Guía de referencia de interfaz web

Versión 7.0

Información de contacto
Sede de la empresa:
Palo Alto Networks
4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía
Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama.
Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos de la
interfaz:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007-2015 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisión: julio 1, 2015

ii

julio 1, 2015 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Contenido
Capítulo 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Interfaces de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Capítulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Uso de la interfaz web del cortafuegos de Palo Alto Networks . . . . . . . . . . 6
Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 14
Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Capítulo 3
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . . 16
Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . 34
Habilitación de supervisión de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Ruta de servicio de destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de la configuración de ID de contenido . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tiempos de espera de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . . 53
Ajustes de descifrado: Reenviar los ajustes de certificados
del servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuración de sesión de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • iii

Contenido

Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comportamiento tras el vencimiento de la licencia . . . . . . . . . . . . . . . . . . . . . 57
Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 63
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Requisitos de nombre de usuario y contraseña . . . . . . . . . . . . . . . . . . . . . . . . 70
Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 72
Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 77
Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes del servidor TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes del servidor Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 83
Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuración del log Configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuración del log Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log Coincidencias HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definición de configuración de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . . 94
Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configuración de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestión de certificados de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Gestión de entidades de certificación de confianza predeterminadas . . . . 100
Creación de un perfil del certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Gestión de perfiles de servicio SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 104
Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 116
Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 117
Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 119

Capítulo 4
Configuración de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

121

Definición de cables virtuales (Virtual Wires) . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . 122
Resumen de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Componentes comunes de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . 124

iv • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Contenido

Componentes comunes de interfaces de cortafuegos de la serie PA-7000 . . . .
Configure la interfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure la interfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de cable virtual (Virtual Wire) . . . . . . . . . . . . .
Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . . . .
Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una subinterfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . . . . .
Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . . . . .
Configuración una interfaz de agregación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de bucle invertido . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Perfiles de redistribución . . . . . . . . . . . . . . . .
Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Multidifusión. . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Más estadísticas de tiempo de ejecución para un enrutador virtual . . . . . .
Configuración de la compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dirección DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplo: Configure un servidor DHCP con opciones personalizadas . . . . . .
Configuración de proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Resumen proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acciones adicionales de proxy DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definiendo perfiles de gestiones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . .
Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuración de la protección de ataques basada en paquetes . . . . . . .
Definición de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

125
126
128
128
137
142
144
144
145
146
147
148
151
151
152
158
160
161
162
163
163
165
167
172
177
185
189
190
192
199
199
200
200
201
205
206
207
209
210
211
211
213
213
213
214
217
218
219
220
222
222
226
227

Guía de referencia de interfaz web, versión 7.0 • v

Contenido

Capítulo 5
Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

229

Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Traslado o duplicación de una política o un objeto . . . . . . . . . . . . . . . . . . .
Cancelación o reversión de una regla de seguridad predeterminada . . . .
Cancelación o reversión de un objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificación de usuarios y aplicaciones para las políticas. . . . . . . . . . . . .
Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloques de creación de una política de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Creación y gestión de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinación de configuración de zona en NAT y política de seguridad . . .
Opciones de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de política NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de cancelación de aplicación . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

vi • Guía de referencia de interfaz web, versión 7.0

230
230
232
233
234
235
235
236
237
245
247
248
250
250
251
252
252
256
256
257
258
260
261
262
263
264
265
266
266
267
268
268
269
269
270
270
271
271
272
272
273
273
274
274
274
275
276
276
277

Palo Alto Networks

Contenido

Acciones en perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cuadro de diálogo Perfil de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de análisis de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de objetos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del explorador de etiquetas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . .
Definición de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . .
Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

277
279
279
280
281
281
285
289
293
297
298
300
302
303
304
307
308
308
314
317
317
318
319
320
321
322
323
325
326
328
328
329
332
334
335
336
341

Capítulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

343

Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Centro de control de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Uso

Palo Alto Networks

Vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Informe Supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Guía de referencia de interfaz web, versión 7.0 • vii

Contenido

Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Interacción con logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 368
Uso del motor de correlación automatizada . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los objetos de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los eventos correlacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Configuración del informe de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Gestión de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 376
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Programación de informes para entrega de correos electrónicos . . . . . . . 378
Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Descripción general de captura de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Componentes de una captura de paquetes personalizada . . . . . . . . . . . . . . . . 382
Habilitación de captura de paquetes de amenazas . . . . . . . . . . . . . . . . . . . . . . 385

Capítulo 7
Configuración del cortafuegos para el usuario de usuarios . . . . . . . . . .

387

Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . .
Pestaña Asignación de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Configuración de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . .

387
388
395
397
397
400

Capítulo 8
Configuración de túneles de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

403

Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Gestión de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General de puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones avanzadas de puerta de enlace de IKE . . . . . . . . . . . . . . . .
Reinicie o actualice una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . .

Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de túneles VPN de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Identificadores proxy de Túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . .
Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . . . .
Reinicie o actualice un túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .

viii • Guía de referencia de interfaz web, versión 7.0

404
404
407
409
409
410
410
412
413
413
414
415
416

Palo Alto Networks

Contenido

Capítulo 9
Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

417

Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . 429
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Configuración del acceso de la puerta de enlace a un gestor
de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña Dispositivo móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Pestaña Administración de parches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Pestaña Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Pestaña Antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Copia de seguridad de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Cifrado de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Pestaña Prevención de pérdida de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . 451
Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Capítulo 10
Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .

455

Definición de un perfil de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Definición de una política de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Habilitación de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . 463
Descripción general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Habilitación de la QoS en una interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Supervisión de una interfaz de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Capítulo 11
Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . .

467

Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . 479
Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Aplicación de políticas a dispositivos específicos de
un grupo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • ix

Contenido

Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 482
Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . 483
Especificación de dominios de acceso de Panorama para administradores . . . 486
Compilación de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 488
Gestión de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . 490
Definición de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Definición de pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Duplicación de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Eliminación o deshabilitación de plantillas o pilas de plantillas . . . . . . . . . . . . . 495
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Habilitación del reenvío de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Cómo añadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Instalación de una actualización de software en un recopilador de logs . . . . . . 504
Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . 504
Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . 508
Gestión de actualizaciones de dispositivos y licencias . . . . . . . . . . . . . . . . 509
Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . 511
Programación de exportaciones de configuración. . . . . . . . . . . . . . . . . . . 512
Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 514

Registro del cortafuegos VM-Series como servicio en
el administrador NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Actualización de información del administrador de servicios VMware . . . . 517

Apéndice A
Compatibilidad con los estándares federales de procesamiento de la
información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

519

Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

x • Guía de referencia de interfaz web, versión 7.0

521

Palo Alto Networks

Palo Alto Networks Guía de referencia de interfaz web.Capítulo 1 Introducción Esta sección proporciona una descripción general del cortafuegos: • “Descripción general del cortafuegos” • “Características y ventajas” • “Interfaces de gestión” Descripción general del cortafuegos Palo Alto Networks® ofrece una gama completa de dispositivos de seguridad de nueva generación. que es un chasis modular diseñado para centros de datos de alta velocidad. así como para identificar aplicaciones potencialmente malintencionadas que no utilicen puertos estándar. diseñado para oficinas remotas de una empresa. hasta el cortafuegos de la serie PA-7000. que van desde el cortafuegos PA-200. Puede especificar una política de seguridad para cada aplicación identificada con el fin de bloquear o permitir el tráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6). el cortafuegos de nueva generación de Palo Alto Networks utiliza la inspección de paquetes y una biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y puertos idénticos. spyware y otras amenazas. El cortafuegos le permite especificar políticas de seguridad basadas en la identificación precisa de cada una de las aplicaciones que atraviesen su red. cada política de seguridad puede especificar perfiles de seguridad como protección frente a virus. Asimismo. puede definir políticas de seguridad para aplicaciones específicas o grupos de aplicaciones en lugar de utilizar una única política para todas las conexiones al puerto 80. versión 7. A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones por su protocolo y número de puerto. mantener una visibilidad y un control absolutos y proteger la organización de las ciberamenazas más recientes. Para habilitar de forma segura el uso de aplicaciones.0 • 1 .

y el tráfico cifrado con el protocolo Secure Sockets Layer (SSL) puede descifrarse e inspeccionarse. el administrador podría permitir que una organización utilizara una aplicación basada en Internet e impedir que cualquier otra organización de la empresa utilizarla la misma aplicación. • Prevención de amenazas: Los servicios de prevención de amenazas que protegen la red frente a virus. o además de estas. A continuación podrá utilizar esta información para una habilitación segura de aplicaciones que puede definirse por usuario o por grupo. • Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad (HA) ofrece una tolerancia a fallos automática en el caso de cualquier interrupción en el hardware o el software (consulte “Habilitación de HA en el cortafuegos”). 2 • Guía de referencia de interfaz web. en lugar de zonas y direcciones de red. como el intercambio de archivos. Las velocidades de varios gigabits y la arquitectura de un único paso le ofrecen estos servicios sin apenas afectar a la latencia de red.Características y ventajas Características y ventajas Los cortafuegos de próxima generación de Palo Alto Networks ofrecen un control detallado del tráfico que tiene permiso para acceder a su red. Por ejemplo. OpenLDAP y la mayoría de los otros servidores de directorio basados en LDAP.0 Palo Alto Networks . • GlobalProtect: El software GlobalProtect™ protege los sistemas cliente. • Identificación de usuarios (User-ID™): La identificación de usuarios (User-ID) permite que los administradores configuren y apliquen políticas de cortafuegos basadas en usuarios y grupos de usuarios. También puede configurar un control detallado de determinados componentes de una aplicación basándose en usuarios y grupos (consulte “Configuración del cortafuegos para el usuario de usuarios”). El servicio App-ID puede bloquear aplicaciones de alto riesgo. • Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios web inadecuados (consulte “Perfiles de filtrado de URL”). registros y mecanismos de notificación ofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridad en la red. permitiendo iniciar sesión de manera fácil y segura desde cualquier parte del mundo. gusanos. Las principales características y ventajas incluyen las siguientes: • Cumplimiento de políticas basadas en aplicaciones (App-ID™): El control de acceso según el tipo de aplicación es mucho más eficaz cuando la identificación de las aplicaciones no se basa únicamente en el protocolo y el número de puerto. que se utilizan a nivel de campo. para proporcionar información de usuarios y grupos al cortafuegos. spyware y otro tráfico malintencionado pueden variar según la aplicación y el origen del tráfico (consulte “Perfiles de seguridad”). • Visibilidad del tráfico: Los extensos informes. El cortafuegos puede comunicarse con numerosos servidores de directorio. versión 7. así como comportamientos de alto riesgo. como ordenadores portátiles. y puede instalarse de manera transparente en cualquier red o configurarse para permitir un entorno conmutado o enrutado. como Microsoft Active Directory. eDirectory. SunOne. • Versatilidad de red y velocidad: El cortafuegos de Palo Alto Networks puede añadirse o sustituir a su cortafuegos existente. El centro de comando de aplicación (ACC) de la interfaz web identifica las aplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes y logs”).

• Gestión y Panorama™: Puede gestionar cada cortafuegos mediante una interfaz web intuitiva o una interfaz de línea de comandos (CLI). Este enlace proporciona ayuda sobre los parámetros necesarios para cada tipo de llamada de la API. • API XML: Proporciona una interfaz basada en la transferencia de estado representacional (REST) para acceder a la configuración de dispositivos. La interfaz de Panorama es parecida a la interfaz web del cortafuegos pero con funciones de gestión adicionales (consulte “Gestión centralizada del dispositivo mediante Panorama” para obtener información sobre el uso de Panorama). Hay disponible un explorador de API en el cortafuegos en https://cortafuegos/api. versión 7. que cuenta con una interfaz web muy parecida a la interfaz web de los cortafuegos de Palo Alto Networks. el estado de funcionamiento. • Panorama: Es un producto de Palo Alto Networks que permite una gestión.Interfaces de gestión • Elaboración de análisis e informes sobre software malintencionado: El servicio de seguridad WildFire™ proporciona análisis e informes detallados sobre el software malintencionado que pasa por el cortafuegos. donde cortafuegos es el nombre de host o la dirección IP del cortafuegos. una elaboración de informes y un registro basados en Internet para varios cortafuegos. Secure Shell (SSH) o el puerto de la consola. informes y capturas de paquetes desde el cortafuegos. Interfaces de gestión Los cortafuegos de próxima generación de Palo Alto Networks admiten las siguientes interfaces de gestión. • CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet.0 • 3 . públicos e híbridos. Palo Alto Networks Guía de referencia de interfaz web. • Cortafuegos de la VM-Series: Un cortafuegos de VM-Series proporciona una instancia virtual de PAN-OS® situada para su uso en un entorno de centro de datos virtualizado y es perfecto para sus entornos de computación en la nube privados. • Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPS desde un explorador web. puede gestionar todos los dispositivos de manera centralizada mediante el sistema de gestión centralizado de Panorama. Del mismo modo.

Interfaces de gestión 4 • Guía de referencia de interfaz web. versión 7.0 Palo Alto Networks .

0 • 5 . versión 7.Capítulo 2 Primeros pasos Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos de Palo Alto Networks: • “Uso de la interfaz web del cortafuegos de Palo Alto Networks” • “Obtención de ayuda para la configuración del cortafuegos” Palo Alto Networks Guía de referencia de interfaz web.

versión 7. las opciones de configuración están anidadas. el panel Enrutadores virtuales está seleccionado en la pestaña Red. Por ejemplo. Este documento identifica esta ruta de navegación en la interfaz web como Red > Enrutadores virtuales.Uso de la interfaz web del cortafuegos de Palo Alto Networks Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 1 Haga clic en las pestañas de la parte superior para ver los elementos de configuración bajo esa categoría. en la captura de pantalla anterior. En el caso de algunas pestañas.0 Palo Alto Networks . 2 Seleccione una opción del panel de la izquierda para ver las opciones de una pestaña. 6 • Guía de referencia de interfaz web. El elemento resaltado es el que está seleccionado. Haga clic en la lista desplegable del panel de la izquierda para expandir y contraer las opciones de configuración incluidas en el panel.

Guía de referencia de interfaz web. Cuando haga clic en ACEPTAR. se actualizará la configuración candidata. • Modificar: Haga clic en el elemento con hiperenlace en la columna Nombre. 4 Palo Alto Networks Cierre de sesión: Haga clic en el botón Cierre de sesión para cerrar la sesión de la interfaz web. seleccione las casillas de verificación junto al elemento y haga clic en Eliminar. Dispositivos > Configuración). – Una vez haya configurado los ajustes. • Eliminar: Para eliminar uno o más elementos. Para guardar los cambios en la configuración que se esté ejecutando. Haga clic en ACEPTAR para confirmar la eliminación o haga clic en Cancelar para cancelar la operación. debe hacer clic en ACEPTAR o Guardar para almacenar los cambios. – Los campos obligatorios muestran un fondo amarillo claro. versión 7.0 • 7 . haga clic en el icono de la esquina superior derecha de una sección para editar los ajustes. debe hacer clic en Compilar para guardar los cambios. – Para modificar secciones dentro de una página (por ejemplo.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 3 Los botones de acción varían según la página pero la mayoría de las páginas incluyen los botones siguientes: • Añadir: Haga clic en Añadir para crear un nuevo elemento.

a continuación. Por ejemplo. la interfaz web estará en español cuando inicie sesión en el cortafuegos. mensajes asociados y acciones. seleccione las casillas de verificación y haga clic en Reconocer. Trabajos y Peticiones de log.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 5 • Tareas: Haga clic en el icono Tareas para ver la lista actual de Todos los elementos siguientes o aquellos que estén En ejecución: Tareas. haga clic en ACEPTAR para guardar el cambio. • Alarmas: Haga clic en Alarmas para ver la lista actual de alarmas en el log de alarmas. Para reconocer alarmas. La ventana Gestor de tareas muestra la lista de tareas. La lista mostrará las alarmas no reconocidas y reconocidas. si el ordenador que utiliza para gestionar el cortafuegos tiene el español como configuración regional. vaya a Dispositivo > Configuración de log > Alarmas. fechas de inicio. Para mostrar u ocultar columnas. junto con los estados. haga clic en la flecha situada a la derecha de cualquier columna y seleccione o cancele la selección de la correspondiente casilla de verificación para mostrar u ocultar la columna en la pantalla. • Idioma: Haga clic en Idioma para seleccionar el idioma que desee en la lista desplegable de la ventana Preferencia de idioma y. versión 7. 8 • Guía de referencia de interfaz web. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. el idioma de la interfaz web será el mismo que el idioma actual del ordenador desde el que inicie sesión. A menos que especifique una preferencia de idioma. Para habilitar alarmas y notificaciones de alarmas web.0 Palo Alto Networks . Haga clic en el encabezado de una columna para ordenar según esa columna y haga clic de nuevo para invertir el orden. Utilice la lista desplegable Mostrar para filtrar la lista de tareas. 6 Las tablas le permiten ordenar los datos y mostrar u ocultar las columnas que puede ver en la página.

nombres o palabras claves de los elementos de la página. consulte “Compilación de cambios”. para borrar un filtro. Si desea más información sobre Búsqueda. Palo Alto Networks Guía de referencia de interfaz web. haga clic en . Haga clic en el enlace Avanzado. Si desea más información sobre Bloqueos. para mostrar las opciones siguientes: – Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la operación de compilación. haga clic en . Los resultados de la búsqueda se mostrarán y el número de coincidencias aparecerá como una fracción de los elementos totales mostrados en la esquina izquierda del cuadro de entrada de filtro. Compilación de cambios Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar. si es necesario. consulte “Búsqueda de la configuración”. Para aplicar un filtro. – Incluir políticas y objetos: (Solamente los cortafuegos que no pueden configurarse o que no están configurados para permitir varios sistemas virtuales) Incluir los cambios de configuración de políticas y objetos en la operación de compilación. versión 7. – Incluir configuración de objeto compartido: (Solamente los cortafuegos con varios sistemas virtuales) Incluir los cambios de configuración de objetos compartidos en la operación de compilación. consulte “Bloqueo de transacciones”.0 • 9 . 8 Si desea más información sobre Compilar. Las opciones siguientes están disponibles en el cuadro de diálogo Compilar. El número total de elementos de la página se muestra en la esquina izquierda del cuadro de entrada de filtro.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 7 Utilice el cuadro de entrada de filtro para buscar términos.

La función Dispositivo > Auditoría de configuraciones realiza la misma función (consulte “Comparación de archivos de configuración”). – Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o más sistemas virtuales. Esto permite que un administrador vea todos los errores inmediatamente tras un fallo de compilación y evita el ciclo de varias compilaciones que devuelven errores adicionales que también deben solucionarse antes de que todos los cambios se compilen correctamente. un nombre de política. – Vista previa de cambios: Haga clic en Vista previa de cambios para abrir una ventana con dos paneles que muestra los cambios propuestos en la configuración candidata en comparación con la configuración que se está ejecutando actualmente. Los resultados de búsqueda se agrupan por categoría y proporcionan enlaces a la ubicación de la configuración en la interfaz web.0 Palo Alto Networks . Esto también puede suceder si realiza una compilación parcial tras importar una configuración. Puede seleccionar el número de líneas que se mostrarán o mostrar todas las líneas. versión 7. como una dirección IP. Por el contrario. Búsqueda de la configuración La búsqueda global le permite buscar en la configuración candidata en un cortafuegos o en Panorama una cadena específica. realice una compilación completa y seleccione las opciones de configuración Incluir configuración de dispositivo y red e Incluir políticas y objetos. Esta validación le ayuda a saber si un cambio puede compilarse correctamente antes de realizar dicha compilación. A continuación tiene una lista de funciones de búsqueda global que le ayudarán a realizar búsquedas correctamente: 10 • Guía de referencia de interfaz web. Por ejemplo. finaliza la compilación. un ID de amenaza o un nombre de aplicación. de modo que pueda encontrar fácilmente todos los lugares donde se hace referencia a la cadena.0. Para compilar estos tipos de cambios. – Validar cambios: Haga clic en Validar cambios para realizar una validación sintáctica (comprobar que la sintaxis de la configuración sea correcta) y una validación semántica (comprobar que la configuración está completa y tiene sentido) de la configuración del cortafuegos antes de compilar los cambios. sin embargo. como un perfil de servidor LDAP.Uso de la interfaz web del cortafuegos de Palo Alto Networks Los cambios de configuración que abarcan varias áreas de configuración pueden requerir una compilación completa. La opción Validar está disponible en los perfiles de función de administrador para que pueda controlar quién puede validar las configuraciones. consulte “Definición de la configuración de operaciones”. así como perfiles de servidor utilizados para ID de usuario. A partir de PAN-OS 7. algunos de los elementos que cambió en la pestaña Dispositivo no se compilarán. el cortafuegos ya no finaliza una compilación cuando aparece el primer error. lo que reduce los fallos considerablemente en el momento de la compilación. el cortafuegos recopila y muestra todos los errores y. no se realizan cambios en la configuración que se está ejecutando. La respuesta incluirá todos los errores y advertencias que incluiría una compilación completa o una compilación de sistemas virtuales.0 y Panorama 7. Si desea más información sobre la compilación de cambios. modificado o eliminado. incluidas las advertencias de dependencias de aplicaciones y atenuación de reglas. a continuación. un nombre de objeto. si hace clic en Compilar y únicamente selecciona la opción Incluir configuración de dispositivo y red. Los cambios están indicados con colores dependiendo de los elementos que se han agregado. Esto incluye certificados y opciones de ID de usuario.

haga clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web y aparecerá una lista con las últimas 20 búsquedas. Haga clic en un elemento de la lista para volver a ejecutar dicha búsqueda. La captura de pantalla siguiente muestra el icono Búsqueda que es visible desde todas las áreas de la interfaz web. si busca política corporativa. haga clic en la lista desplegable situada junto a un elemento y haga clic en Búsqueda global. • Los espacios del texto de búsqueda se tratan como operaciones AND.0 • 11 . • La búsqueda global buscará la configuración candidata.Uso de la interfaz web del cortafuegos de Palo Alto Networks • Si inicia una búsqueda en un cortafuegos con varios sistemas virtuales habilitados o si hay funciones de administrador definidas. Palo Alto Networks Guía de referencia de interfaz web. Puede iniciar una búsqueda global haciendo clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web de gestión o haciendo clic en Búsqueda global en cualquier área de la interfaz web que admita las búsquedas globales. tanto la palabra “política” como la palabra “corporativa” deben existir en el elemento de configuración para encontrarlo. versión 7. La lista del historial de búsqueda es exclusiva de cada cuenta de administrador. indíquela entre comillas. Para acceder a la función Búsqueda global desde dentro de un área de configuración. • Para encontrar una frase exacta. la búsqueda global solamente devolverá resultados de las áreas del cortafuegos para las que tenga permisos. Lo mismo ocurre con los grupos de dispositivos de Panorama. En este caso. Por ejemplo. • Para volver a ejecutar una búsqueda anterior. La captura de pantalla siguiente muestra el icono Búsqueda global que aparece cuando hace clic en la lista desplegable situada a la derecha de un nombre de política de seguridad. verá resultados de búsqueda de cualquier grupo de dispositivos para el que tenga permisos.

Por lo general. pero no puede buscar direcciones individuales emitidas para usuarios. un nombre de usuario o un grupo de usuarios que exista en la base de datos de User-ID solamente se puede buscar si el nombre o el grupo existe en la configuración. como en la definición de un nombre de grupo de usuarios en una política. buscará en toda la configuración de ese nombre de zona y devolverá resultados de cada ubicación donde se haga referencia a la zona. • Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que se liberen todos los bloqueos. Zona. intervalos de direcciones o direcciones individuales de DHPC) asignado a usuarios por parte del cortafuegos. Se permiten los siguientes tipos de bloqueo: • Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores. Etiquetas. Otro ejemplo son los nombres de usuarios recopilados cuando la función User-ID está habilitada. si hace clic en Búsqueda global en una zona denominada l3-vlan-trust. Los resultados de búsqueda se agrupan por categoría y puede pasar el cursor por encima de cualquier elemento para ver información detallada o hacer clic en el elemento para desplazarse a su página de configuración.Uso de la interfaz web del cortafuegos de Palo Alto Networks El icono Búsqueda global está disponible para todos los campos que permitan la búsqueda. Solamente puede eliminarse por el administrador que configuró el bloqueo o por un superusuario del sistema. solamente puede buscar contenido que el cortafuegos escriba en la configuración. versión 7. En este caso. como la entrada DNS. Por ejemplo. Para realizar una búsqueda. En el caso de DHCP. El bloqueo se libera cuando el administrador que 12 • Guía de referencia de interfaz web. Perfil HIP. Bloqueo de transacciones La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información por otro administrador hasta que se elimine el bloqueo. La captura de pantalla siguiente muestra los resultados de búsqueda de la zona l3-vlan-trust: Las búsquedas globales no buscarán contenido dinámico (como logs. Usuario. en el caso de una política de seguridad. Dirección. Aplicación y Servicio. solamente tiene que hacer clic en la lista desplegable situada junto a cualquiera de estos campos y hacer clic en Búsqueda global. puede buscar un atributo de servidor DHCP. Por ejemplo. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios antes de que finalice el segundo administrador.0 Palo Alto Networks . Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. puede buscar los campos siguientes: Nombre.

Palo Alto Networks Guía de referencia de interfaz web. Agregue bloqueos adicionales según sea necesario y. junto con una marca de tiempo para cada una. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. a continuación. Haga clic en Aplicación de un bloqueo. seleccione el ámbito del bloqueo desde la lista desplegable y haga clic en ACEPTAR. Cualquier administrador puede abrir la ventana de bloqueos para visualizar las transacciones actuales que están bloqueadas. Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo (consulte “Configuración del sistema. haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. La transacción está bloqueada y el icono de la barra superior cambia a un icono Bloqueo bloqueado que muestra el número de elementos bloqueados entre paréntesis.Uso de la interfaz web del cortafuegos de Palo Alto Networks aplicó el bloqueo compila los cambios actuales. haga clic en el icono Bloqueo bloqueado en la barra superior para abrir la ventana Bloqueos. el bloqueo también puede liberarse manualmente por parte del administrador que realizó el bloqueo o por un superusuario del sistema. Para desbloquear una transacción. haga clic en el icono Bloqueo desbloqueado en la barra superior para abrir el cuadro de diálogo Bloqueos. Para bloquear una transacción. configuración y gestión de licencias”). versión 7.0 • 13 . Haga clic en el icono del bloqueo que quiera eliminar y haga clic en Sí para confirmar.

Cómo obtener más información Para obtener más información acerca del cortafuegos.com. • Base de conocimientos: Para acceder a la base de conocimientos. consulte https://www.com/documentation. • Documentación: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos.0 Palo Alto Networks . foros de debate y vídeos.paloaltonetworks. área de colaboración para la interacción cliente/socio.com.Obtención de ayuda para la configuración del cortafuegos Exploradores compatibles Las versiones mínimas de los exploradores web compatibles para acceder a la interfaz web del cortafuegos son las siguientes: • Internet Explorer 7 • Firefox 3. versión 7.6 • Safari 5 • Chrome 11 Obtención de ayuda para la configuración del cortafuegos Utilice la información que aparece en esta sección para obtener ayuda con el uso del cortafuegos. vaya a https://live. Asistencia técnica Para obtener asistencia técnica. vaya a https://support. 14 • Guía de referencia de interfaz web. consulte: • Información general: Visite http://www.paloaltonetworks. • Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web para acceder al sistema de ayuda en línea.paloaltonetworks.paloaltonetworks. información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos.com.

configuración y gestión de licencias” • “Definición de orígenes de información de VM” • “Instalación de software” • “Actualización de definiciones de aplicaciones y amenazas” • “Funciones. perfiles y cuentas de administrador” • “Configuración de perfiles de autenticación” • “Creación de una base de datos de usuario local” • “Cómo añadir grupos de usuarios locales” • “Configuración de ajustes de servidor RADIUS” • “Configuración de ajustes del servidor TACACS+” • “Configuración de ajustes de servidor LDAP” • “Configuración de ajustes del servidor Kerberos” • “Configuración de una secuencia de autenticación” • “Creación de un perfil del certificado” • “Programación de exportaciones de logs” • “Definición de destinos de logs” • “Configuración de ajustes de flujo de red” • “Uso de certificados” • “Cifrado de claves privadas y contraseñas del cortafuegos” • “Habilitación de HA en el cortafuegos” Palo Alto Networks Guía de referencia de interfaz web .Capítulo 3 Gestión de dispositivos Utilice las siguientes secciones para obtener referencia de campo sobre la configuración de sistema básica y tareas de mantenimiento en el cortafuegos: • “Configuración del sistema.0 • 15 . versión 7.

utilice la pestaña Dispositivo > Configuración > Gestión para configurar la configuración de gestión. Para la gestión de cortafuegos. 16 • Guía de referencia de interfaz web . y cómo gestionar las opciones de configuración (como los tiempos de espera de sesión globales. configuración y gestión de licencias • “Definición de sistemas virtuales” • “Definición de páginas de respuesta personalizadas” • “Visualización de información de asistencia técnica” Configuración del sistema. versión 7. identificación de contenido.Configuración del sistema. use la pestaña Dispositivo > Configuración > Gestión para configurar los cortafuegos que quiere gestionar con plantillas de Panorama. configuración y gestión de licencias En las siguientes secciones se describe cómo definir la configuración de red para el acceso de gestión (el cual define las rutas de servicio y los servicios). excepto donde se indique otra cosa. Estos se aplican tanto al cortafuegos como a Panorama. análisis e informes de software malintencionado de WildFire): • “Definición de la configuración de gestión” • “Definición de la configuración de operaciones” • “Definición de módulos de seguridad de hardware” • “Habilitación de supervisión de SNMP” • “Definición de la configuración de servicios” • “Definición de un perfil de servidor de DNS” • “Definición de la configuración de ID de contenido” • “Configuración de ajustes de WildFire” • “Definición de la configuración de sesión” • “Comparación de archivos de configuración” • “Instalación de una licencia” Definición de la configuración de gestión Dispositivo > Configuración > Gestión Panorama > Configuración > Gestión En un cortafuegos. Utilice la pestaña Panorama > Configuración > Gestión para configurar los ajustes para Panorama.0 Palo Alto Networks . En Panorama. de forma optativa también puede utilizar la dirección IP de una interfaz de loopback para el puerto de gestión (consulte “Configuración de una interfaz de bucle invertido”). Configure los siguientes ajustes de gestión.

Perfil de servicio SSL/TLS Asigne un perfil de servicio SSL/TLS existente o cree uno nuevo para especificar un certificado y los protocolos permitidos para proteger el tráfico entrante en la interfaz de gestión del dispositivo. Dominio Introduzca el nombre de dominio completo (FQDN) del cortafuegos (de hasta 31 caracteres). Zona horaria Seleccione la zona horaria del cortafuegos. números. Configuración de gestión Elemento Descripción Configuración general Nombre de host Introduzca un nombre de host (de hasta 31 caracteres). espacios. El texto se muestra debajo de los campos Nombre y Contraseña. versión 7.0 • 17 . los informes en PDF seguirán utilizando el idioma especificado en este ajuste de configuración regional. Nota: Se recomienda no usar el certificado predeterminado.Definición de la configuración de gestión • “Configuración general” • “Configuración de autenticación” • “Ajustes de Panorama: Dispositivo > Configuración > Gestión” (ajustes configurados en el cortafuegos para la conexión a Panorama) • “Ajustes de Panorama: Panorama > Configuración > Gestión” (ajustes configurados en Panorama para la conexión a los cortafuegos) • “Configuración de interfaz de gestión” • “Ajustes de la interfaz Eth1” (Únicamente en Panorama) • “Ajustes de la interfaz Eth2” (Únicamente en Panorama) • “Configuración de log e informes” • “Complejidad de contraseña mínima” Tabla 1. se recomienda que asigne un perfil de servicio SSL/TLS asociado a un certificado que haya firmado una entidad de certificación (CA) de confianza. Consulte “Gestión de informes de resumen en PDF”. el dispositivo usa el certificado autofirmado preconfigurado. Titular de inicio de sesión Introduzca el texto personalizado que aparecerá en la página de inicio de sesión del cortafuegos. Configuración regional Seleccione un idioma para los informes en PDF de la lista desplegable. Palo Alto Networks Guía de referencia de interfaz web . Si selecciona ninguno. Utilice únicamente letras. Consulte las preferencias de idioma en “Uso de la interfaz web del cortafuegos de Palo Alto Networks”. guiones y guiones bajos. Para obtener más información. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Para obtener una mejor seguridad. consulte “Gestión de perfiles de servicio SSL/TLS”. Aunque haya establecido una preferencia de idioma específica para la interfaz web.

el dispositivo usa el perfil de autenticación asociado con la cuenta del administrador para su autenticación (consulte “Creación de cuentas administrativas”). • Introduzca la hora actual con el formato de 24 horas (HH:MM:SS). 18 • Guía de referencia de interfaz web . o bien seleccione la fecha de la lista desplegable. en lugar de generar una dirección MAC usando el esquema personalizado de PAN-OS. Ubicación geográfica Introduzca la latitud (de -90. Cuando los administradores externos inician sesión. Use direcciones MAC asignadas por el hipervisor (únicamente cortafuegos VM-Series) Seleccione la casilla de verificación para que el cortafuegos VM-Series use las direcciones MAC asignadas por el hipervisor.Definición de la configuración de gestión Tabla 1. Configuración de gestión (Continuación) Elemento Descripción Hora Defina la fecha y hora del cortafuegos: • Introduzca la fecha actual (con el formato AAAA/MM/DD). que procede de la dirección IPv6 de la dirección MAC de la interfaz. Busque el número de serie en el correo electrónico de ejecución de pedido que se le ha enviado. Si habilita esta opción y usa una dirección IPv6 para la interfaz. el ID de la interfaz no debe usar el formato EUI-64. Adquirir bloqueo de compilación automáticamente Marque la casilla de verificación para aplicar automáticamente un bloqueo de compilación cuando cambie la configuración candidata.0) y la longitud (de -180. debe instalar también el archivo de diccionario RADIUS de Palo Alto Networks en el servidor RADIUS. consulte “Configuración de perfiles de autenticación” y “Configuración de ajustes de servidor RADIUS”. Nota: También puede definir un servidor NTP desde Dispositivo > Configuración > Servicios. se produce un error de compilación si se usa el formato EUI-64. Comprobación del vencimiento del certificado Indique al cortafuegos que deberá crear mensajes de advertencia cuando se acerque la fecha de vencimiento de los certificados integrados. Para este ajuste solo están disponibles los perfiles de autenticación que tengan un tipo definido en RADIUS y que hagan referencia a un perfil de servidor RADIUS. el dispositivo les solicita la información de autenticación (incluido el rol del administrador) desde el servidor RADIUS. Capacidad de cortafuegos virtuales Habilita el uso de varios sistemas virtuales en cortafuegos que admiten esta función (consulte “Definición de sistemas virtuales”). el dispositivo no autenticará a los administradores externos y estos no podrán iniciar sesión. Este archivo define los atributos de autenticación necesarios para la comunicación entre el dispositivo y el servidor RADIUS. Para permitir la autenticación de administradores externos. Configuración de autenticación Perfil de autenticación Seleccione el perfil de autenticación (o secuencia) para autenticar administradores que tengan cuentas externas (cuentas no definidas en el dispositivo). Número de serie (solo máquinas virtuales de Panorama) Introduzca el número de serie de Panorama. Para obtener más información.0) del cortafuegos. Nota: Si un administrador es local.0 a 90.0 a 180. consulte “Bloqueo de transacciones”. En una configuración activa/ pasiva de alta disponibilidad (HA). Base de datos de filtrado de URL (únicamente en Panorama) Seleccione un proveedor de filtrado de URL en Panorama: brightcloud o paloaltonetworks (PAN-DB). Si desea información detallada. versión 7.0 Palo Alto Networks . Consulte la documentación de software del servidor RADIUS para obtener instrucciones sobre la ubicación de instalación del archivo. Si selecciona Ninguno.

la sesión de gestión. seleccione la casilla de verificación Importar política y objetos de Panorama antes de desactivar. También debe configurar los ajustes de conexión y uso compartido del objeto en Panorama. En condiciones normales de funcionamiento. haga clic en Habilitar objetos y política de Panorama. Reintentar recuento de envíos SSL a Panorama Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a Panorama (intervalo: 1-64.Definición de la configuración de gestión Tabla 1. consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”. Si el valor es 0. Al hacer clic en Desactivar política y objetos de Panorama. Palo Alto Networks Guía de referencia de interfaz web . Para invertir la política de cortafuegos y la gestión de objetos en Panorama. consulte “Creación de un perfil del certificado”. predeterminado: 25). Configuración de gestión (Continuación) Elemento Descripción Perfil del certificado Seleccione el perfil del certificado que debe utilizar el administrador para acceder al cortafuegos. en el cuadro de diálogo que se abre al hacer clic en el botón. esta acción también elimina estas políticas y objetos del cortafuegos. predeterminado: 0). Servidores de Panorama Introduzca la dirección IP del servidor de Panorama. De forma predeterminada. predeterminado: 240). Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos (intervalo: 0-10. Estos ajustes establecen una conexión entre el cortafuegos y Panorama. Tiempo de espera de recepción para conexión a Panorama Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de Panorama (intervalo: 1-240 segundos. predeterminado: 240). Para obtener instrucciones sobre cómo configurar perfiles de autenticación. Tiempo de espera de inactividad Introduzca el intervalo de tiempo de espera en minutos (intervalo: 0-1440. las políticas y objetos pasan a formar parte de la configuración del cortafuegos y Panorama deja de gestionarlos. introduzca la dirección IP del servidor secundario de Panorama en el segundo campo Servidores de Panorama. desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos.0 • 19 . Deshabilitar/Habilitar objetos y política de Panorama Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). Si Panorama tiene una configuración de alta disponibilidad (HA). Ajustes de Panorama: Dispositivo > Configuración > Gestión Configure el siguiente ajuste en el cortafuegos o en una plantilla de Panorama. Un valor de 0 significa que el número de intentos es ilimitado. Tiempo de bloqueo Introduzca el número de minutos (intervalo: 0-60. versión 7. Tiempo de espera de envío para conexión a Panorama Introduzca el tiempo de espera en segundos para enviar mensajes de TCP a Panorama (intervalo: 1-240 segundos. se deshabilita la propagación de las políticas de grupo de dispositivos y objetos al cortafuegos. predeterminado: 0) que PAN-OS permite para la interfaz web y la CLI antes de bloquear la cuenta. Después de realizar una compilación. Para conservar una copia local de las políticas y objetos del grupo de dispositivos del cortafuegos. Un valor de 0 significa que el número de intentos es ilimitado. interfaz web o de CLI no presenta ningún tiempo de espera. predeterminado: 0) que PAN-OS bloquea a un usuario si este alcanza el límite de intentos fallidos. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores de objetos y reglas diferentes a los definidos en el grupo de dispositivos. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas.

Estos ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones desde Panorama a los cortafuegos gestionados. 20 • Guía de referencia de interfaz web . así como los parámetros de uso compartido de los objetos. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. Esta opción reduce el recuento total de objetos asegurándose de que PAN-OS solo envía los objetos necesarios a cortafuegos gestionados. Ajustes de Panorama: Panorama > Configuración > Gestión Si usa Panorama para gestionar los cortafuegos. grupos de direcciones. También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla en Panorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”. Reintentar recuento de envío SSL a dispositivo Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a cortafuegos gestionados (intervalo: 1-64. esta acción también elimina la información de plantilla del cortafuegos. Esto significa que si realiza una compilación de grupo de dispositivos. Configuración de gestión (Continuación) Elemento Descripción Deshabilitar/habilitar plantilla de dispositivo y red Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). PAN-OS busca en las políticas de Panorama referencias a direcciones. la información de la plantilla pasa a formar parte de la configuración del cortafuegos y Panorama deja de gestionarla. en el cuadro de diálogo que se abre al hacer clic en el botón seleccione la casilla de verificación Importar plantillas de dispositivo y red antes de deshabilitar. se deshabilita la propagación de información de plantillas (configuraciones de dispositivo y red) al cortafuegos. configure los siguientes ajustes en Panorama. Al hacer clic en Desactivar dispositivo y plantilla de red. Enviar tiempo de espera de conexión a dispositivo Introduzca el tiempo de espera en segundos para enviar mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. De manera predeterminada. Si quiere configurar el cortafuegos para que vuelva a aceptar plantillas. En condiciones normales de funcionamiento. Los objetos antecesores tienen prioridad Seleccione la casilla de verificación para especificar que si los grupos de dispositivos en diferentes niveles de la jerarquía tienen objetos del mismo tipo y nombre pero con valores diferentes. Para conservar una copia de la información de la plantilla en el cortafuegos. desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. este ajuste global del sistema está deshabilitado y los objetos que cancele en un grupo sucesor tendrán prioridad en ese grupo sobre los valores heredados de los grupos antecesores. Compartir con dispositivos objetos de direcciones y servicios no utilizados Seleccione esta casilla de verificación para compartir todos los objetos compartidos de Panorama y los objetos específicos de grupos de dispositivos con cortafuegos gestionados. Tiempo de espera de recepción para conexión a dispositivo Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos.Definición de la configuración de gestión Tabla 1. el valor antecesor sustituirá a cualquier valor de cancelación. De forma predeterminada. versión 7. Si desactiva la casilla de verificación. los valores de objeto en los grupos antecesores tienen prioridad sobre los valores de los grupos sucesores. haga clic en Habilitar plantilla de dispositivo y red. Después de realizar una compilación. predeterminado: 240). predeterminado: 240). Este ajuste está deshabilitado de manera predeterminada. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores configuración de dispositivos y red diferentes a los definidos en el grupo de dispositivos. predeterminado: 25). servicios y objetos de grupo de servicio y no comparte ningún objeto sin referencia.0 Palo Alto Networks .

De forma predeterminada. ID de usuario (User-ID). Si compila una configuración parcial (por ejemplo. dispositivo M-Series de Panorama o dispositivo virtual de Panorama. Servicios Seleccione los servicios que quiere que se habiliten en la dirección de interfaz de gestión especificada: HTTP. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz de gestión. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz de gestión. añada la dirección IP de cada cortafuegos gestionado. opción predeterminada 1500). Telnet. Nota: Para completar la configuración de la interfaz de gestión. podría omitir la puerta de enlace predeterminada).0). Sin embargo. Dirección IPv6/longitud de prefijo Si su red usa IPv6. debe asignar también una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. SSH (Secure Shell). introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). OCSP de HTTP. Para indicar la máscara de red. Recomendamos que compile siempre una configuración completa. SSL de escucha de Syslog de ID de usuario. asigne una dirección IPv6 a la interfaz de gestión. 100 Mbps y 1 Gbps con dúplex completo o medio.0 • 21 . Las opciones incluyen 10 Mbps. HTTPS. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud de prefijo (para IPv6).255. De manera predeterminada. Palo Alto Networks Guía de referencia de interfaz web . PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino.255. versión 7.Definición de la configuración de gestión Tabla 1. De lo contrario. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz de gestión. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. Utilice el ajuste de negociación automática predeterminado para que el dispositivo (Panorama o el cortafuegos) determine la velocidad de interfaz. UDP de escucha de Syslog de ID de usuario. solo puede acceder al dispositivo a través del puerto de la consola para futuros cambios de configuración. 255. asigne una dirección IPv4 a la interfaz de gestión. Dirección IP (IPv4) Si la red utiliza IPv4. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de cortafuegos. El dispositivo virtual de Panorama no admite interfaces separadas. puede asignar la dirección IP de una interfaz de loopback para la gestión de dispositivos. el cortafuegos no podrá conectarse y reenviar logs a Panorama o recibir actualizaciones de configuración. el dispositivo M-Seriesutiliza la interfaz de gestión (MGT) para configuración. si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador. Ping. se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes Eth1 o Eth2. SNMP. Al usar esta opción para el dispositivo M-Series de Panorama. la dirección IP que introduzca es la dirección de origen para el reenvío de logs. debe especificar la dirección IP. Configuración de gestión (Continuación) Elemento Descripción Configuración de interfaz de gestión Esta interfaz se aplica al cortafuegos. debe introducir también una máscara de red (por ejemplo. debe asignar también una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz de gestión. recopilación de logs y comunicación de grupos de recopiladores. De forma alternativa.

Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth1. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. Para indicar la máscara de red. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500.Definición de la configuración de gestión Tabla 1. Dirección IP (IPv4) Si su red utiliza IPv4. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. debe introducir también una máscara de red (por ejemplo. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. recopilación de logs y comunicación de grupos de recopiladores. Ajustes de la interfaz Eth2 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. versión 7. el dispositivo M-Series usa la interfaz de gestión para configuración. 100 Mbps y 1 Gbps con dúplex completo o medio. puede configurarlo para la recopilación de logs o comunicación de grupos de recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados). recopilación de logs y comunicación de grupos de recopiladores.255.0). Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP. Eth1 Seleccione esta casilla de verificación para activar la interfaz Eth1. Sin embargo. puede configurarlo para la recopilación de logs o la comunicación de grupos de recopiladores cuando defina los recopiladores gestionados (Panorama > Recopiladores gestionados). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth1. De manera predeterminada. Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP. Sin embargo. debe introducir también una máscara de red (por ejemplo. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. Configuración de gestión (Continuación) Elemento Descripción Ajustes de la interfaz Eth1 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que el puerto Eth2).255. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). Dirección IP (IPv4) Si su red utiliza IPv4.255. 22 • Guía de referencia de interfaz web . Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth1.0 Palo Alto Networks .255. asigne una dirección IPv4 a la interfaz Eth2. si habilita Eth1. Eth2 Seleccione esta casilla de verificación para activar la interfaz Eth2. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. De manera predeterminada.0). Las opciones incluyen 10 Mbps. si habilita Eth2. el dispositivo M-Series usa la interfaz de gestión para configuración. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. opción predeterminada 1500). 255. debe asignar también una dirección IPv6 a la interfaz Eth1. 255. Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. asigne una dirección IPv4 a la interfaz Eth1.

Palo Alto Networks Guía de referencia de interfaz web . Configuración de gestión (Continuación) Elemento Descripción Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. asigne una dirección IPv6 a la interfaz Eth2. versión 7. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth2. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. Las opciones incluyen 10 Mbps. también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth2). Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth2.0 • 23 .Definición de la configuración de gestión Tabla 1. Puerta de enlace IPv6 predeterminada Si ha especificado una dirección IPv6 a la interfaz. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth2. Para indicar la máscara de red. 100 Mbps y 1 Gbps con dúplex completo o medio. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. opción predeterminada 1500).

por lo tanto. lo que significa que los logs no vencen nunca. en forma de porcentaje. – Los logs que genera el servidor de gestión de Panorama y sus recopiladores gestionados (Panorama > Configuración > Gestión). Si el total de todos los valores supera el 100%. Cuando una cuota de log alcanza el tamaño máximo. la asignación de disco asociada cambia automáticamente.0 Palo Alto Networks . Los cortafuegos de la serie PA-7000 almacenan los logs en la tarjeta de procesamiento de logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y divide las cuotas de registro en estas dos áreas. el dispositivo elimina los logs más antiguos cuando compila los cambios. Si esto sucede. logs de tráfico y amenazas). versión 7. Si reduce el tamaño de una cuota de log. • Atributos para calcular y exportar informes de actividad de usuarios.Definición de la configuración de gestión Tabla 1. La pestaña Almacenamiento de la tarjeta de gestión tiene configuración de cuota para el tráfico de tipo de gestión almacenado en la SMC (por ejemplo. • Informes predefinidos creados en el cortafuegos/Panorama. Pestaña secundaria Almacenamiento de log (Las pestañas Almacenamiento de tarjeta de log y Almacenamiento de tarjeta de gestión solo se aplican a los cortafuegos de las series PA-7000) Especifique para cada tipo de log y tipo de resumen de log: • La cuota asignada en el disco duro para almacenamiento de logs. • Días máx. el peer pasivo no recibe logs y. De manera predeterminada. El dispositivo elimina automáticamente los logs que superan el periodo especificado.. que es el periodo de vencimiento de los logs (intervalo: 1-2000). no los elimina a menos que se produzca una conmutación por error y se vuelva activo. El dispositivo evalúa los logs a medida que los crea y elimina los logs que superan el periodo de vencimiento o el tamaño de cuota. Para configurar los ajustes de logs que los cortafuegos envían a un recopilador gestionado. el dispositivo empieza a sustituir las entradas del log más antiguas por las nuevas. aparecerá un mensaje de color rojo en la página y un mensaje de error cuando intente guardar la configuración. no se fija ningún periodo. los logs del sistema y logs de alarmas). Haga clic en Restablecer valores predeterminados para recuperar los valores predeterminados. La pestaña Almacenamiento de log tiene la configuración de la cuota para el tráfico del tipo de datos en la LPC (por ejemplo. Configuración de gestión (Continuación) Elemento Descripción Configuración de log e informes Use esta sección para modificar: • Periodos de vencimiento y cuotas de almacenamiento para los logs e informes que generen los siguientes dispositivos. En una configuración activa/pasiva de alta disponibilidad (HA). Los ajustes se sincronizan a través de alta disponibilidad. ajuste los porcentajes de modo que el total quede por debajo del límite del 100%. 24 • Guía de referencia de interfaz web . Haga clic en ACEPTAR para guardar los cambios. – Logs que genera un cortafuegos (Dispositivo > Configuración > Gestión). Los ajustes se aplican a todos los sistemas virtuales del cortafuegos. consulte “Definición de grupos de recopiladores de logs”. los logs de configuración. PRECAUCIÓN: Los logs de resumen semanales pueden superar el umbral y continuar hasta la siguiente eliminación si alcanzan el umbral de vencimiento entre dos fechas de eliminación de logs. Al cambiar un valor de cuota.

Definición de la configuración de gestión Tabla 1. predeterminado: 60). Formato de nombre de host de Syslog: Seleccione si desea utilizar el nombre de dominio completo (FQDN). Palo Alto Networks Guía de referencia de interfaz web . El cálculo del tiempo de exploración se basa en las páginas contenedoras registradas en los logs de filtrado de URL. Detener tráfico cuando LogDb esté lleno: (Únicamente cortafuegos) Seleccione la casilla de verificación si desea que se detenga el tráfico a través del cortafuegos cuando la base de datos de logs esté llena (desactivada de manera predeterminada). Ejemplo: si el tiempo medio de exploración es de 2 minutos y un usuario abre una página web y visualiza dicha página durante 5 minutos. el nombre de host. El dispositivo elimina los informes que han vencido todas las noches a las 2 a. Puede utilizar estas versiones guardadas para auditar y comparar cambios en la configuración. Máx. lo que significa que los informes no vencen nunca. de filas en informe de actividad de usuario: Introduzca el número máximo de filas que se admite para los informes de actividad de usuario detallada (intervalo: 1-1048576. El cálculo ignorará las páginas web nuevas que se carguen entre el momento de la primera solicitud (hora de inicio) y el tiempo medio de exploración. El ajuste de tiempo medio de exploración es el tiempo medio que el administrador considera que tardará un usuario en explorar una página web. Configuración de gestión (Continuación) Elemento Descripción Pestaña secundaria Exportación e informes de log Número de versiones para auditoría de configuraciones: Introduzca el número de versiones de configuración que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se considerará una nueva actividad de exploración. Para obtener más información sobre la página contenedora. valor predeterminado: 5000). este encabezado identifica el cortafuegos/Panorama desde el que se origina el mensaje.0 • 25 .m. Máx. El cálculo ignorará los sitios categorizados como anuncios web y redes de entrega de contenido. De manera predeterminada. valor predeterminado: 65535). Esto es así porque no hay forma de determinar durante cuánto tiempo un usuario visualiza una página concreta. Umbral de carga de página (seg): Esta opción le permite ajustar el tiempo previsto en segundos que tardan los elementos de una página en cargarse en la página (intervalo: 0-60. El umbral de carga de página también se utiliza en los cálculos para el informe de actividad de usuario. no se fija ningún periodo. predeterminado: 20). consulte “Páginas contenedoras”.): Configure esta variable para ajustar cómo se calcula el tiempo de exploración en segundos para “Informe de actividad del usuario” (intervalo: 0-300 segundos. Cualquier solicitud que se produzca entre la primera carga de la página y el umbral de carga de página se considerará que son elementos de la página. Las páginas contenedoras se utilizan como base para este cálculo debido a que muchos sitios cargan contenido de sitios externos que no debería considerarse. Número de versiones para Configurar copias de seguridad: (Solo Panorama) Introduzca el número de copias de seguridad de configuraciones que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). de filas en exportación CSV: Introduzca el número máximo de filas que aparecerán en los informes CSV generados desde el icono Exportar a CSV de la vista de logs de tráfico (rango 1-1048576. Cualquier solicitud que se produzca fuera del umbral de carga de página se considerará que es el usuario haciendo clic en un enlace de la página. la dirección IP (v4 o V6) en el encabezado del mensaje de Syslog. versión 7. el tiempo de exploración de dicha página seguirá siendo de 2 minutos. Tiempo medio de exploración (seg. Este comportamiento se ha diseñado para excluir los sitios externos que se carguen dentro de la página web de interés. (hora del dispositivo). Período de vencimiento del informe: Defina el periodo de vencimiento en días para los informes (intervalo: 1-2000).

De forma predeterminada. tráfico. el conjunto de informes al completo dejará de contener datos. Configuración de gestión (Continuación) Elemento Descripción Habilitar log con carga alta: (Únicamente cortafuegos) Seleccione esta casilla de verificación si desea que se genere una entrada de log del sistema cuando la carga de procesamiento del paquete del cortafuegos esté al 100% de la utilización de la CPU. Si se consume el espacio. Nota: Antes deshabilitar un informe. las entradas más antiguas se eliminarán para permitir el registro de nuevos eventos. la entradas de log se reenvían a la aplicación. esta opción está deshabilitada. Si un informe predefinido forma parte de un conjunto de de informes y se deshabilita. esta opción está habilitada. el espacio en disco disponible para el almacenamiento en búfer depende de la cuota de almacenamiento de logs para la plataforma y el volumen de los logs que quedan por ejecutar. El log del sistema le avisa sobre este problema (se genera una entrada de log cada minuto) y le permite investigar la posible causa. versión 7. Solo logs principales activos al disco local: le permite configurar solo la instancia principal activa para guardar logs en el disco local. reduciendo así el uso de memoria. Debido a que los cortafuegos consumen recursos de memoria para generar resultados cada hora (y enviarlos a Panorama cuando se agrega y se compila para visualización). 26 • Guía de referencia de interfaz web . De forma predeterminada. puede deshabilitar los informes que no sean relevantes. Con los logs de NFS solo se monta la instancia principal de Panorama en el NFS. estos informes predefinidos están habilitados. Informes predefinidos: Hay informes predefinidos para aplicación. Esta opción permite que un administrador configure los cortafuegos gestionados para que solo envíen los logs recién generados a Panorama cuando se produce un error de HA y la instancia secundaria de Panorama continúa creando logs para el NFS (después de promocionarse como principal). Por lo tanto. Una carga alta de CPU puede degradar el funcionamiento porque la CPU no tiene suficientes ciclos para procesar todos los paquetes. De forma predeterminada. para deshabilitar un informe. amenazas y filtrado de URL disponibles en el cortafuegos y en Panorama. Este comportamiento suele habilitarse para impedir que los cortafuegos envíen grandes volúmenes de logs almacenados en búfer cuando se restablezca la conexión con Panorama después de un período de tiempo significativo. asegúrese de que no se incluye en ningún informe de grupos o informe PDF. Obtener únicamente nuevos logs al convertir a principal: Esta opción solo es aplicable cuando Panorama escribe logs en un recurso compartido de archivos de red (NFS). Esta opción es válida para una máquina virtual de Panorama con un disco virtual y para el dispositivo M-Series en modo Panorama.Definición de la configuración de gestión Tabla 1. Cuando se restaura la conexión con Panorama. (Solo en Panorama) Reenvío de log en búfer desde dispositivo: Permite al cortafuegos almacenar en búfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexión con Panorama. quite la marca de la casilla de verificación de los mismos. Utilice las opciones Seleccionar todo o Anular selección para habilitar o deshabilitar completamente la generación de los informes predefinidos. los cortafuegos solo envían logs en la instancia activa principal de Panorama.0 Palo Alto Networks .

Con esta función. 10 números y 10 caracteres especiales. Consulte “Definición de funciones de administrador” para obtener información sobre los caracteres válidos que pueden utilizarse en las cuentas. Bloquear período de cambio de contraseña (días) El usuario no podrá cambiar sus contraseñas hasta que no se haya alcanzado el número de días especificado (rango: 0-365 días). Bloquear inclusión de nombre de usuario (incluida su inversión) Seleccione esta casilla de verificación para impedir que el nombre de usuario de la cuenta (o la versión invertida del nombre) se utilice en la contraseña. Por ejemplo. pero no test111. Bloquear caracteres repetidos Especifique el número de caracteres duplicados secuenciales permitidos en una contraseña. Es necesario cambiar la contraseña al iniciar sesión por primera vez Seleccione esta casilla de verificación para pedir a los administradores que cambien sus contraseñas la primera vez que inicien sesión en el dispositivo. También puede crear un perfil de contraseña con un subconjunto de estas opciones que cancelará estos ajustes y que puede aplicarse a cuentas específicas. Letras en minúscula mínimas Exija un número mínimo de letras en minúscula de 0-15 caracteres.0 • 27 . si el valor se fija en 2. Evitar límite de reutilización de contraseña Exija que no se reutilice una contraseña anterior basándose en el recuento especificado. la contraseña puede contener el mismo carácter dos veces seguidas. no podrá reutilizar ninguna de sus últimas 4 contraseñas (rango: 0-50). puede garantizar que las cuentas de administrador locales del cortafuegos cumplan un conjunto definido de requisitos de contraseña. 10 minúsculas. Letras numéricas mínimas Exija un número mínimo de letras numéricas de 0-15 números. Si establece el valor en 2. Palo Alto Networks Guía de referencia de interfaz web . la contraseña no está permitida.Definición de la configuración de gestión Tabla 1. Para obtener más información. asegúrese de no crear una combinación que no pueda aceptarse. el sistema aceptará la contraseña test11 u 11test11. ya que esto excedería la longitud máxima de 31. Nota: Si tiene configurada la alta disponibilidad (HA). utilice siempre el dispositivo principal cuando configure opciones de complejidad de contraseña y compile lo antes posible después de realizar cambios. Caracteres especiales mínimos Exija un número mínimo de caracteres especiales (no alfanuméricos) de 0-15 caracteres. Al ajustar los requisitos. La nueva contraseña difiere por caracteres Cuando los administradores cambien sus contraseñas. El intervalo es de 2-15. Nota: La longitud de contraseña máxima que puede introducirse es de 31 caracteres. Por ejemplo. porque el número 1 aparece tres veces seguidas. pero si el mismo carácter se usa tres o cuatro veces seguidas. Por ejemplo. Configuración de gestión (Continuación) Elemento Descripción Complejidad de contraseña mínima Habilitado Habilite los requisitos de contraseña mínimos para cuentas locales. si el valor se establece como 4. Longitud mínima Exija una longitud mínima de 1-15 caracteres. no puede establecer un requisito de 10 mayúsculas. los caracteres deben diferir según el valor especificado. Letras en mayúscula mínimas Exija un número mínimo de letras en mayúscula de 0-15 caracteres. consulte “Definición de perfiles de contraseña”. versión 7.

actualizará la configuración activa con el contenido de la configuración candidata. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. si el valor se ha establecido como 3 y su cuenta ha vencido. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que la cuenta haya vencido (rango: 0-30 días). si el valor se establece como 90. Al hacer clic en Compilar en la parte superior de la página. Definición de la configuración de operaciones Dispositivo > Configuración > Operaciones Panorama > Configuración > Operaciones Cuando cambia un ajuste de configuración y hace clic en ACEPTAR. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión).0 Palo Alto Networks . ayudará a evitar estados de configuración no válidos que pueden producirse cuando se aplican cambios en tiempo real. Para gestionar configuraciones. Este método le permite revisar la configuración antes de activarla. no la configuración activa.Definición de la configuración de operaciones Tabla 1. Si activa varios cambios simultáneamente. Es conveniente guardar periódicamente los ajustes de configuración que haya introducido haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla. de 0 a 365 días. se pedirá a los administradores que cambien su contraseña cada 90 días. Configuración de gestión (Continuación) Elemento Descripción Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. se actualiza la configuración candidata actual. Si pulsa Guardar. Por ejemplo. este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). se creará una copia de la configuración candidata actual. Puede guardar y restablecer la configuración candidata con la frecuencia que sea necesario y también cargar. Por ejemplo. se aplica la configuración candidata a la configuración activa. seleccione las funciones de gestión de configuración adecuadas que se describen en la tabla siguiente. importar y exportar configuraciones. versión 7. Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña. validar. mientras que si selecciona Compilar. 28 • Guía de referencia de interfaz web . lo que activa todos los cambios de configuración desde la última compilación. Inicio de sesión de administrador caducado permitido (recuento) Permita que el administrador inicie sesión el número de veces especificado después de que la cuenta haya vencido.

Exportar o insertar lote de configuración de dispositivo (Únicamente en Panorama) Le indica que seleccione un cortafuegos y realice una de las siguientes acciones en la configuración del cortafuegos almacenada en Panorama: • Enviar y compilar la configuración en el cortafuegos. Exportar versión de configuración Exporta una versión especificada de la configuración. Seleccione el archivo de configuración que debe cargarse. consulte “Programación de exportaciones de configuración”. debe acceder a la CLI del cortafuegos y ejecutar el comando del modo de configuración load device-state. Guardar configuración candidata Guarda la configuración candidata en la memoria flash (del mismo modo que si hiciera clic en Guardar en la parte superior de la página). Seleccione el archivo de configuración que debe exportarse. Exportar instantánea de configuración con nombre Exporta la configuración activa (running-config. Para cargar la configuración. La configuración candidata actual se sobrescribirá. Puede abrir el archivo y/o guardarlo en cualquier ubicación de red. Para obtener información relacionada. • Exportar la configuración al cortafuegos sin cargarlo.0 • 29 . de modo que pueda gestionarlo usando Panorama. La configuración en ejecución actual se sobrescribirá. Para automatizar el proceso de crear y exportar el lote de configuración diariamente a un servidor SCP o FTP. Introduzca un nombre de archivo o seleccione un archivo existente para sobrescribirlo. Cargar instantánea de configuración con nombre Carga una configuración candidata desde la configuración activa (running-config. Se producirá un error si no se ha guardado la configuración candidata. consulte “Importa configuración del dispositivo en Panorama”.xml) no puede sobrescribirse. Cargar versión de configuración Carga una versión especificada de la configuración. use esta opción para limpiarlo. Guardar instantánea de configuración con nombre Guarda la configuración candidata en un archivo. La acción limpia el cortafuegos (elimina cualquier configuración local del mismo) y envía la configuración del cortafuegos almacenada en Panorama. Tenga en cuenta que el archivo de configuración activa actual (running-config. Después de importar una configuración de cortafuegos. La configuración candidata actual se sobrescribirá. Este comando limpia el cortafuegos del mismo modo que la opción Enviar y compilar.xml) o desde una configuración guardada o importada anteriormente.xml) o una configuración guardada o importada anteriormente. Volver a la configuración en ejecución Restablece la última configuración en ejecución.Definición de la configuración de operaciones Tabla 2. Palo Alto Networks Guía de referencia de interfaz web . versión 7. Exportar lote de configuración de dispositivos y Panorama (Únicamente en Panorama) Genera y exporta manualmente la versión más reciente de la copia de seguridad de configuración en curso de Panorama y de los cortafuegos gestionados. Funciones de gestión de configuración Función Descripción Gestión de configuración Volver a la última configuración guardada Restablece la última configuración candidata guardada desde la unidad local.

tgz y se guardará en /opt/ pancfg/mgmt/device-state.Definición de la configuración de operaciones Tabla 2. Si el portal tiene un fallo. la exportación incluirá la información de la Entidad de certificación (CA) y la lista de los dispositivos satélite con su información de autenticación. Esto debe hacerse con regularidad. La exportación incluye una lista de todos los dispositivos satélite gestionados por el portal. 30 • Guía de referencia de interfaz web . en el modo de configuración. plantillas de Panorama y políticas compartidas. El archivo se denominará device_state_cfg. servidor y satélite). El comando de operación para exportar el archivo de estado del dispositivo es scp export device-state (también puede utilizar tftp export device-state). ejecute save device state. Importar instantánea de configuración con nombre Importa un archivo de configuración desde cualquier ubicación de red.paloaltonetworks. Importante: Debe realizar manualmente la exportación del estado del dispositivo o crear una secuencia de comandos programada de la API XML para exportar el archivo a un servidor remoto. la configuración en ejecución en el momento de la exportación y toda la información de los certificados (certificados de CA raíz. Para crear el archivo de estado del dispositivo a partir de la CLI. Importar estado de dispositivo (únicamente cortafuegos) Importa la información de estado del cortafuegos que se exportó mediante la opción Exportar estado de dispositivo. versión 7. Haga clic en Examinar y seleccione el archivo de configuración que debe importarse. ya que puede que los certificados de satélite cambien a menudo. Si el dispositivo es un portal de GlobalProtect. se puede importar el archivo exportado para restablecer la información dinámica y de configuración del portal. Para obtener información sobre cómo utilizar la API XML. Funciones de gestión de configuración (Continuación) Función Descripción Exportar estado de dispositivo (únicamente cortafuegos) Exporta la configuración y la información dinámica desde un cortafuegos que esté configurado como portal de GlobalProtect con la función VPN a gran escala (LSVPN) habilitada.com/documentation. consulte el documento “PAN-OS XML-Based Rest API Usage Guide” (Guía de uso de la API Rest basada en XML de PAN-OS.0 Palo Alto Networks . en inglés) en http://www. Esto incluye la configuración en ejecución actual.

Puede editar los nombres predeterminados. Sin embargo. ADVERTENCIA: Las versiones de contenido en Panorama (por ejemplo. Para otros cortafuegos. • Prefijo de nombre de grupo de dispositivo (únicamente cortafuegos vsys múltiple): De manera opcional. pero no puede usar el nombre de un grupo de dispositivo existente. Panorama crea automáticamente una plantilla que contenga las configuraciones de red y dispositivo. Panorama copia los objetos del cortafuegos compartidos en grupos de dispositivos en lugar de en Compartidos.0 • 31 . no un vsys individual. • Nombre de grupo de dispositivo: Para un cortafuegos vsys múltiple. • Importar objetos compartidos de los dispositivos en el contexto compartido de Panorama: Esta casilla de verificación está seleccionada de manera predeterminada. Independientemente de su selección. No puede usar el nombre de una plantilla existente. Panorama importa reglas de seguridad predeterminadas (predeterminada intrazona y predeterminada entre zonas) en la base de reglas posterior. ADVERTENCIA: Si Panorama tiene una regla que se llama igual que una regla de cortafuegos que está importando. la compilación fallará. el campo estará vacío. Si anula la selección de la casilla de verificación. Panorama crea automáticamente un grupo de dispositivos que contenga las configuraciones de política y objetos. Los grupos de dispositivos estarán un nivel por debajo de la ubicación compartida en la jerarquía. Configure las siguientes opciones de importación: • Dispositivo: Seleccione el cortafuegos desde el que Panorama importará las configuraciones. los nombres de reglas deben ser exclusivos: elimine una de las reglas antes de realizar una compilación en Panorama. Panorama importa ese objeto en Compartidos independientemente de que seleccione la casilla de verificación. Panorama muestra ambas reglas. Puede seleccionar solamente un cortafuegos completo. Este ajuste tiene las siguientes excepciones: – Si un objeto de cortafuegos compartido se llama igual y tiene el mismo valor que un objeto de Panorama existente. base de datos de aplicaciones y amenazas) deben ser iguales o superiores a las versiones del cortafuegos desde el que importa una configuración. el valor predeterminado es el nombre del cortafuegos.Definición de la configuración de operaciones Tabla 2. cada grupo de dispositivo tiene un nombre vsys de manera predeterminada. Funciones de gestión de configuración (Continuación) Función Descripción Importa configuración del dispositivo en Panorama (Únicamente en Panorama) Importa una configuración de cortafuegos en Panorama. Panorama importa el objeto en un grupo de dispositivos independientemente de que seleccione la casilla de verificación. • Ubicación de importación de reglas: Seleccione si Panorama importará las políticas como reglas previas o posteriores. – Si el nombre o el valor del objeto compartido del cortafuegos no coinciden con el objeto compartido de Panorama. una cadena de caracteres como prefijo para cada nombre de grupo de dispositivo. el valor predeterminado es el nombre del cortafuegos. – Si un objeto compartido hace referencia a una configuración importada en una plantilla. este importa el objeto del cortafuegos en cada grupo de dispositivos. la importación excluye el objeto del cortafuegos. lo que significa que Panorama importa objetos de Compartidos en el cortafuegos a Compartidos en Panorama. Palo Alto Networks Guía de referencia de interfaz web . versión 7. de lo contrario. aunque puede reasignarlos a un grupo de dispositivos principal diferente cuando finalice la importación (consulte “Definición de grupos de dispositivos”). • Nombre de plantilla: Introduzca un nombre para la plantilla que contendrá el dispositivo importado y los ajustes de red. Para cada sistema virtual (vsys) en el cortafuegos. El menú desplegable solo enumera los cortafuegos conectados a Panorama y no asignados a ningún grupo de dispositivos o plantilla. – Si una configuración importada en una plantilla hace referencia a un objeto de cortafuegos compartido. Para otros cortafuegos. Para un cortafuegos con vsys múltiple.

haga clic en Reiniciar plano de datos. utilice el comando de la CLI request restart dataplane. Reiniciar plano de datos Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo. aparecerá una advertencia y el sistema no se apagará. Funciones de gestión de configuración (Continuación) Función Descripción Operaciones de dispositivo Reiniciar Para reiniciar el cortafuegos o Panorama. Nota: Si la interfaz web no está disponible. versión 7. • Se crearán logs del sistema que mostrarán el nombre del administrador que inició el apagado. Deberá desenchufar la fuente de alimentación y volver a enchufarla antes de poder activar el dispositivo. a continuación. cierra y registra las sesiones existentes y crea un log del sistema que muestra el nombre del administrador que inició el apagado. • Ahora podrá desmontar de manera limpia las unidades de disco y el dispositivo dejará de recibir alimentación. • Se detendrán todos los procesos del sistema. haga clic en Sí en el mensaje de confirmación. haga clic en Reiniciar dispositivo. Esta opción no está disponible en el cortafuegos PA-200 y Panorama. • Se cerrarán y registrarán las sesiones existentes. utilice el comando de la CLI request shutdown system .0 Palo Alto Networks . Todos los administradores cerrarán sesión y se producirán los siguientes procesos: • Se cerrarán todas las sesiones de inicio de sesión. Nota: Si la interfaz web no está disponible. Apagar Para realizar un apagado correcto del cortafuegos/Panorama. • Se deshabilitarán las interfaces.Definición de la configuración de operaciones Tabla 2. haga clic en Apagar dispositivo o Apagar Panorama y. Nota: Si la interfaz web no está disponible. Todos los cambios de configuración que no se guardasen o compilasen se perderán (consulte “Definición de la configuración de operaciones”). El dispositivo cierra su sesión. Todos los cambios de configuración que no se hayan guardado o compilado se perderán. utilice el comando de la CLI request restart system. 32 • Guía de referencia de interfaz web . vuelve a cargar el software (PAN-OS o Panorama) y la configuración activa. Si no se puede crear esta entrada de log.

una vez habilitado. Si es necesario. Configuración de SNMP Especifique parámetros de SNMP. el tamaño de las imágenes se ajustará automáticamente sin recortarlas. la imagen se mostrará del modo en que se visualizará. Se abrirá la pestaña Muestra de informe para mostrar el código del informe. la vista previa muestra las dimensiones de imagen recomendadas. Los archivos de imagen con un canal alfa no son compatibles y. haga clic en la pestaña Muestra de informe. La información recopilada permite que el equipo de investigación mejore continuamente la eficacia de los productos de Palo Alto Networks basándose en información del mundo real. Puede que tenga que ponerse en contacto con el creador de la imagen para eliminar los canales alfa de la imagen o asegurarse de que el software de gráficos que está utilizando no guarda los archivos con la función de canal alfa. Consulte “Habilitación de supervisión de SNMP”. cuando se utilizan en informes en PDF. se recortará la imagen para ajustarla. Puede permitir que el cortafuegos envíe cualquiera de los siguientes tipos de información: • Informes de aplicación y amenazas • Informes de aplicaciones desconocidas • Informes de URL • Seguimientos de bloqueos de dispositivos Para ver una muestra del contenido de un informe estadístico que se enviará. a continuación.Definición de la configuración de operaciones Tabla 2. Este servicio está deshabilitado de manera predeterminada y. se cargará información cada 4 horas.0 • 33 . Configuración del servicio de estadísticas La función Servicio de estadísticas permite que el cortafuegos envíe información de aplicaciones anónimas. los informes no se generan correctamente. • El tamaño de imagen máximo para cualquier imagen de logotipo es de 128 KB. En el caso de informes en PDF. haga clic en la casilla de verificación que aparece junto al informe deseado y. amenazas y bloqueos al equipo de investigación de Palo Alto Networks. Funciones de gestión de configuración (Continuación) Función Descripción Varios Logotipos personalizados Utilice esta opción para personalizar cualquiera de los siguientes elementos: • Imagen de fondo de la pantalla de inicio de sesión • Imagen de encabezado de la interfaz de usuario principal • Imagen de la página de título del informe en PDF. Tenga en cuenta lo siguiente: • Los tipos de archivos admitidos son png. Para obtener información sobre cómo generar informes en PDF. • En el caso de las opciones de la pantalla de inicio de sesión y de la interfaz de usuario principal. gif y jpg. elimine su entrada y realice una compilación. • Para volver al logotipo predeterminado. consulte “Gestión de informes de resumen en PDF”. versión 7. Para ver un informe. Palo Alto Networks Guía de referencia de interfaz web . haga clic en el icono de informe . al hacer clic en . En todos los casos. • Imagen de pie de página del informe en PDF Haga clic en para cargar un archivo de imagen. en para obtener una vista previa o en para eliminar una imagen cargada anteriormente. Consulte “Gestión de informes de resumen en PDF”.

La siguiente configuración de estado aparece en la sección del proveedor de módulo de seguridad de hardware. Sin embargo. Nombre de grupo de alta disponibilidad. No se necesita otra configuración. la clave maestra se asegura en el HSM. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Dirección de origen de cortafuegos Dirección del puerto utilizado para el servicio HSM. Ajustes de configuración de HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. se configura la alta disponibilidad del HSM. Nombre de módulo Especifique un nombre de módulo para el HSM.Definición de módulos de seguridad de hardware Definición de módulos de seguridad de hardware Dispositivo > Configuración > HSM La pestaña HSM le permite ver el estado y configurar un módulo de seguridad de hardware (HSM).0 Palo Alto Networks . • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. Solo Luna SA de Safenet. Solo Luna SA de Safenet. Estado Consulte “Configuración del estado del módulo de seguridad de hardware de Luna SA de Safenet” o “Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect” según sea necesario. versión 7. Tabla 3. Dirección de servidor Especifique una dirección de IPv4 para cualquier módulo HSM que esté configurando. se puede especificar como un puerto diferente a través de la opción Configuración de ruta de servicios en Dispositivo > Configuración > Servicios. haga clic en el icono Editar de la sección Proveedor de módulo de seguridad de hardware y configure los siguientes ajustes. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. Clave maestra asegurada por HSM Si se activa. 34 • Guía de referencia de interfaz web . Para configurar un módulo de seguridad de hardware (HSM) en el cortafuegos. De forma predeterminada. Alta disponibilidad Si se selecciona. Configuración de estado del proveedor de módulo HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. se trata de la dirección del puerto de gestión. Tabla 4. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. Cree varios nombres de módulos si está definiendo una configuración de alta disponibilidad del HSM. Nombre de grupo configurado en el cortafuegos para la alta disponibilidad del HSM.

Definición de módulos de seguridad de hardware Tabla 4. Reintento de recuperación automática Solo Luna SA de Safenet Especifique el número de intentos que debe realizar el cortafuegos para recuperar la conexión con HSM antes de conmutarse por error a otro HSM en una configuración de alta disponibilidad del HSM. Partición Nombre de la partición en el HSM que se asignó en el cortafuegos. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. Tabla 7. versión 7.0 • 35 . Este ajuste tendrá el valor Autenticado si el HSM aparece en esta tabla. Seleccione Configurar módulo de seguridad de hardware y configure los siguientes ajustes para autenticar el cortafuegos en el HSM. Dirección IP Dirección IP del HSM que se asignó en el cortafuegos. Rango 0 -500. La pantalla mostrará opciones diferentes dependiendo el proveedor HSM configurado. Solo Luna SA de Safenet Especifique el nombre de grupo que se debe utilizar para el grupo de alta disponibilidad del HSM. Contraseña de administrador Introduzca la contraseña del administrador de HSM para autenticar el cortafuegos en el HSM. Ajustes de configuración de HSM (Continuación) Campo Descripción Alta disponibilidad Solo Luna SA de Safenet Seleccione esta casilla de verificación si está definiendo módulos HSM en una configuración de alta disponibilidad. Tabla 6. Tabla 5. Safenet Configuración del estado del módulo de seguridad de hardware de Luna SA de Campo Descripción Número de serie Se muestra el número de serie de la partición del HSM si la partición de HSM se ha autenticado correctamente. Nombre de grupo de alta disponibilidad. Ajustes de Configurar módulo de seguridad de hardware Campo Descripción Nombre de servidor Seleccione un nombre de servidor HSM en el cuadro desplegable. La sección Estado de módulo de seguridad de hardware proporciona la siguiente información sobre los HSM que se han autenticado correctamente. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect Campo Descripción Nombre Nombre del servidor del HSM. Se debe configurar el nombre del módulo y la dirección del servidor de todos los módulos HSM. Dirección de sistema de archivos remoto Solo Thales Nshield Connect Configure la dirección IPv4 del sistema de archivos remoto utilizado en la configuración de HSM de Thales Nshield Connect. Estado de módulo Estado de funcionamiento actual del HSM. Este nombre lo utiliza el cortafuegos de forma interna. Palo Alto Networks Guía de referencia de interfaz web .

Se recomienda no usar la cadena de comunidad pública predeterminada. Use la página Operaciones para configurar el dispositivo y usar la versión de SNMP compatible con su gestor de SNMP (SNMPv2c o SNMPv3). admite todos los caracteres y distingue entre mayúsculas y minúsculas. Esta cadena puede tener hasta 127 caracteres. Para configurar el perfil de servidor que habilita la comunicación del cortafuegos con los destinos trap SNMP en su red (consulte “Configuración de destinos de traps SNMP”). versión 7. esta información le permite identificar (en un gestor de SNMP) el dispositivo que ha generado la notificación. Utilizar definiciones de traps específicas Esta casilla de verificación está seleccionada de manera predeterminada. Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar las estadísticas que recopila de los dispositivos de Palo Alto Networks. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí cuando intercambian mensajes get (solicitud de estadísticas) y trap SNMP. Configuración de SNMP Campo Descripción Ubicación física Especifique la ubicación física del cortafuegos. Haga clic en el enlace Configuración de SNMP y especifique los siguientes ajustes para permitir las solicitudes GET SNMP desde su gestor de SNMP: Tabla 8. Los MIB SNMP definen todos los traps SNMP que genera el dispositivo. • Autenticado • No autenticado Habilitación de supervisión de SNMP Dispositivo > Configuración > Operaciones SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. lo que significa que el dispositivo usa un OID exclusivo para cada trap SNMP en función del tipo de evento. todos los traps tendrán el mismo OID. 36 • Guía de referencia de interfaz web . Este ajuste se indica en la MIB de información del sistema estándar. Contacto Introduzca el nombre o la dirección de correo electrónico de la persona responsable del mantenimiento del cortafuegos. Cuando se genera un log o trap. consulte MIB compatibles. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. Si anula la selección de esta casilla de verificación. Un trap SNMP identifica un evento con un ID de objeto único (OID) y los campos individuales se definen como una lista de enlaces de variables (varbind). Para SNMP V2c Cadena de comunidad SNMP Introduzca la cadena de comunidad. Su selección controla los campos restantes que muestra el cuadro de diálogo. que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores).Habilitación de supervisión de SNMP Tabla 7. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect (Continuación) Campo Descripción Estado de módulo Estado de funcionamiento actual del HSM.0 Palo Alto Networks . Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar.

1. El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. use el OID de máximo nivel 1.1. privacidad y control de acceso cuando los dispositivos reenvían traps y los gestores SNMP obtienen estadísticas de dispositivos. • OID: Especifique el OID del MIB.) Use la pestaña Global para definir servicios para todo el cortafuegos. Definición de la configuración de servicios Dispositivo > Configuración > Servicios En un cortafuegos donde hay múltiples sistemas virtuales habilitados.3.3. sino simplemente un menú Servicios. Los objetos no necesitan coincidir con los nodos restantes.6. Cada vista es un OID emparejado y una máscara binaria: el OID especifica un MIB y la máscara (en formato hexadecimal) especifica qué objetos son accesibles dentro (incluir coincidencias) o fuera (excluir coincidencias) del MIB. Estos ajustes también se usan como los valores predeterminados para sistemas virtuales que no tienen un ajuste personalizado para un servicio. Palo Alto Networks Guía de referencia de interfaz web . introduzca un nombre para el grupo y configure lo siguiente en cada vista que añada al grupo: • Ver: Especifique un nombre para una vista. Nota: Para proporcionar acceso a toda la información de gestión.1. • Contraseña privada: Especifique la contraseña de privacidad del usuario. • Opción: Seleccione la lógica de coincidencia que se aplica al MIB. defina la máscara en 0xf0 y configure la opción de coincidencia en incluir. En este ejemplo.6. puntos. donde define los servicios que el cortafuegos o sus sistemas virtuales. respectivamente. • Ver: Asigne un grupo de vistas al usuario.4. guiones bajos o guiones. El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña. haga clic en Añadir.2 no.3.2 coincide con la máscara y 1. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. la opción coincidente está fijada en incluir y la máscara es 0xf0. 1. Usuarios Las cuentas de usuario SNMP proporcionan autenticación. • Contraseña de autenticación: Especifique la contraseña de autenticación del usuario. El nombre de usuario puede tener hasta 31 caracteres.3.6. El dispositivo usa la contraseña para autenticar el gestor SNMP cuando se reenvían traps y se responde a solicitudes de estadísticas. Para cada grupo de vistas.6. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos.0 • 37 . Configuración de SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre/Vista Puede asignar un grupo de una o más vistas al usuario de un gestor de SNMP para controlar qué objetos MIB (estadísticas) del dispositivo puede obtener el usuario. usan para operar eficientemente. (Si el cortafuegos es un único sistema virtual o si hay varios sistemas virtuales deshabilitados.Definición de la configuración de servicios Tabla 8.1. Para cada usuario. versión 7. la pestaña Servicios se divide en las pestañas Global y Sistemas virtuales. haga clic en Añadir y configure los siguientes ajustes: • Usuarios: Especifique un nombre de usuario para identificar una cuenta de usuario de SNMP.6. si el OID es 1. • Máscara: Especifique la máscara en formato hexadecimal. los objetos que solicite el usuario deberán tener OID que coincidan con los primeros cuatro nodos (f = 1111) de 1. Por ejemplo.1. no hay dos pestañas. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP y respuestas a solicitudes de estadísticas.

Consulte la Tabla 9 para conocer descripciones de los campos de las opciones disponibles en la sección Servicios. correo electrónico.0 Palo Alto Networks . – La opción Personalizar le ofrece un control granular sobre la comunicación del servicio mediante la configuración de una interfaz de origen y una dirección IP específicas que el servicio usará como interfaz de destino y dirección IP de destino en su respuesta. LDAP. • En la sección Características de servicios. 38 • Guía de referencia de interfaz web . Seleccione Heredar configuración de ruta de servicios globales o Personalizar rutas de servicio para un sistema virtual. Si selecciona esta opción. deberá configurar la interfaz de gestión para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan servicios. (Por ejemplo. Hay dos formas de configurar rutas de servicio globales: – La opción Utilizar interfaz de gestión para todos forzará todas las comunicaciones de servicios de cortafuegos con servidores externos a través de la interfaz de gestión (MGT). La pestaña Destino es otra función de ruta de servicio global que puede personalizar. el servidor de actualizaciones y el servidor proxy. haga clic en el icono Editar para definir las direcciones IP de destino de los servidores de sistemas de nombres de dominio (DNS). seleccione IPv4 o IPv6. Seleccione una ubicación (sistema virtual) y haga clic en Configuración de ruta de servicios. Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas.Definición de la configuración de servicios • En la sección Servicios. Para configurar la interfaz de gestión. puede configurar una IP/interfaz de origen específica para toda la comunicación por correo electrónico entre el cortafuegos y un servidor de correo electrónico y utilizar una interfaz/IP de origen diferente para las actualizaciones de Palo Alto. Use la pestaña Sistemas virtuales para especificar rutas de servicios para un único sistema virtual. La Tabla 9 describe los servicios globales. Utilice la pestaña NTP específica para configurar los ajustes del protocolo de tiempo de red (NTP). Estos servicios se enumeran en la Tabla 10. desplácese hasta la pestaña Dispositivo > Configuración > Gestión y edite la sección Configuración de interfaz de gestión. puede usar un Proxy DNS y un perfil de servidor DNS. haga clic en Configuración de ruta de servicios para especificar cómo se comunicará el cortafuegos con otros dispositivos o servidores para servicios como DNS. versión 7. Si elige personalizar configuraciones. La pestaña Destino se muestra en la ventana Configuración de ruta de servicios y se describe en “Ruta de servicio de destino”. y si el servicio es compatible con direcciones de origen IPv4 o IPv6. RADIUS.) Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas. syslog y mucho más. Para controlar y redirigir solicitudes de DNS entre sistemas virtuales específicos. que indica si se puede configurar un servicio para el cortafuegos Global o los sistemas virtuales. Consulte en la Tabla 10 los servicios que se pueden personalizar.

Este ajuste se utiliza para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de dirección FQDN.Definición de la configuración de servicios Tabla 9. Servidor DNS principal Introduzca la dirección IP del servidor DNS primario. el cortafuegos o Panorama verificarán que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable. El servidor se utiliza para las consultas de DNS del cortafuegos. Sección Servidor proxy Servidor Si el dispositivo necesita utilizar un servidor proxy para acceder a los servicios de actualización de Palo Alto Networks. para resolver entradas de DNS en logs o para objetos de dirección basados en FDQN. Configuración de servicios Función Descripción Servicios DNS Seleccione el tipo de servicio de DNS: Servidor u Objeto proxy DNS.paloaltonetworks.0 • 39 . • Un proxy DNS que se haya configurado en el cortafuegos es otra opción para configurar servidores de DNS. para buscar el servidor de actualizaciones.com. Servidor de DNS secundario Introduzca la dirección IP de un servidor DNS secundario que deberá utilizarse si el servidor principal no está disponible (opcional). introduzca la dirección IP o el nombre de host del servidor. Contraseña/ Confirmar contraseña Introduzca y confirme la contraseña para que el usuario acceda al servidor proxy. logs y la gestión de dispositivos. Actualizar servidor Este ajuste representa la dirección IP o el nombre de host del servidor utilizado para descargar actualizaciones de Palo Alto Networks. Puerto Introduzca el puerto para el servidor proxy. Guía de referencia de interfaz web . No cambie el nombre del servidor a menos que se lo indique la asistencia técnica. De forma optativa. Las opciones incluyen las siguientes: • Servidores DNS principal y secundario para proporcionar resolución de nombres de dominio. NTP Dirección de servidor NTP Palo Alto Networks Introduzca la dirección IP o el nombre de host del servidor NTP que desee usar para sincronizar el reloj del cortafuegos. por ejemplo. Usuario Introduzca el nombre de usuario para acceder al servidor. versión 7. introduzca la dirección IP o nombre de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el servidor primario no está disponible. Esta opción añade un nivel de seguridad adicional para la comunicación entre el servidor del cortafuegos/Panorama y el servidor de actualización. Verificar identidad del servidor de actualización Si se habilita esta opción. El valor actual es updates.

    NTP: Servidor de protocolo de tiempo de red. Configuración de servicios (Continuación) Función Descripción Tipo de autenticación Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor NTP. –Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticación del NTP (MD5 o SHA1).0 Palo Alto Networks . • Clave simétrica: Seleccione esta opción para que el cortafuegos utilice intercambio de clave simétrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor NTP.  — — — Kerberos: Servidor de autenticación Kerberos. –Clave de autenticación/Confirmar clave de autenticación: Introduzca y confirme la clave de autenticación del algoritmo de autenticación.Definición de la configuración de servicios Tabla 9.   — — Actualizaciones de Palo Alto: Actualizaciones de Palo Alto Networks.65534).   — — RADIUS: Servidor de servicio de autenticación remota telefónica de usuario. * Para sistemas virtuales. seleccione el tipo de autenticación que debe utilizar el cortafuegos: • Ninguno: Seleccione esta opción para desactivar la autenticación del NTP (predeterminado).   * * Correo electrónico: Servidor de correo electrónico. Si selecciona la clave simétrica. • Clave automática: Seleccione esta opción para que el cortafuegos utilice la clave automática (criptografía de clave pública) para autenticar las actualizaciones de hora del servidor NTP. continúe introduciendo los siguientes campos: –ID de clave: Introduzca el ID de clave (1.  —  — LDAP: Servidor de protocolo ligero de acceso a directorios. Ajustes de configuración de ruta de servicios Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Estado de CRL: Servidor de lista de revocación de certificado (CRL).   — — Flujo de red: Servidor de flujo de red para la recopilación de estadísticas de tráfico de red. versión 7.     HSM: Servidor de módulo de seguridad de hardware.   — — Proxy: Servidor que actúa como proxy para el cortafuegos.  —  — 40 • Guía de referencia de interfaz web .     SNMP Trap: Servidor trap de protocolo simple de administración de redes.     MDM: Servidor de gestión de dispositivos móviles.  — — — Panorama: Servidor Panorama de Palo Alto Networks.   — — DNS: Servidor de sistema de nombres de dominio. Para cada servidor NTP. el DNS se realiza en el perfil de servidor de DNS. Tabla 10.

por sus siglas en inglés). La Interfaz de origen tiene las siguientes tres opciones: • Heredar configuración global: Los servicios seleccionados heredarán la configuración global para estos servicios. autorización y contabilidad (AAA. No tiene que definir la dirección de destino porque el destino se configura para cada servicio en cuestión. • Una interfaz del menú desplegable: Para los servicios en configuración. seleccionar un servicio y hacer clic en Establecer rutas de servicio seleccionadas.     Actualizaciones de URL: Servidor de actualizaciones de Localizador de recursos uniforme (URL).  — — — Al personalizar una ruta de servicios global. seleccione una dirección del menú desplegable. O bien puede elegir Personalizar.     Tacplus: Servidor de sistema de control de acceso del controlador de acceso a terminales para servicios de autenticación. Palo Alto Networks Guía de referencia de interfaz web . versión 7. cuando defina sus servidores DNS en la pestaña Dispositivo > Configuración > Servicios. seleccionar IPv4 o IPv6. seleccione uno de los servicios disponibles de la lista. las respuestas del servidor se enviarán a la interfaz seleccionada porque esta era la interfaz de origen. Para los servicios seleccionados. dicha acción establecerá el destino de las consultas de DNS. la dirección IP seleccionada será el origen del tráfico de servicios. Al configurar rutas de servicio para un sistema virtual.  — — — Wildfire Public: Servidor WildFire de Palo Alto Networks público. en la pestaña IPv4 o IPv6.     Agente UID: Servidor de agente de ID de usuarios. la opción Heredar configuración de ruta de servicios globales significa que todos los servicios del sistema virtual heredarán la configuración de ruta de servicios global. • Cualquiera: Permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles (interfaces en el sistema virtual específico).Definición de la configuración de servicios Tabla 10. Una interfaz de origen definida en Cualquiera permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles.0 • 41 . Para Dirección de origen. La dirección de origen muestra la dirección IPv4 o IPv6 asignada a la interfaz seleccionada. haga clic en Establecer rutas de servicio seleccionadas y seleccione Interfaz de origen y Dirección de origen del menú desplegable.   — — Supervisor de VM: Servidor de supervisor de máquina virtual. Por ejemplo. las respuestas del servidor se enviarán a esta dirección de origen.     Wildfire Private: Servidor WildFire de Palo Alto Networks privado. Ajustes de configuración de ruta de servicios (Continuación) Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Syslog: Servidor para registro de mensajes de sistema.

cuando quiere usar varios enrutadores virtuales o una combinación de enrutador virtual y puerto de gestión. Definición de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Para simplificar la configuración para un sistema virtual. Una ruta de servicio de destino es un modo de configurar la ruta para cancelar la tabla de rutas de base de información de reenvío (FIB). No necesita introducir la subred de la dirección de destino. Tabla 11. Configuración de ruta de servicio de destino Campo Descripción Destino Introduzca la dirección IP de destino. Pueden estar relacionadas o no relacionadas con cualquier servicio. • Dentro de un único sistema virtual. Cualquier configuración en las rutas de servicio de destino cancelan las entradas de tabla de rutas. La Tabla 12 describe la configuración del perfil de servidor de DNS.Definición de un perfil de servidor de DNS Ruta de servicio de destino Dispositivo > Configuración > Servicios > Global Al regresar a la pestaña Global. La interfaz y la dirección de origen se usan como interfaz y dirección destino en la respuesta desde el servidor de DNS.0 Palo Alto Networks . así como la interfaz y la dirección de origen (ruta de servicio) que se usará en los paquetes enviados al servidor de DNS. un perfil de servidor de DNS le permite especificar el sistema virtual que se está configurando. aparece la pestaña Destino. un origen de herencia o las direcciones DNS primarias y secundarias para los servidores de DNS. Interfaz de origen Seleccione la interfaz de origen que se utilizará para los paquetes que regresan del destino. Un perfil de servidor de DNS solo sirve para un sistema virtual. 42 • Guía de referencia de interfaz web . de modo que la ruta de servicio de un sistema virtual individual no puede cancelar entradas de tabla de rutas que no están asociadas a un sistema virtual. no sirve para la ubicación compartida global. Las rutas de servicio de destino están disponibles solo en la pestaña Global (no la pestaña Sistemas virtuales). versión 7. La Tabla 11 define los campos para la ruta de servicio de destino. Se puede usar una ruta de servicio de destino para añadir una redirección personalizada de un servicio compatible con los servicios de la lista Personalizar (Tabla 10). si hace clic en Configuración de ruta de servicios y luego en Personalizar. La pestaña Destino sirve para los siguientes casos de uso: • Cuando un servicio no tiene una ruta de servicio de aplicaciones. Dirección de origen Seleccione la dirección de origen que se utilizará para los paquetes que regresan del destino.

Ubicación Seleccione el sistema virtual al que pertenece el perfil. Configuración de ID de contenidos Función Descripción Filtrado de URL Tiempo de espera de caché de URL dinámica Palo Alto Networks Haga clic en Editar e introduzca el tiempo de espera (en horas). De lo contrario. Tabla 13. Si desea más información sobre el filtrado de URL. Dirección de origen Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. DNS secundario Especifique la dirección IP del servidor DNS secundario. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. la protección de datos y las páginas contenedoras. Guía de referencia de interfaz web . Dirección de origen Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. Este valor se utiliza en el filtrado de URL dinámica para determinar la cantidad de tiempo que una entrada permanece en la caché después de ser devuelta por el servicio de filtrado de URL. Esta opción únicamente es aplicable al filtrado de URL que utilice la base de datos de BrightCloud. consulte “Perfiles de filtrado de URL”. Ruta de servicio IPv6 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Definición de la configuración de ID de contenido Dispositivo > Configuración > ID de contenido Utilice la pestaña ID de contenido (Content-ID) para definir la configuración del filtrado de URL. versión 7. especifique el servidor de DNS desde el que el perfil debería heredar la configuración. Configuración de perfil de servidor de DNS Campo Descripción Nombre Asigne un nombre al perfil de servidor de DNS. Ruta de servicio IPv4 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS.0 • 43 . Origen de herencia Seleccione Ninguno si las direcciones del servidor de DNS no son heredadas. DNS principal Especifique la dirección IP del servidor DNS primario. Comprobar estado de origen de herencia Haga clic para ver la información de origen de herencia.Definición de la configuración de ID de contenido Tabla 12.

44 • Guía de referencia de interfaz web . consulte “Gestión de perfiles de servicio SSL/TLS”. Haga clic en para eliminar una entrada. • Perfil de servicio SSL/TLS: Para especificar un certificado y las versiones de protocolo TLS para protección de comunicaciones al redireccionar a través del servidor especificado. Tiempo de espera de bloqueo de administrador de URL Especifique en minutos el período que un usuario está bloqueado y no puede utilizar la contraseña de cancelación de administrador de URL después de tres intentos incorrectos (1-86400.Definición de la configuración de ID de contenido Tabla 13. Configuración de ID de contenidos Longitud de captura de paquetes extendida Establezca el número de paquetes que se deben capturar cuando la opción de captura extendida se habilita en perfiles de antispyware y vulnerabilidad. Puede introducir hasta 20 entradas. seleccione un perfil de servicio SSL/TLS. • Contraseña/Confirmar contraseña: Introduzca la contraseña que el usuario debe introducir para cancelar la página de bloque. haga clic en Añadir y especifique la configuración que se aplica cuando un perfil de bloqueo de URL bloquea una página y la acción Cancelar se especifica (para obtener más información. Si selecciona Redirigir. predeterminado: 15). dirección IPv6 o FQDN para los servidores PAN-DB privados en su red. Cancelación de administrador de URL Configuración de la cancelación de administrador de URL Para cada sistema virtual que quiera configurar para la cancelación de administradores de URL. Los cortafuegos acceden a los servidores incluidos en esta lista de servidores de PAN-DB para bases de datos de URL. predeterminado: 1800). predeterminado: 900). El rango es 1-50 y el valor predeterminado es 5.0 Palo Alto Networks . actualizaciones de URL y búsquedas de URL para categorizar páginas web. Servidor PAN-DB (Necesario para la conexión a un servidor PAN-DB privado) Especifique la dirección IPv4. consulte “Perfiles de filtrado de URL”): • Ubicación: Seleccione el sistema virtual en la lista desplegable (únicamente cortafuegos de VSYS múltiple). El cortafuegos conecta con la nube PAN-DB pública de manera predeterminada. La solución PAN-DB privada es para empresas que no permiten que los cortafuegos accedan directamente a los servidores de PAN-DB en la nube pública. Tiempo de espera de cancelación de administrador de URL Especifique en minutos el intervalo que transcurre desde que el usuario introduce la contraseña de cancelación de administrador hasta que el usuario debe volver a introducir la contraseña de cancelación de administrador para las URL de la misma categoría (intervalo: 1-86400. versión 7. • Modo: Determina si la página de bloqueo se entrega de manera transparente (parece originarse en el sitio web bloqueado) o redirige al usuario al servidor especificado. Configuración de ID de contenidos (Continuación) Función Descripción Tiempo de espera de caché de URL dinámica Especifique en minutos el intervalo que transcurre desde una acción de “continuación” por parte del usuario hasta el momento en que el usuario debe volver a pulsar el botón de continuación para las URL de la misma categoría (intervalo: 1-86400. Para obtener más información. introduzca la dirección IP para el redireccionamiento.

Los logs de URL muestran los nombres de usuario coincidentes en el campo Usuario de origen. haga clic en Cambiar contraseña. Para habilitar esta configuración en cada sistema virtual. Configuración de ID de contenidos (Continuación) Función Descripción Permitir reenvío de contenido descifrado Seleccione la casilla de verificación para permitir que el cortafuegos reenvíe contenido descifrado a un servicio externo. haga clic en Establecer contraseña. Strip-X-Forwarded-For Header Seleccione esta casilla de verificación para eliminar el encabezado X-Forwarded-For (XFF). Si el encabezado tiene varias direcciones IP. de lo contrario. Si el servicio de ID de usuario no puede realizar la comparación o no tiene permiso en la zona asociada con la dirección IP. Nota: Al seleccionar esta casilla de verificación no se deshabilita el uso de encabezado XFF para atribución de usuarios en políticas (consulte “Usar X-Forwarded-For Header en ID de usuario”). que contiene las direcciones IP de un cliente que solicita un servicio web cuando se implementa el cortafuegos entre Internet y un servidor proxy. El cortafuegos pone a cero el valor del encabezado antes de reenviar la solicitud y los paquetes reenviados no contienen información de IP de origen interna. • Para eliminar la contraseña y los datos que se han protegido. el servicio de ID de usuario usa la primera entrada de la izquierda. Para dispositivos con capacidad para varios sistemas virtuales. a continuación. X-Forwarded-For Headers Usar X-Forwarded-For Header en ID de usuario Seleccione esta casilla de verificación para especificar que el servicio de ID de usuario lea las direcciones IP desde el encabezado de X-Forwarded-For (XFF) en las solicitudes del cliente de servicios web cuando se implementa el cortafuegos entre Internet y un servidor proxy que. el campo Usuario de origen muestra la dirección IP XFF con el prefijo x-fwd-for. El servicio de ID de usuario compara los nombres de usuario que lee con los nombres de usuario que menciona su regla. el cortafuegos solamente pone a cero el valor de XFF tras usarlo para atribución de usuarios. como números de tarjetas de crédito o números de la Seguridad Social. Introduzca y confirme la contraseña. el cortafuegos puede reenviar contenido descifrado al realizar reflejo de puerto o enviar archivos de WildFire para su análisis. vaya a la pestaña Dispositivo > Sistemas virtuales. Características de ID de contenido Gestionar protección de datos Palo Alto Networks Aumente la protección para acceder a logs que puedan incluir información confidencial. Si el encabezado tiene una dirección IP no válida. el servicio de ID de usuario usa esa dirección IP como un nombre de usuario para las referencias de asignación de grupos en las políticas. haga clic en Eliminar contraseña. Haga clic en Gestionar protección de datos y configure lo siguiente: • Para establecer una nueva contraseña si todavía no se ha establecido una. esta opción está habilitada para cada sistema virtual. Introduzca la contraseña anterior y. ocultaría las direcciones IP a los usuarios. Si está seleccionada. introduzca y confirme la nueva contraseña. Guía de referencia de interfaz web .Definición de la configuración de ID de contenido Tabla 13. de modo que esas políticas puedan controlar y registrar el acceso a los usuarios y grupos asociados. • Para cambiar la contraseña.0 • 45 . versión 7.

como application/ pdf. puede especificar qué archivos se reenvían a la nube de WildFire o al dispositivo de WildFire creando un perfil de análisis de WildFire (Objetos > Perfiles de seguridad > Análisis de WildFire). Si se detecta que un archivo enviado a la nube de Japón es malintencionado. application/soap+xml. Si no hay tipos de contenido asociados a un sistema virtual. UU. Tras introducir la configuración de WildFire.jp. También puede establecer los límites de tamaño de archivo y la información de sesión sobre la que se informará. introduzca wildfire. Puede habilitar tanto la nube de WildFire como un dispositivo WildFire para que se usen para realizar análisis de archivos. se utilizará la lista predeterminada de tipos de contenido. Si un sistema virtual no tiene una página contenedora explícita definida. Las páginas contenedoras se establecen según el sistema virtual. application/xhtml+. La adición de nuevos tipos de contenido para un sistema virtual cancela la lista predeterminada de tipos de contenido. puede que también experimente una respuesta más rápida en los envíos de muestras y la generación de informes. para analizar archivos.paloaltonetworks. Haga clic en Añadir e introduzca o seleccione un tipo de contenido. Tabla 14.paloaltonetworks. Para usar la nube de WildFire alojada en Japón. 46 • Guía de referencia de interfaz web . UU.0 Palo Alto Networks . Para reenviar contenido descifrado a WildFire. se utilizarán los tipos de contenido predeterminados. versión 7. Puede que desee utilizar el servidor japonés si no desea que se envíen archivos benignos a los servidores de nube estadounidenses. Nube privada de WildFire Especifique la dirección IP o FQDN del dispositivo WildFire que se usará para analizar archivos. Configuración de ID de contenidos (Continuación) Función Descripción Páginas contenedoras Utilice estos ajustes para especificar los tipos de URL que el cortafuegos seguirá o registrará basándose en el tipo de contenido. el cual puede seleccionar en la lista desplegable Ubicación. deberá seleccionar la casilla de verificación “Permitir reenvío de contenido descifrado” del cuadro Configuración de Dispositivo > Configuración > ID de contenido > Filtrado de URL. text/html. Configuración de ajustes de WildFire Dispositivo > Configuración > WildFire Utilice la pestaña WildFire para configurar los ajustes de WildFire en el cortafuegos. el sistema de la nube de Japón lo reenvía a los servidores de EE.Configuración de ajustes de WildFire Tabla 13. donde el archivo se vuelve a analizar y se genera una firma.. text/plain y text/xml. Ajustes de WildFire en el cortafuegos Campo Descripción Configuración general Nube pública de WildFire Introduzca wildfire.com para usar la nube de WildFire alojada en EE. Si se encuentra en la región de Japón.

Informar de archivos benignos Cuando esta opción está activada (desactivada de forma predeterminada). 5 MB de forma predeterminada • apk (aplicaciones para Android): 1-50 MB. los archivos analizados por WildFire indicados como grayware aparecerán en el log Supervisar > Envíos de WildFire.0 • 47 . 10 MB de forma predeterminada • pdf (Portable Document Format) 100 KB-1000 KB. haga clic en el campo Límite de tamaño y aparecerá un mensaje emergente que mostrará el intervalo disponible y el valor predeterminado. Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Tamaño de archivo máximo (MB) Especifique el tamaño de archivo máximo que se reenviará al servidor WildFire. Nota: Incluso si esta opción está activada en el cortafuegos. Palo Alto Networks Guía de referencia de interfaz web . Para ver los intervalos válidos. 2 MB de forma predeterminada • ms-office (Microsoft Office): 200 KB-10000 KB. 200 KB de forma predeterminada • jar (archivo de clase de Java empaquetado): 1-10 MB. los enlaces de correo electrónico que WildFire considera benignos no se registrarán debido a la cantidad potencial de enlaces procesados. 1 MB de forma predeterminada • pe (Portable Executable): 1-10 MB. versión 7. 500 KB de forma predeterminada Nota: Los valores anteriores pueden variar según la versión de PAN-OS o la versión de contenido instalada. los enlaces de correo electrónico que WildFire considera grayware no se registrarán debido a la cantidad potencial de enlaces procesados. Archivos Grayware del informe Cuando esta opción está activada (desactivada de forma predeterminada). Nota: Incluso si esta opción está activada en el cortafuegos.Configuración de ajustes de WildFire Tabla 14. los archivos analizados por WildFire indicados como benignos aparecerán en el log Supervisar > Envíos de WildFire. Los rangos disponibles son: • flash (Adobe Flash): 1-10 MB.

Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Ajustes de información de sesión Configuración Especifique la información que se reenviará al servidor WildFire. • Remitente de correo electrónico: Proporciona el nombre del remitente en los logs de WildFire e informes de WildFire detallados cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. De manera predeterminada. • Aplicación: Aplicación de usuario que se utilizó para transmitir el archivo.0 Palo Alto Networks . la configuración de certificados de descifrado y los ajustes globales relacionados con las sesiones. • Destinatario de correo electrónico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Puerto de origen: Puerto de origen que envió el archivo sospechoso. todo está seleccionado: • IP de origen: Dirección IP de origen que envió el archivo sospechoso. • Usuario: Usuario de destino. • Puerto de destino: Puerto de destino del archivo sospechoso. • IP de destino: Dirección IP de destino del archivo sospechoso.Definición de la configuración de sesión Tabla 14. • URL: URL asociada al archivo sospechoso. como aplicar cortafuegos al tráfico IPv6 y volver a hacer coincidir la política de seguridad con las sesiones existentes cuando cambia la política. versión 7. • Asunto de correo electrónico: Proporciona el asunto del correo electrónico en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Nombre de archivo: Nombre del archivo que se envió. La pestaña presenta las siguientes secciones: • “Configuración de sesión” • “Tiempos de espera de sesión” • “Ajustes de descifrado: Comprobación de revocación de certificado” • “Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy” • “Configuración de sesión de VPN” 48 • Guía de referencia de interfaz web . Definición de la configuración de sesión Dispositivo > Configuración > Sesión Utilice la pestaña Sesión para configurar los tiempos de vencimiento de las sesiones. • Vsys: Sistema virtual del cortafuegos que identificó al posible software malintencionado.

Definición de la configuración de sesión

Configuración de sesión
Tabla 15. Configuración de sesión
Campo

Descripción

Reanalizar sesiones
establecidas

Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que
el cortafuegos aplique las políticas de seguridad recién configuradas a las
sesiones que ya están en curso. Esta capacidad está habilitada de manera
predeterminada. Si este ajuste está deshabilitado, cualquier cambio de
política se aplica solo a las sesiones iniciadas después de que se haya
compilado un cambio de política.
Por ejemplo, si se ha iniciado una sesión de Telnet mientras había
configurada una política que permitía Telnet y, en consecuencia, ha
compilado un cambio de política para denegar Telnet, el cortafuegos aplica
la política revisada a la sesión actual y la bloquea.

Tamaño de depósito de
testigo de ICMPv6

Introduzca el tamaño de depósito para la limitación de tasa de mensajes de
error de ICMPv6. El tamaño de depósito de testigo es un parámetro del
algoritmo de depósito de testigo que controla la intensidad de las ráfagas
de transmisión de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).

Tasa de paquetes de
error de ICMPv6

Introduzca el número medio de paquetes de error de ICMPv6 por segundo
que se permiten globalmente a través del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depósito de testigo de
ICMPv6 se utiliza para activar la limitación de mensajes de error de
ICMPv6.

Habilitar cortafuegos
IPv6

Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y
seleccione la casilla de verificación Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se
habilita. Incluso si IPv6 está activado para una interfaz, el ajuste
Cortafuegos IPv6 también debe estar activado para que IPv6 funcione.

Habilitar trama gigante
MTU global

Seleccione esta opción para habilitar la compatibilidad con tramas gigantes
en interfaces de Ethernet. Las tramas gigantes tienen una unidad de
transmisión máxima (MTU) de 9192 bytes y están disponibles en
determinadas plataformas.
• Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
• Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no está
específicamente configurada, estas interfaces heredarán automáticamente
el tamaño de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor. Para configurar la MTU
para la interfaz (Red > Interfaces > Ethernet), consulte “Configuración de
interfaz de capa 3”.

Tamaño mínimo de
MTU para NAT64 en
IPv6

Introduzca la MTU global para el tráfico IPv6 traducido. El valor
predeterminado de 1280 bytes se basa en la MTU mínima estándar para el
tráfico IPv6.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 49

Definición de la configuración de sesión

Tabla 15. Configuración de sesión (Continuación)
Campo

Descripción

Ratio de
sobresuscripción NAT

Seleccione la velocidad de sobresuscripción NAT, es decir, el número de
ocasiones en las que el mismo par de dirección IP y puerto traducido se
pueden usar de forma simultánea. La reducción de la velocidad de
sobresuscripción disminuirá el número de traducciones de dispositivo
origen, pero proporcionará más capacidades de regla de NAT.
• Valor predeterminado de plataforma: La configuración explícita de la
velocidad de sobresuscripción está desactivada; se aplica la velocidad de
sobresuscripción predeterminada para la plataforma. Consulte las
velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
• 1x: 1 vez. Esto significa que no existe ninguna sobresuscripción; cada par
de dirección IP y puerto traducido se puede utilizar solo una vez en cada
ocasión.
• 2x: 2 veces
• 4x: 4 veces
• 8x: 8 veces

Tasa de paquetes (por
segundo) inalcanzable
de ICMP

Define el número máximo de respuestas de ICMP inalcanzable que puede
enviar el cortafuegos por segundo. Este límite es compartido por los
paquetes IPv4 e IPv6.
El valor predeterminado es 200 mensajes por segundo;
intervalo: 1-65535 mensajes por segundo.

Vencimiento acelerado

Activa el vencimiento acelerado de las sesiones inactivas.
Seleccione la casilla de verificación para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesión alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado a
los cálculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces más rápida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera más rápido
(la mitad). Para calcular el vencimiento acelerado de la sesión, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesión) entre
el factor de escala para determinar un tiempo de espera más corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo
general vencería después de 3600 segundos lo hará 10 veces más rápido
(en 1/10 del tiempo), es decir, 360 segundos.

Tiempos de espera de sesión
El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una
sesión en el cortafuegos después de la inactividad en esa sesión. De forma predeterminada,
cuando la sesión agota su tiempo de espera para el protocolo, PAN-OS cierra la sesión.
En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicación en la pestaña Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicación aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP.

50 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Utilice las opciones de esta sección para configurar los ajustes de los tiempos de espera globales:
específicamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mínimos en la red, lo que podría producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podría retrasarse la
detección de errores.

Tabla 16. Tiempos de espera de sesión
Campo

Descripción

Valor predeterminado

Tiempo máximo que una sesión que no es TCP/UDP ni ICMP se puede abrir
sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Descartar tiempo de
espera

PAN-OS aplica el tiempo de espera de descarte cuando se deniega una
sesión debido a las políticas de seguridad configuradas en el cortafuegos.

– Descartar valor
predeterminado

Solo se aplica al tráfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

– Descartar TCP

Se aplica al tráfico de TCP.
El valor predeterminado es 90 segundos; el intervalo es 1-1599999 segundos.

– Descartar UDP

Se aplica al tráfico de UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

ICMP

Tiempo máximo que una sesión ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.

Analizar

Tiempo máximo que cualquier sesión puede permanecer abierta después
de ser considerada inactiva. PAN-OS considera inactiva una aplicación
cuando supera el umbral de generación definido para la misma.
El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos.

TCP

Tiempo máximo que una sesión TCP permanece abierta sin una respuesta
después de que una sesión TCP active el estado Establecido (después de
que se complete el protocolo o la transmisión de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999 segundos.

Protocolo de
enlace TCP

Tiempo máximo entre la recepción de SYN-ACK y la siguiente ACK para
establecer completamente la sesión.
El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos.

Inicialización de TCP

Tiempo máximo entre la recepción de SYN y SYN-ACK antes de iniciar el
temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; intervalo: 1-60 segundos

TCP semicerrado

Tiempo máximo entre la recepción del primer FIN y la recepción del
segundo FIN o RST.
Valor predeterminado: 120 segundos; intervalo: 1-604800 segundos

Tiempo de espera
de TCP

Tiempo máximo después de recibir el segundo FIN o RST.
Valor predeterminado: 15 segundos; intervalo: 1-600 segundos

RST sin verificar

Tiempo máximo después de recibir un RST que no se puede verificar
(el RST está dentro de la ventana TCP pero tiene un número de secuencia
inesperado o el RST procede de una ruta asimétrica).
Valor predeterminado: 30 segundos; intervalo: 1-600 segundos

UDP

Tiempo máximo que una sesión UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 51

Definición de la configuración de sesión

Tabla 16. Tiempos de espera de sesión (Continuación)
Campo

Descripción

Portal cautivo

El tiempo de espera de la sesión de autenticación en segundos para el
formulario web del portal cautivo (predeterminado: 30; intervalo: 1-1599999).
Para acceder al contenido solicitado, el usuario debe introducir las
credenciales de autenticación en este formato y autenticarse correctamente.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, utilice la pestaña Dispositivo > Identificación de
usuario > Configuración de portal cautivo. Consulte “Pestaña
Configuración de portal cautivo”.

Ajustes de descifrado: Comprobación de revocación de certificado
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Comprobación de revocación
de certificado para establecer los parámetros descritos en la siguiente tabla.

Tabla 17. Características de sesión: Comprobación de revocación de certificado
Campo

Descripción

Habilitar: CRL

Seleccione esta casilla de verificación para utilizar el método de la lista de
revocación de certificados (CRL) y verificar el estado de revocación de los
certificados.
Si también activa el protocolo de estado de certificado en línea (OCSP), el
cortafuegos primero prueba con él; si el servidor OCSP no está disponible,
entonces el cortafuegos intenta utilizar el método CRL.
Para obtener más información sobre los certificados de descifrado, consulte
“Políticas de descifrado”.

Tiempo de espera de
recepción: CRL

Si ha activado el método CLR para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.

Habilitar: OCSP

Seleccione la casilla de verificación para utilizar OCSP y verificar el estado
de revocación de los certificados.

Tiempo de espera de
recepción: OCSP

Si ha activado el método OCSP para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.

Bloquear sesión con
estado de certificado
desconocido

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS cuando
el servicio OCSP o CRL devuelva un estado de revocación de certificados
desconocido. De lo contrario, el cortafuegos continuará con la sesión.

Bloquear sesión al
agotar el tiempo de
espera de
comprobación de
estado de certificado

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS
después de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión.

52 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Tabla 17. Características de sesión: Comprobación de revocación de certificado (Continuación)
Campo

Descripción

Tiempo de espera del
estado del certificado

Especifique el intervalo en segundos (1-60 segundos, 5 de forma
predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lógica de bloqueo
de sesión que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepción de OCSP/
CRL de la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud después de que pase el menor de dos intervalos: el
valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de CRL.

Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamaño de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvío SSL/TLS. La siguiente tabla describe los parámetros.

Tabla 18. Características de sesión: Reenviar los ajustes de certificados del servidor proxy
Campo

Descripción

Definido por el host de
destino

Seleccione esta opción si desea que PAN-OS genere certificados basados en
la clave que utiliza el servidor de destino:
• Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS genera
un certificado con ese tamaño de clave y un algoritmo de hash SHA-1.
• Si el servidor de destino utiliza un tamaño de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.

RSA de 1024 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamaño de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificación públicas
(CA) y navegadores más populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
según su configuración de seguridad, cuando el navegador presente dichas
claves, el usuario podría recibir un aviso o se podría bloquear
completamente la sesión SSL/TLS.

RSA de 2048 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamaño de clave que utiliza el servidor de destino.
Las CA públicas y los navegadores más populares admiten claves de
2048 bits, que proporcionan más seguridad que las claves de 1024 bits.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 53

Definición de la configuración de sesión

Configuración de sesión de VPN
En la pestaña Sesión, en la sección Configuración de sesión de VPN, configure los ajustes
globales relacionados con el cortafuegos que establece una sesión de VPN. La siguiente tabla
describe la configuración.

Tabla 19 Configuración de sesión de VPN
Campo

Descripción

Umbral de
activación de
cookies

Especifique un número máximo de asociaciones de seguridad (SA) IKE a
medio abrir IKEv2 permitidas por el cortafuegos, por encima del cual se activa
la validación de cookies. Si el número de SA IKE a medio abrir supera el
umbral de activación de cookies, el respondedor solicita una cookie y el
iniciador debe responder con una IKE_SA_INIT que contenga una cookie. Si la
cookie se valida correctamente, se puede iniciar otra sesión de SA.
Un valor de 0 significa que la validación de cookies está siempre activa.
El Umbral de activación de cookies es una configuración de cortafuegos global
y debería ser inferior a la configuración de SA medio abiertas máx., que
también es global.
Intervalo: 0-65535. Valor predeterminado: 500.

SA medio abiertas
máx.

Especifique el número máximo de SA IKE a medio abrir IKEv2 que los
iniciadores pueden enviar al cortafuegos sin obtener una respuesta. Cuando se
alcance el máximo, el cortafuegos no responderá a nuevos paquetes
IKE_SA_INIT. Intervalo: 1-65535. Valor predeterminado: 65535.

Certificados en
caché máx.

Especifique el número máximo de certificados de autoridades de certificados
(CA) de peer recuperados por HTTP que el cortafuegos puede almacenar en
caché. Este valor solo lo usan las funciones IKEv2 Hash y URL. Intervalo:
1-4000. Valor predeterminado: 500.

54 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Comparación de archivos de configuración

Comparación de archivos de configuración
Dispositivo > Auditoría de configuraciones
Puede ver y comparar archivos de configuración utilizando la página Auditoría de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el número de líneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente ilustración.
La página también incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuración consecutivas. Haga clic en
para
cambiar las configuraciones que se están comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se están
comparando por el conjunto siguiente de configuraciones guardadas.

Ilustración 1. Comparación de configuraciones

Panorama guarda automáticamente todos los archivos de configuración que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a través
de la interfaz de Panorama o localmente en el cortafuegos.

Instalación de una licencia
Dispositivo > Licencias
Use esta página para activar licencias en todas las plataformas del cortafuegos. Al adquirir
una suscripción de Palo Alto Networks, recibirá un código de autorización para activar una o
más claves de licencia.
En el cortafuegos VM-Series, esta página también permite desactivar una máquina virtual (VM).
Las siguientes acciones están disponibles en la página Licencias:

• Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que se han activado en el portal de
asistencia técnica, haga clic en Recuperar claves de licencia del servidor de licencias.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 55

Instalación de una licencia

• Activar característica mediante código de autorización: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que no se han activado anteriormente
en el portal de asistencia técnica, haga clic en Activar característica mediante código de
autorización. Introduzca su código de autorización y haga clic en ACEPTAR.

• Clave de licencia de carga manual: Si el cortafuegos no tiene conexión con el servidor de
licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:

a. Descargue el archivo de clave de licencia en https://support.paloaltonetworks.com y
guárdelo localmente.

b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PAN-DB
for URL Filtering), tendrá que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuación, hacer clic en Activar.
También puede ejecutar el comando de CLI “request url-filtering download
paloaltonetworks region <region name>”.

• Deshabilitar VM: Esta opción está disponible en el cortafuegos VM-Series con el modelo
Traiga su propia licencia, que es compatible con licencias perpetuas y temporales;
el modelo de licencias a petición no es compatible con esta funcionalidad.
Haga clic en Desactivar VM cuando ya no necesite una instancia del cortafuegos
VM-Series. Le permitirá liberar todas las licencias activas (licencias de suscripción,
licencias de capacidad de VM y derecho de asistencia) usando esta opción. Las licencias se
devuelven a su cuenta y podrá aplicarlas a nuevas instancias de un cortafuegos
VM-Series cuando sea necesario.
Al desactivar la licencia, la funcionalidad del cortafuegos se deshabilita y se queda sin
licencia; no obstante, la configuración permanece intacta.
– Haga clic en Continuar manualmente si el cortafuegos VM-Series no tiene acceso
directo a Internet. El cortafuegos genera un archivo de token. Haga clic en el enlace
Exportar token de licencia para guardar el archivo de token en su ordenador local y
luego reinicie el cortafuegos. Inicie sesión en el portal de asistencia de
Palo Alto Networks y acceda a la página Activos > Dispositivos; haga clic en el enlace
Deshabilitar VM para usar este archivo de token y completar el proceso de
desactivación.
– Haga clic en Continuar si desea desactivar las licencias del cortafuegos VM-Series.
Haga clic en Reiniciar ahora para completar el proceso de desactivación de licencias.
– Haga clic en Cancelar si desea cancelar y cerrar la ventana de desactivación de VM.

Comportamiento tras el vencimiento de la licencia
Póngase en contacto con el equipo de operaciones y ventas de Palo Alto Networks para
obtener información sobre cómo renovar sus licencias o suscripciones.

56 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de orígenes de información de VM

• Si vence la suscripción de prevención de amenazas en el cortafuegos, ocurrirá lo siguiente:
– Se genera una entrada de log en el sistema; la entrada indica que la suscripción ha vencido.
– Todas las funciones de prevención de amenazas continuarán funcionado con las
firmas que se instalaron en el momento en que caducó la licencia.
– Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
válida. De igual forma, la capacidad de restablecimiento a una versión anterior de las
firmas no es compatible si la licencia ha caducado.
– Las firmas de App-ID personalizadas continuarán funcionando y se pueden modificar.

• Si la licencia de soporte caduca, la prevención de amenazas y sus actualizaciones
continuarán funcionando normalmente.

• Si los derechos de soporte vencen, las actualizaciones de software dejarán de estar
disponibles. Deberá renovar su licencia para continuar teniendo acceso a las
actualizaciones de software e interactuar con el grupo de soporte técnico.

• Si vence una licencia de capacidad de VM temporal, no podrá obtener software o
actualizaciones de contenido para el cortafuegos hasta que renueve la licencia. Aunque
puede que tenga una suscripción válida (prevención de amenazas o WildFire, por
ejemplo) y una licencia de asistencia, debe tener una licencia de capacidad válida para
obtener el software y las actualizaciones de contenido más recientes.

Definición de orígenes de información de VM
Dispositivo > Orígenes de información de VM
Utilice esta pestaña para registrar cambios activamente en las máquinas virtuales (VM)
implementadas en cualquier de estos orígenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orígenes de información de VM.

• El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de
VMware y los entornos AWS-VPC, así como y recuperar cambios conforme realiza el
abastecimiento o modifica los invitados en estos orígenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orígenes.
Si sus cortafuegos están configurados con alta disponibilidad:
– En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes
de la información de la máquina virtual.
– En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orígenes de la máquina virtual.
Para obtener información sobre cómo funcionan de forma sincronizada los orígenes de
información de la VM y los grupos de direcciones dinámicas, y poder supervisar los
cambios en el entorno virtual, consulte la Guía de implementación de la serie VM.

• Para la dirección IP de la identificación de usuario, puede configurar los orígenes de la
información de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 57

Definición de orígenes de información de VM

realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orígenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.

Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos:

Atributos supervisados en un
origen de VMware

Atributos supervisados
en el AWS-VPC

• UUID

• Arquitectura

• Nombre

• Sistema operativo invitado

• Sistema operativo invitado

• ID de imagen

• Estado de máquina virtual: el estado de

• ID de instancia

alimentación es apagado, encendido,
en espera y desconocido.

• Estado de instancia

• Anotación

• Tipo de instancia

• Versión

• Nombre de clave

• Red: nombre del conmutador virtual,

• Colocación: arrendamiento, nombre de grupo,

nombre del grupo de puerto e ID de
VLAN

• Nombre del contenedor: nombre de
vCenter, nombre del objeto del centro
de datos, nombre del grupo de
recursos, nombre del clúster, host,
dirección IP del host.

zona de disponibilidad

• Nombre de DNS privado
• Nombre de DNS público
• ID de subred
• Etiqueta (clave, valor) (se admiten hasta
5 etiquetas por instancia)

• ID de VPC
Añadir: para añadir un nuevo origen para la supervisión de VM, haga clic en Añadir y,
a continuación, complete los detalles basados en el origen que se está supervisando:

• Para el servidor ESXi de VMware o vCenter, consulte “Activación de los orígenes de
información de la VM para los servidores ESXi de VMware o vCenter”.

• Para AWS-VPC, consulte “Activación de los orígenes de información de la VM para
AWS VPC”.
Actualizar conectados: Haga clic para actualizar el estado de la conexión; se actualiza la
visualización en pantalla. Este botón no actualiza la conexión entre el cortafuegos y los
orígenes supervisados.
Eliminar: Seleccione un origen de información de máquina virtual configurado y haga clic
para eliminar el origen configurado.

58 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

espacios. Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. Tipo Seleccione si el host/origen que se está supervisando es un servidor ESXi o vCenter. Origen Introduzca el FQDN o la dirección IP del host/origen que se está supervisando. versión 7. el rango es de 5-600 segundos) Tabla 21. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen.Definición de orígenes de información de VM Tabla 20. Contraseña Introduzca la contraseña y confirme la entrada. Puerto Especifique el puerto en el que está escuchando el host/origen. Nombre de usuario Especifique el nombre de usuario necesario para autenticar para el origen. si el host no responde. Activación de los orígenes de información de la VM para los servidores ESXi de VMware o vCenter Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). Utilice únicamente letras. números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tipo Seleccione VPC de AWS. 5 segundos. Utilice únicamente letras.0 • 59 . El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado y especifique el valor. Cuando se alcanza el límite especificado o si no se puede acceder al host o este no responde. Tiempo de espera Introduzca el intervalo en horas después del cual se cierra la conexión al origen supervisado. (puerto predeterminado 443). guiones y guiones bajos. rango de 2-10 horas) (Optativo) Para cambiar el valor predeterminado. Palo Alto Networks Guía de referencia de interfaz web . la comunicación entre el cortafuegos y el origen configurado está activada. el estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. (de forma predeterminada. (de forma predeterminada: 2 horas. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. Habilitado De forma predeterminada. guiones y guiones bajos. el cortafuegos cerrará la conexión al origen. espacios. Activación de los orígenes de información de la VM para AWS VPC Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). números.

Origen Añada la URI en la que reside la Virtual Private Cloud. 60 segundos. el ID del VPC predeterminado aparecerá en los atributos de cuenta de AWS.amazonaws. Activación de los orígenes de información de la VM para AWS VPC (Continuación) Campo Descripción Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. (de forma predeterminada. Cuando se alcanza el límite especificado o si no se puede acceder al origen o este no responde.com ID de clave de acceso Introduzca la cadena de texto alfanumérico que identifica de forma exclusiva al usuario propietario o con autorización de acceso a la cuenta de AWS. Solo se supervisan las instancias de EC2 implementadas en este VPC. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. El estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado.0 Palo Alto Networks . Clave de acceso secreto Introduzca la contraseña y confirme la entrada. Si su cuenta se configura para usar un VPC predeterminado. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente. la comunicación entre el cortafuegos y el origen configurado está activada. 60 • Guía de referencia de interfaz web . ec2. El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de acceso secreto) para firmar digitalmente las llamadas de API realizadas a los servicios de AWS. el cortafuegos cerrará la conexión al origen.<su_región_AWS>. Por ejemplo. versión 7. Habilitado De forma predeterminada. La sintaxis es: ec2. Esta información es una parte de las credenciales de seguridad de AWS.us-west-1. si el host no responde. ID de VPC Introduzca el ID del AWS-VPC para supervisar. (valor predeterminado 2 horas) (Optativo) Seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado.com. vpc-1a2b3c4d. por ejemplo. el rango es de 60-1200 segundos) Tiempo de espera Intervalo en horas después del cual se cierra la conexión al origen supervisado.Definición de orígenes de información de VM Tabla 21.amazonaws.

descargar o actualizar una versión. • Los ajustes de fecha y hora del cortafuegos deben estar actualizados. (Haga clic en la pestaña Dispositivo > Configuración > Operaciones y seleccione Exportar instantánea de configuración con nombre. debe descargar (sin instalar) PAN-OS 6. • Realice una copia de seguridad de su configuración actual.0 • 61 .0 a 6. Palo Alto Networks Guía de referencia de interfaz web . ya que una versión con características puede migrar determinadas configuraciones para admitir nuevas características. puede que el dispositivo crea equivocadamente que la firma del software es futura. error al cargar en el gestor de software PAN.0 a 6.0.0 en el cortafuegos antes de descargar e instalar PAN-OS 6.0. con código 171072. versión 7.Instalación de software Instalación de software Dispositivo > Software Use esta página para ver las versiones de software disponibles. instalar una versión (se requiere una licencia de asistencia). para actualizar un cortafuegos de PAN-OS 5. las muestra al principio de la lista. por lo que mostrará el mensaje Error de descifrado: la edición de GnuPG no es cero. p.) • Cuando realice una desactualización. Si el ajuste de fecha del dispositivo no está actualizado. Tabla 22. eliminar una imagen de software del dispositivo o ver las notas de la versión.3. ej. de 5.xml y.3. haga clic en ACEPTAR para guardar el archivo de configuración en su ordenador.0. Si hay actualizaciones disponibles. El software PAN-OS está firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva versión. Tamaño Indica el tamaño de la imagen de software.0. seleccione running-config. En la siguiente tabla se proporciona ayuda para utilizar la página de Software. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones. Siga estas recomendaciones antes de actualizar o desactualizar la versión de software: • Lea las notas de la versión para ver una descripción de los cambios de una versión y la ruta de migración para instalar el software. debe cargar (sin instalar) la versión base en el cortafuegos antes de cargar e instalar la versión de mantenimiento. a continuación. o de 6. las sesiones no se sincronizarán si un dispositivo del clúster ejecuta una versión con características de PAN-OS diferente. Si está habilitada la sincronización de sesiones. haga clic en Comprobar ahora. • Al actualizar un par de alta disponibilidad (HA) a una nueva versión con características (en la que cambie el primero o el segundo dígito de la versión de PAN-OS. se recomienda que lo haga a una configuración que coincida con la versión del software. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. • Si necesita actualizar el cortafuegos a una versión de mantenimiento de PAN-OS para la cual la versión base es superior al software instalado actualmente.. puede que se migre la configuración para admitir nuevas características.1). Por ejemplo.0.12 a PAN-OS 6. Opciones de software Campo Descripción Versión Muestra las versiones de software que están disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks.

visite el sitio de actualizaciones de software desde un ordenador con conexión a Internet. Por ejemplo. Botón Comprobar ahora Comprueba si hay nuevas actualizaciones de software en Palo Alto Networks. si ejecuta 7. puede seleccionar la casilla de verificación Sincronizar en el peer para enviar la imagen de software importada al peer HA. Para volver a instalar la misma versión. Se suele utilizar esta opción si el cortafuegos no tiene acceso a Internet. Para realizar una carga. En una configuración de alta disponibilidad (HA). que es necesario al descargar actualizaciones desde el servidor de actualizaciones de Palo Alto Networks. Botón Cargar Importa una imagen de actualización de software desde un ordenador al que tiene acceso el cortafuegos. la página de software muestra la misma información (p. • Instalar: Se ha descargado o cargado la versión de software correspondiente en el cortafuegos. Haga clic en el enlace para instalar el software. puede eliminar la imagen base de 6. Opciones de software (Continuación) Campo Descripción Fecha de versión Indica la fecha y hora en la que Palo Alto Networks publicó la versión. Instalado actualmente Indica si la versión correspondiente de la imagen de software está activada y si se ejecuta actualmente en el cortafuegos. Los enlaces de Notas de versión no están disponibles para el software cargado. • Reinstalar: Se ha instalado la versión de software correspondiente. descargue la actualización en ese ordenador y en la página Dispositivo > Software del cortafuegos haga clic en Cargar para importar la imagen de software. Disponible Indica la versión correspondiente de la imagen de software cargada o descargada en el cortafuegos. versión y tamaño) y los enlaces Instalar/Reinstalar para software cargado y descargado. Este enlace solo está disponible para actualizaciones que descargue del servidor de actualizaciones de Palo Alto Networks: no está disponible para actualizaciones cargadas. Una vez cargada. ej. Únicamente puede eliminar la imagen base en el caso de versiones anteriores que no necesiten actualizarse..1 a menos que crea que pueda necesitar una versión anterior en algún momento. Haga clic en el enlace para iniciar la descarga. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Notas de versión Proporciona un enlace a las notas de la versión de la actualización de software correspondiente. versión 7.Actualización de definiciones de aplicaciones y amenazas Tabla 22. protección frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones dinámicas para las siguientes funciones: 62 • Guía de referencia de interfaz web .0 Palo Alto Networks .0. Elimina la imagen de software cargada o descargada anteriormente del cortafuegos. Actualización de definiciones de aplicaciones y amenazas Dispositivo > Actualizaciones dinámicas Panorama > Actualizaciones dinámicas Palo Alto Networks publica regularmente actualizaciones para la detección de aplicaciones. Se necesita reiniciar para completar el proceso de actualización. haga clic en el enlace.

Esta actualización está disponible si cuenta con una suscripción de prevención de amenazas (y en este caso obtiene esta actualización en lugar de la actualización de aplicaciones). Esta opción le permite disfrutar de nuevas firmas de amenazas al instante. Si tiene una licencia de PAN-DB. a continuación. Debe tener una suscripción a una puerta de enlace de GlobalProtect para recibir estas actualizaciones. • WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por un dispositivo de WildFire (WF-500). seleccionar la actualización que desee descargar e instalar. versión 7. Sin la suscripción. Todas las semanas se publican nuevas aplicaciones y amenazas.1 o superior y el cortafuegos debe estar configurado para el uso del dispositivo de WildFire para el análisis de enlaces de correo electrónico/archivos. • Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas.0 • 63 . el cortafuegos y el dispositivo se deben ejecutar en PAN-OS 6. leer las notas de versión de cada actualización y. las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automática. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones. pero sí un contrato de asistencia/mantenimiento en vigor. Palo Alto Networks Guía de referencia de interfaz web . posteriormente puede revisar el impacto de la política en las nuevas firmas de aplicaciones y realizar cualquier actualización de políticas antes de habilitarlas. Si está administrando sus cortafuegos con Panorama y desea programar actualizaciones dinámicas para uno o varios cortafuegos. También puede elegir instalar solamente las nuevas firmas de amenazas en una versión de publicación de contenido. • Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. incluidas las firmas descubiertas por WildFire. Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. Todas las semanas se publican nuevas actualizaciones de aplicaciones. debe crear una programación para estas actualizaciones antes de que GlobalProtect funcione.Actualización de definiciones de aplicaciones y amenazas • Antivirus: Incluye firmas de antivirus nuevas y actualizadas. También puede revertir a una versión de una actualización instalada anteriormente. consulte “Programación de actualizaciones dinámicas”. Esta actualización no requiere suscripciones adicionales. Para recibir actualizaciones de contenido procedentes de un WF-500. • Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de URL de BrightCloud. • WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por el servicio de la nube de WildFire. Puede ver las actualizaciones más recientes. • Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect. Además. Se le muestra esta opción tanto al instalar una versión de contenido como al establecer la programación para instalar automáticamente versiones de publicación de contenido. Debe contar con una suscripción a prevención de amenazas para obtener estas actualizaciones. debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas. Se publican nuevas firmas de antivirus todos los días.

introduzca el número de horas que debe esperarse en el campo Umbral (Horas). Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. También puede usar el cuadro de diálogo Nuevas aplicaciones para Habilitar/ Deshabilitar nuevas aplicaciones. Amenazas. seleccione el enlace Aplicaciones. Última comprobación Muestra la fecha y hora en la que el cortafuegos se conectó por última vez al servidor de actualizaciones y comprobó si había alguna actualización disponible. Programación Le permite programar la frecuencia de recuperación de actualizaciones. este campo podría mostrar un enlace para revisar Aplicaciones. Al programar descargas e instalaciones periódicas de actualizaciones de contenido. Opciones de las actualizaciones dinámicas Campo Descripción Versión Muestra las versiones disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. versión 7. Características Enumera el tipo de firmas que puede incluir la versión de contenido. si desea retrasar la instalación de nuevas actualizaciones hasta que haya transcurrido un determinado número de horas desde su publicación. (Para habilitar posteriormente aplicaciones que tienen deshabilitadas de manera automáticamente las actualizaciones de contenido. Amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido en el cortafuegos. Cuando programa una actualización. Para ello. ya sea solo para la descarga de las actualizaciones o para la descarga e instalación de estas en el cortafuegos. puede elegir Deshabilitar nuevas aplicaciones en actualización de contenido. Puede elegir deshabilitar una nueva aplicación incluida en una publicación de contenido si quiere evitar cualquier impacto en la política desde aplicación que se identifique exclusivamente (una aplicación se puede tratar de manera diferente antes y después de una instalación de contenido si una aplicación desconocida anteriormente se identifica y categoriza de manera de diferente). El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones de publicación de contenido. puede especificar el tiempo de espera antes de la actualización de contenidos.0 Palo Alto Networks .Actualización de definiciones de aplicaciones y amenazas En la siguiente tabla se proporciona ayuda para utilizar esta página. Tamaño Muestra el paquete de actualización de contenido. así como la flexibilidad para habilitar aplicaciones tras preparar actualizaciones de políticas que podrían ser necesarias para aplicaciones recién identificadas y que pueden tratarse de manera diferente tras la actualización. En las versiones de publicaciones de contenido de Aplicaciones y amenazas. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. Haga clic en esta opción para ver nuevas firmas de aplicaciones disponibles por primera vez desde la última versión de publicación de contenido instalada en el cortafuegos. Nombre de archivo Muestra el nombre de archivo. incluye información de la versión de contenido. Tabla 23. Tipo Indica si la descarga incluye una actualización completa o una actualización incremental. Esta opción ofrece protección contra las amenazas más recientes. 64 • Guía de referencia de interfaz web . haga clic en Comprobar ahora. Puede definir la frecuencia y el momento de la descarga de actualizaciones de contenido dinámico (día o fecha y hora). Si hay actualizaciones disponibles. las muestra al principio de la lista.

Asimismo. Si el cortafuegos no tiene acceso a Internet. A continuación. y al mismo tiempo le concede la flexibilidad de habilitar aplicaciones tras preparar cualquier actualizaciones de políticas. Palo Alto Networks Guía de referencia de interfaz web . • Revertir: Anteriormente se ha descargado la versión de publicación de contenido correspondiente. Haga clic en el enlace para instalar la actualización. Documentación Proporciona un enlace a las notas de la versión de la versión correspondiente. haga clic en el botón Cargar para cargar manualmente la imagen de software en el cortafuegos. utilice un ordenador conectado a Internet para ir al sitio Actualizaciones dinámicas para buscar y descargar la versión de publicación de contenido en su ordenador local.Actualización de definiciones de aplicaciones y amenazas Tabla 23. • Revisión de políticas (solamente contenido de aplicaciones y amenazas): Revisa cualquier impacto en políticas de nuevas aplicaciones incluidas en una versión de publicación de contenido. Al instalar una nueva versión de publicación de contenido en Aplicaciones y amenazas. al descargar una versión de publicación de contenido de Aplicaciones y amenazas se habilita la opción de Revisión de políticas afectadas por las nuevas firmas de aplicaciones incluidas en la publicación.0 • 65 . Use esta opción para evaluar el tratamiento que recibe una aplicación antes y después de instalar una actualización de contenido. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de publicación de contenido correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. versión 7. verá la opción de Deshabilitar nuevas aplicaciones en actualización de contenido. debido al impacto de nuevas firmas de aplicaciones (para habilitar aplicaciones que ha deshabilitado anteriormente. Elimine la versión de publicación de contenido descargada anteriormente del cortafuegos. Haga clic en el enlace para iniciar la descarga. Para volver a instalar la misma versión. seleccione el enlace Aplicaciones. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que se instala la versión de publicación de contenido correspondiente. haga clic en el enlace. Esta opción ofrece protección contra las amenazas más recientes. amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). Opciones de las actualizaciones dinámicas (Continuación) Campo Descripción Instalado actualmente Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido que se está ejecutando actualmente en el cortafuegos. • Instalar: La versión de publicación de contenido correspondiente se ha descargado en el cortafuegos. También puede usar el cuadro de diálogo Revisión de políticas para añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) de una política de seguridad existente.

Para obtener instrucciones sobre cómo añadir cuentas de administrador. especifique una de las siguientes opciones para determinar el modo en que el cortafuegos autentica a los usuarios administradores que inician sesión: • Base de datos local: La información de inicio de sesión y contraseña de usuario se introduce directamente en la base de datos del cortafuegos. podrá iniciar sesión utilizando esas cuentas. • Perfil de autenticación: Seleccione un servidor externo existente de uno de los siguientes tipos para autenticar a usuarios: – RADIUS (Servidor de servicio de autenticación remota telefónica de usuario) – TACACS+ (Servidor de sistema de control de acceso del controlador de acceso a terminales) – LDAP (Protocolo ligero de acceso a directorios) – Kerberos Las funciones que asigne a las cuentas de administrador determinan las funciones que el cortafuegos permite a los administradores después de que inicien sesión. perfiles y cuentas de administrador Al crear una cuenta de administrador. que especifican privilegios detallados. el administrador de auditoría y el administrador criptográfico. consulte “Creación de cuentas administrativas”.Funciones. Una vez se hayan creado las cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas. Para obtener más información. Primero utiliza la función Superusuario para la configuración inicial del dispositivo y para crear las cuentas de administrador para el administrador de seguridad. También hay tres funciones de administrador predefinidas que se pueden utilizar con fines de criterios comunes. consulte: • “Configuración de perfiles de autenticación” • “Definición de funciones de administrador” • “Creación de cuentas administrativas” • “Configuración de GlobalProtect”: Para obtener información sobre autenticación en redes privadas virtuales SSL (VPN) • “Especificación de dominios de acceso para administradores”: Para obtener instrucciones sobre cómo definir dominios de sistemas virtuales para administradores • “Creación de un perfil del certificado”: Para obtener instrucciones sobre la definición de perfiles de certificados para administradores Definición de funciones de administrador Dispositivo > Funciones de administrador Utilice la página Funciones de administrador para definir perfiles de funciones que determinen el acceso y las responsabilidades disponibles para los usuarios administrativos. perfiles y cuentas de administrador Funciones. • Certificado de cliente: Se autentica a los usuarios mediante certificados de cliente existentes. Puede asignar perfiles de funciones predefinidas o personalizadas.0 Palo Alto Networks . La cuenta Superusuario predeterminada en el 66 • Guía de referencia de interfaz web . versión 7.

ej. perfiles y cuentas de administrador modo CC (Criterios comunes) o FIPS (Estándar federal de procesamiento de información) es admin y la contraseña predeterminada es paloalto.Funciones. la contraseña predeterminada de admin es admin. la creación de la política de seguridad del cortafuegos) no asumidas por las otras dos funciones administrativas. Las funciones de administrador predefinidas se han creado donde las capacidades no se solapan. excepto en que todas tienen un acceso de solo lectura a la traza de auditoría (excepto el administrador de auditoría con acceso de lectura/eliminación completo). • Administrador criptográfico: El administrador criptográfico es responsable de la configuración y el mantenimiento de los elementos criptográficos relacionados con el establecimiento de conexiones seguras con el cortafuegos. versión 7. En el modo de funcionamiento estándar. Para añadir una función de administrador. Estas funciones de administrador no se pueden modificar y se definen de la manera siguiente: • Administrador de auditoría: El administrador de auditoría es responsable de la revisión regular de los datos de auditoría del cortafuegos. haga clic en Añadir y especifique la siguiente información: Palo Alto Networks Guía de referencia de interfaz web . • Administrador de seguridad: El administrador de seguridad es responsable del resto de tareas administrativas (p..0 • 67 .

de 0 a 365 días. haga clic en Añadir y especifique la siguiente información. Descripción Introduzca una descripción opcional de la función (de hasta 255 caracteres). Tabla 25. espacios. guiones y guiones bajos. excepto al definir nuevas cuentas o sistemas virtuales. Utilice únicamente letras. Para crear un perfil de contraseña. Función Seleccione el ámbito de responsabilidad administrativa: dispositivo o sistema virtual (para dispositivos habilitados para sistemas virtuales múltiples). este perfil de contraseña cancelará esos ajustes. Interfaz de usuario web Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la interfaz web: • Habilitar: acceso de lectura/escritura a la pestaña seleccionada. si el valor se establece como 90. Definición de perfiles de contraseña Dispositivo > Perfiles de contraseña y Panorama > Perfiles de contraseña Los perfiles de contraseña le permiten establecer requisitos de contraseña básicos para una cuenta local individual.Definición de perfiles de contraseña Tabla 24. versión 7. guiones y guiones bajos. • deviceadmin: El acceso a un dispositivo seleccionado es completo. También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. se pedirá a los administradores que cambien su contraseña cada 90 días. Configuración de funciones de administrador Campo Descripción Nombre Introduzca un nombre para identificar esta función de administrador (de hasta 31 caracteres). Configuración de perfil de contraseña Campo Descripción Nombre Introduzca un nombre para identificar el perfil de contraseña (de hasta 31 caracteres).0 Palo Alto Networks . • devicereader: El acceso a un dispositivo seleccionado es de solo lectura. Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • Solo lectura: acceso de solo lectura a la pestaña seleccionada. • superusuario: El acceso al dispositivo actual es completo. espacios. Si habilita Complejidad de contraseña mínima (consulte “Complejidad de contraseña mínima”). que proporciona requisitos de contraseña para todas las cuentas locales. 68 • Guía de referencia de interfaz web . API XML Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la API XML. • superlector: El acceso al dispositivo actual es de solo lectura. números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Línea de comandos Seleccione el tipo de función para el acceso a la CLI: • Ninguno: El acceso a la CLI del dispositivo no está permitido. números. Por ejemplo. Utilice únicamente letras. • Deshabilitar: sin acceso a la pestaña seleccionada.

VPN SSL o portal cautivo Los siguientes caracteres no están permitidos para el nombre de usuario: • Acento grave (`) • Corchetes angulares (< y >) • Y comercial (&) • Asterisco (*) • Arroba (@) • Signos de interrogación (¿ y ?) • Barra vertical (|) • Comilla simple (‘) • Punto y coma (. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que su cuenta haya vencido (rango: 0-30 días). Palo Alto Networks Guía de referencia de interfaz web . Configuración de perfil de contraseña Campo Descripción Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días).) • Guión (-) Nota: Los nombres de inicio de sesión no pueden empezar por guión (-). Administrador remoto.) • Comillas (“ y ”) • Signo del dólar ($) • Paréntesis (“(” y “)”) • Dos puntos (:) Cuentas de administrador locales Los siguientes son los caracteres permitidos para los nombres de usuario locales: • Minúsculas (a-z) • Mayúsculas (A-Z) • Números (0-9) • Guión bajo (_) • Punto (. Por ejemplo.0 • 69 . seleccione una cuenta y. Recuento de inicio de sesión de administrador posterior al vencimiento Permita que el administrador inicie sesión el número de veces especificado después de que su cuenta haya vencido. Para aplicar un perfil de contraseña a una cuenta. a continuación. Tabla 26. Requisitos de nombre de usuario y contraseña La tabla siguiente enumera los caracteres válidos que se pueden utilizar en nombres de usuario y contraseñas para cuentas de PAN-OS y Panorama. seleccione Dispositivo > Administradores (para cortafuegos) o Panorama > Administradores. seleccione el perfil en la lista desplegable Perfil de la contraseña. versión 7.Definición de perfiles de contraseña Tabla 25. si el valor se ha establecido como 3 y su cuenta ha vencido. Caracteres válidos para nombres de usuario y contraseñas Tipo de cuenta Restricciones Conjunto de caracteres de contraseña No hay ninguna restricción en los conjuntos de caracteres de los campos de contraseña.

70 • Guía de referencia de interfaz web . • Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de usuario o contraseña. Los nombres de inicio de sesión no pueden empezar por guión (-). Un administrador de cortafuegos puede tener acceso completo o de solo lectura a un único cortafuegos o a un sistema virtual en un único cortafuegos. Para garantizar la seguridad de la interfaz de gestión del dispositivo. Para obtener más información. consulte “Creación de cuentas administrativas de Panorama”. puntos y guiones bajos. consulte “Configuración de perfiles de autenticación”. no es necesario ni el nombre de usuario ni la contraseña. números. Este ajuste se puede utilizar para RADIUS.) Se admiten las siguientes opciones de autenticación: • Autenticación con contraseña: El administrador introduce un nombre de usuario y una contraseña para iniciar sesión. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. se recomienda cambiar periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas. el certificado será suficiente para autenticar el acceso al dispositivo. Puede utilizar este método junto con los perfiles de autenticación o para la autenticación de base de datos local. TACACS+.Creación de cuentas administrativas Creación de cuentas administrativas Dispositivo > Administradores Las cuentas de administrador controlan el acceso a los dispositivos. Tabla 27. Configuración de cuentas de administrador Campo Descripción Nombre Introduzca un nombre de inicio de sesión para el administrador (de hasta 31 caracteres). Utilizar únicamente el certificado de autenticación de cliente (web) Seleccione la casilla de verificación para utilizar la autenticación con certificado de cliente para el acceso web. mayúsculas y números. Los cortafuegos tienen una cuenta de administrador predefinida con acceso completo. guiones. Perfil de autenticación Seleccione un perfil de autenticación para la autenticación del administrador.0 Palo Alto Networks . el certificado es suficiente para autenticar el acceso al dispositivo. Nueva contraseña Confirmar nueva contraseña Introduzca y confirme una contraseña que haga distinción entre mayúsculas y minúsculas para el administrador (de hasta 31 caracteres). Si selecciona esta casilla de verificación. No se necesitan certificados. haga clic en Añadir y especifique la siguiente información. (Para obtener más información sobre administradores de Panorama. versión 7. Para añadir un administrador. carga la clave pública en el dispositivo para permitir un acceso seguro sin exigir que el administrador introduzca un nombre de usuario y una contraseña. También puede aplicar “Contraseña mínima” desde Configuración > Gestión. LDAP. • Autenticación con clave pública (SSH): El administrador genera un par de claves pública y privada en la máquina que requiere acceso al dispositivo y. Utilice únicamente letras. Kerberos o la autenticación de base de datos local. a continuación. También puede aplicar “Complejidad de contraseña mínima” desde Configuración > Gestión.

puede seleccionar una de las siguientes funciones preconfiguradas: • Superusuario: El acceso al cortafuegos actual es completo. Nota: Si falla la autenticación con clave pública. Configuración de cuentas de administrador (Continuación) Campo Descripción Utilizar autenticación de clave pública (SSH) Seleccione la casilla de verificación para utilizar la autenticación con clave pública SSH. seleccione un perfil de función personalizado en la lista desplegable. • Administrador de dispositivo: El acceso a un cortafuegos seleccionado es completo. Perfil de la contraseña Seleccione el perfil de contraseña. • Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual.Especificación de dominios de acceso para administradores Tabla 27. Los algoritmos de clave admitidos son DSA (1. si es aplicable. • Administrador de dispositivo (solo lectura): El acceso a un cortafuegos seleccionado es de solo lectura. se mostrará un mensaje de nombre de usuario y contraseña para el administrador. Para crear un nuevo perfil de contraseña. Si elige Basado en función. Si selecciona Dinámico. Los formatos de archivo de clave admitidos son IETF SECSH y OpenSSH. puede gestionar dominios de acceso localmente o usando VSA RADIUS (consulte “Especificación de dominios de acceso de Panorama para administradores”). consulte “Definición de funciones de administrador”. Palo Alto Networks Guía de referencia de interfaz web .024 bits) y RSA (768-4096 bits). En el cortafuegos. En Panorama. Especificación de dominios de acceso para administradores Dispositivo > Dominio de acceso Panorama > Dominio de acceso Utilice la página Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. versión 7. Para obtener más información. excepto al definir nuevas cuentas o sistemas virtuales. La clave cargada se muestra en el área de texto de solo lectura. Haga clic en Importar clave y explore para seleccionar el archivo de clave pública. Sistema virtual (Solo para una función de administrador de sistema virtual del cortafuegos) Haga clic en Añadir para seleccionar los sistemas virtuales a los que puede acceder el administrador. Función Asigne una función a este administrador. La función determina lo que el administrador puede ver y modificar. consulte “Definición de perfiles de contraseña”. • Administrador de Vsys (solo lectura): El acceso a un sistema virtual seleccionado en un cortafuegos específico es de solo lectura. los dominios de acceso están vinculados a atributos específicos del proveedor (VSA) RADIUS y únicamente se admiten si se utiliza un servidor RADIUS para la autenticación del administrador (consulte “Configuración de ajustes de servidor RADIUS”). • Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos específico (si hay varios sistemas virtuales habilitados) es completo.0 • 71 .

guiones. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 Palo Alto Networks . Si no se utiliza RADIUS. Si hay un dominio asociado en el servidor RADIUS. use el comando CLI de autenticación para determinar si su cortafuegos o servidor de gestión Panorama puede comunicarse con el servicio de autenticación de back-end y si la solicitud de autenticación se realizó correctamente. Los dispositivos de Palo Alto Networks son compatibles con servicios de autenticación de bases de datos locales RADIUS. guiones bajos y puntos. números. TACACS+. se devuelve y el administrador se restringe a los sistemas virtuales definidos de dentro del dominio de acceso con nombre del dispositivo.0 o posterior. Consejo: Después de configurar un perfil de autenticación. Configuración de perfiles de autenticación Dispositivo > Perfil de autenticación Panorama > Perfil de autenticación Utilice la página Perfil de autenticación para configurar ajustes de autenticación que puede aplicar a cuentas de administradores. Puede realizar pruebas de autenticación con la configuración del candidato. Utilice únicamente letras. de modo que sepa cuál es la configuración correcta antes de compilarla. Configuración de dominio de acceso Campo Descripción Nombre Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres). LDAP y Kerberos. Sistemas virtuales Seleccione sistemas virtuales en la columna Disponibles y haga clic en Añadir para seleccionarlos. Tabla 28. este consulta al servidor RADIUS acerca del dominio de acceso del administrador. Los dominios de acceso únicamente son compatibles en dispositivos que admiten sistemas virtuales. Para obtener más información sobre este comando. los ajustes de dominio de acceso de esta página se ignorarán.Configuración de perfiles de autenticación Cuando un administrador intenta iniciar sesión en el cortafuegos. consulte la Guía del administrador de PAN-OS 7. acceso SSL-VPN y portal cautivo. versión 7. 72 • Guía de referencia de interfaz web .

Ubicación Seleccione el ámbito en el que está disponible el perfil. • RADIUS: Utilice un servidor RADIUS para la autenticación. Se pueden producir errores de referencia mientras compila un perfil de autenticación y una secuencia con los mismos nombres en estos casos. introduzca un atributo de directorio LDAP que identifique exclusivamente al usuario y que actúe como ID de inicio de sesión para ese usuario. Una vez guardado el perfil. • Base de datos local: Utilice la base de datos de autenticación del cortafuegos. LDAP. “Configuración de ajustes de servidor LDAP” y “Configuración de ajustes del servidor Kerberos”. espacios. En cualquier otro contexto. no puede cambiar su Ubicación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. versión 7. incluidas letras. Pestaña Autenticación Tipo Seleccione el tipo de autenticación: • Ninguna: No utilice ninguna autenticación del cortafuegos. Configuración de perfil de autenticación Campo Descripción Nombre Introduzca un nombre para identificar el perfil. Perfil de servidor Si el Tipo de autenticación es RADIUS. Consulte “Configuración de ajustes de servidor RADIUS”. guiones. no puede seleccionar la Ubicación. PRECAUCIÓN: En un cortafuegos en modo de sistemas virtuales múltiples. • Kerberos: Use Kerberos para autenticación. números. guiones bajos y puntos. o Kerberos. • LDAP: Use LDAP para autenticación. • TACACS+: Utilice un servidor RADIUS para la autenticación. seleccione la casilla de verificación para utilizar VSA RADIUS para definir el grupo que tiene acceso al cortafuegos.0 • 73 . no introduzca el mismo nombre como una secuencia en un vsys. El nombre distingue entre mayúsculas y minúsculas. puede tener hasta 31 caracteres. En el contexto de un cortafuegos con más de un sistema virtual (vsys). El nombre debe ser exclusivo en la ubicación actual (cortafuegos o sistema virtual) en relación con otros perfiles de autenticación y secuencias de autenticación.Configuración de perfiles de autenticación Tabla 29. seleccione el perfil de autenticación del menú desplegable. Del mismo modo. no introduzca el mismo nombre como una secuencia de autenticación en la ubicación Compartido. “Configuración de ajustes del servidor TACACS+”. TACACS+. Obtener grupo de usuarios Si el tipo de autenticación es RADIUS. Palo Alto Networks Guía de referencia de interfaz web . si la ubicación del perfil de autenticación es un vsys. Atributo de inicio de sesión Si el tipo de autenticación es LDAP. si el perfil Ubicación está compartido. seleccione un vsys o Compartido (todos los sistemas virtuales).

Configuración de perfiles de autenticación Tabla 29. introduzca el Dominio de Kerberos (hasta 127 caracteres). el valor Dominio de usuario sustituye a cualquier cadena de dominio que introduzcan los usuarios. Esto se aplica tanto para dominios principales como secundarios. Por ejemplo. Los modificadores Dominio de usuario tiene prioridad con respecto a nombres NetBIOS derivados automáticamente. Los usuarios no podrán acceder a la VPN si las contraseñas caducan. se recomienda establecer el modificador de autenticación en la configuración del portal para la autenticación de cookies para la actualización de configuración (de lo contrario. la contraseña temporal se utilizará para autenticarse en el portal. versión 7. pero el inicio de sesión de la puerta de enlace fallará. Dominio de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos.LOCAL. Corresponde al nombre de host del nombre de inicio de sesión del usuario. El dispositivo usa la cadena modificada para la autenticación y usa el valor Dominio de usuario para asignación de grupos de User-ID. El dispositivo resuelve nombres de dominio con el nombre NetBIOS adecuado para la asignación de grupos de User-ID. Configuración de perfil de autenticación (Continuación) Campo Descripción Aviso de caducidad de contraseña Si el tipo de autenticación es LDAP y el perfil de autenticación es para usuarios de GlobalProtect. Si especifica la variable %USERDOMAIN% y deja en blanco Dominio de usuario. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USE-RINPUT%@%USERDO-MAIN%. lo que evitará el acceso a la VPN). Dominio de usuario y Modificador de nombre de usuario El dispositivo combina los valores de Dominio de usuario y Modificador de nombre de usuario para modificar la cadena de dominio/nombre de usuario que introduce un usuario durante el inicio de sesión. 74 • Guía de referencia de interfaz web . Esto permitirá a los usuarios conectarse al dominio para cambiar sus contraseñas incluso aunque la contraseña haya caducado. dejar en blanco el Dominio de usuario (predeterminado) y definir el Modificador de nombre de usuario con la variable %USERINPUT% (predeterminado). Consejo: Si los usuarios dejan caducar sus contraseñas. en el nombre de cuenta de usuario usuario@EJEMPLO.0 Palo Alto Networks . En este flujo de trabajo. los mensajes de notificación se mostrarán 7 días antes de la caducidad de la contraseña (de 1-255 días). • Para anexar un dominio a la entrada del usuario. Consejo: Se recomienda configurar los agentes para que utilicen el método de conexión anterior al inicio de sesión. Seleccione de entre las siguientes opciones: • Enviar solamente la información de usuario sin modificar. defina con cuántos días de antelación empezarán a mostrarse mensajes de notificación a los usuarios para alertarles de que sus contraseñas vencen en x número de días. De forma predeterminada.LOCAL. • Para que un dominio preceda a la entrada del usuario. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USERDOMAIN%\%USE-RINPUT%. el dominio es EJEMPLO. el administrador puede asignar una contraseña de LDAP temporal que permita a los usuarios iniciar sesión en la VPN. Consulte “Configuración de GlobalProtect”para obtener más información sobre la autenticación de cookies y la conexión anterior al inicio de sesión. el dispositivo elimina todas las cadenas de dominio introducidas por usuarios. Nota: Si el Modificador de nombre de usuario incluye la variable %USERDOMAIN%.

0 • 75 . a continuación. el proceso de SSO fallará. Su administrador de Kerberos determina qué algoritmos usan los vales de servicio. PRECAUCIÓN: Si define Intentos fallidos con un valor diferente de 0 pero deja Tiempo de bloqueo en 0. Configuración de perfil de autenticación (Continuación) Campo Descripción Keytab de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. puede usar también des3-cbc-sha1 o arcfour-hmac. Un valor de 0 (predeterminado) significa que no hay límite. seleccione las casillas de verificación correspondientes y haga clic en Eliminar. consulte la Guía del administrador de PAN-OS. De lo contrario. De lo contrario. el proceso de autenticación se revierte a autenticación manual (nombre de usuario/contraseña) del tipo especificado. se ignora Intentos fallidos y nunca se bloquea al usuario. Durante la autenticación. haga clic en el enlace Importar y luego en Examinar para buscar el archivo keytab. el algoritmo tiene que ser aes128-cts-hmac-sha1-96 o aes256-cts-hmac-sha1-96. si el Dominio de usuario es businessinc y quiere añadir al usuario admin1 a la Lista de permitidas. se ignora el Tiempo de bloqueo y nunca se bloquea al usuario.Configuración de perfiles de autenticación Tabla 29. Pestaña Avanzada Lista de permitidas Haga clic en Añadir y seleccione todos o seleccione los usuarios y grupos específicos que tienen permiso para autenticarse con este perfil. no necesita especificar dominios en la Lista de permitidas. la autenticación es inmediata. Puede especificar grupos que ya existen en su servicio de directorios o especificar grupos personalizados basados en filtros LDAP (consulte “Pestaña secundaria Grupo personalizado”). Nota: Si el dispositivo está en modo FIPS (Estándar federal de procesamiento de información) o CC (Criterios comunes). necesaria para la autenticación SSO. Para obtener más información sobre cómo crear keytabs válidos para dispositivos Palo Alto Networks. Tiempo de bloqueo Introduzca el número de minutos (0-60) que el dispositivo bloqueará una cuenta de usuario desde que el usuario alcanza el número de intentos fallidos. Por ejemplo. Si lo logra y el usuario que intenta acceder está en la “Lista de permitidas”. Para eliminar usuarios o grupos. Un valor de 0 (predeterminado) significa que el bloqueo se aplica hasta que el administrador desbloquee manualmente la cuenta de usuario. el dispositivo intenta primero usar el keytab para establecer SSO. El algoritmo en el keytab tiene que coincidir con el algoritmo del vale de servicio que el servicio de concesión de vales emite para habilitar a los clientes para SSO. que no tiene por qué ser Kerberos. Nota: Si ha introducido un valor de Dominio de usuario. introducir admin1 tiene el mismo efecto que introducir businessinc\admin1. Intentos fallidos Introduzca el número de intentos de inicio de sesión erróneos (1-10) que permite el dispositivo antes de bloquear la cuenta de usuario. ningún usuario se puede autenticar. PRECAUCIÓN: Si define Tiempo de bloqueo con un valor diferente de 0 pero deja Intentos fallidos en 0. De lo contrario. Cada perfil de autenticación puede tener un keytab. Palo Alto Networks Guía de referencia de interfaz web . haga clic en ACEPTAR. Un keytab contiene la información de cuenta de Kerberos (nombre principal y contraseña con hash) para el dispositivo. versión 7. Si no añade entradas.

No se requiere ningún servidor de autenticación externo con esta configuración. añadirla a un grupo de usuarios y crear un perfil de autenticación utilizando el nuevo grupo. Utilice la página Usuarios locales para añadir información de usuario a la base de datos local. espacios. administradores de dispositivos y usuarios de portal cautivo. números. A continuación. de modo que toda la gestión de cuentas se realiza en el cortafuegos o desde Panorama. Al configurar el portal cautivo. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Consulte “Configuración del cortafuegos para la identificación de usuarios” para obtener más información. En cualquier otro contexto. guiones y guiones bajos. no puede cambiar su Ubicación. Configuración de usuario local Campo Descripción Nombre Introduzca un nombre para identificar al usuario (de hasta 31 caracteres). podrá crear una política desde Políticas > Portal cautivo. no puede seleccionar la Ubicación. 76 • Guía de referencia de interfaz web . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Ubicación Seleccione el ámbito en el que está disponible la cuenta de usuario. • Hash de la contraseña: Introduzca una cadena de contraseña con hash. Tabla 30. versión 7. debe habilitar el portal cautivo desde Dispositivo > Autenticación de usuario > Portal cautivo y seleccionar el perfil de autenticación. seleccione un vsys o Compartido (todos los sistemas virtuales). Modo Utilice este campo para especificar la opción de autenticación: • Contraseña: Introduzca y confirme una contraseña para el usuario. Una vez haya configurado esto. Habilitar Seleccione la casilla de verificación para activar la cuenta de usuario. Una vez guardada la cuenta de usuario. Utilice únicamente letras.0 Palo Alto Networks . En el contexto de un cortafuegos con más de un sistema virtual (vsys).Creación de una base de datos de usuario local Creación de una base de datos de usuario local Dispositivo > Base de datos de usuario local > Usuarios Puede establecer una base de datos local en el cortafuegos para almacenar información de autenticación para usuarios con acceso remoto. primero debe crear la cuenta local.

la casilla de verificación aparece solo si la Ubicación es Compartida. seleccione un vsys o Compartido (todos los sistemas virtuales). Utilice únicamente letras. Tabla 32. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 • 77 . Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (intervalo: 1-30. Una vez guardado el perfil. Reintentos Introduzca el número de reintentos automáticos tras un tiempo de espera antes de que falle la solicitud (intervalo: 1-5. En cualquier otro contexto. seleccione un vsys o Compartido (todos los sistemas virtuales). predeterminado: 3). versión 7. Ubicación Seleccione el ámbito en el que está disponible el perfil. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Tabla 31. Configuración de grupo de usuarios local Campo Descripción Nombre Introduzca un nombre para identificar el grupo (de hasta 31 caracteres). En el contexto de un cortafuegos con más de un sistema virtual (vsys). el predeterminado es 3). no puede cambiar su Ubicación. Configuración de ajustes de servidor RADIUS Dispositivo > Perfiles de servidor > RADIUS Panorama > Perfiles de servidor > RADIUS Utilice la página RADIUS para configurar los ajustes de los servidores RADIUS con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). En cualquier otro contexto. Para cortafuegos que tienen varios sistemas virtuales. espacios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. no puede seleccionar la Ubicación. Ubicación Seleccione el ámbito en el que está disponible el grupo de usuarios. no puede cambiar su Ubicación. Una vez guardado el grupo de usuarios. espacios. números. Configuración de servidor RADIUS Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). En el contexto de un cortafuegos con más de un sistema virtual (vsys). no puede seleccionar la Ubicación. Palo Alto Networks Guía de referencia de interfaz web .Cómo añadir grupos de usuarios locales Cómo añadir grupos de usuarios locales Dispositivo > Base de datos de usuario local > Grupos de usuarios Utilice la página Grupos de usuarios para añadir información de grupo de usuarios a la base de datos local. Utilice únicamente letras. guiones y guiones bajos. números. guiones y guiones bajos. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Todos los usuarios locales Haga clic en Añadir para seleccionar a los usuarios que desee añadir al grupo. su valor se define previamente como Compartido (para cortafuegos) o como Panorama.

espacios. Tabla 33. Configuración de servidor RADIUS (Continuación) Campo Descripción Servidores Configure información para cada servidor en el orden preferido. la casilla de verificación aparece solo si la Ubicación es Compartida. seleccione un vsys o Compartido (todos los sistemas virtuales). • Puerto: Introduzca el puerto del servidor (predeterminado: 1812) para solicitudes de autenticación. no puede cambiar su Ubicación. Utilizar conexión única para toda la autenticación Seleccione la casilla de verificación para usar la misma sesión TCP para todas las autenticaciones. Para cortafuegos de vsys múltiples. el predeterminado es 3).Configuración de ajustes del servidor TACACS+ Tabla 32. números. • Nombre: Introduzca un nombre para identificar el servidor.0 Palo Alto Networks . • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor RADIUS. no puede seleccionar la Ubicación. Utilice únicamente letras. • Puerto: Introduzca el puerto del servidor (predeterminado: 49) para solicitudes de autenticación. Configuración de servidor de TACACS+ Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). En el contexto de un cortafuegos con más de un sistema virtual (vsys). Ubicación Seleccione el ámbito en el que está disponible el perfil. Servidores Haga clic en Añadir y especifique los siguientes parámetros para cada servidor TACACS+: • Nombre: Introduzca un nombre para identificar el servidor. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. guiones y guiones bajos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. En cualquier otro contexto. • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor TACACS+. versión 7. • Servidor RADIUS: Introduzca la dirección IP del servidor o FQDN. Una vez guardado el perfil. • Servidor TACACS+: Introduzca la dirección IP o FQDN del servidor TACACS+. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Configuración de ajustes del servidor TACACS+ Dispositivo > Perfiles de servidor > TACACS+ Panorama > Perfiles de servidor > TACACS+ Use la página TACACS+ para configurar ajustes para los servidores de sistema de control de acceso del controlador de acceso a terminales (TACACS+) con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (el intervalo es de 1-20. 78 • Guía de referencia de interfaz web . Esta opción mejora el rendimiento al evitar el procesamiento que requiere iniciar y eliminar una sesión TCP diferente para cada evento de autenticación.

Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. no puede seleccionar la Ubicación. Utilice únicamente letras. Tabla 34. Si el servidor de directorio no admite TLS. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el dispositivo regresa a SSL. no puede cambiar su Ubicación. Servidores Para cada servidor LDAP. Una vez guardado el perfil. DN base Especifique el contexto raíz del servidor de directorio para acotar la búsqueda de información de usuario o grupo. espacios. • 636: SSL • Cualquier otro puerto: El dispositivo intenta primer usar TLS. versión 7. Intervalo de reintento Especifique el intervalo en segundos tras el cual el sistema intentará conectarse al servidor LDAP después de un intento fallido anterior (intervalo: 1-3600.Configuración de ajustes de servidor LDAP Configuración de ajustes de servidor LDAP Dispositivo > Perfiles de servidor > LDAP Panorama > Perfiles de servidor > LDAP Utilice la página LDAP para configurar los ajustes de los servidores LDAP con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). Tipo Seleccione el tipo de servidor de la lista desplegable. haga clic en Añadir e introduzca el nombre de host. La casilla de verificación está seleccionada de manera predeterminada. Tiempo de espera de búsqueda Especifique el límite de tiempo impuesto al realizar búsquedas de directorio (1-30 segundos. predeterminado: 30 segundos). El agente guardará la contraseña cifrada en el archivo de configuración. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Configuración de servidor LDAP Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). dirección IP o FQDN (servidor LDAP) y puerto (predeterminado: 389). Palo Alto Networks Guía de referencia de interfaz web . su valor se define previamente como Compartido (para cortafuegos) o como Panorama. el dispositivo usa la operación StartTLS. la casilla de verificación aparece solo si la Ubicación es Compartida. Ubicación Seleccione el ámbito en el que está disponible el perfil. En cualquier otro contexto. predeterminado: 30 segundos). Para cortafuegos que tienen varios sistemas virtuales. Enlazar DN Especifique el nombre de inicio de sesión (nombre distintivo) del servidor de directorio. Tiempo de espera de enlace Especifique el límite de tiempo impuesto al conectar con el servidor de directorio (1-30 segundos. Solicitar conexión SSL/TLS protegida Seleccione esta casilla de verificación si quiere que el dispositivo use SSL o TLS para comunicarse con el servidor de directorio. guiones y guiones bajos. números. El protocolo depende del puerto del servidor: • 389 (predeterminado): TLS (específicamente. predeterminado: 60).0 • 79 . seleccione un vsys o Compartido (todos los sistemas virtuales). que actualiza la conexión de texto no cifrado con TLS). Contraseña/Confirmar contraseña Especifique la contraseña de la cuenta de enlace.

El dispositivo verifica el certificado en dos aspectos: • El certificado es fiable y válido. Si la verificación falla.0 Palo Alto Networks . Para habilitar esta verificación. Para que el dispositivo confíe en el certificado. a continuación. debe seleccionar también la casilla de verificación Solicitar conexión SSL/TLS protegida. prueba el atributo Subject DN. 80 • Guía de referencia de interfaz web . Configuración de servidor LDAP (Continuación) Campo Descripción Verificar certificado de servidor para sesiones SSL Seleccione esta casilla de verificación (está sin marcar de manera predeterminada) si quiere que el dispositivo verifique el certificado que presenta el servidor de directorio para conexiones SSL/TLS. Si el certificado usa el FQDN del servidor de directorio. debe usar FQDN en el campo servidor LDAP para que se consiga la coincidencia de nombre. versión 7. puede asignarlo a los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). El dispositivo comprueba primero la coincidencia del atributo Subject AltName del certificado y.Configuración de ajustes del servidor Kerberos Tabla 34. Configuración de ajustes del servidor Kerberos Dispositivo > Perfiles de servidor > Kerberos Panorama > Perfiles de servidor > Kerberos Use la página de Kerberos para configurar un perfil de servidor que permita a los usuarios autenticarse de manera nativa en un controlador de dominio de Active Directory o un servidor de autenticación compatible con Kerberos V5. la conexión también. su entidad de certificación (CA) raíz y cualquier certificado intermedio debe estar en la tienda de certificados en Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. • El nombre del certificado debe coincidir con el Nombre del host del servidor LDAP. Después de configurar un perfil de servidor Kerberos.

Servidores En el caso de cada servidor Kerberos. El dispositivo prueba los perfiles de manera secuencial descendente (aplicando la autenticación. números. Palo Alto Networks Guía de referencia de interfaz web . lista de permitidas y valores de bloqueo de cuenta) hasta que un perfil autentica correctamente al usuario. debe poderse acceder a su servidor Kerberos de back-end a través de una dirección IPv4. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Para cortafuegos que tienen varios sistemas virtuales.: base de datos local. no puede cambiar su Ubicación. Las direcciones IPv6 no son compatibles. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. LDAP y RADIUS). Ubicación Seleccione el ámbito en el que está disponible el perfil. Utilice únicamente letras. En el contexto de un cortafuegos con más de un sistema virtual (vsys). no puede seleccionar la Ubicación.Configuración de una secuencia de autenticación Para usar autenticación de Kerberos. Para ver información sobre perfiles de autenticación. El dispositivo solo deniega el acceso si la autenticación falla con todos los perfiles de la secuencia. En cualquier otro contexto. la casilla de verificación aparece solo si la Ubicación es Compartida. • Puerto: Introduzca un número de puerto opcional (predeterminado: 88) para la comunicación con el servidor. consulte “Configuración de perfiles de autenticación”. Una secuencia de autenticación es un conjunto de perfiles de autenticación que el dispositivo Palo Alto Networks intenta usar para la autenticación de usuarios cuando estos inician sesión. versión 7. espacios. Configuración de una secuencia de autenticación Dispositivo > Secuencia de autenticación Panorama > Secuencia de autenticación En algunos entornos. ej.0 • 81 . seleccione un vsys o Compartido (todos los sistemas virtuales). haga clic en Añadir y especifique los siguientes ajustes: • Nombre: Introduzca un nombre para el servidor. guiones y guiones bajos. Configuración de servidor Kerberos Campo Descripción Nombre de perfil Introduzca un nombre para identificar el servidor (de hasta 31 caracteres). Tabla 35. Una vez guardado el perfil. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. registro único de Kerberos. • Servidor Kerberos: Introduzca la dirección IPv4 del servidor o FQDN. las cuentas de usuario residen en varios directorios (p.

puede tener hasta 31 caracteres. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. El nombre debe ser exclusivo en la Ubicación actual (cortafuegos o sistema virtual) en relación con otras secuencias de autenticación y perfiles de autenticación. espacios. si la Ubicación de la secuencia de autenticación es un sistema virtual (vsys). puede que un perfil especifique la recogida de los logs del día anterior cada día a las 3:00 y su almacenamiento en un servidor FTP específico. seleccione un vsys o Compartido (todos los sistemas virtuales). Del mismo modo.0 Palo Alto Networks . Para eliminar un perfil. PRECAUCIÓN: En un cortafuegos con sistemas virtuales múltiples. En el contexto de un cortafuegos con más de un sistema virtual (vsys). no introduzca el mismo nombre como un perfil en un vsys. Usar el dominio para determinar el perfil de autenticación Seleccione esta casilla de verificación (seleccionada de manera predeterminada) si quiere que el dispositivo busque coincidencias con el nombre de dominio que introduce un usuario durante el inicio de sesión con el Dominio de usuario o Dominio de Kerberos de un perfil de autenticación asociado a la secuencia y luego usar el perfil para autenticar el usuario. seleccione un perfil y haga clic en Mover hacia arriba o Mover hacia abajo. prueba los perfiles de autenticación en la secuencia en orden descendente. versión 7. En cualquier otro contexto. 82 • Guía de referencia de interfaz web . no puede cambiar su Ubicación. selecciónelo y haga clic en Eliminar. números. si la secuencia Ubicación está compartida. Perfiles de autenticación Haga clic en Añadir y en el menú desplegable seleccione los perfiles de autenticación que quiera añadir a la secuencia. El nombre distingue entre mayúsculas y minúsculas.Programación de exportaciones de logs Tabla 36. Una vez guardada la secuencia. guiones. Configuración de secuencias de autenticación Campo Descripción Nombre Introduzca un nombre para identificar la secuencia. Se pueden producir errores de referencia mientras compila una secuencia de autenticación y un perfil con los mismos nombres en estos casos. Los perfiles de logs contienen la información de programación y servidor FTP. Ubicación Seleccione el ámbito en el que está disponible la secuencia. Programación de exportaciones de logs Dispositivo > Programación de la exportación de logs Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol (FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura entre el dispositivo y un host remoto. no introduzca el mismo nombre como un perfil de autenticación en la ubicación Compartido. Por ejemplo. guiones bajos y puntos. incluidas letras. no puede seleccionar la Ubicación. Si el dispositivo no encuentra una coincidencia. Para cambiar el orden de la lista. La entrada del usuario que usa el dispositivo para la coincidencia puede ser el texto que precede al nombre de usuario (separado por una barra invertida) o el texto que sigue al nombre de usuario (separado por el símbolo @).

y seleccionar un perfil de syslog y de servidor de correo electrónico para enviare mensajes de syslog y notificaciones de correo electrónico. Definición de destinos de logs Dispositivo > Configuración de log Utilice esta página para habilitar el cortafuegos y que registre cambios de configuración. que no es un protocolo seguro. Utilice únicamente letras. Datos o Coincidencia HIP). Nombre de host Introduzca el nombre de host o dirección IP del servidor FTP que se utilizará para la exportación. El valor predeterminado es Tráfico. Ruta Especifique la ruta ubicada en el servidor FTP que se utilizará para almacenar la información exportada. deberá hacer clic en el botón Conexión de servidor SCP de prueba para probar la conectividad entre el cortafuegos y el servidor SCP. Hora de inicio de exportación programada (a diario) Introduzca la hora del día (hh:mm) a la que comenzará la exportación en el formato de 24 horas (00:00 . URL. Puede utilizar SCP para exportar logs de manera segura o puede utilizar FTP. Tipo de log Seleccione el tipo de log (Tráfico. Habilitado Seleccione la casilla de verificación para habilitar la programación de exportaciones de logs. Puerto Introduzca el número de puerto que utilizará el servidor FTP. De manera predeterminada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. deberá verificar y aceptar la clave de host del servidor SCP. eventos del sistema. Habilitar modo pasivo de FTP Seleccione la casilla de verificación para utilizar el modo pasivo para la exportación. números. esta opción está seleccionada.Definición de destinos de logs Haga clic en Añadir y especifique los siguientes ajustes: Tabla 37. La siguiente tabla describe los destinos de logs remotos. Protocolo Seleccione el protocolo que debe utilizarse para exportar logs desde el cortafuegos a un host remoto. No se necesita contraseña si el usuario es “anónimo”. El valor predeterminado es 21. El valor predeterminado es anónimo. Palo Alto Networks Guía de referencia de interfaz web . Además. Nombre de usuario Introduzca el nombre de usuario para acceder al servidor FTP. Para cada log. puede habilitar funcionamiento remoto para Panorama. Configuración de la programación de la exportación de logs Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). Si está utilizando SCP. logs de correlación (en algunas plataformas) y para configurar y habilitar alarmas. No podrá cambiar el nombre después de crear el perfil. y generar traps SNMP. Descripción Introduzca una descripción opcional (de hasta 255 caracteres).23:59). logs de coincidencias HIP.0 • 83 . guiones y guiones bajos. Amenaza. espacios. Contraseña Introduzca la contraseña para acceder al servidor FTP. versión 7.

seleccione el nombre del servidor Syslog. Configuración del log Configuración El widget Config le permite definir la configuración de las entradas del log de configuración. amenazas y tráfico. Para definir los nuevos destinos de traps SNMP. Para especificar la dirección del servidor de Panorama. consulte “Reenvío de logs”. Syslog Para generar mensajes de Syslog para entradas del log Configuración. Trap SNMP Para generar traps SNMP para entradas del log configuración. consulte “Configuración de ajustes de notificaciones por correo electrónico”.0 Palo Alto Networks . consulte “Configuración de ajustes de notificaciones por correo electrónico”. Correo electrónico Se pueden enviar notificaciones de correo electrónico según el nivel de gravedad para entradas de los logs de sistema. así como para las entradas de log de configuración. Trap SNMP Se pueden generar traps SNMP según el nivel de gravedad para entradas de los logs Sistema. 84 • Guía de referencia de interfaz web . así como para las entradas de log de configuración. seleccione el perfil del servidor trap SNMP. consulte “Configuración de destinos de traps SNMP”. versión 7. Amenaza y Tráfico. consulte “Configuración de servidores Syslog”. consulte “Definición de la configuración de gestión”. el dispositivo de gestión central de Palo Alto. Configuración del log Configuración Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. seleccione un perfil de correo electrónico del menú desplegable. consulte “Configuración de destinos de traps SNMP”. Para especificar los nuevos destinos de traps SNMP. Nota: Para configurar los destinos de los logs de tráfico. Syslog Se pueden generar mensajes de Syslog según el nivel de gravedad para entradas de los logs de sistema.Definición de destinos de logs Tabla 38. Para especificar un nuevo perfil de correo electrónico. Para definir los servidores y destinatarios de correo electrónico. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log de configuración. amenazas y tráfico. consulte “Configuración de servidores Syslog”. Para especificar nuevos servidores Syslog. Destinos de logs remotos Destino Descripción Panorama Todas las entradas de logs se pueden reenviar a Panorama. Tabla 39. pero no para entradas del log Configuración. Para definir los destinos de syslog.

0 • 85 . cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles de gravedad. versión 7. • Medio: Notificaciones de nivel medio. consulte: • “Configuración de destinos de traps SNMP”. Los niveles de gravedad son los siguientes: • Crítico: Fallos de hardware. Configuración del log Sistema Campo Descripción Panorama Seleccione la casilla de verificación para cada nivel de gravedad de las entradas del log Sistema que se enviarán al sistema de gestión centralizado de Panorama. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. • Bajo: Notificaciones de menor gravedad. cambio de nombre o contraseña de administrador. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log Sistema. mensajes de Syslog o notificaciones por correo electrónico. • Informativo: Inicios de sesión/cierres de sesión. cambios de estado de enlaces e inicios de sesión y cierres de sesión de administradores en el cortafuegos. Para especificar la dirección del servidor de Panorama. Los eventos correlacionados recopilan pruebas de comportamientos sospechosos o inusuales de los usuarios o hosts en la red. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. Configuración del log de correlación Los logs de correlación se generan cuando un objeto de correlación coincide con un patrón o comportamiento y se registra un evento de correlación. • “Configuración de servidores Syslog”. Palo Alto Networks Guía de referencia de interfaz web .Definición de destinos de logs Configuración del log Sistema El log Sistema muestra eventos del sistema. Para definir nuevos destinos. seleccione los ajustes de SNMP. consulte “Uso del motor de correlación automatizada”. como servidores Syslog y RADIUS. incluidas las interrupciones en las conexiones con dispositivos externos. como actualizaciones de paquetes de antivirus. Para obtener más información sobre el motor de correlación. como cambios de contraseña de usuario. En función de la gravedad del evento. lo que incluye la conmutación por error de HA y los fallos de enlaces. consulte “Definición de la configuración de gestión”. Tabla 40. • Alto: Problemas graves. • “Configuración de ajustes de notificaciones por correo electrónico”. como fallos de HA.

como una visitas a una URL considerada malintencionada o un dominio DNS dinámico. como el software malicioso detectado en cualquier punto de la red que coincida con la actividad de comando y control generada por un host concreto. 86 • Guía de referencia de interfaz web . como las visitas repetidas a URL consideradas malintencionadas que sugiere la existencia de una actividad de comando y control generada por una secuencia de comandos. Por ejemplo. mensajes de Syslog o notificaciones por correo electrónico. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. • Alto: Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad basándose en una correlación entre varios eventos de amenaza. un evento por separado no tiene por qué ser significativo en sí. • Medio: Indica que hay una probabilidad alta de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos.Definición de destinos de logs En función de la gravedad del evento. Los niveles de gravedad son los siguientes: • Crítico: Confirma que se ha comprometido la seguridad de un host basándose en eventos correlacionados que indican un patrón en aumento.0 Palo Alto Networks . puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. • “Configuración de servidores Syslog”. • Informativo: Detecta un evento que podría resultar útil en conjunto para identificar una actividad sospechosa. • Bajo: Indica la posibilidad de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos. Tabla 41. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de correlación. Configuración del log de correlación Campo Descripción Panorama Seleccione la casilla de verificación de cada nivel de gravedad de las entradas del log de correlación que se enviarán a Panorama. versión 7. Para definir nuevos destinos. se registra un evento crítico cuando un host que ha recibido un archivo considerado malintencionado por WildFire muestra la misma actividad de comando y control observada en ese archivo malintencionado dentro del espacio aislado de WildFire. consulte: • “Configuración de destinos de traps SNMP”. seleccione los ajustes de SNMP. • “Configuración de ajustes de notificaciones por correo electrónico”.

orden de columnas y actualización. También le permite configurar notificaciones para esos eventos: • Se ha encontrado una coincidencia con una regla de seguridad (o grupo de reglas) en un umbral especificado y dentro de un intervalo de tiempo especificado. la cuota predeterminada está configurada para notificar que se ha usado el 90% de la capacidad del disco.Definición de destinos de logs Configuración del log Coincidencias HIP La configuración del log Coincidencias HIP (perfil de información de host) se utiliza para proporcionar información sobre las políticas de seguridad que se aplican a clientes de GlobalProtect. versión 7. Para especificar los nuevos destinos de traps SNMP. Para reconocer alarmas. seleccione el nombre del servidor Syslog. seleccione sus casillas de verificación y haga clic en Reconocer. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log Configuración. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. Para especificar nuevos ajustes de correo electrónico. Syslog Para generar mensajes de Syslog para entradas del log Configuración. La ventana Alarmas también incluye controles de páginas. Palo Alto Networks Guía de referencia de interfaz web .0 • 87 . Configuración del log Coincidencias HIP Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. seleccione el nombre de la configuración de correo electrónico que especifica las direcciones de correo electrónico adecuadas. • Se ha alcanzado el umbral de fallos de cifrado/descifrado. consulte “Configuración de servidores Syslog”. • La base de datos de logs de cada tipo de log está casi llena. consulte “Configuración de destinos de traps SNMP”. Definición de configuración de alarmas La configuración de alarmas le permite habilitar alarmas y notificaciones de alarmas para la CLI y la interfaz web. seleccione el nombre del destino de trap. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas del log de alarmas actual. La configuración de alarmas permite actuar antes de que se llene el disco y se purguen los logs. Tabla 42. Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas situado en la esquina inferior derecha de la interfaz web cuando la opción Alarma está configurada. Trap SNMP Para generar traps SNMP para entradas del log Coincidencias HIP. Para especificar nuevos servidores Syslog.

Umbral de alarma de base de datos de log (% lleno) Genere una alarma cuando una base de datos de logs alcance el porcentaje indicado del tamaño máximo. Utilice Etiquetas de política de seguridad para especificar las etiquetas con las que los umbrales de límite de reglas generarán alarmas. El botón Alarmas solo es visible cuando la casilla de verificación Habilitar alarmas está seleccionada. el cortafuegos registra cambios en la configuración. Estas etiquetas están disponibles para su especificación al definir políticas de seguridad. Configuración del log Alarma Campo Descripción Habilitar alarmas Habilite alarmas basándose en los eventos enumerados en esta página. amenazas de seguridad. Especifique los siguientes ajustes: • Logging específico de CC: Permite logs ampulosos necesarios para el cumplimiento de criterios comunes (CC). flujos de tráfico y alarmas generadas por el dispositivo. versión 7. incluyendo el momento en que se producen y cuándo se reconocen. edite la sección Configuración de alarma y utilice la siguiente tabla para definirla: Tabla 43. coincidencia HIP. amenazas. • Administradores suprimidos: No genera logs para los cambios que realizan los administradores enumerados en la configuración del cortafuegos. Gestión de configuración de logs Cuando se configura para la creación de logs. Utilice la página Gestionar logs para borrar los logs del dispositivo. • Logs de inicios de sesión incorrectos: Registra los inicios de sesión incorrectos en el cortafuegos por parte del administrador. Haga clic en el enlace que corresponde al log (tráfico. Habilitar alarmas audibles El cortafuegos seguirá reproduciendo una alarma sonora cuando existan alarmas no reconocidas en la interfaz web o la CLI. Los incumplimientos se cuentan cuando una sesión coincide con una política de denegación explícita. Umbral de fallo de cifrado/descifrado Especifique el número de fallos de cifrado/descifrado tras los cuales se genera una alarma. Auditoría selectiva Nota: Estos ajustes aparecen en la página Alarmas únicamente en el modo Criterios comunes.0 Palo Alto Networks . Habilitar notificaciones de alarma web Abra una ventana para mostrar alarmas en las sesiones de usuario. alarma) que le gustaría borrar. eventos del sistema. configuración. Límites de política de seguridad Se genera una alarma si un puerto o una dirección IP en concreto incumple una regla de denegación el número de veces especificado en el ajuste Umbral de infracciones de seguridad dentro del período (segundos) especificado en el ajuste Período de tiempo de infracciones de seguridad. sistema. • Logs de inicios de sesión correctos: Registra los inicios de sesión correctos en el cortafuegos por parte del administrador. Habilitar notificaciones de alarmas por CLI Habilite notificaciones de alarmas por CLI cuando se produzca una alarma.Definición de destinos de logs Para añadir una alarma. datos. 88 • Guía de referencia de interfaz web . URL. Límites de grupos de políticas de seguridad Se genera una alarma si el conjunto de reglas alcanza el número de infracciones del límite de reglas especificado en el campo Umbral de infracciones durante el período especificado en el campo Período de tiempo de infracciones.

0 • 89 . no puede seleccionar la Ubicación. debe especificar qué tipos de logs activarán el cortafuegos para que envíe traps SNMP (consulte “Definición de destinos de logs”). guiones y guiones bajos.Configuración de destinos de traps SNMP Configuración de destinos de traps SNMP Dispositivo > Perfiles de servidor > Trap SNMP Panorama > Perfiles de servidor > Trap SNMP SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. seleccione un vsys o Compartido (todos los sistemas virtuales). Utilice únicamente letras. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. no puede cambiar su Ubicación. Para habilitar GET SNMP (solicitudes de estadísticas desde un gestor SNMP). Esta cadena puede tener hasta 127 caracteres. Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí durante el reenvío de traps. Se recomienda no usar la cadena de comunidad pública predeterminada. No elimine perfiles de servidor usados por configuración de log Sistema o perfiles de logs. Palo Alto Networks Guía de referencia de interfaz web . Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar los traps de Palo Alto Networks. Tabla 44. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Una vez guardado el perfil. Comunidad Introduzca la cadena de comunidad. En cualquier otro contexto. espacios. admite todos los caracteres y distingue entre mayúsculas y minúsculas. los dispositivos supervisados envían traps SNMP a los gestores de SNMP (servidores trap). consulte “Habilitación de supervisión de SNMP”. Ubicación Seleccione el ámbito en el que está disponible el perfil. Para cada versión. Para SNMP V2c Nombre Especifique un nombre para el gestor SNMP. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. consulte MIB compatibles. versión 7. Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar. Tras crear el perfil del servidor. Configuración de perfil de servidor de Trap SNMP Campo Descripción Nombre Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres). pude añadir hasta cuatro gestores SNMP. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. Para avisarle de eventos o alertas del sistema en su red. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores). números. guiones bajos o guiones. Use la página Trap SNMP para configurar el perfil del servidor que permite al cortafuegos o Panorama enviar traps a los gestores de SNMP. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. Su selección controla los campos restantes que muestra el cuadro de diálogo. puntos.

Especifique la privacidad de autenticación del usuario SNMP. deje el campo en blanco. Cuando un gestor SNMP y el dispositivo se autentican entre sí. Contraseña priv. Contraseña de autenticación Especifique la contraseña de autenticación del usuario SNMP. con el prefijo 0x. Si deja este campo en blanco.Configuración de destinos de traps SNMP Tabla 44. debe estar en formato hexadecimal. 90 • Guía de referencia de interfaz web . y con otros 10-128 caracteres para representar cualquier número de 5-64 bytes (2 caracteres por byte). El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP. puntos. de modo que el gestor SNMP pueda identificar qué peer HA envió los traps. los mensajes trap usan este valor para identificar exclusivamente el dispositivo. de lo contrario. EngineID Especifique el ID de motor del dispositivo. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. Si introduce un valor. El dispositivo usa la contraseña para autenticar el gestor SNMP. el valor se sincroniza y ambos peers usarán el mismo EngineID. los mensajes usan el número de serie del dispositivo como EngineID. Configuración de perfil de servidor de Trap SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre Especifique un nombre para el gestor SNMP. Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. Para dispositivos en configuración de alta disponibilidad (HA). El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. versión 7. guiones bajos o guiones. Usuario Especifique un nombre de usuario para identificar la cuenta de usuario de SNMP (de hasta 31 caracteres). El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos.0 Palo Alto Networks . La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos.

el puerto estándar para SSL es 6514. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Una vez guardado el perfil. Tráfico. Escape Especifique secuencias de escape. para TCP debe especificar un número de puerto). números. Utilice el cuadro Caracteres de escape para enumerar todos los caracteres que se escaparán sin espacios. versión 7. En el cuadro de diálogo. Utilice únicamente letras. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Después de definir los servidores Syslog. Pestaña Servidores Nombre Haga clic en Añadir e introduzca un nombre para el servidor Syslog (de hasta 31 caracteres). seleccione un vsys o Compartido (todos los sistemas virtuales). espacios. Ver una descripción de cada campo que se pueda usar para logs personalizados. haga clic en un campo para añadirlo al área Formato de log. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Otras cadenas de texto se pueden editar directamente en el área Formato de log. Para obtener información detallada sobre los campos que se pueden utilizar para logs personalizados. espacios. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. consulte “Configuración de ajustes de notificaciones por correo electrónico”.Configuración de servidores Syslog Configuración de servidores Syslog Dispositivo > Perfiles de servidor > Syslog Panorama > Perfiles de servidor > Syslog Para generar mensajes de Syslog para logs Sistema. guiones y guiones bajos. Formato Especifique el formato de Syslog que se debe utilizar: BSD (valor predeterminado) o IETF. no puede cambiar su Ubicación.0 • 91 . TCP o SSL. consulte RFC 3164 (formato BSD) o RFC 5424 (formato IETF). Tabla 45. Puerto Introduzca el número de puerto del servidor Syslog (el puerto estándar para UDP es 514. números. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Seleccione el valor que asigna al modo en que su servidor Syslog usa el campo Instalaciones para gestionar mensajes. debe especificar uno o más servidores Syslog. Servidor Introduzca la dirección IP del servidor Syslog. Haga clic en ACEPTAR para guardar la configuración. En cualquier otro contexto. Para obtener más información sobre el campo Instalaciones. no puede seleccionar la Ubicación. Utilice únicamente letras. Palo Alto Networks Guía de referencia de interfaz web . Instalaciones Seleccione uno de los valores estándar de Syslog. Ubicación Seleccione el ámbito en el que está disponible el perfil. guiones y guiones bajos. Configuración. Nuevo servidor Syslog Campo Descripción Nombre Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres). Amenaza o Coincidencias HIP. Transporte Elija si desea transportar los mensajes de Syslog en UDP. No puede eliminar un servidor que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. podrá utilizarlos para las entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”).

Ubicación Seleccione el ámbito en el que está disponible el perfil. como “alerta_seguridad@empresa. seleccione un vsys o Compartido (todos los sistemas virtuales). no puede seleccionar la Ubicación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de notificaciones por correo electrónico Campo Descripción Nombre Introduzca un nombre para el perfil de servidor (de hasta 31 caracteres).0 Palo Alto Networks . añada la dirección de correo electrónico de una lista de distribución.com”. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. En cualquier otro contexto. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. no puede cambiar su Ubicación. podrá habilitar las notificaciones por correo electrónico para entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). Una vez guardado el perfil. Utilice únicamente letras. No puede eliminar un ajuste de correo electrónico que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. En el cuadro de diálogo. Destinatario adicional También puede introducir la dirección de correo electrónico de otro destinatario. Después de definir la configuración de correo electrónico. Para obtener información sobre cómo programar la entrega de informes por correo electrónico. Para añadir varios destinatarios. Mostrar nombre Introduzca el nombre mostrado en el campo De del correo electrónico. espacios. debe configurar un perfil de correo electrónico. Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente. Escape Incluya los caracteres de escape y especifique el carácter o los caracteres de escape. versión 7. Tabla 46. números. consulte “Programación de informes para entrega de correos electrónicos”. guiones y guiones bajos. Puerta de enlace Introduzca la dirección IP o el nombre de host del servidor Simple Mail Transport Protocol (SMTP) utilizado para enviar el correo electrónico. Pestaña Servidores Servidor Introduzca un nombre para identificar el servidor (1-31 caracteres). haga clic en un campo para añadirlo al área Formato de log. De Introduzca la dirección de correo electrónico del remitente. Haga clic en ACEPTAR para guardar la configuración. Solo puede añadir un destinatario adicional. En el contexto de un cortafuegos con más de un sistema virtual (vsys).Configuración de ajustes de notificaciones por correo electrónico Configuración de ajustes de notificaciones por correo electrónico Dispositivo > Perfiles de servidor > Correo electrónico Panorama > Perfiles de servidor > Correo electrónico Para generar mensajes de correo electrónico para logs. 92 • Guía de referencia de interfaz web . Para Introduzca la dirección de correo electrónico del destinatario.

utilice el valor del recopilador con la velocidad de actualización más rápida. Tipos de campos de PAN-OS Exporte campos específicos de PAN-OS para App-ID y el servicio de User-ID en registros de Netflow. Los cortafuegos solo son compatibles con NetFlow unidireccional. guiones y guiones bajos. El cortafuegos selecciona una plantilla según el tipo de datos que va a exportar: tráfico IPv4 o IPv6. de forma predeterminada 20) después de los cuales el cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier cambio en sus campos o un cambio en la selección de plantilla. Servidores Nombre Especifique un nombre para identificar el servidor (de hasta 31 caracteres). versión 7.055). que especifique los servidores NetFlow que recibirán los datos y especifique los parámetros de exportación. Puerto Especifique el número de puerto para el acceso al servidor (valor predeterminado: 2. de forma predeterminada 30) o paquetes (1-600. Puede habilitar NetFlow para que exporte todos los tipos de interfaces. Servidor Especifique el nombre de host o la dirección IP del servidor.Configuración de ajustes de flujo de red Configuración de ajustes de flujo de red Dispositivo > Perfiles de servidor > Flujo de red Todos los cortafuegos son compatibles con la versión 9 de NetFlow. tarjeta de log o reflejo de descifrado. espacios. Utilice únicamente letras. Los recopiladores NetFlow requieren plantillas para descifrar los campos exportados. Tiempo de espera activo Especifique la frecuencia (en minutos) a la que el cortafuegos exporta registros de datos para cada sesión (1-60. Configuración de Netflow Campo Descripción Nombre Introduzca un nombre para el perfil de servidor Netflow (de hasta 31 caracteres). El cortafuegos es compatible con plantillas de NetFlow estándar y de empresa (específicas de PAN-OS). con o sin NAT y con campos estándar o específicos de empresa. Para configurar exportaciones de datos NetFlow. 5 de forma predeterminada). Puede añadir un máximo de dos servidores por perfil. números. a excepción de los cortafuegos de las series PA-4000 y PA-7000.0 • 93 . Después de asignar el perfil a una interfaz (consulte “Configuración de la interfaz de un cortafuegos”). a excepción de las de alta disponibilidad (HA). Establezca la frecuencia basada en cuántas veces quiere que el recopilador del flujo de datos actualice las estadísticas de tráfico. Tabla 47. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Palo Alto Networks Guía de referencia de interfaz web . defina un perfil de servidor NetFlow. Utilice únicamente letras. Tasa de actualización de plantilla Especifique el número de minutos (1-3600. guiones y guiones bajos. números. La frecuencia de actualización necesaria depende del recopilador de flujo de red: Si añade varios recopiladores de flujo de red al perfil del servidor. pero no bidireccional. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. espacios. el cortafuegos exporta los datos NetFlow para todo el tráfico que atraviesa la interfaz hacia los servidores especificados.

DNS principal Especifique la dirección IP del servidor DNS principal. eliminar. Uso de certificados Dispositivo > Gestión de certificados > Certificados Los certificados se utilizan para cifrar datos y garantizar la comunicación en una red. DNS secundario Especifique la dirección IP del servidor DNS secundario. 94 • Guía de referencia de interfaz web . • “Gestión de certificados de dispositivos”: Use la página Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos para gestionar (generar. haga clic en este enlace para ver el estado del origen de herencia.Configuración de un perfil de servidor de DNS Configuración de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Configure un perfil de servidor DNS.0 Palo Alto Networks . Tabla 48 Perfil de servidor de DNS Campo Descripción Nombre Especifique un nombre para el perfil de servidor SNMP. o déjelo como heredado si ha elegido un origen de herencia. revocar) los certificados de dispositivos usados para garantizar la comunicación. También puede exportar e importar la clave de alta disponibilidad (HA) que protege la conexión entre los peers de HA en la red. • “Gestión de entidades de certificación de confianza predeterminadas”: Utilice la página Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas para ver. habilitar y deshabilitar las entidades de certificados (CA) en las que confía el cortafuegos. importar. Ruta de servicio IPv6 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Comprobar estado de origen de herencia (Opcional) Si elige un servidor DNS desde el que heredar configuraciones. que se aplica a sistemas virtuales para simplificar la configuración. renovar. o déjelo como heredado si ha elegido un origen de herencia. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Ubicación Seleccione el sistema virtual al que pertenece el perfil. versión 7. – Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. – Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. Ruta de servicio IPv4 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Origen de herencia (Opcional) Especifique el servidor de DNS desde el que el perfil debería heredar la configuración.

El certificado de CA raíz de confianza es para CA adicionales que son fiables para su empresa pero que no forman parte de la lista de CA fiables preinstalada. Para generar un certificado. haga clic en Generar y especifique la siguiente información. comprueba si el certificado ascendente ha sido emitido por una CA de confianza. el usuario verá la página de error de certificado habitual al acceder al cortafuegos y deberá desestimar la advertencia de inicio de sesión. • Certificado de Syslog seguro: Este certificado activa el reenvío seguro de syslogs en un servidor de syslog externo. Cuando el cortafuegos descifra tráfico. versión 7. Tabla 49. espacios. Palo Alto Networks Guía de referencia de interfaz web . Solo se requiere el nombre. números. Si se utiliza un certificado autofirmado para el descifrado de proxy de reenvío. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 • 95 . Si no es así. Compartido En un cortafuegos que tiene más de un sistema virtual (vsys). Utilice únicamente letras. • No fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA que no está en la lista de CA de confianza del cortafuegos. seleccione esta casilla de verificación si quiere que el certificado esté disponible en cada vsys. • CA raíz de confianza: El certificado está marcado como CA de confianza con fines de descifrado de reenvío. • Exclusión de SSL: Este certificado excluye las conexiones si se encuentran durante el descifrado de proxy de reenvío SSL. El cortafuegos tiene una extensa lista de CA de confianza existentes. deberá hacer clic en el nombre del certificado en la página Certificados y seleccionar la casilla de verificación Reenviar certificado fiable. A continuación se mencionan algunos usos de los certificados: • Fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA de la lista de CA de confianza del cortafuegos. descifrado de SSL o LSVPN. guiones y guiones bajos. utiliza un certificado de CA no fiable especial para firmar el certificado de descifrado.Uso de certificados Gestión de certificados de dispositivos Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos Panorama > Gestión de certificados > Certificados Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como asegurar el acceso a la interfaz web. Nombre común Introduzca la dirección IP o FQDN que aparecerá en el certificado. Configuración para generar un certificado Campo Descripción Nombre del certificado Introduzca un nombre (de hasta 31 caracteres) para identificar el certificado. En este caso.

versión 7. también tiene la opción de generar un certificado autofirmado para Panorama. Las opciones disponibles dependen de la generación de claves de algoritmos: • RSA: MD5. SHA384 o SHA512 como el algoritmo de resumen.0 Palo Alto Networks . El dispositivo genera el certificado y el par de claves y entonces puede exportar el CSR. Nota: ECDSA usa tamaños de clave más pequeños que el algoritmo RSA y. Marcar este certificado como CA le permitirá utilizarlo para firmar otros certificados en el cortafuegos. y ningún certificado RSA firmado por una entidad de certificación (CA) ECDSA será válido en esos cortafuegos. Autoridad del certificado Seleccione esta casilla de verificación si quiere que el cortafuegos emita el certificado. PRECAUCIÓN: Si especifica un Período de validez en una configuración del satélite de GlobalProtect. son válidos ambos algoritmos de resumen (SHA256 y SHA384). ECDSA también ofrece una seguridad igual o superior a la de RSA. 96 • Guía de referencia de interfaz web . el menú desplegable incluye los CA disponibles para firmar el certificado que se está creando. ECDSA se recomienda para navegadores de clientes y sistemas operativos compatibles. las claves RSA generadas deben ser de 2048 bits o superiores. Número de bits Seleccione la longitud de la clave del certificado. debe seleccionar SHA256. ADVERTENCIA: Los cortafuegos que ejecutan versiones anteriores a PAN-OS 7. Si ha importado certificados de CA o los ha emitido en el propio dispositivo (autofirmados). seleccione una autoridad externa (CSR). Configuración para generar un certificado (Continuación) Campo Descripción Firmado por Un certificado se puede firmar con una entidad de certificación (CA) importado al cortafuegos o se puede utilizar un certificado autofirmado donde el propio cortafuegos es la CA. Si está utilizando Panorama. El nombre de host correspondiente aparece en el certificado. Si el algoritmo es DSA de curva elíptica. Vencimiento (días) Especifique el número de días que el certificado será válido.0 eliminarán cualquier certificado de ECDSA que envíe desde Panorama. ofrece una mejora del rendimiento para las conexiones SSL/TLS de procesamiento. SHA1. Si el algoritmo es DSA de curva elíptica. seleccione RSA para compatibilidad con navegadores y sistemas operativos antiguos.Uso de certificados Tabla 49. Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. De lo contrario. SHA256. ese valor cancelará el valor introducido en este campo. por lo tanto. SHA384 o SHA512 • DSA de curva elíptica: SHA256 o SHA384 Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. El valor predeterminado es de 365 días. Algoritmo Seleccione un algoritmo de generación de claves para el certificado: RSA o DSA de curva elíptica (ECDSA). son válidas ambas opciones de longitud (256 y 384). Para generar una solicitud de firma de certificado (CSR). Resumen Seleccione el algoritmo de resumen del certificado. OCSP responder Seleccione un perfil de respondedor OSCP de la lista desplegable (consulte “Cómo añadir un respondedor OCSP”).

0 • 97 . Puede añadir cualquiera de los siguientes atributos: País. Correo electrónico. Departamento.Uso de certificados Tabla 49. Palo Alto Networks Guía de referencia de interfaz web . Establezca el periodo de validez (en días) para el certificado y haga clic en Aceptar. Estado. Si una entidad de certificación (CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. Organización. versión 7. seleccione el certificado correspondiente y haga clic en Renovar. seleccione País en la columna Tipo y. Configuración para generar un certificado (Continuación) Campo Descripción Atributos del certificado De forma alternativa. Además. Tabla 50. no en el cortafuegos. a continuación. Revocar Seleccione el certificado que desea revocar y haga clic en Revocar. Después de generar el certificado. el cortafuegos utilizará información del respondedor OCSP para actualizar el estado del certificado. puede especificar uno de los siguientes campos de nombre alternativo del asunto: Nombre de host (SubjectAltName:DNS). el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie diferente pero los mismos atributos que el certificado anterior. El certificado se establecerá instantáneamente en estado revocado. haga clic en la columna Valor para ver los códigos de país ISO 6366. los detalles aparecen en la página. Otras acciones admitidas Acciones Descripción Eliminar Seleccione el certificado que desea eliminar y haga clic en Eliminar. Renovar En caso de que un certificado caduque o esté a punto de caducar. Si el cortafuegos es la CA que emitió el certificado. No es necesario realizar una compilación. y Correo electrónico alternativo (SubjectAltName:email). las claves privadas se almacenan en un almacén HSM externo. haga clic en Añadir para especificar atributos del certificado adicionales que se deben utilizar para identificar la entidad para la que está emitiendo el certificado. Nota: Para añadir un país como atributo de certificado. Si ha configurado un módulo de seguridad de hardware (HSM). IP (SubjectAltName:IP). Localidad.

• Seleccione la casilla de verificación Importar clave privada para cargar la clave privada e introducir la frase de contraseña dos veces.Uso de certificados Tabla 50.pem para formato de codificación base64). este será el único archivo que contiene a ambos objetos.0 Palo Alto Networks .pfx para PKCS#12 o . busque el archivo de clave privada cifrada (por lo general. • Seleccione el sistema virtual al que desea importar el certificado de la lista desplegable. haga clic en Exportar clave de HA y especifique una ubicación en la que guardar el archivo. Para obtener una descripción de cada uno de ellos. asunto. Para importar claves para alta disponibilidad (HA). Aparece el nombre. el archivo de clave se seleccionó anteriormente. Si está importando un certificado PKCS #12 y una clave privada. • Seleccione el formato de archivo para el archivo de certificado. fecha de vencimiento y estado de validez de cada una de ellas. 98 • Guía de referencia de interfaz web . se debe exportar la clave del cortafuegos 1 y. consulte usos. deshabilitar o exportar las entidades de certificación (CA) preincluidas en las que confía el cortafuegos. Para exportar claves para HA. a continuación. importarse al cortafuegos 2 y viceversa. haga clic en Importar y especifique los siguientes detalles • Nombre para identificar el certificado. seleccione el certificado que desea exportar y haga clic en Exportar. denominado *. este será únicamente el certificado público. Generar Consulte generar. consulte “Definición de módulos de seguridad de hardware”. emisor. • Utilice la opción Examinar para buscar el archivo de certificado. Si utiliza PEM. Gestión de entidades de certificación de confianza predeterminadas Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas Utilice esta página para ver. Si desea más información sobre HSM. • Seleccione la casilla La clave privada reside en el módulo de seguridad de hardware si está utilizando un HSM par almacenar la clave privada para este certificado. Importar clave de HA Las claves de HA se deben intercambiar entre ambos peers del cortafuegos. Otras acciones admitidas Acciones Descripción Importar Para importar un certificado. es decir. Seleccione la casilla de verificación Exportar clave privada e introduzca una frase de contraseña dos veces para exportar la clave privada además del certificado. haga clic en Importar clave de HA y explore para especificar el archivo de clave que se importará. Seleccione el formato de archivo que desea que utilice el certificado exportado (. seleccione el enlace para el certificado y las casillas de verificación para indicar cómo planea utilizar el certificado. Si utiliza PKCS #12. Si utiliza PEM. Exportar Para exportar un certificado. versión 7.key). Exportar clave de HA Defina el uso del certificado En la columna Nombre.

haga clic en Deshabilitar. gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama. seleccione un vsys o Compartido (todos los sistemas virtuales). haga clic en la casilla de verificación junto a la CA y. Utilice únicamente letras. Configuración de perfiles de certificado Tipo de página Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). • Asunto alternativo: Seleccione si PAN-OS utiliza el correo electrónico o nombre principal. Tabla 51 Configuración de entidades de certificación de confianza Campo Descripción Habilitar Si ha deshabilitado una CA y desea habilitarla. Ubicación Seleccione el ámbito en el que está disponible el perfil. GlobalProtect. no puede cambiar su Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys). VPN de sitio a sitio de IPSec. Creación de un perfil del certificado Dispositivo > Gestión de certificados > Perfil del certificado Panorama > Gestión de certificados > Perfil del certificado Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo. Deshabilitar Haga clic en la casilla de verificación junto a la CA que desee deshabilitar y. espacios. En cualquier otro contexto.Creación de un perfil del certificado Esta lista no incluye los certificados de CA generados en el cortafuegos. Tabla 52. Exportar Haga clic en la casilla de verificación junto a la CA y. cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. PAN-OS usa el campo de certificado que ha seleccionado en el menú desplegable Campo de nombre de usuario como el nombre de usuario y busca coincidencias con la dirección IP del servicio User-ID: • Asunto: PAN-OS utiliza el nombre común. a continuación. no puede seleccionar la Ubicación. guiones y guiones bajos. • Ninguno: Suele destinarse al dispositivo GlobalProtect o a la autenticación anterior al inicio de sesión. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Una vez guardado el perfil. a continuación. versión 7. haga clic en Habilitar. Configure un perfil de certificado para cada aplicación. a continuación. números. Campo de nombre de usuario Si GlobalProtect usa solo certificados para autenticación de portal/ puerta de enlace. Palo Alto Networks Guía de referencia de interfaz web . haga clic en Exportar para exportar el certificado de CA. Puede que le interese esto si solamente desea confiar en determinadas CA o eliminarlas todas para únicamente confiar en su CA local. Los perfiles especifican qué certificados deben utilizarse. Puede realizar esta acción para importar el certificado a otro sistema o si desea verlo fuera de línea.0 • 99 .

De lo contrario. Tiempo de espera de recepción de OCSP Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del respondedor OCSP. Para la mayoría de las implementaciones. versión 7. • De manera predeterminada. el cortafuegos utiliza el certificado seleccionado en el campo Certificado de CA para validar las respuestas de OCSP. Configuración de perfiles de certificado (Continuación) Tipo de página Descripción Dominio Introduzca el dominio NetBIOS para que PAN-OS pueda identificar a los usuarios mediante el ID de usuario. configure los siguientes campos para cancelar el comportamiento predeterminado. selecciónelo en el campo Verificación de certificado CA con OCSP. Tiempo de espera de recepción de CRL Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del servicio CRL. Bloquear sesiones si no se puede recuperar el estado del certificado dentro del tiempo de espera Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones después de registrar un tiempo de espera de la solicitud de OCSP o CRL. 100 • Guía de referencia de interfaz web . el cortafuegos utiliza la URL del respondedor OCSP que estableció en el procedimiento “Cómo añadir un respondedor OCSP”. introduzca una URL de OCSP predeterminada (que comience por http:// o https://).0 Palo Alto Networks . estos campos no son aplicables. • De manera predeterminada. Nota: Si selecciona OCSP y CRL.Cómo añadir un respondedor OCSP Tabla 52. Certificados de CA Haga clic en Añadir y seleccione un certificado de CA para asignarlo al perfil. De lo contrario. si el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. Cómo añadir un respondedor OCSP Dispositivo > Gestión de certificados > OCSP responder Utilice la página OCSP responder para definir un respondedor (servidor) del protocolo de estado de certificado en línea (OCSP) que verifique el estado de la revocación de los certificados. el cortafuegos continuará con la sesión. el cortafuegos continuará con la sesión. Bloquear una sesión si el estado del certificado es desconocido Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva un estado de revocación de certificados desconocido (unknown). Utilizar OCSP Seleccione la casilla de verificación para utilizar OCSP y verificar el estado de revocación de los certificados. Tiempo de espera del estado del certificado Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina. Para utilizar un certificado diferente para la validación. el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible. Para cancelar ese ajuste. Utilizar CRL Seleccione la casilla de verificación para utilizar una lista de revocación de certificados (CRL) para verificar el estado de revocación de los certificados. Opcionalmente.

seleccione un vsys o Compartido (todos los sistemas virtuales). En el contexto de un cortafuegos con más de un sistema virtual (vsys). Palo Alto Networks Guía de referencia de interfaz web . haga clic en Aceptar. seleccione Red > Perfiles de red > Gestión de interfaz. añada un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. seleccione el perfil de gestión de la interfaz que ha configurado y. para configurar el cortafuegos como respondedor OCSP. haga clic en Aceptar. Para añadir un perfil. el nombre de host debe resolverse en una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP. Nombre de host Especifique el nombre de host (recomendado) o la dirección IP del respondedor OCSP. Ubicación Seleccione el ámbito en el que está disponible el respondedor. Mediante la definición de versiones de protocolo. habilitar un OCSP requiere las siguientes tareas: • Activar la comunicación entre el cortafuegos y el servidor del OCSP: seleccione Dispositivo > Configuración > Gestión. rellene los campos en la siguiente tabla y luego haga clic en ACEPTAR. PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando. seleccione Avanzado > Otra información. Una vez guardado el respondedor. haga clic en Aceptar. guiones y guiones bajos.0 • 101 . seleccione OCSP de HTTP y. Si configura el cortafuegos como respondedor OCSP. a continuación. espacios. El nombre distingue entre mayúsculas y minúsculas. a continuación. seleccione OCSP de HTTP y. Debe ser exclusivo y utilizar únicamente letras. a continuación. haga clic en Añadir. versión 7. haga clic en Aceptar y Compilar. En primer lugar. haga clic en Configuración de revocación de certificados de descifrado. seleccione la opción para habilitar en la sección OCSP. haga clic en el nombre de la interfaz que utilizará el cortafuegos para los servicios del OCSP. números. • Opcionalmente. configúrelo de forma optativa para verificar el estado de revocación de los certificados del servidor de destino: seleccione Dispositivo > Configuración > Sesiones. edite la sección Configuración de interfaz de gestión. no puede cambiar su Ubicación. Gestión de perfiles de servicio SSL/TLS Dispositivo > Gestión de certificados > Perfil de servicio SSL/TLS Panorama > Gestión de certificados > Perfil de servicio SSL/TLS Los perfiles de servicio SSL/TLS especifican un certificado y una versión o conjunto de versiones de protocolo para servicios de dispositivos que utilizan SSL/TLS. Tabla 53 Configuración de respondedor OCSP Campo Descripción Nombre Introduzca un nombre para identificar al respondedor (hasta 31 caracteres). haga clic en Añadir. introduzca el tiempo de espera de recepción (intervalo después del cual el cortafuegos deja de esperar una respuesta del OCSP) y. su valor se define previamente como Compartido. no puede seleccionar la Ubicación.Gestión de perfiles de servicio SSL/TLS Además de añadir un respondedor OCSP. • Si el cortafuegos descifra el tráfico SSL/TLS saliente. a continuación. seleccione Red > Interfaces. En segundo lugar. los perfiles le permiten restringir los conjuntos de cifras disponibles para proteger la comunicación con los clientes que solicitan los servicios. En cualquier otro contexto. A partir de este valor.

versión 7. Cifrado de claves privadas y contraseñas del cortafuegos Dispositivo > Clave maestra y diagnóstico Panorama > Clave maestra y diagnóstico Utilice la página Clave maestra y diagnóstico para especificar una clave maestra para cifrar las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). Si las claves maestras son diferentes. Incluso aunque no se especifique una clave maestra nueva.0. TLSv1. asegúrese de almacenarla en un lugar seguro. selecciónelo. asegúrese de utilizar la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los certificados se cifran con la misma clave. Tabla 54 Configuración de perfil de servicio SSL/TLS Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres).0 Palo Alto Networks .0.2 o Máx (la versión más reciente disponible). use solo certificados firmados. Certificado PRECAUCIÓN: No use certificados de entidades de certificación (CA) para servicios SSL/TLS. La clave maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar el acceso a la CLI). TLSv1. la sincronización de la configuración de HA no funcionará correctamente. guiones y guiones bajos.1. las claves privadas siempre se almacenan de forma cifrada en el dispositivo. puede seleccionar esta casilla de verificación para que el perfil esté disponible en todos los sistemas virtuales. Versión mín. Compartido Si el cortafuegos tiene más de un sistema virtual (vsys). Esta opción de clave maestra ofrece una capa añadida de seguridad. Seleccione la versión de TLS más reciente que pueden usar los servicios a los que se asigna este perfil: TLSv1. selecciónelo y haga clic en Eliminar. espacios. de forma predeterminada. importe o genere un certificado para asociarlo con el perfil.Cifrado de claves privadas y contraseñas del cortafuegos Para duplicar un perfil. El nombre distingue entre mayúsculas y minúsculas. 102 • Guía de referencia de interfaz web . Como la clave maestra se utiliza para cifrar el resto de claves. TLSv1.1 o TLSv1. números. Si los dispositivos tienen una configuración de alta disponibilidad (HA). en el menú desplegable Ubicación. Seleccione la última versión de TLS que pueden usar los servicios a los que se asigna este perfil: TLSv1. Versión máx. la clave privada utilizada para autenticar el acceso a la interfaz web del dispositivo y cualquier otra clave cargada en el dispositivo. haga clic en Duplicar y luego en ACEPTAR. De manera predeterminada. Seleccione.2. Debe ser exclusivo y utilizar únicamente letras. Para eliminar un perfil. la casilla de verificación no está seleccionada y el perfil está disponible solo en el vsys seleccionado en la pestaña Dispositivo. Consulte “Gestión de certificados de dispositivos”.

Cuando se configura en HA. ambos peers deben estar en el mismo hipervisor y deben tener el mismo número de núcleos de CPU asignados a cada peer. HA Lite permite la sincronización de la configuración y la sincronización de algunos elementos de tiempo de Palo Alto Networks Guía de referencia de interfaz web . cada peer del par de HA se puede conectar a un origen HSM diferente. versión 7. Para obtener información sobre cómo actualizar claves maestras.Habilitación de HA en el cortafuegos Para añadir una clave maestra. en cuyo momento se notificará al usuario del vencimiento inminente (rango: 1-365 días). Si utiliza Panorama y desea mantener sincronizada la configuración en ambos peers. Asimismo. deben ejecutar la misma versión de PAN-OS y deben tener el mismo conjunto de licencias. ambos peers deben tener el mismo modelo. También se incluye un programador para especificar los momentos en los que se ejecutarán las dos pruebas automáticas. HSM no es compatible con los cortafuegos de las series PA-200. En un par de HA. utilice las plantillas de Panorama para configurar el origen de HSM en los cortafuegos gestionados. Deberá actualizar la clave maestra antes de su vencimiento. Tiempo para el recordatorio Especifique el número de días y horas antes del vencimiento. Configuración de clave maestra y diagnóstico Campo Descripción Clave maestra actual Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del dispositivo. HA Lite Los cortafuegos de las series PA-200 y VM-Series edición NSX admiten una versión “lite” de la HA activa/pasiva que no incluye ninguna sincronización de sesiones. Habilitación de HA en el cortafuegos Dispositivo > Alta disponibilidad Para redundancia. los peers de HA se reflejan entre sí en la configuración.0 • 103 . Criterios comunes En el modo Criterios comunes. introduzca una cadena de 16 caracteres y confirme la nueva clave. Duración Especifique el número de días y horas tras el cual vence la clave maestra (rango: 1-730 días). PA-500 y PA-2000. haga clic en el botón de edición en la sección Clave maestra y utilice la siguiente tabla para introducir los valores: Tabla 55. consulte “Habilitación de HA en el cortafuegos”. hay disponibles botones adicionales para ejecutar una prueba automática de algoritmos criptográficos y una prueba automática de integridad del software. Nueva clave principal Confirmar clave maestra Para cambiar la clave maestra. No puede utilizar HSM en una interfaz dinámica como un cliente DHCP o PPPoE. La configuración HSM no está sincronizada entre dispositivos de peer en modo de alta disponibilidad. para los cortafuegos VM-Series. Almacenado en HSM Marque esta casilla si la clave maestra se cifra en un módulo de seguridad de hardware (HSM). Por lo tanto. el cortafuegos se puede implementar en una configuración activa/pasiva o activa/pasiva de alta disponibilidad (HA).

• Habilitar sincronización de configuración: Sincronice la configuración entre peers. • Dúplex de enlace: Seleccione una opción de dúplex para el enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). • Dirección IP de HA del peer: Introduzca la dirección IP de la interfaz de HA1 que se especifica en la sección Enlace de control del otro cortafuegos. Para cada sección de la página Alta disponibilidad. 104 • Guía de referencia de interfaz web . capa 3 y Virtual Wire. información de concesión de servidor DHCP. Supervisar fallo de tiempo de espera descendente (min): Este valor entre 1 y 60 minutos determina el intervalo en el que un cortafuegos estará en un estado no funcional antes de volverse pasivo. versión 7. Esta opción es compatible con el modo de capa 2. Esta opción permite que el estado de los enlaces de la interfaz permanezca activo hasta que se produzca una conmutación por error. pero descarta todos los paquetes recibidos. El ID debe ser exclusivo cuando hay más de un par de alta disponibilidad residiendo en una red de capa 2. Este temporizador se utiliza cuando faltan latidos o mensajes de saludo debido a un fallo de supervisión de ruta o de enlace. • Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. • Automático: Hace que el estado de los enlaces refleje la conectividad física. También admite la conmutación por error de túneles de IPSec (las sesiones deben volver a establecerse).Habilitación de HA en el cortafuegos ejecución. Configuración Activa/Pasiva Estado de enlace pasivo: apagado o automático. • Descripción: Introduzca una descripción del par activo/pasivo (opcional). • Modo: Seleccione activo-activo o activo-pasivo. • ID de grupo: Introduzca un número para identificar el par activo/pasivo (de 1 a 63). haga clic en Editar en el encabezado y especifique la información correspondiente descrita en la tabla siguiente. información de concesión de cliente DHCP. que garantiza que no se creen bucles en la red. Permite que varios pares de cortafuegos activos/pasivos residan en la misma red. • Crear copia de seguridad de la dirección IP de HA del peer: Introduzca la dirección IP del enlace de control de copia de seguridad del peer. disminuyendo la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control. Esta es la opción predeterminada.0 Palo Alto Networks . Configuración de HA Campo Descripción Pestaña General Configuración Especifique los siguientes ajustes: • Habilitar HA: Active las prestaciones de HA. información de concesión de PPPoE y la tabla de reenvío del cortafuegos cuando está configurado en el modo de capa 3. Tabla 56. • Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). La opción Automático es conveniente si es viable para su red. Esta opción no está disponible en el cortafuegos VM-Series en AWS. • ID de dispositivo: Seleccione 0 o 1 para designar el cortafuegos como activo-primario o activo-secundario en una configuración de HA activa/ activa.

000 ms. El intervalo de tiempo adicional únicamente se aplica al dispositivo activo en el modo activo/pasivo y al dispositivo principal activo en el modo activo/activo. valor predeterminado: 0 ms). › Tiempo de espera ascendente tras fallo de supervisor (ms): Especifique el intervalo durante el cual el cortafuegos permanecerá activo tras un fallo de supervisor de ruta o supervisor de enlace. Configuración de HA (Continuación) Campo Descripción Configuración de elección Especifique la cantidad de tiempo (minutos) que un cortafuegos pasará en el estado no funcional antes de volverse pasivo.): Este intervalo de tiempo se aplica al mismo evento que Supervisar fallo de tiempo de espera ascendente (rango: 0-60.. valor predeterminado: 3). Palo Alto Networks Guía de referencia de interfaz web . › N. valor predeterminado: 1). valor predeterminado: 500 ms). versión 7. › Tiempo de espera para ser preferente: Introduzca el tiempo que un dispositivo secundario pasivo o activo esperará antes de tomar el control como dispositivo activo o principal activo (rango: 1-60 min.0 • 105 .Habilitación de HA en el cortafuegos Tabla 56. Se recomienda este temporizador para evitar una conmutación por error cuando ambos dispositivos experimentan el mismo fallo de supervisor de enlace/ruta simultáneamente. El valor 0 significa que no hay máximo (se necesita un número infinito de flaps antes de que el cortafuegos pasivo tome el control).º máximo de flaps: Se cuenta un flap cuando el cortafuegos deja el estado activo antes de que transcurran 15 minutos desde la última vez que dejó el estado activo. › Tiempo de espera ascendente principal adicional (min. valor predeterminado: 1 min. Este temporizador únicamente se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de enlace (rango: 1-60.000 ms.). Se recomienda este ajuste para evitar una conmutación por error de HA debido a los flaps ocasionales de los dispositivos vecinos (rango: 0-60. Puede especificar el número máximo de flaps permitidos antes de que se determine suspender el cortafuegos y que el cortafuegos pasivo tome el control (rango: 0-16.

debe configurar el puerto de gestión para la conexión de HA del enlace de control y una interfaz de puerto de datos configurada con el tipo HA para la conexión de copia de seguridad de HA1 del enlace de control. En este caso. En el cortafuegos VM-Series en AWS. • Dirección IPv4/IPv6: Introduzca la dirección IPv4 o IPv6 de la interfaz de HA1 para las interfaces de HA1 principal y de copia de seguridad.255. El ajuste de copia de seguridad es opcional. La importación/exportación de claves se realiza en la página Certificados (consulte Creación de un perfil del certificado). 106 • Guía de referencia de interfaz web . valor predeterminado: 3. Al utilizar un puerto de datos para el enlace de control de HA. si se produce un fallo en el plano de datos. La clave de HA de este dispositivo también debe exportarse desde este dispositivo e importarse al peer de HA. la información del enlace de control de HA no podrá comunicarse entre los dispositivos y se producirá una conmutación por error. como el cortafuegos PA-200.000-60. el puerto de gestión.0 Palo Alto Networks . En el caso de dispositivos que no tienen un puerto de HA específico. El ajuste de copia de seguridad es opcional. • Cifrado habilitado: Habilite el cifrado después de exportar la clave de HA desde el peer de HA e importarla a este dispositivo. Si está utilizando un puerto HA1 físico para el enlace de HA de enlace de control y un puerto de datos para el enlace de control (copia de seguridad de HA). versión 7. se recomienda habilitar la opción Copia de seguridad de heartbeat. El ajuste de copia de seguridad es opcional. Configuración de HA (Continuación) Campo Descripción Enlace de control (HA1)/Enlace de control (copia de seguridad de HA1) La configuración recomendada para la conexión del enlace de control de HA es utilizar el enlace HA1 específico entre los dos dispositivos y utilizar el puerto de gestión como interfaz de enlace de control (copia de seguridad de HA). El ajuste de copia de seguridad es opcional. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos para el puerto de HA1 específico. no necesita habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección. Especifique los siguientes ajustes para los enlaces de control de HA principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y de copia de seguridad.000 ms.255. • Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo (milisegundos) que el cortafuegos esperará antes de declarar un fallo de peer debido a un fallo del enlace de control (1. Como en este caso se está utilizando el puerto de gestión. en dispositivos que no tengan ningún puerto de HA específico.Habilitación de HA en el cortafuegos Tabla 56. Lo mejor es utilizar los puertos de HA específicos o. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos para el puerto de HA1 específico. • Máscara de red: Introduzca la máscara de red de la dirección IP (como “255. debe tener en cuenta que. • Puerta de enlace: Introduzca la dirección IP de la puerta de enlace predeterminada para las interfaces de HA1 principal y de copia de seguridad. dado que los mensajes de control tienen que comunicarse desde el plano de datos hasta el plano de gestión. Configure este ajuste para la interfaz de HA1 principal. no es necesario habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección porque las copias de seguridad de latidos ya se realizarán a través de la conexión de interfaz de gestión. el puerto de gestión se usa como el enlace HA1. Esta opción supervisa el estado del enlace físico de los puertos de HA1.000 ms).0”) para las interfaces de HA1 principal y de copia de seguridad.

Puede configurar la opción Conexión persistente de HA2 en ambos dispositivos o solamente un dispositivo del par de HA. se notificará al otro dispositivo si se produce un fallo y pasará al modo de ruta de datos divididos si se selecciona esa acción. El ajuste de copia de seguridad es opcional. › Únicamente log: Seleccione esta opción para generar un mensaje del log Sistema de nivel crítico cuando se produzca un fallo de HA2 basándose en el ajuste de umbral. El ajuste de copia de seguridad es opcional. el campo Puerta de enlace debería quedarse en blanco. – UDP: Utilice esta opción para aprovechar el hecho de que la suma de comprobación se calcula sobre todo el paquete y no solamente el encabezado. • Puerta de enlace: Especifique la puerta de enlace predeterminada de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Configuración de HA (Continuación) Campo Descripción Enlace de datos (HA2) Especifique los siguientes ajustes para el enlace de datos principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA. se producirá la acción definida (log o ruta de datos divididos). debe utilizar esta acción. Si la ruta de HA2 se recupera. • Transporte: Seleccione una de las siguientes opciones de transporte: – Ethernet: Utilice esta opción cuando los cortafuegos estén conectados opuesto con opuesto o a través de un conmutador (Ethertype 0x7261). – IP: Utilice esta opción cuando se requiera el transporte de capa 3 (número de protocolo IP: 99). En una configuración activa/pasiva.Habilitación de HA en el cortafuegos Tabla 56. ya que no es necesario dividir los datos porque no hay más de un dispositivo activo en un momento concreto. Configure este ajuste para las interfaces de HA2 principal y de copia de seguridad. versión 7. • Conexión persistente de HA2: Seleccione esta casilla de verificación para habilitar la supervisión del enlace de datos de HA2 entre los peers de HA. Si la opción se establece únicamente en un dispositivo.0 • 107 . como en la opción IP (puerto UDP 29281). La opción está deshabilitada de manera predeterminada. se generará un log informativo. solamente ese dispositivo enviará los mensajes de conexión persistente. • Dirección IP: Especifique la dirección IPv4 o IPv6 de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional. Sin embargo. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. Palo Alto Networks Guía de referencia de interfaz web . Si las direcciones IP de HA2 de los cortafuegos del par de HA están en la misma subred. • Habilitar sincronización de sesión: Habilite la sincronización de la información de la sesión con el cortafuegos pasivo y seleccione una opción de transporte. Si se produce un fallo basado en el umbral establecido. • Máscara de red: Especifique la máscara de red de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. – Acción: Seleccione la acción que debe realizarse si fallan los mensajes de supervisión basándose en el ajuste de umbral.

se producirá una conmutación por error en el enlace de copia de seguridad si hay un fallo en el enlace físico. versión 7. 108 • Guía de referencia de interfaz web . capa 2 o capa 3 cuando se necesite la supervisión de otros dispositivos de red en caso de conmutación por error y la supervisión de enlaces no sea suficiente por sí sola. La supervisión de rutas permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden.000-60. Pestaña Supervisión de enlaces y rutas (no disponible para el cortafuegos VM-Series en AWS) Supervisión de rutas Especifique lo siguiente: • Habilitado: Habilite la supervisión de rutas. valor predeterminado: 10. Utilice la supervisión de rutas para configuraciones de Virtual Wire. En una configuración activa/activa.Habilitación de HA en el cortafuegos Tabla 56.000 ms). Nota: Cuando se configura un enlace de copia de seguridad de HA2. › Umbral (ms): Tiempo durante el cual los mensajes de conexión persistente han fallado antes de que se haya activado una de las acciones anteriores (rango: 5. si el administrador o un fallo de supervisión deshabilita la sincronización de sesiones. Con la opción Conexión persistente de HA2 habilitada.000 ms. la propiedad de sesión y la configuración de sesión se establecerán como el dispositivo local y las nuevas sesiones se procesarán localmente durante la sesión. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de rutas supervisados presentan fallos al responder. Configuración de HA (Continuación) Campo continuación Descripción › Ruta de datos divididos: Esta acción está diseñada para una configuración de HA activa/activa. la conmutación por error también se producirá si fallan los mensajes de conexión persistente de HA basados en el umbral definido.0 Palo Alto Networks .

Pestaña Configuración Activa/Activa Reenvío de paquetes Palo Alto Networks Seleccione la casilla de verificación Habilitar para permitir el reenvío de paquetes a través del enlace de HA3. El enrutador local debe ser capaz de enrutar la dirección al cortafuegos. Para añadir un grupo de enlaces. VLAN o Enrutador virtual) y especifique lo siguiente: • Nombre: Seleccione un cable virtual.000 milisegundos. La supervisión de enlaces permite activar una conmutación por error cuando falla un enlace físico o un grupo de enlaces físicos. Esto es obligatorio para sesiones enrutadas asimétricamente que requieren la inspección de capa 7 para inspección de identificación de aplicaciones y usuarios (App-ID y Content-ID). • IP de destino: Introduzca una o más direcciones de destino (separadas por comas) que se supervisarán. Configuración de HA (Continuación) Campo Descripción Grupo de rutas Defina uno o más grupos de rutas para supervisar direcciones de destino específicas. Guía de referencia de interfaz web . especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre de grupo de enlaces. valor predeterminado: 10 pings). VLAN o ruta de enrutador virtual). • Intervalo de ping: Especifique el intervalo entre los pings que se envían a la dirección de destino (rango: 200-60. Grupos de enlaces Defina uno o más grupos de enlaces para supervisar enlaces Ethernet específicos. • Recuento de pings: Especifique el número de pings fallidos antes de declarar un fallo (rango: 3-10 pings.0 • 109 . • Condición de fallo: Seleccione si se produce un fallo cuando alguno o todos los enlaces seleccionados presentan fallos. versión 7. • Interfaces: Seleccione una o más interfaces Ethernet que se supervisarán. introduzca la dirección IP de origen utilizada en los paquetes sonda enviados al enrutador de siguiente salto (dirección IP de destino). VLAN o enrutador virtual en la lista de selección desplegable (la selección desplegable se rellena dependiendo de si añade un cable virtual. Para agregar un grupo de rutas. Supervisión de enlaces Especifique lo siguiente: • Habilitado: Habilite la supervisión de enlaces. • Habilitado: Habilite el grupo de enlaces. • Habilitado: Habilite el grupo de rutas. • Condición de fallo: Seleccione si se produce un fallo cuando alguna o todas las direcciones de destino especificadas presentan fallos al responder. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de enlaces supervisados presentan fallos. La dirección IP de origen para grupos de rutas asociados a enrutadores virtuales se configurará automáticamente como la dirección IP de interfaz que se indica en la tabla de rutas como la interfaz de salida (egress) para la dirección IP de destino especificada. valor predeterminado: 200 milisegundos).Habilitación de HA en el cortafuegos Tabla 56. haga clic en Añadir para el tipo de interfaz (Virtual Wire. • IP de origen: En el caso de interfaces de Virtual Wire y de VLAN.

• Primer paquete: Seleccione esta opción para que el cortafuegos que reciba el primer paquete de la sesión sea responsable de la inspección de la capa 7 de manera que admita identificación de aplicaciones y usuarios (App-ID y Content-ID). versión 7. Utilice esta opción cuando ambos dispositivos tengan velocidades de enlace similares y requieran los mismos perfiles de QoS en todas las interfaces físicas. Tiempo de espera de tentativa (seg. • Dispositivo principal: Garantiza que todas las sesiones se configuran en el cortafuegos principal. el cortafuegos intentará crear adyacencias de ruta y completar su tabla de ruta antes de procesar los paquetes. • Módulo de IP: Selecciona un cortafuegos basado en la paridad de la dirección IP de origen. Este ajuste afecta a la sincronización de la configuración de QoS en la pestaña Red. Este ajuste se recomienda principalmente para operaciones de solución de problemas. este entrará en estado de tentativa. Sin este temporizador. debe activar las tramas gigantes (Jumbo Frames) en el cortafuegos y en todos los dispositivos de red intermediarios. 60 segundos).Habilitación de HA en el cortafuegos Tabla 56. Configuración de HA (Continuación) Campo Descripción Interfaz de HA3 Seleccione la interfaz para reenviar paquetes entre peers de HA cuando está configurada en el modo activo/activo. La sincronización del enrutador virtual se puede utilizar cuando el enrutador virtual no está empleando protocolos de enrutamiento dinámico. Sincronización de QoS Sincronice la selección de perfil de QoS en todas las interfaces físicas.0 Palo Alto Networks . Esta es la configuración recomendada para reducir al mínimo el uso del enlace de reenvío de paquetes de HA3. Cuando utilice la interfaz de HA3. ya que carecería de las rutas necesarias (de forma predeterminada. Selección de propietario de sesión Especifique una de las siguientes opciones para seleccionar el propietario de sesión: • Dispositivo principal: Seleccione esta opción para que el cortafuegos principal activo gestione la inspección de capa 7 para todas las sesiones. • Hash de IP: Determina el cortafuegos de configuración mediante un hash de la dirección IP de origen o dirección IP de origen y destino y un valor de inicialización de hash si se desea una mayor aleatorización. Este temporizador define la duración que tendrá en ese estado. La política de QoS se sincroniza independientemente de este ajuste. Para habilitar las tramas gigantes (Jumbo Frames). Sincronización de VR Fuerce la sincronización de todos los enrutadores virtuales configurados en los dispositivos de HA. Durante el periodo de tentativa.) Cuando falla un cortafuegos en un estado activo/activo de HA. 110 • Guía de referencia de interfaz web . el cortafuegos de recuperación entraría en estado activo-secundario inmediatamente y bloquearía los paquetes. Configuración de sesión Seleccione el método para la configuración de sesión inicial. Ambos dispositivos deben conectarse al mismo enrutador de siguiente salto a través de una red conmutada y deben utilizar únicamente rutas estáticas. seleccione Dispositivo > Configuración < Sesión y la opción Habilitar trama gigante en la sección Configuración de sesión.

el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en la paridad de la dirección IP de los solicitantes de ARP. el otro peer tomará el control. Puede seleccionar el tipo de dirección virtual para que sea Flotante o Uso compartido de carga de ARP. – Prioridad de dispositivo 1: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. – Hash de IP: Si se selecciona esta opción. de modo que cada cortafuegos posea una y. El dispositivo con el valor más bajo tendrá la prioridad. puede utilizar el uso compartido de carga de ARP en la interfaz de LAN y una IP flotante en la interfaz de WAN. Aspectos importantes que hay que tener en cuenta al configurar la HA • La subred utilizada para la IP local y del peer no debe utilizarse en ningún otro lugar del enrutador virtual. También puede mezclar los tipos de direcciones virtuales del clúster: por ejemplo.0 • 111 . • Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo. versión 7. CLI Para probar la conmutación por error.Habilitación de HA en el cortafuegos Tabla 56. Palo Alto Networks Guía de referencia de interfaz web . vuelva a hacer clic en Añadir para introducir opciones para una dirección virtual de HA que utilizará el clúster activo/activo de HA. la dirección IP flotante pasará al peer de HA. Configuración de HA (Continuación) Campo Descripción Dirección virtual Haga clic en Añadir. Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen. el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en un hash de la dirección IP de los solicitantes de ARP. • Uso compartido de carga de ARP: Introduzca una dirección IP que compartirá el par de HA y proporcionará servicios de puerta de enlace para hosts. Si suspende el cortafuegos activo actual. • Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color ámbar en el cortafuegos pasivo. a continuación. puede desconectar el cable del dispositivo activo (o activo-principal) o puede hacer clic en este enlace para suspender el dispositivo activo. – Dirección de conmutación por error si el estado de enlace no está operativo: Utilice la dirección de conmutación por error cuando el estado del enlace esté desactivado en la interfaz. – Prioridad de dispositivo 0: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. Si falla alguno de los cortafuegos. El dispositivo con el valor más bajo tendrá la prioridad. establezca la prioridad. • Flotante: Introduzca una dirección IP que se desplazará entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. a continuación. Comandos de operación Suspender dispositivo local Cambia a Make local device functional Hace que el dispositivo de HA entre en el modo de suspensión y deshabilita temporalmente las prestaciones de HA en el cortafuegos. seleccione la pestaña IPv4 o IPv6 y. Esta opción únicamente debería utilizarse cuando el cortafuegos y los host se encuentren en el mismo dominio de difusión. Seleccione Algoritmo de selección de dispositivo: – Módulo de IP: Si se selecciona esta opción. Para volver a poner un dispositivo suspendido en un estado funcional. Debe configurar dos direcciones IP flotantes en la interfaz.

Las funciones de red. los vsys no controlan las funciones de control de dispositivos y niveles de red. El vsys predeterminado y el modo de sistemas virtuales múltiples determinan si los cortafuegos aceptan configuraciones específicas de vsys durante una compilación de plantilla: • Los cortafuegos que están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para todos los vsys definidos en la plantilla. Definición de sistemas virtuales Dispositivo > Sistemas virtuales Los sistemas virtuales (vsys) son instancias de cortafuegos (virtuales) independientes que puede gestionar por separado dentro de un cortafuegos físico. seleccionando la configuración local deseada en el cuadro de selección de la izquierda y la configuración del peer en el cuadro de selección de la derecha. pero no permite la transmisión hasta que el dispositivo vuelve a activarse. informes y funciones de visibilidad que proporciona el cortafuegos. Por ejemplo. este verá el puerto como flap debido a su desactivación y posterior activación. 112 • Guía de referencia de interfaz web . Para cada vsys puede especificar un conjunto de interfaces de cortafuegos físicas y lógicas (incluidas VLAN y Virtual Wire) y zonas de seguridad. este puerto sigue permitiendo la transmisión. Esto permite al administrador de vsys del departamento financiero gestionar las políticas de seguridad únicamente de dicho departamento. un vsys le permite segmentan la administración de todas las políticas. si desea personalizar las características de seguridad para el tráfico asociado al departamento financiero. Si necesita segmentación de rutas para cada vsys. puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de red. utilice el comando request high-availability sync-to-remote running-config. a continuación. el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el puerto. Si usa una plantilla de Panorama para definir vsys. por lo que el dispositivo vecino no detecta ningún flap. En una configuración activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de SFP+ de 10 gigabits. como el puerto Ethernet de 1 gigabit. Este comportamiento es distinto al otros puertos. interfaces y administradores. versión 7. Para optimizar la administración de políticas. Tenga en cuenta que la configuración del dispositivo desde el que introducirá la configuración sobrescribirá la configuración del dispositivo del peer. incluidos el enrutamiento estático y dinámico.Definición de sistemas virtuales • Puede comparar la configuración de los cortafuegos local y peer mediante la herramienta Auditoría de configuraciones de la pestaña Dispositivo. debe crear/asignar enrutadores virtuales adicionales y asignar interfaces. Cada vsys puede ser un cortafuegos independiente con su propia política de seguridad. y crear a su vez cuentas de administrador de vsys que permitan el acceso a vsys individuales. pertenecen a todo un cortafuegos y a todos sus vsys. cuando se produce una conmutación por error y el dispositivo activo cambia a un estado pasivo. Si cuenta con un software de supervisión en el dispositivo vecino. según corresponda. puede definir un vsys financiero y. Para sincronizar los cortafuegos desde la CLI del dispositivo activo. • Sincronice los cortafuegos desde la interfaz web pulsando el botón Introducir configuración ubicado en el widget de HA en la pestaña Panel. definir políticas de seguridad que pertenezcan únicamente a ese departamento. Aunque se desactive.0 Palo Alto Networks . puede establecer un vsys como predeterminado. VLAN y Virtual Wire.

Palo Alto Networks Guía de referencia de interfaz web . • Puede configurar rutas de servicios globales (para todos los vsys en un cortafuegos) o específicas de un vsys (consulte “Definición de la configuración de servicios”). Tabla 57. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el nombre vsys en la plantilla debe coincidir con el nombre de vsys en el cortafuegos. guiones y guiones bajos. Antes de definir una política o un objeto de las políticas. seleccione la casilla de verificación Capacidad de cortafuegos virtuales y haga clic en ACEPTAR. Antes de definir vsys. haga clic en Añadir y especifique la siguiente información. servicios y perfiles para que estén disponibles para todos los vsys (compartido) o con un único vsys.Definición de sistemas virtuales • Los cortafuegos que no están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para el vsys predeterminado. números. Los cortafuegos de las series PA-4000. Consulte la hoja de datos de su modelo de cortafuegos para obtener información sobre el número de vsys admitidos. debe habilitar primero la capacidad para varios vsys en el cortafuegos: seleccione Dispositivo > Configuración > Gestión. Para obtener información sobre el reflejo de puertos de descifrado. Permitir reenvío de contenido descifrado Seleccione esta casilla de verificación para permitir que el sistema virtual reenvíe el contenido descifrado a un servicio exterior durante el reflejo de puerto o el envío de archivos de WildFire para análisis.0 • 113 . • Puede establecer destinos de logs remotos (SNMP. Configuración de sistemas virtuales Campo Descripción ID Introduzca un identificador que sea un número entero para el vsys. • Las zonas son objetos dentro de vsys. syslog y correo electrónico). Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia adecuada. consulte Reflejo de puertos de descifrado. Los cortafuegos PA-500 y PA-200 no admiten varios sistemas virtuales. Tenga en cuenta que si no establece un vsys como predeterminado. tenga en cuenta lo siguiente: • Un administrador de vsys crea y gestiona todos los elementos necesarios para las políticas. modifique la Configuración general. Nota: Si usa una plantilla de Panorama para enviar configuraciones vsys. espacios. este campo no aparece. Nota: Si usa una plantilla de Panorama para configurar el vsys. versión 7. seleccione el sistema virtual en la lista desplegable de la pestaña Políticas u Objetos. Antes de habilitar múltiples vsys. Utilice únicamente letras. estos cortafuegos aceptan configuraciones no específicas de vsys. Esto añade una página Dispositivo > Sistemas virtuales. aplicaciones. Seleccione la página. Nombre Introduzca un nombre (de hasta 31 caracteres) para identificar el vsys. PA-5000 y PA-7000 Series admiten múltiples sistemas virtuales.

Se utiliza un único enrutador virtual para enrutar el tráfico de todos los sistemas virtuales a través de la puerta de enlace compartida. como mínimo.0 Palo Alto Networks . VLAN. El resto de sistemas virtuales se comunican con el mundo exterior a través de la interfaz física mediante una única dirección IP. Las comunicaciones que se originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace compartida requieren una política similar para las comunicaciones que pasan entre dos sistemas virtuales. • Reglas de reenvío basados en políticas: número máximo de reglas de reenvío basado en políticas (PBF). haga clic en Añadir y seleccione el objeto del menú desplegable. Configuración de sistemas virtuales (Continuación) Campo Descripción Pestaña General Seleccione un objeto de proxy de DNS si desea aplicar reglas de proxy de DNS a este vsys.Configuración de puertas de enlace compartidas Tabla 57. • Reglas de cancelación de aplicaciones: número máximo de reglas de cancelación de aplicaciones. una interfaz de capa 3 debe configurarse como puerta de enlace compartida. • Reglas de seguridad: número máximo de reglas de seguridad. Pestaña Recurso Especifique los límites de recursos permitidos para este vsys: • Límite de sesiones: número máximo de sesiones. Las puertas de enlace compartidas utilizan interfaces de capa 3 y. Puede configurar una zona “Vsys externa” para definir las reglas de seguridad en el sistema virtual. • Túneles VPN de sitio a sitio: número máximo de túneles de VPN de sitio a sitio. versión 7. • Reglas de portal cautivo: número máximo de reglas de portal cautivo (CP). Enrutador virtual o Sistema virtual visible). Para eliminar un objeto. • Reglas de protección DoS: número máximo de reglas de denegación de servicio (DoS). seleccione la casilla de verificación de ese tipo (Interfaz. Puede añadir uno o más objetos de cualquier tipo. selecciónelo y haga clic en Eliminar. Consulte “Configuración de proxy DNS”. • Reglas de descripción: número máximo de reglas de descifrado. Para incluir objetos de un tipo especial. Configuración de puertas de enlace compartidas Dispositivo > Puertas de enlace compartidas Las puertas de enlace compartidas permiten a los sistemas virtuales múltiples compartir una única comunicación externa (tradicionalmente conectada a una red ascendente común como un proveedor de servicios de Internet). • Reglas de QoS: número máximo de reglas de QoS. • Reglas de NAT: número máximo de reglas de NAT. Virtual Wire. 114 • Guía de referencia de interfaz web . • Túneles de GlobalProtect concurrentes: número máximo de usuarios de GlobalProtect remotos concurrentes.

Página de notificación de errores de certificado SSL Notificación de que un certificado SSL se ha revocado. Solo se requiere el nombre. Página de bienvenida de GlobalProtect Página de bienvenida para los usuarios que intenten iniciar sesión en el portal de GlobalProtect. guiones y guiones bajos. Página de ayuda de portal de GlobalProtect Página de ayuda personalizada para usuarios de GlobalProtect (accesible desde el portal). Utilice únicamente letras. Página de bloqueo de bloqueo de archivo Acceso bloqueado debido a que el acceso al archivo está bloqueado.0 • 115 . Nombre Introduzca un nombre para la puerta de enlace compartida (de hasta 31 caracteres). Cada sistema virtual puede tener sus propias páginas de respuesta personalizadas.Definición de páginas de respuesta personalizadas Tabla 58. Definición de páginas de respuesta personalizadas Dispositivo > Páginas de respuesta Las páginas de respuesta personalizadas son las páginas web que se muestran cuando un usuario intenta acceder a una URL. Configuración de puertas de enlace compartidas Campo Descripción ID Identificador de la puerta de enlace (no utilizado por el cortafuegos). Página de opción continua de bloqueo de archivo Página para que los usuarios confirmen que la descarga debe continuar. Página de comodidad de portal cautivo Página para que los usuarios verifiquen su nombre de usuario y contraseña para máquinas que no formen parte del dominio. números. Palo Alto Networks Guía de referencia de interfaz web . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. seleccione qué servidores DNS se deben utilizar para las consultas de nombre de dominio. Tipos de páginas de respuesta personalizadas Tipo de página Descripción Página de bloqueo de antivirus Acceso bloqueado debido a una infección por virus. Tabla 59. Proxy DNS (Optativo) Si hay un proxy DNS configurado. Página de bloqueo de aplicación Acceso bloqueado debido a que la aplicación está bloqueada por una política de seguridad. Esta opción únicamente está disponible si las prestaciones de opción continua están habilitadas en el perfil de seguridad. versión 7. La siguiente tabla describe los tipos de páginas de respuesta personalizadas que admiten mensajes del cliente. Interfaces Seleccione casillas de verificación para las interfaces que utilizará la puerta de enlace compartida. espacios. Página de inicio de sesión en el portal de GlobalProtect Página para los usuarios que intenten acceder al portal de GlobalProtect. Consulte “Perfiles de bloqueo de archivo”. Puede proporcionar un mensaje HTML personalizado que se descargará y mostrará en lugar del archivo o la página web que ha solicitado.

0 Palo Alto Networks . haga clic en el enlace Exportar del tipo de página. versión 7. 116 • Guía de referencia de interfaz web . Seleccione o cancele la selección de la casilla de verificación Habilitar. Página de bloqueo de aplicación de búsqueda segura de filtro de URL Acceso bloqueado por una política de seguridad con un perfil de filtrado de URL que tiene habilitada la opción Forzaje de búsquedas seguras. Por ejemplo. • Para habilitar o deshabilitar la página Bloqueo de aplicación o las páginas Exclusión de descifrado de SSL. Para que la importación tenga éxito. Tipos de páginas de respuesta personalizadas (Continuación) Tipo de página Descripción Página de exclusión de descifrado de SSL Página de advertencia para el usuario que indica que esta sesión se inspeccionará. Con la página de cancelación. Explore para ubicar la página. el archivo debe estar en formato HTML. haga clic en Importar o Exportar. Consulte la sección “Cancelación de administrador de URL” de la Tabla 1 para obtener instrucciones sobre cómo configurar la contraseña de cancelación. El usuario verá esta página si se realiza una búsqueda con Bing. elimine la página de bloqueo personalizada y realice una compilación. un usuario que piense que la página se bloqueó de manera inadecuada puede hacer clic en el botón Continuar para ir a la página. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. Google. Yandex o YouTube y la configuración de cuenta de su explorador o motor de búsqueda no está establecida como estricta. Yahoo. Esto establecerá la página de bloqueo predeterminada como la nueva página activa.Definición de páginas de respuesta personalizadas Tabla 59. a continuación. haga clic en el enlace Habilitar del tipo de página. Puede realizar cualquiera de las siguientes funciones bajo Páginas de respuesta: • Para importar una página de respuesta HTML personalizada. haga clic en el enlace del tipo de página que desee cambiar y. • Para exportar una página de respuesta HTML personalizada. Página de continuación y cancelación de filtrado de URL Página con política de bloqueo inicial que permite que los usuarios deriven el bloqueo. • Para usar la página de respuesta predeterminada de una página personalizada cargada anteriormente. Se mostrará un mensaje para indicar si la importación se ha realizado con éxito. La página de bloque pedirá al usuario que establezca la configuración de búsqueda segura como estricta. el usuario necesita una contraseña para cancelar la política que bloquea esta URL. Página de bloqueo de URL Acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por una política de seguridad.

el estado de la asistencia técnica del dispositivo o activar su contrato usando un código de autorización. a continuación. haga clic en Descargar archivo de asistencia técnica para recuperarlo y. • Archivo de asistencia técnica: Utilice el enlace Generar archivo de asistencia técnica para generar un archivo del sistema que pueda utilizar el grupo de asistencia técnica para facilitar la resolución de los problemas que pudiera estar experimentando el dispositivo. haga clic en el nombre de la alerta. Para ver los detalles de las alertas de producción o las alertas de aplicación y amenazas. Realice cualquiera de las siguientes funciones en esta página: • Asistencia técnica: Utilice esta sección para ver la información de contacto de la asistencia técnica de Palo Alto Networks. Tradicionalmente se utiliza como parte del proceso de evaluación.Visualización de información de asistencia técnica Visualización de información de asistencia técnica Dispositivo > Asistencia técnica Panorama > Asistencia técnica La página de asistencia le permite acceder a opciones relacionadas con la asistencia técnica. Se publicarán alertas de aplicación y amenazas si se descubren alertas de importancia. versión 7. la fecha de vencimiento y alertas de producto y seguridad de Palo Alto Networks. póngase en contacto con el ingeniero de sistemas de Palo Alto Networks o de un socio autorizado. Después de generar el archivo. donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el inicio de sesión de asistencia técnica. según el número de serie de su dispositivo (cortafuegos o dispositivo de Panorama). El AVR resalta lo que se ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden existir. • Archivo de volcado de estadísticas: Utilice el enlace Generar archivo de volcado de estadísticas para generar un conjunto de informes de XML que resuma el tráfico de red en los últimos 7 días.0 • 117 . envíelo al departamento de asistencia técnica de Palo Alto Networks. Para obtener más información sobre el informe AVR. Las alertas de producción se publicarán si hay una recuperación a gran escala o un problema urgente relacionado con una determinada publicación. Palo Alto Networks Guía de referencia de interfaz web . Una vez generado el informe. Puede ver la información de contacto de Palo Alto Networks. El ingeniero de sistemas de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un informe de riesgos y visibilidad de la aplicación (Informe AVR). haga clic en el enlace Descargar archivo de volcado de estadísticas para recuperar el informe. • Alertas de producción/Alertas de aplicación y amenazas: Estas alertas se recuperarán desde los servidores de actualización de Palo Alto Networks cuando se acceda a esta página o se actualice. • Enlaces: Esta sección proporciona un enlace a la página de inicio de asistencia técnica.

versión 7.Visualización de información de asistencia técnica 118 • Guía de referencia de interfaz web .0 Palo Alto Networks .

versión 7.0 • 119 .Capítulo 4 Configuración de red • “Definición de cables virtuales (Virtual Wires)” • “Configuración de la interfaz de un cortafuegos” • “Configuración de un enrutador virtual” • “Configuración de la compatibilidad de VLAN” • “Configuración de DHCP” • “Configuración de proxy DNS” • “Configuración de LLDP” • “Definiendo perfiles de gestiones de interfaz” • “Definición de perfiles de supervisión” • “Definición de perfiles de protección de zonas” • “Definición de perfiles LLDP” Palo Alto Networks Guía de referencia de interfaz web.

Si este ajuste no está activado. guiones y guiones bajos. el tráfico multicast se reenvía por el cable virtual. Si no selecciona esta casilla de verificación. versión 7.Definición de cables virtuales (Virtual Wires) Definición de cables virtuales (Virtual Wires) Red > Cables virtuales Utilice esta página para definir cables virtuales (Virtual Wire) después de especificar dos interfaces de cable virtual en el cortafuegos. números.0 Palo Alto Networks . deben estar separados por comas. el estado del enlace no se propaga por el cable virtual. Configuración de la interfaz de un cortafuegos Las interfaces de cortafuegos (puertos) permiten a un cortafuegos conectar con otros dispositivos de red y con otras interfaces del cortafuegos. espacios. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de cable virtual y no se han asignado a otro cable virtual. Un valor de cero indica tráfico sin etiquetar (opción predeterminada). En los siguientes temas se describen los tipos de interfaz y cómo configurarlos: ¿Qué está buscando? Consulte ¿Qué son las interfaces de cortafuegos? “Resumen de las interfaces de cortafuegos” Acabo de empezar con las interfaces de cortafuegos. El tráfico que se excluye del valor de la etiqueta se descarta. Si especifica varias etiquetas o intervalos. Etiquetas permitidas Introduzca el número de etiqueta (0 a 4094) o el intervalo de números de etiqueta (tag1-tag2) del tráfico permitido en el cable virtual. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Si utiliza subinterfaces de cable virtual. Este nombre aparece en la lista de cables virtuales cuando se configuran interfaces. Tenga en cuenta que los valores de etiqueta no se cambian en los paquetes de entrada o de salida. Tabla 60. Utilice únicamente letras. Configuración de cable virtual (cable virtual) Campo Descripción Nombre de cable virtual Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31 caracteres). Las subinterfaces de cable virtual deben utilizar etiquetas que no existen en la lista principal Tags permitidos. ¿qué componentes tienen? “Componentes comunes de las interfaces de cortafuegos” “Componentes comunes de interfaces de cortafuegos de la serie PA-7000” 120 • Guía de referencia de interfaz web. la lista Tags permitidos causará que todo el tráfico con las etiquetas de la lista se clasifique en el cable virtual principal. Interfaces Seleccione dos interfaces Ethernet de la lista de configuración de cable virtual. Envío del estado del enlace Seleccione esta casilla de verificación si desea desactivar el otro puerto en un cable virtual cuando se detecta un estado de enlace no operativo. Cortafuegos multicast Seleccione esta opción si desea poder aplicar reglas de seguridad al tráfico multicast.

capa 3 y modo tap. el cable virtual (interfaz y Palo Alto Networks Guía de referencia de interfaz web. versión 7. alta disponibilidad (HA). puede enviar y recibir tráfico a distintas velocidades de transmisión. Un cortafuegos de Palo Alto Networks puede funcionar en múltiples implementaciones de forma simultánea porque puede configurar las interfaces para admitir distintas implementaciones. cobre coaxial y fibra óptica. puede configurar las interfaces de Ethernet en un cortafuegos para implementaciones de cable virtual. Por ejemplo. Puede configurar interfaces de Ethernet como los siguientes tipos: Tap. ¿dónde puedo encontrar información sobre cómo configurar un tipo de interfaz específico? Interfaces físicas (Ethernet) “Configure la interfaz de capa 2” “Configuración de la subinterfaz de capa 2” “Configure la interfaz de capa 3” “Configuración de la subinterfaz de capa 3” “Configuración de una interfaz de cable virtual (Virtual Wire)” “Configuración de una subinterfaz de cable virtual (Virtual Wire)” “Configuración de una interfaz de Tap” “Configuración de una interfaz de tarjeta de log” “Configuración de una subinterfaz de tarjeta de log” “Configuración de una interfaz de reflejo de descifrado” “Configuración de los grupos de interfaces de agregación” “Configuración una interfaz de agregación” “Configuración de una interfaz HA” Interfaces lógicas “Configuración de una interfaz VLAN” “Configuración de una interfaz de bucle invertido” “Configuración de una interfaz de túnel” ¿Busca más información? Consulte Networking (Redes) Resumen de las interfaces de cortafuegos Las configuraciones de interfaz en los puertos de datos del cortafuegos permiten que entre y salga el tráfico del cortafuegos.0 • 121 . Las interfaces que admite el cortafuegos son: • Interfaces físicas: El cortafuegos tiene dos tipos de interfaces de Ethernet. capa 2. el reflejo de descifrado.Resumen de las interfaces de cortafuegos ¿Qué está buscando? Consulte Sé bastante sobre interfaces de cortafuegos. la tarjeta de log (interfaz y subinterfaz).

interfaces agregadas. Tabla 61. protocolo de configuración de host dinámico (DHCP) o el protocolo punto a punto sobre Ethernet (PPPoE).0 Palo Alto Networks . la capa 3 (interfaz y subinterfaz) y la Ethernet agregada. Tipo de interfaz Para las interfaces de Ethernet (Red > Interfaces > Ethernet). • Interfaces lógicas: Esto incluye interfaces de red de área local virtual (VLAN). Estado de enlace Para interfaces Ethernet.Componentes comunes de las interfaces de cortafuegos subinterfaz). Debe configurar la interfaz física antes de definir una VLAN o una interfaz de túnel. Para una dirección IPv4. consulte “Componentes comunes de interfaces de cortafuegos de la serie PA-7000”. VLAN. de bucle invertido o de túnel. 122 • Guía de referencia de interfaz web. Si selecciona Ninguno. PA-5000 y PA-3000) • Virtual Wire • Capa 2 • Capa 3 • Tarjeta de log (solo cortafuegos de la serie PA-7000) • Agregar Ethernet Perfil de gestión Seleccione un perfil que defina los protocolos (por ejemplo. se elimina la asignación del enrutador virtual actual de la interfaz. Dirección IP Configure la dirección IPv4 o IPv6 de la interfaz de Ethernet. Puede adjuntar un sufijo numérico para subinterfaces. SSH. Componentes comunes de las interfaces de cortafuegos Campo Descripción Interfaz (nombre de interfaz) El nombre de interfaz viene predefinido y no puede cambiarlo. la capa 2 (interfaz y subinterfaz). interfaces de bucle invertido e interfaces de túnel. interfaces de bucle invertido e interfaces de túnel. Enrutador virtual Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). versión 7. puede seleccionar el tipo de interfaz: • Puntear • HA • Reflejo de descifrado (solo cortafuegos de las series PA-7000. Para una descripción de componentes que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. también puede seleccionar el modo de direccionamiento de la interfaz: estático. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Componentes comunes de las interfaces de cortafuegos La siguiente tabla describe los componentes de la página Red > Interfaces que son comunes para la mayoría de tipos de interfaz. esta columna indica si la interfaz es accesible y puede recibir tráfico a través de la red: • Verde: Configurado y ascendente • Rojo: Configurado pero desactivado o inactivo • Gris: No configurado Pase el ratón sobre un icono para mostrar información sobre herramientas que indique la velocidad de enlace y los ajustes dúplex en la interfaz. Los tipos de interfaz y las velocidades de transmisión disponibles pueden variar por modelo de hardware. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. interfaces VLAN.

seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Componentes comunes de las interfaces de cortafuegos Campo Descripción Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. versión 7. debe configurar un objeto VLAN. Comentarios Una descripción de la función u objetivo de la interfaz. debe “Configuración de una interfaz de tarjeta de log” con un puerto de datos.0 • 123 . Características En las interfaces Ethernet. se elimina la asignación de zona actual de la interfaz. se elimina la asignación de VLAN de la interfaz. Componentes comunes de interfaces de cortafuegos de la serie PA-7000 La siguiente tabla describe los componentes de la página Red > Interfaces > Ethernet que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. Palo Alto Networks Guía de referencia de interfaz web.Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Tabla 61. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. Para permitir el intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a través de una interfaz de VLAN. En los cortafuegos de la serie PA-7000. por ejemplo) para editarla. Haga clic en el botón Agregar interfaz para crear una interfaz o haga clic en el nombre de una interfaz existente (ethernet1/1. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno. esta columna indica si se han habilitado las siguientes características: Protocolo de control de agregación de enlaces (LACP) Perfil de calidad del servicio (QoS) Protocolo de detección de nivel de enlace (LLDP) Perfil de flujo de red Cliente de protocolo de configuración de host dinámico (DHCP): Esta interfaz funciona como un cliente DHCP y recibir una dirección IP asignada dinámicamente. VLAN Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Si selecciona Ninguno.

seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. haga clic en el nombre de una interfaz (ethernet1/1. Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Campo Descripción Ranura Seleccione el número de ranura (1-12) de la interfaz. VLAN Interfaz de Ethernet > Configurar Para habilitar el cambio entre las interfaces de Capa 2 o para habilitar el enrutamiento a través de una interfaz VLAN. por ejemplo) que no esté configurado y especifique la siguiente información. se elimina la asignación de VLAN de la interfaz. Si selecciona Ninguno. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Interfaz (nombre de interfaz) Seleccione el nombre de una interfaz que esté asociada con la Ranura seleccionada. se elimina la asignación del servidor NetFlow actual de la interfaz.0 Palo Alto Networks . 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Si selecciona Ninguno. Solo los cortafuegos de la serie PA-7000 tienen múltiples ranuras. seleccione la Ranura 1.Configure la interfaz de capa 2 Tabla 62. seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). dúplex medio (Medio) o negociado automáticamente (Auto). Tabla 63. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Configure la interfaz de capa 2 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 2. Tipo de interfaz Interfaz Ethernet Seleccione Capa2. Configuración de interfaz de capa 2 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Si usa Panorama para configurar una interfaz para cualquier otra plataforma de cortafuegos. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. 124 • Guía de referencia de interfaz web. Si selecciona Ninguno. versión 7. se elimina la asignación de zona actual de la interfaz.

Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. Si selecciona Ninguno. seleccione una VLAN. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. se elimina la asignación de servidor NetFlow actual de la subinterfaz. se elimina la asignación de zona actual de la subinterfaz. Si selecciona Ninguno. Tabla 64. Para configurar una subinterfaz de capa 2. Si selecciona Ninguno. asígneles el mismo objeto VLAN a las subinterfaces. Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Palo Alto Networks Guía de referencia de interfaz web. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. haga clic en Añadir subinterfaz y especifique la siguiente información. Para permitir el intercambio entre subinterfaces de capa 2. seleccione una fila de interfaz física asociada. En el campo adyacente. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Comentarios Introduzca una descripción opcional para la subinterfaz. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Configuración de interfaz de capa 2 (Continuación) Campo Configurado en Descripción Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Note: El cortafuegos de la serie PA-4000 no admite esta característica. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). puede definir una interfaz lógica de capa 2 adicional (subinterfaz) para cada etiqueta VLAN asignada al tráfico que recibe el puerto. VLAN Para permitir el cambio entre las interfaces de capa 2 o para permitir el enrutamiento a través de una interfaz VLAN. desactivada (abajo) o determinado automáticamente (auto). seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona.0 • 125 . versión 7. se elimina la asignación actual de VLAN de la interfaz. Configuración de subinterfaz de capa 2 Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. Configuración de la subinterfaz de capa 2 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado con una interfaz física de capa 2. “Configure la interfaz de capa 2”.Configuración de la subinterfaz de capa 2 Tabla 63. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales.

Perfil de gestión Interfaz de Ethernet > Avanzado > Otra información Seleccione un perfil que defina los protocolos (por ejemplo. Enrutador virtual Interfaz de Ethernet > Configurar Seleccione una enrutador virtual o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). opción predeterminada 1500). Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno.Configure la interfaz de capa 3 Configure la interfaz de capa 3 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 3. dúplex medio (Medio) o negociado automáticamente (Auto). Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Note: El cortafuegos de la serie PA-4000 no admite esta característica. Si selecciona Ninguno. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. se elimina la asignación de zona actual de la interfaz. Si selecciona Ninguno. Tabla 65. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. haga clic en el nombre de una interfaz (ethernet1/1. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de la interfaz en Mbps (10. versión 7.0 Palo Alto Networks . 126 • Guía de referencia de interfaz web. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. deshabilitado (Desactivado) o determinado automáticamente (Auto). se elimina la asignación del servidor NetFlow actual de la interfaz. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. SSH. se elimina la asignación del enrutador virtual actual de la interfaz. por ejemplo) que no esté configurado y especifique la siguiente información. 100 o 1000) o modo automático. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es habilitado (Activado). Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Configuración de interfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Tipo de interfaz Interfaz Ethernet Seleccione Capa3. se elimina la asignación de perfil actual de la interfaz. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. MTU Interfaz de Ethernet > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Si selecciona Ninguno.

Subinterfaz no etiquetada Interfaz de Ethernet > Avanzado > Otra información Especifica que todas las interfaces que pertenecen a esta interfaz de capa 3 no se etiqueten. haga clic en Añadir y. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que seleccione Habilitar Proxy NDP si usa Traducción de prefijo de red IPv6 (NPTv6). Para eliminar una entrada. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Interfaz de Ethernet > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Dirección Interfaz de Ethernet > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6.Configure la interfaz de capa 3 Tabla 65. Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione esta casilla de verificación para activar el proxy del protocolo de detección de vecinos (ND) para la interfaz. el cortafuegos envía su propia dirección MAC para la interfaz y solicita todos los paquetes destinados para estas direcciones. Palo Alto Networks Guía de referencia de interfaz web.0 • 127 . Como OSPF utiliza multidifusión. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. Dirección IP Interfaz de Ethernet > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y seleccione la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. introduzca la dirección IP y MAC del vecino. Otra variable de esta forma de clasificación es que todos los paquetes de multidifusión (multicast) y difusión se asignarán a la interfaz de base en lugar de a cualquiera de las subinterfaces. selecciónela y haga clic en Eliminar. El orden de las direcciones es indiferente. este parámetro permite ajustarlo. intervalos de IP. Interfaz de Ethernet > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). a continuación. se asignará a la subinterfaz. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. no es compatible con subinterfaces sin etiquetar. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. a continuación. PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de entrada (ingress) basada en el destino del paquete. Esto también significa que un paquete que va en dirección inversa debe tener su dirección de origen traducida a la dirección IP de la subinterfaz sin etiquetar. haga clic en Añadir y. Si la casilla de verificación Habilitar Proxy NDP está seleccionada. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Idealmente. Si un paquete no cabe en el MSS sin fragmentarse. Si la dirección es una subred. Puede filtrar numerosas direcciones introduciendo una cadena de búsqueda y haciendo clic en el icono Aplicar filtro . una de estas direcciones es la misma que la traducción de origen en NPTv6. versión 7. En la respuesta ND. Si el destino es la dirección IP de una subinterfaz sin etiquetar. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred.

Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente PPPoE o DHCP. a continuación. Para una dirección IPv4 Tipo Interfaz de Ethernet > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. Para eliminar una dirección IP. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Puede introducir múltiples direcciones IP para la interfaz. versión 7.Configure la interfaz de capa 3 Tabla 65. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. • Seleccione un objeto de dirección existente de tipo máscara de red IP. 128 • Guía de referencia de interfaz web. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP.0/24 para IPv4 o 2001:db8::/32 para IPv6). Contraseña/ Confirmar contraseña Interfaz Ethernet > IPv4 > PPPoE > General Introduzca y confirme la contraseña del nombre de usuario. • Dirección IPv4 Tipo = PPPoE Habilitar Interfaz Ethernet > IPv4 > PPPoE > General Seleccione esta casilla de verificación para activar la interfaz para la terminación PPPoE.2. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. • PPPoE: el cortafuegos utilizará la interfaz para el protocolo punto a punto sobre Ethernet (PPPoE). Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). seleccione la dirección y haga clic en Eliminar. • Dirección IPv4 Tipo = Estático IP Interfaz de Ethernet > IPv4 Haga clic en Añadir y.0 Palo Alto Networks . Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Negar Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. 192. Nombre de usuario Interfaz Ethernet > IPv4 > PPPoE > General Introduzca el nombre de usuario de la conexión de punto a punto.168.

168. • Dirección IPv4 Tipo = DHCP Habilitar Palo Alto Networks Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. En modo pasivo. Dirección estática Interfaz Ethernet > IPv4 > PPPoE > Avanzado Realice uno de los siguientes pasos para especificar la dirección IP que ha asignado el proveedor de servicios de Internet (no predeterminado): Crear automáticamente ruta predeterminada que apunte al peer Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione esta casilla de verificación para crear automáticamente una ruta predeterminada que señale al peer PPPoE cuando se conecta. introduzca el nombre del concentrador de acceso. introduzca la cadena de servicio (no predeterminado). La información específica depende del ISP. en el proveedor de servicios de Internet. haga clic en este enlace para abrir un cuadro de diálogo que muestre los parámetros que el cortafuegos ha negociado con el proveedor de servicios de Internet (ISP) para establecer una conexión.Configure la interfaz de capa 3 Tabla 65. Autenticación Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione el protocolo de autenticación para las comunicaciones PPPoE: CHAP (Protocolo de autenticación por desafío mutuo). versión 7. PAP (Protocolo de autenticación de contraseña) o. 192. Pasivo Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione la casilla de verificación para utilizar el modo pasivo. un extremo PPPoE espera a que el concentrador de acceso envíe la primera trama.0/24 para IPv4 o 2001:db8::/32 para IPv6). Acceder a concentrador Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. Servicio Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. se elimina la asignación del protocolo actual de la interfaz. Auto (el cortafuegos determina el protocolo). Si selecciona Ninguno. de forma predeterminada.2. al que se conecta el cortafuegos (no predeterminado). El nivel de prioridad aumenta conforme disminuye el valor numérico. • Seleccione Ninguno para eliminar la asignación de dirección actual de la interfaz.0 • 129 . • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. • Seleccione un objeto de dirección existente de tipo máscara de red IP. optativa). Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Mostrar información de tiempo de ejecución de cliente PPPoE Interfaz Ethernet > IPv4 > PPPoE > General De forma opcional. Guía de referencia de interfaz web. introduzca una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. Métrica de ruta predeterminada Interfaz Ethernet > IPv4 > PPPoE > Avanzado Para la ruta entre el cortafuegos y el proveedor de servicios de Internet.

00:26:08:FF:FE:DE:4E:29). WINS. ID de interfaz Interfaz de Ethernet > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. la configuración del servidor (DNS. no predeterminada). el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. la puerta de enlace. la asignación de IP dinámica.Configure la interfaz de capa 3 Tabla 65. NTP. 130 • Guía de referencia de interfaz web. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. Métrica de ruta predeterminada Interfaz de Ethernet > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. El nivel de prioridad aumenta conforme disminuye el valor numérico. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. POP3 y SMTP). versión 7. Si deja este campo en blanco. NIS. la máscara de subred. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. dominio.0 Palo Alto Networks . incluidos el estado de concesión de DHCP. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de Ethernet > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP.

predeterminado 30). • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. versión 7. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. Intentos DAD Interfaz de Ethernet > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. Habilitar detección de direcciones duplicadas Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. Tiempo alcanzable Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. predeterminado 1). Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Dirección Interfaz de Ethernet > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p.) Si desea información sobre el RA. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. 2001:400:f00::1/64). Cuando caduca la duración preferida. Los campos restantes solo se aplican si habilita el RA. El valor predeterminado es de 604800. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. a continuación. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. predeterminado 1). consulte “Habilitar anuncio de enrutador” en esta tabla. ej. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. pero cualquier conexión existente es válida hasta que caduque la duración válida. Palo Alto Networks Guía de referencia de interfaz web.. configure los otros campos de esta sección.Configure la interfaz de capa 3 Tabla 65.0 • 131 . • Enviar anuncio de enrutador: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. La duración válida debe ser igual o superar la duración preferida. El valor predeterminado es de 2592000. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de Ethernet > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos.

haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. 132 • Guía de referencia de interfaz web. Cuando acaba la duración. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. Máx. predeterminado 64).Configure la interfaz de capa 3 Tabla 65. MTU de enlace Interfaz de Ethernet > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Tiempo de retransmisión (ms) Interfaz de Ethernet > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de Ethernet > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. versión 7. de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. predeterminado 600). Tiempo alcanzable (ms) Interfaz de Ethernet > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. predeterminado 1800). el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. predeterminado no especificado). El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. predeterminado no especificado). Mín.0 Palo Alto Networks . Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Si desea establecer las opciones de RA para direcciones IP individuales. active esta casilla de verificación y configure los otros campos de esta sección. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. Límite de salto Interfaz de Ethernet > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. Esta opción es un ajuste global de la interfaz. consulte “Dirección” en esta tabla). predeterminado no especificado). debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Introduzca 0 si no desea ningún límite de salto. predeterminado 200). El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. Duración de enrutador (segundos) Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. Si establece las opciones de RA para cualquier dirección IP.

el cliente utiliza este campo para seleccionar un enrutador preferido. ajustes relacionados con DNS) a través de DHCPv6. Configuración gestionada Interfaz de Ethernet > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Media (predeterminada) o Baja en relación con otros enrutadores del segmento.0 • 133 . Comprobación de coherencia Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta.Configure la interfaz de capa 3 Tabla 65. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Preferencia de enrutador Interfaz de Ethernet > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. Palo Alto Networks Guía de referencia de interfaz web. El cortafuegos envía logs sobre cualquier incoherencia. Otras configuraciones Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. versión 7.

Configuración de la subinterfaz de capa 3 Configuración de la subinterfaz de capa 3 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado como interfaz física de capa 3. Para configurar una subinterfaz de capa 3. Enrutador virtual Subinterfaz de capa3 > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). se elimina la asignación de zona actual de la subinterfaz. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Sistema virtual Subinterfaz de capa3 > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. se elimina la asignación del enrutador virtual actual de la interfaz. Zona de seguridad Subinterfaz de capa3 > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno. haga clic en Añadir subinterfaz y especifique la siguiente información. SSH. versión 7. Si selecciona Ninguno. Etiqueta Subinterfaz de capa3 Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. MTU Subinterfaz de capa3 > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. puede definir interfaces adicionales lógicas de capa 3 (subinterfaces). Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. “Configure la interfaz de capa 3”. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Perfil de flujo de red Subinterfaz de capa3 Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. se elimina la asignación de perfil actual de la interfaz. Si selecciona Ninguno. Tabla 66. 134 • Guía de referencia de interfaz web. En el campo adyacente. Configuración de subinterfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Subinterfaz de capa3 El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. seleccione una fila de interfaz física asociada. Perfil de gestión Subinterfaz de capa3 > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo.0 Palo Alto Networks . el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. Si selecciona Ninguno. opción predeterminada 1500). Note: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Subinterfaz de capa3 Introduzca una descripción opcional para la subinterfaz.

el cortafuegos envía su propia dirección MAC para la interfaz. El orden de las direcciones es indiferente. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred.Configuración de la subinterfaz de capa 3 Tabla 66. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Si se selecciona la casilla de verificación Habilitar Proxy NDP. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). selecciónela y haga clic en Eliminar. introduzca la dirección IP y MAC del vecino. Si la dirección es una subred. Dirección Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. Dirección IP Subinterfaz de capa3 > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). versión 7. a continuación.0 • 135 . este parámetro permite ajustarlo. Idealmente. intervalos de IP. una de estas direcciones es la misma que la traducción de origen en NPTv6. a continuación. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha gris). Negar Palo Alto Networks Subinterfaz de capa3 > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. Para eliminar una entrada. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Guía de referencia de interfaz web. Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic para activar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Subinterfaz de capa3 > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. haga clic en Añadir y. de modo que el cortafuegos recibirá paquetes dirigidos a las direcciones en la lista. Si un paquete no cabe en el MSS sin fragmentarse. Subinterfaz de capa3 > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. En la respuesta ND. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. haga clic en Añadir y.

La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. • Dirección IPv4 Tipo = Estático IP Subinterfaz de capa3 > IPv4 Haga clic en Añadir y. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente DHCP. a continuación.0 Palo Alto Networks . no predeterminada). NIS. incluidos el estado de concesión de DHCP. la puerta de enlace. la máscara de subred. • Cliente DHCP: permite a la subinterfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada.Configuración de la subinterfaz de capa 3 Tabla 66. 192.0/24 para IPv4 o 2001:db8::/32 para IPv6). la asignación de IP dinámica. Métrica de ruta predeterminada Subinterfaz de capa3 > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. • Dirección IPv4 Tipo = DHCP Habilitar Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. Para eliminar una dirección IP. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. dominio.168. la configuración del servidor (DNS. 136 • Guía de referencia de interfaz web. WINS. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv4 Tipo Subinterfaz de capa3 > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la subinterfaz: • Estática: debe especificar manualmente la dirección IP. Mostrar información de tiempo de ejecución de cliente DHCP Subinterfaz de capa3 > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. El nivel de prioridad aumenta conforme disminuye el valor numérico. POP3 y SMTP). introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. versión 7. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Puede introducir múltiples direcciones IP para la interfaz.2. NTP. seleccione la dirección y haga clic en Eliminar.

El valor predeterminado es de 604800.Configuración de la subinterfaz de capa 3 Tabla 66. Los campos restantes solo se aplican si habilita el RA.0 • 137 . lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. Habilitar detección de direcciones duplicadas Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. – Autónomo: Haga clic aquí si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. ID de interfaz Subinterfaz de capa3 > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo.. ej. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. 2001:400:f00::1/64). pero cualquier conexión existente es válida hasta que caduque la duración válida. • Enviar anuncio de enrutador: Haga clic aquí para habilitar el anuncio de enrutador (RA) para esta dirección IP. • Usar ID de interfaz como parte de host: Active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física.) Si desea información sobre el RA. • Difusión por proximidad: Haga clic aquí para incluir el enrutador mediante el nodo más cercano. configure los otros campos de esta sección. Palo Alto Networks Guía de referencia de interfaz web. Dirección Subinterfaz de capa3 > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. – Enlace activo: Haga clic aquí si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. a continuación. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv6 Habilitar IPv6 en la interfaz Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. predeterminado 1). 00:26:08:FF:FE:DE:4E:29). el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. Si deja este campo en blanco. La duración válida debe ser igual o superar la duración preferida. • Habilitar dirección en interfaz: Haga clic aquí para habilitar la dirección IPv6 en la interfaz. consulte “Habilitar anuncio de enrutador” en esta tabla. Intentos DAD Subinterfaz de capa3 > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. El valor predeterminado es de 2592000. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. versión 7. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. Cuando caduca la duración preferida.

Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. predeterminado 1). 138 • Guía de referencia de interfaz web. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. predeterminado 30). Intervalo NS (intervalo de solicitación de vecinos) Subinterfaz de capa3 > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. predeterminado 64). debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. predeterminado no especificado).0 Palo Alto Networks . Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. Mín. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. predeterminado 200). El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. active esta casilla de verificación y configure los otros campos de esta sección. Si establece las opciones de RA para cualquier dirección IP. Si desea establecer las opciones de RA para direcciones IP individuales. predeterminado no especificado). MTU de enlace Subinterfaz de capa3 > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Límite de salto Subinterfaz de capa3 > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. predeterminado no especificado).Configuración de la subinterfaz de capa 3 Tabla 66. Habilitar anuncio de enrutador Subinterfaz de capa3 > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Esta opción es un ajuste global de la interfaz. versión 7. consulte “Dirección” en esta tabla). Tiempo alcanzable (ms) Subinterfaz de capa3 > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Tiempo alcanzable Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. predeterminado 600). Introduzca 0 si no desea ningún límite de salto. Tiempo de retransmisión (ms) Subinterfaz de capa3 > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Máx.

Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. 2. Haga clic en el nombre de la interfaz y especifique la siguiente información. Otras configuraciones Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. si la hubiera. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. El cortafuegos envía logs sobre cualquier incoherencia.0 • 139 .Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 66. ajustes relacionados con DNS) a través de DHCPv6. Tipo de interfaz Interfaz Ethernet Seleccione Virtual Wire. crear el cable virtual usando las interfaces que ha creado. Un cable virtual no requiere ningún tipo de cambio en los dispositivos de red adyacentes. Configuración gestionada Subinterfaz de capa3 > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Duración de enrutador (segundos) Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. o solo el tráfico con etiquetas VLAN seleccionadas (no hay disponible ningún otro servicio de enrutamiento o conmutación). o una subred. Palo Alto Networks Guía de referencia de interfaz web. tal y como se describe en el siguiente procedimiento y. También puede crear subinterfaces de cable virtual y clasificar el tráfico en función de una dirección o intervalo IP. primero debe definir las interfaces Virtual Wire. Identifique la interfaz que desee utilizar para el cable virtual en la pestaña Ethernet y elimínela de la zona de seguridad actual. permitiendo que pase todo el tráfico entre los puertos. Tabla 67. versión 7. Cuando acaba la duración. predeterminado 1800). Configuración de una interfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Configuración de interfaces de cable virtual (Virtual Wire) Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. a continuación. el cliente utiliza este campo para seleccionar un enrutador preferido. Para configurar un cable virtual (Virtual Wire) en el cortafuegos. Preferencia de enrutador Subinterfaz de capa3 > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. 1. Comprobación de coherencia Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace.

Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. dúplex medio (Medio) o negociado automáticamente (Auto). Configuración de interfaces de cable virtual (Virtual Wire) (Continuación) Campo Configurado en Descripción Virtual Wire Interfaz de Ethernet > Configurar Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”).0 Palo Alto Networks . Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Si selecciona Ninguno. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. 140 • Guía de referencia de interfaz web. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 67. desactivada (abajo) o determinado automáticamente (auto). se elimina la asignación de zona actual de la interfaz. se elimina la asignación del cable virtual actual de la interfaz. Si selecciona Ninguno. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. versión 7. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona.

se elimina la asignación del enrutador virtual actual de la subinterfaz. En el campo adyacente. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. a continuación. Tabla 68. se elimina la asignación de zona actual de la subinterfaz. Configuración de subinterfaces de cable virtual (Virtual Wire) Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. “Configuración de una interfaz de cable virtual (Virtual Wire)”.0 • 141 . haga clic en Añadir subinterfaz y especifique la siguiente información. Palo Alto Networks Guía de referencia de interfaz web. haga clic en el nombre de una interfaz (ethernet1/1. Para configurar una interfaz de Tap. Si selecciona Ninguno. por ejemplo) que no esté configurada y especifique la siguiente información. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Virtual Wire Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). Si selecciona Ninguno. aplicar políticas de seguridad para el tráfico que coincida con los criterios definidos. Comentarios Introduzca una descripción opcional para la subinterfaz. Clasificador IP Haga clic en Añadir para introducir una dirección IP. asignar el tráfico etiquetado a una zona y sistema virtual diferentes y. Para añadir una subinterfaz de cable virtual. versión 7. se elimina la asignación de servidor NetFlow actual de la subinterfaz.Configuración de una subinterfaz de cable virtual (Virtual Wire) Configuración de una subinterfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el tráfico según las etiquetas VLAN o una combinación de etiqueta VLAN y clasificador IP. Si selecciona Ninguno. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. seleccione una fila de interfaz física asociada. Configuración de una interfaz de Tap Red > Interfaces > Ethernet Puede usar una interfaz de Tap para supervisar el tráfico en un puerto. Note: El cortafuegos de la serie PA-4000 no admite esta característica. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. intervalo IP o subred para clasificar el tráfico en esta subinterfaz de cable virtual. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Etiqueta Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”).

Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. se elimina la asignación de zona actual de la interfaz. Para configurar una interfaz de tarjeta de log. Si activa el reenvío de logs pero no configura ninguna interfaz como la tarjeta de log. se produce un error de compilación. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Solo un puerto del cortafuegos puede ser una interfaz de tarjeta de log. 142 • Guía de referencia de interfaz web. Un puerto de datos de tarjeta de log realiza el reenvío de logs para syslog. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. haga clic en el nombre de una interfaz (ethernet1/16. un puerto de datos debe tener un tipo de interfaz Tarjeta de log. Configuración de interfaz de Tap Campo Configurado en Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo.Configuración de una interfaz de tarjeta de log Tabla 69. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). desactivada (abajo) o determinado automáticamente (auto). Protocolo simple de administración de redes (SNMP) y reenvío de archivos WildFire. Configuración de una interfaz de tarjeta de log Red > Interfaces > Ethernet En un cortafuegos PA-7000. versión 7. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba).0 Palo Alto Networks . se elimina la asignación del servidor NetFlow actual de la interfaz. Tipo de interfaz Interfaz Ethernet Seleccione Tap. Si selecciona Ninguno. dúplex medio (Medio) o negociado automáticamente (Auto). Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. correo electrónico. Si selecciona Ninguno. Esto se debe a que las funciones de tráfico y logs de esta plataforma superan las del puerto de gestión. Descripción Note: El cortafuegos de la serie PA-4000 no admite esta característica. por ejemplo) que no esté configurada y especifique la siguiente información.

Lo mejor es hacer que la etiqueta sea igual al número de subinterfaz para una mayor facilidad de uso. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Configuración de una subinterfaz de tarjeta de log Red > Interfaces > Ethernet Para añadir una subinterfaz de tarjeta de log. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. versión 7. Configuración de la subinterfaz de tarjeta de log Campo Configurado en Descripción Nombre de interfaz Subinterfaz LPC El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz de tarjeta log que ha seleccionado. Configuración de la interfaz de tarjeta de log Campo Configurado en Descripción Ranura Interfaz Ethernet Seleccione el número de ranura (1-12) de la interfaz. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Comentarios Subinterfaz LPC Introduzca una descripción opcional para la interfaz. • Máscara de red: Máscara de red para la dirección IPv4 del puerto.0 • 143 . • Dirección IP: Dirección IPv6 del puerto. Tipo de interfaz Interfaz Ethernet Seleccione Tarjeta de log. defina lo siguiente: Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Etiqueta Subinterfaz LPC Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. En el campo adyacente. Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. haga clic en Añadir subinterfaz y especifique la siguiente información. defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. “Configuración de una interfaz de tarjeta de log”. dúplex medio (Medio) o negociado automáticamente (Auto). introduzca un sufijo numérico (1-9999) para identificar la subinterfaz.Configuración de una subinterfaz de tarjeta de log Tabla 70. • Puerta de enlace predeterminada: Dirección IPv4 de la puerta de enlace para el puerto. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. seleccione una fila de interfaz física asociada. Tabla 71. IPv6 • Dirección IP: Dirección IPv4 del puerto. desactivada (abajo) o determinado automáticamente (auto). • Puerta de enlace predeterminada: Dirección IPv6 de la puerta de enlace predeterminada para el puerto. Palo Alto Networks Guía de referencia de interfaz web.

versión 7. • Dirección IP: Dirección IPv6 del puerto. • Máscara de red: La máscara de red para la dirección IPv4 del puerto. Para permitir la función. por ejemplo) que no esté configurada y especifique la siguiente información. 144 • Guía de referencia de interfaz web. defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. puede hacer clic en el enlace Sistemas virtuales para añadir un nuevo vsys. haga clic en el nombre de una interfaz (ethernet1/1. correo electrónico. SNMP) desde la tarjeta de log.Configuración de una interfaz de reflejo de descifrado Tabla 71. defina lo siguiente: IPv6 • Dirección IP: Dirección IPv4 del puerto. Para configurar una interfaz de reflejo de descifrado. Cuando una subinterfaz LPC se asigna a vsys. El reflejo del puerto de descifrado solo está disponible en los cortafuegos de las series PA-7000. IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. Alternativamente. Configuración de una interfaz de reflejo de descifrado Red > Interfaces > Ethernet Para utilizar la función Reflejo de puerto de descifrado. Esta función permite crear una copia del tráfico descifrado desde un cortafuegos y enviarla a una herramienta de recopilación de tráfico que pueda recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivo o análisis. debe seleccionar el tipo de la interfaz Reflejo de descifrado. • Puerta de enlace predeterminada: La dirección IPv4 del puerto de enlace predeterminado para el puerto.0 Palo Alto Networks . • Puerta de enlace predeterminada: La dirección IPv6 del puerto de enlace predeterminado al puerto. Configuración de la subinterfaz de tarjeta de log (Continuación) Campo Configurado en Descripción Sistema virtual Subinterfaz LPC > Configurar Seleccione el sistema virtual (vsys) al que se asigna la subinterfaz de tarjeta de procesamiento de log (LPC). debe adquirir e instalar la licencia gratuita. PA-5000 y PA-3000. esa interfaz se usa como interfaz fuente para todos los servicios que envía logs (syslog. Aquellas organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP) necesitan esta función.

En un grupo. asigne interfaces al grupo según lo descrito en “Configuración una interfaz de agregación”. VLAN. • Si activa LACP para un grupo de agregación. enrutador virtual. PAN-OS valida esto durante la operación de compilación. Configuración de interfaz de reflejo de descifrado Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. A continuación. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). • Un grupo puede tener hasta 8 interfaces. interfaces de capa 2 o capa 3. perfil de gestión. La interfaz de agregación que cree se convertirá en una interfaz lógica. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). la compatibilidad se limita a las interfaces HA3. una vez creado el grupo. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos de las series PA-500. cable virtual. PA-4000. dúplex medio (Medio) o negociado automáticamente (Auto). PA-4000 y PA-5000. Tipo de interfaz Seleccione Reflejo de descifrado. Configuración de los grupos de interfaces de agregación Red > Interfaces > Ethernet Un grupo de interfaces de agregación le permite combinar varias interfaces Ethernet usando la agregación de enlace IEEE 802. • Los grupos de agregación admiten HA. cable virtual. Las siguientes reglas se aplican a los grupos de agregación: • En un grupo. zona de seguridad). No puede habilitar LACP para interfaces de cable virtual. • Puede usar grupos de agregación para el escalado de la redundancia y rendimiento en el enlace HA3 (reenvío de paquetes) en implementaciones de HA Activo/Activo. Puede agregar XFP de 1 Gbps o 10 Gbps y Ethernet de SPF+. de capa 2 capa 3. todas las interfaces deben ser del mismo tipo. desactivada (abajo) o determinado automáticamente (auto). Las siguientes propiedades pertenecen a la interfaz lógica. los enlaces de 1 Gbps deben ser completamente de cobre o de fibra. no a las interfaces subyacentes físicas: asignaciones de configuración (sistema virtual. direcciones IP. La compatibilidad para HA3 está limitada a los cortafuegos de las series PA-500. PA-5000 y PA-7000. Por lo tanto. Para configurar un grupo de agregación. realice operaciones como configurar parámetros de capa 2 o capa 3 en el grupo de agregación en lugar de en interfaces individuales. versión 7. haga clic en Añadir grupo de agregación y especifique la información en la siguiente tabla. entradas de Protocolo de resolución de direcciones (ARP) y entradas de Detección de vecinos (ND). Comentarios Introduzca una descripción opcional para la interfaz. PA-3000. configuración de Protocolo de control de agregación de enlace (LACP).0 • 145 .1AX. Palo Alto Networks Guía de referencia de interfaz web. PA-3000.Configuración de los grupos de interfaces de agregación Tabla 72.

configurar las pestañas Configurar y Avanzado como se en la Tabla 63. Modo Agregar interfaz Ethernet > LACP Seleccione el modo de LACP del cortafuegos. quiere que el cortafuegos cambie a una interfaz operativa en 1 segundo. De lo contrario. • Capa 2: Puede seleccionar un Perfil de flujo de red. IPv4 o IPv6 y Avanzado como se describe en la Tabla 65. En el campo adyacente introduzca un sufijo numérico (1-8) para identificar el grupo agregado. También puede seleccionar un Perfil de flujo de red y configurar la pestaña LACP como se describe abajo.0 Palo Alto Networks . Tipo de interfaz Agregar interfaz Ethernet Seleccione el tipo de interfaz. • Capa 3: También puede seleccionar un Perfil de flujo de red.Configuración de los grupos de interfaces de agregación Tabla 73. LACP está deshabilitada de manera predeterminada.1AX (al menos tres segundos). • Virtual Wire: También puede seleccionar un Perfil de flujo de red. versión 7. • Rápido: cada segundo • Lento: cada 30 segundos (este es el ajuste predeterminado) Conmutación rápida Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si. Comentarios Agregar interfaz Ethernet Introduzca una descripción opcional para la interfaz. cuando una interfaz tenga un fallo. configurar las pestañas Configurar. Habilitar LACP Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si desea habilitar el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. así como configurar las pestañas LACP que se describen abajo. Velocidad de transmisión Agregar interfaz Ethernet > LACP Seleccione la velocidad con la que el cortafuegos intercambia consultas y responde a los dispositivos peer. • Activo: el cortafuegos consulta de forma activa el estado del LACP (disponible o sin respuesta) de dispositivos de peer. también puede configurar la pestaña LACP como se describe a continuación. 146 • Guía de referencia de interfaz web. Entre cualquier par de peers LACP. y configurar las pestañas Configurar y Avanzado tal y como se describe en la Tabla 67. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). • Pasivo (predeterminado): el cortafuegos responde pasivamente a las consultas de estado del LACP procedentes de los dispositivos peer. Note: El cortafuegos de la serie PA-4000 no admite esta característica. se recomienda que uno sea activo y otro pasivo. LACP no puede funcionar si los dos peers son pasivos. que controla los requisitos de configuración y opciones que quedan: • HA: solo debe seleccionar esta opción si la interfaz es un enlace de HA3 entre dos cortafuegos en una implementación activa/activa. Perfil de flujo de red Agregar interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. el fallo se produce a la velocidad estándar definida en IEEE 802. Si selecciona Ninguno se eliminará la asignación del servidor actual NetFlow desde el grupo de interfaz agregado. Agregar configuración de grupo de interfaz Campo Configurado en Descripción Nombre de interfaz Agregar interfaz Ethernet El campo Nombre de interfaz de solo lectura se define como ae.

es posible que uno tenga un ID del sistema mayor que los peers del LACP y el otro un ID del sistema menor. de forma que PAN-OS las asigne automáticamente. Si ambos cortafuegos tienen la misma dirección MAC.0 • 147 . Debe verificar que la dirección es única globalmente. el ID del sistema de cada uno puede ser igual o distinto.Configuración de los grupos de interfaces de agregación Tabla 73. El intervalo es 1-65535 y el valor predeterminado es 32768. cuando el fallo se produzca en los cortafuegos. Si el número de interfaces asignadas supera el número de interfaces activas. más alta es la prioridad. dependiendo de si asigna o no la misma dirección MAC. o introduzca la suya propia. ambos tendrán el mismo ID del sistema. Agregar interfaz Ethernet > LACP Número de interfaces (1-8) que pueden ser activas en cualquier momento en un grupo de agregación del LACP. la prioridad de puerto cambia entre los peers del LACP y el cortafuegos que se activa. el LACP utiliza los valores de ID del sistema para determinar qué cancela al otro con respecto a las prioridades del puerto. Observe que cuanto más bajo es el número. en una implementación activa/pasiva. usando la dirección MAC única de cada cortafuegos. Puede establecer prioridades de puerto al configurar interfaces individuales para el grupo. El valor no puede superar el número de interfaces asignadas al grupo. Misma dirección MAC del sistema para modo ActivoPasivo de HA Agregar interfaz Ethernet > LACP Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. PAN-OS ignora este campo. (Los cortafuegos de una implementación activa/activa requieren direcciones MAC únicas. para ambos cortafuegos del par de HA. Si los cortafuegos no están en modo de HA activo/pasivo. el cortafuegos utiliza las prioridades del puerto de las interfaces para determinar cuáles están en modo de espera. Dirección MAC Palo Alto Networks Agregar interfaz Ethernet > LACP Si ha activado Usar la misma dirección MAC del sistema. Cuando los peers del LACP (también en modo de HA) se virtualizan (apareciendo para la red como un dispositivo único). Puertos máx. se recomienda minimizar la latencia del fallo. Agregar configuración de grupo de interfaz (Continuación) Campo Configurado en Descripción Prioridad del sistema Agregar interfaz Ethernet > LACP Número que determina si el cortafuegos o su peer sobrescribe el otro con respecto a las prioridades del puerto (consulte la descripción del campo Puertos máx. que será mayor o menor que el ID del sistema de los peers del LACP. usando la misma dirección MAC del sistema para los cortafuegos. Cuando los peers del LACP no se virtualizan. Sin embargo. Si los cortafuegos de HA tienen direcciones MAC únicas.) LACP utiliza la dirección MAC para derivar un ID de sistema a cada peer del LACP. En este caso. seleccione una dirección MAC generada por el sistema. versión 7. Guía de referencia de interfaz web. Si el par del cortafuegos y el par de peers tienen valores de prioridad del sistema idénticos. que aparece a continuación). se recomienda minimizar la latencia durante el fallo.

Capa3). Especifique la siguiente información para la interfaz. Configuración de una interfaz HA Red > Interfaces > Ethernet Todas las interfaces de alta disponibilidad (HA) tienen una función específica: una interfaz se utiliza para la sincronización de la configuración y latidos y la otra interfaz se utiliza para la sincronización del estado. Tabla 74. la prioridad de puerto asignada a cada interfaz determina si está activa o en espera. más alta es la prioridad. Tipo de interfaz Seleccione Agregar Ethernet.Configuración una interfaz de agregación Configuración una interfaz de agregación Red > Interfaces > Ethernet Para configurar una interfaz Ethernet agregado. Para los valores que no coinciden. En este caso. Comentarios Introduzca una descripción opcional para la interfaz. desactivada (abajo) o determinado automáticamente (auto). aunque cambiará el tipo a Agregar Ethernet cuando la configure. Cuanto más bajo es el valor numérico. La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregación (por ejemplo. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). la operación de compilación muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad más alta y dúplex completo.0 Palo Alto Networks . Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. (En la configuración del grupo de agregación. el parámetro Puertos máx. Configuración de interfaz de Ethernet de agregación Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Agregar grupo Asigne la interfaz a un grupo de agregación. Si se activa la alta disponibilidad activa/activa. dúplex medio (Medio) o negociado automáticamente (Auto). determina el número de interfaces activas). Prioridad de puerto LACP El cortafuegos solo utiliza este campo si ha activado el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. versión 7. el cortafuegos puede usar una tercera interfaz de HA para reenviar los paquetes. Un grupo de agregación podría tener más interfaces de las que admite en los estados activos. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). “Configuración de los grupos de interfaces de agregación” y haga clic en el nombre de la interfaz que asignará al grupo agregado. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. se recomienda seleccionar la misma Velocidad de enlace y Dúplex de enlace para cada interfaz del grupo. El intervalo es 1-65535 y el valor predeterminado es 32768. Si activa el protocolo de control de agregación de enlaces (LACP) para el grupo de agregación. 148 • Guía de referencia de interfaz web.

Si desea más información sobre HA. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). versión 7. Note: El cortafuegos de la serie PA-4000 no admite esta característica. escriba un sufijo numérico (1-9999) para identificar la interfaz. Para configurar una interfaz de HA. debe especificar los puertos de datos que se utilizarán para HA. Tipo de interfaz Seleccione HA. Tabla 75. Puede añadir uno o más puertos de Ethernet de capa 2 (consulte “Configure la interfaz de capa 2”) a una interfaz VLAN. desactivada (abajo) o determinado automáticamente (auto). Comentarios Introduzca una descripción opcional para la interfaz. por ejemplo) que no esté configurada y especifique la siguiente información. consulte “Habilitación de HA en el cortafuegos”. En el campo adyacente. Tabla 76. dúplex medio (Medio) o negociado automáticamente (Auto). se elimina la asignación del servidor NetFlow actual de la interfaz. Comentarios Interfaz de VLAN Introduzca una descripción opcional para la interfaz. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10.Configuración de una interfaz VLAN Algunos cortafuegos de Palo Alto Networks incluyen puertos físicos exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de datos). Configuración de interfaz HA Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Palo Alto Networks Guía de referencia de interfaz web. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Configuración de interfaz VLAN Campo Configurado en Descripción Nombre de interfaz Interfaz de VLAN El campo Nombre de interfaz de solo lectura se define como vlan. En el caso de cortafuegos que no incluyen puertos exclusivos. Perfil de flujo de red Interfaz de VLAN Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Configuración de una interfaz VLAN Red > Interfaces > VLAN Una interfaz VLAN puede proporcionar enrutamiento a una red de capa 3 (IPv4 e IPv6). Si selecciona Ninguno.0 • 149 . 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. haga clic en el nombre de una interfaz (ethernet1/1.

Dirección MAC Interfaz Dirección IPv6 Dirección MAC 150 • Guía de referencia de interfaz web. SSH. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Perfil de gestión Interfaz de VLAN > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. opción predeterminada 1500). MTU Interfaz de VLAN > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Dirección IP Interfaz de VLAN > Avanzado > Entradas de ARP Para añadir una o más entradas de protocolo de resolución de direcciones (ARP) estáticas. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Si selecciona Ninguno. selecciónela y haga clic en Eliminar. se elimina la asignación de VLAN de la interfaz. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción VLAN Interfaz de VLAN > Configurar Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva (consulte “Configuración de la compatibilidad de VLAN”). Para eliminar una entrada. a continuación.Configuración de una interfaz VLAN Tabla 76. se elimina la asignación de zona actual de la interfaz.0 Palo Alto Networks . Enrutador virtual Interfaz de VLAN > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Si selecciona Ninguno. versión 7. se elimina la asignación de perfil actual de la interfaz. Ajustar TCP MSS Interfaz de VLAN > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Sistema virtual Interfaz de VLAN > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. introduzca la dirección IPv6 y MAC del vecino. Si selecciona Ninguno. se elimina la asignación del enrutador virtual actual de la interfaz. haga clic en Añadir y. haga clic en Añadir e introduzca una dirección IP y la dirección (Media Access Control o MAC) de su hardware asociado y seleccione una interfaz de capa 3 que pueda acceder a la dirección del hardware. Interfaz de VLAN > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). Si selecciona Ninguno. Zona de seguridad Interfaz de VLAN > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. este parámetro permite ajustarlo. Si un paquete no cabe en el MSS sin fragmentarse.

192. a continuación. intervalos de IP. Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). Puede introducir múltiples direcciones IP para la interfaz. Si se selecciona la casilla de verificación Habilitar Proxy NDP. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar Proxy NDP Interfaz de VLAN > Avanzado > Proxy NDP Seleccione para habilitar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. Para una dirección IPv4 Tipo Interfaz de VLAN > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/ activo no admiten el cliente DHCP. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha verde). versión 7.Configuración de una interfaz VLAN Tabla 76. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. una de estas direcciones es la misma que la traducción de origen en NPTv6. Para eliminar una dirección IP.2. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. Idealmente. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Palo Alto Networks Guía de referencia de interfaz web.168. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. El orden de las direcciones es indiferente. el cortafuegos envía su propia dirección MAC para la interfaz y básicamente solicita todos los paquetes destinados para estas direcciones.0/24 para IPv4 o 2001:db8::/32 para IPv6). el cortafuegos enviará una respuesta ND para todas las direcciones de la subred. • Dirección IPv4 Tipo = Estático IP Interfaz de VLAN > IPv4 Haga clic en Añadir y. Si la dirección es una subred. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Dirección Interfaz de VLAN > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Negar Interfaz de VLAN > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. En la respuesta ND. seleccione la dirección y haga clic en Eliminar. • Seleccione un objeto de dirección existente de tipo máscara de red IP. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP.0 • 151 .

incluidos el estado de concesión de DHCP. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de VLAN > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP.Configuración de una interfaz VLAN Tabla 76. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. NIS. dominio. la puerta de enlace. Métrica de ruta predeterminada Interfaz de VLAN > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. la máscara de subred. POP3 y SMTP). introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. WINS.0 Palo Alto Networks . la asignación de IP dinámica. 00:26:08:FF:FE:DE:4E:29). ID de interfaz Interfaz de VLAN > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. Crear automáticament e ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. no predeterminada). Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción • Dirección IPv4 Tipo = DHCP Habilitar Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. El nivel de prioridad aumenta conforme disminuye el valor numérico. NTP. Si deja este campo en blanco. la configuración del servidor (DNS. 152 • Guía de referencia de interfaz web. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. versión 7.

predeterminado 30). lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. a continuación. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. La duración válida debe ser igual o superar la duración preferida. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. Cuando caduca la duración preferida. Palo Alto Networks Guía de referencia de interfaz web. Intentos DAD Interfaz de VLAN > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. Habilitar detección de direcciones duplicadas Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. • Enviar RA: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. ej. Los campos restantes solo se aplican si habilita el RA. consulte “Habilitar anuncio de enrutador” en esta tabla. versión 7. El valor predeterminado es de 2592000. Tiempo alcanzable Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos.0 • 153 . predeterminado 1). pero cualquier conexión existente es válida hasta que caduque la duración válida. configure los otros campos de esta sección.Configuración de una interfaz VLAN Tabla 76. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección.. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. predeterminado 1). – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de VLAN > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. El valor predeterminado es de 604800. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Dirección Interfaz de VLAN > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. 2001:400:f00::1/64).) Si desea información sobre el RA. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz.

Tiempo alcanzable (ms) Interfaz de VLAN > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Si establece las opciones de RA para cualquier dirección IP. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. Tiempo de retransmisión (ms) Interfaz de VLAN > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. versión 7. Si desea establecer las opciones de RA para direcciones IP individuales. 154 • Guía de referencia de interfaz web. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000.0 Palo Alto Networks . Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. MTU de enlace Interfaz de VLAN > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de VLAN > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. Límite de salto Interfaz de VLAN > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. Introduzca 0 si no desea ningún límite de salto. Mín.Configuración de una interfaz VLAN Tabla 76. Cuando acaba la duración. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Esta opción es un ajuste global de la interfaz. predeterminado 64). Duración de enrutador (segundos) Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. Preferencia de enrutador Interfaz de VLAN > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. active esta casilla de verificación y configure los otros campos de esta sección. Máx. predeterminado no especificado). predeterminado 1800). predeterminado 200). el cliente utiliza este campo para seleccionar un enrutador preferido. debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. predeterminado 600). de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. predeterminado no especificado). predeterminado no especificado). Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. consulte “Dirección” en esta tabla). el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones.

Sistema virtual Interfaz de bucle invertido > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Note: El cortafuegos de la serie PA-4000 no admite esta característica. SSH. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Configuración gestionada Interfaz de VLAN > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. se elimina la asignación de perfil actual de la interfaz. El cortafuegos envía logs sobre cualquier incoherencia. Configuración de interfaz de bucle invertido Campo Configurado en Descripción Nombre de interfaz Interfaz de bucle invertido El campo Nombre de interfaz de solo lectura se define como bucle invertido. se elimina la asignación del enrutador virtual actual de la interfaz. se elimina la asignación del servidor NetFlow actual de la interfaz. Zona de seguridad Interfaz de bucle invertido > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Palo Alto Networks Guía de referencia de interfaz web. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. ajustes relacionados con DNS) está disponible a través de DHCPv6. versión 7. Si selecciona Ninguno. Enrutador virtual Interfaz de bucle invertido > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). se elimina la asignación de zona actual de la interfaz. Si selecciona Ninguno. escriba un sufijo numérico (1-9999) para identificar la interfaz. Perfil de flujo de red Interfaz de bucle invertido Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Comentarios Interfaz de bucle invertido Introduzca una descripción opcional para la interfaz. Si selecciona Ninguno.Configuración de una interfaz de bucle invertido Tabla 76. En el campo adyacente. Otras configuraciones Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. Comprobación de coherencia Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace.0 • 155 . seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Configuración de una interfaz de bucle invertido Red > Interfaces > Bucle invertido Tabla 77.

Puede introducir múltiples direcciones IP para la interfaz. 00:26:08:FF:FE:DE:4E:29). • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Para una dirección IPv4 IP Interfaz de bucle invertido > IPv4 Haga clic en Añadir y. Dirección Interfaz de bucle invertido > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Si un paquete no cabe en el MSS sin fragmentarse..168. Si deja este campo en blanco. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. seleccione la dirección y haga clic en Eliminar. versión 7. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de bucle invertido > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. a continuación.Configuración de una interfaz de bucle invertido Tabla 77. 2001:400:f00::1/64). opción predeterminada 1500). 192. Para eliminar una dirección IP. ej.0/24 para IPv4 o 2001:db8::/32 para IPv6). el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. 156 • Guía de referencia de interfaz web. Ajustar TCP MSS Interfaz de túnel > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. este parámetro permite ajustarlo. Configuración de interfaz de bucle invertido (Continuación) Campo Configurado en Descripción MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física.0 Palo Alto Networks . • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. ID de interfaz Interfaz de bucle invertido > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. • Seleccione un objeto de dirección existente de tipo máscara de red IP.2.

se elimina la asignación del enrutador virtual actual de la interfaz. opción predeterminada 1500). SSH. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Si selecciona Ninguno. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Interfaz de túnel Introduzca una descripción opcional para la interfaz. Configuración de interfaz de túnel Campo Configurado en Descripción Nombre de interfaz Interfaz de túnel El campo Nombre de interfaz de solo lectura se define como túnel.Configuración de una interfaz de túnel Configuración de una interfaz de túnel Red > Interfaces > Túnel Tabla 78. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). escriba un sufijo numérico (1-9999) para identificar la interfaz. Si selecciona Ninguno. Perfil de flujo de red Interfaz de túnel Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU.0 • 157 . el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. se elimina la asignación de perfil actual de la interfaz. Sistema virtual Interfaz de túnel > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Si selecciona Ninguno. versión 7. Enrutador virtual Interfaz de túnel > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Zona de seguridad Interfaz de túnel > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Si selecciona Ninguno. se elimina la asignación de zona actual de la interfaz. En el campo adyacente. MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. se elimina la asignación del servidor NetFlow actual de la interfaz. Palo Alto Networks Guía de referencia de interfaz web.

Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de túnel > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. a continuación. seleccione la dirección y haga clic en Eliminar. de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un enrutador virtual. La definición de enrutadores virtuales permite configurara reglas de reenvío de capa 3 y activar el uso de protocolos de enrutamiento dinámicos. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo.168. • Seleccione un objeto de dirección existente de tipo máscara de red IP. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección.. 00:26:08:FF:FE:DE:4E:29). Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. Puede introducir múltiples direcciones IP para la interfaz. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. 192. ej. Si deja este campo en blanco.Configuración de un enrutador virtual Tabla 78. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física.0/24 para IPv4 o 2001:db8::/32 para IPv6). • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. ID de interfaz Interfaz de túnel > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. Configuración de interfaz de túnel (Continuación) Campo Configurado en Descripción Para una dirección IPv4 IP Interfaz de túnel > IPv4 Haga clic en Añadir y. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. versión 7. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. según exija su topología de red: 158 • Guía de referencia de interfaz web. 2001:400:f00::1/64). • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP.0 Palo Alto Networks . Para eliminar una dirección IP. Todas las interfaces de capa 3. La definición de un enrutador virtual requiere la configuración de la asignación de los ajustes en la pestaña Configuración de enrutador > General y en cualquiera de las siguientes pestañas. Dirección Interfaz de túnel > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Cada interfaz solo puede pertenecer a un único enrutador virtual. Configuración de un enrutador virtual Red > Enrutadores virtuales Utilice esta página para definir enrutadores virtuales.2.

opción predefinida 200). • Pestaña OSPFv3: Consulte “Configuración de la pestaña OSPFv3”. • IBGP (10-240. Utilice únicamente letras. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de enrutador virtual . Guía de referencia de interfaz web. se incluye en el enrutador virtual y se puede utilizar como una interfaz de salida en la pestaña de enrutamiento del enrutador virtual. • OSPF Ext (10-240. • Pestaña Perfil de redistribución: Consulte “Configuración de la pestaña Perfiles de redistribución”. opción predefinida 20). Interfaces Seleccione las interfaces que desea incluir en el enrutador virtual.Configuración de un enrutador virtual • Pestaña Rutas estáticas: Consulte “Configuración de la pestaña Rutas estáticas”. Configuración de la pestaña General Red > Enrutador virtual > Configuración de enrutador > General Todas las configuraciones del enrutador virtual exigen que añada interfaces de capa 3 y cifras de distancia administrativa según se describe en la siguiente tabla: Tabla 79. Para especificar el tipo de interfaz. • OSPF Int (10-240. guiones y guiones bajos. en la página Red > Enrutadores virtuales. • Pestaña Multidifusión: Consulte “Configuración de la pestaña Multidifusión”. Cuando selecciona una interfaz. sus rutas conectadas se añaden automáticamente. Distancias administrativas Palo Alto Networks Especifique las siguientes distancias administrativas: • Rutas estáticas (10-240. opción predefinida 10). Cuando añade una interfaz. • Pestaña ECMP: Consulte “Componentes del ECMP”. • Pestaña OSPF: Consulte “Configuración de la pestaña OSPF”. espacios. versión 7. consulte “Configuración de la interfaz de un cortafuegos”.Pestaña General Campo Descripción Nombre Especifique un nombre para identificar el enrutador virtual (de hasta 31 caracteres). puede ver información sobre un enrutador virtual concreto haciendo clic en Más estadísticas de tiempo de ejecución en la última columna. • Pestaña BGP: Consulte “Configuración de la pestaña BGP”. Cuando ha configurado una porción de un enrutador virtual. • Enlace Más estadísticas de tiempo de ejecución: Consulte “Más estadísticas de tiempo de ejecución para un enrutador virtual”. opción predefinida 30). • EBGP (10-240. • RIP (10-240. números. • Pestaña RIP: Consulte “Configuración de la pestaña RIP”.0 • 159 . opción predefinida 120). opción predefinida 110).

números. • Dirección IP: Especifique la dirección IP del siguiente enrutador de salto. Esta opción permite configurar rutas internamente entre enrutadores virtuales en un único cortafuegos. Aplique perfiles de redistribución a los protocolos RIP y OSPF definiendo reglas de exportación.0. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Haga clic en la pestaña IP o IPv6 para especificar la ruta mediante direcciones IPv4 o IPv6.65535). Tabla 80. espacios. Aplique perfiles de redistribución a BGP en la pestaña Reglas de redistribución.2. 160 • Guía de referencia de interfaz web. establecer la prioridad y realizar acciones basadas en el comportamiento de red deseado. guiones y guiones bajos. opción predefinida 10). Sin las reglas de redistribución. Utilice únicamente letras. Destino Introduzca una dirección IP y una máscara de red en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. cada uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su ámbito.Pestaña Rutas estáticas Campo Descripción Nombre Introduzca un nombre para identificar la ruta estática (de hasta 31 caracteres). Aquí suele ser necesario configurar las rutas predefinidas (0. o ambos.168.0/24 para IPv4 o 2001:db8::/32 para IPv6).Configuración de un enrutador virtual Configuración de la pestaña Rutas estáticas Red > Enrutador virtual > Rutas estáticas Opcionalmente puede introducir una o más rutas estáticas. 192.0 Palo Alto Networks . La ruta se retiene en la configuración para su referencia futura. • Descartar: Seleccione esta opción si desea descartare l tráfico que se dirige a este destino. versión 7.0/0). La redistribución de rutas permite a las rutas estáticas y a las rutas adquiridas por otros protocolos anunciarse mediante protocolos de enrutamiento específicos. Métrica Especifique una medida para la ruta estática (1 . Consulte la tabla siguiente. Interfaz Seleccione la interfaz para reenviar paquetes al destino o configure el siguiente salto. Siguiente salto Especifique los siguientes ajustes de salto: • Ninguno: Seleccione esta opción si no existe el siguiente salto en la ruta. Los perfiles de redistribución se deben aplicar a los protocolos de enrutamiento para que surtan efecto. • Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como el siguiente salto. Los perfiles de redistribución se pueden añadir o modificar después de configurar todos los protocolos de enrutamiento y de establecer la topología de red resultante. No instalar Seleccione esta opción si no desea instalar la ruta en la tabla de reenvíos. Configuración de la pestaña Perfiles de redistribución Red > Enrutador virtual > Perfiles de redistribución Los perfiles de redistribución dirigen el cortafuegos para filtrar. Distancia administrativa Especifique la distancia administrativa de la ruta estática (10-240. Las rutas predefinidas se aplican a destinos que de otro modo no se encontrarían en la tabla de enrutamiento del enrutador virtual. Configuración de enrutador virtual .0.

Interfaz Seleccione las interfaces para especificar las interfaces de reenvío de la ruta de candidato. Pestaña Filtro OSPF Tipo de ruta Seleccione las casillas de verificación para especificar los tipos de ruta de candidato OSPF.x.x.x. Los perfiles se muestran en orden (con los números más bajos primero). Introduzca un valor de etiqueta numérica (1-255) y haga clic Añadir. haga clic en el icono asociado con la entrada. versión 7.x. Pestaña Filtro BGP Comunidad Especifique una comunidad para la política de enrutamiento BGP. Para eliminar una entrada. Prioridad Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. Comunidad extendida Especifique una comunidad extendida para la política de enrutamiento BGP. haga clic en el icono asociado con la entrada. introduzca la dirección IP o la subred de destino (con el formato x.x.x/n) y haga clic en Añadir.x. • No hay ninguna redistribución: Seleccione si no se realizará ningún tipo de redistribución. Palo Alto Networks Guía de referencia de interfaz web.0 • 161 . Si selecciona esta opción. Redistribuir Seleccione si la redistribución de la ruta se realizará según los ajustes de esta ventana. introduzca un nuevo valor métrico. y haga clic en Añadir.x).Pestaña Perfiles de redistribución Campo Descripción Nombre Haga clic en Añadir para mostrar la página Perfil de redistribución e introduzca el nombre del perfil. Pestaña Filtro general Tipo Seleccione las casillas de verificación para especificar los tipos de ruta de candidato.x. Área Especifique el identificador de área de la ruta de candidato OSPF. haga clic en el icono asociado con la entrada.x. Para eliminar una entrada.x.x o x. Introduzca el ID de área OSPF (con el formato x.x. Siguiente salto Para especificar la puerta de enlace de la ruta de candidato. introduzca la dirección IP o la subred (con el formato x. Para eliminar una entrada.Configuración de un enrutador virtual Tabla 81.x/n) que represente el siguiente salto y haga clic en Añadir. Destino Para especificar el destino de la ruta de candidato. Un valor métrico inferior significa una ruta más preferible. Configuración de enrutador virtual .x o x.: Seleccione si la redistribución se realizará con rutas de candidato coincidentes. Etiqueta Especifique los valores de etiqueta OSPF. • Redistr. haga clic en el icono asociado con la entrada. Para eliminar una entrada.

Configuración de un enrutador virtual Configuración de la pestaña RIP Red > Enrutador virtual > RIP La configuración del protocolo de información de enrutamiento (RIP) requiere que se establezcan los siguientes ajustes generales: Tabla 82. Métrica Especifique un valor métrico para el anuncio del enrutador. Configuración de RIP – Pestaña Interfaces Campo Descripción Interfaces Interfaz Seleccione la interfaz que ejecuta el protocolo RIP. Además. • Pestaña Temporizadores: Consulte “Configuración de la pestaña Temporizadores”. Anunciar Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor métrico especificado. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante RIP. Pasivo o Enviar únicamente. 162 • Guía de referencia de interfaz web. Perfil de autenticación Seleccione el perfil. Configuración de enrutador virtual .Pestaña RIP Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo RIP. Configuración de la pestaña Interfaces Red > Enrutador virtual > RIP > Interfaces En la siguiente tabla se describen los ajustes de la pestaña Interfaces. se deben configurar ajustes en las siguientes pestañas: • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”.0 Palo Alto Networks . Habilitar Seleccione esta opción para habilitar estos ajustes. Modo Seleccione Normal. versión 7. Este campo solo es visible si se ha seleccionado la casilla de verificación Anunciar. Es muy recomendable seleccionar esta casilla de verificación. Tabla 83.

versión 7.3600). aplíquelos a las interfaces en la pestaña RIP. a continuación. • Si selecciona Sencillo. a continuación. introduzca la contraseña sencilla y. haga clic en ACEPTAR.Configuración de un enrutador virtual Configuración de la pestaña Temporizadores Red > Enrutador virtual > RIP > Temporizadores En la siguiente tabla se describen los ajustes de la pestaña Temporizadores. incluyendo ID de clave (0-255). Intervalos de eliminación Introduzca el número de intervalos entre la hora de vencimiento de la ruta hasta su eliminación (1. Clave y. Configuración de RIP – Pestaña Temporizadores Campo Descripción Temporizadores Segundos del intervalo (seg) Defina la duración del intervalo de tiempo en segundos. • Si selecciona MD5. el estado Preferido. Palo Alto Networks Guía de referencia de interfaz web. Tabla 84. Haga clic en Añadir en cada entrada y. Seleccione el tipo de contraseña (simple o MD5).3600). Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > RIP > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. opcionalmente. Intervalo de actualizaciones Introduzca el número de intervalos entre los anuncios de actualización de rutas (1 . seleccione la opción Preferido. Intervalos de vencimiento Introduzca el número de intervalos entre la última hora de actualización de la ruta hasta su vencimiento (1.60). Configuración de RIP – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Tipo de contraseña Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP.0 • 163 . Esta duración se utiliza para el resto de los campos de temporización de RIP (1 . primero defina los perfiles de autenticación y a continuación. confirme. Tabla 85. introduzca una o más entradas de contraseña.3600). Para autenticar mensajes RIP.

0 Palo Alto Networks . el filtro.Configuración de un enrutador virtual Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > RIP > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Es muy recomendable seleccionar esta casilla de verificación. en función del comportamiento de red deseado. Configuración del enrutador virtual . versión 7. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. 164 • Guía de referencia de interfaz web. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. especialmente en rutas estáticas. Consulte “Configuración de la pestaña Perfiles de redistribución”. • Pestaña Reglas de exportación: Consulte “. Tabla 86. • Perfil de redistribución: Seleccione un perfil de redistribución que permite modificar la redistribución de la ruta. • Permitir redistribución de ruta predeterminada: Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predeterminada a los peers.Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. Además. la prioridad y la acción. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. Configuración de la pestaña OSPF Red > Enrutador virtual > OSPF La configuración del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los siguientes ajustes generales: Tabla 87. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual. Configuración de RIP – Pestaña Reglas de exportación Campo Descripción Reglas de exportación Reglas de exportación (Solo lectura) Muestra las rutas aplicables a las rutas que envía el enrutador virtual a un enrutador de recepción.Configuración de la pestaña Reglas de exportación”.

También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del área de código auxiliar. Tabla 88.x. Para acceder a un destino fuera del área. Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. Es el identificador que cada vecino debe aceptar para formar parte de la misma área. Tipo Seleccione una de las siguientes opciones. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas.0 • 165 .Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPF > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. • NSSA (Not-So-Stubby Area.x. Introduzca un identificador del área en formato x.x. seleccione Aceptar resumen si desea aceptar este tipo de LSA. pero solo mediante rutas que no sean OSPF. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. área no totalmente de código auxiliar): Es posible salir del área directamente. es necesario atravesar el límite. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. • Código auxiliar: No hay salida desde el área. versión 7. junto con el valor métrico asociado (1-255). que conecta con el resto de áreas. junto con el valor métrico asociado (1-255). Configuración de OSPF – Pestaña Áreas Campo Descripción Áreas ID de área Configure el área en el que los parámetros OSPF se pueden aplicar. Repita esta acción para añadir intervalos adicionales. • Normal: No hay restricciones. Si selecciona esta opción. el área puede aceptar todos los tipos de rutas. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. Intervalo Palo Alto Networks Haga clic en Añadir para añadir direcciones de destino LSA en el área en subredes. Si selecciona esta opción. Guía de referencia de interfaz web.

• Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). Por ejemplo. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. la interfaz se incluirá en la base de datos de LSA. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. si selecciona esta opción. como una interfaz Ethernet. Valor predeterminado: 10 segundos. Intervalo: 1-10 segundos.0 Palo Alto Networks . Intervalo: 0-3600 segundos. de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. 166 • Guía de referencia de interfaz web. el enrutador no se designará como DR ni BDR. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Si el valor es cero. Intervalo: 3-20. La definición manual de vecino solo se permite en modo p2mp. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. Durante el reinicio. Aunque los paquetes OSPF no se envían ni reciben. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. Si el temporizador de fallos es demasiado corto. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos. antes de que OSPF considere que ese vecino tiene un fallo. Valor predeterminado: 10 segundos. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. Valor predeterminado: 1 segundo. versión 7. Valor predeterminado: 4. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Valor predeterminado: 10 segundos. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/ pasiva. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. • Interfaz: Seleccione la interfaz. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Por lo tanto. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Intervalo: 0-3600 segundos. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF.Configuración de un enrutador virtual Tabla 88. Intervalo: 0-3600 segundos. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto.

Clave y. aplíquelos a las interfaces en la pestaña OSPF.0). primero defina los perfiles de autenticación y a continuación. Tabla 90. • Si selecciona MD5. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. incluyendo ID de clave (0-255). Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. haga clic en ACEPTAR. • Nombre: Introduzca un nombre para el enlace virtual. introduzca la contraseña. Guía de referencia de interfaz web. seleccione la opción Preferido. Para autenticar mensajes OSPF. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Enlace virtual Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. a continuación. versión 7. .0.Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Palo Alto Networks Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF.0.0 • 167 . introduzca una o más entradas de contraseña. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida.Configuración de un enrutador virtual Tabla 88. • Habilitar: Seleccione para habilitar el enlace virtual. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPF > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Tabla 89. opcionalmente el estado Preferido. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. Tipo de contraseña Seleccione el tipo de contraseña (simple o MD5). • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Haga clic en Añadir en cada entrada y. • Si selecciona Simple.

• Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. 168 • Guía de referencia de interfaz web. Tabla 91. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada. Valor predeterminado: 140 segundos. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. mismo tipo. Configuración de OSPF – Pestaña Perfiles de autenticación (Continuación) Campo Descripción Nombre Seleccione el nombre del perfil de redistribución.1800 segundos. Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. mismo ID de LSA). versión 7.Configuración de un enrutador virtual Tabla 90. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. Valor predeterminado: 120 segundos. Es un equivalente de MinLSInterval en RFC 2328. Intervalo: 5 . el cortafuegos no entrará en modo auxiliar. intervalo 1-65535). • Habilitar modo auxiliar: Habilitado de forma predeterminada. esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. Intervalo: 5 . Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia. Los valores menores permiten una reconvergencia OSPF más rápida. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. • Máx.0 Palo Alto Networks .1800 segundos. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Compatibilidad RFC 1583 Selecciona la casilla de verificación para garantizar la compatibilidad con RFC 1583.

Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. Es muy recomendable seleccionar esta casilla de verificación. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”.0 • 169 . ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual.Configuración de un enrutador virtual Configuración de la pestaña OSPFv3 Red > Enrutador virtual > OSPFv3 La configuración del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se establezcan los siguientes ajustes generales: Tabla 92. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. versión 7. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. Además. Palo Alto Networks Guía de referencia de interfaz web. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. especialmente en rutas estáticas. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Configuración del enrutador virtual .

Especifique si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. el área puede aceptar todos los tipos de rutas. es necesario atravesar el límite. junto con el valor métrico asociado (1-255).0 Palo Alto Networks . • NSSA (Not-So-Stubby Area. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. Para acceder a un destino fuera del área.Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPFv3 > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. Repita esta acción para añadir intervalos adicionales. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. versión 7.Pestaña Áreas Campo Descripción Autenticación Seleccione el nombre del perfil de autenticación que desea especificar para esta área de OSPFarea. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. seleccione Aceptar resumen si desea aceptar este tipo de LSA. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. que conecta con el resto de áreas. Intervalo Haga clic en Añadir para que la subred añada direcciones IPv6 de destino LSA en el área. Tabla 93. junto con el valor métrico asociado (1-255). Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. • Código auxiliar: No hay salida desde el área. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. • Normal: No hay restricciones. Tipo Seleccione una de las siguientes opciones. 170 • Guía de referencia de interfaz web. Configuración del enrutador virtual . pero solo mediante rutas que no sean OSPF. Si selecciona esta opción. Si selecciona esta opción. área no totalmente de código auxiliar): Es posible salir del área directamente.

ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. el enrutador no se designará como DR ni BDR. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. • Interfaz: Seleccione la interfaz.Configuración de un enrutador virtual Tabla 93. Por lo tanto. Intervalo: 0-3600 segundos. la interfaz se incluirá en la base de datos de LSA. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. como una interfaz Ethernet. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. versión 7. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Intervalo: 1-10 segundos. Aunque los paquetes OSPF no se envían ni reciben. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. Valor predeterminado: 4. La definición manual de vecino solo se permite en modo p2mp. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/pasiva. Valor predeterminado: 1 segundo. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos. Configuración del enrutador virtual . introduzca la dirección IP de todos los vecinos accesibles mediante esta interfaz. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. Valor predeterminado: 10 segundos. Valor predeterminado: 10 segundos. Intervalo: 3-20. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. antes de que OSPF considere que ese vecino tiene un fallo. Valor predeterminado: 10 segundos. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Palo Alto Networks Guía de referencia de interfaz web. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo.Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. • Vecinos: En interfaces p2pmp. Si el valor es cero. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). Por ejemplo. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. si selecciona esta opción. Durante el reinicio. Intervalo: 0-3600 segundos. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz.0 • 171 . de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. Si el temporizador de fallos es demasiado corto. Intervalo: 0-3600 segundos.

Protocolo Especifique uno de los siguientes protocolos: • ESP: Protocolo de carga de seguridad encapsulada. • Nombre: Introduzca un nombre para el enlace virtual. versión 7. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. • SHA1: Algoritmo de hash seguro 1.0. • MD5: Algoritmo de resumen de mensaje de MD5. Algoritmo criptográfico Especifique una de las siguientes opciones: • Ninguno: No se utilizará ningún algoritmo criptográfico. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. • Habilitar: Seleccione para habilitar el enlace virtual. Conjunto de cuatro funciones de hash con un resumen de 384 bits. Configuración del enrutador virtual . • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente.0). SPI Especifique el índice de parámetros de seguridad (SPI) para los paquetes transversales desde el cortafuegos remoto hasta el peer. primero defina los perfiles de autenticación y a continuación. Para autenticar mensajes OSPF. Conjunto de cuatro funciones de hash con un resumen de 512 bits.0.Pestaña Áreas (Continuación) Campo Descripción Enlaces virtuales Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Clave/Confirmar clave Introduzca y confirme una clave de autenticación. Tabla 94. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual. Conjunto de cuatro funciones de hash con un resumen de 256 bits. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. 172 • Guía de referencia de interfaz web. Configuración de OSPFv3: Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. aplíquelos a las interfaces en la pestaña OSPF.Configuración de un enrutador virtual Tabla 93. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. • SHA384: Algoritmo de hash seguro 2. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPFv3 > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. • SHA256: Algoritmo de hash seguro 2. • AH: Protocolo del encabezado de autenticación.0 Palo Alto Networks . • SHA512: Algoritmo de hash seguro 2.

• nulo: No se utiliza ningún cifrado. el dispositivo participa en OSPFv3 pero ningún otro enrutador envía tráfico de tránsito. Tabla 96. Guía de referencia de interfaz web. • aes-192-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 192 bits. Nombre Seleccione el nombre del perfil de redistribución.0 • 173 . Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. • aes-256-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 256 bits. Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. En este estado.Configuración de un enrutador virtual Tabla 94. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. el tráfico local seguirá reenviándose al dispositivo. Configuración de OSPFv3: Pestaña Perfiles de autenticación (Continuación) Campo Cifrado Descripción Especifica una de las siguientes opciones: • aes-128-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 128 bits. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Deshabilitar enrutamiento de tránsito para el cálculo de SPF Palo Alto Networks Seleccione esta casilla de verificación si desea establecer el R-bit en los LSA del enrutador enviados desde este dispositivo para indicar que el enrutador no está activo. Tabla 95. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. Es útil cuando se realiza mantenimiento con una red de dos bases porque el tráfico se puede volver a enrutar en el dispositivo mientras este siga siendo accesible. intervalo 1-65535). Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. Cuando está en este estado. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. No está disponible si no se ha seleccionado el protocolo AH. Clave/Confirmar clave Introduzca y confirme una clave de cifrado. versión 7.

• Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. Configuración de la pestaña BGP Red > Enrutador virtual > BGP La configuración del protocolo de puerta de enlace de borde (BGP) requiere que se establezcan los siguientes ajustes: Tabla 97. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. en función del ID del enrutador (intervalo 1-4294967295).Pestaña BGP Campo Descripción Habilitar Seleccione la casilla de verificación para activar funciones de BGP.0 Palo Alto Networks . Intervalo: 5 . • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador. 174 • Guía de referencia de interfaz web. Número AS Introduzca el número AS al que pertenece el enrutador virtual. se deben configurar ajustes en las siguientes pestañas: • Pestaña General: Consulte “Configuración de la pestaña General”. Los valores menores permiten una reconvergencia OSPF más rápida. • Máx. Configuración de enrutador virtual .Configuración de un enrutador virtual Tabla 96. Es un equivalente de MinLSInterval en RFC 2328. esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. mismo tipo. mismo ID de LSA). Valor predeterminado: 140 segundos. Configuración de OSPF – Pestaña Avanzado (Continuación) Campo Descripción Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia.1800 segundos. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo.1800 segundos. • Habilitar modo auxiliar: Habilitado de forma predeterminada. versión 7. Intervalo: 5 . • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. Además. el cortafuegos no entrará en modo auxiliar. ID del enrutador Introduzca la dirección IP para asignarla al enrutador virtual. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. Valor predeterminado: 120 segundos.

Comparar siempre MED Permite comparar MED para rutas de vecinos en diferentes sistemas autónomos. Preferencia local predeterminada Especifica un valor que se puede asignar para determinar preferencias entre diferentes rutas.0 • 175 . Instalar ruta Seleccione la casilla de verificación para instalar rutas BGP en la tabla de enrutamiento global.Configuración de un enrutador virtual • Pestaña Grupo del peer: Consulte “Configuración de la pestaña Grupo del peer”. • Pestaña Anuncio condicional: Consulte “Configuración de la pestaña Anuncio condicional”.: Consulte “Configuración de la pestaña Reglas de distr. • Pestaña Agregado: Consulte “Configuración de la pestaña Anuncio condicional”. Perfiles de autenticación Haga clic en Añadir para incluir un nuevo perfil de autenticación y configurar los siguientes ajustes: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Pestaña Reglas de redistr. Comparación determinista de MED Active la comparación MED para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo). Configuración de la pestaña General Red > Enrutador virtual > BGP > General La tabla siguiente describe los ajustes de la pestaña General. • Secreto/Confirmar secreto: Introduzca y confirme la contraseña para comunicaciones de peer BGP. Este ajuste es configurable por motivos de interoperabilidad. Formato AS Seleccione el formato de 2 (predefinido) o 4 bytes. Configuración de BGP – Pestaña General Campo Descripción Pestaña General Rechazar ruta por defecto Seleccione la casilla de verificación para ignorar todas las rutas predeterminadas anunciadas por peers BGP. Palo Alto Networks Guía de referencia de interfaz web. • Pestaña Importar: Consulte “Configuración de las pestañas Importar y Exportar”. Haga clic en el icono para eliminar un perfil. versión 7. Tabla 98. • Pestaña Exportar: Consulte “Configuración de las pestañas Importar y Exportar”.”. Agregar MED Seleccione esta opción para activar la agregación de rutas incluso si las rutas tienen valores diferentes de discriminador de salida múltiple (MED).

• Reutilizar: Especifique un umbral de retirada de ruta por debajo del cual una ruta suprimida se vuelve a utilizar (intervalo 0. opción predefinida 120 segundos). de tiempo de espera: Especifique el tiempo máximo durante el que una ruta se puede suprimir. • Media vida de disminución alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera alcanzable (intervalo 0-3600 segundos.0-1000. opción predeterminada 900 segundos). opción predefinida 120 segundos). • Habilitar: activa el perfil. se suprime un anuncio de ruta (intervalo 0. opción predefinida 300 segundos). opción predefinida 120 segundos). con independencia de su inestabilidad (intervalo 0-3600 segundos. Haga clic en el icono para eliminar un perfil. AS de miembro de confederación Especifique el identificador de la confederación AS que se presentará como un AS único a los peers BGP externos.0-1000. opción predefinida 1. opción predefinida 300 segundos).Configuración de un enrutador virtual Configuración de la pestaña Avanzado Red > Enrutador virtual > BGP > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado: Tabla 99. ID de clúster reflector Especifique un identificador IPv4 para representar el clúster reflector. • Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede permanecer inhabilitada (intervalo 1-3600 segundos. de hora de reinicio del peer: Especifique el tiempo máximo que el dispositivo local acepta como período de gracia para reiniciar los dispositivos peer (intervalo 1-3600 segundos. • Hora de reinicio local: Especifique el tiempo que el dispositivo local tarda en reiniciar.25). • Máx. Perfiles de amortiguación Entre los parámetros se incluyen: • Nombre del perfil: Introduzca un nombre para identificar el perfil. 176 • Guía de referencia de interfaz web. • Máx.0. versión 7. Este valor se le comunica a los peers (intervalo 1-3600 segundos.0. opción predeterminada 5). • Media vida de disminución no alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos.0 Palo Alto Networks . • Corte: Especifique un umbral retirada de ruta por encima del cual. Configuración de BGP – Pestaña Avanzado Campo Descripción Pestaña Avanzado Reinicio correcto Active la opción de reinicio correcto.

Configuración de BGP – Pestaña Grupo del peer Campo Descripción Pestaña Grupo del peer Nombre Introduzca un nombre para identificar el peer. • usar mismas: Sustituya la dirección del siguiente salto con la dirección de esta dirección IP del enrutador para garantizar que estará en la ruta de reenvío.Configuración de un enrutador virtual Configuración de la pestaña Grupo del peer Red > Enrutador virtual > BGP > Grupo del peer La tabla siguiente describe los ajustes de la pestaña Grupo del peer. – Exportar siguiente salto • IBGP confederado: Especifique lo siguiente: – Exportar siguiente salto • EBGP: Especifique lo siguiente: – Importar siguiente salto – Exportar siguiente salto – Eliminar AS privado (seleccione si desea forzar que BGP elimine números AS privados). • uso-peer: Utilice la dirección IP del peer como la dirección del salto siguiente. Importar siguiente salto Seleccione una opción para importar el siguiente salto: • original: Utilice la dirección del salto siguiente en el anuncio de la ruta original. Habilitar Seleccione para activar el peer. Tabla 100. Palo Alto Networks Guía de referencia de interfaz web. Ruta AS confederada agregada Seleccione la casilla de verificación para incluir una ruta a la AS de confederación agregada configurada.0 • 177 . versión 7. • IBGP: Especifique lo siguiente: – Exportar siguiente salto • EBGP confederado: Especifique lo siguiente. Exportar siguiente salto Seleccione una opción para exportar el siguiente salto: • resolver: Resuelve la dirección del siguiente salto mediante la tabla de reenvío local. Restablecimiento parcial con información almacenada Seleccione la casilla de verificación para ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer. Tipo Especifique el tipo o grupo de peer y configure los ajustes asociados (consulte la tabla siguiente para ver las descripciones de Importar siguiente salto y Exportar siguiente salto).

valor predeterminado: 90 segundos) – Tiempo de espera de inactividad: Especifique el tiempo de espera en estado de inactividad antes de volver a intentar la conexión con el peer (intervalo 1-3600 segundos. opción predeterminada: 30 segundos). opción predeterminada: 15 segundos). – Tiempo de espera: Especifique el período de tiempo que puede transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer antes de cerrar la conexión del peer. • Habilitar: Seleccione para activar el peer. – Máx. • Opciones avanzadas: Configure los siguientes ajustes: – Cliente reflector: Seleccione el tipo de cliente reflector (No cliente. • Opciones de conexión: Especifique las siguientes opciones: – Perfil de autenticación: Seleccione el perfil. – Intervalo entre mensajes de mantenimiento de conexión: Especifique un intervalo después del cual las rutas de un peer se supriman según el parámetro de tiempo de espera (intervalo 0-1200 segundos. versión 7. haga clic en Nuevo y configure los siguientes ajustes: • Nombre: Introduzca un nombre para identificar el peer. opción predeterminada: 0 segundos). opción predefinida 0). de prefijos: Especifique el número máximo de prefijos de IP compatibles (1 . – Abrir tiempo de retraso: Especifique el tiempo de retraso entre la apertura de la conexión TCP del peer y el envío del primer mensaje abierto de BGP (intervalo 0-240 segundos. • Dirección del peer: Especifique la dirección IP y el puerto del peer. – Tipo del peer: Especifique un peer bilateral o déjelo sin especificar. Configuración de BGP – Pestaña Grupo del peer (Continuación) Campo Descripción Peer Para agregar un nuevo peer. • Dirección local: Seleccione una interfaz de cortafuegos y una dirección IP local. El valor predeterminado 0 significa 2 para eBGP y 255 para iBGP. Configuración de las pestañas Importar y Exportar Red > Enrutador virtual > BGP > Importar Red > Enrutador virtual > BGP > Exportar 178 • Guía de referencia de interfaz web. Cliente o Cliente en malla).100000 o ilimitado). – Salto múltiple: Defina el valor del tiempo de vida (TTL) en el encabezado IP (intervalo 1-255. (rango: 3-3600 segundos. • As del peer: Especifique el AS del peer. Las rutas que se reciben de los clientes reflector se comparten con todos los peers BGP internos y externos. • Conexiones entrantes/Conexiones salientes: Especifique los números de puertos entrantes y salientes y seleccione la casilla de verificación Permitir para permitir el tráfico desde o hacia estos puertos.Configuración de un enrutador virtual Tabla 100.0 Palo Alto Networks .

Preceder. – Peso: Especifique un valor de peso. únicamente si la acción es Permitir. Configuración de BGP – Pestañas Importar y Exportar Campo Descripción Pestañas Importar reglas/Exportar reglas Importar reglas/ Exportar reglas Haga clic en la pestaña secundaria de BGP Importar reglas o Exportar reglas. – Amortiguación: Especifique un parámetro de amortiguación. Eliminar todo. únicamente si la acción es Permitir. – Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Anexar o Sobrescribir. – Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. Anexar o Sobrescribir. – Siguiente salto: Especifique un enrutador de siguiente salto. Eliminar todo. – Comunidad: Especifique una opción de comunidad: Ninguna. – Utilizada por: Seleccione los grupos de peer que utilizarán esta regla. haga clic en Añadir y configure los siguientes ajustes: • Pestaña secundaria General: – Nombre: Especifique un nombre para identificar la regla. únicamente si la acción es Permitir (0. (0. – MED: Especifique un valor de MED. Haga clic en el icono para eliminar un grupo.65535). – Habilitar: Seleccione para activar la regla. únicamente si la acción es Permitir. únicamente si la acción es Permitir. – Comunidad extendida: Especifique una opción de comunidad: Ninguna. – Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. únicamente si la acción es Permitir. Eliminar. – Límite de ruta AS: Especifique un límite de ruta AS. – Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. EGP o incompleta. • Pestaña secundaria Coincidencia: – Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. – Preferencia local: Especifique un valor de preferencia local únicamente si la acción es Permitir. – Ruta AS: Especifique una ruta AS: Ninguna. Eliminar y preceder. Para agregar una nueva regla.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Importar y Exportar: Tabla 101. Se añade un sufijo al nombre del nuevo grupo para distinguirlo del original. únicamente si la acción es Permitir. únicamente si la acción es Permitir. – Origen: Especifique el tipo de la ruta original: IGP. – MED: Especifique un valor de MED para el filtrado de rutas. únicamente si la acción es Permitir. – Prefijo de dirección: Especifique direcciones o prefijos IP para el filtrado de rutas. Palo Alto Networks Guía de referencia de interfaz web.0 • 179 . • Pestaña secundaria Acción: – Acción: Especifique una acción (Permitir o Denegar) que se realizará cuando se cumplan las condiciones especificadas. Eliminar Regex. versión 7. Eliminar Regex. Haga clic en Duplicar para añadir un nuevo grupo con los mismos ajustes que el grupo seleccionado.65535).

180 • Guía de referencia de interfaz web. Especifica la ruta que desea anunciar. en lugar de a los otros. versión 7. Habilitar Seleccione la casilla de verificación para activar el anuncio condicional de BGP. Configuración de BGP – Pestañas Anuncio condicional Campo Descripción Pestaña Anuncio condicional La función de anuncio condicional BGP permite controlar la ruta que se anunciará en caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB). Para configurar el anuncio condicional. salvo que se produzca una pérdida de conectividad con el proveedor preferido.0 Palo Alto Networks . Si un prefijo se va a anunciar y coincide con un filtro no existente. solo entonces el dispositivo permitirá el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en su filtro de anuncio. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto de la ruta preferida. si está disponible en la tabla de ruta de BGP local. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. • MED: Especifique un valor de MED para el filtrado de rutas. indicando un fallo de peering o alcance. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. A continuación se describe cómo se configuran los valores en los campos. si tiene enlaces a Internet con varios ISP y desea enrutar el tráfico a un único proveedor. Utilizado por Haga clic en Añadir y seleccione los grupos de peer que utilizarán esta política de anuncio condicional. Política Especifique el nombre de la política para esta regla de anuncio condicional. Esta función es muy útil si desea probar y forzar rutas de un AS a otro. seleccione la pestaña Anuncio condicional y haga clic en Añadir. Si se encuentra alguna ruta coincidente con el filtro no existente en la tabla de enrutamiento BGP local. Pestaña secundaria Filtros no existentes Utilice esta pestaña para especificar el prefijo de la ruta preferida. • Filtros no existentes: Especifique un nombre para identificar este filtro. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. • Habilitar: Seleccione para activar el filtro. Con la función de anuncio condicional. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Haga clic en Añadir para crear un filtro no existente. el anuncio se suprimirá.Configuración de un enrutador virtual Configuración de la pestaña Anuncio condicional Red > Enrutador virtual > BGP > Anuncio condicional La tabla siguiente describe los ajustes de la pestaña Anuncio condicional: Tabla 102. puede configurar un filtro no existente que busque el prefijo de la ruta preferida. por ejemplo. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas.

el anuncio se producirá. • Anunciar filtros: Especifique un nombre para identificar este filtro. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. Suprimir filtros Defina los atributos que harán que las rutas coincidentes se supriman. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Haga clic en Añadir para crear un filtro de anuncio.Configuración de un enrutador virtual Tabla 102. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto para anunciar la ruta si la ruta preferida no está disponible. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. • MED: Especifique un valor de MED para el filtrado de rutas. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. Configuración de BGP – Pestañas Agregado Campo Descripción Pestaña Agregado Nombre Introduzca un nombre para la configuración de agregación. Palo Alto Networks Guía de referencia de interfaz web. Anunciar filtros Defina los atributos para los filtros anunciados que asegurarán que cualquier enrutador que coincida con el filtro definido se publicará en los peers. • Habilitar: Seleccione para activar el filtro. versión 7. Si un prefijo se va a anunciar y no coincide con un filtro no existente. Configuración de BGP – Pestañas Anuncio condicional (Continuación) Campo Descripción Pestaña secundaria Anunciar filtros Utilice esta pestaña para especificar el prefijo de la ruta de la tabla de enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté disponible en la tabla de enrutamiento local. Agregar atributos de ruta Defina los atributos que se utilizarán para hacer coincidir las rutas que se agregarán.0 • 181 . Configuración de la pestaña Agregado Red > Enrutador virtual > BGP > Agregado La tabla siguiente describe los ajustes de la pestaña Agregado: Tabla 103.

Haga clic en el icono para eliminar una regla.0 Palo Alto Networks . Configuración de enrutador virtual . En la siguiente tabla se describe la configuración de la pestaña Reglas de redistr. Campo Descripción Pestaña Reglas de redistr. Además.Pestaña Multicast Campo Descripción Habilitar Seleccione la casilla de verificación para activar el enrutamiento multicast. • Pestaña Umbral SPT: Consulte “Configuración de la pestaña Umbral SPT”.: Tabla 104. Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predefinida a los peers BGP. Configuración de la pestaña Punto de encuentro Red > Enrutador virtual > Multicast > Punto de encuentro 182 • Guía de referencia de interfaz web. haga clic en Añadir. versión 7.Configuración de un enrutador virtual Configuración de la pestaña Reglas de distr. Configuración de BGP – Reglas de distr. Los parámetros de esta tabla se han descrito anteriormente en las pestañas Importar reglas y Exportar reglas. Nombre Seleccione el nombre del perfil de redistribución. Para agregar una nueva regla. Red > Enrutador virtual > BGP > Reglas de distr. configure los siguientes ajustes y haga clic en Listo. • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. • Pestaña Espacio de dirección específico de origen: Consulte “Configuración de la pestaña Espacio de dirección específico de origen”. se deben configurar ajustes en las siguientes pestañas: • Pestaña Punto de encuentro: Consulte “Configuración de la pestaña Punto de encuentro”. Reglas de redistr. Configuración de la pestaña Multidifusión Red > Enrutador virtual > Multidifusión La configuración de protocolos multicast necesita que se configuren los siguientes ajustes estándar: Tabla 105.

• Lista de grupos: Si selecciona Estático o Candidato. Configuración multicast – Pestaña Interfaces Campo Descripción Pestaña secundaria Interfaces Nombre Introduzca un nombre para identificar un grupo de interfaces. Descripción Introduzca una descripción opcional. Ethernet agregada y túnel. haga clic en Añadir para especificar una lista de grupos en los que este RP candidato se propone para ser el RP. L3.0 • 183 . • Grupo: Especifique una lista de grupos en los que la dirección especificada actuará como RP. Configuración multicast – Pestaña Punto de encuentro Campo Descripción Pestaña secundaria Punto de encuentro Tipo de RP Seleccione el tipo de Punto de encuentro (RP) que se ejecutará en este enrutador virtual. Los tipos de interfaz válidos incluyen loopback. Active la casilla de verificación Cancelar RP obtenido para el mismo grupo si desea utilizar el RP especificado del RP elegido para este grupo. – Intervalo de anuncio: Especifique un intervalo entre anuncios para mensajes RP candidatos. – Prioridad: Especifique una prioridad para los mensajes de RP candidato (opción predefinida 192). Interfaz Haga clic en Añadir para especificar una o más interfaces de cortafuegos. – Dirección de RP: Seleccione una dirección IP para el RP.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Punto de encuentro: Tabla 106. • Estático: Especifique una dirección IP estática para el RP y seleccione las opciones de Interfaz de RP y Dirección de RP en las listas desplegables. • Candidato:: Especifique la siguiente información para el candidato del RP que se ejecuta en este enrutador virtual: – Interfaz de RP: Seleccione una interfaz para el RP. versión 7. Configuración de la pestaña Interfaces Red > Enrutador virtual > Multicast > Interfaces En la siguiente tabla se describe la configuración de la pestaña Interfaces: Tabla 107. Se debe configurar un RP estático de forma explícita en otros enrutadores PIM. Palo Alto Networks Guía de referencia de interfaz web. mientras que se elige automáticamente un RP candidato. VLAN. • Ninguno: Seleccione esta opción si no hay ningún RP ejecutándose en este enrutador virtual. • Cancelar RP obtenido para el mismo grupo: Active esta casilla de verificación si desea utilizar el RP especificado del RP elegido para este grupo. Punto de encuentro remoto Haga clic en Añadir y especifique la siguiente información: • Dirección IP: Especifique la dirección IP del RP.

Configuración de un enrutador virtual Tabla 107. • Potencia: Seleccione un valor entero para las cuentas de pérdida de paquete en una red (intervalo 1-7. seleccione un valor mayor.0 Palo Alto Networks . opción predefinida 2). • Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de unión y poda de PIM (segundos). Si la pérdida del paquete es común. – Salida inmediata: Active la casilla de verificación para salir del grupo inmediatamente cuando reciba un mensaje de salida. El valor predeterminado es 60. • Habilitar: Active la casilla de verificación para activar la configuración IGMP. versión 7. • Máx. – Último intervalo de consulta de miembro: Especifique el intervalo entre los mensajes de consulta entre grupos o de origen específico (incluyendo los enviados en respuesta a los mensajes salientes del grupo). • Configuración de consultas: Especifique lo siguiente: – Intervalo de consulta: Especifique el intervalo al que se enviarán las consultas generales a todos los hosts. • Máx. – Máx. • Versión IGMP: Seleccione la versión 1. IGMP Especifique reglas para el tráfico IGMP. Esta opción se debe deshabilitar para su compatibilidad con IGMPv1. • Prioridad de DR: Especifique la prioridad del enrutador que se ha designado para esta interfaz • Borde de BSR: Active la casilla de verificación para utilizar la interfaz como borde de arranque. • Aplicar opción de IP de enrutador-alerta: Seleccione la casilla de verificación para solicitar la opción IP de alerta de enrutador cuando se comunique mediante IGMPv2 o IGMPv3. 184 • Guía de referencia de interfaz web. Configuración multicast – Pestaña Interfaces (Continuación) Campo Descripción Permisos de grupos Especifique las reglas generales para el tráfico multicast: • Cualquier fuente: Haga clic en Añadir para especificar una lista de grupos multicast para los que se permite el tráfico PIM-SM. 2 o 3 que se ejecutará en la interfaz. de fuentes: Especifique la cantidad máxima de pertenencias específicas de origen permitido en esta interfaz (0 = ilimitado). de tiempo de respuesta de consulta: Especifique el tiempo máximo entre una consulta general y una respuesta de un host. • Intervalo de saludo: Especifique el intervalo entre mensajes de saludo de PIM. Configuración PIM Especifique los siguientes ajustes multicast independiente de protocolo (PIM): • Habilitar: Seleccione la casilla de verificación para permitir que esta interfaz reciba y/o reenvíe mensajes PIM • Imponer intervalo: Especifique el intervalo entre mensajes de imposición de PIM. IGMP se debe activar para el host del lado de las interfaces (enrutador IGMP) o para interfaces de host proxy IGMP. • Vecinos PIM: Haga clic en Añadir para especificar la lista de vecinos que se comunicarán mediante PIM. • Origen específico: Haga clic en Añadir para especificar una lista de grupos multicast y pares de origen multicast para los que se permite el tráfico PIM-SSM. de grupos: Especifique la cantidad máxima de grupos permitidos en esta interfaz.

Tabla 108. Haga clic en Añadir para especificar los siguientes ajustes de SPT: • Grupo/prefijo multicast: Especifique la dirección/prefijo IP para el que SPT se cambiará a la distribución del árbol de origen cuando el rendimiento alcance los umbrales deseados (kbps). Configuración multicast – Pestaña Espacio de dirección específico de origen Campo Descripción Pestaña secundaria Espacio de dirección específico de origen Nombre Define los grupos multicast a los que el cortafuegos proporcionará servicios multicast de origen específico (SSM). Configuración multicast – Pestaña Umbral SPT Campo Descripción Pestaña secundaria Umbral SPT Nombre El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en kbps) a la que el enrutamiento multicast cambiará desde la distribución del árbol compartido (con origen en el punto de encuentro) a la distribución del árbol de origen.Configuración de un enrutador virtual Configuración de la pestaña Umbral SPT Red > Enrutador virtual > Multicast > Umbral SPT La tabla siguiente describe los ajustes de la pestaña Umbral SPT. versión 7. • Incluido: Active esta casilla de verificación para incluir los grupos especificados en el espacio de dirección SSM. Tabla 109. Palo Alto Networks Guía de referencia de interfaz web.0 • 185 . Configuración de la pestaña Espacio de dirección específico de origen Red > Enrutador virtual > Multicast > Espacio de dirección específico de origen La tabla siguiente describe los ajustes de la pestaña Espacio de dirección específico de origen. Haga clic en Añadir para especificar los siguientes ajustes de direcciones de origen específico: • Nombre: Introduzca un nombre para identificar este grupo de ajustes. • Umbral: Especifique el rendimiento al que se cambiará desde la distribución del árbol compartido a la distribución del árbol de origen. • Grupo: Especifique los grupos del espacio de dirección SSM.

Utilice únicamente letras. Si tiene un perfil de reenvío de logs denominado predeterminado. puntos. haga clic en Nuevo (consulte “Reenvío de logs”).0 Palo Alto Networks . Puede cancelar esta configuración predeterminada en cualquier momento seleccionado un perfil de reenvío de logs diferente cuando establezca una nueva zona de seguridad. Configuración de zona de seguridad Campo Descripción Nombre Introduzca un nombre de una zona (hasta 15 caracteres). Seleccione el vsys que se aplicará a esta zona. Cable virtual.Configuración de un enrutador virtual Definición de zonas de seguridad Red > Zonas Para que la interfaz de un cortafuegos pueda procesar el tráfico. Tipo Seleccione un tipo de zona (Capa 2. Para definir o añadir un nuevo perfil de reenvío de logs (y para denominar a un perfil predeterminado y que este campo se rellene automáticamente). Para añadir nuevos perfiles. Para definir zonas de seguridad. Cada interfaz puede pertenecer a una zona en un sistema virtual. El tipo de sistema virtual externo es para comunicaciones entre los sistemas virtuales del cortafuegos. o sistema virtual externo) para enumerar todas las interfaces de ese tipo que no tengan una zona asignada. Ajuste de log Seleccione un perfil para reenviar logs de protección de zonas a un sistema externo. este se seleccionará automáticamente para este campo cuando defina una nueva zona de seguridad. versión 7. números. consulte “Definición de perfiles de protección de zonas”. espacios. 186 • Guía de referencia de interfaz web. Capa 3. Tap. Los tipos de zona de capa 2 y capa 3 enumeran todas las interfaces y subinterfaces Ethernet de ese tipo. se debe asignar a una zona de seguridad. haga clic en Nueva y especifique la siguiente información: Tabla 110. Este nombre aparece en la lista de zonas cuando se definen políticas de seguridad y se configuran interfaces. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Ubicación Este campo solo aparece si el dispositivo admite varios sistemas virtuales (vsys) y esa función está activada. Perfiles de protección de zonas Seleccione un perfil que especifique cómo responde la puerta de enlace de seguridad a los ataques en esta zona. guiones y guiones bajos.

Si la zona está fuera del intervalo. Configuración de zona de seguridad (Continuación) Campo Descripción Habilitar identificación de usuarios Si ha configurado el ID de usuario para realizar una asignación de dirección IP a nombre de usuario (detección). consulte la Guía del administrador de PAN-OS.1.0.0/8 a la Lista de permitidos y 10.2. el enrutador virtual selecciona una de estas rutas de la tabla de enrutamiento y la añade a su tabla de envío. consulte la Guía del administrador de PAN-OS. informes y políticas excluirán la información de asignación de usuario del tráfico de la zona. si hay múltiples rutas del mismo coste al mismo destino. Para definir el intervalo supervisado. Para limitar la información a subredes específicas de la zona. Componentes del ECMP Red > Enrutadores virtuales > Configuración de enrutador > ECMP El procesamiento de trayectoria múltiple a igual coste (ECMP) es una función de red que permite al cortafuegos usar hasta cuatro rutas de igual coste hacia el mismo destino. si selecciona esta casilla de verificación. para cada subred. Sin esta función. informes y políticas.0. ACL de identificación de usuarios Lista de permitidos Por defecto. Para limitar la aplicación de información de asignación de usuario a subredes específicas en la zona después. no solo las subredes que ha añadido. use la Lista de permitidos y la Lista de excluidos. 10.50.0 • 187 . Observe que el ID de usuario realiza una detección de la zona solo si cae dentro del intervalo de red que supervisa el ID de usuario.1. el cortafuegos incluirá la información de asignación de usuario a todas las subredes de zona de 10. y excluye información de todas las subredes de zona fuera de 10.0.0. el cortafuegos no aplicará la información de asignación de usuario al tráfico de la zona aunque seleccione la casilla de verificación Habilitar identificación de usuarios.0. Por ejemplo.0/8. para cada subred que vaya a excluir. Para definir el intervalo supervisado. el cortafuegos aplica la información de asignación de usuario que detecte a todo el tráfico de la zona para usarla en logs. Observe que solo puede incluir subredes que caigan dentro del intervalo de red que supervise el ID de usuario.0. el cortafuegos excluye la información de asignación de usuarios para todas las subredes de la zona. haga clic en Añadir y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP.2. los logs de cortafuegos.Configuración de un enrutador virtual Tabla 110. no usará ninguna de las demás Palo Alto Networks Guía de referencia de interfaz web. La exclusión de todas las demás subredes es implícita: no necesita añadirlas a la Lista de excluidos.0/8 excepto 10.0/22 a la Lista de excluidos. si añade 10.1/24). Añada entradas a la Lista de excluidos únicamente para excluir información de asignación de usuario para un subconjunto de redes en la Lista de permitidos. Si añade entradas a la Lista de excluidos pero no la Lista de permitidos.0/22. el cortafuegos aplica información de asignación de usuario al tráfico de todas las subredes de la zona. seleccione esta casilla de verificación para aplicar la información de asignación al tráfico en esta zona. haga clic en Agregar y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP (por ejemplo. versión 7.50. si no especifica las subredes en esta lista. Por defecto. Si cancela la selección de la casilla de verificación. ACL de identificación de usuarios Lista de excluidos Para excluir la información de asignación de usuario para un subconjunto de subredes en la Lista de permitidos.

Valor predeterminado: 2. de modo que el ajuste Retorno simétrico sobrescribe el equilibrio de cargas. no a nivel de paquete. el cortafuegos usará la interfaz de entrada a la que enviar los paquetes de retorno.0 Palo Alto Networks . en Configuración de enrutador. El equilibrio de carga de ECMP se realiza a nivel de sesión. Es decir. en lugar de usar la interfaz ECMP. 3 o 4) a una red de destino que puede copiarse del RIB al FIB. desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. Seleccione el número máximo de rutas de coste igual (2. • Cambie dinámicamente el tráfico a otro miembro de ECMP hacia el mismo destino si falla un enlace. Ruta máx. Esto significa que el cortafuegos selecciona una ruta de igual coste al principio de una nueva sesión. La habilitación de la funcionalidad ECMP en un enrutador virtual permite que el cortafuegos tenga hasta cuatro rutas del mismo coste a un destino en esta tabla de reenvío. Este comportamiento solo se produce con flujos de tráfico del servidor al cliente. Esto puede ayudar a reducir el tiempo de inactividad cuando falla el enlace. Habilitar La activación. • Use el ancho de banda disponible en enlaces hacia el mismo destino. seleccione un enrutador virtual y. seleccione la pestaña ECMP y configure lo siguiente: Tabla 111 ECMP Campo Descripción Haga clic en Habilitar para habilitar ECMP. versión 7. 188 • Guía de referencia de interfaz web. Retorno simétrico Tiene la opción se hacer clic en la casilla de verificación Retorno simétrico para provocar que los paquetes de retorno salgan de la misma interfaz a la que llegaron los paquetes de entrada asociados.Configuración de un enrutador virtual rutas a no ser que se interrumpa la ruta seleccionada. Para configurar ECMP para un enrutador virtual. en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB seleccione una ruta alternativa. permitiendo que el cortafuegos: • Equilibre la carga de los flujos (sesiones) al mismo destino en múltiples enlaces del mismo coste. lo que puede provocar que se terminen las sesiones. Note: La activación. en lugar de dejar algunos enlaces sin usar. desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. no cada vez que se recibe un paquete. lo que puede provocar que se terminen las sesiones.

con más frecuencia se seleccionará esa ruta de igual coste en una nueva sesión. • Operación por turnos ponderada: Este algoritmo se puede usar para tener en cuenta distintas capacidades y velocidades de enlace. Método • Módulo de IP: Por defecto. • Pestaña BGP: Consulte “Pestaña BGP”. escriba el Peso que se usará para esa interfaz.0 • 189 . no cada vez que se recibe un paquete. También puede introducir un valor de Valor de inicialización de hash (un entero) para aleatorizar aún más el equilibrio de cargas. versión 7. El equilibrio de carga de ECMP se realiza a nivel de sesión. Esto significa que el cortafuegos (ECMP) selecciona una ruta de igual coste al principio de una nueva sesión. Palo Alto Networks Guía de referencia de interfaz web. • Hash de IP: Tiene la opción de hacer clic en Usar puertos de origen/destino para incluir los puertos en el cálculo de hash. • Operación por turnos equilibrada: Distribuye las secciones de ECMP entrantes de forma homogénea entre los enlaces. que usa un hash de las direcciones IP de origen y destino en el encabezado del paquete para determinar qué ruta ECMP se puede usar. • Pestaña RIP: Consulte “Pestaña RIP”. Un enlace de mayor velocidad recibirá un peso más alto que uno más lento. no a nivel de paquete. para que haya más tráfico ECMP que atraviese el enlace más rápido. Al seleccionar este algoritmo se abrirá la ventana Interfaz. Haga clic en Añadir y seleccione una Interfaz para incluirla en el grupo de operación por turnos ponderada. La ventana muestra las siguientes pestañas: • Pestaña Enrutamiento: Consulte “Pestaña Enrutamiento”. además de las direcciones IP de origen y destino. el intervalo 1-255. el enrutador virtual equilibra las cargas de sesiones mediante esta opción. En cada interfaz. Más estadísticas de tiempo de ejecución para un enrutador virtual Haga clic en el enlace Más estadísticas de tiempo de ejecución de una fila de enrutador virtual para que se abra una ventana con información sobre ese enrutador virtual. El campo Peso es de manera predeterminada 100. Mientras mayor sea el peso de una ruta de coste igual específica. Haga clic en Añadir de nuevo para añadir otra interfaz y peso.Configuración de un enrutador virtual Tabla 111 ECMP (Continuación) Campo Descripción Seleccione uno de los siguientes algoritmos de equilibrado de carga ECMP para usarlo en el enrutador virtual. • Pestaña Multidifusión: Consulte “Pestaña Multidifusión”.

• O1: OSPF externo tipo 1. la ruta se elimina de la tabla de enrutamiento. Edad Edad de la entrada de la ruta en la tabla de rutas. Si el siguiente salto es 0.Destino = solo host.0. Intervalos de eliminación Número de intervalos tras el cual una ruta se marca como inutilizable y tras el cual. Tabla 113 Estadísticas de tiempo de ejecución de RIP Campo Descripción Pestaña secundaria Resumen Segundos del intervalo Número de segundos en un intervalo.Configuración de un enrutador virtual Pestaña Enrutamiento La siguiente tabla describe las Estadísticas de tiempo de ejecución de enrutamiento del enrutador virtual. Intervalo de actualizaciones Numero de intervalos entre las actualizaciones de anuncio de enrutamiento RIP que el enrutador virtual envía a los peer.0. • A C: Activo y resultado de una interfaz interna (conectada) . • O2: OSPF externo tipo 2. • Oi: OSPF intraárea. Marcas • A?B: Activo y obtenido mediante BGP.0. • A R: Activo y obtenido mediante RIP. los Intervalos de vencimiento y el Intervalo de eliminación.Destino = red. esta valor afecta al Intervalo de actualización. • Oo: OSPF interárea.0 Palo Alto Networks . tras el cual el enrutador virtual marca las rutas del peer como inutilizables. Interfaz Interfaz de salida del enrutador virtual que deberá usarse para llegar al siguiente salto. 190 • Guía de referencia de interfaz web. • S: Inactivo (porque esta ruta tiene una métrica más alta) y estático. Las rutas estáticas no tienen edad. versión 7. Tabla 112 Estadísticas de tiempo de ejecución de enrutamiento Campo Descripción Destino Máscara de red y dirección IPv4 o dirección IPv6 y longitud de prefijo de redes que puede alcanzar el enrutador virtual. Pestaña RIP La siguiente tabla describe las Estadísticas de tiempo de ejecución de RIP del enrutador virtual. si no se recibe ninguna actualización. • A S: Activo y estático. • A C: Activo y resultado de una interfaz interna (conectada) . Métrica Métrica de la ruta. Siguiente salto Dirección IP del siguiente salto hacia la red de destino. se indica la ruta predeterminada. Intervalos de vencimiento Número de intervalos desde que se recibió la última actualización del enrutador virtual de un peer.

dirección ilegal. Paquetes no válidos Recuento de paquetes no válidos recibidos de este peer. Rutas no válidas Recuento de rutas no válidas recibidas de este peer. Tipo de autenticación Tipo de autenticación: contraseña simple. Pestaña secundaria Peer Dirección del peer Dirección IP de un peer hacia la interfaz RIP del enrutador virtual. Posibles causas por las que el cortafuegos no puede procesar el paquete RIP: x bytes por encima del límite de enrutamiento. Versión de RIP Versión RIP que está ejecutando el peer. Enviar permitidos La marca de verificación indica que esta interfaz tiene permiso para enviar paquetes RIP. Pestaña BGP La siguiente tabla describe las estadísticas de tiempo de ejecución de BGP del enrutador virtual. fallo de autenticación o no hay suficiente memoria. ID de clave Clave de autenticación usada con los peers. MD5 o ninguno. Palo Alto Networks Guía de referencia de interfaz web. versión 7. Rechazar ruta por defecto Indica si se ha configurado la opción Rechazar ruta por defecto. Métrica de ruta predeterminada Métrica (recuento de saltos) asignada a la ruta predeterminada. Mientras menor sea el valor métrico más prioridad tendrá en la tabla de enrutamiento para su selección como ruta preferida. que provoca que VR ignore cualquier ruta predeterminada anunciada por los peers BGP. fallo de importación o memoria insuficiente. Causas posibles: ruta no válida.0 • 191 . subred incorrecta.Configuración de un enrutador virtual Tabla 113 Estadísticas de tiempo de ejecución de RIP (Continuación) Campo Descripción Pestaña secundaria Interfaces Dirección Dirección IP de una interfaz en el enrutador virtual donde está activado RIP. Tabla 114 Estadísticas de tiempo de ejecución de BGP Campo Descripción Pestaña secundaria Resumen ID del enrutador Id de enrutador asignada a la instancia de BGP. Recibir permitidos La marca de verificación indica que esta interfaz tiene permiso para recibir paquetes RIP. demasiadas rutas en el paquete. Preferido Clave de autenticación preferida. Última actualización Fecha y hora a la que se recibió la última actualización de este peer. Anunciar ruta predeterminada La marca de verificación indica que RIP anunciará su ruta predeterminada a sus peers.

Entradas salientes de RIB pico Número máximo de rutas Adj-RIB-Salida que se han asignado en un momento dado. Reinicio correcto Indica si se ha activado o no Reinicio correcto (asistencia). Procesamiento determinista de MED Indica si se ha configurado la opción Comparación determinista de MED. p. 192 • Guía de referencia de interfaz web. que permite comparar entre rutas de vecinos en distintos sistemas autónomos. Estado Estado del peer. ID de clúster Muestra el ID de clúster reflector configurado. AS de miembro local Número AS de miembro local (solo válido si el VR está en una confederación). Grupo Nombre del grupo de peers al que pertenece este peer. AS local Número de AS al que pertenece VR. Tamaño AS Indica si el tamaño de Formato AS seleccionado es 2 Byte o 4 Byte.0 Palo Alto Networks . Duración de estado (seg. Comparar siempre MED Indica si se ha configurado la opción Comparar siempre MED.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Redistribuir ruta por defecto Indica si se ha configurado la opción Permitir redistribución de ruta predeterminada. Establecido. Instalar ruta Indica si se ha configurado la opción Instalar ruta. Contraseña establecida Sí o No indica si se ha definido la autenticación. IP local Dirección IP de la interfaz BGP en el VR. versión 7. que permite a una comparación elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo AS).) Duración del estado del peer. que permite añadir una ruta aunque las rutas tengan valores MED distintos. Agregar MED independientemente Indica si se ha configurado la opción Agregar MED. El campo será 0 si VR no está en una confederación. IP del peer Dirección IP del peer. Confirmación abierta o Enviado abierto. que provoca que VR instale las rutas BGP en la tabla de enrutamiento global. Inactivo. como EBGP o IBGP. ej. Peer AS Sistema autónomo al que pertenece el peer. Pestaña secundaria Grupo de peers Nombre de grupo Nombre del grupo de peers. Tipo Tipo del grupo de peers configurados. Activo. Conectar. Entradas salientes de RIB actuales Número de entradas en la tabla RIB saliente. Pestaña secundaria Peer Nombre Nombre del peer. Preferencia local predeterminada Muestra la preferencia local predeterminada configurada para el VR.

Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Agregar AS confederado Sí o No indican si se ha configurado la opción Agregar AS confederado. versión 7. Preferencia local. El MED es un atributo métrico para una ruta. Se recomienda un restablecimiento parcial de las sesiones BGP en lugar de uno completo. Se prefiere un MED más bajo antes que uno más alto. Atributo de preferencia local para la ruta. IP Origen Atributo de origen para el prefijo. Atributo de preferencia local para acceder al prefijo. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. la lista se anuncia en las actualizaciones BGP. Si el cortafuegos tiene más de una ruta hacia el mismo prefijo. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. Siguiente salto de tercero Sí o No indica si se ha configurado esta opción. Peer Nombre del peer. Palo Alto Networks Guía de referencia de interfaz web. Eliminar AS privado Indica si las actualizaciones eliminarán los números AS privados del atributo AS_PATH antes de que se envíen. Peer Peer al que el VR anunciará esta ruta. Pestaña secundaria RIB saliente Prefijo Entrada de enrutamiento de red en la base de información de enrutamiento. Es preferible una preferencia local más alta en lugar de más baja.0 • 193 . Recuento de flaps Número de flaps de la ruta. MED Atributo Discriminador de salida múltiple (MED) de la ruta. Cuando cambian las políticas de enrutamiento a un peer BGP. cómo BGP programó la ruta. Próximo salto automático Sí o No indica si se ha configurado esta opción. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. la ruta con el peso más alto se instalará en la tabla de enrutamiento de IP. las actualizaciones de tabla de enrutamiento pueden verse afectadas. que el AS que anuncia la ruta sugiere a un AS externo. Preferencia local. Es preferible una preferencia local más alta en lugar de más baja. Ruta AS Lista de sistemas autónomos en la ruta hacia la red Prefijo. Marca * indica que la ruta se seleccionó como la mejor ruta BGP. Pestaña secundaria RIB local Prefijo Prefijo de red y máscara de subred en la base de información de enrutamiento local. el restablecimiento parcial permite que las tablas de enrutamiento se actualicen sin borrar las sesiones BGP. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. Soporte de restablecimiento parcial Sí o No indica si el grupo de peers admite un restablecimiento parcial. Peso Atributo de peso asignado al prefijo.

El MED es un atributo métrico para una ruta. 2 o 3 del Protocolo de administración de grupos de Internet (IGMP). Versión Versión 1. Salida inmediata Sí o No indica si se ha configurado la Salida inmediata. que el AS que anuncia la ruta sugiere a un AS externo. Agregar estado Indica si la ruta se ha agregado con otras rutas.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Ruta AS Lista de sistemas autónomos en la ruta hacia la red de prefijo. Salida inmediata indica que el enrutador virtual eliminará una interfaz de la entrada de tabla de reenvíos sin enviar las consultas específicas de grupo IGMP de la interfaz. Tiempo de vencimiento del solicitante Tiempo restante para que caduque el cronómetro de presencia de otro solicitante. Anunciar estado Estado anunciado de la ruta. Pestaña secundaria Pertenencia IGMP Interfaz Nombre de una interfaz a la que corresponde la pertenencia. cómo BGP programó la ruta. Límite de orígenes Número de orígenes multicast permitidos en la interfaz. Se prefiere un MED más bajo antes que uno más alto. Tiempo de activación del solicitante Tiempo que el solicitante IGMP ha estado activado. Grupo Dirección de grupo multicast de IP. Potencia Potencia variable de la interfaz IGMP.0 Palo Alto Networks . Interfaces entrantes Indica interfaces en las que el tráfico multicast entra en VR. Límite de grupos Número de grupos multicast permitidos en la interfaz. Pestaña secundaria Interfaz IGMP Interfaz Interfaz que tiene activado IGMP. Origen Dirección de origen multicast. Tabla 115 Estadísticas de tiempo de ejecución multicast Campo Descripción Pestaña secundaria FIB Grupo Dirección de grupo multicast que reenviará el VR. Solicitante Dirección IP del solicitante IGMP en esa interfaz. MED Atributo Discriminador de salida múltiple (MED) del prefijo. versión 7. 194 • Guía de referencia de interfaz web. IP Origen Atributo de origen para el prefijo. Pestaña Multidifusión La siguiente tabla describe las estadísticas de tiempo de ejecución de IP multicast del enrutador virtual.

Temporizador de host V1 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 1 en la subred de IP adjuntada a la interfaz. Pestaña secundaria Vecino PIM Interfaz Nombre de la interfaz en el VR. Imponer intervalo Intervalo de imposición configurado (en segundos). Inactivo Indica que la asignación del grupo al RP está inactiva. Pestaña secundaria Interfaz PIM Interfaz Nombre de la interfaz que participa en PIM. Temporizador de host V2 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 2 en la subred de IP adjuntada a la interfaz. Borde de BSR Sí o no. Intervalo de saludo Intervalo de saludo configurado (en segundos). RP Dirección IP del punto de encuentro del grupo. VR se ha configurado para incluir todo el tráfico o solo el que procede de este origen (incluir). Tiempo de activación Tiempo que el vecino ha estado activado. Excluir caducidad Tiempo restante hasta que vence el estado Excluir de la interfaz.0 • 195 . Dirección secundaria Dirección IP secundaria del vecino. DR Dirección IP del enrutador designado en esa interfaz. IP Origen Indica dónde identificó VR el RP. Dirección Dirección IP del vecino. Pestaña secundaria Asignación de grupos PIM Grupo Dirección IP del grupo asignado a un punto de encuentro. Palo Alto Networks Guía de referencia de interfaz web. Prioridad de DR Prioridad configurada para el enrutador designado. Tiempo de vencimiento Tiempo restante antes de que expire el vecino porque VR no recibe paquetes de saludo del vecino. Tiempo de vencimiento Tiempo que queda antes de que venza la pertenencia. Dirección Dirección IP de la interfaz. o el tráfico de cualquier origen excepto este (excluir). Modo PIM ASM o SSM. Tiempo de activación Tiempo que ha estado activada esta pertenencia. Unir/eliminar intervalo Intervalo de unión/eliminación configurado (en segundos).Configuración de un enrutador virtual Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción Origen Dirección de origen del tráfico multicast. Modo de filtro Incluir o excluir el origen. versión 7.

El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Sustituye a todas las asignaciones obtenidas de interfaz a MAC. Este nombre aparece en la lista de redes VLAN cuando se configuran interfaces. Prioridad de DR Prioridad de enrutador designado que ha recibido el VR en el último mensaje de saludo PIM de este vecino.1Q. ¿Qué está buscando? Consulte ¿Qué es el DHCP? “Descripción general de DHCP” ¿Cómo asigna las direcciones un servidor DHCP? “Dirección DHCP” ¿Cómo se configura un servidor DHCP? “Componentes del servidor DHCP” 196 • Guía de referencia de interfaz web. y direcciones de red a los hosts configurados dinámicamente en una red TCP/IP. guiones y guiones bajos. Cada una de las interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada.Configuración de la compatibilidad de VLAN Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción ID de generación Valor que el VR ha recibido del vecino en el último mensaje de saludo PIM que se ha recibido en esta interfaz. Una interfaz en un cortafuegos Palo Alto Networks puede actuar como un servidor. Configuración de DHCP El protocolo de configuración de host dinámico (DHCP) es un protocolo estandarizado que proporciona parámetros de configuración de capa de enlace y TCP/IP. Utilice únicamente letras. el cortafuegos puede desempeñar múltiples funciones. Configuración de la compatibilidad de VLAN Red > VLAN El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802. consulte “Configuración de una interfaz VLAN”. La misma VLAN se puede asignar a varias interfaces de capa 2. pero cada interfaz solo puede pertenecer a una VLAN. versión 7. Tabla 116. números.0 Palo Alto Networks . Para definir una interfaz VLAN. Interfaz de VLAN Seleccione una interfaz VLAN para permitir enrutar el tráfico fuera de la VLAN. Configuración de MAC estática Especifique la interfaz mediante la que una dirección MAC es alcanzable. Configuración de VLAN Campo Descripción Nombre Introduzca un nombre de VLAN (de hasta 31 caracteres). Al asignar esas funciones a distintas interfaces. espacios. Interfaces Especifique interfaces del cortafuegos para VLAN. cliente o agente de retransmisión de DHCP.

• Un dispositivo que funcione como cliente DHCP (host) puede solicitar una dirección IP y otros ajustes de configuración al servidor DHCP. • Ubicación automática: El servidor DHCP asigna una dirección IP permanente a un cliente desde sus Grupos de IP. DHCP usa protocolo de datagramas de usuario(UDP). Dirección DHCP Hay tres formas en que el servidor DHCP asigna o envía una dirección IP a un cliente. Si se usa alguno de esos tres mecanismos de direcciones DHCP. Este modelo consta de tres funciones que puede desempeñar el dispositivo: Cliente DHCP. Descripción general de DHCP Red > DHCP DHCP usa un modelo cliente-servidor de comunicación. Los mensajes DHCP que un cliente envía a un servidor se envían al puerto conocido 67 (UDP. Los mensajes DHCP que un servidor envía a un cliente se envían al puerto 68. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo de configuración. versión 7. • Asignación estática: El administrador de red selecciona la dirección IP para asignarla al cliente y el servidor DHCP se la envía.Configuración de DHCP ¿Qué está buscando? Consulte ¿Cómo se configura un agente de retransmisión DHCP? “Componentes del retransmisión DHCP” ¿Cómo se configura un cliente DHCP? “Componentes del cliente DHCP” Mostrarme un ejemplo básico. El servidor puede ofrecer direcciones IP y muchas opciones DHCP a muchos clientes. En el cortafuegos. • Ubicación dinámica: El servidor DHCP asigna una dirección IP reutilizable desde Grupos de IP de direcciones a un cliente para un periodo máximo de tiempo. • Un dispositivo que actúa como un agente de retransmisión DHCP escucha mensajes de transmite mensajes de DHCP de unidifusión y difusión y los transmite entre los clientes y los servidores DHCP. Este método de asignación de la dirección es útil cuando el cliente tiene un número limitado de direcciones IP. servidor DHCP y agente de relé DHCP. y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que heredan del servidor DHCP. el administrador de red ahorra tiempo y tiene el beneficio de reutilizar un número limitado de direcciones IP de clientes que ya no necesitan una conectividad de red. se realiza configurando un servidor DHCP y seleccionando una Dirección reservada para Palo Alto Networks Guía de referencia de interfaz web.0 • 197 . RFC 768. La asignación DHCP estática es permanente. “Ejemplo: Configure un servidor DHCP con opciones personalizadas” ¿Busca más información? Consulte DHCP. una Concesión que se especifique como Ilimitada significa que la ubicación es permanente. conocido como Concesión. protocolo de arranque y DHCP). • Un dispositivo que actúa como un servidor DHCP puede atender a los clientes. pueden asignarse a los clientes que necesitan solo un acceso temporal a la red. como protocolo de transporte.

La asignación DHCP continúa en su lugar aunque el cliente se desconecte (cierre sesión. sin usar DHCP. (a no ser que haya especificado que una Concesión sea Ilimitada). – Si no configura ninguna Dirección reservada. – Puede configurar una Dirección reservada sin configurar una Dirección MAC. asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3. Antes de configurar un servidor DHCP. etc. por ejemplo. Vínculo hacia los temas relacionados: • “Componentes del servidor DHCP” • “Componentes del retransmisión DHCP” • “Componentes del cliente DHCP” • “Ejemplo: Configure un servidor DHCP con opciones personalizadas” Componentes del servidor DHCP Red > DHCP > Servidor DHCP La siguiente sección describe cada componente del servidor DHCP. reinicie o sufra un corte de alimentación.). Otro ejemplo es si el dispositivo cliente se usa para una función crucial y debe mantener la misma dirección IP aunque el dispositivo se apague. La asignación estática de una dirección IP es útil. En este caso. – Si asigna todas las direcciones de Grupos IP como una Dirección reservada. reinicie. no hay direcciones dinámicas libres para asignarlas al siguiente cliente DHCP que solicite una dirección. por ejemplo. etc. si tiene una impresora en una LAN y no desea que su dirección IP siga cambiando porque se asocia con un nombre de impresora a través de DNS. los clientes del servidor recibirán nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se reinician. Tenga en cuenta los siguientes puntos cuando configure una Dirección reservada: – Es una dirección de Grupos de IP. sufra un corte de alimentación.0 Palo Alto Networks . versión 7. 198 • Guía de referencia de interfaz web. etc. Puede reservar unas direcciones del grupo y asignarlas estáticamente a un fax e impresora. y de que la interfaz se asigna a una zona y un enrutador virtual. También debería conocer un grupo válido de direcciones IP de su plan de red que pueda designarse para que su servidor DHCP lo asigne a los clientes. desconecte. Puede configurar múltiples direcciones reservadas.Configuración de DHCP que corresponda con la Dirección MAC del dispositivo cliente. el servidor DHCP no asignará la Dirección reservada a ningún dispositivo.

Configuración de DHCP

Cuando añada un servidor DHCP, puede configurar los ajustes descritos en la tabla siguiente.
Los ajustes del servidor DHCP resultantes tendrán un aspecto similar al siguiente:

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción

Interfaz

Servidor DHCP

Nombre de la interfaz que funcionará como servidor DHCP.

Servidor DHCP

Seleccione habilitado o modo Automático. El modo
Automático activa el servidor y lo desactiva si se detecta
otro servidor DHCP en la red. El ajuste habilitado
desactiva el servidor.

Concesión

Si hace clic en Hacer ping a la IP al asignar IP nuevas, el
servidor hará ping a la dirección IP antes de asignarla a su
cliente. Si el ping recibe una respuesta, significará que ya
hay un dispositivo diferente con esa dirección, por lo que
no está disponible. El servidor asigna la siguiente dirección
desde el grupo. Si selecciona esta opción, la columna
Rastrear IP de la pantalla tendrá una marca de selección.

Modo

Hacer ping a la
IP al asignar IP
nuevas

Especifique un tipo de concesión.

Concesión

Grupos de IP

Dirección
reservada

Palo Alto Networks

Concesión

Concesión

• Ilimitada provoca que el servidor seleccione dinámicamente direcciones IP desde los Grupos IP y los asigne de
forma permanente a los clientes.
• Tiempo de espera determina cuánto durará esa concesión. Introduzca el número de Días y Horas y, opcionalmente, el número de Minutos.
Especifique el grupo de direcciones IP de estado desde el
que el servidor DHCP seleccione una dirección y la asigna a
un cliente DHCP.
Puede introducir una única dirección, una dirección/
<longitud de máscara>, como 192.168.1.0/24, o un intervalo
de direcciones, como 192.168.1.10-192.168.1.20.
También puede especificar una dirección IP (formato
x.x.x.x) desde los grupos de IP que no desee asignar
dinámicamente mediante el servidor DHCP.

Concesión

Si también especifica una Dirección MAC (formato
xx:xx:xx:xx:xx:xx), la Dirección reservada se asigna al
dispositivo asociado con la dirección MAC cuando ese
dispositivo solicita una dirección IP a través de DHCP.

Guía de referencia de interfaz web, versión 7.0 • 199

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Seleccione Ninguno (predeterminado) o seleccione una
interfaz de cliente DHCP de origen o una interfaz de cliente
PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Origen de herencia,
seleccione una o varias opciones que desee como heredadas
desde este origen.

Origen de
herencia

Opciones

Una de las ventajas de especificar un origen de herencia es
que las opciones DHCP se transfieren rápidamente desde el
servidor que está antes del cliente DHCP de origen.
También mantiene actualizadas las opciones del cliente si se
cambia una opción en el origen de herencia. Por ejemplo, si
el origen de herencia sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente
heredará automáticamente la nueva dirección como su
nuevo servidor NTP principal.

Opciones

Si ha seleccionado Origen de herencia, al hacer clic en
Comprobar estado de origen de herencia para abrir la
ventana Estado de interfaz de IP dinámica que muestra las
opciones que se han heredado desde el cliente DHCP.

Puerta de enlace

Opciones

Especifique la dirección IP de la puerta de enlace de la red
(una interfaz en el cortafuegos) que se usa para llegar a
cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.

Máscara de
subred

Opciones

Especifique la máscara de red que se aplica a las direcciones
del campo Grupos de IP.

Comprobar el
estado de origen
de herencia

200 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
En los siguientes campos, haga clic en la flecha hacia abajo y
seleccione Ninguno o heredado, o introduzca una dirección
IP de servidor remoto que su servidor DHCP enviará a los
clientes para acceder a ese servicio. Si ha seleccionado
heredado, el servidor DHCP hereda los valores desde el
cliente DHCP de origen, especificado como Origen de
herencia.
El servidor DHCP envía estos ajustes a sus clientes.

Opciones

Palo Alto Networks

Opciones

• DNS principal, DNS secundario: Dirección IP de los servidores del sistema de nombres de dominio (DNS) preferidos y alternativos.
• WINS principal, WINS secundario: Introduzca la dirección IP de los servidores Windows Internet Naming
Service (WINS) preferidos y alternativos.
• NIS principal, NIS secundario: Introduzca la dirección
IP de los servidores del Servicio de información de la red
(NIS) preferidos y alternativos.
• NTP principal, NTP secundario: Dirección IP de los servidores del protocolo de tiempo de redes (NTP) disponibles.
• Servidor POP3: Introduzca la dirección IP del servidor
Post Office Protocol de versión 3 (POP3).
• Servidor SMTP: Introduzca la dirección IP del servidor
del protocolo simple de transferencia de correo (SMTP).
• Sufijo DNS: Sufijo para que el cliente lo use localmente
cuando se introduce un nombre de host sin cualificar que
no puede resolver el cliente.

Guía de referencia de interfaz web, versión 7.0 • 201

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Haga clic en Añadir e introduzca el Nombre de la opción
personalizada que desea que el servidor DHCP envíe a los
clientes.
Introduzca un Código de opción (intervalo 1-254).

Opciones de
DHCP
personalizadas

Opciones

Si se introduce el Código de opción 43, aparece el campo
Identificador de clase de proveedor (VCI). Introduzca un
criterio de coincidencia que se compare con el VCI entrante
desde la opción 60 del cliente. El cortafuegos buscará en el
VCI entrante desde la opción 60 del cliente, busca el VCI
coincidente en su propia tabla de servidor DHCP y
devuelve el valor correspondiente al cliente en la opción 43.
El criterio de coincidencia de VCI es una cadena o valor
hexagonal. Un valor hexagonal debe tener un prefijo “0x”.
Haga clic en Heredado de fuente de herencia de DHCP
para que el servidor herede el valor para ese código de
opción desde el origen de herencia en lugar de introducir
un Valor de opción.
Como alternativa a la casilla de verificación, puede
continuar con lo siguiente:
Tipo de opción: Seleccione Dirección IP, ASCII o
Hexadecimal para especificar el tipo de datos usado para el
Valor de opción.
En Valor de opción, haga clic en Añadir e introduzca el
valor para la opción personalizada.

Componentes del retransmisión DHCP
Red > DHCP > Retransmisión DHCP
Antes de configurar una interfaz de cortafuegos como un agente de retransmisión DHCP,
asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha
asignado la interfaz a una zona y un enrutador virtual. Si quiere que la interfaz pueda pasar
mensajes DHCP entre los clientes y los servidores. La interfaz puede reenviar mensajes a un
máximo de cuatro servidores DHCP externos. Un mensaje de DHCPDISCOVER del cliente se
envía a todos los servidores configurados, y el mensaje DHCPOFFER del primer servidor que
responde se retransmite al cliente que originó la petición.

202 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 118. Configuración de retransmisión DHCP
Campo

Configurado en

Descripción

Interfaz

Retransmisión DHCP

Nombre de la interfaz que será el agente de retransmisión
DHCP.

IPv4/IPv6

Retransmisión DHCP

Seleccione el tipo de servidor DHCP y dirección IP que
especificará.

Dirección IP de
servidor DHCP

Retransmisión DHCP

Introduzca la dirección IP del servidor DHCP desde donde
y hacia donde retransmitirá los mensajes DHCP.

Interfaz

Retransmisión DHCP

Si ha seleccionado IPv6 como el protocolo de dirección IP
para el servidor DHCP y especificado una dirección
multicast, deberá también especificar una interfaz saliente.

Componentes del cliente DHCP
Red > Interfaces > Ethernet > IPv4
Red > Interfaces > VLAN > IPv4
Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegúrese de que ha
configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha asignado la interfaz a
una zona y un enrutador virtual. Realice esta tarea si quiere usar DHCP para solicitar una
dirección IPv4 para una interfaz en un cortafuegos.

Tabla 119. Configuración de cliente DHCP
Campo

Configurado en

Descripción

Tipo

IPv4

Haga clic en el botón de opción para Cliente DHCP y
seleccione Habilitar para configurar la interfaz como un
cliente DHCP.

Crear automáticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor

Métrica de ruta
predeterminada

Mostrar información de
tiempo de ejecución de
cliente DHCP

Palo Alto Networks

IPv4

Esto provoca que el cortafuegos cree una ruta estática a una
puerta de enlace predeterminada que será útil cuando los
clientes intenten acceder a muchos destinos que no
necesitan mantener rutas en una tabla de enrutamiento en
el cortafuegos.

IPv4

Una opción es introducir una Métrica de ruta
predeterminada (nivel de prioridad) para la ruta entre el
cortafuegos y el servidor de actualización. Un ruta con un
número más bajo tiene una prioridad alta durante la
selección de la ruta. Por ejemplo, una ruta con una métrica
de 10 se usa antes que una ruta con una métrica de 100.
El intervalo es de 1-65535. No hay un valor de métrica
predeterminado.

IPv4

Muestra todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesión de DHCP, la
asignación de dirección IP dinámica, la máscara de subred,
la puerta de enlace, la configuración del servidor (DNS,
NTP, dominio, WINS, NIS, POP3 y SMTP).

Guía de referencia de interfaz web, versión 7.0 • 203

Configuración de DHCP

Ejemplo: Configure un servidor DHCP con opciones personalizadas
En el siguiente ejemplo, se configura una interfaz en el cortafuegos como servidor DHCP.
El servidor DHCP se configura con las opciones 66 y 150 para proporcionar información sobre
servidores TFTP que proporciona configuraciones para teléfonos IP de Cisco. Esto significa
que cuando los clientes solicitan las opciones 66 y 150 del servidor, el servidor enviará estos
valores de opción en su respuesta. Los teléfonos IP de Cisco reciben su configuración desde
un servidor TFTP. La opción 66 de DHCP ofrece el nombre de host para un servidor TFTP; la
opción 150 ofrece la dirección IP de un servidor TFTP.

Configuración de un servidor DHCP con opciones personalizadas
1.

Seleccione Red > DHCP > Servidor DHCP.

2.

Seleccione la interfaz que sirve como servidor DHCP.

3.

En la pestaña Concesión, especifique Timeout como 1 día.

4.

Especifique el intervalo de direcciones IP en Grupos de IP que el servidor puede
asignar a los clientes.

204 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Configuración de un servidor DHCP con opciones personalizadas
5.

En la pestaña Opciones, escriba la dirección de puerta de enlace y la máscara de
subred para la red.

6.

Escriba las direcciones de los servidores que este servidor DHCP enviará a los clientes.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 205

Configuración de proxy DNS

Configuración de un servidor DHCP con opciones personalizadas
7.

Para introducir una opción DHCP personalizada, haga clic en Añadir. En este ejemplo,
escriba un nombre para la opción, como Nombre de host de teléfonos VoIP y el código
de opción 66. El nombre de la opción no se envía al cliente y facilita la identificación del
servidor.

8.

Seleccione ASCIl.

9.

Haga clic en Añadir para introducir el valor de opción TFTPserver10 y haga clic en
ACEPTAR.

10. Para introducir otra opción DHCP, haga clic en Añadir. Introduzca un nombre
diferente, como Dirección IP de teléfonos VoIP y el código de opción 150. El nombre
debe ser distinto del primer nombre porque los tipos de datos son diferentes.
11. Seleccione Dirección IP.
12. Haga clic en Añadir para introducir el valor de opción 10.1.1.1 (la dirección de
servidor TFTP principal) y haga clic en ACEPTAR.
13. Haga clic en ACEPTAR y seleccione Confirmar para guardar la configuración.

Configuración de proxy DNS
Los servidores DNS realizan el servicio de resolver un nombre de dominio con una dirección
IP y viceversa. Cuando configura el cortafuegos como un proxy DNS, actúa como un
intermediario entre los clientes y servidores y como un servidor DNS resolviendo consultas
desde su caché DNS. Use esta página para configurar los ajustes que determinan cómo el
cortafuegos sirve como un proxy DNS.

¿Qué desea saber?

Consulte

¿Cómo funciona el cortafuegos
como proxy de las solicitudes
DNS?

“Resumen proxy DNS”

¿Cómo se configura la caché
DHCP?

“Componentes del proxy DNS”

206 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de proxy DNS

¿Qué desea saber?

Consulte

¿Cómo configuro las
asignaciones de FQDN estática a
dirección IP?

“Componentes del proxy DNS”

¿Qué acciones adicionales puedo
realizar para gestionar proxies
DNS?

“Acciones adicionales de proxy DNS”

Resumen proxy DNS
Red > Proxy DNS
Para dirigir las consultas DNS a distintos servidores DNS según los nombres de dominio,
puede configurar el cortafuegos como un proxy DNS y especificar qué servidores DNS usar.
La especificación de múltiples servidores DNS puede garantizar la localización de las
consultas DNS y aumentar la eficiencia. Por ejemplo, puede reenviar todas las consultas DNS
corporativas a un servidor DNS corporativo y reenviar todas las demás consultas a los
servidores DNS ISP.
También puede enviar las consultas DNS a través de un túnel seguro para proteger detalles
sobre la configuración de red interna y le permite usar las funciones de seguridad como una
autenticación y cifrado.
En el caso de todas las consultas DNS que se dirigen a una dirección IP de interfaz, el
cortafuegos admite la dirección selectiva de consultas a diferentes servidores DNS en función
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envían mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un único paquete UDP.
La interfaz incluye las siguientes pestañas para definir el proxy DNS:

• Reglas de proxy DNS: Le permite configurar los ajustes de nombre, nombre de dominio y
servidor DNS primario y secundario.

• Entradas estáticas: Le permite configurar un FQDN estático a las asignaciones de
dirección IP que se distribuirán en respuesta a consultas DNS realizadas por los hosts.

• Avanzado: Le permite definir los reintentos de consulta TCP, consulta UDP y la caché.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 207

Configuración de proxy DNS

Si el nombre de dominio no se encuentra en la caché proxy de DNS, el cortafuegos busca una
coincidencia de configuración de las entradas en el objeto proxy DNS específico (en la interfaz
en la que se recibe la consulta DNS) y se reenvía a un servidor de nombres en función de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. También se admiten entradas estáticas y caché.

Consulte:
“Componentes del proxy DNS”
“Traslado o duplicación de una política o un objeto”

Componentes del proxy DNS
Red > Proxy DNS
La siguiente sección describe cada componente que puede configurar para establecer el
cortafuegos como un proxy DNS.

Tabla 120. Proxy DNS Configuración
Campo

Configurado en

Descripción

Habilitar

Proxy DNS

Seleccione la casilla de verificación para activar proxy DNS.

Nombre

Proxy DNS

Especifique un nombre para identificar el objeto proxy DNS
(hasta 31 caracteres). El nombre hace distinción entre mayúsculas
y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.

Ubicación

Proxy DNS

Especifique el sistema virtual al que se aplique el objeto proxy
DNS. Si quiere seleccionar Compartido, el campo Perfil de
servidor no está disponible. Introduzca los objetos de direcciones
o direcciones IP del servidor DNS Principal y Secundario. Para
que un sistema virtual utilice Proxy DNS, debe configurar uno
previamente. Vaya a Dispositivo > Sistemas virtuales, seleccione
un sistema virtual, y seleccione un Proxy DNS.

Origen de herencia

Proxy DNS

Seleccione un origen para heredar las configuraciones del
servidor DNS predefinido. Se suele utilizar en implementaciones
de sucursales, en las que a la interfaz WAN del cortafuegos se
accede mediante DHCP o PPPoE.

Comprobar el estado de
origen de herencia

Proxy DNS

Haga clic en el enlace para ver la configuración del servidor
asignada actualmente a las interfaces del cliente DHCP y PPoE.
Pueden incluir DNS, WINS, NTP, POP3, SMTP o sufijo DNS.

Perfil de servidor

Proxy DNS

Seleccione o cree un nuevo perfil de servidor DNS. Este campo no
aparece si la ubicación de los sistemas virtuales se especifica como
Compartido.

Principal

Proxy DNS

Especifique las direcciones IP de los servidores DNS primario y
secundario. Si el servidor DNS primario no se encuentra, se
utilizará el secundario.

Secundario

208 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Primario/Secundario Proxy DNS > Reglas de proxy DNS Introduzca el nombre de host o la dirección IP de los servidores DNS principal y secundario. FQDN Proxy DNS > Entradas estáticas Introduzca el nombre de dominio completo (FQDN) que se asignará a las direcciones IP estáticas definidas en el campo Dirección. Se deben especificar ambos. el proxy DNS debe seleccionar una dirección IP de interfaz como origen (cuando no se definen rutas de servicio DNS). Palo Alto Networks Guía de referencia de interfaz web. No se requiere una interfaz si se usa el proxy DNS solo para la funcionalidad de la ruta de servicio. Para eliminar una dirección.ingeniería. Tras el tiempo de espera.Configuración de proxy DNS Tabla 120. Dirección Proxy DNS > Entradas estáticas Haga clic en Añadir e introduzca las direcciones IP que se asignan a este dominio.local”. Repita esta acción para añadir más nombres. Por ejemplo. las nuevas solicitudes se deben resolver y volver a guardar en la caché (intervalo 4 a 24. Debe usarse una ruta de servicio de destino con un proxy DNS sin interfaz. Puede añadir varias interfaces. Caché Proxy DNS > Avanzado Seleccione la casilla de verificación para activar el almacenamiento en caché DNS y especifique la siguiente información: • Tamaño: Especifique el número de entradas que retendrá la caché (intervalo 1024-10240.0 • 209 . opción predefinida 4 horas). si desea que la dirección IP de origen pueda definirse en la ruta de servicio de destino. Para eliminar un nombre. selecciónelo y haga clic en Eliminar. versión 7. Para eliminar una interfaz. Repita esta acción para añadir más direcciones.local” no coincidirá con “ingeniería. selecciónela y haga clic en Eliminar. • Tiempo de espera: Especifique la duración (horas) después de la que se eliminarán todas las entradas. Activar el almacenamiento en caché de dominios resueltos por esta asignación Proxy DNS > Reglas de proxy DNS Seleccione la casilla de verificación para activar el almacenamiento en caché de los dominios que se han resuelto mediante esta asignación. Nombre Proxy DNS > Reglas de proxy DNS Se requiere un nombre para poder modificar y hacer referencia a una entrada mediante CLI. “*. De lo contrario. Los valores de tiempo de vida DNS se utilizan para eliminar las entradas de caché cuando se han almacenado durante menos tiempo que el período configurado. Seleccione una interfaz de la lista desplegable y haga clic en Añadir. opción predefinida 1024). selecciónela y haga clic en Eliminar. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Interfaz Proxy DNS Active las casillas de verificación Interfaz para especificar las interfaces del cortafuegos que admiten las reglas de proxy DNS. Nombre Proxy DNS > Entradas estáticas Introduzca un nombre para la entrada estática. Nombre de dominio Proxy DNS > Reglas de proxy DNS Haga clic en Añadir e introduzca el nombre de dominio del servidor proxy. En el caso de una regla de proxy DNS. el número de testigos en una cadena comodín debe coincidir con el número de testigos en el dominio solicitado.

a la que se puede acceder mediante el protocolo simple 210 • Guía de referencia de interfaz web. ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Definición de perfiles LLDP” ¿Busca más información? Consulte LLDP. opción predeterminada: 64) en el campo Máx. haga clic en la entrada del proxy DNS y cancele la selección de Habilitar. de solicitudes pendientes. Para habilitar un proxy DNS que se haya deshabilitado. Acciones adicionales de proxy DNS Tras configurar el cortafuegos como un proxy DNS. Reintentos de consultas de UDP Proxy DNS > Avanzado Especifique los ajustes para los reintentos de consulta UDP: • Intervalo: Especifique el tiempo en segundos después del cual se enviará otra solicitud si no se ha recibido respuesta (intervalo 1-30. haga clic en el nombre de la configuración de proxy DNS. puede realizar las siguientes acciones en la página Red > Proxy DNS para gestionar las configuraciones de proxy DNS: • Modificar: Para modificar un proxy DNS.0 Palo Alto Networks . opción predefinida 5). Configuración de LLDP El protocolo de detección de nivel de enlace (LLDP) ofrece un método automático de detección de los dispositivos vecinos y sus funciones en la capa de enlace.Configuración de LLDP Tabla 120. • Intentos: Especifique el número máximo de intentos (sin incluir el primer intento) después de los cuales se intentará el siguiente servidor DNS (intervalo 1-30. opción predeterminada: 2 segundos). • Deshabilitar: Para deshabilitar un proxy DNS. haga clic en el nombre de la entrada de proxy DNS y se seleccione Habilitar. Descripción general de LLDP Red > LLDP El LLDP permite el cortafuegos para enviar y recibir las tramas Ethernet que contienen las unidades de datos LLDP (LLDPDUs) desde y hacia los vecinos. El dispositivo receptor almacena la información en un MIB. • Eliminar: Seleccione una entrada de proxy DNS y haga clic en Eliminar para eliminar la configuración de proxy DNS. Especifique el límite superior del número de solicitudes DNS TCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Consultas TCP Proxy DNS > Avanzado Seleccione la casilla de verificación para activar las consultas DNS mediante TCP. versión 7.

Esto facilita la solución de problemas. versión 7. Valor predeterminado: 4. Configuración LLDP e información mostrada Campo Configurado en o Mostrado en Intervalo de transmisión (segundos) LLDP Retraso de transmisión (segundos) Múltiple tiempo de espera Palo Alto Networks Descripción Especifica el intervalo en el que se transmiten LLDPDUs. Valor predeterminado: 30 segundos. Intervalo: 1-3600 segundos. Guía de referencia de interfaz web. El resto de entradas de la tabla describe las estadísticas de peer y estado. especialmente para las implementaciones de cable virtual donde el cortafuegos puede pasar desapercibido en una topología de red. Tabla 121. si los ajustes predeterminado no se adapta en su entorno. Componentes del LLDP Red > LLDP Para habilitar el LLDP en el cortafuegos. haga clic en Editar y después en Habilitar y configure los cuatro ajustes que se muestran en la siguiente tabla. El tiempo de espera TTL máximo es 65535. El Retraso de transmisión debe ser inferior al Intervalo de transmisión. LLDP Especifique el tiempo de intervalo entre las transmisiones LLDP enviados después de que se realice un cambio en un elemento de Tipo-Longitud-Valor (TLV). El tiempo de espera TTL es el tiempo que el cortafuegos conservará la información del peer como válido. Este intervalo impide la inundación del segmento con LLDPDU si muchos cambios de red aumentan el número de cambios LLDP o si la interfaz provoca flaps. Intervalo: 1-100. El LLDP permite que los dispositivos de red asignen su topología de red y funciones de programación de los dispositivos conectados. independientemente del valor de multiplicador. LLDP Especifique un valor que se multiplica por el Intervalo de transmisión para determinar el tiempo total de espera TTL.0 • 211 . Intervalo: 1-600 segundos. Valor predeterminado: 2 segundos.Configuración de LLDP de administración de redes (SNMP).

Modo Estado Modo LLDP de la interfaz: Tx/Rx. Total transmitidos Estado Número de LLDPDU transmitidos fuera de la interfaz. por ejemplo. mal funcionamiento. Caducado Estado Número de elementos eliminados desde Recibir MIB por una caducidad TTL adecuada. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Intervalo de notificaciones LLDP Especifique el intervalo en el que las notificaciones de Trap SNMP y syslog se transmiten cuando se producen los cambios MIB. Errores Estado Número de elementos Tiempo-Longitud-Valor (TLV) que se recibieron en la interfaz y contenían errores. Total recibidos Estado Número de tramas LLDP recibidas de la interfaz.0 Palo Alto Networks . Interfaz Estado Nombre de las interfaces que tienen asignados perfiles LLDP. No reconocido Estado Número de TLV recibidos en la interfaz que no reconoce el agente local LLDP. LLDP Estado Estado de LLDP: habilitado o deshabilitado. filtro de catalejo Estado También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris. Perfil Estado Nombre del perfil asignado a la interfaz. versión 7. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. Valor predeterminado: 5 segundos. Tx solo o Rx solo. Por ejemplo. porque el tipo TLV está en el intervalo TLV reservado.Configuración de LLDP Tabla 121. Intervalo: 1-3600 segundos. 212 • Guía de referencia de interfaz web. un error de longitud cuando el sistema construye un LLDPDU para la transmisión. información fuera de rango o error de longitud. Transmisión descartada Estado Número de LLDPDU que no se han transmitido fuera de la interfaz por un error. TLV descartado Estado Recuento de las tramas LLDP descartadas en la recepción. Entre los tipos de errores de TLV se incluyen: falta de uno o más TLV obligatorios. Haga clic en la X roja para borrar el filtro.

Descripción del sistema Mismos niveles Descripción de puerto Mismos niveles Tipo de puerto Mismos niveles Nombre de interfaz. Dirección MAC Mismos niveles La dirección MAC del peer. Haga clic en la X roja para borrar el filtro. Descripción del puerto del peer. que se basan en TLV obligatorios y opcionales. O=Otro.0 • 213 . Nombre Mismos niveles Nombre del peer. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Borrar estadísticas LLDP Estado Haga clic en este botón de la parte inferior de la pantalla para borrar todas las estadísticas LLDP. ID de puerto Mismos niveles El cortafuegos usa el NombreIf de la interfaz. P=Repetidor. filtro de catalejo Mismos niveles También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris.Configuración de LLDP Tabla 121. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. B=Puente. Interfaz local Mismos niveles Interfaz en el cortafuegos que detectó el dispositivo vecino. Guía de referencia de interfaz web. Descripción del peer. W=LAN-Inalámbrico. T=Teléfono Palo Alto Networks ID de bastidor del peer. Capacidades del sistema Mismos niveles Funcionalidades del sistema. Tipo de bastidor Mismos niveles El tipo de chasis en dirección MAC. R=Enrutador. Nombre del sistema Mismos niveles Nombre del peer. ID de bastidor remoto Mismos niveles ID de puerto Mismos niveles IP de puerto del peer. versión 7. Más info Mismos niveles Haga clic en este enlace para ver los detalles de peer remoto. se usa la dirección MAC.

214 • Guía de referencia de interfaz web.Definiendo perfiles de gestiones de interfaz Tabla 121. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Capacidades habilitadas Mismos niveles Dirección de gestión Mismos niveles Descripción Funcionalidades habilitadas en el peer. Para asignar perfiles de gestión a cada interfaz.0 Palo Alto Networks . consulte “Configure la interfaz de capa 3” y “Configuración de la subinterfaz de capa 3”. Definiendo perfiles de gestiones de interfaz Red > Perfiles de red > Gestión de interfaz Utilice esta página para especificar los protocolos que se utilizan para gestionar el cortafuegos. versión 7. Dirección de gestión del peer.

Si selecciona la casilla de verificación ID de usuario permite la comunicación entre cortafuegos donde uno redistribuye la asignación de usuarios y la información de asignación de grupo a los otros. Telnet SSH HTTP OCSP de HTTP HTTPS SNMP Páginas de respuesta ID de usuario Si selecciona la casilla de verificación Páginas de respuesta. 6081 para el Portal cautivo en modo transparente. versión 7. espacios. y 6082 para el Portal cautivo en el modo Redirigir. consulte “Pestaña Agentes de ID de usuarios”. En ambos casos. el perfil de supervisión se utiliza para especificar la medida que se adoptará cuando un recurso (túnel de IPSec o dispositivo de siguiente salto) no esté disponible. Definición de perfiles de supervisión Red > Perfiles de red > Supervisar Un perfil de supervisor se utiliza para supervisar las reglas de reenvío basado en políticas (PFB) de túneles de IPSec y dispositivos de siguiente salto. Los perfiles de supervisión son opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para garantizar el cumplimiento de las reglas PBF. Los siguientes ajustes se utilizan para configurar un perfil de supervisión. Este nombre aparece en la lista de perfiles de gestión de interfaz cuando se configuran interfaces. Utilice únicamente letras. Palo Alto Networks Guía de referencia de interfaz web. números. Ping Seleccione la casilla de verificación para cada servicio que desee activar en las interfaces a las que asigna el perfil. los puertos usados para atender las páginas de respuesta del Portal cautivo quedan abiertos en las interfaces de capa 3: puerto 6080 para NTLM. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. SSL de escucha de Syslog de ID de usuario UDP de escucha de Syslog de ID de usuario Direcciones IP permitidas Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la gestión de cortafuegos.Definición de perfiles de supervisión Tabla 122. guiones y guiones bajos.0 • 215 . Para obtener información detallada. Configuración del Perfil de gestión de interfaz Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).

números. ej. Configuración de Perfil de protección de zonas Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.Definición de perfiles de protección de zonas Tabla 123. En ambos casos. el cortafuegos realiza la acción especificada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. El cortafuegos utiliza la búsqueda de tabla de enrutamiento para determinar el enrutamiento durante la sesión. el cortafuegos intentará negociar nuevas claves de IPSec para acelerar la recuperación. Los paquetes continuarán enviándose de acuerdo con la regla PBF. guiones y guiones bajos. • Conmutación por error: El tráfico cambiará a una ruta de seguridad. 216 • Guía de referencia de interfaz web. si existe una disponible. Este nombre aparece en la lista de perfiles de protección de zonas cuando se configuran zonas. Para aumentar las capacidades de protección de zona en el cortafuegos. sorteará el ajuste de protección de zona. opción predefinida 5). Si el número de umbral de latidos se pierde. opción predefinida 3). espacios y guiones bajos. Configuración de supervisión Campo Descripción Nombre Introduzca un nombre para identificar el perfil de supervisión (de hasta 31 caracteres). la zona donde el tráfico entra al cortafuegos) y no están diseñados para proteger un host de extremo específico o el tráfico que vaya a una zona de destino particular. Si el paquete coincide con una sesión existente. espacios. Está diseñado para proporcionar una protección amplia en la zona de entrada (p. Acción Especifique la acción que se realizará si el túnel no está disponible. haga clic en Añadir y especifique los siguientes ajustes: Tabla 124. ataques de reconocimiento y otros ataques basados en paquetes. Intervalo Especifique el tiempo entre latidos (intervalo 2-10. utilice la base de reglas de protección DoS para la coincidencia con una zona específica. Utilice únicamente letras. interfaz.. Utilice únicamente letras. • Esperar recuperación: Espera a que el túnel se recupere. no realiza ninguna acción adicional. Note: La protección de zona solo se aplica cuando no hay ninguna coincidencia de sesión para el paquete. Umbral Especifique el número de latidos que se perderán antes de que el cortafuegos realice la acción especificada (intervalo 2-100. dirección IP o usuario. Descripción Introduzca una descripción opcional para el perfil de protección de zonas. Para configurar un perfil Protección de zona.0 Palo Alto Networks . Definición de perfiles de protección de zonas Red > Perfiles de red > Protección de zona Un perfil de protección de zona ofrece protección frente a las inundaciones más comunes. versión 7.

• Pestaña Protección de reconocimiento: Consulte “Configuración de la protección de reconocimiento”. – Si el flujo supera el umbral de tasa de activación. se genera una alarma. – Si el flujo supera el umbral de tasa de máxima. Es el método preferido. versión 7. debe configurar los ajustes en la pestaña General y en cualquiera de las siguientes pestañas. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. Configuración de la pestaña Protección contra inundaciones Campo Descripción Umbrales de protección contra inundaciones: Inundación SYN Acción Seleccione la acción que se adoptará en respuesta a un ataque de inundación SYN. Para activar la protección frente a inundaciones SYN en una puerta de enlace compartida puede aplicar un perfil de protección de inundación SYN con descarte aleatorio temprano o cookies SYN. Palo Alto Networks Guía de referencia de interfaz web. se descartan paquetes SYN individuales de forma aleatoria para reducir el flujo. se descartan todos los paquetes.0 • 217 . debe crear un perfil de protección de zona separado para la puerta de enlace compartida. • Cookies SYN: Calcula un número de secuencia de paquetes SYN-ACK que no requieren almacenar las conexiones pendientes en memoria. • Descarte aleatorio temprano: Permite descartar paquetes SYN para mitigar un ataque de inundación: – Si el flujo supera el umbral de tasa de alerta.Definición de perfiles de protección de zonas Cuando se define un perfil Protección de zona. • Pestaña Protección de ataque basada en paquetes: Consulte “Configuración de la protección de ataques basada en paquetes”. Tabla 125. según lo requiera su topología de red: • Pestaña Protección contra inundaciones: Consulte “Configuración de la protección contra inundaciones”. en una zona externa solo está disponible el descarte aleatorio temprano para la protección frente a inundación SYN Configuración de la protección contra inundaciones Red > Perfiles de red > Protección de zona > Protección contra inundaciones La tabla siguiente describe los ajustes de la pestaña Protección contra inundaciones. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6.

La medición se detiene cuando el número de paquetes ICMPv6 es inferior al umbral.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera una alarma de ataque.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera una alarma de ataque. Cualquier número de paquetes que supere el máximo se descartará. Máximo (paquetes/seg.) Introduzca el número máximo de paquetes ICMP que se pueden recibir por segundo. Máximo (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará.) Introduzca el número máximo de paquetes UDP que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Cualquier número de paquetes que supere el máximo se descartará. Cualquier número de paquetes que supere el máximo se descartará. Activar (paquetes/seg. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Alerta (paquetes/seg.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes UDP. La respuesta se desactiva si el número de paquetes IP es inferior al umbral.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes IP. Umbrales de protección contra inundaciones: UDP Alerta (paquetes/seg. Umbrales de protección contra inundaciones: Otras IP Alerta (paquetes/seg. Las alarmas se pueden en el panel (consulte “Uso del panel”) y en el log de amenazas (consulte “Realización de capturas de paquetes”). Umbrales de protección contra inundaciones: Inundación ICMP Alerta (paquetes/seg. Máximo (paquetes/seg. Máximo (paquetes/seg.) Introduzca el número de paquetes ICMPv6 recibidos por segundo en la zona que causa que se descarten los siguientes paquetes ICMPv6. Activar (paquetes/seg.0 Palo Alto Networks . Umbrales de protección contra inundaciones: ICMPv6 Alerta (paquetes/seg. 218 • Guía de referencia de interfaz web.) Introduzca el número máximo de paquetes ICMPv6 que se pueden recibir por segundo.) Introduzca el número de solicitudes de eco ICMP (pings) recibidos por segundo que genera una alarma de ataque. Activar (paquetes/seg.) Introduzca el número de solicitudes de eco ICMPv6 (pings) recibidos por segundo que genera una alarma de ataque. Activar (paquetes/seg.) Introduzca el número de paquetes ICMP recibidos por la zona (en un segundo) que causa que se descarten los siguientes paquetes ICMP.) Introduzca el número máximo de paquetes SYN que se pueden recibir por segundo.Definición de perfiles de protección de zonas Tabla 125.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera una alarma de ataque. Activar (paquetes/seg. La respuesta se desactiva si el número de paquetes UDP es inferior al umbral.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera la acción especificada. versión 7.

Configuración de la protección de reconocimiento Red > Perfiles de red > Protección de zona > Protección de reconocimiento La tabla siguiente describe los ajustes de la pestaña Protección de reconocimiento. e introduzca la duración (segundos). • Bloquear IP: Descarta el resto de paquetes durante un período de tiempo especificado. Dirección de fuente de difusión por proximidad Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de fuente de difusión por proximidad. Tabla 126. Limpieza de host Intervalo (seg) Introduzca el intervalo de tiempo para la detección de exámenes puerto y limpieza de host (segundos). o el de origen y destino. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Máximo (paquetes/seg. destino. versión 7. IPv6 Colocar paquetes con Encabezado de enrutamiento tipo 0 Active la casilla de verificación para colocar los paquetes de IPv6 que incluirán un encabezado de enrutador de tipo 0. • Bloquear: Descarta todos los paquetes enviados desde el origen al destino durante el resto del intervalo de tiempo especificado. Configuración de la pestaña Protección de reconocimiento Campo Descripción Protección de reconocimiento: Examen de puerto TCP. Dirección compatible de IPv4 Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección compatible con IPv4.0 • 219 . • Alerta: Genera una alerta para cada exploración o limpieza que coincida con el umbral del intervalo de tiempo especificado. Examen de puerto de UDP. Configuración de la protección de ataques basada en paquetes Red > Perfiles de red > Protección de zona > Protección de ataque basada en paquetes Las siguientes pestañas se utilizan para la configuración de la protección de ataque basada en paquetes: • Descarte IP: Consulte “Configuración de la pestaña Descarte IP”. Cualquier número de paquetes que supere el máximo se descartará. Dirección de origen multicast Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de origen multicast. Umbral (eventos) Introduzca el número de puertos explorados en el intervalo de tiempo especificado que activarán este tipo de protección (eventos). Seleccione si se bloqueará el tráfico de origen.) Introduzca el número máximo de paquetes IP que se pueden recibir por segundo.Definición de perfiles de protección de zonas Tabla 125. Acción Introduzca la acción que el sistema adoptará como respuesta a este tipo de evento: • Permitir: Permite la exploración de puerto de reconocimiento de limpieza de host. Palo Alto Networks Guía de referencia de interfaz web.

Seguridad Descarta paquetes con la opción de seguridad activada. 1108. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. versión 7. Descartar opciones IP Enrutamiento de fuente estricto Descarta paquetes con la opción de IP de enrutamiento de origen estricto activada. ID de secuencia Descarta paquetes con la opción de ID de secuencia activada. Comprobación de dirección IP estricta Tráfico fragmentado Descarta los paquetes IP fragmentados. especifique los siguientes ajustes: Tabla 127. • El segmento cubre otro segmento. 1393 y 2113. Enrutamiento de origen no estricto Descarta paquetes con la opción de IP de enrutamiento de origen no estricto activada. Configuración de la pestaña Protección de ataque basada en paquetes Campo Descripción Pestaña secundaria Descarte IP Dirección IP de réplica Active la casilla de verificación para activar la protección contra replicación de dirección IP. • Colocación de IPv6: Consulte “Configuración de la pestaña Colocación de IPv6”. número y longitud basadas en RFC 791. Segmento TCP superpuesto no coincidente Este ajuste hará que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. Desconocido Descarta paquetes si no se conoce la clase ni el número. 220 • Guía de referencia de interfaz web. la elimina. Marca de tiempo Descarta paquetes con la opción de marca de tiempo activada. • El segmento está superpuesto a parte de otro segmento. Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y.Definición de perfiles de protección de zonas • Descarte TCP: Consulte “Configuración de la pestaña Descarte TCP”. si es así. • ICMPv6: Consulte “Configuración de la pestaña Colocación de ICMPv6”. • Colocación de ICMP: Consulte “Configuración de la pestaña Colocación de ICMP”. Ruta de log Descarta paquetes con la opción de ruta de log activada.0 Palo Alto Networks . Configuración de la pestaña Descarte IP Para configurar Descarte IP. Forma incorrecta Descarta paquetes si tienen combinaciones incorrectas de clase.

• Sí: Rechaza TCP sin SYN. versión 7.Definición de perfiles de protección de zonas Tabla 127. • Derivar: Derive los paquetes que contienen una ruta asimétrica. especifique los siguientes ajustes: Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Segmento TCP superpuesto no coincidente Hace que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. Cuando se configura esta opción para un perfil de protección de zona y el perfil se aplica a una zona. La presentación dividida de cuatro o cinco direcciones o un procedimiento de establecimiento de sesión abierta simultánea son ejemplos de variaciones que no se permiten. Palo Alto Networks Guía de referencia de interfaz web. Rechazar TCP sin SYN Determina si el paquete se rechazará. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. • El segmento cubre otro segmento. Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. • Sí: Rechaza TCP sin SYN. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. Configuración de la pestaña Descarte TCP Para configurar Descarte TCP. • No: Acepta TCP sin SYN. • El segmento está superpuesto a parte de otro segmento. no se permiten las variaciones. • No: Acepta TCP sin SYN. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI.0 • 221 . las sesiones TCP para interfaces de esa zona deben establecerse usando una presentación estándar de tres direcciones. Protocolo de enlace dividido Evita que una sesión TCP se establezca si el procedimiento de establecimiento de sesión no usa la reconocida presentación de tres direcciones. El cortafuegos del última generación Palo Alto Networks gestiona correctamente sesiones y todos los procesos de capa 7 para la presentación de enlace dividido y un establecimiento de sesión abierta simultánea sin configurar Protocolo de enlace dividido. Configuración de la pestaña Protección de ataque basada en paquetes (Continuación) Campo Descripción Rechazar TCP sin SYN Determina si el paquete se rechazará. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP.

222 • Guía de referencia de interfaz web. Configuración de la pestaña Colocación de IPv6 Para configurar Colocación de IPv6. la elimina. Suprimir fragmento de ICMP necesario Detiene el envío de mensajes necesarios por la fragmentación ICMP en respuesta a paquetes que exceden la interfaz MTU y tienen el bit no fragmentar (DF) activado. Suprimir error caducado ICMP TTL Detiene el envío de mensajes caducados ICMP TTL. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. • Derivar: Derive los paquetes que contienen una ruta asimétrica. especifique los siguientes ajustes: Tabla 130. Configuración de la pestaña Colocación de ICMP Campo Descripción Pestaña secundaria Colocación de ICMP ID de 0 de ping de ICMP Descarta paquetes si el paquete de ping de ICMP tiene un identificador con el valor de 0. si es así.0 Palo Alto Networks . Descartar ICMP incrustado con mensaje de error Descarta los paquetes ICMP que se incrustan con un mensaje de error. versión 7. especifique los siguientes ajustes: Tabla 129. Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y. Dirección compatible de IPv4 Descarta los paquetes IPv6 que se definen como una dirección IPv6 compatible con IPv4 RFC 4291. Este ajuste interfiere el proceso PMTUD que ejecutan los hosts tras el cortafuegos. Fragmento de ICMP Descarta paquetes formados con fragmentos ICMP. ICMP de gran tamaño (>1.Definición de perfiles de protección de zonas Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI.024) Descarta paquetes ICMP con un tamaño mayor de 1024 bytes. Configuración de la pestaña Colocación de IPv6 Campo Descripción Pestaña secundaria Descarte de IPv6 Encabezado de enrutamiento tipo 0 Descarta los paquetes IPv6 que contienen un encabezado de enrutamiento de Tipo 0. Configuración de la pestaña Colocación de ICMP Para configurar Colocación de ICMP. Consulte RFC 5095 para la información de encabezado de enrutamiento de tipo 0.

0 • 223 . Tiempo superado de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de tiempo de ICMPv6 superado incluso con una sesión existente. Campo reservado diferente a cero Descarta paquetes IPv6 que tienen un encabezado con un campo reservado no definido a cero. que contiene opciones buscadas solo para el destino del paquete. Problema de parámetro de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de problema de parámetro de ICMPv6 incluso con una sesión existente. Configuración de la pestaña Colocación de IPv6 (Continuación) Campo Descripción Dirección de fuente de difusión por proximidad Descarta los paquetes IPv6 con una dirección de origen de difusión. versión 7. Extensión de enrutamiento Descarta los paquetes IPv6 que contienen el encabezado de extensión de enrutamiento. Extensión de destino Descarta los paquetes IPv6 que contienen la extensión de opciones de destino. que dirige los paquetes a uno o más nodos intermedios a su destino. MTU en paquete ICMP demasiado grande inferior a 1280 bytes Descarta los paquetes IPv6 que contienen un mensaje Paquete de error de ICMPv6 demasiado grande MTU inferior a 1. Opciones de IPv6 no válidas en encabezado de extensión Descarta los paquetes IPv6 que contienen opciones IPv6 no válidas en el encabezado de extensión. Paquete de ICMPv6 demasiado grande: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de paquetes ICMPv6 demasiado grandes incluso con una sesión existente. Palo Alto Networks Guía de referencia de interfaz web. Encabezado de fragmento innecesario Descarta los paquetes IPv6 con la etiqueta del último fragmento (M=0) y un desplazamiento de cero. especifique los siguientes ajustes: Tabla 131. Configuración de la pestaña Colocación de ICMPv6 Campo Descripción Pestaña secundaria ICMPv6 Destino ICMPv6 no alcanzable: requiere regla de seguridad explícita Requiere una búsqueda de política de seguridad explícita para errores de destinos ICMPv6 no alcanzables incluso con una sesión existente. Extensión de salto por salto Descarta los paquetes IPv6 que contienen el encabezado de extensión de salto por salto.280.Definición de perfiles de protección de zonas Tabla 130. Configuración de la pestaña Colocación de ICMPv6 Para configurar Colocación de ICMPv6.

transmisión-solo o recepción-solo. que ocurrirán en el Intervalo de notificaciones global. Configuración de perfil de LLDP Campo Configurado en Descripción Nombre Perfil de LLDP Especifique un nombre para el perfil LLDP. Si se activa. Descripción del sistema Perfil de LLDP Permite que el objeto sysDescr del cortafuegos se envíe en el TLV Descripción del sistema.Definición de perfiles LLDP Tabla 131. Tras configurar el perfil LLDP. Configuración de la pestaña Colocación de ICMPv6 (Continuación) Campo Descripción Redirección de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de redireccionamiento de ICMPv6 incluso con una sesión existente. Tabla 132. Descripción de puerto Perfil de LLDP Permite que el objeto ifAlias del cortafuegos se envíe en el TLV Descripción de puerto. Notificación Syslog SNMP Perfil de LLDP Permite las notificaciones de syslog y trap SNMP. habilitar las notificaciones de syslog y SNMP y configurar el Tipo-Longitud-Valores (TLV) opcional que desea se transmitan a los peer LLDP. Componentes de perfiles LLDP Red > Perfiles de red > Perfil LLDP Un perfil de Protocolo de detección de nivel de enlace (LLDP) es la forma que le permite configurar el modo LLDP en el cortafuegos.0 Palo Alto Networks . versión 7. Modo Perfil de LLDP Seleccione el modo en el que funcionará LLDP: transmisión-recepción. Definición de perfiles LLDP ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Componentes de perfiles LLDP” ¿Busca más información? Consulte LLDP. asigna el perfil a una o más interfaces. el cortafuegos enviará tanto un evento de syslog y trap SNMP como se configura en Dispositivo > Configuración de log > Sistema > Perfil de Trap SNMP y Perfil de Syslog. Nombre del sistema Perfil de LLDP Permite que el objeto sysName del cortafuegos se envíe en el TLV Nombre de sistema. 224 • Guía de referencia de interfaz web.

Definición de perfiles LLDP Tabla 132. Interfaz Perfil de LLDP Seleccione una interfaz cuya dirección IP será la Dirección de gestión. Elección de IP Palo Alto Networks Guía de referencia de interfaz web. Perfil de LLDP Seleccione IPv4 o IPv6 y. a través de la siguiente asignación en el TLV Capacidades del sistema. en el campo adyacente. el cortafuegos anuncia la funcionalidad de puente MAC (bit 3) u el bit Otro (bit 1). puede introducir una dirección IP en el siguiente campo a la selección de IPv4 o IPv6. Si se especifica Ninguno. seleccione o introduzca que la dirección IP se transmita como la dirección de gestión. L2 o cable virtual) de la interfaz que se enviará. Para cambiar el orden. Puede introducir hasta cuatro direcciones de gestión. el cortafuegos anuncia la funcionalidad de enrutador (bit 6) u el bit Otro (bit 1). Dirección de gestión Perfil de LLDP Permite que Dirección de gestión se envíe en el TLV Dirección de gestión. Si no se configura la dirección IP de gestión.0 • 225 . SNMP MIB combina las funcionalidades configuradas en las interfaces en una única entrada. • Si L2. Capacidades del sistema Perfil de LLDP • Si L3. versión 7. • Si el cable virtual. use los botones Mover hacia arriba o Mover hacia abajo. el cortafuegos anuncia la funcionalidad del Repetidor (bit 2) y el bit Otro (bit 1). que se envían en el orden especificado. Configuración de perfil de LLDP (Continuación) Campo Configurado en Descripción Habilita el modo de implementación (L3. Nombre Perfil de LLDP Especifique un nombre para Dirección de gestión. el sistema usa la dirección MAC de la interfaz de transmisión a medida que se transmite la dirección de gestión. Se requiere al menos una dirección de gestión si se ha activado el TLV Dirección de gestión.

Definición de perfiles LLDP 226 • Guía de referencia de interfaz web. versión 7.0 Palo Alto Networks .

las zonas y direcciones de origen y destino y. consulte “Uso del explorador de etiquetas”. cuando pasa por una interfaz con QoS activado. Consulte “Políticas de descifrado”. • Políticas de traducción de dirección de red (NAT) para traducir direcciones y puertos. Consulte “Estadísticas de QoS”.Tipos de políticas Capítulo 5 Políticas y perfiles de seguridad Esta sección describe cómo configurar políticas y perfiles de seguridad: • • • • “Tipos de políticas” “Traslado o duplicación de una política o un objeto” “Perfiles de seguridad” “Otros objetos de las políticas” Tipos de políticas Las políticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las medidas necesarias de forma automática. versión 7. el servicio (puerto y protocolo). opcionalmente. Consulte “Políticas de reenvío basado en políticas”. Las zonas identifican interfaces físicas o lógicas que envían o reciben tráfico. Consulte “Políticas NAT” y “Definición de políticas de traducción de dirección de red”. Se admiten los siguientes tipos de políticas: Políticas básicas de seguridad para bloquear o permitir una sesión de red basada en la aplicación. • Políticas de descifrado para especificar el descifrado del tráfico de las políticas de seguridad. según sea necesario.0 • 227 . Consulte “Definición de políticas de cancelación de aplicación”. • Políticas de cancelación para anular las definiciones de la aplicación proporcionadas por el cortafuegos. Palo Alto Networks Guía de referencia de interfaz web. • Políticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el tráfico para su tratamiento. El descifrado SSH se utiliza para identificar y controlar los túneles SSH. así como el acceso SSH (Secure Shell). • Políticas de reenvío basado en políticas para cancelar la tabla de enrutamiento y especificar una interfaz de salida para el tráfico. Consulte “Definición de políticas de seguridad” Para obtener información sobre cómo utilizar el explorador de etiquetas. Cada una de las políticas puede especificar las categorías de las URL del tráfico que desea descifrar.

versión 7. El valor predeterminado es el Sistema virtual o Grupo de dispositivos que seleccionó en la pestaña Políticas u Objetos. selecciónelos en la pestaña Políticas u Objetos. haga clic en Duplicar. el dispositivo buscará todos los errores antes de mostrarlos. también puede cancelar los ajustes del grupo de dispositivos. Si cancela la selección de la casilla de verificación. El dispositivo o sistema virtual donde realice la cancelación almacena una versión local de la regla en su configuración. Consulte “Definición de políticas de portal cautivo”. seleccione Mover a otro vsys (únicamente cortafuegos) o Mover a otro grupo de dispositivos (únicamente Panorama). Para duplicar políticas u objetos. tienen ajustes predefinidos que puede cancelar en un cortafuegos o en Panorama. incluida la ubicación compartida. Para trasladar políticas u objetos. Traslado o duplicación de una política o un objeto Al trasladar o duplicar políticas y objetos. puede asignar un Destino (un sistema virtual en un cortafuegos o un grupo de dispositivos en Panorama) para el que tenga permisos de acceso. • Regla posterior: En la lista desplegable adyacente. cumplimente los campos de la tabla siguiente y. haga clic en Aceptar. Si un cortafuegos recibe las reglas predeterminadas de un grupo de dispositivos. Las políticas compartidas introducidas en Panorama se muestran de color verde en la interfaz web del cortafuegos. Consulte “Definición de políticas DoS”.0 Palo Alto Networks .Tipos de políticas • Políticas de portal cautivo para solicitar la autenticación de los usuarios no identificados. se produce un error si el Destino no incluye un objeto al que se haga referencia en la regla de política que está moviendo. seleccione la regla anterior. un grupo de dispositivos o una ubicación compartida. • Regla anterior: En la lista desplegable adyacente. Los ajustes que puede cancelar son un subconjunto del conjunto completo 228 • Guía de referencia de interfaz web. selecciónelos en la pestaña Políticas u Objetos. estas políticas compartidas no se pueden editar en el cortafuegos. haga clic en Mover. Seleccione la posición de regla con respecto a otras reglas: Orden de regla (únicamente políticas) Error en el primer error detectado en la validación • Mover a la parte superior: La regla precederá al resto de reglas. a continuación. Cancelación o reversión de una regla de seguridad predeterminada Las reglas de seguridad predeterminadas. Destino Seleccione la nueva ubicación de la política u objeto: un sistema virtual. cumplimente los campos de la tabla siguiente y. seleccione la regla posterior. • Mover a la parte inferior: La regla seguirá al resto de reglas. a continuación. Por ejemplo. predeterminada entre zonas y predeterminada intrazona. Seleccione esta casilla de verificación (seleccionada de manera predeterminada) para que el dispositivo muestre el primer error que encuentre y deje de buscar más errores. haga clic en Aceptar. Tabla 133 Configuración de traslado/duplicación Campo Descripción Reglas/objetos seleccionados Muestra el nombre y la ubicación actual (sistema virtual o grupo de dispositivos) de las políticas u objetos que ha seleccionado para la operación. • Políticas de denegación de servicio (DoS) para proteger de ataques DoS y tomar las medidas de protección en respuesta que coincidan con las reglas.

El cortafuegos no envía un mensaje de restablecimiento de TCP al host o la aplicación. • Restablecer servidor: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del servidor.0 • 229 . Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. haga clic en Cancelar y edite los ajustes en la tabla siguiente. Para cancelar una regla. consulte “Definición de políticas de seguridad”. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. Palo Alto Networks Guía de referencia de interfaz web. no puede cancelarlo. La columna Nombre muestra el icono de cancelación para las reglas que tienen valores cancelados. • Permitir: (Predeterminado) Permite el tráfico. La columna Nombre muestra el icono de herencia para las reglas que puede cancelar. • Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar que se define para la aplicación que el cortafuegos está denegando. no puede cancelarlo.Tipos de políticas (la tabla siguiente indica el subconjunto de reglas de seguridad). • Restablecer cliente: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del cliente. no puede cancelarla. versión 7. Seleccione la regla. Etiqueta Seleccione una etiqueta en la lista desplegable. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Tabla 134 Cancelación de una regla de seguridad predeterminada Campo Descripción Pestaña General Nombre El Nombre que identifica la regla es de solo lectura. Para obtener información acerca de las reglas de seguridad predeterminadas. • Descartar: Descarta la aplicación silenciosamente. consulte la información detallada de la aplicación en Objetos > Aplicaciones. políticas de descifrado específicas de etiqueta con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. Descripción La Descripción es de solo lectura. Para revertir una regla cancelada a sus ajustes predefinidos o a los ajustes introducidos desde un grupo de dispositivos de Panorama. • Restablecer ambos: Envía un mensaje de restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. haga clic en Revertir y haga clic en Sí para confirmar la operación. Tipo de regla El Tipo de regla es de solo lectura. Por ejemplo. Pestaña Acciones Configuración de acción Acción: Seleccione una de las siguientes acciones para el tráfico que coincida con la regla. Para ver la acción de denegación definida de manera predeterminada para una aplicación. Seleccione la regla.

no puede cancelar objetos compartidos o predeterminados (preconfigurados). seleccione el Grupo de dispositivos que tiene la versión cancelada. versión 7. Filtrado de URL. como servidores de Panorama y Syslog. a continuación. Para definir un nuevo perfil de Reenvío de logs. seleccione Grupo y. también incluirá entradas de colocación y denegación. Los perfiles de seguridad determinan la generación de entradas en el log Amenaza. seleccione Perfiles y. seleccione la casilla de verificación Deshabilitar anulación y haga clic en Aceptar. de los cuales hereda políticas y objetos. primarios principales y primarios principales superiores en niveles sucesivamente mayores (lo que en conjunto se denomina antecesores). A continuación. Bloqueo de archivo. Puede cancelar un objeto en un descendiente de modo que sus valores difieran de los de un antecesor. seleccione el Grupo de dispositivos donde reside el objeto.0 Palo Alto Networks . Para revertir un objeto cancelado a sus valores heredados. En el nivel inferior. puede anidar grupos de dispositivos en una jerarquía de árbol de hasta cuatro niveles. seleccione un perfil de reenvío de logs de la lista desplegable. Esta capacidad de cancelación está habilitada de manera predeterminada. No puede cancelar los ajustes Nombre o Compartido del objeto. Filtrado de datos y/o Análisis de WildFire. haga clic en Revertir y haga clic en Sí para confirmar la operación. seleccione un Perfil de grupo en la lista desplegable. Cancelación o reversión de un objeto En Panorama. haga clic en Cancelar y edite los ajustes. Para cancelar un objeto. • Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. secundarios de segundo nivel y secundarios de tercer nivel (lo que en conjunto se denomina descendientes). seleccione el objeto. seleccione la pestaña Objetos. seleccione el objeto. • Para asignar un grupo de perfiles. Protección de vulnerabilidades.Tipos de políticas Tabla 134 Cancelación de una regla de seguridad predeterminada (Continuación) Campo Descripción Ajuste de perfil Tipo de perfil: Asigne perfiles o grupos de perfiles a la regla de seguridad: • Para especificar la comprobación que realizan los perfiles de seguridad predeterminados. a continuación. un grupo de dispositivos puede tener grupos de dispositivos secundarios. • Para definir nuevos perfiles (consulte “Perfiles de seguridad”) o grupos de perfiles (consulte “Grupos de perfiles de seguridad”). Ajuste de log Especifique cualquier combinación de las siguientes opciones: • Reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. haga clic en el nombre del objeto para editarlo. En el nivel superior. Antispyware. La interfaz web muestra el icono para indicar que un objeto tiene valores heredados y muestra el icono para indicar que un objeto heredado tiene valores cancelados. seleccione el Grupo de dispositivos descendiente que tendrá la versión cancelada. Para deshabilitar las cancelaciones de un objeto. Nota: Si configura el cortafuegos para incluir entradas al inicio o al final de una sesión en el log Tráfico. un grupo de dispositivos puede tener grupos de dispositivos primarios. – Log al finalizar sesión: Genera una entrada en el log Tráfico al final de una sesión (sin seleccionar de manera predeterminada). en lugar de perfiles individuales. 230 • Guía de referencia de interfaz web. seleccione la pestaña Objetos. seleccione la pestaña Objetos. seleccione las siguientes opciones: – Log al iniciar sesión: Genera una entrada en el log Tráfico al inicio de una sesión (seleccionado de manera predeterminada). las cancelaciones de ese objeto se deshabilitarán en todos los descendientes del Grupo de dispositivos seleccionado. seleccione los perfiles individuales de Antivirus. haga clic en Nuevo en la lista desplegable del perfil o grupo correspondiente. seleccione Perfil en la lista desplegable (consulte “Reenvío de logs”). Sin embargo.

Por ejemplo. 5. También puede introducir los nombres de usuarios individuales en el área Más usuarios. 3. introduzca una cadena de búsqueda en el campo Usuario y haga clic en Buscar. las direcciones IP que no estén asignadas a un usuario. Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de descripción. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. haga clic en la pestaña Usuario para abrir la ventana de selección. edite los ajustes de Panorama. Para añadir grupos de usuarios. es decir. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Por ejemplo. Puede seleccionar los usuarios y hacer clic en Añadir usuario.Tipos de políticas Para sustituir todas las cancelaciones de objetos en Panorama con los valores heredados de la ubicación compartida o los grupos de dispositivos antecesores. Para añadir usuarios individuales. Para obtener más información sobre cómo restringir las reglas según la aplicación. Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. es decir. aunque el usuario no haya iniciado sesión directamente. Para restringir una política a los usuarios/grupos seleccionados. cualquier IP con datos de usuario asignados. consulte “Definición de aplicaciones”. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. realice los siguientes pasos: 1. – Usuario conocido: Incluye a todos los usuarios autenticados. A continuación debe compilar en Panorama y en los grupos de dispositivos que contengan cancelaciones para introducir los valores heredados. puede que quiera añadir a un usuario. 2. seleccione la casilla de verificación Grupos de usuarios disponibles y haga clic en Añadir grupo de usuarios. seleccione la casilla de verificación Los objetos antecesores tienen prioridad y haga clic en Aceptar. En la página de reglas del dispositivo Seguridad o Descifrado. algunos grupos o añadir usuarios manualmente. También puede escribir el texto de uno o más grupos y hacer clic en Añadir grupo de usuarios. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Especificación de usuarios y aplicaciones para las políticas Políticas > Seguridad Políticas > Descifrado Puede restringir las políticas de seguridad que se deben aplicar a aplicaciones o usuarios seleccionados haciendo clic en el enlace del usuario o aplicación en la página de reglas del dispositivo Seguridad o Descifrado. Haga clic en el menú desplegable situado encima de la tabla Usuario de origen para seleccionar el tipo de usuario: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Palo Alto Networks Guía de referencia de interfaz web.0 • 231 . seleccione Panorama > Configuración > Gestión. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. – Desconocido: Incluye a todos los usuarios desconocidos. una lista de individuos. 4. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. versión 7. Puede crear estas políticas para usuarios anteriores al inicio de sesión y.

versión 7. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. Para crear políticas. en un grupo de dispositivos. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). por ejemplo. lo que permite revisarlas entre un gran número de reglas.0 Palo Alto Networks . Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. consulte la sección relevante de cada base de reglas. a continuación. como específicas para un determinado grupo de dispositivos. Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y. Debido a que las reglas previas y posteriores se definen en Panorama y. ID de usuario o servicio. pero solo podrá editarlas en Panorama. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. Estas reglas son parte de la configuración predefinida de Panorama. Debe cancelarlas para permitir la edición de determinados ajustes en ellas: consulte “Cancelación o reversión de una regla de seguridad predeterminada”. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. se envían de Panorama a los dispositivos gestionados. podrá ver las reglas en los cortafuegos gestionados. • “Definición de políticas de seguridad” • “Definición de políticas de traducción de dirección de red” • “Estadísticas de QoS” • “Políticas de reenvío basado en políticas” • “Políticas de descifrado” • “Definición de políticas de cancelación de aplicación” • “Definición de políticas de portal cautivo” • “Definición de políticas DoS” 232 • Guía de referencia de interfaz web. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. En cada base de reglas. opcionalmente. Panorama supervisa cada dispositivo. la práctica recomendada es supervisar esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla.Tipos de políticas Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. regla posterior o regla local de un dispositivo. obtiene y agrega la lista de reglas sin coincidencia. elimine o deshabilite las reglas.

versión 7. • Origen: Utilice la pestaña Origen para definir la zona o dirección de origen donde se origina el tráfico. consulte “Definición de políticas en Panorama” ¿Qué campos están disponibles para crear una política de seguridad? “Bloques de creación de una política de seguridad” ¿Cómo puedo utilizar la interfaz web para gestionar políticas de seguridad? “Creación y gestión de políticas” ¿Desea obtener más información? ¿No encuentra lo busca? Consulte Security Policy (en inglés).Tipos de políticas Definición de políticas de seguridad Políticas > Seguridad Las políticas de seguridad hacen referencia a zonas de seguridad y gracias a ellas puede permitir. Descripción general de políticas de seguridad Políticas > Seguridad Las políticas de seguridad le permiten aplicar reglas y realizar acciones. Si está utilizando GlobalProtect con Perfil de información del host (HIP) habilitado. De manera predeterminada. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir todo el tráfico de intrazona (en la zona) y denegar todo el tráfico interzona (entre zonas). el usuario o grupo de usuarios y el servicio (puerto y protocolo). el cortafuegos incluye una regla de seguridad denominada regla1 que permite todo el tráfico desde la zona fiable a la zona no fiable. puede cancelarlas y cambiar un número limitado de ajustes. y pueden ser todo lo general o específicas como sea necesario. acción (permitir o denegar) configuración de log y perfiles de seguridad. incluidas las etiquetas. ¿Qué desea saber? Consulte ¿Qué es una política de seguridad? “Descripción general de políticas de seguridad” En el caso de Panorama. las reglas más específicas deben anteceder a las reglas más generales. el nivel de acceso del usuario puede estar determinado por un HIP que informe al cortafuegos acerca de la Palo Alto Networks Guía de referencia de interfaz web. restringir y realizar un seguimiento del tráfico de su red basándose en la aplicación. se aplican las reglas predeterminadas. Las reglas de política se comparan con el tráfico entrante en secuencia y al aplicar la primera regla que coincida con el tráfico. Por ejemplo.0 • 233 . también puede basar la política en información recopilada por GlobalProtect. Por ejemplo. Para el tráfico que no coincide con ninguna regla definida por el usuario. Aunque estas reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada. La interfaz incluye las siguientes pestañas para definir la política de seguridad: • General: Utilice la pestaña General para configurar un nombre y una descripción para la política de seguridad. • Usuario: Utilice la pestaña Usuario para aplicar una política para usuarios individuales o un grupo de usuarios. una regla de una aplicación simple debe anteceder a una regla para todas las aplicaciones si el resto de configuraciones de tráfico son las mismas.

• Destino: Utilice la pestaña Destino para definir la zona o dirección de destino para el tráfico. los valores de registro y muchas más comprobaciones si el host tiene instalado software antivirus. Consulte: “Bloques de creación de una política de seguridad” “Creación y gestión de políticas” 234 • Guía de referencia de interfaz web. La información HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en ejecución en el host. • Acciones: Utilice la pestaña Acciones para determinar la acción que se realizará basándose en el tráfico que coincida con los atributos de la política definida.Tipos de políticas configuración local del usuario. versión 7. Un administrador también puede usar una firma de identificación de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad reservada o para detectar atributos específicos de una aplicación existente. • Categoría de URL/servicio: Utilice la pestaña Categoría de URL/servicio para especificar un número de puerto TCP y/o UDP específico o una categoría de URL como criterios de coincidencia en la política. • Aplicación: Utilice la pestaña Aplicación para que la acción de la política se produzca basándose en una aplicación o un grupo de aplicaciones. Las aplicaciones personalizadas se definen en Objetos > Aplicaciones.0 Palo Alto Networks .

Bloques de creación de una regla de seguridad Campo Configurado en Descripción Cada regla se numera automáticamente y el orden cambia a medida que se mueven las reglas. También puede añadir etiquetas a las reglas predeterminadas. espacios. Número de regla Nombre N/D General En Panorama. cada regla se enumera con su número en el contexto del conjunto de reglas completo de la base de reglas y su puesto en el orden de evaluación.Tipos de políticas Bloques de creación de una política de seguridad La sección siguiente describe cada bloque de creación o componente de una regla de política de seguridad. que pueden ser letras. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. El nombre debe ser exclusivo en un cortafuegos y. podrá configurar las opciones descritas aquí. Por ejemplo. las reglas previas y las posteriores se enumeran de forma independiente. Introduzca un nombre para identificar la regla. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Cuando las reglas se envían desde Panorama a un cortafuegos gestionado.0 • 235 . Palo Alto Networks Guía de referencia de interfaz web. Etiqueta General Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Tabla 135. Haga clic en Añadir para especificar la etiqueta para la política. Al filtrar reglas para que coincidan con filtros específicos. números. o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. reglas del dispositivo y reglas posteriores dentro de una base de reglas y refleja la secuencia de reglas y su orden de evaluación. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Cuando visualice la regla de seguridad predeterminada o cree una nueva regla. versión 7. en Panorama. tal vez quiera etiquetar determinadas reglas con palabras específicas como descifrado y sin descifrado. guiones y guiones bajos. la numeración de reglas incorpora jerarquía en las reglas previas.

de la zona B a la A.Tipos de políticas Tabla 135. Para definir nuevas zonas. y C y la zona de destino en A y B. Haga clic en Añadir para añadir las direcciones. Tipo Zona de origen Dirección de origen General Origen Origen • universal (predeterminado): aplica la regla a todo el tráfico coincidente de interzona e intrazona en las zonas de origen y destino especificadas. Realice su selección en la lista desplegable o haga clic en Dirección. Por ejemplo. capa 3 o de cable virtual. a todo el tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la A. si establece la zona de origen en A y B. de la zona C a la A y de la zona C a la B. Por ejemplo.0 Palo Alto Networks . Por ejemplo. la regla se aplicará al tráfico que va de la zona a A a la B. • interzona: aplica la regla a todo el tráfico coincidente entre la zona de origen especificada y las zonas de destino. a todo el tráfico de la zona B. la regla se aplicará a todo el tráfico dentro de la zona A y a todo el tráfico dentro de la zona B. Virtual Wire). consulte “Definición de zonas de seguridad”. puede crear una regla que cubra todas las clases. Haga clic en Añadir para seleccionar las zonas de origen (el valor predeterminado es Cualquiera). direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). entre zonas o ambas. si establece la zona de origen en A. Grupo de direcciones o Regiones en la parte inferior de la lista desplegable y especifique la configuración. Las zonas deben ser del mismo tipo (capa 2. B o C. • intrazona: aplica la regla a todo el tráfico coincidente dentro de las zonas de origen especificadas (no puede especificar una zona de destino para las reglas de intrazona). Puede utilizar múltiples zonas para simplificar la gestión. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Especifica si la regla se aplica al tráfico en una zona. versión 7. Por ejemplo. esta se aplicará a todo el tráfico dentro de la zona A. si crea una regla universal con las zonas de origen A y B y las zonas de destino A y B. pero no al tráfico dentro de las zonas A. si tiene tres zonas internas diferentes (Marketing. pero no al tráfico entre las zonas A y B. 236 • Guía de referencia de interfaz web. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. B.

Los siguientes tipos de usuarios de origen son compatibles: Usuario de origen Perfil HIP de origen Palo Alto Networks Usuario Usuario • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Haga clic en Añadir para seleccionar los perfiles de información de host (HIP) que identificarán a los usuarios. Por ejemplo. algunos grupos o añadir usuarios manualmente. • Desconocido: Incluye a todos los usuarios desconocidos. Guía de referencia de interfaz web. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. aunque el usuario no haya iniciado sesión directamente. El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. una lista de individuos. es decir. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Esta opción es equivalente al grupo de usuarios del dominio en un dominio. Un HIP le permite recopilar información sobre el estado de seguridad de sus hosts de extremo. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios.0 • 237 . Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Por ejemplo. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. es decir. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. cualquier IP con datos de usuario asignados. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. como por ejemplo si tienen instalados los parches de seguridad y las definiciones de antivirus más recientes.Tipos de políticas Tabla 135. versión 7. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. • Usuario conocido: Incluye a todos los usuarios autenticados. puede que quiera añadir a un usuario. las direcciones IP que no estén asignadas a un usuario.

direcciones de grupos o regiones de destino (el valor predeterminado es Cualquiera). puede seleccionar una aplicación general o aplicaciones individuales. Virtual Wire).0 Palo Alto Networks .Tipos de políticas Tabla 135. 238 • Guía de referencia de interfaz web. consulte “Definición de zonas de seguridad”. Zona de destino Destino Puede utilizar múltiples zonas para simplificar la gestión. sin tener que desplazarse a las pestañas Objeto. Si selecciona la aplicación general. Si una aplicación tiene múltiples funciones. Dirección de destino Destino Haga clic en Añadir para añadir las direcciones. se incluirán todas las funciones y la definición de la aplicación se actualizará automáticamente a medida que se añadan futuras funciones. podrá ver la información detallada de estos objetos pasando el ratón por encima del objeto en la columna Aplicación. no puede definir una zona de destino porque estos tipos de reglas solo pueden hacer coincidir tráfico con un origen y un destino dentro de la misma zona. puede crear una regla que cubra todas las clases. Seleccione si desea especificar aplicaciones a la regla de seguridad. Nota: En las reglas de intrazona. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. Para definir nuevas zonas. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Para especificar las zonas que coincidan con una regla de intrazona. Aplicación Aplicación Si utiliza grupos de aplicaciones. solo necesita establecer la zona de origen. en el enlace en la parte inferior de la lista desplegable y especifique la configuración de la dirección. versión 7. si tiene tres zonas internas diferentes (Marketing. Las zonas deben ser del mismo tipo (capa 2. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección. capa 3 o de cable virtual. filtros o contenedores en la regla de seguridad. haciendo clic en la flecha hacia abajo y seleccionando Valor. Por ejemplo.

• Selección: Haga clic en Añadir. Consulte “Servicios” y “Grupos de servicios”. las aplicaciones solamente tienen permiso en sus puertos y protocolos predeterminados. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. Seleccione las categorías URL de la regla de seguridad. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. haga clic en Añadir y seleccione una categoría específica (incluyendo una categoría personalizada) de la lista desplegable. Esta opción se recomienda para políticas de permiso porque impide que las aplicaciones se ejecuten en puertos y protocolos no habituales.0 • 239 . Tenga en cuenta que cuando utiliza esta opción. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. con independencia de la categoría URL. versión 7. • Para especificar una categoría. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos predeterminados por Palo Alto Networks. Puede añadir varias categorías.Tipos de políticas Tabla 135. Seleccione una de las siguientes opciones de la lista desplegable: Servicio Categoría de URL/ servicio • Cualquiera: Las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. puede ser una señal de comportamiento y uso de aplicaciones no deseados. el dispositivo sigue comprobando todas las aplicaciones en todos los puertos. Categoría de URL Palo Alto Networks Categoría de URL/ servicio • Seleccione Cualquiera para permitir o denegar todas las sesiones. Guía de referencia de interfaz web. que si no es a propósito. pero con esta configuración.

consulte la información detallada de la aplicación en Objetos > Aplicaciones. Dado que la acción de denegación predeterminada varía según la aplicación. mientras que podría descartar la sesión silenciosamente para otra aplicación. puede habilitar el cortafuegos para enviar una respuesta inalcanzable de ICMP a la dirección IP de origen donde se originó el tráfico. Para cancelar la acción predeterminada definida en las reglas de interzona e intrazona predefinidas. el tráfico no alcanza el host de destino. a menos que seleccione Enviar ICMP inalcanzable. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la acción para el tráfico que coincida con los atributos definidos en una regla. No se envía un restablecimiento de TCP al host o la aplicación. Habilitar este ajuste permite que el origen cierre o borre la sesión correctamente y evita que las aplicaciones fallen.Tipos de políticas Tabla 135.0 Palo Alto Networks . – Descartar: Descarta la aplicación silenciosamente. consulte “Cancelación o reversión de una regla de seguridad predeterminada” 240 • Guía de referencia de interfaz web. • Enviar ICMP inalcanzable: Solamente está disponible para interfaces de capa 3. Cuando configura una política de seguridad para descartar tráfico o restablecer la conexión. el cortafuegos podría bloquear la sesión y enviar un restablecimiento para una aplicación. consulte la sección Configuración de sesión en Dispositivo > Configuración > Sesión. – Restablecer ambos: Envía un restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. – Restablecer cliente: Envía un restablecimiento de TCP al dispositivo de la parte del cliente. versión 7. Acción Acciones – Restablecer servidor: Envía un restablecimiento de TCP al dispositivo de la parte del servidor. – Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar definida para la aplicación que se está denegando. En dichos casos. seleccione una de las acciones siguientes: – Permitir: (Predeterminado) Permite el tráfico. para todo el tráfico de UDP y para el tráfico de TCP descartado. Para ver la acción de denegación definida de manera predeterminada para una aplicación. Para ver la tasa de paquetes inalcanzable de ICMP configurada en el cortafuegos.

Para definir nuevos perfiles o grupos de perfiles. Bloqueo de archivo y/o Filtrado de datos. Ajuste de perfil Acciones Para especificar un grupo de perfiles en lugar de perfiles individuales. Filtrado de URL. También puede adjuntar perfiles de seguridad (o grupos de perfiles) a las reglas predeterminadas. Palo Alto Networks Guía de referencia de interfaz web.Tipos de políticas Tabla 135.0 • 241 . seleccione los perfiles individuales de Antivirus. versión 7. seleccione un grupo de perfiles en la lista desplegable Perfil de grupo. seleccione Grupo en Tipo de perfil y. haga clic en Nuevo junto al perfil o grupo adecuado (consulte “Grupos de perfiles de seguridad”). Antispyware. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la comprobación realizada por los perfiles de seguridad predeterminados. a continuación. Protección de vulnerabilidades.

Esta opción puede ser de utilidad en condiciones con gran carga del servidor. Tenga en cuenta que la generación de entradas del log de amenazas está determinada por los perfiles de seguridad. 242 • Guía de referencia de interfaz web. haga clic en Nueva (consulte “Ajustes de descifrado SSL en un perfil de descifrado”). • Log al finalizar sesión. Para obtener más información sobre QoS. también lo harán las entradas de colocación y denegación. Para definir nuevas programaciones. Bloques de creación de una regla de seguridad Campo Configurado en Descripción La pestaña Opciones incluye los ajustes de logs y una combinación de otras opciones indicadas a continuación: Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. También puede cambiar la configuración del log en las reglas predeterminadas. Descripción General Introduzca una descripción de la política (hasta 255 caracteres). • Perfil de reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. Genera una entrada de log de tráfico al inicio de la sesión (deshabilitada de forma predeterminada). Genera una entrada de log de tráfico al final de la sesión (habilitada de forma predeterminada). como servidores de Panorama y Syslog. versión 7. • Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en paquetes que coincidan con la regla. • Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente.Tipos de políticas Tabla 135. Nota: Si las entradas de inicio o fin de la sesión se registran. seleccione una programación de la lista desplegable.0 Palo Alto Networks . haga clic en Nuevo (consulte “Reenvío de logs”). seleccione IP DSCP o Precedencia de IP e introduzca el valor de QoS en formato binario o seleccione un valor predeterminado de la lista desplegable. seleccione esta casilla de verificación. Especifique cualquier combinación de las siguientes opciones: • Programación: Para limitar los días y horas en los que la regla está en vigor. consulte “Configuración de la calidad de servicio”. seleccione un perfil de logs de la lista desplegable Perfil de reenvío de logs. seleccione las siguientes opciones: Opciones Acciones • Log al iniciar sesión. Para definir nuevos perfiles de log.

realice una de las siguientes acciones: • Haga clic en Añadir en la parte inferior de la página. Para obtener más información. Como son parte de la configuración predefinida. modificar y gestionar políticas de seguridad: Tarea Añadir Descripción Para añadir una nueva regla de política. La regla copiada. Modificar Para modificar una regla. Eliminar Seleccione una regla y haga clic en Eliminar para eliminar la regla existente. versión 7. Mover Las reglas se evalúan de arriba a abajo y del modo enumerado en la página Políticas. Si la regla se ha introducido desde Panorama.0 • 243 . Si usa Panorama. Para habilitar una regla que esté deshabilitada. lo que restaura la configuración predefinida o la configuración enviada a Panorama. Palo Alto Networks Guía de referencia de interfaz web. la regla será de solo lectura en el cortafuegos y no podrá editarse localmente. haga clic en ella. • Seleccione una regla en la que basar la nueva regla y haga clic en Duplicar regla. selecciónela y haga clic en Habilitar. Para obtener más información. donde n es el siguiente número entero disponible que hace que el nombre de la regla sea único. consulte “Cancelación o reversión de una regla de seguridad predeterminada”. enviarlas a los cortafuegos de un grupo de dispositivos o contexto compartido. Mover hacia abajo. a continuación. consulte “Traslado o duplicación de una política o un objeto”. consulte “Traslado o duplicación de una política o un objeto”. Mover a la parte superior o Mover a la parte inferior. seleccione la regla y haga clic en Deshabilitar. Si desea información detallada sobre la duplicación. o bien seleccione una regla haciendo clic en el espacio en blanco de la regla y seleccione Duplicar regla en la parte inferior de la página (una regla seleccionada en la interfaz web se muestra con un fondo de color amarillo). seleccione una regla y haga clic en Mover hacia arriba. Las acciones Cancelar y Revertir únicamente pertenecen a las reglas predeterminadas que se muestran en la parte inferior de la base de reglas de seguridad. También puede revertir las reglas predeterminadas.Tipos de políticas Creación y gestión de políticas Utilice la página Políticas > Seguridad para añadir. Habilitar/ deshabilitar Para deshabilitar una regla. “regla n” se inserta debajo de la regla seleccionada. Estas reglas predefinidas (permitir todo el tráfico de intrazona y denegar todo el tráfico de interzona) indican al cortafuegos cómo debe gestionar el tráfico que no coincida con ninguna otra regla de la base de reglas. Para cambiar el orden en el que las reglas se evalúan con respecto al tráfico de red. también puede cancelar las reglas predeterminadas y. debe cancelarlas con el fin de editar la configuración de políticas seleccionada.

haga clic en la lista desplegable del nombre de regla y seleccione Visor de log. Para añadir un valor que defina un filtro. En Panorama. Aplicar filtros Para aplicar un filtro a la lista. 244 • Guía de referencia de interfaz web. A continuación. Regla en uso Regla no utilizada (fondo de puntos amarillos) Mostrar/ ocultar columnas Para cambiar (mostrar u ocultar) las columnas que aparecen en cualquiera de las páginas de Políticas. Nota: Las reglas predeterminadas no son parte del filtro de la base de reglas y siempre aparecen en la lista de reglas filtradas. selecciónelo de la lista desplegable Reglas de filtro.Tipos de políticas Tarea Descripción Visualizar reglas no utilizadas Para buscar reglas no utilizadas actualmente. supervise esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla.0 Palo Alto Networks . Para ver las sesiones de red registradas como coincidencias con respecto a la política. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar. haga clic en la lista desplegable del elemento y seleccione Filtro. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. Seleccione o cancele la selección de la casilla de verificación junto al nombre de columna para alternar la visualización de cada columna. Práctica recomendada: Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. podrá decidir si desea deshabilitar la regla o eliminarla. versión 7. Panorama obtiene y agrega la lista de reglas sin coincidencia. seleccione la casilla de verificación Resaltar reglas no utilizadas. desde cada dispositivo gestionado.

utilice el filtro. que contiene la dirección IP.0 • 245 . Palo Alto Networks Guía de referencia de interfaz web.Definición de políticas en Panorama Tarea Descripción Puede mostrar el valor actual haciendo clic en la lista desplegable de la entrada y seleccionando Valor. La búsqueda rastreará los objetos incrustados para encontrar una dirección en un objeto de dirección o en un grupo de direcciones. la dirección IP 10. para ver las direcciones incluidas en un grupo de direcciones. pase el ratón por encima del objeto en la columna Dirección.8. En la siguiente captura de pantalla. haga clic en la lista desplegable y seleccione Valor. Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas.177 se ha introducido en la barra de filtros y se muestra la política aaa. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). versión 7. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. Esa política utiliza un objeto de grupo de direcciones denominado aaagroup. lo que permite revisarlas entre un gran número de reglas. Para buscar objetos que se utilicen dentro de una política basándose en el nombre del objeto o la dirección IP. También puede editar. filtrar o eliminar algunos elementos directamente desde el menú de la columna. Barra de filtros Resultados de filtros Reglas de vista previa (únicamente Panorama) Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. En cada base de reglas.10. Esto le permitirá ver rápidamente los miembros y las direcciones IP correspondientes del grupo de direcciones sin tener que navegar a las pestañas Objeto. Por ejemplo.

Estas reglas son parte de la configuración predefinida de Panorama. pero solo podrá editarlas en Panorama. puede utilizar políticas de traducción de dirección de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirán entre públicos y privados. por ejemplo. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo.Definición de políticas en Panorama Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o. Si especifica la interfaz en la regla de IP dinámica/ puerto. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. un intervalo de direcciones IP. PA-4060. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. las direcciones de origen privadas se pueden traducir a direcciones públicas en el tráfico enviado desde una zona interna (fiable) a una zona pública (no fiable). El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se comunican los dispositivos vecinos. Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización.0 Palo Alto Networks . regla posterior o regla local de un dispositivo. PA-2000 y PA-3000. a continuación. una subred o una combinación de todas ellas. Debido a que las reglas previas y posteriores se definen en Panorama y. Las reglas de IP dinámica/NAT de puerto permiten traducir una dirección IP única. 246 • Guía de referencia de interfaz web. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de puertos y direcciones IP disponibles. Políticas NAT Si define interfaces de capa 3 en el cortafuegos. puede ser de utilidad especificar la interfaz como la dirección traducida. El cortafuegos admite los siguientes tipos de traducción de dirección: • IP dinámica/Puerto: Para el tráfico saliente. consulte “Bloques de creación de una política de seguridad” o “Creación y gestión de políticas”. Múltiples clientes pueden utilizar las mismas direcciones IP públicas con diferentes números de puerto de origen. Para definir políticas. podrá ver las reglas en los cortafuegos gestionados. La política de seguridad se basará en la dirección de la zona posterior y anterior a NAT. Si una interfaz de salida tiene una dirección IP asignada dinámicamente. NAT también es compatible en interfaces de cable virtual. en un grupo de dispositivos. ID de usuario o servicio. por lo que los dispositivos vecinos solamente podrán resolver solicitudes ARP para direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual. como específicas para un determinado grupo de dispositivos. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. Puede cancelar las reglas predeterminadas para permitir la edición de ajustes seleccionados en estas reglas e introducirlas en los dispositivos gestionados de un grupo de dispositivos o contexto compartido. Si configura NAT en el cortafuegos. PA-5050. versión 7. PA-500. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. PA-5060 y PA-7000 cuando las direcciones IP de destino sean exclusivas. Por ejemplo. la política NAT se actualizará automáticamente para utilizar cualquier dirección adquirida por la interfaz para subsiguientes traducciones. es importante tener en cuenta que también se debe configurar una política de seguridad para permitir el tráfico NAT. Si ejecuta NAT en interfaces de cable virtual. se envían de Panorama a los dispositivos gestionados. cuatro veces en los cortafuegos PA-4020 y PA-5020 y ocho veces en los cortafuegos de las series PA-4050. Proxy ARP no es compatible con cables virtuales.

La siguiente tabla resume los tipos de NAT. Si especifica puertos de servicio (TCP o UDP) para NAT. Puede utilizar la IP estática de origen o destino. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Las direcciones de origen privadas se traducen a la siguiente dirección disponible en el intervalo de direcciones especificado. Si el grupo de direcciones de origen es mayor que el grupo de direcciones traducidas. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. no se necesitará una ruta estática para esa dirección en el enrutador. Tipos de NAT Tipo de asignación Tamaño del grupo de direcciones traducidas No Muchas a 1MaN Hasta 254 direcciones consecutivas Sí No MaN Hasta 32. • IP dinámica: Para el tráfico entrante o saliente. mientras que permanecen inalterables con NAT de IP dinámica. mientras que el grupo de direcciones traducidas se utiliza en su totalidad. Las políticas de NAT de IP dinámica permiten especificar una dirección IP única. puede especificar un grupo de reserva que se utilizará si el grupo primario agota sus direcciones IP. donde M y N son números diferentes. múltiples IP.Definición de políticas en Panorama • IP dinámica: Para el tráfico saliente. múltiples intervalos IP o múltiples subredes como el grupo de direcciones traducidas. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. Tabla 136. tal y como se indica a continuación. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados. mientras que puede dejar el puerto de origen o destino sin modificar. También existen límites diferentes del tamaño del grupo de IP traducido. Para evitar este problema. N también puede ser 1. existe una asignación de uno a uno entre cada dirección original y su dirección traducida.000 direcciones consecutivas Sí No 1a1 Ilimitado Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No IP dinámica IP estática MaN MIP Opcional Palo Alto Networks 1 a muchas PAT VIP Guía de referencia de interfaz web. Para especificar un único puerto.0 • 247 . debe definir un nuevo servicio. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). las nuevas direcciones IP que buscan traducción se verán bloqueadas. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. versión 7. Con NAT de IP estática. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. como TCP 80.

En este caso. utilizando la función bidireccional. 248 • Guía de referencia de interfaz web. si traduce el tráfico de host saliente a una dirección IP pública. La política de seguridad es diferente de la política NAT en que las zonas posteriores a NAT se deben utilizar para controlar el tráfico.3.10. Reglas no NAT Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo de las reglas NAT definidas posteriormente en la política NAT. Para definir una política no NAT.0.3.1. se utilizan dos reglas NAT para crear una traducción de origen del tráfico saliente desde la IP 10. Reglas NAT bidireccionales El ajuste bidireccional en reglas NAT de origen estáticas crea una regla NAT de destino para el tráfico en los mismo recursos en la dirección opuesta. especifique todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen. es importante tener en cuenta que las direcciones IP anteriores a NAT se utilizarán en la correspondencia de políticas.0 Palo Alto Networks .Definición de políticas en Panorama Determinación de configuración de zona en NAT y política de seguridad Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP anteriores a NAT configuradas en la política. En este ejemplo. las zonas de origen y destino serían las mismas.1.3. Este par de reglas se pueden simplificar configurando únicamente la tercera regla NAT.1. si traduce el tráfico entrante a un servidor interno (al que se accede mediante una IP pública de servidores de Internet). es necesario configurar la política NAT mediante la zona en la que reside la dirección IP pública.0. versión 7. Opciones de regla NAT El cortafuegos admite reglas no NAT y reglas NAT bidireccionales. Por ejemplo. Como ejemplo adicional.10 a la IP pública 3. La política de seguridad debe permitir de forma explícita el tráfico sujeto a NAT. y una traducción de destino para el tráfico destinado de la IP pública 3. es necesario configurar la política NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts.1 a la IP privada 10. si el tráfico atraviesa múltiples zonas. NAT puede afectar a las direcciones IP de origen o destino y pueden llegar a modificar la interfaz saliente y la zona.3. Si crea políticas de seguridad con direcciones IP específicas. La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya modificado el paquete.

0. En este caso. Ilustración 3. las sesiones de red no se pueden iniciar desde la red pública. esa dirección anterior a NAT es una dirección IP Pública y.100 en la zona “L3Untrust”) y un número de puerto de origen único (traducción de origen dinámica). La regla solo se aplica al tráfico recibido en una interfaz Capa 3 en la zona “L3Trust” que se destina a una interfaz en la zona “L3Untrust”. Ilustración 4. debe añadir una ruta estática al enrutador local para enrutar el tráfico al cortafuegos.10.2. Como las direcciones privadas están ocultas. Cree una política de seguridad con zonas y direcciones de origen/destino que coincidan con la regla NAT. La regla 2 utiliza “L3Untrust” para las zonas de origen y destino porque la política NAT se basa en la zona de direcciones anterior a NAT. versión 7.Definición de políticas en Panorama Ilustración 2. se encuentra en la zona “L3Untrust”. la segunda regla traduce la dirección de destino de la dirección pública del servidor a su dirección privada. la primera regla NAT traduce la dirección privada de un servidor de correo interno en una dirección IP pública estática. La política de seguridad debe configurarse explícitamente para permitir el tráfico coincidente con esta regla NAT.1 a 10.100 en la zona “L3Trust”) en una dirección IP pública única (200. Palo Alto Networks Guía de referencia de interfaz web. Traducción de dirección de origen dinámica En el siguiente ejemplo.0. Reglas NAT bidireccionales Ejemplos de política NAT La siguiente regla de políticas NAT traduce un intervalo de direcciones de origen privadas (10. por lo tanto.0. el enrutador local requiere una ruta estática para dirigir el tráfico de retorno al cortafuegos. La regla solo se aplica al correo saliente enviado desde la zona “L3Trust” a la zona “L3Untrust”. Para el tráfico en dirección opuesta (correo electrónico entrante).0.0 • 249 . si la dirección pública no está en la dirección de la interfaz del cortafuegos (o en la misma subred). Origen estático y Traducción de dirección de destino En ambos ejemplos. Si la dirección pública no está en una dirección de interfaz de cortafuegos (o en la misma subred).

0 Palo Alto Networks . debe realizarse una traducción de destino ya que la dirección se extrae de la dirección IPv6 en el paquete. Las siguientes funciones NAT64 son compatibles: • Stateful NAT64./56. • Admitido en interfaces y subinterfaces de capa 3. Sin embargo. • Permite traducir subredes /32./48. Este ajuste se configura en la pestaña Dispositivo > Configuración > Sesiones en Ajustes de sesión. Una dirección IPv4 también se puede compartir con NAT44. • Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de hairpinning. que permite mantener las direcciones IPv4 para que una dirección IPv4 pueda asignarse a múltiples direcciones IPv6. versión 7. • Traduce el atributo de longitud entre IPv4 e IPv6. túneles y transición. La dirección IPv4 definida como origen se configura de la misma forma que una traducción de destino NAT44. • Traducción de comunicación IPv4 iniciada. puede utilizar una dirección IP simple para NAT44 y NAT64. Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. está en los últimos 4 octetos. /56. /40. que es similar al destino NAT en IPv4. El valor predeterminado es 1280. /40. 250 • Guía de referencia de interfaz web. la dirección IPv6 de destino de la regla NAT es un prefijo que sigue al formato RFC 6052 (/32. así como otros protocolos sin ALG (best effort). pero la ubicación de la dirección IPv4 sería diferente si el prefijo no es /96. Esta traducción tiene la misma limitación que NAT44. Puede asignar un prefijo NAT64 por regla. y a los clientes de IPv4 acceder a servidores IPv6. • No requiere que conserve un grupo de direcciones IPv4 específicamente para NAT64. Comunicación IPv6 iniciada En este tipo de traducción. es necesario que disponga de una solución DNS64 externa para desacoplar la función de consultas de DNS de la función NAT. /64 y /96. Debe tener en cuenta que en un prefijo /96. Stateless NAT64 asigna una dirección IPv4 a una dirección IPv6. debe utilizar la traducción./64 y /96). PAN-OS también admite la reescritura. Ejemplos de NAT64 Puede configurar dos tipos de traducción con el cortafuegos: comunicación IPv6 iniciada. El enlace estático de IPv4 asigna una dirección/número de puerto IPv4 a una dirección IP IPv6. La máscara de red de la dirección IPv6 de destino en la regla se utilizaría para extraer la dirección IPv4. que es el valor mínimo de MTU para el tráfico IPv6. Existen tres mecanismos principales de transición definidos por IETF: pila doble. La traducción de origen necesita tener un “puerto e IP dinámicas” para implementar Stateful NAT64. El campo de traducción de destino no está definido. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicación. • Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamaño máximo de segmento) para TCP. que es similar al origen NAT en IPv4. • Permite la traducción de paquetes TCP/UDP/ICMP por RFC. En contraste. es posible traducir un paquete GRE. /48. y comunicación IPv4 iniciada con un servidor IPv6. túnel e interfaces VLAN. • Permite configurar el parámetro IPv6 MTU. lo que le permite conservar aún más direcciones IPv4. Por lo tanto. Permite a los clientes de IPv6 acceder a los servidores IPv4.Definición de políticas en Panorama NAT64 NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4. • Compatibilidad de varios prefijos. Si utiliza políticas NAT64 en el cortafuegos de Palo Alto Networks. Por ejemplo.

Este método permite que una única dirección IP comparta múltiples servidores IPv6 mediante una asignación estática en el puerto.0 • 251 . versión 7. Tabla 137. Red de cliente NAT64 IPv6 a IPv4 La tabla siguiente describe los valores necesarios en esta política NAT64.Definición de políticas en Panorama Servidor DNS64 Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv6 Ilustración 5. La dirección de destino es la dirección IP definida en la columna de traducción de destino. Red de Internet NAT64 IPv4 a cliente IPv6 Palo Alto Networks Guía de referencia de interfaz web. Es posible reescribir el puerto de destino. IP de origen IP de destino Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC6052 Traducción de origen IP dinámica y modo de puerto (usar direcciones IPv4) Traducción de destino Ninguna (Extraída de las direcciones IPv6 de destino) Comunicación IPv4 iniciada La dirección IPv4 se asigna a la dirección IPv6 y puede usar el modo de IP estática en la traducción de origen. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y se adjunta a la dirección IPv4 de origen. Servidor IPv6 Servidor DNS Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv4 Ilustración 6.

Red IPv4 a Internet IPv6 No admitida actualmente Traducción de destino Ninguna (extraída de direcciones IPv6 de destino) Usar dirección IPv4 pública Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 252 • Guía de referencia de interfaz web. Valores de IPv4 iniciada IP de origen IP de destino Cualquier dirección IPv4 Dirección IPv4 Traducción de origen Modo de IP estática (Prefijo IPv6 en formato RFC 6052) Traducción de destino Dirección simple IPv6 (dirección IP del servidor real) Nota: Puede especificar una reescritura del puerto del servidor. El cortafuegos de Palo Alto Networks admite todos los escenarios menos uno de ellos. Puede configurar una interfaz de túnel sin punto de finalización porque este tipo de interfaz actuará como un puerto de loopback y aceptará otras máscaras de subred además de /128. Tabla 138.0 IP dinámica y puerto.Definición de políticas en Panorama La tabla siguiente describe los valores necesarios en esta política NAT64. Modo de IP dinámica y puerto. Aplique el prefijo NAT64 al túnel y aplique la zona adecuada para garantizar que el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. porque el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. tal y como se indica en la tabla siguiente. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) Palo Alto Networks . versión 7. Tabla 139. Escenarios IETF para la transición IPv4/IPv6 Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS Escenario Red IPv6 a Internet IPv4 IP de origen Cualquier dirección IPv6 IP de destino Traducción de origen Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. o que se cancele porque no hay ninguna ruta. Modo de IP estática. es importante solucionar la accesibilidad del prefijo NAT64 para la asignación de la zona de destino. En NAT64. El motor de procesamiento del paquete del cortafuegos debe realizar una búsqueda en la ruta para buscar la zona de destino antes de buscar en la regla NAT. Internet IPv4 a una red IPv6 Cualquier dirección IPv4 Dirección IPv4 simple Internet IPv6 a una red IPv4 Cualquier dirección IPv6 Prefijo IPv6 enrutable globalmente con máscara de red compatible con RFC 6052. Es muy probable que el prefijo NAT64 acierte con la ruta predeterminada. También podrá cancelar el tráfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia.

Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) • IP estática: Para tráfico entrante o saliente. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. mientras que puede dejar el puerto de origen o destino sin modificar. Traducción de destino Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 IP dinámica y puerto. donde M y N son números diferentes. N también puede ser 1.0 • 253 . Tipos de NAT Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No No Palo Alto Networks Muchas a 1 MaN Sí IP dinámica Tipo de asignación No MaN Tamaño del grupo de direcciones traducidas Hasta 254 direcciones consecutivas Hasta 32.Definición de políticas en Panorama Tabla 139. Puede utilizar la IP estática de origen o destino. Con NAT de IP estática. Para especificar un único puerto. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. como TCP 80.000 direcciones consecutivas Guía de referencia de interfaz web. Tabla 140. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados. mientras que permanecen inalterables con NAT de IP dinámica. existe una asignación de uno a uno entre cada dirección original y su dirección traducida. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. También existen límites diferentes del tamaño del grupo de IP traducido. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. tal y como se indica a continuación. La siguiente tabla resume los tipos de NAT. debe definir un nuevo servicio. Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). Si especifica puertos de servicio (TCP o UDP) para NAT. no se necesitará una ruta estática para esa dirección en el enrutador. versión 7. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuación) IP de origen Escenario Red IPv4 a red IPv6 Red IPv6 a red IPv4 IP de destino Traducción de origen Cualquier dirección IPv4 Dirección IPv4 simple Modo de IP estática. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT.

Al igual que las políticas de seguridad. lo que influirá en los campos que estarán disponibles en las pestañas Paquete original y Paquete traducido. las reglas de política NAT se comparan con el tráfico entrante en secuencia. añada rutas estáticas al enrutador local para enrutar el tráfico a todas las direcciones públicas hacia el cortafuegos. Seleccione el tipo de política NAT que está creando. Para obtener información sobre cómo definir políticas en Panorama. y se aplica la primera regla que coincida con el tráfico. A medida que sea necesario. versión 7. 254 • Guía de referencia de interfaz web. en las direcciones de origen y destino y en el servicio de aplicación (como HTTP).0 Palo Alto Networks . consulte “Definición de políticas en Panorama”.Definición de políticas en Panorama Tabla 140. Tipos de NAT (Continuación) Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación Tamaño del grupo de direcciones traducidas IP estática Sí No 1a1 Ilimitado MaN MIP Opcional 1 a muchas PAT VIP Definición de políticas de traducción de dirección de red Políticas > NAT Las reglas NAT se basan en las zonas de origen y destino. Es posible que también necesite añadir reglas estáticas a la interfaz de destino en el cortafuegos para reducir el tráfico en la dirección privada. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando existan numerosas políticas. Las tablas siguientes describen los ajustes de NAT y NPTv6 (traducción de prefijo de red de IPv6 a IPv6): • “Pestaña General” • “Pestaña Paquete original” • “Pestaña Paquete traducido” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política NAT o NPTv6.

Por ejemplo. La interfaz de destino se puede utilizar para traducir direcciones IP de manera diferente en caso de que la red esté conectada a dos proveedores de Internet con grupos diferentes de direcciones IP. No puede combinar intervalos de direcciones IPv4 e IPv6 en una única regla NAT. en Panorama.Definición de políticas en Panorama Tabla 141. así como el tipo de interfaz de destino y el tipo de servicio. El nombre debe ser exclusivo en un cortafuegos y. haga clic en Añadir para especificar la etiqueta. Virtual Wire). podría etiquetar determinadas políticas de seguridad con Entrante en DMZ. (El valor predeterminado es Cualquiera. Interfaz de destino Palo Alto Networks Especifique el tipo de interfaz de traducción. • nat64 para la traducción entre direcciones IPv6 y IPv4. versión 7. Etiqueta Si desea añadir una etiqueta a la política. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. capa 3 o de cable virtual. Tabla 142. Configuración reglas NAT (pestaña General) Campo Descripción Nombre Introduzca un nombre para identificar la regla. puede configurar los ajustes para que múltiples direcciones NAT internas se dirijan a la misma dirección IP externa. Se pueden configurar varias zonas de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o direcciones IP específicas. números.) Las zonas deben ser del mismo tipo (capa 2. consulte “Definición de zonas de seguridad”. Para definir nuevas zonas. guiones y guiones bajos. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Guía de referencia de interfaz web. Puede utilizar múltiples zonas para simplificar la gestión. que pueden ser letras. espacios.0 • 255 . Pestaña Paquete original Utilice la pestaña Paquete original para definir el tráfico de origen y destino que se traducirá. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Configuración de reglas NAT (pestaña Paquete original) Campo Descripción Zona de origen Zona de destino Seleccione una o más zonas de origen y destino para el paquete original (no NAT). Por ejemplo. • nptv6 para la traducción entre prefijos IPv6. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Tipo de NAT Especifique el tipo de traducción para el que va destinado la regla: • ipv4 para la traducción entre direcciones IPv4. políticas de descifrado con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación.

el tipo de traducción que se realizará en el origen y la dirección y/o el puerto al que se traducirá. La traducción de dirección de destino también se puede configurar para un host interno que al que se necesite acceder desde una dirección IP pública. La dirección no puede tener definida una parte de identificador de interfaz (host). Cuando se acceda a la dirección pública. 256 • Guía de referencia de interfaz web. defina una dirección de origen (pública) y una dirección de destino (privada) en la pestaña Paquete original para un host interno. los prefijos configurados para Dirección de origen y Dirección de destino deben tener el formato xxxx:xxxx::/yy. Para definir nuevos grupos de servicio. Configuración de reglas NAT (pestaña Paquete original) (Continuación) Campo Descripción Servicio Especifique los servicios para los que las direcciones de origen y destino se traducen. versión 7. y en la pestaña Paquete traducido habilite Traducción de dirección de destino e introduzca la Dirección traducida.Definición de políticas en Panorama Tabla 142. Dirección de origen Dirección de destino Especifique una combinación de direcciones de origen y destino que se traducirán. El intervalo admitido de longitudes de prefijo es de /32 a /64. consulte “Grupos de servicios”. Pestaña Paquete traducido Utilice la pestaña Paquete traducido para determinar.0 Palo Alto Networks . En este caso. para la traducción de dirección de origen. se traducirá a la dirección interna (destino) del host interno. Para NPTv6.

168.10.0 • 257 .0. cuatro veces en los cortafuegos PA-4020 y PAh5020 y ocho veces en los cortafuegos PA-4050. Para NPTv6. IP dinámica y NAT de puerto origen admite aproximadamente 64.0. el cortafuegos utilizará la misma dirección de origen traducida para todas las sesiones. PA-2000 y PA-3000.0. la dirección 192. para interfaces que reciben una dirección IP dinámica. versión 7. – NPTv6 debe utilizar la traducción de IP estática para la traducción de dirección de origen. • Ninguna: La traducción no se ejecuta. Un grupo de direcciones IP dinámicas puede contener varias subredes. En algunas plataformas. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de direcciones y puertos IP disponibles.0.0.2. La dirección no puede tener definida una parte de identificador de interfaz (host).0. asegúrese de que las direcciones no se solapan con las direcciones del grupo primario. se permite un exceso de suscripciones. PAh5050 y PA-5060 cuando las direcciones IP de destino sean exclusivas.168. lo que permite a una única IP albergar más de 64. • IP estática: Siempre se utiliza la misma dirección para la traducción y el puerto permanece inalterable. PA-4060.0.168. los prefijos configurados para Dirección traducida deben tener el formato xxxx:xxxx::/yy. • IP dinámica: Se utiliza la siguiente dirección disponible en el intervalo especificado.000 sesiones simultáneas en cada dirección IP en el grupo NAT.000 direcciones IP consecutivas. El intervalo de dirección es casi ilimitado.1-192. si el intervalo de origen es 192. pero el número de puerto no se cambia. Si crea un grupo de reserva. El tamaño del intervalo de direcciones está limitado por el tipo del grupo de direcciones: • IP dinámica y puerto: La selección de direcciones se basa en un hash de la dirección de IP de origen.0.0. Palo Alto Networks Guía de referencia de interfaz web. por lo que podrá traducir sus direcciones de red internas a dos o más subredes públicas diferentes. PA-500. Puede definir las direcciones del grupo utilizando la opción Dirección traducida o Dirección de interfaz. El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. Se admiten hasta 32.10 y el intervalo de traducción es 10.000 sesiones simultáneas.Definición de políticas en Panorama Tabla 143. Por ejemplo. Configuración de reglas NAT (pestaña Paquete traducido) Campo Descripción Traducción de dirección de origen Seleccione el tipo de traducción (grupo de direcciones dinámicas o estáticas) e introduzca una dirección IP o un intervalo de direcciones IP (dirección1-dirección2) a las que se traducirá la dirección de origen (Dirección traducida). El intervalo admitido de longitudes de prefijo es de /32 a /64. – Avanzado (traducción de IP dinámica de reserva): Utilice esta opción para crear un grupo de reserva que ejecutará la traducción de IP y puerto. y que se utilizará si el grupo primario agota sus direcciones.1-10.2 siempre se traduce a 10. Para una dirección de IP de origen.

los prefijos configurados para Dirección traducida de prefijo de destino deben tener el formato xxxx:xxxx::/yy. Traducción de dirección de destino: Dirección traducida Introduzca una dirección o intervalo de direcciones IP y un número de puerto traducido (1 a 65535) al que la dirección y número de puerto de destino se traducirán. dirección y usuario de origen. Configuración de reglas NAT (pestaña Paquete traducido) (Continuación) Campo Descripción Bidireccional (Opcional) Habilite la traducción bidireccional si quiere que el cortafuegos cree una traducción correspondiente (NAT o NPTv6) en la dirección opuesta de la traducción que configure. el puerto de destino no se modifica. incluyendo la zona. Sin dichas políticas. El resto de sesiones de esa dirección IP y puerto de destino de la misma aplicación coincidirán con una regla específica de aplicación. cuando el tráfico entra en el cortafuegos. Si el campo Puerto traducido se deja en blanco. como un servidor de correo electrónico al que se accede desde la red pública. aplicación y servicio de destino. Si habilita la traducción bidireccional. el enrutador virtual de la interfaz de entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de destino basada en la dirección IP de destino. Para obtener información sobre cómo definir políticas en Panorama. Tenga en cuenta que el puerto traducido no es compatible con NPTv6 porque NPTv6 es una traducción de prefijo estricta. Para NPTv6. consulte “Políticas y perfiles de seguridad”. Cuando sea necesario. El intervalo admitido de longitudes de prefijo es de /32 a /64. versión 7. Gracias al reenvío basado en políticas (PBF). La traducción de destino se suele utilizar para permitir un servidor interno. La sección de direcciones de puerto y host sencillamente se reenvía sin cambios. En este caso. Para garantizar el reenvío mediante reglas PBF.Definición de políticas en Panorama Tabla 143. es necesario definir una regla PBF adicional que reenvíe el paquete desde el sistema virtual de destino mediante una interfaz de salida (egress) concreta en el cortafuegos. no se recomienda el uso de reglas específicas de la aplicación. consulte “Definición de políticas en Panorama”.0 Palo Alto Networks . La dirección no puede tener definida una parte de identificador de interfaz (host). puede especificar otra información para determinar la interfaz de salida. Para obtener información y directrices de configuración acerca de otros tipos de políticas. La sesión inicial de una dirección IP y puerto de destino concretos asociados con una aplicación no coincidirá con una regla de aplicación específica y se reenviarán de acuerdo con reglas PBF subsiguientes (que no especifican ninguna aplicación) o la tabla de reenvío del enrutador virtual. es extremadamente importante asegurarse de tener establecidas políticas de seguridad para controlar el tráfico en ambas direcciones. algo que quizás no desee. 258 • Guía de referencia de interfaz web. la función bidireccional permitirá la traducción automática de paquetes en ambas direcciones. las reglas PBF se pueden utilizar para forzar el tráfico mediante un sistema virtual adicional con la acción de reenvío Reenviar a Vsys. Políticas de reenvío basado en políticas Políticas > Reenvío basado en políticas Normalmente. así como la dirección.

haga clic en Añadir y seleccione una de la lista desplegable. haga clic en Añadir para especificar la etiqueta. que pueden ser letras. números. Por ejemplo. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. guiones y guiones bajos. versión 7. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. consulte “Definición de zonas de seguridad”. Guía de referencia de interfaz web. puede crear una regla que cubra todas las clases. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. espacios. Realice su selección en la lista desplegable o haga clic en Dirección. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Por ejemplo. Etiqueta Si necesita añadir una etiqueta a la política. Pestaña Origen Utilice la pestaña Origen para definir la zona de origen o la dirección de origen que define el tráfico de origen entrante al que se aplicará la política de reenvío.0 • 259 . El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Campo Descripción Zona de origen Para elegir zonas de origen (el valor predeterminado es cualquiera). El nombre debe ser exclusivo en un cortafuegos y. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera).Definición de políticas en Panorama Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino/aplicación/servicio” • “Pestaña Reenvío” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política PBF. Para definir nuevas zonas. políticas de descifrado con las palabras descifrado y sin descifrado. si tiene tres zonas internas diferentes (Marketing. Campo Descripción Nombre Introduzca un nombre para identificar la regla. Grupo de direcciones. Puede utilizar múltiples zonas para simplificar la gestión. en Panorama. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. Nota: Solo se admiten zonas de tipo Capa 3 para reenvío basado en políticas. Descripción Introduzca una descripción de la política (hasta 255 caracteres). exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente.

260 • Guía de referencia de interfaz web. De manera predeterminada. algunos grupos o añadir usuarios manualmente. • Desconocido: Incluye a todos los usuarios desconocidos. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. versión 7. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. aunque el usuario no haya iniciado sesión directamente. una lista de individuos. cualquier IP con datos de usuario asignados. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). es decir. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). las direcciones IP que no estén asignadas a un usuario.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. puede que quiera añadir a un usuario. Grupo de direcciones. • Usuario conocido: Incluye a todos los usuarios autenticados. esta regla se aplica a cualquier dirección IP. Por ejemplo. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Realice su selección en la lista desplegable o haga clic en Dirección.0 Palo Alto Networks . Pestaña Destino/aplicación/servicio Utilice la pestaña Destino/aplicación/servicio para definir la configuración de destino que se aplicará al tráfico que coincida con la regla de reenvío. Por ejemplo. pero no se autenticarán en el dominio y no tendrán ninguna información de asignación de IP a usuario en el cortafuegos. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. es decir. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect.

consulte https://paloaltonetworks.com/documentation/70/pan-os/pan-os/policy/pbf. Cuando sea posible. haciendo clic en la flecha hacia abajo y seleccionando Valor.0 • 261 . Supervisar Habilite la supervisión para comprobar la conectividad con una Dirección IP de destino o con la dirección IP de Siguiente salto. que es el puerto de capa 4 (TCP o UDP) usado por el protocolo o la aplicación. Esta opción excluye los paquetes que coincidan con los criterios de origen/destino/aplicación/servicio definidos en la regla. Para definir nuevas aplicaciones. Al habilitar el retorno simétrico se garantiza que el tráfico de retorno (p. Palo Alto Networks Guía de referencia de interfaz web. podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación. Para definir grupos de aplicaciones. • Reenviar a VSYS: Seleccione el sistema virtual de reenvío en la lista desplegable.html Si utiliza grupos de aplicaciones. Si desea información detallada. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. o bien se puede interrumpir el tráfico. Los paquetes coincidentes usan la tabla de enrutamiento en lugar de PBF. versión 7. El tráfico se puede reenviar a una dirección IP de siguiente salto o un sistema virtual. desde la zona de confianza en la LAN a Internet) se reenvía a través de la misma interfaz por la cual el tráfico accede a Internet. sin tener que ir hasta las pestañas de objetos. consulte “Definición de aplicaciones”. ej. Nota: No se recomienda usar las reglas específicas de aplicación con PBF.. filtros o un contenedor en la regla de PBF. Seleccione Supervisar y añada un perfil de supervisión (predeterminado o personalizado) que especifique la acción cuando no se pueda alcanzar la dirección IP. • No hay ningún PBF: No altera la ruta que tomará el paquete. especifique la dirección IP de Siguiente salto para el paquete. Campo Descripción Acción Seleccione una de las siguientes opciones: • Reenviar: Especifique la dirección IP del próximo salto y la interfaz de salida (egress) (la interfaz que toma el paquete para el siguiente salto especificado). Pestaña Reenvío Use la pestaña Reenvío para definir la acción y la información de red que se aplicará al tráfico que coincida con la política de reenvío. Forzar vuelta simétrica (Necesario para entornos de enrutamiento asimétrico) Seleccione Forzar vuelta simétrica e introduzca una o más direcciones IP en la Lista de direcciones de próximo salto. consulte “Definición de grupos de aplicaciones”.Definición de políticas en Panorama Campo Descripción Aplicación/servicio Seleccione aplicaciones o servicios específicos para la regla de PBF. Interfaz de salida Dirige el paquete a una interfaz de salida específica. Siguiente salto Si dirige el paquete a una interfaz específica. el cortafuegos usa la tabla de enrutamiento para excluir el tráfico coincidente del puerto redirigido. use un objeto de servicio. • Descartar: descarta el paquete.

cree uno en la página Dispositivo > Gestión de certificados > Certificados y. El descifrado SSH se puede utilizar para descifrar el tráfico SSH entrante y saliente para asegurar que los protocolos no se están utilizando para túneles de aplicaciones y contenido no permitido. consulte “Políticas y perfiles de seguridad”. Para obtener información y directrices de configuración acerca de otros tipos de políticas. PAN-OS no descifrará el tráfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarán. Ningún tipo de tráfico descifrado sale del dispositivo. POP3(S). a continuación. SMTP(S) y FTP(S). haga clic en el nombre del certificado y active la casilla Reenviar certificado fiable. Para obtener información sobre cómo definir políticas en Panorama. Consulte “Gestión de certificados de dispositivos”. seleccione una programación de la lista desplegable. Cada una de las políticas de descifrado especifica las categorías o URL para descifrar o no. consulte “Ajustes de descifrado SSL en un perfil de descifrado”. Puede aplicar perfiles de descifrado a sus políticas con objeto de bloquear y controlar diferentes aspectos del tráfico. consulte “Definición de políticas en Panorama”. Con el descifrado activado. consulte “Perfiles de descifrado”. Las reglas de las políticas se comparan con el tráfico en secuencias. Para definir nuevas programaciones. selecciónela y haga clic en Mover hacia arriba.0 Palo Alto Networks . si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de certificación de confianza del cortafuegos. versión 7. Antispyware. y el cortafuegos actúa como un agente externo de confianza durante la conexión. El cifrado de proxy SSL de reenvío requiere que se le presente al usuario la configuración de un certificado de confianza.Definición de políticas en Panorama Campo Descripción Programación Para limitar los días y horas en los que la regla está en vigor.com/docs/DOC-1423. Algunas aplicaciones no funcionarán si las descifra el cortafuegos. El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus. Para obtener más información. Filtrado de URL y Bloqueo de archivos al tráfico SSL descifrado antes de volverse a cifrar a medida que el tráfico sale del dispositivo. Para mover una regla a la parte superior de las políticas y que tenga preferencia. Las siguientes tablas describen la configuración de políticas de descifrado: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Opciones” 262 • Guía de referencia de interfaz web. incluidos protocolos SSL encapsulados como IMAP(S). control y seguridad granular. Una política que excluya el tráfico del descifrado (con la acción No hay ningún descifrado) siempre debe tener preferencia para poder entrar en vigor. la seguridad de punto a punto entre clientes y servidores se mantiene. Las políticas de descifrado pueden ser tan generales o específicas como sea necesario. Para evitarlo.paloaltonetworks. consulte el artículo de ayuda ubicado en https:// live. Para ver una lista de estas aplicaciones. y a tráfico Secure Shell (SSH). Para configurar este certificado. Las políticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL). Políticas de descifrado Políticas > Descifrado Puede configurar el cortafuegos para descifrar el tráfico y ganar en visibilidad. por lo que las reglas más específicas deben preceder a las reglas más generales. Vulnerabilidades.

Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). haga clic en Añadir para especificar la etiqueta. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Campo Descripción Nombre Introduzca un nombre para identificar la regla. políticas de descifrado con las palabras descifrado y sin descifrado. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. versión 7. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. números. Para definir nuevas zonas. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Por ejemplo. guiones y guiones bajos. Grupo de direcciones. Puede utilizar múltiples zonas para simplificar la gestión. si tiene tres zonas internas diferentes (Marketing. consulte “Definición de zonas de seguridad”. Las zonas deben ser del mismo tipo (capa 2. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de descifrado. Etiqueta Si necesita añadir una etiqueta a la política.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de descifrado. Virtual Wire). Por ejemplo. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. puede crear una regla que cubra todas las clases. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ.0 • 263 . El nombre debe ser exclusivo en un cortafuegos y. espacios. que pueden ser letras. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Descripción Introduzca una descripción de la regla (hasta 255 caracteres). capa 3 o de cable virtual. en Panorama. Realice su selección en la lista desplegable o haga clic en Dirección. Guía de referencia de interfaz web.

versión 7. algunos grupos o añadir usuarios manualmente. Por ejemplo. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. puede que quiera añadir a un usuario. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. • Usuario conocido: Incluye a todos los usuarios autenticados. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. cualquier IP con datos de usuario asignados. puede crear una regla que cubra todas las clases. 264 • Guía de referencia de interfaz web. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. consulte “Definición de zonas de seguridad”. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Para definir nuevas zonas. es decir.0 Palo Alto Networks . sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. las direcciones IP que no estén asignadas a un usuario. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). Dirección de destino Haga clic en Añadir para añadir las direcciones. es decir. Realice su selección en la lista desplegable o haga clic en Dirección. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. aunque el usuario no haya iniciado sesión directamente. capa 3 o de cable virtual. Por ejemplo. Virtual Wire). Grupo de direcciones.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. una lista de individuos. si tiene tres zonas internas diferentes (Marketing. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Las zonas deben ser del mismo tipo (capa 2. Puede utilizar múltiples zonas para simplificar la gestión. Por ejemplo. • Desconocido: Incluye a todos los usuarios desconocidos. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera).

• Para especificar una categoría. especifique el tipo de descifrado. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Tipo Seleccione el tipo de tráfico para descifrar de la lista desplegable: • Proxy SSL de reenvío: Especifique que la política descifrará el tráfico del cliente destinado a un servidor externo. Guía de referencia de interfaz web. • Inspección de entrada SSL: Especifique que la política descifrará el tráfico de inspección entrante SSL. especificando el ID de aplicación (App-ID) de túnel ssh. • Seleccionar: Haga clic en Añadir. Consulte “Perfiles de descifrado”. Puede añadir varias categorías. Consulte “Servicios” y “Grupos de servicios”. Campo Descripción Acción Seleccione Descifrar o No descifrar para el tráfico. con independencia de la categoría URL. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas.Definición de políticas en Panorama Pestaña Categoría de URL/servicio Utilice la pestaña Categoría de URL/servicio para aplicar la política de descifrado al tráfico en función del número de puerto TCP o a cualquier categoría de URL (o una lista de categorías). • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se descifrarán (o estarán exentas de descifrado) únicamente en los puertos predeterminados definidos para las aplicaciones por Palo Alto Networks. Campo Descripción Servicio Aplique la política de descifrado al tráfico en función de números de puertos TCP específicos. • Seleccione Cualquiera para buscar en todas las sesiones. versión 7. Si se ha definido Descifrar. • Proxy SSH: Especifique que la política descifrará el tráfico SSH. También puede añadir funciones de descifrado adicionales configurando o seleccionando un perfil de descifrado.0 • 265 . Seleccione un servicio existente o especifique un nuevo Servicio o Grupo de servicios. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. Esta opción permite controlar los túneles SSH en políticas. Perfil de descifrado Palo Alto Networks Seleccione un perfil de descifrado existente o cree uno nuevo. Pestaña Opciones Use la pestaña Opciones para determinar si el tráfico coincidente debería descifrarse o no. Pestaña Categoría de URL Seleccione las categorías URL de la regla de descifrado.

en Panorama. 266 • Guía de referencia de interfaz web. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. puerto y protocolo. consulte “Políticas y perfiles de seguridad”. Para obtener información y directrices de configuración acerca de otros tipos de políticas.0 Palo Alto Networks .Definición de políticas en Panorama Definición de políticas de cancelación de aplicación Políticas > Cancelación de aplicación Para cambiar la forma en la que el cortafuegos clasifica el tráfico de la red en las aplicaciones. Si tiene aplicaciones de red clasificadas como “desconocidas”. Una política suele incluir la dirección IP del servidor que ejecuta la aplicación personalizada y un conjunto restringido de direcciones IP o una zona de origen. espacios. la definición de aplicación personalizada no puede utilizar un número de puerto para identificar una aplicación. guiones y guiones bajos. por lo que las reglas más específicas deben preceder a las reglas más generales. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Las reglas de las políticas se comparan con el tráfico en secuencias. que pueden ser letras. Defina la aplicación personalizada. Al igual que las políticas de seguridad. Use las siguientes tablas para configurar una regla de cancelación de aplicaciones. Por ejemplo. El nombre debe ser exclusivo en un cortafuegos y. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. puede crear nuevas definiciones de aplicaciones (consulte “Definición de aplicaciones”). puede utilizar una política de cancelación de aplicación para identificar el tráfico de esa aplicación en función de la zona. Como el motor App-ID de PAN-OS clasifica el tráfico identificando el contenido específico de la aplicación en el tráfico de red. Consulte “Definición de aplicaciones”. Para obtener información sobre cómo definir políticas en Panorama. puede especificar políticas de cancelación de aplicación. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Defina una política de cancelación de aplicación que especifique si la aplicación personalizada se debe activar. y zona y dirección IP de destino). consulte “Definición de políticas en Panorama”. Para crear una aplicación personalizada con cancelación de aplicaciones: 1. dirección de origen y destino. Campo Descripción Nombre Introduzca un nombre para identificar la regla. versión 7. La definición de la aplicación también debe incluir el tráfico (restringido por zona y dirección IP de origen. las políticas de cancelación de aplicación pueden ser tan generales o específicas como sea necesario. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. si desea controlar una de sus aplicaciones personalizadas. números. • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Protocolo/Aplicación” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política de cancelación de aplicación. 2.

puede crear una regla que cubra todas las clases. políticas de descifrado con las palabras descifrado y sin descifrado. haga clic en Añadir para especificar la etiqueta. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. consulte “Definición de zonas de seguridad”. Grupo de direcciones. Por ejemplo. Realice su selección en la lista desplegable o haga clic en Dirección.Definición de políticas en Panorama Campo Descripción Etiqueta Si necesita añadir una etiqueta a la política. Virtual Wire). puede crear una regla que cubra todas las clases.0 • 267 . Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de cancelación de aplicación. si tiene tres zonas internas diferentes (Marketing. Por ejemplo. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Puede utilizar múltiples zonas para simplificar la gestión. Palo Alto Networks Guía de referencia de interfaz web. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). versión 7. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. si tiene tres zonas internas diferentes (Marketing. Dirección de origen Haga clic en Añadir para añadir las direcciones. Para definir nuevas zonas. Por ejemplo. Virtual Wire). Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Las zonas deben ser del mismo tipo (capa 2. capa 3 o de cable virtual. Puede utilizar múltiples zonas para simplificar la gestión. consulte “Definición de zonas de seguridad”. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). capa 3 o de cable virtual. Para definir nuevas zonas. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Las zonas deben ser del mismo tipo (capa 2.

Realice su selección en la lista desplegable o haga clic en Dirección. Definición de políticas de portal cautivo Políticas > Portal cautivo Utilice la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticación de usuarios mediante un perfil de autenticación. habilite las funciones y configure los ajustes de portal cautivo en la página Identificación de usuarios. La excepción es si cancela una aplicación predeterminada que admite la inspección de amenazas. Los usuarios se dirigen hacia el portal y se autentican. Aplicación Seleccione la aplicación de cancelación de los flujos de tráfico que coincidan con los criterios de la regla anterior. tal y como se describe en “Configuración del cortafuegos para el usuario de usuarios”.0 Palo Alto Networks . Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Para obtener información y directrices de configuración acerca de otros tipos de políticas. una secuencia de autenticación o un perfil de certificado. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID) para aumentar las funciones de identificación de usuarios más allá del dominio de Active Directory. puerto y aplicación que definen con mayor exactitud los atributos de la aplicación para que coincida con la política. Si cancela una aplicación personalizada. consulte “Definición de aplicaciones”. Grupo de direcciones. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). creando una asignación de usuario a dirección IP. Campo Descripción Protocolo Seleccione el protocolo por el que la aplicación se puede cancelar. Para definir nuevas aplicaciones. Si especifica varios puertos o intervalos. versión 7.Definición de políticas en Panorama Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. Las siguientes tablas describen la configuración de políticas de portal cautivo: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Acción” 268 • Guía de referencia de interfaz web. Pestaña Protocolo/Aplicación Use la pestaña Protocolo/Aplicación para definir el protocolo (TCP o UDP). Puerto Introduzca el número de puerto (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) de las direcciones de destino especificadas. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. deben estar separados por comas. consulte “Políticas y perfiles de seguridad”. no se realizará una inspección de amenazas. Antes de definir políticas de portal cautivo.

El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. haga clic en Añadir para especificar la etiqueta. versión 7. Haga clic en Añadir para especificar múltiples interfaces o zonas. guiones y guiones bajos. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Haga clic en Añadir para especificar múltiples interfaces o zonas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Por ejemplo. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Etiqueta Si necesita añadir una etiqueta a la política. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de portal cautivo. espacios. El nombre debe ser exclusivo en un cortafuegos y. Campo Descripción Nombre Introduzca un nombre para identificar la regla. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de portal cautivo. Campo Descripción Origen Especifique la siguiente información: • Seleccione una zona de origen si necesita aplicar la política al tráfico entrante de todas las interfaces de una zona concreta. • Especifique el parámetro Dirección de origen que se aplicará a la política del portal cautivo desde las direcciones de origen específicas.0 • 269 . que pueden ser letras. políticas de descifrado con las palabras descifrado y sin descifrado. en Panorama. números. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Palo Alto Networks Guía de referencia de interfaz web.

Categoría de URL Seleccione las categorías URL de la regla de portal cautivo. Puede añadir varias categorías. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier protocolo o puerto. Campo Destino Descripción Especifique la siguiente información: • Seleccione una zona de destino si necesita aplicar la política al tráfico de todas las interfaces de una zona concreta. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada. Campo Descripción Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. • Especifique el parámetro Dirección de destino que se aplicará a la política del portal cautivo desde las direcciones de destino específicas. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. Una categoría de URL también puede usarse como un atributo para la política. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Haga clic en Añadir para especificar múltiples interfaces o zonas. versión 7. 270 • Guía de referencia de interfaz web. • Seleccione Cualquiera para aplicar las acciones especificadas en la pestaña Servicio/Acción con independencia de la categoría de URL. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Selección: Haga clic en Añadir.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Esta opción es la recomendada para políticas de permiso.0 Palo Alto Networks . • Para especificar una categoría. Consulte “Servicios” y “Grupos de servicios”. • Valor predeterminado de aplicación: Los servicios seleccionados se permiten o deniegan únicamente según los puertos predeterminados por Palo Alto Networks. Pestaña Categoría de URL/servicio Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en función de números de puerto TCP o UDP específicos.

versión 7. Palo Alto Networks Guía de referencia de interfaz web. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). haga clic en Añadir para especificar la etiqueta. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Definición de políticas DoS Políticas > Protección DoS Las políticas de protección DoS permiten controlar el número de sesiones entre interfaces. Use esta página para añadir. un cuadro de diálogo de reto de explorador o si no se producirá ningún desafío de portal cautivo. en Panorama. Entonces podrá seleccionar una acción protectora en una política cuando se active una coincidencia. espacios. políticas de descifrado con las palabras descifrado y sin descifrado. Por ejemplo. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. guiones y guiones bajos. Por ejemplo. editar o eliminar reglas de políticas DoS. El nombre debe ser exclusivo en un cortafuegos y. • reto de explorador: Abre una solicitud de autenticación NT LAN Manager (NTLM) en el explorador web del usuario. a continuación. números. que pueden ser letras. cumplimente los siguientes campos.0 • 271 . También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. haga clic en Añadir y. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Para añadir una nueva regla de política. El explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. Para obtener información sobre cómo definir políticas en Panorama. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Campo Descripción Nombre Introduzca un nombre para identificar la regla. zonas. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política DoS. basadas en sesiones agregadas o direcciones IP de origen y/o destino. consulte “Definición de políticas en Panorama”. • portal no cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su autenticación. puede controlar el tráfico desde y hacia determinadas direcciones o grupos de direcciones o desde determinados usuarios y para servicios concretos.Definición de políticas en Panorama Pestaña Acción Use la pestaña Acciones para determinar si el usuario verá un formato web. Una política DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o paquetes por segundo) que indican un ataque. Campo Descripción Configuración de acción Seleccione la acción que se realizará: • Formato web: Abre una página de portal cautivo en la que el usuario puede introducir explícitamente las credenciales de autenticación. Etiqueta Si necesita añadir una etiqueta a la política. direcciones y países.

– Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Por ejemplo. • Especifique el parámetro Usuario de origen que se aplicará a la política DoS para el tráfico procedente de los usuarios específicos. las direcciones IP que no estén asignadas a un usuario. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). – Desconocido: Incluye a todos los usuarios desconocidos. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Campo Descripción Origen Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. 272 • Guía de referencia de interfaz web. puede que quiera añadir a un usuario. Haga clic en Añadir para especificar varias direcciones. cualquier IP con datos de usuario asignados. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas.0 Palo Alto Networks . Por ejemplo. algunos grupos o añadir usuarios manualmente. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. es decir. Los siguientes tipos de usuarios de origen son compatibles: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. una lista de individuos. versión 7.Definición de políticas en Panorama Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política DoS. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. es decir. – Usuario conocido: Incluye a todos los usuarios autenticados. • Especifique el parámetro Dirección de origen que se aplicará a la política DoS desde las direcciones de origen específicas. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Haga clic en Añadir para especificar múltiples interfaces o zonas. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. aunque el usuario no haya iniciado sesión directamente. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect.

como un servidor syslog o Panorama. las limitaciones del perfil se aplican a una dirección IP de origen. Por ejemplo. Palo Alto Networks Guía de referencia de interfaz web. seleccione un perfil de reenvío de logs de la lista desplegable o haga clic en Perfil para crear uno nuevo. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. puede especificar un perfil clasificado con un límite de sesión de 100 y especificar un parámetro Dirección de “origen” en la regla. Si se especifica un perfil clasificado. dirección IP de destino. Haga clic en Añadir para especificar varias direcciones. • Dirección: Seleccione si la regla se aplicará al origen. Programación Seleccione una programación preconfigurada de la lista desplegable. Agregado Seleccione un perfil de protección DoS de la lista desplegable para determinar la tasa a la que desea adoptar las medidas en respuesta a las amenazas DoS. o pares de direcciones IP de origen y destino. Campo Descripción Servicio Seleccione en la lista desplegable la política DoS que se aplicará únicamente a los servicios configurados. o a las direcciones IP de origen y destino. Acción Seleccione la acción en la lista desplegable: • Denegar: Cancela todo el tráfico. Esta configuración se aplica al total del tráfico del origen especificado al destino especificado. Tenga en cuenta que solo será registrado y reenviado el tráfico que coincida con una acción de la regla. • Proteger: Aplica las protecciones proporcionadas en los umbrales que se configuran como parte del perfil DoS aplicado a esta regla. versión 7. destino. Campo Destino Descripción Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. • Especifique el parámetro Dirección de destino que se aplicará a la política DoS para el tráfico a las direcciones de destino específicas. El resultado sería un límite de 100 sesiones en cualquier momento para esa dirección IP de origen en particular. Clasificado Seleccione la casilla de verificación y especificar los siguientes ajustes: • Perfil: Seleccione un perfil de la lista desplegable. También puede definir una programación que determine cuándo estará activa la política y seleccionar un perfil DoS agregado o clasificado que defina más atributos para la protección DoS. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. • Permitir: Permite todo el tráfico. Pestaña Opción/Protección Use la pestaña Opción/Protección para configurar opciones adicionales de la política DoS. Reenvío de logs Si quiere activar el reenvío de entradas de logs de amenazas a un servicio externo. que se aplicará a la regla DoS a una fecha/hora concretas. como el tipo de servicio (http o https) o la acción que se realizará y decidir si se activará un reenvío de log para el tráfico coincidente.0 • 273 .Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Haga clic en Añadir para especificar múltiples interfaces o zonas.

perfiles de antispyware. Consulte “Perfiles de antivirus”. Cada firma de amenaza o virus definida por Palo Alto Networks incluye una acción predeterminada.Perfiles de seguridad Perfiles de seguridad Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. • Perfiles de protección de vulnerabilidades para detener los intentos de explotación de fallos del sistema y de acceso no autorizado a los sistemas. objetos de spyware personalizados u objetos de vulnerabilidades personalizados. Consulte “Perfiles de bloqueo de archivo”. versión 7. Consulte “Perfiles de filtrado de datos”. perfiles de protección de vulnerabilidades. Los siguientes tipos de perfil están disponibles: • Perfiles de antivirus para proteger contra gusanos. • Perfiles de filtrado de URL para restringir el acceso de los usuarios a sitios web específicos y/o categorías de sitios web. No obstante. o como Restablecer ambos. como compras o apuestas. Acciones en perfiles de seguridad La acción especifica cómo responde un cortafuegos ante un evento de amenaza. que suele establecerse como Alerta. • Perfiles de análisis de WildFire para especificar que se realice un análisis de archivos localmente en el dispositivo WildFire o en la nube de WildFire. como los números de tarjetas de crédito o de la seguridad social. Cada política de seguridad puede incluir uno o más perfiles de seguridad. Las siguientes acciones son aplicables al definir perfiles de antivirus. Consulte “Perfiles de filtrado de URL”. • Perfiles de bloqueo de archivo para bloquear tipos de archivos seleccionados y en la dirección de flujo de sesión especificada (entrante/saliente/ambas). Consulte “Perfiles de antispyware”. que restablece ambas partes de la conexión. Además de perfiles individuales. y crear grupos de perfiles de seguridad en Objetos > Grupos de perfiles de seguridad. Consulte “Perfiles de análisis de WildFire”. • Perfiles de antispyware para bloquear los intentos del spyware en hosts comprometidos para realizar llamadas a casa o balizamiento a servidores externos de comando y control (C2).0 Palo Alto Networks . puede definir o cancelar la acción en el cortafuegos. • Perfiles de filtrado de datos que ayudan a evitar que la información confidencial. virus y troyanos y bloquear descargas de spyware. salga de una red protegida. puede combinar perfiles que a menudo se aplican en conjunto. Consulte “Perfiles de protección de vulnerabilidades”. que le informa del uso de la opción que ha habilitado para que se realice una notificación. 274 • Guía de referencia de interfaz web.

Para UDP. descarta la conexión.Perfiles de seguridad Acción Descripción Valor predeterminado Realiza la acción predeterminada especificada internamente para cada firma de amenaza. configurable durante un período de tiempo especificado. Restablecer servidor Para TCP. versión 7. La alerta se guarda en el log de amenazas.     Alerta Genera una alerta para el flujo de tráfico de cada aplicación. descarta la conexión. Bloquear IP Esta acción bloquea el tráfico de un par de origen u origendestino.     Descartar Descarta el tráfico de la aplicación. restablece la conexión tanto en el extremo del cliente como en el del servidor. realiza la acción predeterminada para la firma de virus.0 • 275 .                 Para UDP. Palo Alto Networks Guía de referencia de interfaz web. restablece la conexión de la parte del cliente.zado: spyware y nerabilidades vulnerabilidades     Para perfiles de antivirus. descarta la conexión. Para UDP. Restablecer ambos Para TCP. Permitir Permite el tráfico de la aplicación.     Restablecer cliente Para TCP. Perfil de Perfil de antisantivirus pyware Perfil de proObjeto personalitección de vul. restablece la conexión de la parte del servidor.

El perfil se adjuntará después a una política de seguridad para determinar la inspección del tráfico que atraviese zonas específicas. puntos. Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarán al tráfico coincidente. Perfiles de antivirus Objetos > Perfiles de seguridad > Antivirus En la página Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus mediante análisis del tráfico definido. dependiendo del tipo de virus detectado. Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Cuadro de diálogo Perfil de antivirus” • “Pestaña Antivirus” • “Pestaña Excepciones” Cuadro de diálogo Perfil de antivirus Utilice este cuadro de diálogo para definir un nombre y una descripción del perfil. Antes debe quitar el perfil de la política de seguridad y luego eliminarlo. números. Defina en qué aplicaciones se buscarán virus mediante inspecciones y la acción que se llevará a cabo si se encuentra uno. 276 • Guía de referencia de interfaz web. y toma las medidas predeterminadas para el resto de las aplicaciones (alerta o denegación). guiones y guiones bajos. El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados. como granjas de servidores. Utilice únicamente letras. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). como Internet. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. genera alertas de Simple Mail Transport Protocol (SMTP). así como el tráfico enviado a destinos altamente sensibles.0 Palo Alto Networks . Internet Message Access Protocol (IMAP).Perfiles de seguridad No puede eliminar un perfil que se utiliza en una política de seguridad. espacios. consulte “Perfiles de seguridad”. versión 7. Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables. Este nombre aparece en la lista de perfiles de antivirus cuando se definen políticas de seguridad. y Post Office Protocol Version 3 (POP3).

Para buscar una aplicación. y especifique a continuación la acción aplicable. Se mostrará una lista con las aplicaciones coincidentes. tal vez prefiera elegir la acción de alerta en las firmas de WildFire en lugar del bloqueo. lo que significa que la cancelación está habilitada. seleccione la acción que se adoptará cuando se detecte la amenaza. puede definir un perfil de antivirus para el que la aplicación es una excepción. Para cada excepción de la aplicación. por lo que esta opción permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por Palo Alto Networks. Puede definir diferentes acciones para firmas de antivirus estándar (columna Acción) y firmas generadas por el sistema WildFire (Acción de WildFire). el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. seleccione una acción de la lista desplegable. Palo Alto Networks Guía de referencia de interfaz web. Campo Descripción Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. que se pueden generar y emitir en 15 minutos o menos tras la detección de la amenaza. versión 7. puede que quiera permitir http pero no inspeccionar el tráfico de una aplicación específica que funcione a través de http. Si cancela la selección de la casilla de verificación. Por ejemplo. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Use la tabla Excepción de aplicaciones para definir las aplicaciones que no serán inspeccionadas. También puede adoptar la medida específica en función de las firmas creadas por WildFire. y Permitir es la excepción de la aplicación. Para ver una lista de las acciones.Perfiles de seguridad Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Excepciones de aplicaciones y acciones Identifique aplicaciones que se considerarán excepciones a la regla de antivirus. La casilla de verificación no está seleccionada de manera predeterminada. Si cancela la selección de la casilla de verificación. en la que podrá realizar una selección. Por ejemplo. Pestaña Antivirus Use la pestaña Antivirus para definir el tipo de tráfico que se inspeccionará. La aplicación se añade a la tabla y puede asignar una acción. como ftp y http. para bloquear todo el tráfico HTTP excepto el de una aplicación específica. las firmas de antivirus estándar pasan pruebas de estabilidad más largas (24 horas) en comparación con las firmas de WildFire. Por ello. Bloquear es la acción del descodificador HTTP.0 • 277 . comience escribiendo el nombre de la aplicación en el cuadro de texto. Por ejemplo. Descodificadores y acciones Para cada tipo de tráfico en el que desee buscar virus. Algunos entornos pueden requerir pruebas de estabilidad más largas para firmas de antivirus. consulte “Acciones en perfiles de seguridad”. • Cada grupo de dispositivos en Panorama.

0 Palo Alto Networks . al igual que las firmas de antivirus normales. Puede elegir entre dos perfiles de antispyware predefinidos en la política de seguridad. Aparecerán las excepciones ya especificadas. tal como especifica Palo Alto Networks al crear la firma. Las firmas DNS se pueden configurar para permitir. alertar o (por defecto) bloquear cuando se observen estas consultas. Consulte “Visualización de logs”. Puede añadir amenazas adicionales introduciendo el ID de amenaza y haciendo clic en Añadir. La página Antispyware muestra un conjunto predeterminado de columnas. El ajuste de firmas DNS proporciona un método adicional de identificación de hosts infectados en una red. Para obtener más información. Los ajustes de Reglas Los ajustes de Excepciones le permiten cambiar la acción de una firma específica. Por ejemplo. puede añadir excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. puede generar alertas para un conjunto específico de firmas y bloquear todos los paquetes que coincidan con el resto de firmas. También puede crear perfiles personalizados. cada firma de amenaza incluye una acción predeterminada especificada por Palo Alto Networks. Existen más columnas de información disponibles en el selector de columnas. Los ID de amenaza se presentan como parte de la información del log de amenaza. Además. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos. como granjas de servidores. puede reducir el rigor de la inspección del antispyware del tráfico entre zonas de seguridad de confianza y aprovechar al máximo la inspección del tráfico recibido de Internet o del tráfico enviado a activos protegidos. Perfiles de antispyware Objetos > Perfiles de seguridad > Antispyware Puede adjuntar un perfil de antispyware a una política de seguridad para detectar conexiones de “llamada a casa” que se inicien desde spyware instalado en sistemas de su red. alta y media y la establece como la acción de bloqueo. • Estricto: El perfil estricto cancela la acción definida en el archivo de firma para amenazas de gravedad crítica. Por ejemplo. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. Las firmas DNS se descargan como parte de las actualizaciones de antivirus. La acción predeterminada se utiliza con amenazas de gravedad baja e informativa. 278 • Guía de referencia de interfaz web. Con objeto de facilitar aún más la gestión de amenazas. Asegúrese de obtener las actualizaciones de contenido más recientes para estar protegido ante las nuevas amenazas y contar con nuevas firmas para cualquier falso positivo. • Predeterminado: El perfil predeterminado utiliza la acción predeterminada para cada firma. los hosts que realizan consultas DNS en dominios malware aparecerán en el informe de botnet. Estas firmas detectan búsquedas DNS concretas de nombres de host asociados con malware. Campo Descripción ID de amenaza Añada amenazas específicas que deberían ignorarse. Cada uno de estos perfiles tiene un conjunto de reglas predefinidas (con firmas de amenazas) organizadas por la gravedad de la amenaza.Perfiles de seguridad Pestaña Excepciones Use la pestaña Excepciones para definir la lista de amenazas que ignorará el perfil de antivirus. versión 7. consulte “Bloqueo de transacciones”.

Gravedad Seleccione un nivel de gravedad (crítico. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). números. Utilice únicamente letras. Para ver la captura de paquetes. Acción Seleccione una acción para cada amenaza. alto. guiones y guiones bajos. Solo se producirá captura de paquetes si la acción está permitida o alerta. Si cancela la selección de la casilla de verificación. desplácese hasta Dispositivo > Configuración > ID de contenido y. Nombre de amenaza Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para buscar cualquier firma con el texto indicado como parte del nombre de la firma. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Pestaña Reglas Nombre de regla Especifique el nombre de la regla. Si cancela la selección de la casilla de verificación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. • Cada grupo de dispositivos en Panorama. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Para ver una lista de las acciones. Si está definida la opción de bloqueo.0 • 279 . Este nombre aparece en la lista de perfiles de antispyware cuando se definen políticas de seguridad. espacios. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. La casilla de verificación no está seleccionada de manera predeterminada. consulte “Acciones en perfiles de seguridad”. Palo Alto Networks Guía de referencia de interfaz web. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Configuración de perfil de antispyware Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). la sesión finaliza inmediatamente. Para definir el número de paquetes que deben capturarse. a continuación. medio. desplácese hasta Supervisar > Logs > Amenaza. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. puntos. Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. edite la sección Configuración de ID de contenidos. bajo o informativo). Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Seleccione paquete único para capturar un paquete cuando se detecta. lo que significa que la cancelación está habilitada. versión 7.Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de antispyware: Tabla 144.

no hay amenazas en las selecciones actuales. Configuración de perfil de antispyware (Continuación) Campo Descripción Pestaña Excepciones Excepciones Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. Puede añadir hasta 100 direcciones IP por firma.0 Palo Alto Networks . Pestaña firma DNS 280 • Guía de referencia de interfaz web. categoría y gravedad seleccionada. versión 7. Si las direcciones IP se añaden a una excepción de amenaza.Perfiles de seguridad Tabla 144. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Si la lista está vacía. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. o seleccionar Todas para responder a todas las amenazas indicadas. La lista depende del host.

Cuando se configura una dirección IP sinkhole. de modo que la acción sinkhole se llevará a cabo en la consulta. Configuración de perfil de antispyware (Continuación) Campo Descripción Acción para consultas de DNS Seleccione la acción que se realizará cuando se hagan búsquedas DNS en sitios conocidos de software malintencionado [permitir. Guía de referencia de interfaz web. El cliente infectado intenta entonces iniciar una sesión en el host. donde el cortafuegos está antes del servidor DNS local. Es importante seleccionar una dirección IP mediante la cual una sesión tenga que enrutarse a través del cortafuegos para que este pueda ver la sesión. La acción sinkhole de DNS ofrece a los administradores un método para identificar hosts infectados en la red usando tráfico DNS. que el cortafuegos no puede ver el originador de una solicitud de DNS). una IP no usada en otra zona interna.Perfiles de seguridad Tabla 144. el log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del host infectado. especifique una dirección IPv4 y/o IPv6 que se utilizará como sinkhole (la predeterminada es la IP del loopback. que resolverá los dominios al host local). pero usa la dirección IP falsificada en su lugar. bloquear. A continuación se detalla la secuencia de eventos que se sucederán al habilitar la función sinkhole: Captura de paquetes Palo Alto Networks 1.0 • 281 . Los hosts infectados pueden identificarse fácilmente en los logs de tráfico porque cualquier host que intente conectarse a la IP sinkhole está infectado casi con toda seguridad con software malintencionado. quien puede entonces buscar en los logs de tráfico la dirección IP sinkhole y localizar fácilmente la dirección IP del cliente que intenta iniciar una sesión con la dirección IP sinkhole. sinkhole o predeterminada (alertar)]. La consulta DNS coincide con una entrada DNS en la base de datos de firmas DNS. El software malintencionado en el ordenador de un cliente infectado envía una consulta DNS para resolver un host malintencionado en Internet. 4. La consulta DNS del cliente se envía a un servidor DNS interno. los clientes infectados pueden ser identificados filtrando los logs de tráfico o generando un informe personalizado que compruebe las sesiones de la dirección IP especificada. Las consultas DNS de software malintencionado falsificadas resuelven este problema de visibilidad generando respuestas erróneas a las consultas dirigidas a dominios malintencionados. Se alerta al administrador de la consulta DNS malintencionada en el log de amenazas. 2. versión 7. En una implementación típica. que a su vez realiza una consulta al servidor de DNS público al otro lado del cortafuegos. La dirección IP falsificada es la dirección definida en la pestaña Firmas DNS del perfil Antispyware al seleccionar la acción sinkhole. por ejemplo) intenten conectarse en su lugar a una dirección IP especificada por el administrador. 5. Si tiene instalada una licencia de prevención de amenazas y tiene habilitado un perfil de antispyware en un perfil de seguridad. 3. de modo que los clientes que intenten conectarse a dominios malintencionados (mediante comando y control. por ejemplo. las firmas basadas en DNS se activarán en las solicitudes de DNS destinadas a dominios de software malintencionado. Tras seleccionar la acción sinkhole. Seleccione la casilla de verificación para capturar paquetes identificados. incluso aunque el cortafuegos esté antes de un servidor de DNS local (es decir.

Configuración de perfil de antispyware (Continuación) Campo Descripción Habilitar supervisión de DNS pasivo Se trata de una función opcional que permite al cortafuegos actuar como un sensor DNS pasivo y enviar información de DNS escogida a Palo Alto Networks para que sea analizada y poder mejorar así las funciones de inteligencia y prevención de amenazas. La opción está deshabilitada de manera predeterminada. así como las medidas que se deben adoptar cuando se active una firma de un conjunto. ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema. La información recopilada a través de estos datos se usa para mejorar la precisión y la capacidad para detectar software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB URL filtering). la función de DNS pasivo utilizará la ruta de servicio de WildFire para enviar la información de DNS a Palo Alto Networks. no en clientes individuales) y cargas de paquetes de respuesta.Perfiles de seguridad Tabla 144. Existen más columnas de información disponibles en el selector de columnas. y el tráfico enviado a destinos altamente sensibles. excepto el del paquete seleccionado. Para obtener más información. Cuando el cortafuegos se configura con rutas de servicio personalizadas. alta y media y utiliza la acción predeterminada para los eventos de protección de vulnerabilidad bajos e informativos. con origen en la resolución recursiva local. versión 7. Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. La página Protección de vulnerabilidades muestra un conjunto predeterminado de columnas. ID de amenaza Introduzca manualmente excepciones de firma DNS (intervalo 4000000-4999999). • El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crítica.0 Palo Alto Networks . Los datos recopilados incluyen consultas DNS no recursivas (es decir. El equipo de investigación de amenazas de Palo Alto Networks usa esta información para conocer mejor cómo funciona la propagación de software malintencionado y las técnicas de evasión que se aprovechan del sistema DNS. Los parámetros de Reglas especifican conjuntos de firmas para habilitar. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas. como granjas de servidores. Se recomienda habilitar esta función. alta y media del servidor y del cliente. Hay dos perfiles predefinidos disponibles para la función de protección de vulnerabilidades: • El perfil predeterminado aplica la acción predeterminada a todas las vulnerabilidades de gravedad crítica. Perfiles de protección de vulnerabilidades Objetos > Perfiles de seguridad > Protección de vulnerabilidades Una política de seguridad puede incluir especificaciones de un perfil de protección de vulnerabilidades que determine el nivel de protección contra desbordamiento de búfer. Para aplicar los perfiles de protección de vulnerabilidades a las políticas de seguridad. puede bloquear todos los paquetes coincidentes con una firma. consulte “Bloqueo de transacciones”. consulte “Definición de políticas de seguridad”. No detecta los eventos de protección de vulnerabilidad informativos y bajos. Por ejemplo. Los perfiles personalizados se pueden utilizar para minimizar la comprobación de vulnerabilidades para el tráfico entre zonas de seguridad fiables y para maximizar la protección del tráfico recibido de zonas no fiables. las firmas de comando y control basadas en DNS y WildFire. como Internet. que genera una alerta. La pestaña Excepción admite funciones de filtrado. 282 • Guía de referencia de interfaz web.

0 • 283 . Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). lado del servidor o (cualquiera). La casilla de verificación no está seleccionada de manera predeterminada. espacios. Haga clic en la pestaña Excepciones y. a continuación. Para ver una lista de las acciones. Para ver la acción predeterminada de una firma. consulte “Acciones en perfiles de seguridad”.Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección de vulnerabilidades: Tabla 145. Nombre de amenaza Especifique una cadena de texto para buscar. haga clic en Mostrar todas las firmas. Este nombre aparece en la lista de perfiles de protección de vulnerabilidades cuando se definen políticas de seguridad. Aparecerá una lista de todas las firmas y verá una columna Acción. Host Palo Alto Networks Especifique si desea limitar las firmas de la regla a las del lado del cliente. • Cada grupo de dispositivos en Panorama. Guía de referencia de interfaz web. puntos. Si cancela la selección de la casilla de verificación. Configuración del perfil de protección de vulnerabilidades Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). lo que significa que la cancelación está habilitada. guiones y guiones bajos. La acción Predeterminada se basa en la acción por defecto que forma parte de cada firma proporcionada por Palo Alto Networks. Acción Seleccione la acción que deberá realizarse cuando se active la regla. Utilice únicamente letras. desplácese a Objetos > Perfiles de seguridad > Protección de vulnerabilidades y haga clic en Añadir o seleccione un perfil existente. Si cancela la selección de la casilla de verificación. Pestaña Reglas Nombre de regla Especifique un nombre para identificar la regla. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. números. versión 7. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. El cortafuegos aplica un conjunto de firmas a la regla buscando nombres de firmas para esta cadena de texto.

la sesión finaliza inmediatamente. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. desplácese hasta Dispositivo > Configuración > ID de contenido y. Puede realizar una búsqueda de cadenas en este campo. Solo se producirá captura de paquetes si la acción está permitida o alerta. alto o crítico) si desea limitar las firmas a las coincidentes con los niveles de gravedad especificados. para buscar las vulnerabilidades del año 2011. donde aaaa es el año y xxxx es un identificador único. introduzca “2011”. desplácese hasta Supervisar > Logs > Amenaza. medio. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. Lista CVE Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea limitar las firmas a las que también coinciden con las CVE especificadas.0 Palo Alto Networks . Gravedad Seleccione el nivel de gravedad (informativo. versión 7. Seleccione paquete único para capturar un paquete cuando se detecta. Por ejemplo. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Captura de paquetes Descripción Seleccione la casilla de verificación para capturar paquetes identificados. edite la sección Configuración de ID de contenidos. Para definir el número de paquetes que deben capturarse. ID de proveedor Especifique el ID del proveedor si desea limitar las firmas a las coincidentes con la de los Id de los proveedores especificados. 284 • Guía de referencia de interfaz web. Por ejemplo. Por ejemplo. los ID de proveedor de Microsoft tienen el formato MSaa-xxx. introduzca “MS09”. Categoría Seleccione una categoría de vulnerabilidad si desea limitar las firmas a las que coinciden con esa categoría. Para ver la captura de paquetes. bajo. para buscar Microsoft en el año 2009. a continuación. donde aa es el año en formato de dos dígitos y xxx es el identificador único. Cada CVE tiene el formato CVE-aaaa-xxxx. Si está definida la opción de bloqueo.Perfiles de seguridad Tabla 145. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas.

o seleccionar Todas para responder a todas las amenazas indicadas. Seleccione la casilla de verificación Captura de paquetes si desea capturar paquetes identificados. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. versión 7. Si la casilla de verificación Mostrar todo no está seleccionada. La acción predeterminada se muestra entre paréntesis. categoría y gravedad seleccionada. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Si la lista está vacía. destino u origen-destino. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Si la casilla de verificación Mostrar todo está seleccionada. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. La lista depende del host. La columna CVE muestra los identificadores de vulnerabilidades y exposiciones comunes (CVE). Puede especificar el número de resultados por unidad de tiempo y si se aplicarán los umbrales de origen.Perfiles de seguridad Tabla 145. Puede añadir hasta 100 direcciones IP por firma. Las firmas de fuerza bruta se activan cuando se produce una condición en un determinado umbral temporal. el ID de amenaza 40001 se activa en un ataque de fuerza bruta de FTP. no hay amenazas en las selecciones actuales. Estos identificadores únicos y comunes son para vulnerabilidades de seguridad de información públicamente conocidas.0 • 285 . solo se mostrarán las firmas que son excepciones. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Descripción Pestaña Excepciones Amenazas Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. Los umbrales se pueden aplicar en una IP de origen. por ejemplo. IP de destino o una combinación de IP de origen y destino. aparecerán todas las firmas. Palo Alto Networks Guía de referencia de interfaz web. Si las direcciones IP se añaden a una excepción de amenaza. Los umbrales están preconfigurados para firmas de fuerza bruta y se pueden modificar haciendo clic en el icono de lápiz junto al nombre de la amenaza de la pestaña Vulnerabilidad (con la opción Personalizada seleccionada). La base de datos de firma de vulnerabilidad contiene firmas que indican un ataque de fuerza bruta. Seleccione una acción de la lista desplegable o seleccione una opción de la lista desplegable Acción en la parte superior de la lista para aplicar la misma acción a todas las amenazas.

se bloquearán todas las URL. Para crear categorías de URL personalizadas con sus propias listas de URL. el filtrado de URL seguirá funcionando y las categorías de URL que se encuentran en caché actualmente se usarán para bloquear o permitir en función de su configuración. Si elige Permitir.Perfiles de seguridad Perfiles de filtrado de URL Objetos > Perfiles de seguridad > Filtrado de URL Una política de seguridad puede incluir la especificación de un perfil de filtrado de una URL que bloquee el acceso a sitios web y a categorías de sitios web específicas. Configuración de perfil de filtrado de URL Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).0 Palo Alto Networks . Categorías (configurable solo para BrightCloud) Acción tras el vencimiento de la licencia Seleccione la medida que se adoptará si vence la licencia de filtrado de URL: • Bloquear: Bloquea el acceso a todos los sitios web. consulte “Categorías de URL personalizadas”. • Cada grupo de dispositivos en Panorama. También puede definir una “lista de bloqueo” de sitios web que esté siempre bloqueada (o que generen alertas) y una “lista de permiso” de sitios web que esté siempre permitida. que aplique Safe Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una licencia de filtrado de URL). • Permitir: Permite el acceso a todos los sitios web. versión 7. Este nombre aparece en la lista de perfiles de filtrado de URL cuando se definen políticas de seguridad. Nota: Si usa la base de datos BrightCloud y define esta opción para bloquear al vencimiento de la licencia. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. se permitirán todas las URL. guiones y guiones bajos. Si usa PAN-DB. La casilla de verificación no está seleccionada de manera predeterminada. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Utilice únicamente letras. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. espacios. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. lo que significa que la cancelación está habilitada. 286 • Guía de referencia de interfaz web. Las siguientes tablas describen la configuración de perfil de filtrado de URL: Tabla 146. Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Para aplicar los perfiles de filtrado de URL a las políticas de seguridad. consulte “Definición de políticas de seguridad”. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. no solo las categorías de URL definidas para bloquearse. números.

• Alertar: Permite al usuario acceder al sitio web.paloaltonetworks. Las entradas de la lista de bloqueo deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas. Por ejemplo.com Acción Seleccione la medida que se adoptará cuando se acceda a un sitio web de la lista de bloqueo.133.com (Los testigos son: "www".com”. “www. "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. • Bloquear: Bloquea el acceso al sitio web.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines.com • 198. debe incluir “*. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de bloqueadas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee bloquear o cuyas alertas desee generar.yahoo. "com".com/search=* (Los testigos son: "www".Perfiles de seguridad Tabla 146. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. Los siguientes caracteres se consideran separadores: . "*" and "com") www. "yahoo" y "com") www.com” y “paloaltonetworks. Palo Alto Networks Guía de referencia de interfaz web.yahoo. + Toda cadena separada por el carácter anterior se considera un testigo.com” es diferente de “paloaltonetworks. Ejemplos: • www. / ? & = . versión 7. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”). Introduzca las URL una a una. los siguientes patrones son válidos: *. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista. Si desea bloquear el dominio entero.paloaltonetworks.com”.y*. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña.0 • 287 . pero añade una alerta al log de URL. Por ejemplo.com (Los testigos son: "*".paloaltonetworks. "yahoo". "search".219.*.yahoo. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada.com www. ww*.

ww*. Los siguientes caracteres se consideran separadores: . pero añade una alerta al log de URL. debe incluir “*.com/search=* (Los testigos son: "www". Por ejemplo.com • 198.*. "*" and "com") www.paloaltonetworks.yahoo. versión 7. la medida que se adoptará cuando accede a un sitio web de esa categoría.219.yahoo.com” y “paloaltonetworks. • Alertar: Permite al usuario acceder al sitio web. + Toda cadena separada por el carácter anterior se considera un testigo.133. "com". "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo. los siguientes patrones son válidos: *.yahoo.com (Los testigos son: "www". • Permitir: Permite al usuario acceder al sitio web. Por ejemplo. "yahoo" y "com") www.com (Los testigos son: "*". Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de permitidas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee permitir o cuyas alertas desee generar. Si desea permitir el dominio entero.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. "search". / ? & = .paloaltonetworks.com”. Las entradas de la lista de permitidas deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas.com Esta lista tiene prioridad sobre las categorías de sitios web seleccionados. Introduzca una dirección IP o URL en cada línea. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”). Categoría/Acción Seleccione. • Bloquear: Bloquea el acceso al sitio web. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *.com www. Nota: Las páginas Continuar y Cancelar no se mostrarán correctamente en máquinas cliente configuradas para utilizar un servidor proxy. “www. 288 • Guía de referencia de interfaz web. • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada.y*.Perfiles de seguridad Tabla 146. para cada categoría. "yahoo".0 Palo Alto Networks .com” es diferente de “paloaltonetworks.com”. Ejemplos: • www. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista.paloaltonetworks.

Yandex o YouTube) vean los resultados de búsqueda. Esta opción se activa si la base de datos local no puede categorizar la URL. Si un usuario realiza una búsqueda usando uno de estos motores y su explorador o motor de búsqueda no tiene configurada la opción búsqueda segura en la opción estricta. no Palo Alto Networks. los resultados de búsqueda serán bloqueados (dependiendo de la acción definida en el perfil) y se pedirá al usuario que defina la opción estricta en la configuración de búsqueda segura. Yandex y YouTube. debe añadirse el perfil a una política de cifrado. a menos que tengan definida la opción de búsqueda segura estricta en sus exploradores para estos motores de búsqueda. Para usar esta función.jp) mientras está registrado en su cuenta de Yahoo!. Página de contenedor de log únicamente Seleccione la casilla de verificación para incluir en el log únicamente las URL que coinciden con el tipo de contenido especificado.Perfiles de seguridad Tabla 146. Palo Alto Networks Guía de referencia de interfaz web. Si un proveedor cambia el método de configuración de búsquedas seguras que usa Palo Alto Networks para detectar estas configuraciones.co. Yahoo. Para evitar que los usuarios omitan esta función usando otros proveedores de búsquedas. Y. La habilidad del cortafuegos para detectar la configuración de búsquedas seguras dentro de estos tres proveedores se actualizará usando la actualización de firma Aplicaciones y amenazas. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Comprobar categoría de URL Haga clic para acceder al sitio web donde podrá introducir una URL o dirección IP para ver información de categorización. la opción de bloqueo para el ajuste de búsqueda también debe estar habilitada. esta opción está habilitada de forma predeterminada y no es configurable. se llevará a cabo una actualización de firmas para garantizar que se detecta la configuración adecuadamente. Google. Consulte la Guía del administrador de PAN-OS para obtener más información. esta opción evitará que los usuarios que realicen búsquedas en Internet usando uno de los tres principales proveedores de búsquedas (Bing. Filtrado de URL dinámica Seleccione para activar las búsquedas en la nube y categorizar la URL. Google. Valor predeterminado: Deshabilitado Si la URL no se resuelve después de que aparezca la ventana de tiempo de espera de 5 segundos. la evaluación para determinar si un sitio se considera seguro o no la realizan los proveedores de búsquedas. configure el perfil de filtrado de URL para que bloquee la categoría de los motores de búsqueda y que se puedan permitir Bing. Valor predeterminado: Habilitado Habilitar forzaje de búsquedas seguras Seleccione esta casilla de verificación para forzar el filtrado de búsquedas seguras estricto. la respuesta aparece como “URL no resuelta”. Nota: Si está realizando una búsqueda en Yahoo Japan (yahoo. debe añadirse el perfil a la política de seguridad. no es necesaria una licencia de filtrado de URL. para activar la búsqueda segura para los sitios cifrados (HTTPS). versión 7. Yahoo. Para forzar la búsqueda segura.0 • 289 . Además. Valor predeterminado: Deshabilitado Al habilitarla. (configurable solo para BrightCloud) Con PAN-DB.

290 • Guía de referencia de interfaz web. guiones y guiones bajos. • Sitio de referencia: URL de la página web que enlazaba el usuario a otra página web. Para aplicar los perfiles de bloqueo de archivo a las políticas de seguridad. • X-Forwarded-For: Opción del campo de encabezado que conserva la dirección IP del usuario que ha solicitado la página web. el agente-usuario puede ser Internet Explorer o Firefox. Es especialmente útil si tiene un servidor proxy en su red o ha implementado NAT de origen. los tipos de archivos compatibles se enviarán a WildFire. Configuración de perfil de bloqueo de archivo Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). versión 7. Perfiles de bloqueo de archivo Objetos > Perfiles de seguridad > Bloqueo de archivo Una política de seguridad puede incluir la especificación de un perfil de bloqueo de archivos que impida que los tipos de archivos seleccionados se carguen y/o descarguen. Descripción Introduzca una descripción del perfil (hasta 255 caracteres).Perfiles de seguridad Tabla 146. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Logging de la cabecera HTTP La activación del logging de la cabecera HTTP proporciona visibilidad sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor. espacios. uno o varios de los siguientes pares de valores de atributos se graban en el log de filtrado de URL: • Agente-usuario (User-Agent): El navegador web que utilizaba el usuario para acceder a la URL. Utilice únicamente letras. Le permite identificar la dirección IP del usuario. Las siguientes tablas describen la configuración de perfil de bloqueo de archivo: Tabla 147. El valor del sitio de referencia en el log admite hasta 256 caracteres. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Sin embargo. Este nombre aparece en la lista de perfiles de bloqueo de archivos cuando se definen políticas de seguridad. para ver la lista más actualizada.0 Palo Alto Networks . El valor Agente-usuario del log admite hasta 1024 caracteres. consulte “Definición de políticas de seguridad”. o que genere una alerta cuando se detecten. donde serán analizados para buscar comportamientos malintencionados. Si se selecciona la acción Reenviar. dado que en una actualización de contenido se puede añadir una nueva compatibilidad con un tipo de archivo. haga clic en Añadir en el campo Tipos de archivo del cuadro de diálogo Perfil de bloqueo de archivo. algo que enmascara la dirección IP del usuario de tal forma que todas las solicitudes parecen originarse desde la dirección IP del servidor proxy o una dirección IP común. La Tabla 148 enumera los formatos de archivo compatibles en el momento de esta publicación. Cuando están activados. números. El valor de x reenviado para en el log admite hasta 128 caracteres. Esta información se envía en la solicitud de HTTP al servidor. se trata del origen que ha redirigido (referencia) al usuario a la página web que se está solicitando. Por ejemplo.

La casilla de verificación no está seleccionada de manera predeterminada. – Continuar: Aparecerá un mensaje para el usuario indicando que se ha solicitado una descarga y le pide confirmación para continuar. • Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o para los que desee generar alertas. lo que significa que la cancelación está habilitada. • Acción: Seleccione la medida que se adoptará cuando se detecten archivos de los tipos seleccionados: – Alertar: Se añade una entrada al log de amenazas. • Cada grupo de dispositivos en Panorama. especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre para la regla (hasta 31 caracteres). El propósito es advertir al usuario de una posible descarga desconocida (también se conocen como descargas drive-by) y darle al usuario la opción de continuar o detener la descarga. Reglas Defina una o más reglas para especificar la medida que se adoptará (si se especifica alguna) para los tipos de archivos seleccionados. el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los usuarios no verán una página que les pregunte si desean continuar. Si elige cualquier otra aplicación. únicamente puede elegir la aplicación navegación web. Palo Alto Networks Guía de referencia de interfaz web. • Dirección: Seleccione la dirección de la transferencia de archivos (Cargar. Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el reenvío de WildFire). versión 7. Configuración de perfil de bloqueo de archivo (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.Perfiles de seguridad Tabla 147. Si cancela la selección de la casilla de verificación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Descargar o Ambos). – Continuar y reenviar: Aparece una página de continuación y el archivo se envía a WildFire (combina las acciones Continuar y Reenviar). – Reenviar: El archivo se envía automáticamente a WildFire. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Si cancela la selección de la casilla de verificación. – Bloquear: El archivo se bloquea. Para añadir una regla. • Aplicaciones: Seleccione las aplicaciones a las que afectará la regla o seleccione Cualquiera. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Esta acción solo funciona con tráfico basado en web. Esto se debe al hecho de que un usuario debe hacer clic en continuar antes de que el archivo se reenvíe y la opción de página de respuesta de continuación solo está disponible con http/https.0 • 291 .

WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación. no se enviará ninguna entrada de log al cortafuegos. reenvía ni ve el mensaje de correo electrónico. Formatos de archivo compatibles con bloqueo de archivos Campo Descripción apk Archivo de paquete de aplicaciones Android avi Archivo de vídeo basado en el formato Microsoft AVI (RIFF) avi-divx Archivo de vídeo AVI codificado con el códec DivX avi-xvid Archivo de vídeo AVI codificado con el códec XviD bat Archivo por lotes MS DOS bmp-upload Archivo de imagen de mapa de bits (carga únicamente) cab Archivo comprimido de Microsoft Windows cdr Archivo de Corel Draw class Archivo bytecode de Java cmd Archivo de comandos de Microsoft dll Biblioteca de vínculos dinámicos de Microsoft Windows doc Documento de Microsoft Office docx Documento de Microsoft Office 2007 dpx Archivo Digital Picture Exchange dsn Archivo Database Source Name dwf Archivo Design Web Format de Autodesk dwg Archivo Autodesk AutoCAD edif Archivo Electronic Design Interchange Format email-link Al enviar el tipo de archivo email-link. se genera un informe de análisis detallado de WildFire en el log de presentaciones de WildFire y la URL se añade a PAN-DB. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor. Si el enlace es malintencionado. receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos. Si determina que la página es benigna. Después de recibir un enlace de correo electrónico de un cortafuegos. versión 7. almacena.Perfiles de seguridad Tabla 148. no recibe. encrypted-doc Documento cifrado de Microsoft Office encrypted-docx Documento cifrado de Microsoft Office 2007 encrypted-office2007 Archivo cifrado de Microsoft Office 2007 encrypted-pdf Documento cifrado de Adobe PDF encrypted-ppt Documento cifrado de Microsoft PowerPoint encrypted-pptx Documento cifrado de Microsoft PowerPoint 2007 encrypted-rar Archivo cifrado rar encrypted-xls Archivo cifrado de Microsoft Office Excel encrypted-xlsx Archivo cifrado de Microsoft Office Excel 2007 encrypted-zip Archivo cifrado zip exe Ejecutable de Microsoft Windows 292 • Guía de referencia de interfaz web.0 Palo Alto Networks . el cortafuegos extrae los enlaces de HTTP/ HTTPS contenidos en los mensajes de correo electrónico POP3 y SMTP y los envía a la nube de WildFire para su análisis (esta función no está admitida en el dispositivo WF-5000 WildFire).

scr. com. Si quiere que el cortafuegos bloquee/reenvíe archivos de MS Office. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción flash Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. el cortafuegos descodifica e identifica los archivos que se han codificado hasta cuatro veces. cpl. pptx. vídeo y sonido en Internet. xlsx). xls. Codificación multinivel Archivo que se ha codificado cinco o más veces. pst. se recomienda que seleccione el grupo “msoffice” para asegurarse de que se identificarán todos los tipos de archivos de MS Office admitidos en lugar de seleccionar individualmente cada tipo de archivo. texto. puede utilizar este tipo de archivo para bloquear los archivos que el cortafuegos no descodifique debido a que estén codificados cinco o más veces. tlb) pgp Clave de seguridad o firma digital cifrada con software PGP pif Archivo de información de programas de Windows con instrucciones ejecutables pl Archivo de comandos Perl Palo Alto Networks Guía de referencia de interfaz web. docx. versión 7. sin embargo. drv. Varios niveles de codificación de archivo pueden indicar un comportamiento sospechoso. sys. El archivo SWF suministra gráficos de vector. flv Archivo de Adobe Flash Video gds Archivo Graphics Data System gif-upload Archivo de imagen GIF (carga únicamente) gzip Archivos comprimidos con la aplicación gzip hta Archivo de aplicación HTML iso Imagen de disco según la normativa ISO-9660 iwork-keynote Documentos de iWork Keynote de Apple iwork-numbers Documentos de iWork Numbers de Apple iwork-pages Documentos de iWork Pages de Apple jar Archivo Java jpeg-upload Archivo de imagen JPG/JPEG (carga únicamente) lnk Acceso directo a archivo de Microsoft Windows lzh Archivo comprimido con la utilidad/algoritmo lha/lhz mdb Archivo Microsoft Access Database mdi Archivo Microsoft Document Imaging mkv Archivo Matroska Video mov Archivo Apple Quicktime Movie mp3 Archivo de audio MP3 mp4 Archivo de audio MP4 mpeg Archivo de audio y vídeo con la compresión MPEG-1 o MPEG-2 msi Archivo paquete de Microsoft Windows Installer msoffice Archivo de Microsoft Office (doc.Perfiles de seguridad Tabla 148. dll. El archivo SWC es un paquete comprimido de componentes SWF. Los archivos pueden estar comprimidos varias veces con la intención de ocultar el tipo de archivo original y evadir la detección de contenido malintencionado.0 • 293 . ocx Archivo Microsoft ActiveX pdf Archivo Adobe Portable Document PE Microsoft Windows Portable Executable (exe. ppt. De manera predeterminada. pub. este contenido se ve en el reproductor Adobe Flash. rtf. ocx.

añadir el perfil a una política (Políticas > Seguridad) le permite aplicar los ajustes de perfil a cualquier tráfico que coincida con esa política (por ejemplo. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción png-upload Archivo de imagen PNG (carga únicamente) ppt Presentación en Microsoft Office PowerPoint pptx Presentación en Microsoft Office PowerPoint 2007 psd Documento de Adobe Photoshop rar Archivo comprimido creado con winrar reg Archivo de registro de Windows rm Archivo RealNetworks Real Media rtf Archivo de documento de formato de texto enriquecido de Windows sh Archivo de comandos Shell de Unix stp Archivo de gráficos estándar para el intercambio de datos de modelo de productos en 3D tar Archivo comprimido tar de Unix tdb Archivo Tanner Database (www.0 Palo Alto Networks . 294 • Guía de referencia de interfaz web.tannereda.Perfiles de seguridad Tabla 148. Puede especificar que el tráfico se reenvíe a la nube pública o a la nube privada en función del tipo de archivo. versión 7. se descomprime con la utilidad uncompress zip Archivo Winzip/pkzip Perfiles de análisis de WildFire Objetos > Perfiles de seguridad > Análisis de WildFire Utilice un perfil de análisis de WildFire para especificar que se realice un análisis de archivos de WildFire localmente en el dispositivo WildFire o en la nube de WildFire. la aplicación o la dirección de transmisión del archivo (carga o descarga).com) tif Archivo Windows Tagged Image torrent Archivo de BitTorrent wmf Metaarchivo de Windows para guardar imágenes de vectores wmv Archivo de vídeo Windows Media wri Archivo de documento de Windows Write wsf Archivo de comandos de Windows xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel zcompressed Archivo Z comprimido en Unix. Después de crear un perfil de análisis de WildFire. una categoría de URL definida en la política).

Utilice únicamente letras. Si cancela la selección de la casilla de verificación. – Seleccione la nube privada para que todo el tráfico que coincida con la regla se reenvíe al dispositivo de WildFire para su análisis. • Introduzca un Nombre descriptivo para cada regla que añada al perfil (hasta 31 caracteres). Reglas Defina una o más reglas para especificar que el tráfico se reenvíe a la nube pública de WildFire o al dispositivo WildFire (nube privada) para su análisis. • Añada una Aplicación para que el tráfico de cualquier aplicación coincida con la regla y se reenvíe al destino de análisis especificado. Este nombre aparecerá en la lista de perfiles de análisis de WildFire entre los que puede elegir al definir una política de seguridad. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Configuración de perfil de análisis de WildFire Campo Descripción Nombre Introduzca un nombre descriptivo para el perfil de análisis de WildFire (hasta 31 caracteres). Puede aplicar la regla para cargar tráfico. espacios.Perfiles de seguridad Tabla 149. Palo Alto Networks Guía de referencia de interfaz web. • Cada grupo de dispositivos en Panorama. Descripción Opcionalmente. Si cancela la selección de la casilla de verificación. • Aplique la regla al tráfico dependiendo de la Dirección de la transmisión. • Seleccione un Tipo de archivo para su análisis en el destino de análisis definido para la regla. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. descargar tráfico o ambas acciones. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 • 295 . números. Para aplicar los perfiles de filtrado de datos a las políticas de seguridad. Perfiles de filtrado de datos Objetos > Perfiles de seguridad > Filtrado de datos Una política de seguridad puede incluir la especificación de un perfil de filtrado de datos que ayuda a identificar información confidencial como números de tarjetas de crédito o de la seguridad social y que evita que dicha información salga del área protegida por el cortafuegos. guiones y guiones bajos. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. • Seleccione el Destino del tráfico que se reenviará para su análisis: – Seleccione la nube pública para que todo el tráfico que coincida con la regla se reenvíe a la nube pública de WildFire para su análisis. versión 7. puede describir las reglas de perfil o el uso previsto del perfil (hasta 255 caracteres). consulte “Definición de políticas de seguridad”.

Configuración de perfiles de filtrado de datos Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).0 Palo Alto Networks . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Captura de datos Seleccione la casilla de verificación para recopilar automáticamente los datos bloqueados por el filtro. Utilice únicamente letras. • Cada grupo de dispositivos en Panorama. solo los enumerados. Consulte “Definición de la configuración de gestión”. • Haga clic en Añadir para especificar aplicaciones individuales. • Haga clic en Añadir para especificar tipos de archivos individuales. haga clic en Añadir y especifique la siguiente información. guiones y guiones bajos. espacios. versión 7. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). 296 • Guía de referencia de interfaz web. números. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Esta selección no bloquea todos los posibles tipos de archivo. Configuración de patrones de datos Campo Descripción Patrón de datos Seleccione un patrón de datos existente de la lista desplegable Patrón de datos o configure un nuevo patrón seleccionando Patrón de datos de la lista y especificando la información descrita en “Definición de patrones de datos”. Esta selección no bloquea todas las aplicaciones posibles. Aplicaciones Especifique las aplicaciones que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones enumeradas. Tabla 151. La casilla de verificación no está seleccionada de manera predeterminada. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad.Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de filtrado de datos: Tabla 150. lo que significa que la cancelación está habilitada. Si cancela la selección de la casilla de verificación. Especifique una contraseña para Gestionar protección de datos en la página Configuración para ver sus datos capturados. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. solo las enumeradas. Para añadir un patrón de datos. Tipos de archivos Especifique los tipos de archivos que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos enumerados. Si cancela la selección de la casilla de verificación.

consulte “Definición de políticas DoS”. Para aplicar perfiles DoS a políticas DoS. la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). puede aplicar un perfil de protección Inundación SYN con Descarte aleatorio temprano o Cookies SYN. en una zona externa. Para protegerse contra inundaciones SYN en una puerta de enlace compartida. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5.Perfiles de seguridad Tabla 151. descarga o ambas. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un ataque de DoS. la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Configuración de patrones de datos (Continuación) Campo Descripción Dirección Especifique si desea aplicar el filtro en la dirección de la carga.0 • 297 . Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5. versión 7. zonas. Umbral de alerta Especifique el valor que activará la alerta. Perfiles DoS Objetos > Perfiles de seguridad > Protección DoS Los perfiles de protección DoS están diseñados para una selección muy precisa y los perfiles de protección de zona de aumento. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. solo Descarte aleatorio temprano está disponible para la protección contra inundaciones SYN Palo Alto Networks Guía de referencia de interfaz web. Umbral de bloqueo Especifique el valor que activará el bloqueo. direcciones y países según sesiones agregadas o direcciones IP únicas de origen o o destino. debe crear un perfil de protección de zona separado para la puerta de enlace compartida. Estos perfiles se adjuntan a políticas de protección de DoS para permitirle controlar el tráfico entre interfaces. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6.

guiones y guiones bajos. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. números. 298 • Guía de referencia de interfaz web. Por ejemplo.Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección DoS: Tabla 152. Si cancela la selección de la casilla de verificación. IP de destino. o IP de origen y destino). una regla de agregación con un umbral de inundación SYN de 10000 paquetes por segundo (pps) cuenta todos los paquetes que cumplen esa regla DoS concreta. lo que significa que la cancelación está habilitada. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Utilice únicamente letras. La casilla de verificación no está seleccionada de manera predeterminada. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). espacios.0 Palo Alto Networks . versión 7. • Clasificado: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplen el criterio de clasificación (IP de origen. Si cancela la selección de la casilla de verificación. Tipo Especifique uno de los tipos de perfil siguientes: • Agregar: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplan los criterios de la regla en la que se aplica el perfil. • Cada grupo de dispositivos en Panorama. Configuración del perfil de protección DoS Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.

• Tasa máxima: Especifique la tasa a la que los paquetes se descartarán o se bloquearán. de límites simultáneos Especifique el número máximo de sesiones simultáneas. o IP de origen y destino) que cumple la regla DoS en la que se aplica el perfil DoS. Consulte “Definición de grupos de direcciones”. Otros objetos de las políticas Los objetos de las políticas son los elementos que le permiten construir. Pestaña Protección de recursos Sesiones Seleccione la casilla de verificación para habilitar la protección de los recursos. • Activar tasa: Seleccione la tasa (pps) a la que se activará la respuesta DoS (intervalo 0-2000000 pps. • Aplicaciones y grupos de aplicaciones que permiten especificar cómo se tratan las aplicaciones de software en las políticas. Consulte “Etiquetas”. • Etiquetas para ordenar y filtrar objetos. • Duración del bloqueo: Especifique la duración (en segundos) durante la que los paquetes infractores se denegarán. Los siguientes tipos de objetos son compatibles: • Direcciones y grupos de direcciones para determinar el ámbito de la política. • Filtros de aplicación que permiten simplificar búsquedas.Otros objetos de las políticas Tabla 152. Palo Alto Networks Guía de referencia de interfaz web. Configuración del perfil de protección DoS (Continuación) Campo Descripción Pestaña Protección contra inundaciones Pestaña secundaria Inundación SYN Seleccione la casilla de verificación para activar la protección de inundación SYN y especificar los siguientes ajustes: Pestaña secundaria Inundación de UDP • Acción: (Inundación SYN únicamente) Seleccione entre las siguientes opciones: – Descarte aleatorio temprano: Descarta paquetes de forma aleatoria antes de alcanzar el límite DoS. • Servicios y grupos de servicios que limitan los números de puertos. Máx. por defecto. versión 7. Los paquetes que lleguen durante la duración del bloqueo no afectarán al recuento para activar las alertas. 10000 pps). 10000 pps). Si el tipo de perfil DoS es de clasificación. Consulte “Aplicaciones”. este límite se aplica a todo el tráfico entrante que cumple la regla DoS en la que se aplica el perfil DoS. por defecto. de forma que no sea necesario cancelar conexiones en presencia de un ataque de inundación SYN. Consulte “Filtros de aplicación”. Consulte “Servicios”. el umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión establecida previamente. Nota: Si define límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas. programar y buscar políticas.0 • 299 . IP de destino. Si el tipo de perfil DoS es de agregación. Pestaña secundaria Inundación de ICMP – Cookies SYN: Utilice esta opción para generar confirmaciones. este límite se aplica a todo el tráfico clasificado (IP de origen. Otras pestañas secundarias • Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS (intervalo 0-2000000 pps.

versión 7. el objeto de dirección únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Compartido Seleccione esta casilla de verificación si quiere que el objeto de dirección esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Consulte “Reenvío de logs”. el objeto de dirección únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. Le permite reutilizar el mismo objeto como dirección de origen o destino en todas las bases de reglas de políticas sin tener que añadirlas cada vez de forma manual. Consulte “Patrones de datos”. Si cancela la selección de la casilla de verificación. Consulte “Grupos de perfiles de seguridad”. • Reenvío de log para especificar configuraciones de log. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la dirección en grupos de dispositivos descendientes cancelando sus valores heredados. Utilice únicamente letras. intervalo. guiones y guiones bajos.Otros objetos de las políticas • Patrones de datos para definir categorías de información confidencial para políticas de filtrado de datos. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. Consulte “Ajustes de descifrado SSL en un perfil de descifrado”. subred) o FQDN. Para trasladar o duplicar objetos. lo que significa que la cancelación está habilitada. • Cada grupo de dispositivos en Panorama. • Programaciones para especificar cuándo están las políticas activas. espacios. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). Tabla 153.0 Palo Alto Networks . Configuración de nuevas direcciones Campo Descripción Nombre Introduzca un nombre que describe las direcciones que se definirán (de hasta 63 caracteres). 300 • Guía de referencia de interfaz web. Si cancela la selección de la casilla de verificación. Definición de objetos de direcciones Objetos > Direcciones Un objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple. • Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. Consulte “Categorías de URL personalizadas”. Para definir un objeto de dirección. Se configura usando la interfaz web o la CLI y se requiere una operación de compilación para hacer que el objeto forme parte de la configuración. consulte “Traslado o duplicación de una política o un objeto”. haga clic en Añadir y cumplimente los siguientes campos. números. • Categorías URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo en perfiles de filtrado URL.

80. FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy DNS.Otros objetos de las políticas Tabla 153.150/32” indica una dirección y “192. las entradas se actualizan cuando el cortafuegos realiza una comprobación cada 30 minutos. e introduzca un intervalo de direcciones.0 hasta 192.80. Ejemplo: “192.2001:db8:123:1::22” Tipo (continuación) FQDN: Para especificar una dirección mediante FQDN. consulte “Etiquetas”.168. Por tanto. Si desea más información sobre etiquetas. todos los cambios en la dirección IP de las entradas se recogen en el ciclo de actualización. Para obtener información acerca del proxy DNS. Un grupo de direcciones puede ser estático o dinámico.168. El formato es: dirección_ip–dirección_ip donde cada dirección puede ser IPv4 o IPv6. Máscara de red IP: Introduzca la dirección IPv4 o IPv6 o la el intervalo de la dirección IP con la siguiente notación: dirección_ip/máscara o dirección_ip donde la máscara es el número de dígitos binarios significativos utilizados para la porción de red de la dirección. • Grupos de direcciones dinámicas: Un grupo de direcciones dinámicas cumplimenta sus miembros dinámicamente usando búsquedas de etiquetas y filtros basados en etiquetas. Ejemplo: “2001:db8:123:1::1” o “2001:db8:123:1::/64” Intervalo de IP: Para especificar un intervalo de direcciones. si se configura un proxy. versión 7. Ejemplo: “2001:db8:123:1::1 . consulte “Configuración de proxy DNS”.168.0/24” indica todas las direcciones desde 192. seleccione Intervalo de IP. las direcciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de direcciones.0 • 301 . Puede definir una etiqueta aquí o usar la pestaña Objetos > Etiquetas para crear etiquetas nuevas. Etiquetas Seleccione o introduzca etiquetas que desee aplicar a este objeto de dirección.168.80. si tiene una Palo Alto Networks Guía de referencia de interfaz web. Configuración de nuevas direcciones (Continuación) Campo Descripción Tipo Especifique una dirección o intervalo de direcciones IPv4 o IPv6 o FQDN. Definición de grupos de direcciones Objetos > Grupos de direcciones Para simplificar la creación de políticas de seguridad. FQDN se resuelve inicialmente en el momento de la compilación.80. seleccione FQDN e introduzca el nombre de dominio. Por ejemplo. Los grupos de direcciones dinámicas son muy útiles si tiene una infraestructura virtual amplia con cambios frecuentes en la ubicación de la máquina virtual o la dirección IP.255.

cada grupo dinámico evalúa las etiquetas y actualiza la lista de miembros de su grupo. en los que se especifica una dirección de red en un host. Los grupos de direcciones dinámicas también pueden incluir objetos de direcciones definidas estáticamente. Para crear un grupo de direcciones. haga clic en Añadir y cumplimente los siguientes campos. Esto se puede hacer usando secuencias de comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware configurando en la pestaña Dispositivo > Orígenes de información de VM en el cortafuegos. los miembros de un grupo de direcciones dinámicas se cumplimentan definiendo un criterio de coincidencia. A diferencia de los grupos de direcciones estáticas. Si crea un objeto de dirección y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinámicas. Para usar un grupo de direcciones dinámicas en la política.Otros objetos de las políticas configuración de conmutación por error o incluye nuevas máquinas virtuales con frecuencia y le gustaría aplicar una política al tráfico que va o que procede de la nueva máquina sin modificar la configuración o las reglas del cortafuegos. en lugar de usar secuencias de comandos para activar la API XML. 302 • Guía de referencia de interfaz web. Cuando se registra una dirección IP y la etiqueta correspondiente (una o más). puede usar etiquetas para agrupar objetos tanto dinámicos como estáticos en el mismo grupo de direcciones. Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama. • Grupos de direcciones estáticas: Un grupo de direcciones estáticas puede incluir objetos de dirección que sean estáticas. debe usar secuencias de comandos que activen la API XML en el cortafuegos.0 Palo Alto Networks . Si dispone de un entorno virtual con VMware. – Defina un grupo de direcciones dinámicas y haga referencia al mismo en la regla de política. – Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan formarse los grupos de direcciones dinámicas. debe realizar las siguientes tareas. este incluirá todos los objetos estáticos y dinámicos que coincidan con las etiquetas. versión 7. cada host que quiera añadir al grupo de direcciones dinámicas debe incluir la etiqueta o atributo definido en el criterio de coincidencia. grupos de direcciones dinámicas o puede ser una combinación de objetos de dirección y grupos de direcciones dinámicas. Por lo tanto. Para registrar una nueva dirección IP y etiquetas o cambios en las direcciones IP o etiquetas actuales. El criterio de coincidencia usa operadores lógicos y u o. así como definirse dinámicamente usando la API XML y registrarse en el cortafuegos. puede usar la función Orígenes de información de VM (pestaña Dispositivo > Orígenes de información de VM ) para configurar el cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar información (dirección de red y etiquetas correspondientes) de nuevos servidores/invitados implementados en estas máquinas virtuales.

La casilla de verificación no está seleccionada de manera predeterminada. Haga clic en Añadir para añadir un objeto o un grupo de direcciones al grupo de direcciones. guiones y guiones bajos. debe haber configurado el cortafuegos para acceder y recuperar los atributos desde el origen/host.0 • 303 . versión 7. Nota: Para ver la lista de atributos del criterio de coincidencia. que puede realizar un sondeo de la máquina para recuperar cambios en direcciones IP o en la configuración sin modificaciones en el cortafuegos. Compartido Seleccione esta casilla de verificación si quiere que el grupo de direcciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación. Para usar un grupo de direcciones dinámicas. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de direcciones en grupos de dispositivos descendientes cancelando sus valores heredados. Guía de referencia de interfaz web. Si cancela la selección de la casilla de verificación.Otros objetos de las políticas Tabla 154. Si desea más información sobre etiquetas. use el criterio de coincidencia para incluir los miembros en el grupo. el grupo de direcciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. el grupo de direcciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. Cada máquina virtual en el origen de información configurado se registra en el cortafuegos. espacios. haga clic en Añadir y seleccione una o más direcciones. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tipo Seleccione Estático o Dinámico. lo que significa que la cancelación está habilitada. El grupo puede contener objetos de direcciones y grupos de direcciones tanto estáticas como dinámicas. Utilice únicamente letras. Para un grupo de direcciones estáticas. • Cada grupo de dispositivos en Panorama. consulte “Etiquetas”. Etiquetas Palo Alto Networks Seleccione o introduzca etiquetas que desee aplicar a este grupo de direcciones. números. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). Defina el criterio Coincidencia usando los operadores Y u O. Grupo de direcciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de direcciones (de hasta 63 caracteres).

Utilice únicamente letras. un intervalo de direcciones IP o una subred para identificar la región. políticas de descifrado y políticas DoS.x. para definir las regiones personalizadas que se incluirán como opciones para reglas de política de seguridad.x/n 304 • Guía de referencia de interfaz web. Esta información se utiliza en los mapas de tráfico y amenazas de Appscope.xxxxxx). Ubicación geográfica Para especificar la latitud y la longitud. Configuración de nuevas regiones Campo Descripción Nombre Introduzca un nombre que describe la región (de hasta 31 caracteres). números. guiones y guiones bajos. Consulte “Uso de Appscope”. La región está disponible como una opción si especifica el origen y el destino de las políticas de seguridad.Otros objetos de las políticas Definición de regiones Objetos > Regiones El cortafuegos permite la creación de reglas de políticas aplicables a países concretos y otras regiones. Puede elegir entre una lista estándar de países o usar los ajustes de región que se describen en esta región. utilizando cualquiera de los siguientes formatos: x. seleccione la casilla de verificación y los valores (formato xxx. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.a.x.0 Palo Alto Networks .x-a. espacios. Las siguientes tablas describen la configuración regional: Tabla 155.x. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad.a x. versión 7.x.x x.x.a. Direcciones Especifique una dirección IP.x.

El área superior de navegación de la aplicación de la página muestra los atributos que puede utilizar para filtrar la vista de la manera siguiente. versión 7. si es proclive a un uso incorrecto o a intentos de evasión de cortafuegos. El número a la izquierda de cada entrada representa el número total de aplicaciones con ese atributo. como el riesgo de seguridad relativo de la aplicación (1 a 5). Palo Alto Networks Guía de referencia de interfaz web. “Descripción general de aplicaciones” Añadir una nueva aplicación o modificar una existente. Los valores mayores indican un mayor riesgo.0 • 305 . “Definición de aplicaciones” Descripción general de aplicaciones La página Aplicaciones muestra los diferentes atributos de cada definición de aplicación. El valor del riesgo se basa en criterios como si la aplicación puede compartir archivos. Las publicaciones semanales de contenido incluyen periódicamente nuevos descodificadores y contextos para los que puede desarrollar firmas.Otros objetos de las políticas Aplicaciones Objetos > Aplicaciones ¿Qué está buscando? Consulte Comprender los ajustes y atributos de aplicaciones que aparecen en la página Aplicaciones.

los filtros Característica. • Puede Deshabilitar una aplicación (o varias aplicaciones) para que la firma de aplicación no coincida con el tráfico. Por ejemplo. introduzca el nombre o descripción de la aplicación en el campo Búsqueda y pulse Intro. Se mostrará la aplicación y las columnas de filtrado se actualizarán con las estadísticas de las aplicaciones que coinciden con la búsqueda. si aplica un filtro Categoría. seleccione una entrada en otra de las columnas. finalmente. puede escribir reglas que se aplicarán a todas las aplicaciones que coincidan con un filtro guardado. podría decidir deshabilitar la aplicación para que el tráfico que coincida con la firma de aplicación siga estando clasificado como tráfico de exploración web y esté permitido. • Para importar una aplicación. Una búsqueda incluye cadenas parciales. Cada vez que aplique un filtro. • Para buscar una aplicación concreta. haga clic en Importar. En este caso. a continuación los filtros Subcategoría. Tecnología y Riesgo y. Cuando defina políticas de seguridad. Puede decidir deshabilitar una aplicación que esté incluida con una nueva versión de publicación de contenido porque la implementación de la política de la aplicación podría cambiar cuando la aplicación esté identificada de manera exclusiva. Visualice todos los filtros guardados en Objetos > Filtros de aplicación. 306 • Guía de referencia de interfaz web. • Seleccione una aplicación deshabilitada y seleccione Habilitar la aplicación para que pueda implementarse de acuerdo con sus políticas de seguridad configuradas. versión 7. la aplicación identificada de manera exclusiva ya no coincide con la regla de seguridad que permite el tráfico de exploración web. permitir o forzar una aplicación coincidente no se aplican al tráfico de la aplicación cuando la aplicación está deshabilitada. la columna Tecnología se restringe automáticamente a las tecnologías coherentes con la categoría y la subcategoría seleccionadas. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. haga clic en colaboración y la lista solamente mostrará las aplicaciones de esta categoría.0 Palo Alto Networks . Subcategoría y Riesgo. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. para restringir la lista a la categoría de colaboración. Las reglas de seguridad definidas para bloquear. Por ejemplo. haga clic en un elemento que desee utilizar como base para el filtrado. una aplicación identificada como tráfico de exploración web está permitida por el cortafuegos antes de una nueva instalación de versión de contenido. la lista de aplicaciones de la parte inferior de la página se actualizará automáticamente. Estas reglas se actualizan dinámicamente cuando se añade una nueva aplicación mediante una actualización de contenido que coincida con el filtro. • Para filtrar por más columnas. Por ejemplo. después de instalar la actualización de contenido.Otros objetos de las políticas Puede realizar cualquiera de las siguientes funciones en esta página: • Para aplicar filtros de aplicación. aunque no se haya aplicado un filtro Tecnología de manera explícita.

• Para ver detalles adicionales sobre la aplicación o personalizar el riesgo y los valores de tiempo de espera. esto indica cómo se identificaba anteriormente la aplicación. Descripción Descripción de la aplicación (hasta 255 caracteres). Las siguientes tablas describen la configuración de la aplicación: Tabla 156. Palo Alto Networks Guía de referencia de interfaz web.0 • 307 . De igual modo. Identificado anteriormente como Para nuevos App-ID. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que no se instala la versión de publicación de contenido correspondiente. Google o Yahoo!) que contienen más información sobre la aplicación. También puede acceder al cuadro de diálogo Revisión de políticas al descargar e instalar versiones de publicación de contenido en la página Dispositivo > Actualizaciones dinámicas. versión 7. o App-ID que han cambiado. Observe que los ajustes disponibles varían de una aplicación a otra. Puede cancelar esta acción predeterminada en la política de seguridad. como se describe en la siguiente tabla. Esto le ayuda a evaluar si se requieren cambios de política en función de los cambios en la aplicación.Otros objetos de las políticas • Para exportar una aplicación. La acción de denegación predeterminada puede especificar un descarte silencioso o un restablecimiento de TCP. Un lápiz amarillo sobre el icono que aparece a la izquierda del nombre de la aplicación significa que la aplicación se ha personalizado. El cuadro de diálogo Revisión de políticas le permite añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) desde o hacia una política de seguridad existente. Utilice el cuadro de diálogo Políticas de revisión para revisar el impacto de la política en las nuevas aplicaciones incluidas en una versión de publicación de contenido descargada. Al crear una regla de política para permitir la aplicación seleccionada. Usa implícitamente Otras aplicaciones de las que depende la aplicación seleccionada pero que no necesita añadir a sus reglas de política de seguridad para permitir la aplicación seleccionada porque dichas aplicaciones son compatibles de manera implícita. Información adicional Enlaces a sitios web (Wikipedia. también debe asegurarse de permitir otras aplicaciones de las que dependa la aplicación. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. los App-ID deshabilitados aparecerán en los logs como la aplicación como se identificaban anteriormente. • Seleccione Políticas de revisión para evaluar la implementación basada en políticas para aplicaciones antes y después de instalar una versión de publicación de contenido. Siga las instrucciones para guardar el archivo. Denegar acción Los App-ID se desarrollan con una acción de denegación predeterminada que determina cómo responde el cortafuegos cuando la aplicación se incluye en una regla de seguridad con una acción de denegación. haga clic en el nombre de la aplicación. las sesiones asociadas a esa aplicación coincidirán con la política como la anteriormente identificada como aplicación. Detalles de la aplicación Elemento Descripción Nombre Nombre de la aplicación. Depende de Lista de otras aplicaciones necesarias para el funcionamiento de esta aplicación. Característica Evasiva Utiliza un puerto o protocolo para cualquier cosa menos su propósito inicial con la intención de atravesar un cortafuegos. Si un App-ID está deshabilitado. Puertos estándar Puertos que utiliza la aplicación para comunicarse con la red. Ancho de banda excesivo Consume al menos 1 Mbps con regularidad en uso normal.

000 de usuarios. Detalles de la aplicación (Continuación) Elemento Descripción Proclive al uso indebido Habitualmente utilizada para fines nefarios o fácilmente establecida para llegar más allá de las intenciones del usuario. redes sociales. Continuar buscando otras aplicaciones Indica al cortafuegos que debe seguir intentando buscar coincidencias con otras firmas de aplicaciones. Tecnología basado en explorador Una aplicación que se basa en un explorador web para funcionar. el cortafuegos dejará de buscar coincidencias de aplicaciones adicionales después de la primera firma coincidente. Twitter o Facebook). gestión. intercambio de archivos. En el cortafuegos. Las diferentes categorías tienen diferentes subcategorías asociadas a ellas. 308 • Guía de referencia de interfaz web. empresa general. SaaS Recuerde que en el contexto de cómo se caracteriza una aplicación. empresas sociales. servidor cliente Una aplicación que utiliza un modelo de servidor cliente donde uno o más clientes se comunican con un servidor en la red. mensajería instantánea. versión 7.0 Palo Alto Networks . actualización de software y copia de seguridad de almacenamiento. Categoría La categoría de la aplicación será una de las siguientes: • sistemas empresariales • colaboración • internet general • multimedia • redes • desconocido Subcategoría Subcategoría en la que se clasifica la aplicación. base de datos. las subcategorías de la categoría sistemas empresariales incluyen servicio de autenticación. Tuneliza otras aplicaciones Puede incluir otras aplicaciones en su protocolo. Los servicios web son aplicaciones alojadas en las que el usuario no posee los datos (por ejemplo. el software como servicio (SaaS) se caracteriza como un servicio en el que el software y la infraestructura son propiedad y están gestionados por el proveedor de servicios de aplicaciones pero en el que conserva el control completo sobre los datos. Si no selecciona esta opción.Otros objetos de las políticas Tabla 156. erp-crm. Pandora) o donde el servicio está compuesto principalmente de datos compartidos proporcionados por numerosos suscriptores con fines sociales (por ejemplo.000. Por ejemplo. Vulnerabilidades Ha informado públicamente de vulnerabilidades. No obstante. voip y vídeo y publicación web. así como acceder a ellos. incluido quién puede crear. Utilizada por software malintencionado El software malintencionado es conocido por utilizar la aplicación con fines de propagación. compartir y transferir los datos. programas de oficina. Archivos de transacción Tiene la capacidad de transferir un archivo de un sistema a otro a través de una red. videoconferencia por Internet. las aplicaciones SaaS difieren de los servicios web. ataque o robo de datos o se distribuye con software malintencionado. las subcategorías de la categoría colaboración incluyen correo electrónico. LinkedIn. Ampliamente utilizado Probablemente cuente con más de 1.

Este tiempo de espera es para protocolos diferentes a TCP o UDP. Riesgo Riesgo asignado de la aplicación. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. Un valor de 0 indica que se utilizará el temporizador de sesión global. Tiempo de espera. necesario para agotar el tiempo de espera por inactividad (el intervalo es de 1-604800 segundos). Si este valor se configura en el nivel de aplicación. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. cancela el ajuste global TCP semicerrado. Cuando el temporizador caduca. en segundos. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. Tiempo máximo. punto a punto Una aplicación que se comunica directamente con otros clientes para transferir información en vez de basarse en un servidor central para facilitar la comunicación. en segundos. que una sesión permanece en la tabla de la sesión entre la recepción del primer paquete FIN y la recepción del segundo paquete FIN o RST.0 • 309 . Para personalizar este ajuste. Detalles de la aplicación (Continuación) Elemento Descripción protocolo de red Una aplicación que se utiliza generalmente para la comunicación entre sistemas y que facilita la operación de red. la sesión se cierra (el intervalo es de 1-604800). versión 7. se utiliza el ajuste global. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. que es 3600 segundos para TCP. en segundos. Para personalizar este ajuste. Tiempo de espera de TCP (segundos) Tiempo de espera de UDP (segundos): TCP semicerrado (segundos) Para personalizar este ajuste. Tiempo de espera. En el caso de TCP y UDP. Eso incluye la mayoría de los protocolos de IP. consulte las siguientes filas de esta tabla. Palo Alto Networks Guía de referencia de interfaz web. haga clic en el enlace Personalizar e introduzca un valor (1-5). en segundos. para finalizar un flujo de aplicación TCP (el intervalo es de 1-604800). Opciones Tiempo de espera de sesión Período de tiempo. Para personalizar este ajuste.Otros objetos de las políticas Tabla 156. y haga clic en ACEPTAR. para finalizar un flujo de aplicación UDP (el intervalo es de 1-604800 segundos).

Si el cortafuegos no puede identificar una aplicación utilizando el App-ID. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creación de políticas de seguridad. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación.0 Palo Alto Networks . Para obtener más información. Si un App-ID está deshabilitado. Este comportamiento se aplica a todas las aplicaciones desconocidas. Detalles de la aplicación (Continuación) Elemento Tiempo de espera TCP (segundos) Descripción Tiempo máximo. tendrá la capacidad de deshabilitarlos mientras revisa el impacto de la política de la nueva aplicación. en segundos. En el caso de aplicaciones añadidas tras la versión de publicación de contenido 490. se utiliza el ajuste global. También tiene la capacidad de Deshabilitar una aplicación que haya habilitado anteriormente. Puede crear nuevas definiciones para aplicaciones desconocidas y a continuación. Cuando el temporizador caduca. versión 7. la sesión se cierra (el intervalo es de 1-600). Tras revisar la política. Si este valor se configura en el nivel de aplicación. puede deshabilitar varios App-ID por separado en cada sistema virtual. excepto aquellas que emulan HTTP completamente. En un cortafuegos de vsys múltiples. consulte “Trabajo con informes de Botnet”. que una sesión permanece en la tabla de la sesión después de la recepción del segundo paquete FIN o un paquete RST. definir políticas de seguridad para las nuevas definiciones de la aplicación. el tráfico se clasifica como desconocido: TCP desconocido o UDP desconocido. App-ID habilitado Indica si App-ID está habilitado o deshabilitado. 310 • Guía de referencia de interfaz web. cancela el ajuste global Tiempo de espera TCP. el tráfico de esa aplicación se tratará como el App-ID Identificado anteriormente como tanto en la política de seguridad como en los logs.Otros objetos de las políticas Tabla 156. puede decidir Habilitar el App-ID. Además.

Utilice únicamente letras. Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. guiones y guiones bajos. Si cancela la selección de la casilla de verificación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la aplicación en grupos de dispositivos descendientes cancelando sus valores heredados. Si cancela la selección de la casilla de verificación. Este ajuste se aplica cuando en una sesión coinciden las aplicaciones principal y personalizadas. La casilla de verificación no está seleccionada de manera predeterminada. puntos. Compartido Seleccione esta casilla de verificación si quiere que la aplicación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Tecnología Seleccione la tecnología de la aplicación. consulte “Característica”.0 • 311 . Tabla 157. espacios. sin embargo. Subcategoría Seleccione la subcategoría de la aplicación. versión 7. se registra la aplicación personalizada porque es más específica. la aplicación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. El primer carácter debe ser una letra. Palo Alto Networks Guía de referencia de interfaz web. Descripción Introduzca una descripción de la aplicación como referencia general (hasta 255 caracteres). Para ver una descripción de cada característica. la aplicación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Esta subcategoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). Esta categoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). Categoría Seleccione la categoría de la aplicación.Otros objetos de las políticas Definición de aplicaciones Objetos > Aplicaciones Utilice la página Aplicaciones para añadir una nueva aplicación a la evaluación del cortafuegos cuando aplique políticas. lo que significa que la cancelación está habilitada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. como correo electrónico o base de datos. • Cada grupo de dispositivos en Panorama. Configuración de nuevas aplicaciones Campo Descripción Pestaña Configuración Nombre Introduzca el nombre de la aplicación (de hasta 31 caracteres). Características Seleccione las características de la aplicación que pueden poner en riesgo la aplicación. números. Aplicación primaria Especifique una aplicación principal para esta aplicación. Riesgo Seleccione el nivel de riesgo asociado con esta aplicación (1= el más bajo a 5= el más alto). como correo electrónico o base de datos.

Ejemplos: TCP/dinámica o UDP/32. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. seleccione Puerto e introduzca una o más combinaciones del protocolo y número de puerto (una entrada por línea). Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Pestaña Avanzada Puerto Si el protocolo que utiliza la aplicación es TCP y/o UDP. seleccionando Protocolo IP e introduciendo el número del protocolo (1 a 255). se utiliza el ajuste global. Tiempo de espera de TCP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación TCP (intervalo 0-604800 segundos). se utiliza el ajuste global. El rango es 1h604800 segundos. Protocolo IP Especifique un protocolo IP diferente a TCP o UDP. Si este valor se configura en el nivel de aplicación. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Este valor se utiliza para protocolos diferentes de TCP y UDP en todos los casos y para tiempos de espera TCP y UDP cuando no se especifican los tiempos de espera TCP y UDP. El formato general es: <protocolo>/<puerto> donde <puerto> es un número de puerto único. Cuando el temporizador caduca. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación.0 Palo Alto Networks . Tiempo de espera Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación (intervalo 0-604800 segundos). Tiempo de espera de UDP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación UDP (intervalo 0-604800 segundos). la sesión se cierra. cancela el ajuste global TCP semicerrado. versión 7.Otros objetos de las políticas Tabla 157. cancela el ajuste global Tiempo de espera TCP. Cuando el temporizador caduca. Tiempo de espera TCP Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión después de la recepción del segundo FIN o RST. seleccionando Ninguno. o dinámica para una asignación dinámica de puertos. seleccionando Tipo de ICMP6 e introduciendo el número (intervalo 0-255). TCP semicerrado Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión entre la recepción del primer FIN y la recepción del segundo FIN o RST. la sesión se cierra. Tipo de ICMP6 Especifique un tipo de protocolo de mensajes de control de Internet versión 6 (ICMPv6). Si este valor se configura en el nivel de aplicación. El rango es 1-600 segundos. Ninguno Especifique firmas independientes de protocolo. 312 • Guía de referencia de interfaz web. seleccionando Tipo de ICMP e introduciendo el número (intervalo 0-255). Tipo de ICMP Especifique un tipo de protocolo de mensajes de control de Internet versión 4 (ICMP). Este ajuste se aplica si utiliza app-default en la columna Service de una regla de seguridad.

• Comentarios: Introduzca una descripción opcional.Otros objetos de las políticas Tabla 157. en función de los perfiles de seguridad (tipos de archivos. – Valor: Especifique un valor hexadecimal de 4 bytes. patrones de datos y virus). Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. Si selecciona el operador Coincidencia de patrones. Para exportar la aplicación. – Patrón: Especifique una expresión regular. Para añadir una condición en un grupo. • Para mover una condición en un grupo. No puede mover condiciones de un grupo a otro. • Ámbito: Seleccione si desea aplicar esta firma a la transacción actual únicamente o a la sesión completa del usuario. haga clic en Importar. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Analizando Seleccione las casillas de verificación de los tipos de análisis que desee permitir. • Seleccione un operador entre Coincidencia de patrones e Igual que. por ejemplo. por ejemplo. versión 7. Para mover un grupo. • Si selecciona el operador Igual que. especifique las siguientes opciones: – Contexto: Seleccione uno de los contextos disponibles. seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo.0 • 313 . seleccione el grupo y haga clic en Añadir condición. Pestaña Firma Firmas Haga clic en Añadir para agregar una firma nueva y especificar la siguiente información: • Nombre de firma: Introduzca un nombre para identificar la firma. – Posición: Seleccione los primeros cuatro bytes o los segundos cuatro en la carga. • Importa el orden de las condiciones: Seleccione si el orden en que se definen las condiciones de la firma es importante. 0xffffff00. Especifique las condiciones para definir las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR. 0xaabbccdd. Siga las instrucciones para guardar el archivo. – Calificador y Valor: Puede añadir pares de calificador/valor. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. Para importar una aplicación. especifique las siguientes opciones: – Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o UDP. seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Consulte Tabla 163 para ver reglas de patrones de expresiones regulares. – Máscara: Especifique un valor hexadecimal de 4 bytes. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. Palo Alto Networks Guía de referencia de interfaz web.

haga clic en un elemento que desee utilizar como base para el filtrado. espacios. Filtros de aplicación Objetos > Filtros de aplicaciones Puede definir filtros de aplicaciones para simplificar las búsquedas repetidas. La casilla de verificación no está seleccionada de manera predeterminada. números. el grupo de aplicaciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.Otros objetos de las políticas Definición de grupos de aplicaciones Objetos > Grupos de aplicaciones Para simplificar la creación de políticas de seguridad. versión 7. haga clic en networking. Por ejemplo. Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. • Cada grupo de dispositivos en Panorama. 314 • Guía de referencia de interfaz web. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. lo que significa que la cancelación está habilitada. filtros de aplicaciones y/o grupos de aplicaciones diferentes que se incluirán en este grupo. Aplicaciones Haga clic en Añadir y seleccione las aplicaciones. para restringir la lista a la categoría de redes. Utilice únicamente letras. En el área superior de la ventana. (Para definir una nueva aplicación. guiones y guiones bajos. consulte “Definición de aplicaciones”.) Tabla 158. Nuevo grupo de aplicaciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de aplicaciones (de hasta 31 caracteres). Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. Compartido Seleccione esta casilla de verificación si quiere que el grupo de aplicaciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Para definir filtros de aplicaciones para simplificar las búsquedas repetidas. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de aplicaciones en grupos de dispositivos descendientes cancelando sus valores heredados.0 Palo Alto Networks . haga clic en Añadir e introduzca el nombre del filtro. el grupo de aplicaciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos.

El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. versión 7. la columna Tecnología se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategoría seleccionadas. El servicio predeterminado es Cualquiera. Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la creación de políticas de seguridad (consulte “Grupos de servicios”).0 • 315 . Subcategoría y Riesgo. la lista de aplicaciones de la parte inferior se actualiza automáticamente. Tecnología y Riesgo y. Al aplicar los dos primeros filtros. seleccione una entrada las columnas para mostrar las casillas de verificación. los filtros Característica. Palo Alto Networks Guía de referencia de interfaz web. finalmente. Los servicios HTTP y HTTPS son los predefinidos. pero puede agregar más definiciones de servicios. la siguiente ilustración muestra el resultado de seleccionar un filtro Categoría. a continuación los filtros Subcategoría. quepermite todos los puertos TCP y UDP. A medida que selecciona las opciones. Por ejemplo. puede seleccionar uno o más servicios para limitar el número de puertos que las aplicaciones pueden utilizar. tal y como se muestra en la ilustración.Otros objetos de las políticas Para filtrar por más columnas. Servicios Objetos > Servicios Cuando define políticas de seguridad de aplicaciones específicas. aunque no se haya aplicado explícitamente un filtro de tecnología.

Otros objetos de las políticas La siguiente tabla describe la configuración del servicio: Tabla 159. El puerto de destino es obligatorio. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. Compartido Seleccione esta casilla de verificación si quiere que el objeto de servicio esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación. • Cada grupo de dispositivos en Panorama. números. Si especifica varios puertos o intervalos. guiones y guiones bajos. Configuración de servicios Campo Descripción Nombre Introduzca el nombre del servicio (de hasta 63 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. puede combinar los servicios con los mismos ajustes de seguridad en grupos de servicios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. El puerto de origen es opcional. Si especifica varios puertos o intervalos. guiones y guiones bajos. Descripción Introduzca una descripción del servicio (hasta 255 caracteres). Configuración de grupos de servicios Campo Descripción Nombre Introduzca el nombre del grupo de servicios (de hasta 63 caracteres). el objeto de servicio únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. deben estar separados por comas. lo que significa que la cancelación está habilitada.0 Palo Alto Networks . La casilla de verificación no está seleccionada de manera predeterminada. Protocolo Seleccione el protocolo que utiliza el servicio (TCP o UDP). Si cancela la selección de la casilla de verificación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del objeto de servicio en grupos de dispositivos descendientes cancelando sus valores heredados. números. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. 316 • Guía de referencia de interfaz web. el objeto de servicio únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Utilice únicamente letras. versión 7. consulte “Servicios”. Utilice únicamente letras. Grupos de servicios Objetos > Grupos de servicios Para simplificar la creación de políticas de seguridad. Puerto de origen Introduzca el número de puerto de origen (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. Puerto de destino Introduzca el número de puerto de destino (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. deben estar separados por comas. espacios. Para definir nuevos servicios. espacios. La siguiente tabla describe la configuración del grupo de servicios: Tabla 160.

Servicio Haga clic en Añadir para agregar servicios al grupo. lo que significa que la cancelación está habilitada. versión 7.0 • 317 . Al aplicar un color a una etiqueta. La casilla de verificación no está seleccionada de manera predeterminada. ¿Qué desea saber? Consulte ¿Cómo puedo crear etiquetas? “Crear etiquetas” ¿Qué es el explorador de etiquetas? “Uso del explorador de etiquetas” ¿Cómo puedo buscar reglas que estén etiquetadas? “Gestión de etiquetas” ¿Cómo puedo agrupar reglas utilizando etiquetas? ¿Cómo puedo ver etiquetas utilizadas en una política? ¿Cómo puedo aplicar etiquetas a una política? ¿Desea obtener más información? Palo Alto Networks Consulte Policy (en inglés). en el enlace en la parte inferior de la lista desplegable y especifique la configuración. • Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación. grupos de direcciones (estáticas y dinámicas). Las etiquetas pueden aplicarse a objetos de dirección. Realice su selección en la lista desplegable o haga clic en Servicio. Etiquetas Objetos > Etiquetas Las etiquetas le permiten agrupar objetos usando palabras clave o frases. Si cancela la selección de la casilla de verificación. Configuración de grupos de servicios (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el grupo de servicios esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.Otros objetos de las políticas Tabla 160. Consulte “Servicios” para obtener una descripción de la configuración. zonas. la pestaña Política muestra el objeto con un color de fondo. Guía de referencia de interfaz web. grupos de servicios y reglas de políticas. el grupo de servicios únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. el grupo de servicios únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Puede utilizar una etiqueta para ordenar o filtrar objetos y para distinguir objetos visualmente debido a que pueden tener color. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de servicios en grupos de dispositivos descendientes cancelando sus valores heredados. servicios.

• Elimine una etiqueta: Para eliminar una etiqueta. • Cada grupo de dispositivos en Panorama. versión 7. renombrar o asignar un color a una etiqueta. Si cancela la selección de la casilla de verificación. lo que significa que la cancelación está habilitada. Configuración de etiqueta Campo Descripción Nombre Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres). Color Seleccione un color de la paleta de colores de la lista desplegable. a continuación. Cuando crea una nueva etiqueta. La etiqueta se crea automáticamente en el grupo de dispositivos o sistema virtual seleccionado actualmente.Otros objetos de las políticas Crear etiquetas Objetos > Etiquetas Utilice esta pestaña para crear una etiqueta. Si cancela la selección de la casilla de verificación. • Edite una etiqueta: Para editar. muestra el color de la primera etiqueta aplicada. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la etiqueta en grupos de dispositivos descendientes cancelando sus valores heredados. o etiquetas que se definen utilizando la API XML. La casilla de verificación no está seleccionada de manera predeterminada. También puede crear una nueva etiqueta cuando cree o edite una política en la pestaña Políticas. la etiqueta únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. la etiqueta se crea automáticamente en el sistema virtual o grupo de dispositivos seleccionado actualmente en el cortafuegos o Panorama. Cada objeto puede tener hasta 64 etiquetas. asignar un color y eliminar. Compartido Seleccione esta casilla de verificación si quiere que la etiqueta esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. En el cortafuegos. haga clic en el nombre de etiqueta que aparezca como enlace y modifique los ajustes. renombrar y duplicar etiquetas. Comentarios Añada una etiqueta o descripción para recordar la función de la etiqueta. en Panorama. cumplimente los siguientes campos: Tabla 161. cuando un objeto tiene varias etiquetas. haga clic en Añadir y. muestra las etiquetas que define en Panorama.0 Palo Alto Networks . haga clic en Eliminar y seleccione la etiqueta en la ventana. • Añada una etiqueta: Para añadir una nueva pestaña. El nombre no distingue entre mayúsculas y minúsculas. 318 • Guía de referencia de interfaz web. la etiqueta únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Esta pestaña no muestra las etiquetas que se recuperan dinámicamente de las fuentes de información de VM definidas en el cortafuegos para formar grupos de direcciones dinámicas. la pestaña Objetos > Etiquetas muestra las etiquetas que define localmente en el cortafuegos o envía desde Panorama al cortafuegos. El valor predeterminado es Ninguno.

Cuando se muestran por orden de aparición. • Cancele o revierta una etiqueta (solamente en Panorama): La opción Cancelar está disponible si no seleccionó la opción Deshabilitar anulación al crear la etiqueta. De manera predeterminada. puede acotar el resultado y examinar las reglas basándose en su función. Pase el ratón por encima de la etiqueta para ver la ubicación en la que se definió la regla. acceso web. haga clic en Revertir. acceso al centro de datos. Regla Enumera el número de regla o intervalo de números asociados a las etiquetas.º) Muestra la etiqueta y el número de regla o intervalo de números en los que la etiqueta se utiliza de manera contigua. Puede ordenar. El campo Ubicación muestra el grupo de dispositivos actual. Esta vista es de especial utilidad si desea acotar la lista y ver reglas relacionadas que podrían estar extendidas en la base de reglas. Para deshacer los cambios en una etiqueta.) El explorador de etiquetas presenta un resumen de todas las etiquetas utilizadas en una base de reglas (conjunto de políticas). El número de regla al que se asocia la etiqueta se muestra junto con el nombre de la etiqueta. Filtrar por primera etiqueta de la regla Muestra solamente la primera etiqueta aplicada a cada regla en la base de reglas.. un grupo de dispositivos o un sistema virtual..Otros objetos de las políticas • Traslade o duplique una etiqueta: La opción de trasladar o clonar una etiqueta le permite copiar una etiqueta o trasladarla a un grupo de dispositivos o sistema virtual diferente en dispositivos habilitados para varios sistemas virtuales. buscar y filtrar en busca de una etiqueta específica. Haga clic en Duplicar o Mover y seleccione la etiqueta en la ventana. Uso del explorador de etiquetas Políticas > Fundamento de la regla (seguridad. Uso del explorador de etiquetas Campo Descripción Etiqueta (n. Cuando revierte una etiqueta. las etiquetas utilizadas en reglas contiguas se muestran agrupadas. el campo Ubicación muestra el grupo de dispositivos o sistema virtual del que se heredó la etiqueta. Seleccione la ubicación de Destino (grupo de dispositivos o sistema virtual) de la etiqueta. La tabla siguiente describe las opciones del explorador de etiquetas: Tabla 162. Le permite cancelar el color asignado a la etiqueta heredado de un grupo de dispositivos compartido o antecesor. proxy). la casilla de verificación está habilitada y el proceso de validación se detiene cuando se detecta el primer error y solamente muestra ese error.0 • 319 . La ubicación puede haberse heredado de la ubicación Compartido. cuando se selecciona. NAT. Por ejemplo. También puede seleccionar la opción Deshabilitar anulación para deshabilitar cancelaciones adicionales. QoS. Guía de referencia de interfaz web. examinar. Le permite ver una lista de todas las etiquetas y el orden en el que se enumeran en la base de reglas. versión 7. si la primera etiqueta de cada regla indica su función (administración. Orden de regla Palo Alto Networks Clasifica las etiquetas por orden de aparición en la base de reglas seleccionada. o ver únicamente la primera etiqueta aplicada a cada regla en la base de reglas. Cancele la selección de la casilla de verificación Error en el primer error detectado en la validación si desea que el proceso de validación detecte todos los errores del objeto antes de mostrar los errores.

seleccione Aplicar etiqueta a las selecciones.Otros objetos de las políticas Tabla 162. Cuando selecciona Ninguno. La etiqueta Ninguno representa las reglas que no tienen ninguna etiqueta. Para conocer otras acciones. Seleccione una regla en el panel derecho. 1. no muestra los números de reglas de aquellas reglas no etiquetadas. Para ver las etiquetas seleccionadas actualmente. Cuando suelte las etiquetas. 1. 2. Visualice las etiquetas seleccionadas actualmente. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. Gestión de etiquetas Etiquete una regla. El panel derecho se actualiza para mostrar las reglas que tengan cualquiera de las etiquetas seleccionadas. Gestión de etiquetas La siguiente tabla enumera las acciones que puede realizar mediante el explorador de etiquetas. Realice una de las siguientes acciones: – Seleccione una etiqueta en el explorador de etiquetas y. Las etiquetas se filtran utilizando un operador OR. consulte “Gestión de etiquetas”. Seleccione una o más etiquetas en el explorador de etiquetas. También muestra el número total de etiquetas de la base de reglas y el número de etiquetas seleccionadas. en la lista desplegable.0 Palo Alto Networks . Barra de búsquedas Le permite buscar una etiqueta. el panel derecho se filtra para mostrar las reglas que no tienen ninguna etiqueta asignada. – Arrastre y suelte etiquetas desde el explorador de etiquetas a la columna de etiquetas de la regla. 3. el color (si hay un color asignado) y el número de veces que se utiliza en la base de reglas. introducir el término y hacer clic en el icono de flecha verde para aplicar el filtro. Para ver las etiquetas seleccionadas actualmente. 2. La pantalla muestra el nombre de etiqueta. versión 7. 320 • Guía de referencia de interfaz web. Uso del explorador de etiquetas (Continuación) Campo Descripción Alfabético Clasifica las etiquetas por orden alfabético en la base de reglas seleccionada. aparecerá un cuadro de diálogo de confirmación. Borrar Borra el filtro de las etiquetas seleccionadas actualmente en la barra de búsquedas.

Seleccione una o más etiquetas. Aparecerán las etiquetas que coincidan con el texto que ha introducido. la nueva regla se añadirá después de la regla seleccionada. Palo Alto Networks En el explorador de etiquetas. Guía de referencia de interfaz web. Pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Quitar etiquetas a las reglas en la lista desplegable. Busque una etiqueta. Elimine la etiqueta de una regla. Los resultados se muestran con un operador AND. pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Añadir nueva regla en la lista desplegable. Reordene una regla utilizando etiquetas. El orden numérico de la nueva regla varía dependiendo de si seleccionó una regla en el panel derecho. Haga clic en en la barra de búsquedas del panel derecho. Puede filtrar reglas en función de etiquetas con un operador AND u OR. • Filtro AND: Para ver reglas que tengan todas las etiquetas seleccionadas. Seleccione una o más etiquetas y pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Mover reglas en la lista desplegable. Añada una nueva regla que aplique las etiquetas seleccionadas. pase el ratón por encima del número de la columna Regla del explorador de etiquetas y seleccione Filtro en la lista desplegable.Otros objetos de las políticas Gestión de etiquetas Visualice reglas que coincidan con las etiquetas seleccionadas. Seleccione una etiqueta de la lista desplegable en la ventana para mover reglas y seleccione si desea aplicar la opción Mover antes de o Mover después de con respecto a la etiqueta seleccionada en la lista desplegable. Si no se ha seleccionado ninguna regla en el panel derecho. • Filtro OR: Para ver reglas que tengan etiquetas específicas. versión 7. Confirme que quiere eliminar la etiqueta seleccionada de la regla. la nueva regla se añadirá después de la regla a la que pertenezcan las etiquetas seleccionadas. De lo contrario.0 • 321 . Repita esta acción para añadir más etiquetas. introduzca las primeras letras del nombre de la etiqueta que quiera buscar y haga clic en . El panel derecho mostrará solamente las reglas que incluyan las etiquetas seleccionadas actualmente. seleccione una o más etiquetas en el explorador de etiquetas.

Otros objetos de las políticas

Patrones de datos
El patrón de datos le permite especificar categorías de información confidencial que desea someter al
filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cómo
configurar patrones de datos, consulte “Definición de patrones de datos”.
Cuando añade un nuevo patrón (expresión regular), se aplican los siguientes requisitos generales:

• El patrón debe tener una cadena de al menos 7 bytes. Puede contener más de 7 bytes, pero no menos.
• La coincidencia de cadena puede o no distinguir entre mayúsculas y minúsculas, dependiendo del
descodificador que se esté utilizando. Cuando sea necesario distinguir entre mayúsculas y
minúsculas, deberá definir patrones de todas las cadenas posibles para hallar coincidencias de todas
las variaciones de un término. Por ejemplo, si desea encontrar coincidencias de documentos
denominados como confidenciales, deberá crear un patrón para “confidencial”, “Confidencial” y
“CONFIDENCIAL”.
La sintaxis de expresión regular en PAN-OS es similar a la de los motores de expresiones regulares
tradicionales, pero cada motor es único. La tabla siguiente describe la sintaxis compatible con PAN-OS.

Tabla 163. Reglas de patrones
Sintaxis

Descripción

.

Busca cualquier carácter único.

?

Busca el carácter o la expresión anterior 0 o 1 veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)?

*

Busca el carácter o la expresión anterior 0 o más veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)*

+

Busca el carácter o la expresión anterior una o más veces. La expresión general DEBE
estar entre paréntesis.
Ejemplo: (abc)+

|

Equivalente a “o”.
Ejemplo: ((bif)|(scr)|(exe)) busca “bif”, “scr” o “exe”. Tenga en cuenta que las
subcadenas deben estar entre paréntesis.

-

Se utiliza para crear expresiones de intervalo.
Ejemplo: [c-z] busca cualquier carácter entre c y z, ambos inclusive.

[]

Busca cualquier carácter.
Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.

^

Busca cualquier carácter excepto.
Ejemplo: [^abz] busca cualquier carácter excepto a, b, o z.

{}

Número mínimo/máximo de bytes.
Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite “-”.

\

Para realizar una búsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carácter de escape precediéndolo de “\” (barra diagonal inversa).

&amp

& es un carácter especial, por lo que para buscar “&” en una cadena debe utilizar “&amp”.

322 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Ejemplos de patrones de datos
A continuación se incluyen algunos ejemplos de patrones personalizados válidos:

• .*((Confidencial)|(CONFIDENCIAL))
– Busca la palabra “Confidencial” o “CONFIDENCIAL” en cualquier parte
– “.*” al principio especifica que se debe buscar en cualquier parte en la secuencia
– Dependiendo de los requisitos de distinción entre mayúsculas y minúsculas del descodificador,
puede que esto no coincida con “confidencial” (todo en minúsculas)

• .*((Privado &amp Confidencial)|(Privado y Confidencial))
– Busca “Privado & Confidencial” o “Privado y Confidencial”
– Es más preciso que buscar “Confidencial”

• .*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
– Busca “Comunicado de prensa” seguido de las diferentes formas de la palabra borrador, lo que
puede indicar que el comunicado de prensa no está preparado aún para ser emitido.

• .*(Trinidad)
– Busca un nombre de código de proyecto, como “Trinidad”

Listas de bloqueos dinámicos
Objetos > Listas de bloqueos dinámicos
Utilice la página Listas de bloqueos dinámicos para crear un objeto de dirección basado en una lista
importada de direcciones IP. Debe crear esta lista como archivo de texto y guardarla en un servidor web al
que el cortafuegos pueda acceder y que pueda importar; el cortafuegos utilizará el puerto de gestión para
recuperar esta lista.
Puede configurar el cortafuegos para que actualice automáticamente la lista del dispositivo cada hora, día,
semana o mes. Una vez haya creado un objeto de lista de bloqueo dinámico, puede utilizar el objeto de la
dirección en los campos de origen y destino en las políticas de seguridad.
Se admite un máximo de diez listas de bloqueos dinámicos en la mayoría de las plataformas; las
excepciones son los cortafuegos de las series PA-5000 y PA-7000, que admiten hasta 50 listas. Cada lista
puede contener hasta 5.000 direcciones IP (IPv4 y/o IPv6), que pueden incluir intervalos y/o subredes de
IP. La lista debe contener una dirección IP, intervalo o subred por línea. A continuación se incluyen varios
ejemplos:
Dirección IP única:
IPv4: 192.168.80.150/32
IPv6: 2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de
direcciones. El formato es:
dirección_ip–dirección_ip
donde cada dirección puede ser IPv4 o IPv6.
IPv4: “192.168.80.0/24” indica todas las direcciones de 192.168.80.0 a 192.168.80.255
IPv6: 2001:db8:123:1::1 - 2001:db8:123:1::22

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 323

Otros objetos de las políticas

La siguiente tabla describe la configuración de lista de bloqueadas dinámicas:

Tabla 164 Listas de bloqueos dinámicos
Campo

Descripción

Nombre

Introduzca un nombre para identificar la lista de bloqueos
dinámicos (de hasta 32 caracteres). Este nombre aparecerá
cuando seleccione el origen o el destino de una política.

Compartido

Seleccione esta casilla de verificación si quiere que la lista de
bloqueos dinámicos esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación, la lista
de bloqueos dinámicos únicamente estará disponible para el
Sistema virtual seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación, la lista de bloqueos dinámicos
únicamente estará disponible para el Grupo de dispositivos
seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la lista de bloqueos
dinámicos en grupos de dispositivos descendientes cancelando
sus valores heredados. La casilla de verificación no está
seleccionada de manera predeterminada, lo que significa que la
cancelación está habilitada.

Descripción

Introduzca una descripción de la lista de bloqueos dinámicos
(hasta 255 caracteres).

Origen

Introduzca una ruta URL HTTP o HTTPS que contenga el archivo
de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.

Repetir

Especifique la frecuencia en la que la lista se debe importar.
Puede elegir cada hora, día, semana o mes. En el intervalo
especificado, la lista se importará a la configuración. No es
necesario realizar una compilación completa para que este tipo
de actualización tenga lugar.

Probar URL de origen
(solamente cortafuegos)

Comprueba que la URL de origen o la ruta del servidor está
disponible. Este botón solamente está disponible en la interfaz
web del cortafuegos, no en Panorama.

324 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Firmas personalizadas de spyware y vulnerabilidades
Esta sección describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de vulnerabilidades.
Objetos > Objetos personalizados > Patrones de datos
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
Objetos > Objetos personalizados > Categoría de URL

Definición de patrones de datos
Objetos > Objetos personalizados > Patrones de datos
Utilice la página Patrones de datos para definir las categorías de información confidencial que desea
someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre
cómo definir perfiles de filtrado de datos, consulte “Perfiles de filtrado de datos”.
La siguiente tabla describe la configuración de patrones de datos:

Tabla 165. Configuración de patrones de datos
Campo

Descripción

Nombre

Introduzca el nombre de patrón de datos (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Descripción

Introduzca una descripción del patrón de datos (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que el patrón de datos esté
disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, el patrón de datos
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el patrón de datos únicamente estará disponible
para el Grupo de dispositivos seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Palo Alto Networks

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del patrón de datos en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Guía de referencia de interfaz web, versión 7.0 • 325

Otros objetos de las políticas

Tabla 165. Configuración de patrones de datos (Continuación)
Campo

Descripción

Peso

Introduzca el peso de los tipos de patrones especificados de forma
predeterminada. El peso es un número entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
función de este peso.
• CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo
0-255).
• SSN#: Especifique un peso para el campo del número de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso máximo).
• SSN# (sin guión): Especifique un peso para el campo del número de la
seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso máximo).

Patrones personalizados

Los patrones predefinidos incluyen el número de la tarjeta de crédito y el
de la seguridad social (con y sin guiones).
Haga clic en Añadir para agregar un patrón nuevo. Especifique un
nombre para el patrón, introduzca la expresión regular que define el
patrón e introduzca un valor de peso para asignarlo al patrón. Añada los
patrones que sean necesarios.

Definición de firmas de spyware y vulnerabilidad
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas del
cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada
a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones de spyware y vulnerabilidades
resultantes están disponibles para su uso en cualquier perfil de vulnerabilidad personalizado.
El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las
medidas especificadas para la explotación de la vulnerabilidad.
Las publicaciones semanales de contenido incluyen periódicamente nuevos
descodificadores y contextos para los que puede desarrollar firmas.
También puede incluir un atributo temporal cuando defina firmas personalizadas especificando un
umbral por intervalo para activar posibles acciones en respuesta a un ataque. Las acciones solo se activan
una vez alcanzado el umbral.
Utilice la página Firma de spyware personalizada para definir firmas de perfiles de antispyware. Utilice la
página Firma de vulnerabilidad personalizada para definir firmas de perfiles de protección de
vulnerabilidades.

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware
Campo

Descripción

Pestaña Configuración
ID de amenaza

Introduzca un identificador numérico para la configuración. En el caso
de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.

Nombre

Especifique el nombre de la amenaza.

326 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Compartido

Seleccione esta casilla de verificación si quiere que la firma
personalizada esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, la firma
personalizada únicamente estará disponible para el Sistema virtual
seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la firma personalizada únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la firma en grupos de
dispositivos descendientes cancelando sus valores heredados.
La casilla de verificación no está seleccionada de manera
predeterminada, lo que significa que la cancelación está habilitada.

Comentarios

Introduzca un comentario opcional.

Gravedad

Asigne un nivel que indique la gravedad de la amenaza.

Acción predeterminada

Asigne la acción predefinida que se activará si se cumplen las
condiciones de la amenaza. Para ver una lista de las acciones, consulte
“Acciones en perfiles de seguridad”.

Dirección

Indique si la amenaza se evaluará desde el cliente al servidor, desde el
servidor al cliente, o ambos.

Sistema afectado

Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos
o a ambos. Se aplica a las firmas de vulnerabilidades, pero no a las
firmas de spyware.

CVE

Especifique las vulnerabilidades y exposiciones comunes (CVE) como
una referencia externa de información y análisis adicional.

Proveedor

Especifique el identificador del proveedor de la vulnerabilidad como
una referencia externa de información y análisis adicional.

Bugtraq

Especifique la bugtraq (similar a CVE) como una referencia externa de
información y análisis adicional.

Referencia

Añada vínculos a la información o al análisis. La información se
muestra cuando un usuario hace clic en la amenaza desde ACC, logs o
el perfil de vulnerabilidad.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 327

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Pestaña Firmas
Firma estándar

Seleccione el botón de opción Estándar y haga clic en Añadir para
añadir una firma nueva. Especifique la siguiente información:
• Estándar: Introduzca un nombre para identificar la firma.
• Comentarios: Introduzca una descripción opcional.
• Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
• Ámbito: Seleccione si desea aplicar esta firma a la transacción actual
únicamente o a la sesión completa del usuario.
Añada una condición haciendo clic en Añadir condición OR o Añadir
condición AND. Para añadir una condición en un grupo, seleccione el
grupo y haga clic en Añadir condición. Añada una condición a una
firma para que la firma se genere para el tráfico cuando los parámetros
que defina para la condición sean verdaderos. Seleccione un Operador
de la lista desplegable. El operador define el tipo de condición que
debe ser verdadera para que la firma personalizada coincida con el
tráfico. Seleccione un operador de entre Inferior a, Igual que, Mayor
que y Coincidencia de patrones.
• Cuando seleccione un operador Coincidencia de patrones,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione uno de los contextos disponibles.
– Patrón: Especifique una expresión regular. Consulte Tabla 163
para ver reglas de patrones de expresiones regulares.
– Calificador y Valor: Puede añadir pares de calificador/valor.
– Negar: Seleccione la casilla de verificación Negar para que la firma
personalizada coincida con el tráfico únicamente cuando la
condición Coincidencia de patrones definida no sea verdadera.
Esto le permite garantizar que la firma personalizada no se active
en ciertas circunstancia.
Nota: Una firma personalizada no se puede crear únicamente con
condiciones Negar; se debe incluir al menos una condición positiva para
poder especificar una condición Negar. Asimismo, si el ámbito de la firma
se establece como Sesión, no se podrá configurar una condición Negar
como la última condición que debe coincidir con el tráfico.
Ahora podrá definir excepciones para firmas de vulnerabilidades o
spyware personalizadas utilizando la nueva opción para negar la
generación de firmas cuando el tráfico coincida tanto con una firma
como con la excepción de la firma. Utilice esta opción para permitir
determinado tráfico en su red que de otro modo se clasificaría como
spyware o una explotación de la vulnerabilidad. En este caso, la firma
se ha generado para el tráfico que coincide con el patrón; el tráfico que
coincide con el patrón pero que también coincide con la excepción del
patrón se excluye de la generación de firmas y cualquier acción de
política asociada (como su bloqueo o denegación). Por ejemplo, puede
definir una firma para que se genere para URL redirigidas; sin
embargo, ahora también puede crear una excepción cuando la firma no
se genere para URL que redirijan a un dominio de confianza.

328 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción
• Cuando seleccione un operador Igual que, Inferior a o Mayor que,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione entre solicitudes desconocidas y respuestas
de TCP o UDP.
– Posición: Seleccione los primeros cuatro bytes o los segundos
cuatro en la carga.
– Máscara: Especifique un valor hexadecimal de 4 bytes, por
ejemplo, 0xffffff00.
– Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.

Firma de combinación

Seleccione el botón de opción Combinación. En el área por encima de
las pestañas secundarias, especifique la siguiente información:
En la pestaña secundaria Firmas de combinación, especifique las
condiciones que definirán las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo,
seleccione el grupo y haga clic en Añadir condición.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.
En la pestaña secundaria Atributo de fecha y hora, especifique la
siguiente información:
• Número de resultados: Especifique el umbral que activará una
acción basada en una política como un número de resultados (1-1000)
en un número especificado de segundos (1-3600)
• Criterios de agregación: Especifique si los resultados los supervisará
la dirección IP de origen, la dirección IP de destino o una
combinación de las direcciones IP de origen y destino.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.

Categorías de URL personalizadas
Objetos > Objetos personalizados > Categoría de URL
La función de categorías URL personalizadas permite crear sus propias listas de URL que puede
seleccionar en cualquier perfil de filtrado de URL. Cada una de las categorías se puede controlar de forma
independiente y tendrá una acción asociada en cada perfil de filtrado URL (permitir, bloquear, continuar,
cancelar, alertar o ninguno). La acción ninguno solo se aplica a las categorías de URL personalizadas.
El objetivo de seleccionar la opción ninguno es garantizar que si existen varios perfiles de URL, la categoría
personalizada no influirá en otros perfiles. Por ejemplo, si tiene dos perfiles URL y la categoría URL
personalizada se establece para bloquear en uno de los perfiles, el otro perfil debería tener la acción
establecida en ninguno si no quiere que se aplique.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 329

Otros objetos de las políticas

Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree
un archivo de texto con las URL que se incluirán, con una URL por línea. Cada URL puede tener el
formato “www.ejemplo.com” y puede contener * como comodín, como en “*.ejemplo.com”. Para obtener
información adicional sobre comodines, consulte la descripción del campo Lista de bloqueadas en la tabla
“Configuración de perfil de filtrado de URL”.
Las entradas URL añadidas a las categorías personalizadas no distinguen entre
mayúsculas y minúsculas. De igual forma, para eliminar una categoría
personalizada después de que se haya añadido a un perfil de URL y de que se haya
establecido una acción, la acción debe estar establecida en Ninguno para poder
eliminar la categoría personalizada.
Para obtener instrucciones sobre cómo configurar perfiles de filtrado URL, consulte “Perfiles de filtrado
de URL”.
La siguiente tabla describe la configuración de URL personalizada:

Tabla 167. Categorías de URL personalizadas
Campo

Descripción

Nombre

Introduzca un nombre para identificar la categoría de URL personalizada
(de hasta 31 caracteres). Este nombre aparece en la lista de categorías
cuando se definen políticas de seguridad. El nombre hace distinción
entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente
letras, números, espacios, guiones y guiones bajos.

Descripción

Introduzca una descripción de la categoría URL (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que la categoría de URL
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, la categoría de URL
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la categoría de URL únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la categoría de URL en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Sitios

En el área Sitios, haga clic en Añadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.

330 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Grupos de perfiles de seguridad
Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que se pueden
tratar como una unidad y añadirse posteriormente a las políticas de seguridad. Por ejemplo, puede crear
un grupo de perfil de seguridad “amenazas” que incluya perfiles de antivirus, antispyware y protección
contra vulnerabilidades y, a continuación, crear una política de seguridad que incluya el perfil
“amenazas”.
Los perfiles de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y bloqueo de archivos
que se suelen asignar juntos pueden combinarse en grupos de perfiles para simplificar la creación de las
políticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte “Definición de políticas de seguridad”.
La siguiente tabla describe la configuración de perfil de seguridad:

Tabla 168. Configuración de grupos de perfiles de seguridad
Campo

Descripción

Nombre

Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles cuando se definen políticas de seguridad.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Compartido

Seleccione esta casilla de verificación si quiere que el grupo de perfiles
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, el grupo de perfiles
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el grupo de perfiles únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del grupo de perfiles en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Perfiles

Seleccione un perfil de antivirus, antispyware, protección de
vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluirá
en este grupo. Los perfiles de filtrado de datos también se pueden
especificar en grupos de perfiles de seguridad. Consulte “Perfiles de
filtrado de datos”.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 331

Solamente tiene que configurar el puerto de datos en uno de los NPC de la serie PA-7000 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede establecer contacto con sus servidores de logs. consulte “Configuración de una interfaz de tarjeta de log”. guiones y guiones bajos. De forma predefinida. la red necesitará comunicarse con la nube WildFire o dispositivo WildFire. antispyware y protección de vulnerabilidades asociados a cada regla determinan las amenazas que se registran (de forma local o remota). Una vez configurado el puerto. versión 7. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. espacios. como la detección de virus o spyware. • Cada grupo de dispositivos en Panorama. consulte “Definición de políticas de seguridad”. 332 • Guía de referencia de interfaz web.0 Palo Alto Networks . lo que significa que la cancelación está habilitada. se debe configurar un tipo de interfaz especial (Tarjeta de log) antes de que el cortafuegos reenvíe los siguientes tipos de logs: Syslog. mensajes de Syslog o notificaciones por correo electrónico. La casilla de verificación no está seleccionada de manera predeterminada. y/o se envían como traps SNMP. correo electrónico y SNMP. se usará este puerto automáticamente para el reenvío de logs y de WildFire y no hará falta ninguna configuración especial para ello. Si cancela la selección de la casilla de verificación.Otros objetos de las políticas Reenvío de logs Objetos > Reenvío de logs Cada política de seguridad puede especificar un perfil de reenvío de log que determine si las entradas de log de tráfico y amenazas se registran de forma remota con Panorama. Para aplicar los perfiles de log a políticas de seguridad. Utilice únicamente letras. Configuración de perfiles de reenvío de logs Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Para reenvío de WildFire. Tenga en cuenta que los perfiles de antivirus. solo se realizan logs locales. En un cortafuegos de la serie PA-7000. La siguiente tabla describe la configuración de reenvío de logs: Tabla 169. Si cancela la selección de la casilla de verificación. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si desea más información sobre cómo configurar esta interfaz. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. mientras que los logs de amenazas registran las amenazas o problemas con el tráfico de la red. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. números. Esto también se aplica al reenvío a WildFire. Los log de tráfico registran información sobre cada flujo de tráfico. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.

Palo Alto Networks Guía de referencia de interfaz web. consulte: • “Configuración de destinos de traps SNMP”. consulte “Gestión de entidades de certificación de confianza predeterminadas”. inspección entrante SSL y tráfico SSH. Para definir la dirección del servidor de Panorama. incluyendo búsquedas de objeto de ataques informativos. Perfiles de descifrado Objetos > Perfil de descifrado Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvío. consulte “Definición de la configuración de gestión”. • “Configuración de ajustes de notificaciones por correo electrónico” • “Configuración de servidores Syslog” Configuración del log de amenazas Panorama Haga clic en la casilla de verificación de cada nivel de seguridad de las entradas del log de amenazas que se enviarán a Panorama. Para obtener más información. Trap SNMP Correo electrónico Syslog En cada nivel de gravedad.0 • 333 . seleccione los ajustes de SNMP. Un perfil de descifrado predeterminado se configura en el cortafuegos y se incluye automáticamente en las nuevas políticas de descifrado (no puede modificar el perfil de descifrado predeterminado). Trap SNMP Correo electrónico Syslog Seleccione los ajustes de SNMP. incluyendo el bloqueo de URL. También puede controlar las CA de confianza de su dispositivo. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de amenazas. Para definir nuevos destinos. • Alto: Ataques graves detectados por el motor de seguridad de amenazas. podrá añadir dicho perfil a una política de descifrado. versión 7. • Bajo: Ataques de advertencias detectados por el motor de seguridad de amenazas. cualquier tráfico que coincida con la política de descifrado se aplicará de acuerdo con los ajustes de perfil. Configuración de perfiles de reenvío de logs (Continuación) Campo Descripción Configuración de tráfico Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log de tráfico al sistema de gestión centralizado de Panorama. • Informativo: El resto de eventos no incluidos en los niveles de seguridad anteriores. o seleccione un perfil existente para duplicarlo mediante Duplicar o modificarlo.Otros objetos de las políticas Tabla 169. Los niveles de gravedad son los siguientes: • Crítico: Ataques muy graves detectados por el motor de seguridad de amenazas. Haga clic en Añadir para crear un nuevo perfil de descifrado. • Medio: Ataques leves detectados por el motor de seguridad de amenazas. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas de tráfico. Después de crear un perfil de descripción.

Si cancela la selección de la casilla de verificación. solamente se reflejará el tráfico reenviado a través del cortafuegos. Interfaz de reflejo de descifrado Seleccione una Interfaz que debe utilizarse para el reflejo del puerto de descifrado. consulte: • “Configuración de la pestaña Descifrado SSL” • “Configuración de la pestaña No hay descifrado” • “Configuración de la pestaña Proxy SSH” 334 • Guía de referencia de interfaz web. Tabla 170. versión 7. lo que significa que la cancelación está habilitada. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. debe obtener una licencia de reflejo del puerto de descifrado. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. espacios. (únicamente cortafuegos de las series PA-3000.0 Palo Alto Networks . No hay descifrado y Proxy SSH Seleccione la casilla de verificación Reenviado solo si desea reflejar el tráfico descifrado solamente después de la aplicación de la política de seguridad. Esta opción es de utilidad si está reenviando el tráfico descifrado a otros dispositivos de detección de amenazas. Utilice únicamente letras. PA-5000 y PA-7000) Reenviado solo (únicamente cortafuegos de las series PA-3000. guiones y guiones bajos. Si cancela la selección de la casilla de verificación. La casilla de verificación no está seleccionada de manera predeterminada. números. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. instalar la licencia y reiniciar el cortafuegos. así como información detallada sobre ajustes que pueden aplicarse específicamente a tráfico SSL descifrado. No hay descifrado y Proxy SSH. PA-5000 y PA-7000) Pestañas Descifrado SSL.Otros objetos de las políticas Las siguientes secciones ofrecen descripciones de ajustes que suelen aplicarse al tráfico que coincide con una política de descifrado. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el cortafuegos reflejará todo el tráfico descifrado en la interfaz antes de la búsqueda de políticas de seguridad. Con esta opción. como un dispositivo de DLP u otro sistema de prevención de intrusiones (IPS). Si cancela la selección de la casilla de verificación (el ajuste predeterminado). • Cada grupo de dispositivos en Panorama. Este nombre aparece en la lista de perfiles de descifrado cuando se definen políticas de descifrado. Configuración general de perfiles de descifrado Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. tráfico SSH descifrado y tráfico que coincida con una política de no descifrado (excepciones de descifrado): • • • • “Configuración general de perfiles de descifrado” “Ajustes de descifrado SSL en un perfil de descifrado” “Ajustes de ausencia de descifrado en un perfil de descifrado” “Ajustes de proxy SSH en un perfil de descifrado” Antes de poder habilitar el reflejo del puerto de descifrado. lo que le permitirá reproducir eventos y analizar el tráfico que genere una amenaza o active una acción de descarte. Para obtener información detallada sobre ajustes de perfiles adicionales de Descifrado SSL.

0 • 335 . El estado de revocación de certificado indica si se ha revocado o no la fiabilidad del certificado. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Validación de certificado de servidor Seleccione las opciones para controlar certificados de servidor para el tráfico SSL descifrado.2.Otros objetos de las políticas Ajustes de descifrado SSL en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSL que se ha descifrado mediante descifrado del proxy SSL de reenvío o inspección entrante SSL.1 y TLS1. TLS1. El cortafuegos se establece como agente externo de confianza en la sesión. Bloquear sesiones con estado de certificado desconocido Finalice la sesión SSL si un servidor devuelve un estado de revocación de certificado “Desconocido”. generando un certificado de reenvío fiable (o no fiable. si el certificado del servidor original no está firmado por un CA de confianza) para el servidor externo que. versión 7. TLS1. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. incluidos el estado del certificado del servidor externo. Comprobaciones de modo no admitidas Seleccione las opciones para controlar aplicaciones SSL no compatibles. Bloquear sesiones al agotar el tiempo de espera de comprobación de estado de certificado Finalice la sesión SSL si el estado del certificado no se puede recuperar en la cantidad de tiempo que el cortafuegos tiene configurado antes de dejar de esperar una respuesta de un servicio de estado de certificado. Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. Puede utilizar estos ajustes para limitar o bloquear sesiones SSL en función de los criterios. Puede configurar el valor de Tiempo de espera del estado del certificado al crear o modificar un perfil de certificado (Dispositivo > Gestión de certificados > Perfil del certificado). Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable. el cortafuegos funciona como proxy para una sesión entre un cliente interno y un servidor externo. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado especificado en el protocolo de enlace SSL si no es compatible con PAN-OS. PAN-OS admite SSLv3. Tabla 171. Configuración de la pestaña Descifrado SSL Campo Pestaña secundaria Proxy SSL de reenvío Descripción Con el descifrado del proxy SSL de reenvío. Restringir extensiones de certificado Limita las extensiones de certificados utilizados en el certificado de servidor dinámico al uso de claves y claves extendidas. a continuación. el uso de conjuntos de cifras o versiones de protocolos no compatibles o la disponibilidad de los recursos del sistema para procesar el descifrado. Palo Alto Networks Guía de referencia de interfaz web. se presenta al cliente. Bloquear sesiones con versión no compatible Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL.0. Bloquear sesiones con autenticación de cliente Finalice las sesiones con autenticación de cliente para el tráfico de proxy de reenvío SSL.

Bloquear sesiones con versiones no compatibles Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente.0. Comprobaciones de modo no admitidas Seleccione opciones para controlar sesiones si se detectan modos no compatibles en el tráfico SSL. PANOS admite SSLv3. Nota: En el caso de modos no compatibles y de fallos. versión 7. En su lugar. Puede seleccionar la opción máxima para que no se especifique ninguna versión máxima.1 y TLS1.Otros objetos de las políticas Tabla 171. en lugar de funcionar como proxy (como con el descifrado del proxy SSL de reenvío). Establezca la versión de protocolo mínima que se puede utilizar para establecer la conexión SSL. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado utilizado no es compatible con PAN-OS. Esto permite que el cortafuegos acceda a la sesión SSL entre el servidor de destino y el cliente de manera transparente. Utilice estas opciones para controlar los certificados de servidor de la sesión. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Versión máx. Pestaña secundaria Configuración de protocolo SSL Seleccione los ajustes siguientes para aplicar versiones de protocolo y conjuntos de cifras al tráfico de la sesión SSL. Versiones de protocolo Aplique el uso de versiones de protocolo mínima y máxima para la sesión SSL. Establezca la versión de protocolo máxima que se puede utilizar para establecer la conexión SSL. TLS1. el cortafuegos reside entre un cliente y un servidor de destino. Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para descifrar la clave de sesión. Versión mín. Algoritmos de cifrado Aplique el uso de los algoritmos de cifrado seleccionados para la sesión SSL. donde el certificado y la clave del servidor de destino se importan al cortafuegos.2. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles. Ajustes de ausencia de descifrado en un perfil de descifrado Puede utilizar la pestaña No hay descifrado para habilitar ajustes que bloqueen el tráfico que coincida con una política de descifrado configurada con la acción No hay ningún descifrado (Políticas > Descifrado > Acción). 336 • Guía de referencia de interfaz web. la información de la sesión se guarda en caché durante 12 horas. utilice las casillas de verificación para bloquear esas sesiones. Algoritmos de autenticación Aplique el uso de los algoritmos de autenticación seleccionados para la sesión SSL. aunque el cortafuegos no descifre e inspeccione el tráfico de la sesión. Configuración de la pestaña Descifrado SSL (Continuación) Campo Descripción Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para firmar certificados. se admiten las versiones de protocolo que sean equivalentes o posteriores a la versión mínima seleccionada.0 Palo Alto Networks . TLS1. en este caso. Pestaña secundaria Inspección de entrada SSL Con Inspección de entrada SSL. por lo que las futuras sesiones entre los mismos pares de hosts y servidor no se descifran.

Programaciones Objetos > Programaciones De forma predeterminada. Tabla 173. incluidos el uso de algoritmos no compatibles. la detección de errores SSH o la disponibilidad de recursos para procesar el descifrado del proxy SSH. Comprobaciones de fallos Seleccione las medidas que se adoptarán si se producen errores de aplicación SSH y si no hay recursos del sistema disponibles.Otros objetos de las políticas Tabla 172. Para aplicar las programaciones a las políticas de seguridad. Para limitar una política de seguridad a una hora concreta. La versión SSH compatible es la versión 2. Ajustes de proxy SSH en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSH entrante y saliente descifrado. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. Bloquear sesiones con versiones no compatibles Finalice las sesiones si el mensaje de bienvenida del cliente no es compatible con PAN-OS. Configuración de la pestaña No hay descifrado Campo Descripción Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado. Palo Alto Networks Guía de referencia de interfaz web. Estos ajustes le permiten limitar o bloquear el tráfico SSH de túnel en función de criterios. Cuando se activa una política de seguridad en una programación definida. Bloquear sesiones con algoritmos no compatibles Finalice las sesiones si el algoritmo especificado por el cliente o el servidor no es compatible con PAN-OS. puede definir programaciones y aplicarlas a las políticas correctas. cada una de las políticas de seguridad se aplica a todas las fechas y horas. o bien una programación diaria o semanal recurrente. Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable. versión 7. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Las sesiones actuales no se ven afectadas por la política programada. solo se verán afectadas por la política de seguridad las sesiones nuevas.0 • 337 . Configuración de la pestaña Proxy SSH Campo Descripción Comprobaciones de modo no admitidas Utilice estas opciones para controlar sesiones si se detectan modos no compatibles en el tráfico SSH. Bloquear sesiones con errores SSH Finalice las sesiones si se producen errores SSH. Para cada programación puede especificar una fecha y un intervalo horario fijo. consulte “Definición de políticas de seguridad”.

La casilla de verificación no está seleccionada de manera predeterminada. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la programación en grupos de dispositivos descendientes cancelando sus valores heredados. Si cancela la selección de la casilla de verificación. Semanal Haga clic en Añadir. • Cada grupo de dispositivos en Panorama. guiones y guiones bajos. versión 7. números. Este nombre aparece en la lista de programaciones cuando se definen políticas de seguridad. Ajustes de programación Campo Descripción Nombre Introduzca un nombre de la programación (de hasta 31 caracteres).0 Palo Alto Networks .Otros objetos de las políticas La siguiente tabla describe la configuración de la programación: Tabla 174. Semanal o Sin repetición). Utilice únicamente letras. la programación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Periodicidad Seleccione la periodicidad (Diaria. Si cancela la selección de la casilla de verificación. 338 • Guía de referencia de interfaz web. Diario Haga clic en Añadir y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). lo que significa que la cancelación está habilitada. Compartido Seleccione esta casilla de verificación si quiere que la programación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Sin repetición Haga clic en Añadir y especifique una fecha y hora de inicio y de finalización. seleccione un día de la semana y especifique una hora de inicio y de finalización en formato de 24 horas (HH:MM). la programación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. espacios.

versión 7. el Centro de control de aplicaciones (ACC).0 • 339 . los informes y los logs en el cortafuegos para supervisar la actividad de su red: • “Uso del panel” • “Centro de control de aplicaciones” • “Uso de Appscope” • “Visualización de logs” • “Uso del motor de correlación automatizada” • “Trabajo con informes de Botnet” • “Gestión de informes de resumen en PDF” • “Gestión de informes de actividad del usuario/grupo” • “Gestión de grupos de informes” • “Programación de informes para entrega de correos electrónicos” • “Visualización de informes” • “Generación de informes personalizados” • “Realización de capturas de paquetes” Palo Alto Networks Guía de referencia de interfaz web.Capítulo 6 Informes y logs En los siguientes temas se describe cómo usar el panel.

pero cada usuario puede eliminar y agregar widgets individuales según sea necesario. el cliente (Web o CLI) y la fecha y hora de las 10 últimas entradas en el log Configuración. Estado de interfaz Indica si cada interfaz está activa (verde). la aplicación y la fecha y hora de las 10 últimas entradas en el log Amenazas. El tamaño del bloque indica el número relativo de sesiones (pase el ratón sobre el bloque para ver el número) y el color indica el riesgo de seguridad. haga clic en el menú desplegable Widget. Logs de amenazas Muestra el ID de amenaza. Solo aparecen las entradas de los últimos 60 minutos. Configuración y Amenaza. Logs de filtrado de datos Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de datos. Registros del sistema Muestra la descripción y la fecha y hora de las últimos 10 entradas en el log Sistema. Para agregar un widget al panel. Tabla 175. Logs de filtrado de URL Muestra la descripción y la fecha y hora de los últimos 60 minutos en el log Filtrado de URL. seleccione una categoría y luego el nombre del widget. Aparecen las entradas de los logs de los últimos 60 minutos. Información general Muestra el nombre del dispositivo. Para cambiar el intervalo de actualización automática. como la versión de software. las amenazas. 2 min. Uso del panel Panel Los widgets de la página Panel muestran información general del dispositivo. excepto las que muestran las aplicaciones de mayor riesgo con la mayoría de las sesiones. la utilización de recursos y hasta 10 entradas en los logs Sistema. no está operativa (rojo) o en un estado desconocido (gris). la fecha y hora actuales y el período de tiempo transcurrido desde el último reinicio. desde verde (más bajo) a rojo (más alto). El ID de amenaza es una descripción malintencionada de una URL que incumple el perfil de filtro de URL. Solo aparecen las entradas de los logs de los últimos 60 minutos. 5 min o Manual).0 Palo Alto Networks . Haga clic en una aplicación para ver su perfil de aplicación. Tenga en cuenta que una entrada “Configuración instalada” indica que se han llevado a cabo cambios en la configuración correctamente. Logs de configuración Muestra el nombre de usuario del administrador. haga clic en en la barra de títulos. Haga clic en el icono para actualizar el panel o un widget individual. Todos los widgets disponibles aparecen de forma predeterminada. Para eliminar un widget. las versiones de definición del filtro de URL. el modelo. el estado operativo de cada interfaz. 340 • Guía de referencia de interfaz web. seleccione un intervalo de la lista desplegable (1 min. Solo aparecen las entradas de los últimos 60 minutos. la versión del software de PAN-OS. Gráficos del panel Gráfico Descripción Aplicaciones principales Muestra las aplicaciones con la mayoría de sesiones.Uso del panel La mayoría de los informes de esta sección admiten la selección opcional de un sistema virtual en la lista desplegable de la parte superior de la página. versión 7. la aplicación. Aplicaciones principales de alto riesgo Similar a Aplicaciones principales.

versión 7. Bloqueos Muestra bloqueos de configuración realizados por los administradores. Palo Alto Networks Guía de referencia de interfaz web. el uso de plano de datos y el Número de sesiones que muestra el número de sesiones establecidas a través del cortafuegos. Alta disponibilidad Si la alta disponibilidad (HA) está activada. Administradores registrados Muestra la dirección IP de origen. Los valores mayores indican un mayor riesgo. consulte “Habilitación de HA en el cortafuegos”. Gráficos del panel (Continuación) Gráfico Descripción Recursos del sistema Muestra el uso de CPU de gestión.Uso del panel Tabla 175. Factor de riesgo de ACC Muestra el factor de riesgo medio (1 a 5) para el tráfico de red procesado la semana pasada. amarillo (pasiva) o negro (otro). indica el estado de la Alta disponibilidad (HA) del dispositivo local y del peer: Verde (activa). Para obtener más información sobre la HA. el tipo de sesión (Web o CLI) y la hora de inicio de sesión para cada administrador actualmente registrado.0 • 341 .

0 Palo Alto Networks . La representación gráfica le permite interactuar con los datos y visualizar las relaciones entre eventos en la red.Centro de control de aplicaciones Centro de control de aplicaciones ACC El Centro de control de aplicaciones (ACC) es una herramienta analítica que proporciona inteligencia intuitiva sobre la actividad dentro de su red. El ACC usa los logs del cortafuegos para representar gráficamente las tendencias de su red. versión 7. actividades sospechosas y anomalías. incluidos los patrones de uso de la red. patrones de tráfico. ¿Qué desea saber? Consulte ¿Cómo se usa el ACC? “Información básica sobre el ACC” “Vistas” “Widgets” ¿Cómo se interactúa con el ACC? “Acciones” “Uso de filtros” ¿Desea obtener más información? ¿No encuentra lo que busca? Consulte Uso del Centro de control de aplicaciones 342 • Guía de referencia de interfaz web.

consulte “Vistas”. 3 Hora Los gráficos en cada widget ofrecen una vista en tiempo real y de historial. versión 7. la actividad de amenazas y la actividad bloqueada. Si desea más información sobre cada widget. Puede elegir un intervalo personalizado o usar los periodos predefinidos que van desde 15 minutos hasta los últimos 30 días o los últimos 30 días naturales. 5=más alto) indica el riesgo de seguridad relativo de su red. sesiones. Si desea más información sobre cada vista. así como los hosts en riesgo o el tráfico hacia hosts o dominios malintencionados. Los gráficos se aplican a los filtros seleccionados antes de representar los datos. El intervalo de hora y fecha se muestran en la pantalla. Palo Alto Networks Guía de referencia de interfaz web. consulte “Widgets”. categorías de URL. 5 Medidor de riesgos El medidor de riesgos (1=más bajo. Por ejemplo: 01/12 10:30:00-01/12 11:29:59 4 Filtros globales Los filtros globales le permiten establecer el filtro en todas las pestañas. contenido (archivos y datos). amenazas (malintencionadas y buenas) y recuento. El medidor de riesgos usa diversos factores como el tipo de aplicaciones vistas en la red y los niveles de riesgo asociados a las aplicaciones. El periodo usado de manera predeterminada para representar datos es la última hora.0 • 343 . Para obtener información sobre cómo utilizar los filtros. 2 Widgets Cada pestaña incluye un conjunto predeterminado de widgets que representan concretamente los eventos y tendencias asociados a la pestaña.Centro de control de aplicaciones Información básica sobre el ACC 1 Pestañas El ACC incluye tres pestañas o vistas predefinidas que ofrecen visibilidad del tráfico de la red. Los widgets le permiten consultar los datos usando los siguientes filtros: bytes (entrada y salida). la actividad de las amenazas y el software malintencionado según el número de amenazas bloqueadas. consulte “Acciones”.

En el cortafuegos. • Actividad de amenazas: Esta pestaña muestra una descripción general de las amenazas en la red. puede cambiar la visualización para usar Panorama o Datos de dispositivo remoto. Si el origen de los datos es Panorama. hosts que visitan dominios o URL malintencionados. por interfaces de acceso o salida y por información del host. puede usar el menú desplegable Sistema virtual para cambiar la visualización de ACC de modo que incluya todos los sistemas virtuales o solo un sistema virtual seleccionado. los usuarios que generan más tráfico y una descripción pormenorizada de los bytes.0 Palo Alto Networks . organizadas por nivel de gravedad. puede filtrar la visualización para un grupo de dispositivos específico. Se centra en las aplicaciones principales en uso. así como las reglas de seguridad más usadas para comparar el tráfico. En Panorama. 7 Exportar Puede exportar los widgets que se muestran en la pestaña actual como un PDF. contenido. Se centra en las principales amenazas: vulnerabilidades. contenido (archivos y datos) y las principales reglas de seguridad con una acción de denegación que bloquearon el tráfico. Vistas • Actividad de red: Esta pestaña muestra una descripción general del tráfico y la actividad de los usuarios en su red. región o direcciones IP. spyware. virus. Asimismo. amenazas o URL a las que ha accedido el usuario. El widget Hosts en riesgo complementa la detección con mejores técnicas de visualización. versión 7.Centro de control de aplicaciones Información básica sobre el ACC 6 Origen El origen de los datos usado para la visualización varía entre el cortafuegos y Panorama. nombre de amenaza. principales envíos de WildFire por tipo de archivo y aplicación y aplicaciones que usan puertos no estándar. Los widgets de esta pestaña le permiten ver la actividad denegada por nombre de aplicación. 344 • Guía de referencia de interfaz web. si está habilitado para varios sistemas virtuales. puede ver la actividad de la red según la zona de origen o destino. Usa la información de la pestaña de eventos correlacionados (Motor de correlación automatizada > Eventos correlacionados) para presentar una vista agregada de hosts en riesgo en su red por usuarios o direcciones IP de origen. nombre de usuario. • Actividad bloqueada: Esta pestaña se centra en eltráfico bloqueado para que no entre en la red. como los sistemas operativos de los dispositivos más usados en la red.

gráfico de área apilada. Palo Alto Networks Guía de referencia de interfaz web. buenos. gráfico de líneas. Las opciones disponibles varían según el widget. Por ejemplo. malintencionados. sesiones. amenazas. gráfico de barra apilada y mapas. Cada widget está estructurado para mostrar lo siguiente: 1 Ver Puede ordenar los datos por bytes.Centro de control de aplicaciones Widgets Los widgets de cada pestaña están inactivos. versión 7.0 • 345 . datos. haga clic en el gráfico. Para obtener una vista más detalladas. archivos. Puede establecer filtros y pormenorizar la vista para personalizarla y poder centrarse en la información que necesita. contenido. El área en la que haga clic se convierte en un filtro y le permite acercarse a la selección y ver información más granular para esa selección. gráfico de barras horizontales. perfiles. recuento. URL. Las opciones disponibles varían según el widget. objetos. 2 Gráfico Las opciones de visualización de los gráficos son mapa jerárquico. el widget para aplicaciones que usan puertos no estándar le permite elegir entre un mapa jerárquico y un gráfico de líneas. la experiencia de interacción también varía según el tipo de gráfico.

Exportar: Le permite exportar el gráfico como PDF. consulte la información sobre el uso del ACC. el gráfico se actualiza y la tabla se ordena según ese filtro. Los logs se filtran usando el periodo que se muestra en el gráfico. Si ha establecido filtros locales y globales.Centro de control de aplicaciones 3 Tabla La vista detallada de los datos usados para representar el gráfico se ofrece en una tabla debajo del gráfico. Consulte “Uso de los filtros: Filtros locales y filtros globales”. Puede hacer clic y establecer un filtro local o un filtro global para elementos en la tabla.0 Palo Alto Networks . Configurar filtros locales: Le permite añadir filtros para refinar la visualización dentro del widget. En la vista maximizada. Si quiere ver una descripción de cada widget. los elementos que se muestran no se limitan a los diez principales como en la pantalla predeterminada del widget. la consulta de log concatena el periodo y los filtros y muestra solo logs que cumplan con el filtro establecido. 4 Acciones Maximizar vista: Le permite aumentar el widget y verlo en una pantalla más grande. • “Uso de las pestañas y widgets” • “Uso de los filtros: Filtros locales y filtros globales” 346 • Guía de referencia de interfaz web. Con un filtro local. versión 7. la vista de todo el ACC pivota para mostrar solo información que pertenezca a su filtro. Con un filtro global. Acciones Para personalizar y refinar la visualización de ACC. establecer filtros locales y globales e interactuar con los widgets. Saltar a logs: Le permite navegar directamente a los logs (pestaña Supervisar > Logs > Tipo de log ). puede añadir y eliminar pestañas y widgets.

Seleccione la vista y haga clic en el icono de lápiz para editar la vista. como la vista Actividad bloqueada. seleccione la pestaña y haga clic en el icono X. 2. Seleccione el menú desplegable Añadir widgets y compruebe los widgets que tienen marcas las casillas de verificación. de la lista de 2. (Opcional) Para crear un diseño de dos columnas. widgets. Puede añadir hasta 5 pestañas. • Eliminar una pestaña o un 1. widget/grupo de widgets.Centro de control de aplicaciones Uso de las pestañas y widgets Uso de las pestañas y widgets • Añadir una pestaña 1.0 • 347 . Puede seleccionar hasta 12 widgets. aparecerá un marcador de posición para que suelte el widget. Por ejemplo • Consultar qué widgets están 1. Nota: No puede eliminar una pestaña predefinida. Para eliminar una pestaña personalizada. Si quiere restablecer el diseño para que incluya el conjunto predeterminado de widgets de la pestaña. Esta acción no se puede deshacer. Seleccione la pestaña y haga clic en el icono de lápiz junto al nombre de la pestaña para modificarla. 2. modifique la pestaña y haga clic en el icono [X] de la derecha. Añadir una nueva pestaña o modificar una pestaña predefinida. • Modificar una pestaña 1. modifique la pestaña y haga clic en Restablecer vista. Nota: No puede ponerle nombre a los grupos de widgets. Seleccione el icono pestañas. • Restablecer la vista predeterminada. Seleccione Añadir widget y marque la casilla de verificación del widget que quiere añadir. incluidos en una vista. Palo Alto Networks En una vista predefinida. 2. puede eliminar uno o más widgets. Cuando arrastre el widget sobre el diseño. versión 7. 3. • Añadir un widget a un grupo de . Introduzca un Nombre de vista. Para eliminar un widget o grupo de widgets. Este nombre se utilizará como el nombre de la pestaña. Guía de referencia de interfaz web. Puede arrastrar y soltar los widgets en la vista de dos columnas. seleccione Añadir grupo de widgets. 1.

para ver todos los eventos relacionados con un usuario y aplicación específicos. Promocionar un filtro local a filtro global cambia la visualización en todas las vistas del ACC. • Establecer un filtro global desde 1. Los filtros globales sí se borran al reiniciar. • Definir un filtro global: Defina un filtro usando el panel Filtros globales en el ACC. Por ejemplo. Un filtro global le permite pivotar la vista alrededor de la información que necesita instantáneamente y excluir la información irrelevante para la vista actual. 2. Filtros globales: Los filtros globales se aplican en todo el ACC. puede usar filtros. • Promocionar un filtro local para usarlo como un filtro global: Esta opción le permite promocionar un atributo que ha establecido como filtro local para que sea un filtro global. Estos filtros no se eliminan al reiniciar. Haga clic en el icono que quiere aplicar. 1. una tabla.Centro de control de aplicaciones Uso de los filtros: Filtros locales y filtros globales Para depurar la información y controlar con precisión qué muestra el ACC. Haga clic en Filtro para añadir el atributo como un filtro global. Los filtros globales se pueden aplicar de tres formas: • Establecer un filtro global desde una tabla: Seleccionar un atributo desde una tabla en cualquier widget y aplicar el atributo como un filtro global. versión 7. Haga clic en Aplicar.0 Palo Alto Networks . Pase el ratón sobre un atributo en la siguiente tabla bajo el gráfico y haga clic en el menú desplegable. . Uso de filtros • Establecer un filtro local. 348 • Guía de referencia de interfaz web. Filtros locales: Los filtros locales se aplican a un widget específico. 3. 2. Puede aplicar un filtro local de dos modos: haciendo clic en un atributo del gráfico o tabla o usando el icono Establecer filtro dentro de un widget. y añada los filtros Nota: El número de filtros locales aplicado en un widget se indica junto al nombre del widget. El icono Establecer filtro le permite establecer un filtro local que no se elimina al reiniciar. puede aplicar la dirección IP del usuario y la aplicación como un filtro global y ver solo información relativa a ese usuario y aplicación a través de todas las pestañas y widgets en el ACC. Un filtro local le permite interactuar con el gráfico y personalizar la vista para que puede explorar los datos y acceder a la información que quiere supervisar en un widget específico. Seleccione un widget y haga clic en el icono Nota: También puede hacer clic en un atributo en la siguiente tabla bajo el gráfico para aplicarlo como un filtro local.

seleccione el filtro y haga clic en el icono de eliminación. 1.Centro de control de aplicaciones Uso de filtros • Establecer un filtro global usando el panel Filtros globales • Promocionar un filtro local como Haga clic en el icono quiere aplicar. • Para filtros locales: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales. haga clic en el enlace de un atributo. versión 7.0 • 349 . Para promocionar el filtro como un filtro global. 2. • Para filtros globales: Se encuentra en el panel Filtros globales. • Borrar todos los filtros • Para filtros globales: Haga clic en el botón Borrar todo debajo de Filtros globales. • Eliminar un filtro y añada los filtros que Haga clic en el icono para eliminar un filtro. seleccione la flecha a la izquierda del filtro. • Para filtros locales: Seleccione un widget y haga clic en el icono . En cualquier tabla de un widget. De este modo se establece el atributo como un filtro local. Palo Alto Networks Guía de referencia de interfaz web. filtro global. Haga clic en el botón Borrar todo en el widget Configurar filtros locales.

• Para filtros globales: Se encuentra en el panel Filtros globales. añada un filtro y haga clic en el icono de invalidación. 350 • Guía de referencia de interfaz web. debajo de Filtros globales.0 Palo Alto Networks . Para ver los filtros.Centro de control de aplicaciones Uso de filtros • Invalidar filtros Seleccione un atributo y haga clic en el icono para invalidar un filtro. haga clic en el icono Establecer filtros locales. • Para filtros globales: El número de filtros globales aplicado se muestra en el panel izquierdo. versión 7. • Para filtros locales: El número de filtros locales aplicado en un widget se muestra junto al nombre del widget. • Ver filtros en uso. • Para filtros locales: Haga clic en el icono para ver el cuadro de diálogo Configurar filtros locales.

En Panorama puede seleccionar también el origen de datos de la información que se muestra. en una actualización el origen de datos predeterminado son los datos de dispositivo remoto. Los informes incluyen opciones para seleccionar los datos e intervalos para mostrar.Uso de Appscope Uso de Appscope Supervisar > Appscope Los informes de Appscope proporcionan visibilidad gráfica en los siguientes aspectos de la red: • Cambios en el uso de la aplicación y la actividad del usuario • Los usuarios y las aplicaciones que absorben la mayor parte del ancho de banda de la red • Amenazas de red Con los informes de Appscope. cada informe proporciona una ventana dinámica y personalizable por el usuario en la red. el usuario o el origen. la categoría de la aplicación. puede ver rápidamente si se produce algún comportamiento inusual o inesperado y que la detección de cualquier comportamiento problemático sea más sencilla. se pasa al ACC y se proporciona información detallada sobre la aplicación específica. Para recuperar y visualizar una vista agregada de los datos directamente desde los dispositivos gestionados tendrá que cambiar el origen de Panorama a Datos de dispositivo remoto. versión 7. El origen de datos predeterminado (en instalaciones nuevas de Panorama) usa la base de datos local de Panorama que almacena los logs enviados por los dispositivos remotos. Gráficos del Centro de control de aplicaciones Gráfico Descripción Resumen “Informe de resumen” Supervisor de cambios “Informe del supervisor de cambios” Supervisor de amenazas “Informe del supervisor de amenazas” Mapa de amenazas “Informe del mapa de amenazas” Supervisor de red “Informe Supervisor de red” Mapa de tráfico “Informe del mapa de tráfico” Palo Alto Networks Guía de referencia de interfaz web. Al pasar el ratón por encima y hacer clic en las líneas o barras de los gráficos. Tabla 176.0 • 351 .

Informe de resumen de Appscope 352 • Guía de referencia de interfaz web. categorías de aplicación. Ilustración 7. Para exportar los gráficos en el informe de resumen como un PDF. usuarios y orígenes. perdedores. versión 7. .0 Palo Alto Networks .Uso de Appscope Informe de resumen El informe Resumen (Ilustración 7) muestra gráficos de los cinco principales ganadores. aplicaciones de consumo de ancho de banda. haga clic en Cada gráfico se guarda como una página en el PDF creado.

0 • 353 . Categoría de aplicación. Tabla 177. Palo Alto Networks Guía de referencia de interfaz web. Muestra mediciones de elementos que se han suspendido durante el período de medición. Origen o Destino. Ilustración 8. Las principales aplicaciones se determinan por el recuento de sesiones y se ordenan por porcentajes.Uso de Appscope Informe del supervisor de cambios El informe Supervisor de cambios (Ilustración 8) muestra cambios realizados en un período de tiempo específico. Muestra mediciones de elementos que han ascendido durante el período de medición. Muestra mediciones de elementos que se han agregado durante el período de medición. Por ejemplo. Ilustración 8 muestra las principales aplicaciones adquiridas en la última hora en comparación con el último período de 24 horas. Opciones del informe del supervisor de cambios Elemento Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra mediciones de elementos que han descendido durante el período de medición. Determina el tipo de elemento indicado: Aplicación. versión 7. Informe del supervisor de cambios de Appscope Este informe contiene los siguientes botones y las siguientes opciones.

Determina si ordenar entradas por porcentajes o incremento bruto.Uso de Appscope Tabla 177. Opciones del informe del supervisor de cambios (Continuación) Elemento Descripción Aplica un filtro para mostrar únicamente el elemento seleccionado. Exporta el gráfico como imagen .0 Palo Alto Networks . Barra inferior Especifica el período durante el que se realizaron las mediciones de cambio. versión 7. Ninguno muestra todas las entradas. Determina si mostrar información de sesión o byte.png o PDF. 354 • Guía de referencia de interfaz web.

Informe del supervisor de amenazas de Appscope Palo Alto Networks Guía de referencia de interfaz web.0 • 355 . Ilustración 9.Uso de Appscope Informe del supervisor de amenazas El informe del supervisor de amenazas (Ilustración 9) muestra un recuento de las principales amenazas durante el período de tiempo seleccionado. Ilustración 9 muestra los 10 principales tipos de amenaza en las últimas 6 horas. versión 7. Por ejemplo.

Exporta el gráfico como imagen . incluyendo la gravedad. Informe de mapa de amenazas de Appscope 356 • Guía de referencia de interfaz web. Ilustración 10. Informe del mapa de amenazas El informe del mapa de amenazas (Ilustración 10) muestra una vista geográfica de amenazas. Botones del Informe del supervisor de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Tabla 178. Este informe contiene los siguientes botones y las siguientes opciones.Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Origen o Destino.0 Palo Alto Networks . Determina el tipo de elemento medido: Amenaza. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. Barra inferior Especifica el período durante el que se realizaron las mediciones.png o PDF. versión 7. Categoría de amenaza.

Exporta el gráfico como imagen .0 • 357 . Cada función de red está indicada con colores como se indica en la leyenda debajo del gráfico. Acerque y aleje el mapa. Haga clic en un país en el mapa para acercarlo.Uso de Appscope Cada tipo de amenaza está indicado con colores como se indica en la leyenda debajo del gráfico. Este informe contiene los siguientes botones y las siguientes opciones. Por ejemplo. Haga clic en el botón Alejar en la esquina inferior derecha de la pantalla para alejar. Barra inferior Indica el período durante el que se realizaron las mediciones. Palo Alto Networks Guía de referencia de interfaz web. Muestra las amenazas salientes. la Ilustración 11 muestra el ancho de banda de aplicación en los 7 últimos días basándose en la información de sesión. Tabla 179. Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Informe Supervisor de red El informe Supervisor de red (Ilustración 11) muestra el ancho de banda dedicado a diferentes funciones de red durante el periodo especificado. Aplica un filtro para mostrar únicamente el tipo de elemento seleccionado. versión 7.png o PDF. Muestra las amenazas entrantes.

Categoría de aplicación. Determina si la información se presenta en un gráfico de columna apilado o un gráfico de área apilado. Aplica un filtro para mostrar únicamente el elemento seleccionado. Exporta el gráfico como imagen .0 Palo Alto Networks . 358 • Guía de referencia de interfaz web.png o PDF. Botones del Informe del supervisor de red Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Informe del supervisor de red de Appscope El informe contiene los siguientes botones y opciones. Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. Determina si mostrar información de sesión o byte. Tabla 180.Uso de Appscope Ilustración 11. Determina el tipo de elemento indicado: Aplicación. Origen o Destino. Ninguno muestra todas las entradas. versión 7.

0 • 359 . Ilustración 12. Este informe contiene los siguientes botones y las siguientes opciones. versión 7. Palo Alto Networks Guía de referencia de interfaz web.Uso de Appscope Informe del mapa de tráfico El informe Mapa de tráfico (Ilustración 12) muestra una vista geográfica de los flujos de tráfico según las sesiones o los flujos. Informe del mapa de tráfico de Appscope Cada tipo de tráfico está indicado con colores como se indica en la leyenda debajo del gráfico.

consulte “Definición de funciones de administrador”. Para ubicar entradas específicas. versión 7. Puede visualizar los logs actuales en cualquier momento. flujos de tráfico. Para obtener información acerca de los permisos de administrador. Determina si mostrar información de sesión o byte. solo se incluye la información de cuyo permiso dispone. haga clic en los tipos de logs en el lado izquierdo de la página en la pestaña Supervisar.Visualización de logs Tabla 181. amenazas. Cuando muestra logs. Visualización de logs Supervisar > Logs El cortafuegos mantiene logs de coincidencias de WildFire. Muestra las amenazas salientes. filtrado de URL. Para ver los logs. 360 • Guía de referencia de interfaz web. Exporta el gráfico como imagen . Barra inferior Indica el período durante el que se realizaron las mediciones de cambio. sistema. alarmas. filtrado de datos y perfil de información de host (HIP). Botones del Informe del mapa de amenazas Botón Descripción Barra superior Determina el número de registros con la mayor medición incluidos en el gráfico. Muestra las amenazas entrantes. configuraciones.png o PDF. El cortafuegos muestra la información en logs por lo que se respetan los permisos de administración basado en función. Acerque y aleje el mapa.0 Palo Alto Networks . puede aplicar filtros a la mayoría de los campos de log.

Visualización de logs Tabla 182. la acción de la regla (permitir. mientras que “denegación” indica que la regla ha identificado una aplicación específica. Amenaza Muestra una entrada para cada alarma de seguridad generada por el cortafuegos. Tenga en cuenta que la columna Tipo indica el tipo de amenaza. Una “asignación” indica que la regla de seguridad que ha bloqueado el tráfico ha especificado una aplicación “cualquiera”. un nombre de amenaza o URL. como se indica en la siguiente ilustración. las zonas de origen y destino. Haga clic en junto a una entrada para ver detalles adicionales acerca de la sesión. direcciones. Envíos a WildFire Muestra logs de archivos que se han cargado y actualizado por el servidor WildFire. la aplicación aparece como “no aplicable”. los datos de logs se reenvían al dispositivo después del análisis junto con los resultados del análisis. Palo Alto Networks Guía de referencia de interfaz web.” La columna Nombre es la descripción de la amenaza o URL y la columna Categoría es la categoría de la amenaza (como “Registrador de pulsaciones de teclas”) o la categoría de la URL. Consulte “Perfiles de filtrado de URL” para obtener más información sobre cómo definir perfiles de filtrado de URL. Si las capturas de paquetes locales están activadas. el nombre de la aplicación.0 • 361 . Para activar las capturas de paquetes locales. como si una entrada ICMP agrega varias sesiones entre el mismo origen y destino (el valor Recuento será superior a uno). Tenga en cuenta que la columna Tipo indica si la entrada es para el inicio o el fin de la sesión o si se ha denegado o asignado la sesión. las direcciones y puertos. las zonas de origen y destino. como “virus” o “spyware. el nombre de la regla de seguridad aplicada al flujo. haga clic en junto a una entrada para acceder a los paquetes capturados. Cada entrada incluye la fecha y hora. el nombre de aplicación y la acción de alarma (permitir o bloquear) y la gravedad. la interfaz de entrada y salida. Descripciones del log Gráfico Descripción Tráfico Muestra una entrada para el inicio y el final de cada sesión. versión 7. denegar o borrar). puertos. consulte las subdivisiones en “Perfiles de seguridad”. como cuando una regla asigna todo el tráfico a un servicio específico. Todas las entradas incluyen la fecha y la hora. filtrado de URL Muestra logs de filtros de URL que bloquean el acceso a sitios web y categorías de sitio web específicos o generan una alerta cuando se accede a un sitio web. como si la entrada agrega varias amenazas del mismo tipo entre el mismo origen y destino (el valor Recuento será superior a uno). Puede activar la creación de logs de las opciones de encabezados HTTP para la URL. el número de bytes y la razón para finalizar la sesión. Haga clic en junto a una entrada para ver detalles adicionales acerca de la amenaza. Si se asigna el tráfico antes de identificar la aplicación.

Consulte “Perfiles de filtrado de datos” para obtener más información sobre cómo definir perfiles de filtrado de datos. por ejemplo. Para obtener más información. Por ejemplo. el log mostrará que el archivo fue reenviado y también el estado para saber si se cargó correctamente en WildFire. Para configurar la protección de contraseña para el acceso a detalles de una entrada de log. Sistema Muestra una entrada para cada evento del sistema. Alarmas El log Alarmas registra información detallada sobre las alarmas que genera el sistema. Descripciones del log (Continuación) Gráfico Descripción Filtrado de datos Muestra logs para las políticas de seguridad que ayudan a evitar que informaciones confidenciales como números de tarjetas de crédito o de la seguridad social abandonen el área protegida por el cortafuegos.252 y Explorador web. La información de este log también se indica en la ventana Alarmas. Coincidencias HIP Muestra información acerca de las políticas de seguridad aplicadas a clientes de GlobalProtect. si reenvía archivos PE a WildFire. Cada página de log cuenta con una área de filtro en la parte superior de la página. – Para definir otro criterio de búsqueda. como una dirección IP dentro de un periodo específico. haga clic en el icono Añadir filtro de log. la gravedad del evento y una descripción del evento. haga clic en el icono . puede ver logs de un atributo específico. Interacción con logs • Use los filtros: Los filtros le permiten analizar los archivos de logs en función de sus necesidades. podrá ver los resultados de dicha acción. Si reenvía archivos a WildFire. Cada entrada incluye la fecha y hora. Nota: El sistema le solicitará introducir la contraseña solo una vez por sesión. consulte “Configuración del portal de GlobalProtect”. el tipo de cliente (Web o CLI). Configuración Muestra una entrada para cada cambio de configuración. si hace clic en el enlace Host en la entrada de log de 10.0. la ruta de configuración y los valores anteriores y posteriores al cambio. si el comando se ha ejecutado correctamente o ha fallado. el tipo de comando ejecutado. Por ejemplo. En este caso. la dirección IP desde la cual se ha realizado el cambio. Consulte “Definición de configuración de alarmas”. si está bloqueando archivos . Consulte “Definición de páginas de respuesta personalizadas” para obtener instrucciones acerca de cómo cambiar o eliminar la contraseña de protección de datos. Este log también muestra información de perfiles de bloqueo de archivos. Cada entrada incluye la fecha y hora. versión 7. el atributo a incluir en la búsqueda. – Haga clic en cualquiera de los enlaces subrayados en la lista de logs para agregar ese elemento como una opción de filtro de logs.exe. Seleccione el tipo de búsqueda (y/o).0. el log le mostrará los archivos que estaban bloqueados. el operador asociado y los valores de la coincidencia.Visualización de logs Tabla 182. Por ejemplo.0 Palo Alto Networks . el nombre de usuario del administrador. Introduzca la contraseña y haga clic en ACEPTAR. si es necesario. Haga clic en Añadir para 362 • Guía de referencia de interfaz web. se agregarán ambos elementos y la búsqueda encontrará entradas que coinciden con ambos (búsqueda Y).

Guía de referencia de interfaz web. incluyendo cualquier filtro aplicado). versión 7. haga clic en el icono de catalejo Palo Alto Networks de una entrada. Haga clic en ACEPTAR. 30 segundos. Utilice los controles de página en la parte inferior de la página para navegar por la lista de logs. haga clic en el botón Guardar filtro. introduzca un nombre para el filtro y haga clic en ACEPTAR. algunos enlaces de la página en el visor de logs podrían no mostrar resultados ya que el número de páginas puede aumentar o reducirse debido a la naturaleza dinámica de la hora seleccionada. • Cambie las entradas que se muestran por página: Las entradas de logs se recuperan en bloques de 10 páginas. – Para guardar sus selecciones como un nuevo filtro. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. • Cambiar el intervalo de actualización automático: Seleccione un intervalo en el menú desplegable (1 min. • Resolver direcciones IP a los nombres de dominio: Seleccione la casilla de verificación Resolver nombre de host para iniciar la resolución de direcciones IP externas en nombres de dominio. Para ordenar los resultados de modo ascendente o descendente. – Para exportar la lista actual de logs (como se muestra en la página. la exportación de la lista de logs al formato CSV genera un informe CSV con hasta 2. use el menú desplegable ASC o DESC. utilice el campo Máx.Visualización de logs agregar el criterio al área de filtro en la página de log. • Exportar logs: Para exportar la lista actual de logs en formato CSV. seleccione el icono Exportar a CSV .0 • 363 . seleccione el número de filas en el menú desplegable Filas. de filas en exportación CSV (seleccione Dispositivo > Configuración > Gestión > Configuración de log e informes > Exportación e informes de logs o consulte “Definición de la configuración de gestión”).000 líneas de logs. haga clic en el botón Borrar filtro. Puede combinar expresiones de filtro agregadas en la página de log con aquellas que ha definido en la ventana emergente Expresión. 10 segundos o Manual). – Para eliminar filtros y volver a mostrar la lista sin filtrar. Haga clic en el iconoAplicar filtro para mostrar la lista filtrada. Cada uno se agrega como una entrada en la línea Filtro de la página de log. De manera predeterminada. luego haga clic en Cerrar para cerrar la ventana emergente. Para cambiar el límite de línea de los informes CSV generados. • Ver detalles de log adicionales: Para mostrar detalles adicionales. Para cambiar el número de entradas de logs por página. Si establece el filtro “en” Tiempo recibido como Últimos 60 segundos. haga clic en el botón Guardar filtro.

Para ver la dirección IP asociada. versión 7. 364 • Guía de referencia de interfaz web. Visualización de la información del sistema Supervisar > Explorador de sesión Abra la página Explorador de sesión para explorar y filtrar sesiones actualmente en ejecución en el cortafuegos. Para obtener información acerca de las opciones de filtrado en esta página. se presentará el nombre en lugar de la dirección IP.0 Palo Alto Networks . mueva su cursor sobre el nombre.Visualización de logs Si el origen o el destino cuentan con una dirección IP para la asignación de nombres definida en la página Direcciones. consulte “Visualización de logs”.

orígenes de datos que se usarán para las búsquedas y el periodo durante el que buscarán dichos patrones. Palo Alto Networks Guía de referencia de interfaz web. Consulte Use el motor de correlación automatizada Visualización de los objetos de correlación Supervisar > Motor de correlación automatizada > Objetos de correlación Para contrarrestar los avances en los métodos de explotación y distribución de malware. El motor funciona como su analista de seguridad personal. Ofrecen la inteligencia para identificar patrones de comportamiento sospechosos en diferentes conjuntos de logs y recopilan las pruebas necesarias para investigar y dar respuestas rápidas a los eventos. los objetos de correlación amplían las funciones de detección de malware basadas en firmas en el cortafuegos. El motor de correlación usa objetos de correlación que generan eventos correlacionados. El motor de correlación automatizada solo es compatible con las siguientes plataformas: • Panorama: M-Series y el dispositivo virtual • Cortafuegos de la serie PA-3000 • Cortafuegos de la serie PA-5000 • Cortafuegos de la serie PA-7000 ¿Qué desea saber? Consulte ¿Qué son los objetos de correlación? “Visualización de los objetos de correlación” ¿Qué es un evento correlacionado? “Visualización de los eventos correlacionados” ¿Dónde puedo ver una prueba de coincidencia para una coincidencia de correlación? ¿Cómo puedo ver una vista gráfica de coincidencias de correlación? ¿Desea obtener más información? ¿No encuentra lo que busca? Consulte el widget de hosts en riesgo en “Centro de control de aplicaciones”. que escudriña eventos aislados en los diferentes conjuntos de logs en el cortafuegos. Los eventos correlacionados cotejan las pruebas para ayudarle a llevar un seguimiento de eventos comunes entre eventos de red no relacionados a primera vista. le permite centrarse en la respuesta a incidentes.0 • 365 . Un patrón es una estructura booleana de condiciones que consulta los orígenes de datos y a cada patrón se le asigna un nivel de gravedad y un umbral. además. Un objeto de correlación es un archivo de definición que especifica patrones para la búsqueda de coincidencias.Uso del motor de correlación automatizada Uso del motor de correlación automatizada El motor de correlación automatizada realiza un seguimiento de los patrones de su red y correlaciona eventos que indican un aumento de los comportamientos o eventos sospechosos que se convierten en actividad malintencionada. versión 7. solicita los datos de patrones específicos y analiza la información obtenida para que pueda disponer de información procesable.

Hora de actualización La marca de tiempo a la que se actualizó la última coincidencia. Los orígenes de datos usados para realizar las búsquedas pueden incluir los siguientes logs: estadísticas de aplicación. Estado Indica si el objeto de correlación está habilitado (activo) o deshabilitado (inactivo). Palo Alto Networks define los objetos de correlación. resumen de tráfico. versión 7. se registra un evento de correlación. ID Un número exclusivo que identifica el objeto de correlación. cada coincidencia se registra como un evento correlacionado.0 Palo Alto Networks . movimiento lateral del malware en el tráfico. Categoría Resumen del tipo de amenaza o riesgo para la red. Visualización de los eventos correlacionados Supervisar > Motor de correlación automatizada > Eventos correlacionados Los eventos correlacionados amplían las funciones de detección de amenazas en el cortafuegos y Panorama. filtrado de URL y logs de amenazas. Para deshabilitar un objeto. amenazas. Debe contar con una licencia de prevención de amenazas para obtener actualizaciones de contenido. los eventos correlacionados recopilan pruebas o sospechas de comportamiento inusual en los hosts en la red. El evento correlacionado incluye los siguientes detalles: Campo Descripción Hora de coincidencias La hora a la que el objeto de correlación activó una coincidencia. Por ejemplo. El objeto de correlación permite pivotar en ciertas condiciones o comportamientos y seguir la pista de eventos comunes en múltiples orígenes de logs. tráfico. que se incluyen en las actualizaciones de contenido. usuario o host. Cuando se observa un conjunto de condiciones especificadas en un objeto de correlación en la red. 366 • Guía de referencia de interfaz web. Cuando se produce una coincidencia con un patrón.Uso del motor de correlación automatizada que es el número de veces que se produce una coincidencia con el patrón dentro de un límite de tiempo definido. filtrado de datos y filtrado de URL. Este número pertenece a la serie 6000. resumen de amenazas. seleccione la casilla de verificación junto al objeto y haga clic en Deshabilitar. patrones de malware. Todos los objetos de correlación están habilitados de forma predeterminada. Descripción Especifica las condiciones de coincidencia con las que el cortafuegos o Panorama analizará los logs. la definición de un objeto de correlación puede incluir un conjunto de patrones que consulta los logs en busca de pruebas de hosts infectados. Un objeto de correlación incluye los siguientes campos: Campo Descripción Nombre y título La etiqueta indica el tipo de actividad que detecta el objeto de correlación. Describe el patrón de aumento o ruta de progresión que se usará para identificar la actividad malintencionada o el comportamiento sospechoso del host.

Consulte una vista gráfica de la información en la pestaña Eventos correlacionados. Palo Alto Networks Guía de referencia de interfaz web. Gravedad Una escala que clasifica el riesgo en función del alcance de los daños. Trabajo con informes de Botnet La función Informe de Botnet le permite utilizar mecanismos basados en el comportamiento para identificar posibles hosts infectados por Botnet en la red. Usuario de origen La información del usuario y grupo de usuario del servidor de directorios si se habilita el User-ID. Dirección de origen La dirección IP del usuario desde el que se originó el tráfico. el cortafuegos asigna a cada posible host infectado un margen de confianza del 1 al 5 para indicar la probabilidad de infección del botnet (1 indica la probabilidad de infección más baja y 5 la probabilidad más alta). el cortafuegos evalúa las amenazas según criterios que incluyen visitas a sitios de malware y sitios de DNS dinámicos. Después de establecer una correlación e identificación de los hosts que coinciden con un comportamiento de botnet infectado. Para configurar notificaciones al registrar un evento de correlación. Para mostrar detalles adicionales. consulte el widget Hosts en riesgo en la pestaña ACC > Actividad de amenazas.Trabajo con informes de Botnet Campo Descripción Nombre de objeto El nombre del objeto de correlación que activó la coincidencia. Detalles de coincidencia: Un resumen de los detalles de coincidencia que incluye la hora de la coincidencia. la vista se compone de usuarios y direcciones IP de origen ordenados por nivel de gravedad. Evidencia de coincidencias Esta pestaña incluye todas las pruebas que corroboran el evento correlacionado. vaya a la pestaña Dispositivo > Configuración de log o Panorama > Configuración de log. el cortafuegos genera un informe cada 24 horas con una lista de