palo Alto Networks Guía de referencia de interfaz web. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles para procesar el descifrado. Tabla 171. incluidos el estado del certificado del servidor externo.2.0 • 335 . Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable.0. se presenta al cliente.Otros objetos de las políticas Ajustes de descifrado SSL en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSL que se ha descifrado mediante descifrado del proxy SSL de reenvío o inspección entrante SSL. Validación de certificado de servidor Seleccione las opciones para controlar certificados de servidor para el tráfico SSL descifrado. Bloquear sesiones con estado de certificado desconocido Finalice la sesión SSL si un servidor devuelve un estado de revocación de certificado “Desconocido”.

Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para descifrar la clave de sesión.0 Palo Alto Networks .0. en lugar de funcionar como proxy (como con el descifrado del proxy SSL de reenvío). 336 • Guía de referencia de interfaz web. aunque el cortafuegos no descifre e inspeccione el tráfico de la sesión. TLS1.1 y TLS1.2. se admiten las versiones de protocolo que sean equivalentes o posteriores a la versión mínima seleccionada. Comprobaciones de modo no admitidas Seleccione opciones para controlar sesiones si se detectan modos no compatibles en el tráfico SSL. por lo que las futuras sesiones entre los mismos pares de hosts y servidor no se descifran. Establezca la versión de protocolo mínima que se puede utilizar para establecer la conexión SSL. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado utilizado no es compatible con PAN-OS. TLS1. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Versión mín. versión 7. Ajustes de ausencia de descifrado en un perfil de descifrado Puede utilizar la pestaña No hay descifrado para habilitar ajustes que bloqueen el tráfico que coincida con una política de descifrado configurada con la acción No hay ningún descifrado (Políticas > Descifrado > Acción). Esto permite que el cortafuegos acceda a la sesión SSL entre el servidor de destino y el cliente de manera transparente. Establezca la versión de protocolo máxima que se puede utilizar para establecer la conexión SSL. Pestaña secundaria Configuración de protocolo SSL Seleccione los ajustes siguientes para aplicar versiones de protocolo y conjuntos de cifras al tráfico de la sesión SSL. Algoritmos de cifrado Aplique el uso de los algoritmos de cifrado seleccionados para la sesión SSL. utilice las casillas de verificación para bloquear esas sesiones. Bloquear sesiones con versiones no compatibles Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. Configuración de la pestaña Descifrado SSL (Continuación) Campo Descripción Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para firmar certificados. donde el certificado y la clave del servidor de destino se importan al cortafuegos. Pestaña secundaria Inspección de entrada SSL Con Inspección de entrada SSL. Puede seleccionar la opción máxima para que no se especifique ninguna versión máxima. Versión máx. Algoritmos de autenticación Aplique el uso de los algoritmos de autenticación seleccionados para la sesión SSL. la información de la sesión se guarda en caché durante 12 horas. PANOS admite SSLv3. el cortafuegos reside entre un cliente y un servidor de destino. Utilice estas opciones para controlar los certificados de servidor de la sesión. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles. en este caso.Otros objetos de las políticas Tabla 171. Nota: En el caso de modos no compatibles y de fallos. En su lugar. Versiones de protocolo Aplique el uso de versiones de protocolo mínima y máxima para la sesión SSL.

consulte “Definición de políticas de seguridad”. La versión SSH compatible es la versión 2. Configuración de la pestaña Proxy SSH Campo Descripción Comprobaciones de modo no admitidas Utilice estas opciones para controlar sesiones si se detectan modos no compatibles en el tráfico SSH. Programaciones Objetos > Programaciones De forma predeterminada. Configuración de la pestaña No hay descifrado Campo Descripción Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. solo se verán afectadas por la política de seguridad las sesiones nuevas. versión 7. Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable. Para aplicar las programaciones a las políticas de seguridad. Bloquear sesiones con errores SSH Finalice las sesiones si se producen errores SSH. Estos ajustes le permiten limitar o bloquear el tráfico SSH de túnel en función de criterios. Cuando se activa una política de seguridad en una programación definida.0 • 337 . Para limitar una política de seguridad a una hora concreta. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. la detección de errores SSH o la disponibilidad de recursos para procesar el descifrado del proxy SSH. o bien una programación diaria o semanal recurrente. Para cada programación puede especificar una fecha y un intervalo horario fijo. cada una de las políticas de seguridad se aplica a todas las fechas y horas. puede definir programaciones y aplicarlas a las políticas correctas. Tabla 173. Bloquear sesiones con algoritmos no compatibles Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no es compatible con PAN-OS.Otros objetos de las políticas Tabla 172. incluidos el uso de algoritmos no compatibles. Ajustes de proxy SSH en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSH entrante y saliente descifrado. Las sesiones actuales no se ven afectadas por la política programada. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. Bloquear sesiones con versiones no compatibles Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible con PAN-OS. Comprobaciones de fallos Seleccione las medidas que se adoptarán si se producen errores de aplicación SSH y si no hay recursos del sistema disponibles. Palo Alto Networks Guía de referencia de interfaz web.

lo que significa que la cancelación está habilitada. 338 • Guía de referencia de interfaz web. La casilla de verificación no está seleccionada de manera predeterminada.0 Palo Alto Networks . Periodicidad Seleccione la periodicidad (Diaria. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.Otros objetos de las políticas La siguiente tabla describe la configuración de la programación: Tabla 174. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la programación en grupos de dispositivos descendientes cancelando sus valores heredados. la programación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Semanal Haga clic en Añadir. Sin repetición Haga clic en Añadir y especifique una fecha y hora de inicio y de finalización. espacios. Diario Haga clic en Añadir y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). Compartido Seleccione esta casilla de verificación si quiere que la programación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. números. guiones y guiones bajos. la programación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Este nombre aparece en la lista de programaciones cuando se definen políticas de seguridad. seleccione un día de la semana y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). Semanal o Sin repetición). • Cada grupo de dispositivos en Panorama. Ajustes de programación Campo Descripción Nombre Introduzca un nombre de la programación (de hasta 31 caracteres). Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. Utilice únicamente letras. versión 7.

los informes y los logs en el cortafuegos para supervisar la actividad de su red: • “Uso del panel” • “Centro de control de aplicaciones” • “Uso de Appscope” • “Visualización de logs” • “Uso del motor de correlación automatizada” • “Trabajo con informes de Botnet” • “Gestión de informes de resumen en PDF” • “Gestión de informes de actividad del usuario/grupo” • “Gestión de grupos de informes” • “Programación de informes para entrega de correos electrónicos” • “Visualización de informes” • “Generación de informes personalizados” • “Realización de capturas de paquetes” Palo Alto Networks Guía de referencia de interfaz web. versión 7.0 • 339 .Capítulo 6 Informes y logs En los siguientes temas se describe cómo usar el panel. el Centro de control de aplicaciones (ACC).

Estado de interfaz Indica si cada interfaz está activa (verde). las versiones de definición del filtro de URL. Tenga en cuenta que una entrada “Configuración instalada” indica que se han llevado a cabo cambios en la configuración correctamente. haga clic en en la barra de títulos. Haga clic en el icono para actualizar el panel o un widget individual. desde verde (más bajo) a rojo (más alto). Aparecen las entradas de los logs de los últimos 60 minutos. el modelo. Para agregar un widget al panel. Logs de filtrado de datos Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos. Tabla 175. Logs de filtrado de URL Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL. Todos los widgets disponibles aparecen de forma predeterminada. Configuración y Amenaza. Información general Muestra el nombre del dispositivo. versión 7. 340 • Guía de referencia de interfaz web. Uso del panel Panel Los widgets de la página Panel muestran información general del dispositivo. Solo aparecen las entradas de los últimos 60 minutos.0 Palo Alto Networks . Aplicaciones principales de alto riesgo Similar a Aplicaciones principales. Solo aparecen las entradas de los últimos 60 minutos. el cliente (Web o CLI) y la fecha y hora de las 10 últimas entradas en el log Configuración. El ID de amenaza es una descripción malintencionada de una URL que incumple el perfil de filtro de URL. seleccione una categoría y luego el nombre del widget. excepto las que muestran las aplicaciones de mayor riesgo con la mayoría de las sesiones. Para eliminar un widget. no está operativa (rojo) o en un estado desconocido (gris). la aplicación. Para cambiar el intervalo de actualización automática. Gráficos del panel Gráfico Descripción Aplicaciones principales Muestra las aplicaciones con la mayoría de sesiones. la versión del software de PAN-OS. 5 min o Manual). la utilización de recursos y hasta 10 entradas en los logs Sistema. Logs de configuración Muestra el nombre de usuario del administrador. como la versión de software. haga clic en el menú desplegable Widget. seleccione un intervalo de la lista desplegable (1 min. El tamaño del bloque indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el riesgo de seguridad. el estado operativo de cada interfaz. las amenazas. Haga clic en una aplicación para ver su perfil de aplicación. 2 min. Solo aparecen las entradas de los logs de los últimos 60 minutos. la aplicación y la fecha y hora de las 10 últimas entradas en el log Amenazas.Uso del panel La mayoría de los informes de esta sección admiten la selección opcional de un sistema virtual en la lista desplegable de la parte superior de la página. Registros del sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema. la fecha y hora actuales y el período de tiempo transcurrido desde el último reinicio. pero cada usuario puede eliminar y agregar widgets individuales según sea necesario. Logs de amenazas Muestra el ID de amenaza.

Para obtener más información sobre la HA. Los valores mayores indican un mayor riesgo.0 • 341 . Alta disponibilidad Si la alta disponibilidad (HA) está activada. Bloqueos Muestra bloqueos de configuración realizados por los administradores. Factor de riesgo de ACC Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada. versión 7. indica el estado de la Alta disponibilidad (HA) del dispositivo local y del peer: Verde (activa). Gráficos del panel (Continuación) Gráfico Descripción Recursos del sistema Muestra el uso de CPU de gestión. Palo Alto Networks Guía de referencia de interfaz web. el uso de plano de datos y el Número de sesiones que muestra el número de sesiones establecidas a través del cortafuegos. consulte “Habilitación de HA en el cortafuegos”.Uso del panel Tabla 175. amarillo (pasiva) o negro (otro). Administradores registrados Muestra la dirección IP de origen. el tipo de sesión (Web o CLI) y la hora de inicio de sesión para cada administrador actualmente registrado.

incluidos los patrones de uso de la red. El ACC usa los logs del cortafuegos para representar gráficamente las tendencias de su red. ¿Qué desea saber? Consulte ¿Cómo se usa el ACC? “Información básica sobre el ACC” “Vistas” “Widgets” ¿Cómo se interactúa con el ACC? “Acciones” “Uso de filtros” ¿Desea obtener más información? ¿No encuentra lo que busca? Consulte Uso del Centro de control de aplicaciones 342 • Guía de referencia de interfaz web.Centro de control de aplicaciones Centro de control de aplicaciones ACC El Centro de control de aplicaciones (ACC) es una herramienta analítica que proporciona inteligencia intuitiva sobre la actividad dentro de su red.0 Palo Alto Networks . actividades sospechosas y anomalías. La representación gráfica le permite interactuar con los datos y visualizar las relaciones entre eventos en la red. patrones de tráfico. versión 7.

consulte “Widgets”. sesiones.Centro de control de aplicaciones Información básica sobre el ACC 1 Pestañas El ACC incluye tres pestañas o vistas predefinidas que ofrecen visibilidad del tráfico de la red. 3 Hora Los gráficos en cada widget ofrecen una vista en tiempo real y de historial. Puede elegir un intervalo personalizado o usar los periodos predefinidos que van desde 15 minutos hasta los últimos 30 días o los últimos 30 días naturales. categorías de URL. la actividad de las amenazas y el software malintencionado según el número de amenazas bloqueadas. Si desea más información sobre cada widget. consulte “Vistas”. la actividad de amenazas y la actividad bloqueada. Palo Alto Networks Guía de referencia de interfaz web. Si desea más información sobre cada vista. así como los hosts en riesgo o el tráfico hacia hosts o dominios malintencionados. Por ejemplo: 01/12 10:30:00-01/12 11:29:59 4 Filtros globales Los filtros globales le permiten establecer el filtro en todas las pestañas. contenido (archivos y datos). El medidor de riesgos usa diversos factores como el tipo de aplicaciones vistas en la red y los niveles de riesgo asociados a las aplicaciones. 5 Medidor de riesgos El medidor de riesgos (1=más bajo. El periodo usado de manera predeterminada para representar datos es la última hora. Para obtener información sobre cómo utilizar los filtros. consulte “Acciones”.0 • 343 . versión 7. 2 Widgets Cada pestaña incluye un conjunto predeterminado de widgets que representan concretamente los eventos y tendencias asociados a la pestaña. El intervalo de hora y fecha se muestran en la pantalla. Los gráficos se aplican a los filtros seleccionados antes de representar los datos. 5=más alto) indica el riesgo de seguridad relativo de su red. amenazas (malintencionadas y buenas) y recuento. Los widgets le permiten consultar los datos usando los siguientes filtros: bytes (entrada y salida).

virus. • Actividad bloqueada: Esta pestaña se centra en eltráfico bloqueado para que no entre en la red.Centro de control de aplicaciones Información básica sobre el ACC 6 Origen El origen de los datos usado para la visualización varía entre el cortafuegos y Panorama. amenazas o URL a las que ha accedido el usuario. 7 Exportar Puede exportar los widgets que se muestran en la pestaña actual como un PDF. 344 • Guía de referencia de interfaz web. En Panorama. región o direcciones IP. • Actividad de amenazas: Esta pestaña muestra una descripción general de las amenazas en la red. puede cambiar la visualización para usar Panorama o Datos de dispositivo remoto. si está habilitado para varios sistemas virtuales. organizadas por nivel de gravedad. Se centra en las aplicaciones principales en uso. como los sistemas operativos de los dispositivos más usados en la red. por interfaces de acceso o salida y por información del host. spyware. principales envíos de WildFire por tipo de archivo y aplicación y aplicaciones que usan puertos no estándar. Si el origen de los datos es Panorama. nombre de amenaza. En el cortafuegos. El widget Hosts en riesgo complementa la detección con mejores técnicas de visualización. Vistas • Actividad de red: Esta pestaña muestra una descripción general del tráfico y la actividad de los usuarios en su red. Los widgets de esta pestaña le permiten ver la actividad denegada por nombre de aplicación. versión 7. puede ver la actividad de la red según la zona de origen o destino. contenido. así como las reglas de seguridad más usadas para comparar el tráfico. los usuarios que generan más tráfico y una descripción pormenorizada de los bytes. Se centra en las principales amenazas: vulnerabilidades.0 Palo Alto Networks . puede filtrar la visualización para un grupo de dispositivos específico. Usa la información de la pestaña de eventos correlacionados (Motor de correlación automatizada > Eventos correlacionados) para presentar una vista agregada de hosts en riesgo en su red por usuarios o direcciones IP de origen. nombre de usuario. puede usar el menú desplegable Sistema virtual para cambiar la visualización de ACC de modo que incluya todos los sistemas virtuales o solo un sistema virtual seleccionado. contenido (archivos y datos) y las principales reglas de seguridad con una acción de denegación que bloquearon el tráfico. hosts que visitan dominios o URL malintencionados. Asimismo.

objetos. El área en la que haga clic se convierte en un filtro y le permite acercarse a la selección y ver información más granular para esa selección. gráfico de barras horizontales. versión 7. buenos. Por ejemplo. sesiones. gráfico de área apilada. URL. gráfico de barra apilada y mapas. el widget para aplicaciones que usan puertos no estándar le permite elegir entre un mapa jerárquico y un gráfico de líneas. malintencionados. Cada widget está estructurado para mostrar lo siguiente: 1 Ver Puede ordenar los datos por bytes. Las opciones disponibles varían según el widget. Para obtener una vista más detalladas. gráfico de líneas.Centro de control de aplicaciones Widgets Los widgets de cada pestaña están inactivos. perfiles. archivos. recuento. Las opciones disponibles varían según el widget. datos. haga clic en el gráfico. 2 Gráfico Las opciones de visualización de los gráficos son mapa jerárquico. Palo Alto Networks Guía de referencia de interfaz web. contenido. Puede establecer filtros y pormenorizar la vista para personalizarla y poder centrarse en la información que necesita. la experiencia de interacción también varía según el tipo de gráfico. amenazas.0 • 345 .

En la vista maximizada. Con un filtro local. la vista de todo el ACC pivota para mostrar solo información que pertenezca a su filtro. Si quiere ver una descripción de cada widget. Saltar a logs: Le permite navegar directamente a los logs (pestaña Supervisar > Logs > Tipo de log ). puede añadir y eliminar pestañas y widgets. consulte la información sobre el uso del ACC.0 Palo Alto Networks . el gráfico se actualiza y la tabla se ordena según ese filtro. versión 7. Configurar filtros locales: Le permite añadir filtros para refinar la visualización dentro del widget.Centro de control de aplicaciones 3 Tabla La vista detallada de los datos usados para representar el gráfico se ofrece en una tabla debajo del gráfico. la consulta de log concatena el periodo y los filtros y muestra solo logs que cumplan con el filtro establecido. 4 Acciones Maximizar vista: Le permite aumentar el widget y verlo en una pantalla más grande. Acciones Para personalizar y refinar la visualización de ACC. Exportar: Le permite exportar el gráfico como PDF. Consulte “Uso de los filtros: Filtros locales y filtros globales”. • “Uso de las pestañas y widgets” • “Uso de los filtros: Filtros locales y filtros globales” 346 • Guía de referencia de interfaz web. Puede hacer clic y establecer un filtro local o un filtro global para elementos en la tabla. los elementos que se muestran no se limitan a los diez principales como en la pantalla predeterminada del widget. Con un filtro global. Los logs se filtran usando el periodo que se muestra en el gráfico. establecer filtros locales y globales e interactuar con los widgets. Si ha establecido filtros locales y globales.

Nota: No puede ponerle nombre a los grupos de widgets. • Restablecer la vista predeterminada. • Añadir un widget a un grupo de . modifique la pestaña y haga clic en el icono [X] de la derecha. Cuando arrastre el widget sobre el diseño. Esta acción no se puede deshacer. Introduzca un Nombre de vista. Puede arrastrar y soltar los widgets en la vista de dos columnas. Puede añadir hasta 5 pestañas. de la lista de 2. aparecerá un marcador de posición para que suelte el widget.0 • 347 . • Modificar una pestaña 1. seleccione Añadir grupo de widgets. Seleccione la pestaña y haga clic en el icono de lápiz junto al nombre de la pestaña para modificarla. 1. seleccione la pestaña y haga clic en el icono X. Añadir una nueva pestaña o modificar una pestaña predefinida.Centro de control de aplicaciones Uso de las pestañas y widgets Uso de las pestañas y widgets • Añadir una pestaña 1. puede eliminar uno o más widgets. Seleccione la vista y haga clic en el icono de lápiz para editar la vista. incluidos en una vista. Palo Alto Networks En una vista predefinida. Este nombre se utilizará como el nombre de la pestaña. Guía de referencia de interfaz web. Puede seleccionar hasta 12 widgets. • Eliminar una pestaña o un 1. Seleccione Añadir widget y marque la casilla de verificación del widget que quiere añadir. widgets. Seleccione el icono pestañas. Por ejemplo • Consultar qué widgets están 1. Nota: No puede eliminar una pestaña predefinida. widget/grupo de widgets. 3. Para eliminar una pestaña personalizada. Para eliminar un widget o grupo de widgets. modifique la pestaña y haga clic en Restablecer vista. Seleccione el menú desplegable Añadir widgets y compruebe los widgets que tienen marcas las casillas de verificación. como la vista Actividad bloqueada. 2. (Opcional) Para crear un diseño de dos columnas. versión 7. 2. Si quiere restablecer el diseño para que incluya el conjunto predeterminado de widgets de la pestaña. 2.

1. para ver todos los eventos relacionados con un usuario y aplicación específicos. Los filtros globales sí se borran al reiniciar. puede usar filtros. versión 7. una tabla. Filtros globales: Los filtros globales se aplican en todo el ACC. Pase el ratón sobre un atributo en la siguiente tabla bajo el gráfico y haga clic en el menú desplegable.Centro de control de aplicaciones Uso de los filtros: Filtros locales y filtros globales Para depurar la información y controlar con precisión qué muestra el ACC. Haga clic en Filtro para añadir el atributo como un filtro global. • Promocionar un filtro local para usarlo como un filtro global: Esta opción le permite promocionar un atributo que ha establecido como filtro local para que sea un filtro global. Promocionar un filtro local a filtro global cambia la visualización en todas las vistas del ACC. . Uso de filtros • Establecer un filtro local. 2. Filtros locales: Los filtros locales se aplican a un widget específico. Un filtro local le permite interactuar con el gráfico y personalizar la vista para que puede explorar los datos y acceder a la información que quiere supervisar en un widget específico. Puede aplicar un filtro local de dos modos: haciendo clic en un atributo del gráfico o tabla o usando el icono Establecer filtro dentro de un widget. • Definir un filtro global: Defina un filtro usando el panel Filtros globales en el ACC. Por ejemplo. 2. puede aplicar la dirección IP del usuario y la aplicación como un filtro global y ver solo información relativa a ese usuario y aplicación a través de todas las pestañas y widgets en el ACC. Haga clic en el icono que quiere aplicar. Los filtros globales se pueden aplicar de tres formas: • Establecer un filtro global desde una tabla: Seleccionar un atributo desde una tabla en cualquier widget y aplicar el atributo como un filtro global. y añada los filtros Nota: El número de filtros locales aplicado en un widget se indica junto al nombre del widget. 3. • Establecer un filtro global desde 1. 348 • Guía de referencia de interfaz web. Un filtro global le permite pivotar la vista alrededor de la información que necesita instantáneamente y excluir la información irrelevante para la vista actual. Seleccione un widget y haga clic en el icono Nota: También puede hacer clic en un atributo en la siguiente tabla bajo el gráfico para aplicarlo como un filtro local. El icono Establecer filtro le permite establecer un filtro local que no se elimina al reiniciar.0 Palo Alto Networks . Haga clic en Aplicar. Estos filtros no se eliminan al reiniciar.

• Eliminar un filtro y añada los filtros que Haga clic en el icono para eliminar un filtro. haga clic en el enlace de un atributo.0 • 349 . seleccione la flecha a la izquierda del filtro. Palo Alto Networks Guía de referencia de interfaz web. 2. filtro global.Centro de control de aplicaciones Uso de filtros • Establecer un filtro global usando el panel Filtros globales • Promocionar un filtro local como Haga clic en el icono quiere aplicar. • Borrar todos los filtros • Para filtros globales: Haga clic en el botón Borrar todo debajo de Filtros globales. Haga clic en el botón Borrar todo en el widget Configurar filtros locales. • Para filtros globales: Se encuentra en el panel Filtros globales. • Para filtros locales: Seleccione un widget y haga clic en el icono . versión 7. En cualquier tabla de un widget. De este modo se establece el atributo como un filtro local. Para promocionar el filtro como un filtro global. • Para filtros locales: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales. 1. seleccione el filtro y haga clic en el icono de eliminación.

versión 7. 350 • Guía de referencia de interfaz web.Centro de control de aplicaciones Uso de filtros • Invalidar filtros Seleccione un atributo y haga clic en el icono para invalidar un filtro. haga clic en el icono Establecer filtros locales. Para ver los filtros. • Para filtros locales: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales. debajo de Filtros globales. • Para filtros globales: El número de filtros globales aplicado se muestra en el panel izquierdo. • Para filtros locales: El número de filtros locales aplicado en un widget se muestra junto al nombre del widget. añada un filtro y haga clic en el icono de invalidación. • Ver filtros en uso.0 Palo Alto Networks . • Para filtros globales: Se encuentra en el panel Filtros globales.

versión 7. Para recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos gestionados tendrá que cambiar el origen de Panorama a Datos de dispositivo remoto. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar. El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de datos local de Panorama que almacena los logs enviados por los dispositivos remotos. cada informe proporciona una ventana dinámica y personalizable por el usuario en la red. el usuario o el origen. En Panorama puede seleccionar también el origen de datos de la información que se muestra. Al pasar el ratón por encima y hacer clic en las líneas o barras de los gráficos. puede ver rápidamente si se produce algún comportamiento inusual o inesperado y que la detección de cualquier comportamiento problemático sea más sencilla. Tabla 176.Uso de Appscope Uso de Appscope Supervisar > Appscope Los informes de Appscope proporcionan visibilidad gráfica en los siguientes aspectos de la red: • Cambios en el uso de la aplicación y la actividad del usuario • Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red • Amenazas de red Con los informes de Appscope. la categoría de la aplicación. Gráficos del Centro de control de aplicaciones Gráfico Descripción Resumen “Informe de resumen” Supervisor de cambios “Informe del supervisor de cambios” Supervisor de amenazas “Informe del supervisor de amenazas” Mapa de amenazas “Informe del mapa de amenazas” Supervisor de red “Informe Supervisor de red” Mapa de tráfico “Informe del mapa de tráfico” Palo Alto Networks Guía de referencia de interfaz web. se pasa al ACC y se proporciona información detallada sobre la aplicación específica.0 • 351 . en una actualización el origen de datos predeterminado son los datos de dispositivo remoto.

versión 7. perdedores. haga clic en Cada gráfico se guarda como una página en el PDF creado.Uso de Appscope Informe de resumen El informe Resumen (Ilustración 7) muestra gráficos de los cinco principales ganadores. . categorías de aplicación. usuarios y orígenes. Informe de resumen de Appscope 352 • Guía de referencia de interfaz web.0 Palo Alto Networks . Para exportar los gráficos en el informe de resumen como un PDF. aplicaciones de consumo de ancho de banda. Ilustración 7.

Palo Alto Networks Guía de referencia de interfaz web. Opciones del informe del supervisor de cambios Elemento Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico.Uso de Appscope Informe del supervisor de cambios El informe Supervisor de cambios (Ilustración 8) muestra cambios realizados en un período de tiempo específico. Ilustración 8.0 • 353 . Muestra mediciones de elementos que han ascendido durante el período de medición. Tabla 177. versión 7. Muestra mediciones de elementos que se han suspendido durante el período de medición. Categoría de aplicación. Informe del supervisor de cambios de Appscope Este informe contiene los siguientes botones y las siguientes opciones. Origen o Destino. Determina el tipo de elemento indicado: Aplicación. Las principales aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes. Por ejemplo. Muestra mediciones de elementos que se han agregado durante el período de medición. Muestra mediciones de elementos que han descendido durante el período de medición. Ilustración 8 muestra las principales aplicaciones adquiridas en la última hora en comparación con el último período de 24 horas.

354 • Guía de referencia de interfaz web. Opciones del informe del supervisor de cambios (Continuación) Elemento Descripción Aplica un filtro para mostrar únicamente el elemento seleccionado. Barra inferior Especifica el período durante el que se realizaron las mediciones de cambio. versión 7.Uso de Appscope Tabla 177. Ninguno muestra todas las entradas.png o PDF. Determina si ordenar entradas por porcentajes o incremento bruto. Exporta el gráfico como imagen . Determina si mostrar información de sesión o byte.0 Palo Alto Networks .

versión 7. Informe del supervisor de amenazas de Appscope Palo Alto Networks Guía de referencia de interfaz web.Uso de Appscope Informe del supervisor de amenazas El informe del supervisor de amenazas (Ilustración 9) muestra un recuento de las principales amenazas durante el período de tiempo seleccionado.0 • 355 . Ilustración 9. Por ejemplo. Ilustración 9 muestra los 10 principales tipos de amenaza en las últimas 6 horas.

Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Ilustración 10. Informe del mapa de amenazas El informe del mapa de amenazas (Ilustración 10) muestra una vista geográfica de amenazas. Exporta el gráfico como imagen . Barra inferior Especifica el período durante el que se realizaron las mediciones. Tabla 178. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. incluyendo la gravedad.png o PDF.Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Categoría de amenaza. Informe de mapa de amenazas de Appscope 356 • Guía de referencia de interfaz web. Determina el tipo de elemento medido: Amenaza. Origen o Destino. Este informe contiene los siguientes botones y las siguientes opciones. Botones del Informe del supervisor de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico.0 Palo Alto Networks . versión 7.

Muestra las amenazas salientes. Exporta el gráfico como imagen . Barra inferior Indica el período durante el que se realizaron las mediciones. Muestra las amenazas entrantes. Palo Alto Networks Guía de referencia de interfaz web.Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico.0 • 357 . Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Tabla 179. Acerque y aleje el mapa. Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Haga clic en el botón Alejar en la esquina inferior derecha de la pantalla para alejar. la Ilustración 11 muestra el ancho de banda de aplicación en los 7 últimos días basándose en la información de sesión. Este informe contiene los siguientes botones y las siguientes opciones.png o PDF. Haga clic en un país en el mapa para acercarlo. Informe Supervisor de red El informe Supervisor de red (Ilustración 11) muestra el ancho de banda dedicado a diferentes funciones de red durante el periodo especificado. versión 7. Cada función de red está indicada con colores como se indica en la leyenda debajo del gráfico. Por ejemplo.

Origen o Destino. versión 7. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Ninguno muestra todas las entradas. Tabla 180. Botones del Informe del supervisor de red Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. Aplica un filtro para mostrar únicamente el elemento seleccionado. Informe del supervisor de red de Appscope El informe contiene los siguientes botones y opciones.Uso de Appscope Ilustración 11. Categoría de aplicación. 358 • Guía de referencia de interfaz web.png o PDF. Determina si mostrar información de sesión o byte. Exporta el gráfico como imagen . Determina el tipo de elemento indicado: Aplicación.0 Palo Alto Networks .

Palo Alto Networks Guía de referencia de interfaz web. Este informe contiene los siguientes botones y las siguientes opciones.0 • 359 . Informe del mapa de tráfico de Appscope Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico. Ilustración 12. versión 7.Uso de Appscope Informe del mapa de tráfico El informe Mapa de tráfico (Ilustración 12) muestra una vista geográfica de los flujos de tráfico según las sesiones o los flujos.

Muestra las amenazas salientes. Determina si mostrar información de sesión o byte. consulte “Definición de funciones de administrador”. amenazas. Visualización de logs Supervisar > Logs El cortafuegos mantiene logs de coincidencias de WildFire. Para ver los logs. El cortafuegos muestra la información en logs por lo que se respetan los permisos de administración basado en función. alarmas. configuraciones. Cuando muestra logs. solo se incluye la información de cuyo permiso dispone. puede aplicar filtros a la mayoría de los campos de log. Exporta el gráfico como imagen . Acerque y aleje el mapa. haga clic en los tipos de logs en el lado izquierdo de la página en la pestaña Supervisar. Para ubicar entradas específicas.0 Palo Alto Networks . sistema.png o PDF. filtrado de datos y perfil de información de host (HIP). Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. filtrado de URL. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio.Visualización de logs Tabla 181. Para obtener información acerca de los permisos de administrador. Muestra las amenazas entrantes. flujos de tráfico. Puede visualizar los logs actuales en cualquier momento. versión 7. 360 • Guía de referencia de interfaz web.

el número de bytes y la razón para finalizar la sesión. Consulte “Perfiles de filtrado de URL” para obtener más información sobre cómo definir perfiles de filtrado de URL. el nombre de aplicación y la acción de alarma (permitir o bloquear) y la gravedad. haga clic en junto a una entrada para acceder a los paquetes capturados. los datos de logs se reenvían al dispositivo después del análisis junto con los resultados del análisis. un nombre de amenaza o URL.” La columna Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL. filtrado de URL Muestra logs de filtros de URL que bloquean el acceso a sitios web y categorías de sitio web específicos o generan una alerta cuando se accede a un sitio web. como cuando una regla asigna todo el tráfico a un servicio específico. Si las capturas de paquetes locales están activadas. Cada entrada incluye la fecha y hora. Descripciones del log Gráfico Descripción Tráfico Muestra una entrada para el inicio y el final de cada sesión. Una “asignación” indica que la regla de seguridad que ha bloqueado el tráfico ha especificado una aplicación “cualquiera”. el nombre de la regla de seguridad aplicada al flujo. Palo Alto Networks Guía de referencia de interfaz web. consulte las subdivisiones en “Perfiles de seguridad”. Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha denegado o asignado la sesión. Si se asigna el tráfico antes de identificar la aplicación. como se indica en la siguiente ilustración. las zonas de origen y destino.Visualización de logs Tabla 182. direcciones. Para activar las capturas de paquetes locales. las direcciones y puertos. Todas las entradas incluyen la fecha y la hora. la interfaz de entrada y salida. como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el valor Recuento será superior a uno). el nombre de la aplicación. como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y destino (el valor Recuento será superior a uno). Amenaza Muestra una entrada para cada alarma de seguridad generada por el cortafuegos. las zonas de origen y destino. como “virus” o “spyware. Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza. Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión. Envíos a WildFire Muestra logs de archivos que se han cargado y actualizado por el servidor WildFire. versión 7. mientras que “denegación” indica que la regla ha identificado una aplicación específica. puertos. la aplicación aparece como “no aplicable”. denegar o borrar). Tenga en cuenta que la columna Tipo indica el tipo de amenaz