Está en la página 1de 530

Guía de referencia de interfaz web

Versión 7.0

Información de contacto
Sede de la empresa:
Palo Alto Networks
4401, Great America Parkway
Santa Clara, CA 95054 (EE. UU.)

http://www.paloaltonetworks.com/contact/contact/

Acerca de esta guía
Esta guía describe el cortafuegos de última generación de Palo Alto Networks y las interfaces web de Panorama.
Proporciona información sobre cómo usar la interfaz web e información de referencia para rellenar campos de la
interfaz:

Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el
cortafuegos y Panorama, consulte https://www.paloaltonetworks.com/documentation.

Para acceder a la base de conocimientos, documentación al completo, foros de debate y vídeos, consulte
https://live.paloaltonetworks.com.

Para ponerse en contacto con el equipo de asistencia técnica, obtener información sobre los programas de asistencia
técnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.

Para leer las notas sobre la última versión, vaya la página de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

Para enviar sus comentarios sobre la documentación, diríjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007-2015 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales de Palo Alto Networks, Inc.
Fecha de revisión: julio 1, 2015

ii

julio 1, 2015 - Palo Alto Networks CONFIDENCIAL DE EMPRESA

Contenido
Capítulo 1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

Descripción general del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Características y ventajas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Interfaces de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Capítulo 2
Primeros pasos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Uso de la interfaz web del cortafuegos de Palo Alto Networks . . . . . . . . . . 6
Compilación de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Búsqueda de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Bloqueo de transacciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Exploradores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Obtención de ayuda para la configuración del cortafuegos . . . . . . . . . . . 14
Cómo obtener más información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Capítulo 3
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Configuración del sistema, configuración y gestión de licencias . . . . . . . . . . . . . . 16
Definición de la configuración de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Definición de la configuración de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Definición de módulos de seguridad de hardware . . . . . . . . . . . . . . . . . . . . . . . . 34
Habilitación de supervisión de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Definición de la configuración de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Ruta de servicio de destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Definición de la configuración de ID de contenido . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuración de ajustes de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Definición de la configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configuración de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tiempos de espera de sesión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Ajustes de descifrado: Comprobación de revocación de certificado . . . . . . . 53
Ajustes de descifrado: Reenviar los ajustes de certificados
del servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Configuración de sesión de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • iii

Contenido

Comparación de archivos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Instalación de una licencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Comportamiento tras el vencimiento de la licencia . . . . . . . . . . . . . . . . . . . . . 57
Definición de orígenes de información de VM . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Instalación de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Actualización de definiciones de aplicaciones y amenazas . . . . . . . . . . . . . . . . . 63
Funciones, perfiles y cuentas de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de funciones de administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Definición de perfiles de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Requisitos de nombre de usuario y contraseña . . . . . . . . . . . . . . . . . . . . . . . . 70
Creación de cuentas administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Especificación de dominios de acceso para administradores . . . . . . . . . . . . . . . . 72
Configuración de perfiles de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Creación de una base de datos de usuario local . . . . . . . . . . . . . . . . . . . . . . . . . 77
Cómo añadir grupos de usuarios locales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes de servidor RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuración de ajustes del servidor TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes de servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuración de ajustes del servidor Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuración de una secuencia de autenticación . . . . . . . . . . . . . . . . . . . . . . . . . 83
Programación de exportaciones de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Definición de destinos de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Configuración del log Configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuración del log Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuración del log Coincidencias HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Definición de configuración de alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Gestión de configuración de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Configuración de destinos de traps SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Configuración de servidores Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuración de ajustes de notificaciones por correo electrónico . . . . . . . . . . . . 94
Configuración de ajustes de flujo de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configuración de un perfil de servidor de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Uso de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Gestión de certificados de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Gestión de entidades de certificación de confianza predeterminadas . . . . 100
Creación de un perfil del certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Cómo añadir un respondedor OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Gestión de perfiles de servicio SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Cifrado de claves privadas y contraseñas del cortafuegos . . . . . . . . . . . . . . . . 104
Habilitación de HA en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Definición de sistemas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuración de puertas de enlace compartidas . . . . . . . . . . . . . . . . . . . . . . . 116
Definición de páginas de respuesta personalizadas . . . . . . . . . . . . . . . . . . . . . 117
Visualización de información de asistencia técnica . . . . . . . . . . . . . . . . . . . . . . . 119

Capítulo 4
Configuración de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

121

Definición de cables virtuales (Virtual Wires) . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Configuración de la interfaz de un cortafuegos . . . . . . . . . . . . . . . . . . . . 122
Resumen de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Componentes comunes de las interfaces de cortafuegos . . . . . . . . . . . . . . . . . . 124

iv • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Contenido

Componentes comunes de interfaces de cortafuegos de la serie PA-7000 . . . .
Configure la interfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configure la interfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la subinterfaz de capa 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de cable virtual (Virtual Wire) . . . . . . . . . . . . .
Configuración de una subinterfaz de cable virtual (Virtual Wire) . . . . . . . . . . .
Configuración de una interfaz de Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una subinterfaz de tarjeta de log . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de reflejo de descifrado . . . . . . . . . . . . . . . . . .
Configuración de los grupos de interfaces de agregación . . . . . . . . . . . . . . . .
Configuración una interfaz de agregación . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de bucle invertido . . . . . . . . . . . . . . . . . . . . . . .
Configuración de una interfaz de túnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de un enrutador virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Rutas estáticas . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Perfiles de redistribución . . . . . . . . . . . . . . . .
Configuración de la pestaña RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña OSPFv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la pestaña Multidifusión. . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de zonas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del ECMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Más estadísticas de tiempo de ejecución para un enrutador virtual . . . . . .
Configuración de la compatibilidad de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dirección DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del retransmisión DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del cliente DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplo: Configure un servidor DHCP con opciones personalizadas . . . . . .
Configuración de proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Resumen proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acciones adicionales de proxy DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes del LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definiendo perfiles de gestiones de interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles de protección de zonas . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la protección contra inundaciones . . . . . . . . . . . . . . . . . .
Configuración de la protección de reconocimiento . . . . . . . . . . . . . . . . . . .
Configuración de la protección de ataques basada en paquetes . . . . . . .
Definición de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Componentes de perfiles LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Palo Alto Networks

125
126
128
128
137
142
144
144
145
146
147
148
151
151
152
158
160
161
162
163
163
165
167
172
177
185
189
190
192
199
199
200
200
201
205
206
207
209
210
211
211
213
213
213
214
217
218
219
220
222
222
226
227

Guía de referencia de interfaz web, versión 7.0 • v

Contenido

Capítulo 5
Políticas y perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

229

Tipos de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Traslado o duplicación de una política o un objeto . . . . . . . . . . . . . . . . . . .
Cancelación o reversión de una regla de seguridad predeterminada . . . .
Cancelación o reversión de un objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Especificación de usuarios y aplicaciones para las políticas. . . . . . . . . . . . .
Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de políticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . .
Consulte:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bloques de creación de una política de seguridad . . . . . . . . . . . . . . . . . . . . . . .
Creación y gestión de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de políticas en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Determinación de configuración de zona en NAT y política de seguridad . . .
Opciones de regla NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de política NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ejemplos de NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de traducción de dirección de red . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete original . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Paquete traducido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de reenvío basado en políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino/aplicación/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Reenvío . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Políticas de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de cancelación de aplicación . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Protocolo/Aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Categoría de URL/servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de políticas DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opción/Protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

vi • Guía de referencia de interfaz web, versión 7.0

230
230
232
233
234
235
235
236
237
245
247
248
250
250
251
252
252
256
256
257
258
260
261
262
263
264
265
266
266
267
268
268
269
269
270
270
271
271
272
272
273
273
274
274
274
275
276
276
277

Palo Alto Networks

Contenido

Acciones en perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Cuadro de diálogo Perfil de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de protección de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de bloqueo de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de análisis de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de filtrado de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de objetos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de direcciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de regiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Descripción general de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de grupos de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtros de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crear etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso del explorador de etiquetas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de etiquetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Listas de bloqueos dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas personalizadas de spyware y vulnerabilidades . . . . . . . . . . . . . . . . . .
Definición de patrones de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definición de firmas de spyware y vulnerabilidad . . . . . . . . . . . . . . . . . . .
Categorías de URL personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grupos de perfiles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reenvío de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Perfiles de descifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

277
279
279
280
281
281
285
289
293
297
298
300
302
303
304
307
308
308
314
317
317
318
319
320
321
322
323
325
326
328
328
329
332
334
335
336
341

Capítulo 6
Informes y logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

343

Otros objetos de las políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Uso del panel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Centro de control de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Uso

Palo Alto Networks

Vistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
de Appscope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Informe de resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Informe del supervisor de cambios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Informe del supervisor de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Informe del mapa de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Informe Supervisor de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Guía de referencia de interfaz web, versión 7.0 • vii

Contenido

Informe del mapa de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Visualización de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Interacción con logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
Visualización de la información del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 368
Uso del motor de correlación automatizada . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los objetos de correlación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Visualización de los eventos correlacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Trabajo con informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Configuración del informe de Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Gestión de informes de Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de resumen en PDF . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Gestión de informes de actividad del usuario/grupo . . . . . . . . . . . . . . . . 376
Gestión de grupos de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Programación de informes para entrega de correos electrónicos . . . . . . . 378
Visualización de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Generación de informes personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Realización de capturas de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Descripción general de captura de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Componentes de una captura de paquetes personalizada . . . . . . . . . . . . . . . . 382
Habilitación de captura de paquetes de amenazas . . . . . . . . . . . . . . . . . . . . . . 385

Capítulo 7
Configuración del cortafuegos para el usuario de usuarios . . . . . . . . . .

387

Configuración del cortafuegos para la identificación de usuarios . . . . . . . . . . .
Pestaña Asignación de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de ID de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Agentes de servicios de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Asignación de grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Configuración de portal cautivo . . . . . . . . . . . . . . . . . . . . . . . . . . .

387
388
395
397
397
400

Capítulo 8
Configuración de túneles de IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

403

Definición de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Gestión de puertas de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General de puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Opciones avanzadas de puerta de enlace de IKE . . . . . . . . . . . . . . . .
Reinicie o actualice una puerta de enlace de IKE . . . . . . . . . . . . . . . . . . . . . . . .

Configuración de túneles de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de túneles VPN de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña General del túnel IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pestaña Identificadores proxy de Túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . .
Visualización del estado del túnel de IPSec en el cortafuegos . . . . . . . . . . . . . .
Reinicie o actualice un túnel de IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Definición de perfiles criptográficos de IKE . . . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .
Definición de perfiles criptográficos de IPSec . . . . . . . . . . . . . . . . . . . . . .

viii • Guía de referencia de interfaz web, versión 7.0

404
404
407
409
409
410
410
412
413
413
414
415
416

Palo Alto Networks

Contenido

Capítulo 9
Configuración de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

417

Configuración del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración de portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Configuración de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . 429
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
Pestaña Configuración clientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
Pestaña Configuración Satélite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Configuración del acceso de la puerta de enlace a un gestor
de seguridad móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Creación de objetos HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Pestaña Dispositivo móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Pestaña Administración de parches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Pestaña Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Pestaña Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Pestaña Antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Copia de seguridad de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Pestaña Cifrado de disco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Pestaña Prevención de pérdida de datos . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Pestaña Comprobaciones personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración de perfiles de HIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Configuración y activación del agente de GlobalProtect . . . . . . . . . . . . . . . . . 451
Configuración del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Uso del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Capítulo 10
Configuración de la calidad de servicio . . . . . . . . . . . . . . . . . . . . . . . .

455

Definición de un perfil de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Definición de una política de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Habilitación de QoS para interfaces de cortafuegos . . . . . . . . . . . . . . . . 463
Descripción general de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Habilitación de la QoS en una interfaz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Supervisión de una interfaz de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Capítulo 11
Gestión centralizada del dispositivo mediante Panorama . . . . . . . . . . .

467

Pestaña Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Cambio de contexto de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de particiones de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . 472
Configuración de alta disponibilidad (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Gestión de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Copia de seguridad de las configuraciones del cortafuegos . . . . . . . . . . . . . . 479
Definición de grupos de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Objetos y políticas compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Aplicación de políticas a dispositivos específicos de
un grupo de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • ix

Contenido

Definición de funciones de administrador de Panorama . . . . . . . . . . . . . . . . . . . 482
Creación de cuentas administrativas de Panorama . . . . . . . . . . . . . . . . . . . . . . 483
Especificación de dominios de acceso de Panorama para administradores . . . 486
Compilación de los cambios en Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 488
Gestión de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . 490
Definición de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Definición de pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
Cancelación de ajustes de plantilla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Duplicación de plantillas y pilas de plantillas . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Eliminación o deshabilitación de plantillas o pilas de plantillas . . . . . . . . . . . . . 495
Logs e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Habilitación del reenvío de logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Gestión de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Cómo añadir un recopilador de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Instalación de una actualización de software en un recopilador de logs . . . . . . 504
Definición de grupos de recopiladores de logs . . . . . . . . . . . . . . . . . . . . . 504
Generación de informes de actividad de usuario . . . . . . . . . . . . . . . . . . . 508
Gestión de actualizaciones de dispositivos y licencias . . . . . . . . . . . . . . . . 509
Programación de actualizaciones dinámicas . . . . . . . . . . . . . . . . . . . . . . . 511
Programación de exportaciones de configuración. . . . . . . . . . . . . . . . . . . 512
Actualización del software de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . 514

Registro del cortafuegos VM-Series como servicio en
el administrador NSX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Actualización de información del administrador de servicios VMware . . . . 517

Apéndice A
Compatibilidad con los estándares federales de procesamiento de la
información/criterios comunes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

519

Activación del modo CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
Funciones de seguridad de CC/FIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

x • Guía de referencia de interfaz web, versión 7.0

521

Palo Alto Networks

el cortafuegos de nueva generación de Palo Alto Networks utiliza la inspección de paquetes y una biblioteca de firmas de aplicaciones para distinguir entre aplicaciones que tengan protocolos y puertos idénticos.0 • 1 . A diferencia de los cortafuegos tradicionales que únicamente identifican las aplicaciones por su protocolo y número de puerto. así como para identificar aplicaciones potencialmente malintencionadas que no utilicen puertos estándar. diseñado para oficinas remotas de una empresa.Capítulo 1 Introducción Esta sección proporciona una descripción general del cortafuegos: • “Descripción general del cortafuegos” • “Características y ventajas” • “Interfaces de gestión” Descripción general del cortafuegos Palo Alto Networks® ofrece una gama completa de dispositivos de seguridad de nueva generación. spyware y otras amenazas. cada política de seguridad puede especificar perfiles de seguridad como protección frente a virus. que van desde el cortafuegos PA-200. mantener una visibilidad y un control absolutos y proteger la organización de las ciberamenazas más recientes. El cortafuegos le permite especificar políticas de seguridad basadas en la identificación precisa de cada una de las aplicaciones que atraviesen su red. que es un chasis modular diseñado para centros de datos de alta velocidad. Puede especificar una política de seguridad para cada aplicación identificada con el fin de bloquear o permitir el tráfico basándose en las zonas y direcciones de origen y destino (IPv4 e IPv6). puede definir políticas de seguridad para aplicaciones específicas o grupos de aplicaciones en lugar de utilizar una única política para todas las conexiones al puerto 80. versión 7. hasta el cortafuegos de la serie PA-7000. Asimismo. Palo Alto Networks Guía de referencia de interfaz web. Para habilitar de forma segura el uso de aplicaciones.

registros y mecanismos de notificación ofrecen una visibilidad detallada del tráfico de aplicaciones y los eventos de seguridad en la red. versión 7. SunOne. el administrador podría permitir que una organización utilizara una aplicación basada en Internet e impedir que cualquier otra organización de la empresa utilizarla la misma aplicación. • Versatilidad de red y velocidad: El cortafuegos de Palo Alto Networks puede añadirse o sustituir a su cortafuegos existente. en lugar de zonas y direcciones de red. El centro de comando de aplicación (ACC) de la interfaz web identifica las aplicaciones con mayor tráfico y el más alto riesgo de seguridad (consulte “Informes y logs”). así como comportamientos de alto riesgo. El servicio App-ID puede bloquear aplicaciones de alto riesgo. • Prevención de amenazas: Los servicios de prevención de amenazas que protegen la red frente a virus. como Microsoft Active Directory. • GlobalProtect: El software GlobalProtect™ protege los sistemas cliente. o además de estas. 2 • Guía de referencia de interfaz web. gusanos. Por ejemplo.0 Palo Alto Networks . para proporcionar información de usuarios y grupos al cortafuegos. y puede instalarse de manera transparente en cualquier red o configurarse para permitir un entorno conmutado o enrutado. permitiendo iniciar sesión de manera fácil y segura desde cualquier parte del mundo. OpenLDAP y la mayoría de los otros servidores de directorio basados en LDAP. que se utilizan a nivel de campo. y el tráfico cifrado con el protocolo Secure Sockets Layer (SSL) puede descifrarse e inspeccionarse. El cortafuegos puede comunicarse con numerosos servidores de directorio. • Filtrado de URL: Las conexiones salientes pueden filtrarse para impedir el acceso a sitios web inadecuados (consulte “Perfiles de filtrado de URL”). También puede configurar un control detallado de determinados componentes de una aplicación basándose en usuarios y grupos (consulte “Configuración del cortafuegos para el usuario de usuarios”). como ordenadores portátiles. como el intercambio de archivos. • Funcionamiento a prueba de fallos: La asistencia de alta disponibilidad (HA) ofrece una tolerancia a fallos automática en el caso de cualquier interrupción en el hardware o el software (consulte “Habilitación de HA en el cortafuegos”). Las velocidades de varios gigabits y la arquitectura de un único paso le ofrecen estos servicios sin apenas afectar a la latencia de red.Características y ventajas Características y ventajas Los cortafuegos de próxima generación de Palo Alto Networks ofrecen un control detallado del tráfico que tiene permiso para acceder a su red. spyware y otro tráfico malintencionado pueden variar según la aplicación y el origen del tráfico (consulte “Perfiles de seguridad”). • Visibilidad del tráfico: Los extensos informes. Las principales características y ventajas incluyen las siguientes: • Cumplimiento de políticas basadas en aplicaciones (App-ID™): El control de acceso según el tipo de aplicación es mucho más eficaz cuando la identificación de las aplicaciones no se basa únicamente en el protocolo y el número de puerto. A continuación podrá utilizar esta información para una habilitación segura de aplicaciones que puede definirse por usuario o por grupo. • Identificación de usuarios (User-ID™): La identificación de usuarios (User-ID) permite que los administradores configuren y apliquen políticas de cortafuegos basadas en usuarios y grupos de usuarios. eDirectory.

0 • 3 . Secure Shell (SSH) o el puerto de la consola. • Cortafuegos de la VM-Series: Un cortafuegos de VM-Series proporciona una instancia virtual de PAN-OS® situada para su uso en un entorno de centro de datos virtualizado y es perfecto para sus entornos de computación en la nube privados. que cuenta con una interfaz web muy parecida a la interfaz web de los cortafuegos de Palo Alto Networks. • CLI: La configuración y la supervisión basadas en texto se realizan a través de Telnet. • Interfaz web: La configuración y la supervisión se realizan a través de HTTP o HTTPS desde un explorador web. • Panorama: Es un producto de Palo Alto Networks que permite una gestión. puede gestionar todos los dispositivos de manera centralizada mediante el sistema de gestión centralizado de Panorama. versión 7. informes y capturas de paquetes desde el cortafuegos. • API XML: Proporciona una interfaz basada en la transferencia de estado representacional (REST) para acceder a la configuración de dispositivos.Interfaces de gestión • Elaboración de análisis e informes sobre software malintencionado: El servicio de seguridad WildFire™ proporciona análisis e informes detallados sobre el software malintencionado que pasa por el cortafuegos. Del mismo modo. La interfaz de Panorama es parecida a la interfaz web del cortafuegos pero con funciones de gestión adicionales (consulte “Gestión centralizada del dispositivo mediante Panorama” para obtener información sobre el uso de Panorama). donde cortafuegos es el nombre de host o la dirección IP del cortafuegos. Este enlace proporciona ayuda sobre los parámetros necesarios para cada tipo de llamada de la API. Palo Alto Networks Guía de referencia de interfaz web. el estado de funcionamiento. públicos e híbridos. • Gestión y Panorama™: Puede gestionar cada cortafuegos mediante una interfaz web intuitiva o una interfaz de línea de comandos (CLI). Interfaces de gestión Los cortafuegos de próxima generación de Palo Alto Networks admiten las siguientes interfaces de gestión. una elaboración de informes y un registro basados en Internet para varios cortafuegos. Hay disponible un explorador de API en el cortafuegos en https://cortafuegos/api.

Interfaces de gestión 4 • Guía de referencia de interfaz web.0 Palo Alto Networks . versión 7.

0 • 5 . versión 7.Capítulo 2 Primeros pasos Este capítulo describe cómo configurar y comenzar a utilizar el cortafuegos de Palo Alto Networks: • “Uso de la interfaz web del cortafuegos de Palo Alto Networks” • “Obtención de ayuda para la configuración del cortafuegos” Palo Alto Networks Guía de referencia de interfaz web.

Por ejemplo. las opciones de configuración están anidadas. 2 Seleccione una opción del panel de la izquierda para ver las opciones de una pestaña.Uso de la interfaz web del cortafuegos de Palo Alto Networks Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 1 Haga clic en las pestañas de la parte superior para ver los elementos de configuración bajo esa categoría. Haga clic en la lista desplegable del panel de la izquierda para expandir y contraer las opciones de configuración incluidas en el panel. 6 • Guía de referencia de interfaz web. Este documento identifica esta ruta de navegación en la interfaz web como Red > Enrutadores virtuales. el panel Enrutadores virtuales está seleccionado en la pestaña Red.0 Palo Alto Networks . En el caso de algunas pestañas. versión 7. El elemento resaltado es el que está seleccionado. en la captura de pantalla anterior.

Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 3 Los botones de acción varían según la página pero la mayoría de las páginas incluyen los botones siguientes: • Añadir: Haga clic en Añadir para crear un nuevo elemento. se actualizará la configuración candidata. Cuando haga clic en ACEPTAR. Para guardar los cambios en la configuración que se esté ejecutando. – Los campos obligatorios muestran un fondo amarillo claro. 4 Palo Alto Networks Cierre de sesión: Haga clic en el botón Cierre de sesión para cerrar la sesión de la interfaz web. – Una vez haya configurado los ajustes. – Para modificar secciones dentro de una página (por ejemplo. Haga clic en ACEPTAR para confirmar la eliminación o haga clic en Cancelar para cancelar la operación. • Modificar: Haga clic en el elemento con hiperenlace en la columna Nombre. • Eliminar: Para eliminar uno o más elementos. debe hacer clic en ACEPTAR o Guardar para almacenar los cambios. seleccione las casillas de verificación junto al elemento y haga clic en Eliminar.0 • 7 . Guía de referencia de interfaz web. Dispositivos > Configuración). versión 7. debe hacer clic en Compilar para guardar los cambios. haga clic en el icono de la esquina superior derecha de una sección para editar los ajustes.

Trabajos y Peticiones de log. la interfaz web estará en español cuando inicie sesión en el cortafuegos. Para mostrar u ocultar columnas. Para reconocer alarmas. el idioma de la interfaz web será el mismo que el idioma actual del ordenador desde el que inicie sesión. La lista mostrará las alarmas no reconocidas y reconocidas. Utilice la lista desplegable Mostrar para filtrar la lista de tareas. junto con los estados. • Idioma: Haga clic en Idioma para seleccionar el idioma que desee en la lista desplegable de la ventana Preferencia de idioma y. fechas de inicio. Haga clic en el encabezado de una columna para ordenar según esa columna y haga clic de nuevo para invertir el orden.0 Palo Alto Networks . versión 7. Para habilitar alarmas y notificaciones de alarmas web. vaya a Dispositivo > Configuración de log > Alarmas. • Alarmas: Haga clic en Alarmas para ver la lista actual de alarmas en el log de alarmas. mensajes asociados y acciones. haga clic en la flecha situada a la derecha de cualquier columna y seleccione o cancele la selección de la correspondiente casilla de verificación para mostrar u ocultar la columna en la pantalla.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 5 • Tareas: Haga clic en el icono Tareas para ver la lista actual de Todos los elementos siguientes o aquellos que estén En ejecución: Tareas. haga clic en ACEPTAR para guardar el cambio. si el ordenador que utiliza para gestionar el cortafuegos tiene el español como configuración regional. 8 • Guía de referencia de interfaz web. A menos que especifique una preferencia de idioma. seleccione las casillas de verificación y haga clic en Reconocer. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento. a continuación. La ventana Gestor de tareas muestra la lista de tareas. 6 Las tablas le permiten ordenar los datos y mostrar u ocultar las columnas que puede ver en la página. Por ejemplo.

para borrar un filtro.Uso de la interfaz web del cortafuegos de Palo Alto Networks Elemento Descripción 7 Utilice el cuadro de entrada de filtro para buscar términos. versión 7. nombres o palabras claves de los elementos de la página. Haga clic en el enlace Avanzado.0 • 9 . Palo Alto Networks Guía de referencia de interfaz web. Si desea más información sobre Bloqueos. – Incluir configuración de objeto compartido: (Solamente los cortafuegos con varios sistemas virtuales) Incluir los cambios de configuración de objetos compartidos en la operación de compilación. para mostrar las opciones siguientes: – Incluir configuración de dispositivo y red: Incluir los cambios de configuración de dispositivo y red en la operación de compilación. Compilación de cambios Haga clic en Compilar en la parte superior de la interfaz web para abrir el cuadro de diálogo Compilar. haga clic en . Los resultados de la búsqueda se mostrarán y el número de coincidencias aparecerá como una fracción de los elementos totales mostrados en la esquina izquierda del cuadro de entrada de filtro. El número total de elementos de la página se muestra en la esquina izquierda del cuadro de entrada de filtro. 8 Si desea más información sobre Compilar. si es necesario. haga clic en . Las opciones siguientes están disponibles en el cuadro de diálogo Compilar. consulte “Compilación de cambios”. consulte “Bloqueo de transacciones”. – Incluir políticas y objetos: (Solamente los cortafuegos que no pueden configurarse o que no están configurados para permitir varios sistemas virtuales) Incluir los cambios de configuración de políticas y objetos en la operación de compilación. Para aplicar un filtro. consulte “Búsqueda de la configuración”. Si desea más información sobre Búsqueda.

un nombre de objeto. de modo que pueda encontrar fácilmente todos los lugares donde se hace referencia a la cadena. Esta validación le ayuda a saber si un cambio puede compilarse correctamente antes de realizar dicha compilación. como un perfil de servidor LDAP. finaliza la compilación. versión 7. incluidas las advertencias de dependencias de aplicaciones y atenuación de reglas. modificado o eliminado. Por el contrario. – Incluir configuración del sistema virtual: Incluir todos los sistemas virtuales o elegir Seleccionar uno o más sistemas virtuales. Esto permite que un administrador vea todos los errores inmediatamente tras un fallo de compilación y evita el ciclo de varias compilaciones que devuelven errores adicionales que también deben solucionarse antes de que todos los cambios se compilen correctamente.Uso de la interfaz web del cortafuegos de Palo Alto Networks Los cambios de configuración que abarcan varias áreas de configuración pueden requerir una compilación completa. un nombre de política. Búsqueda de la configuración La búsqueda global le permite buscar en la configuración candidata en un cortafuegos o en Panorama una cadena específica. como una dirección IP.0 Palo Alto Networks . Esto incluye certificados y opciones de ID de usuario. A partir de PAN-OS 7. el cortafuegos recopila y muestra todos los errores y. La opción Validar está disponible en los perfiles de función de administrador para que pueda controlar quién puede validar las configuraciones. Los resultados de búsqueda se agrupan por categoría y proporcionan enlaces a la ubicación de la configuración en la interfaz web. – Validar cambios: Haga clic en Validar cambios para realizar una validación sintáctica (comprobar que la sintaxis de la configuración sea correcta) y una validación semántica (comprobar que la configuración está completa y tiene sentido) de la configuración del cortafuegos antes de compilar los cambios. así como perfiles de servidor utilizados para ID de usuario. si hace clic en Compilar y únicamente selecciona la opción Incluir configuración de dispositivo y red. Puede seleccionar el número de líneas que se mostrarán o mostrar todas las líneas. a continuación. Por ejemplo. – Vista previa de cambios: Haga clic en Vista previa de cambios para abrir una ventana con dos paneles que muestra los cambios propuestos en la configuración candidata en comparación con la configuración que se está ejecutando actualmente. Los cambios están indicados con colores dependiendo de los elementos que se han agregado. consulte “Definición de la configuración de operaciones”.0 y Panorama 7. La función Dispositivo > Auditoría de configuraciones realiza la misma función (consulte “Comparación de archivos de configuración”). Para compilar estos tipos de cambios.0. sin embargo. algunos de los elementos que cambió en la pestaña Dispositivo no se compilarán. lo que reduce los fallos considerablemente en el momento de la compilación. Esto también puede suceder si realiza una compilación parcial tras importar una configuración. Si desea más información sobre la compilación de cambios. el cortafuegos ya no finaliza una compilación cuando aparece el primer error. un ID de amenaza o un nombre de aplicación. no se realizan cambios en la configuración que se está ejecutando. La respuesta incluirá todos los errores y advertencias que incluiría una compilación completa o una compilación de sistemas virtuales. A continuación tiene una lista de funciones de búsqueda global que le ayudarán a realizar búsquedas correctamente: 10 • Guía de referencia de interfaz web. realice una compilación completa y seleccione las opciones de configuración Incluir configuración de dispositivo y red e Incluir políticas y objetos.

Puede iniciar una búsqueda global haciendo clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web de gestión o haciendo clic en Búsqueda global en cualquier área de la interfaz web que admita las búsquedas globales. • Los espacios del texto de búsqueda se tratan como operaciones AND. Haga clic en un elemento de la lista para volver a ejecutar dicha búsqueda. • Para volver a ejecutar una búsqueda anterior.Uso de la interfaz web del cortafuegos de Palo Alto Networks • Si inicia una búsqueda en un cortafuegos con varios sistemas virtuales habilitados o si hay funciones de administrador definidas. verá resultados de búsqueda de cualquier grupo de dispositivos para el que tenga permisos. Lo mismo ocurre con los grupos de dispositivos de Panorama. La lista del historial de búsqueda es exclusiva de cada cuenta de administrador. versión 7. Para acceder a la función Búsqueda global desde dentro de un área de configuración. La captura de pantalla siguiente muestra el icono Búsqueda global que aparece cuando hace clic en la lista desplegable situada a la derecha de un nombre de política de seguridad. si busca política corporativa. Palo Alto Networks Guía de referencia de interfaz web. indíquela entre comillas. • La búsqueda global buscará la configuración candidata. tanto la palabra “política” como la palabra “corporativa” deben existir en el elemento de configuración para encontrarlo. haga clic en el icono Búsqueda situado en la parte superior derecha de la interfaz web y aparecerá una lista con las últimas 20 búsquedas. La captura de pantalla siguiente muestra el icono Búsqueda que es visible desde todas las áreas de la interfaz web. En este caso. Por ejemplo. haga clic en la lista desplegable situada junto a un elemento y haga clic en Búsqueda global. • Para encontrar una frase exacta.0 • 11 . la búsqueda global solamente devolverá resultados de las áreas del cortafuegos para las que tenga permisos.

Etiquetas. Por ejemplo. como la entrada DNS. Por ejemplo. Zona. Perfil HIP. versión 7. Bloqueo de transacciones La interfaz web proporciona asistencia para varios administradores permitiendo a un administrador bloquear un conjunto actual de transacciones y de ese modo evitar cambios de configuración o compilación de información por otro administrador hasta que se elimine el bloqueo. puede buscar un atributo de servidor DHCP. En el caso de DHCP. Dirección. como en la definición de un nombre de grupo de usuarios en una política. Usuario. buscará en toda la configuración de ese nombre de zona y devolverá resultados de cada ubicación donde se haga referencia a la zona. Se permiten los siguientes tipos de bloqueo: • Bloqueo de configuración: Bloquea la realización de cambios en la configuración por otros administradores. solamente puede buscar contenido que el cortafuegos escriba en la configuración. si hace clic en Búsqueda global en una zona denominada l3-vlan-trust. pero no puede buscar direcciones individuales emitidas para usuarios. En este caso. La captura de pantalla siguiente muestra los resultados de búsqueda de la zona l3-vlan-trust: Las búsquedas globales no buscarán contenido dinámico (como logs. puede buscar los campos siguientes: Nombre.Uso de la interfaz web del cortafuegos de Palo Alto Networks El icono Búsqueda global está disponible para todos los campos que permitan la búsqueda. • Bloqueo de compilación: Bloquea los cambios de compilación por parte de otros administradores hasta que se liberen todos los bloqueos. Por lo general. solamente tiene que hacer clic en la lista desplegable situada junto a cualquiera de estos campos y hacer clic en Búsqueda global. en el caso de una política de seguridad. El bloqueo se libera cuando el administrador que 12 • Guía de referencia de interfaz web. Aplicación y Servicio. Este tipo de bloqueo evita enfrentamientos que se pueden producir cuando dos administradores están realizando cambios a la vez y el primer administrador finaliza y compila cambios antes de que finalice el segundo administrador. Los resultados de búsqueda se agrupan por categoría y puede pasar el cursor por encima de cualquier elemento para ver información detallada o hacer clic en el elemento para desplazarse a su página de configuración. Otro ejemplo son los nombres de usuarios recopilados cuando la función User-ID está habilitada. Para realizar una búsqueda.0 Palo Alto Networks . Solamente puede eliminarse por el administrador que configuró el bloqueo o por un superusuario del sistema. un nombre de usuario o un grupo de usuarios que exista en la base de datos de User-ID solamente se puede buscar si el nombre o el grupo existe en la configuración. Se puede establecer este tipo de bloqueo de forma general o para un sistema virtual. intervalos de direcciones o direcciones individuales de DHPC) asignado a usuarios por parte del cortafuegos.

haga clic en el icono Bloqueo desbloqueado en la barra superior para abrir el cuadro de diálogo Bloqueos. haga clic en el icono Bloqueo bloqueado en la barra superior para abrir la ventana Bloqueos. Para bloquear una transacción. configuración y gestión de licencias”). versión 7. Haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. Haga clic en el icono del bloqueo que quiera eliminar y haga clic en Sí para confirmar. Cualquier administrador puede abrir la ventana de bloqueos para visualizar las transacciones actuales que están bloqueadas. Agregue bloqueos adicionales según sea necesario y. seleccione el ámbito del bloqueo desde la lista desplegable y haga clic en ACEPTAR. Puede organizar la adquisición de un bloqueo de compilación de forma automática seleccionando la casilla de verificación Adquirir bloqueo de compilación automáticamente en el área de administración de la página Configuración de dispositivo (consulte “Configuración del sistema. a continuación. Haga clic en Aplicación de un bloqueo. La transacción está bloqueada y el icono de la barra superior cambia a un icono Bloqueo bloqueado que muestra el número de elementos bloqueados entre paréntesis. haga clic en Cerrar para cerrar el cuadro de diálogo Bloqueo. junto con una marca de tiempo para cada una. el bloqueo también puede liberarse manualmente por parte del administrador que realizó el bloqueo o por un superusuario del sistema.Uso de la interfaz web del cortafuegos de Palo Alto Networks aplicó el bloqueo compila los cambios actuales. Palo Alto Networks Guía de referencia de interfaz web. Para desbloquear una transacción.0 • 13 .

paloaltonetworks. • Ayuda en línea: Haga clic en Ayuda en la esquina superior derecha de la interfaz web para acceder al sistema de ayuda en línea. consulte https://www.com.paloaltonetworks. • Documentación: Para obtener información sobre funciones adicionales e instrucciones sobre cómo configurar las funciones en el cortafuegos.Obtención de ayuda para la configuración del cortafuegos Exploradores compatibles Las versiones mínimas de los exploradores web compatibles para acceder a la interfaz web del cortafuegos son las siguientes: • Internet Explorer 7 • Firefox 3.com. • Base de conocimientos: Para acceder a la base de conocimientos. Cómo obtener más información Para obtener más información acerca del cortafuegos. foros de debate y vídeos.6 • Safari 5 • Chrome 11 Obtención de ayuda para la configuración del cortafuegos Utilice la información que aparece en esta sección para obtener ayuda con el uso del cortafuegos. vaya a https://live. área de colaboración para la interacción cliente/socio. vaya a https://support. 14 • Guía de referencia de interfaz web.0 Palo Alto Networks .com.paloaltonetworks. versión 7. información sobre los programas de asistencia técnica o gestionar la cuenta o los dispositivos. Asistencia técnica Para obtener asistencia técnica. consulte: • Información general: Visite http://www.com/documentation.paloaltonetworks.

configuración y gestión de licencias” • “Definición de orígenes de información de VM” • “Instalación de software” • “Actualización de definiciones de aplicaciones y amenazas” • “Funciones.Capítulo 3 Gestión de dispositivos Utilice las siguientes secciones para obtener referencia de campo sobre la configuración de sistema básica y tareas de mantenimiento en el cortafuegos: • “Configuración del sistema.0 • 15 . versión 7. perfiles y cuentas de administrador” • “Configuración de perfiles de autenticación” • “Creación de una base de datos de usuario local” • “Cómo añadir grupos de usuarios locales” • “Configuración de ajustes de servidor RADIUS” • “Configuración de ajustes del servidor TACACS+” • “Configuración de ajustes de servidor LDAP” • “Configuración de ajustes del servidor Kerberos” • “Configuración de una secuencia de autenticación” • “Creación de un perfil del certificado” • “Programación de exportaciones de logs” • “Definición de destinos de logs” • “Configuración de ajustes de flujo de red” • “Uso de certificados” • “Cifrado de claves privadas y contraseñas del cortafuegos” • “Habilitación de HA en el cortafuegos” Palo Alto Networks Guía de referencia de interfaz web .

utilice la pestaña Dispositivo > Configuración > Gestión para configurar la configuración de gestión.0 Palo Alto Networks . identificación de contenido. análisis e informes de software malintencionado de WildFire): • “Definición de la configuración de gestión” • “Definición de la configuración de operaciones” • “Definición de módulos de seguridad de hardware” • “Habilitación de supervisión de SNMP” • “Definición de la configuración de servicios” • “Definición de un perfil de servidor de DNS” • “Definición de la configuración de ID de contenido” • “Configuración de ajustes de WildFire” • “Definición de la configuración de sesión” • “Comparación de archivos de configuración” • “Instalación de una licencia” Definición de la configuración de gestión Dispositivo > Configuración > Gestión Panorama > Configuración > Gestión En un cortafuegos. excepto donde se indique otra cosa. Configure los siguientes ajustes de gestión. configuración y gestión de licencias En las siguientes secciones se describe cómo definir la configuración de red para el acceso de gestión (el cual define las rutas de servicio y los servicios). En Panorama. Para la gestión de cortafuegos. use la pestaña Dispositivo > Configuración > Gestión para configurar los cortafuegos que quiere gestionar con plantillas de Panorama. configuración y gestión de licencias • “Definición de sistemas virtuales” • “Definición de páginas de respuesta personalizadas” • “Visualización de información de asistencia técnica” Configuración del sistema. de forma optativa también puede utilizar la dirección IP de una interfaz de loopback para el puerto de gestión (consulte “Configuración de una interfaz de bucle invertido”). Estos se aplican tanto al cortafuegos como a Panorama. versión 7. y cómo gestionar las opciones de configuración (como los tiempos de espera de sesión globales.Configuración del sistema. 16 • Guía de referencia de interfaz web . Utilice la pestaña Panorama > Configuración > Gestión para configurar los ajustes para Panorama.

0 • 17 . Configuración regional Seleccione un idioma para los informes en PDF de la lista desplegable. se recomienda que asigne un perfil de servicio SSL/TLS asociado a un certificado que haya firmado una entidad de certificación (CA) de confianza. Consulte “Gestión de informes de resumen en PDF”. Nota: Se recomienda no usar el certificado predeterminado. números. guiones y guiones bajos. Perfil de servicio SSL/TLS Asigne un perfil de servicio SSL/TLS existente o cree uno nuevo para especificar un certificado y los protocolos permitidos para proteger el tráfico entrante en la interfaz de gestión del dispositivo.Definición de la configuración de gestión • “Configuración general” • “Configuración de autenticación” • “Ajustes de Panorama: Dispositivo > Configuración > Gestión” (ajustes configurados en el cortafuegos para la conexión a Panorama) • “Ajustes de Panorama: Panorama > Configuración > Gestión” (ajustes configurados en Panorama para la conexión a los cortafuegos) • “Configuración de interfaz de gestión” • “Ajustes de la interfaz Eth1” (Únicamente en Panorama) • “Ajustes de la interfaz Eth2” (Únicamente en Panorama) • “Configuración de log e informes” • “Complejidad de contraseña mínima” Tabla 1. Zona horaria Seleccione la zona horaria del cortafuegos. versión 7. consulte “Gestión de perfiles de servicio SSL/TLS”. Palo Alto Networks Guía de referencia de interfaz web . Consulte las preferencias de idioma en “Uso de la interfaz web del cortafuegos de Palo Alto Networks”. Para obtener más información. El texto se muestra debajo de los campos Nombre y Contraseña. el dispositivo usa el certificado autofirmado preconfigurado. Dominio Introduzca el nombre de dominio completo (FQDN) del cortafuegos (de hasta 31 caracteres). espacios. Aunque haya establecido una preferencia de idioma específica para la interfaz web. Para obtener una mejor seguridad. Configuración de gestión Elemento Descripción Configuración general Nombre de host Introduzca un nombre de host (de hasta 31 caracteres). Titular de inicio de sesión Introduzca el texto personalizado que aparecerá en la página de inicio de sesión del cortafuegos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras. los informes en PDF seguirán utilizando el idioma especificado en este ajuste de configuración regional. Si selecciona ninguno.

Adquirir bloqueo de compilación automáticamente Marque la casilla de verificación para aplicar automáticamente un bloqueo de compilación cuando cambie la configuración candidata.0 a 90. en lugar de generar una dirección MAC usando el esquema personalizado de PAN-OS. el dispositivo usa el perfil de autenticación asociado con la cuenta del administrador para su autenticación (consulte “Creación de cuentas administrativas”). Si desea información detallada. consulte “Configuración de perfiles de autenticación” y “Configuración de ajustes de servidor RADIUS”. Cuando los administradores externos inician sesión. consulte “Bloqueo de transacciones”. • Introduzca la hora actual con el formato de 24 horas (HH:MM:SS). Use direcciones MAC asignadas por el hipervisor (únicamente cortafuegos VM-Series) Seleccione la casilla de verificación para que el cortafuegos VM-Series use las direcciones MAC asignadas por el hipervisor.0) y la longitud (de -180. o bien seleccione la fecha de la lista desplegable. Nota: También puede definir un servidor NTP desde Dispositivo > Configuración > Servicios.0 Palo Alto Networks .Definición de la configuración de gestión Tabla 1. versión 7. Capacidad de cortafuegos virtuales Habilita el uso de varios sistemas virtuales en cortafuegos que admiten esta función (consulte “Definición de sistemas virtuales”). Busque el número de serie en el correo electrónico de ejecución de pedido que se le ha enviado. Si selecciona Ninguno. Consulte la documentación de software del servidor RADIUS para obtener instrucciones sobre la ubicación de instalación del archivo. En una configuración activa/ pasiva de alta disponibilidad (HA). Base de datos de filtrado de URL (únicamente en Panorama) Seleccione un proveedor de filtrado de URL en Panorama: brightcloud o paloaltonetworks (PAN-DB). el dispositivo no autenticará a los administradores externos y estos no podrán iniciar sesión. Ubicación geográfica Introduzca la latitud (de -90.0) del cortafuegos. que procede de la dirección IPv6 de la dirección MAC de la interfaz. Si habilita esta opción y usa una dirección IPv6 para la interfaz. Configuración de autenticación Perfil de autenticación Seleccione el perfil de autenticación (o secuencia) para autenticar administradores que tengan cuentas externas (cuentas no definidas en el dispositivo). Nota: Si un administrador es local. Para obtener más información. se produce un error de compilación si se usa el formato EUI-64. Comprobación del vencimiento del certificado Indique al cortafuegos que deberá crear mensajes de advertencia cuando se acerque la fecha de vencimiento de los certificados integrados. 18 • Guía de referencia de interfaz web . Para permitir la autenticación de administradores externos. Configuración de gestión (Continuación) Elemento Descripción Hora Defina la fecha y hora del cortafuegos: • Introduzca la fecha actual (con el formato AAAA/MM/DD). el dispositivo les solicita la información de autenticación (incluido el rol del administrador) desde el servidor RADIUS. Número de serie (solo máquinas virtuales de Panorama) Introduzca el número de serie de Panorama. Para este ajuste solo están disponibles los perfiles de autenticación que tengan un tipo definido en RADIUS y que hagan referencia a un perfil de servidor RADIUS. debe instalar también el archivo de diccionario RADIUS de Palo Alto Networks en el servidor RADIUS.0 a 180. el ID de la interfaz no debe usar el formato EUI-64. Este archivo define los atributos de autenticación necesarios para la comunicación entre el dispositivo y el servidor RADIUS.

Configuración de gestión (Continuación) Elemento Descripción Perfil del certificado Seleccione el perfil del certificado que debe utilizar el administrador para acceder al cortafuegos. En condiciones normales de funcionamiento. Ajustes de Panorama: Dispositivo > Configuración > Gestión Configure el siguiente ajuste en el cortafuegos o en una plantilla de Panorama. También debe configurar los ajustes de conexión y uso compartido del objeto en Panorama. introduzca la dirección IP del servidor secundario de Panorama en el segundo campo Servidores de Panorama. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores de objetos y reglas diferentes a los definidos en el grupo de dispositivos.0 • 19 . interfaz web o de CLI no presenta ningún tiempo de espera. consulte “Creación de un perfil del certificado”.Definición de la configuración de gestión Tabla 1. se deshabilita la propagación de las políticas de grupo de dispositivos y objetos al cortafuegos. predeterminado: 25). las políticas y objetos pasan a formar parte de la configuración del cortafuegos y Panorama deja de gestionarlos. haga clic en Habilitar objetos y política de Panorama. Tiempo de espera de recepción para conexión a Panorama Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de Panorama (intervalo: 1-240 segundos. desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. Tiempo de bloqueo Introduzca el número de minutos (intervalo: 0-60. Reintentar recuento de envíos SSL a Panorama Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a Panorama (intervalo: 1-64. Si Panorama tiene una configuración de alta disponibilidad (HA). Un valor de 0 significa que el número de intentos es ilimitado. la sesión de gestión. De forma predeterminada. Deshabilitar/Habilitar objetos y política de Panorama Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). predeterminado: 0) que PAN-OS permite para la interfaz web y la CLI antes de bloquear la cuenta. Para conservar una copia local de las políticas y objetos del grupo de dispositivos del cortafuegos. Tiempo de espera de inactividad Introduzca el intervalo de tiempo de espera en minutos (intervalo: 0-1440. seleccione la casilla de verificación Importar política y objetos de Panorama antes de desactivar. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. predeterminado: 0). versión 7. Para obtener instrucciones sobre cómo configurar perfiles de autenticación. predeterminado: 0) que PAN-OS bloquea a un usuario si este alcanza el límite de intentos fallidos. Si el valor es 0. predeterminado: 240). Estos ajustes establecen una conexión entre el cortafuegos y Panorama. Palo Alto Networks Guía de referencia de interfaz web . Después de realizar una compilación. esta acción también elimina estas políticas y objetos del cortafuegos. predeterminado: 240). consulte “Ajustes de Panorama: Panorama > Configuración > Gestión”. Servidores de Panorama Introduzca la dirección IP del servidor de Panorama. Intentos fallidos Introduzca el número de intentos de inicio de sesión fallidos (intervalo: 0-10. Para invertir la política de cortafuegos y la gestión de objetos en Panorama. Un valor de 0 significa que el número de intentos es ilimitado. Al hacer clic en Desactivar política y objetos de Panorama. Tiempo de espera de envío para conexión a Panorama Introduzca el tiempo de espera en segundos para enviar mensajes de TCP a Panorama (intervalo: 1-240 segundos. en el cuadro de diálogo que se abre al hacer clic en el botón.

versión 7. En condiciones normales de funcionamiento. configure los siguientes ajustes en Panorama. en el cuadro de diálogo que se abre al hacer clic en el botón seleccione la casilla de verificación Importar plantillas de dispositivo y red antes de deshabilitar. 20 • Guía de referencia de interfaz web . De forma predeterminada. esta acción también elimina la información de plantilla del cortafuegos. Los objetos antecesores tienen prioridad Seleccione la casilla de verificación para especificar que si los grupos de dispositivos en diferentes niveles de la jerarquía tienen objetos del mismo tipo y nombre pero con valores diferentes. Reintentar recuento de envío SSL a dispositivo Introduzca el número de reintentos permitidos al enviar mensajes de capa de sockets seguros (SSL) a cortafuegos gestionados (intervalo: 1-64.0 Palo Alto Networks . Este ajuste está deshabilitado de manera predeterminada. Si quiere configurar el cortafuegos para que vuelva a aceptar plantillas. Compartir con dispositivos objetos de direcciones y servicios no utilizados Seleccione esta casilla de verificación para compartir todos los objetos compartidos de Panorama y los objetos específicos de grupos de dispositivos con cortafuegos gestionados. Esto significa que si realiza una compilación de grupo de dispositivos.Definición de la configuración de gestión Tabla 1. Para conservar una copia de la información de la plantilla en el cortafuegos. Al hacer clic en Desactivar dispositivo y plantilla de red. haga clic en Habilitar plantilla de dispositivo y red. Un ejemplo de esto consiste en retirar un cortafuegos del entorno de trabajo e introducirlo en un entorno de laboratorio para realizar pruebas. grupos de direcciones. desactivar la gestión de Panorama es innecesario y podría complicar el mantenimiento y la configuración de los cortafuegos. los valores de objeto en los grupos antecesores tienen prioridad sobre los valores de los grupos sucesores. También debe configurar los ajustes de conexión de Panorama en el cortafuegos o en una plantilla en Panorama: consulte “Ajustes de Panorama: Dispositivo > Configuración > Gestión”. Ajustes de Panorama: Panorama > Configuración > Gestión Si usa Panorama para gestionar los cortafuegos. predeterminado: 240). Configuración de gestión (Continuación) Elemento Descripción Deshabilitar/habilitar plantilla de dispositivo y red Este botón aparece cuando edita los Ajustes de Panorama en un cortafuegos (no en una plantilla en Panorama). servicios y objetos de grupo de servicio y no comparte ningún objeto sin referencia. PAN-OS busca en las políticas de Panorama referencias a direcciones. Tiempo de espera de recepción para conexión a dispositivo Introduzca el tiempo de espera en segundos para recibir mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. Después de realizar una compilación. Enviar tiempo de espera de conexión a dispositivo Introduzca el tiempo de espera en segundos para enviar mensajes de TCP de todos los cortafuegos gestionados (intervalo: 1-240 segundos. se deshabilita la propagación de información de plantillas (configuraciones de dispositivo y red) al cortafuegos. predeterminado: 25). Estos ajustes determinan los tiempos de espera y los intentos de mensaje de SSL para las conexiones desde Panorama a los cortafuegos gestionados. el valor antecesor sustituirá a cualquier valor de cancelación. este ajuste global del sistema está deshabilitado y los objetos que cancele en un grupo sucesor tendrán prioridad en ese grupo sobre los valores heredados de los grupos antecesores. Esta opción reduce el recuento total de objetos asegurándose de que PAN-OS solo envía los objetos necesarios a cortafuegos gestionados. la información de la plantilla pasa a formar parte de la configuración del cortafuegos y Panorama deja de gestionarla. De manera predeterminada. predeterminado: 240). Si desactiva la casilla de verificación. Esta opción suele aplicarse a situaciones en las que los cortafuegos requieren valores configuración de dispositivos y red diferentes a los definidos en el grupo de dispositivos. así como los parámetros de uso compartido de los objetos.

opción predeterminada 1500). 255. Nota: Para completar la configuración de la interfaz de gestión. puede asignar la dirección IP de una interfaz de loopback para la gestión de dispositivos. solo puede acceder al dispositivo a través del puerto de la consola para futuros cambios de configuración. ID de usuario (User-ID). SNMP. Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz de gestión. se recomienda definir una subred distinta para la interfaz MGT que sea más privada que las subredes Eth1 o Eth2. Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz de gestión. HTTPS. podría omitir la puerta de enlace predeterminada). versión 7.255. Configuración de gestión (Continuación) Elemento Descripción Configuración de interfaz de gestión Esta interfaz se aplica al cortafuegos.255. la dirección IP que introduzca es la dirección de origen para el reenvío de logs. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de cortafuegos. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz de gestión. Al usar esta opción para el dispositivo M-Series de Panorama. debe asignar también una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). Servicios Seleccione los servicios que quiere que se habiliten en la dirección de interfaz de gestión especificada: HTTP. si configura Eth1 o Eth2 para la recopilación de logs o comunicación de grupos del recopilador.0 • 21 . Recomendamos que compile siempre una configuración completa. el cortafuegos no podrá conectarse y reenviar logs a Panorama o recibir actualizaciones de configuración. debe asignar también una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz de gestión). El dispositivo virtual de Panorama no admite interfaces separadas. añada la dirección IP de cada cortafuegos gestionado. Dirección IPv6/longitud de prefijo Si su red usa IPv6. SSH (Secure Shell). Ping. asigne una dirección IPv4 a la interfaz de gestión. debe introducir también una máscara de red (por ejemplo. UDP de escucha de Syslog de ID de usuario. Las opciones incluyen 10 Mbps. Dirección IP (IPv4) Si la red utiliza IPv4. Palo Alto Networks Guía de referencia de interfaz web . dispositivo M-Series de Panorama o dispositivo virtual de Panorama. 100 Mbps y 1 Gbps con dúplex completo o medio. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. SSL de escucha de Syslog de ID de usuario. Si compila una configuración parcial (por ejemplo. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). el dispositivo M-Seriesutiliza la interfaz de gestión (MGT) para configuración. Utilice el ajuste de negociación automática predeterminado para que el dispositivo (Panorama o el cortafuegos) determine la velocidad de interfaz. De forma predeterminada. OCSP de HTTP. debe especificar la dirección IP. De lo contrario. recopilación de logs y comunicación de grupos de recopiladores. asigne una dirección IPv6 a la interfaz de gestión. Telnet. Defina la subred de la Máscara de red (para IPv4) o el campo Dirección IPv6/longitud de prefijo (para IPv6). la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. Para indicar la máscara de red. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz de gestión. De forma alternativa. De manera predeterminada.0). Sin embargo.Definición de la configuración de gestión Tabla 1.

opción predeterminada 1500). Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. el dispositivo M-Series usa la interfaz de gestión para configuración. el dispositivo M-Series usa la interfaz de gestión para configuración. si habilita Eth2. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth1. Las opciones incluyen 10 Mbps. MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500.0). Nota: No puede compilar la configuración de Eth1 a no ser que especifique la dirección IP. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que el puerto Eth2). De manera predeterminada. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). De manera predeterminada.0). recopilación de logs y comunicación de grupos de recopiladores. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth1. recopilación de logs y comunicación de grupos de recopiladores. Puerta de enlace IPv6 predeterminada Si ha asignado una dirección IPv6 a la interfaz.255. Configuración de gestión (Continuación) Elemento Descripción Ajustes de la interfaz Eth1 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. Sin embargo. debe introducir también una máscara de red (por ejemplo. Para indicar la máscara de red.255. debe asignar también una dirección IPv6 a la interfaz Eth1.Definición de la configuración de gestión Tabla 1. Ajustes de la interfaz Eth2 Esta interfaz solo se aplica al dispositivo M-Series de Panorama. Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz.255. 255.255. Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth1. también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). Puerta de enlace predeterminada Si ha asignado una dirección IPv4 a la interfaz. 22 • Guía de referencia de interfaz web . Eth2 Seleccione esta casilla de verificación para activar la interfaz Eth2. Nota: No puede compilar la configuración de Eth2 a no ser que especifique la dirección IP. Eth1 Seleccione esta casilla de verificación para activar la interfaz Eth1. Sin embargo. también debe asignar una dirección IPv4 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth1). asigne una dirección IPv4 a la interfaz Eth1. versión 7. PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. 255. si habilita Eth1. Dirección IP (IPv4) Si su red utiliza IPv4. puede configurarlo para la recopilación de logs o comunicación de grupos de recopiladores cuando define recopiladores gestionados (Panorama > Recopiladores gestionados). Máscara de red (IPv4) Si ha asignado una dirección IPv4 a la interfaz. Dirección IP (IPv4) Si su red utiliza IPv4. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. debe introducir también una máscara de red (por ejemplo. la máscara de red (para IPv4) o la longitud del prefijo (para IPv6) y la puerta de enlace predeterminada. puede configurarlo para la recopilación de logs o la comunicación de grupos de recopiladores cuando defina los recopiladores gestionados (Panorama > Recopiladores gestionados).0 Palo Alto Networks . 100 Mbps y 1 Gbps con dúplex completo o medio. asigne una dirección IPv4 a la interfaz Eth2.

PRECAUCIÓN: Este ajuste debe coincidir con la configuración de los puertos del equipo de red vecino. 100 Mbps y 1 Gbps con dúplex completo o medio. Para indicar la máscara de red. Velocidad Configure una tasa de datos y una opción de dúplex para la interfaz Eth2. introduzca una longitud de prefijo para IPv6 (por ejemplo 2001:400:f00::1/64). MTU Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (intervalo 576-1500. también debe asignar una dirección IPv6 a la puerta de enlace predeterminada (la puerta de enlace debe estar en la misma subred que la interfaz Eth2). Las opciones incluyen 10 Mbps. versión 7. Puerta de enlace IPv6 predeterminada Si ha especificado una dirección IPv6 a la interfaz. Servicios Seleccione Ping si desea activar ese servicio en la interfaz Eth2.0 • 23 . opción predeterminada 1500).Definición de la configuración de gestión Tabla 1. Direcciones IP permitidas Introduzca la lista de direcciones IP desde las que se permite la gestión de Eth2. Configuración de gestión (Continuación) Elemento Descripción Dirección IPv6/longitud de prefijo Si su red utiliza IPv6. Utilice el ajuste de negociación automática predeterminado para que Panorama determine la velocidad de interfaz. asigne una dirección IPv6 a la interfaz Eth2. Palo Alto Networks Guía de referencia de interfaz web .

el peer pasivo no recibe logs y. en forma de porcentaje. el dispositivo empieza a sustituir las entradas del log más antiguas por las nuevas. Los ajustes se aplican a todos los sistemas virtuales del cortafuegos. Haga clic en Restablecer valores predeterminados para recuperar los valores predeterminados. logs de tráfico y amenazas). la asignación de disco asociada cambia automáticamente. Pestaña secundaria Almacenamiento de log (Las pestañas Almacenamiento de tarjeta de log y Almacenamiento de tarjeta de gestión solo se aplican a los cortafuegos de las series PA-7000) Especifique para cada tipo de log y tipo de resumen de log: • La cuota asignada en el disco duro para almacenamiento de logs. lo que significa que los logs no vencen nunca. Los cortafuegos de la serie PA-7000 almacenan los logs en la tarjeta de procesamiento de logs (LPC) y en la tarjeta de gestión de conmutadores (SMC) y divide las cuotas de registro en estas dos áreas. Para configurar los ajustes de logs que los cortafuegos envían a un recopilador gestionado. Si esto sucede.0 Palo Alto Networks . El dispositivo evalúa los logs a medida que los crea y elimina los logs que superan el periodo de vencimiento o el tamaño de cuota. los logs del sistema y logs de alarmas). Haga clic en ACEPTAR para guardar los cambios. Si el total de todos los valores supera el 100%. PRECAUCIÓN: Los logs de resumen semanales pueden superar el umbral y continuar hasta la siguiente eliminación si alcanzan el umbral de vencimiento entre dos fechas de eliminación de logs. Configuración de gestión (Continuación) Elemento Descripción Configuración de log e informes Use esta sección para modificar: • Periodos de vencimiento y cuotas de almacenamiento para los logs e informes que generen los siguientes dispositivos. el dispositivo elimina los logs más antiguos cuando compila los cambios. • Informes predefinidos creados en el cortafuegos/Panorama. 24 • Guía de referencia de interfaz web . Los ajustes se sincronizan a través de alta disponibilidad. – Logs que genera un cortafuegos (Dispositivo > Configuración > Gestión). los logs de configuración. aparecerá un mensaje de color rojo en la página y un mensaje de error cuando intente guardar la configuración. En una configuración activa/pasiva de alta disponibilidad (HA). no los elimina a menos que se produzca una conmutación por error y se vuelva activo. De manera predeterminada. consulte “Definición de grupos de recopiladores de logs”.Definición de la configuración de gestión Tabla 1. Si reduce el tamaño de una cuota de log. que es el periodo de vencimiento de los logs (intervalo: 1-2000). no se fija ningún periodo. • Atributos para calcular y exportar informes de actividad de usuarios.. versión 7. ajuste los porcentajes de modo que el total quede por debajo del límite del 100%. El dispositivo elimina automáticamente los logs que superan el periodo especificado. La pestaña Almacenamiento de la tarjeta de gestión tiene configuración de cuota para el tráfico de tipo de gestión almacenado en la SMC (por ejemplo. La pestaña Almacenamiento de log tiene la configuración de la cuota para el tráfico del tipo de datos en la LPC (por ejemplo. • Días máx. Cuando una cuota de log alcanza el tamaño máximo. Al cambiar un valor de cuota. – Los logs que genera el servidor de gestión de Panorama y sus recopiladores gestionados (Panorama > Configuración > Gestión). por lo tanto.

Para obtener más información sobre la página contenedora. Configuración de gestión (Continuación) Elemento Descripción Pestaña secundaria Exportación e informes de log Número de versiones para auditoría de configuraciones: Introduzca el número de versiones de configuración que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). De manera predeterminada. El cálculo del tiempo de exploración se basa en las páginas contenedoras registradas en los logs de filtrado de URL. Tiempo medio de exploración (seg. Máx. Detener tráfico cuando LogDb esté lleno: (Únicamente cortafuegos) Seleccione la casilla de verificación si desea que se detenga el tráfico a través del cortafuegos cuando la base de datos de logs esté llena (desactivada de manera predeterminada). Ejemplo: si el tiempo medio de exploración es de 2 minutos y un usuario abre una página web y visualiza dicha página durante 5 minutos. este encabezado identifica el cortafuegos/Panorama desde el que se origina el mensaje. El umbral de carga de página también se utiliza en los cálculos para el informe de actividad de usuario. Umbral de carga de página (seg): Esta opción le permite ajustar el tiempo previsto en segundos que tardan los elementos de una página en cargarse en la página (intervalo: 0-60. Cualquier solicitud realizada después de que haya transcurrido el tiempo medio de exploración se considerará una nueva actividad de exploración. Máx. no se fija ningún periodo. Este comportamiento se ha diseñado para excluir los sitios externos que se carguen dentro de la página web de interés. predeterminado: 60). Palo Alto Networks Guía de referencia de interfaz web . valor predeterminado: 5000). predeterminado: 20). la dirección IP (v4 o V6) en el encabezado del mensaje de Syslog. El ajuste de tiempo medio de exploración es el tiempo medio que el administrador considera que tardará un usuario en explorar una página web. Número de versiones para Configurar copias de seguridad: (Solo Panorama) Introduzca el número de copias de seguridad de configuraciones que se deben guardar antes de descartar las más antiguas (valor predeterminado: 100). El dispositivo elimina los informes que han vencido todas las noches a las 2 a. Formato de nombre de host de Syslog: Seleccione si desea utilizar el nombre de dominio completo (FQDN). Puede utilizar estas versiones guardadas para auditar y comparar cambios en la configuración. (hora del dispositivo).m. Esto es así porque no hay forma de determinar durante cuánto tiempo un usuario visualiza una página concreta.0 • 25 . Período de vencimiento del informe: Defina el periodo de vencimiento en días para los informes (intervalo: 1-2000).Definición de la configuración de gestión Tabla 1. de filas en informe de actividad de usuario: Introduzca el número máximo de filas que se admite para los informes de actividad de usuario detallada (intervalo: 1-1048576. versión 7. de filas en exportación CSV: Introduzca el número máximo de filas que aparecerán en los informes CSV generados desde el icono Exportar a CSV de la vista de logs de tráfico (rango 1-1048576. El cálculo ignorará las páginas web nuevas que se carguen entre el momento de la primera solicitud (hora de inicio) y el tiempo medio de exploración. consulte “Páginas contenedoras”.): Configure esta variable para ajustar cómo se calcula el tiempo de exploración en segundos para “Informe de actividad del usuario” (intervalo: 0-300 segundos. valor predeterminado: 65535). el nombre de host. lo que significa que los informes no vencen nunca. el tiempo de exploración de dicha página seguirá siendo de 2 minutos. El cálculo ignorará los sitios categorizados como anuncios web y redes de entrega de contenido. Las páginas contenedoras se utilizan como base para este cálculo debido a que muchos sitios cargan contenido de sitios externos que no debería considerarse. Cualquier solicitud que se produzca entre la primera carga de la página y el umbral de carga de página se considerará que son elementos de la página. Cualquier solicitud que se produzca fuera del umbral de carga de página se considerará que es el usuario haciendo clic en un enlace de la página.

El log del sistema le avisa sobre este problema (se genera una entrada de log cada minuto) y le permite investigar la posible causa. esta opción está habilitada. el conjunto de informes al completo dejará de contener datos. las entradas más antiguas se eliminarán para permitir el registro de nuevos eventos. (Solo en Panorama) Reenvío de log en búfer desde dispositivo: Permite al cortafuegos almacenar en búfer las entradas de log en su disco duro (almacenamiento local) cuando pierde la conexión con Panorama. Por lo tanto. Con los logs de NFS solo se monta la instancia principal de Panorama en el NFS. Si se consume el espacio. Cuando se restaura la conexión con Panorama.0 Palo Alto Networks . Configuración de gestión (Continuación) Elemento Descripción Habilitar log con carga alta: (Únicamente cortafuegos) Seleccione esta casilla de verificación si desea que se genere una entrada de log del sistema cuando la carga de procesamiento del paquete del cortafuegos esté al 100% de la utilización de la CPU. esta opción está deshabilitada. Esta opción permite que un administrador configure los cortafuegos gestionados para que solo envíen los logs recién generados a Panorama cuando se produce un error de HA y la instancia secundaria de Panorama continúa creando logs para el NFS (después de promocionarse como principal). estos informes predefinidos están habilitados. De forma predeterminada. versión 7. quite la marca de la casilla de verificación de los mismos. Una carga alta de CPU puede degradar el funcionamiento porque la CPU no tiene suficientes ciclos para procesar todos los paquetes. Informes predefinidos: Hay informes predefinidos para aplicación. reduciendo así el uso de memoria. Nota: Antes deshabilitar un informe. Utilice las opciones Seleccionar todo o Anular selección para habilitar o deshabilitar completamente la generación de los informes predefinidos. Este comportamiento suele habilitarse para impedir que los cortafuegos envíen grandes volúmenes de logs almacenados en búfer cuando se restablezca la conexión con Panorama después de un período de tiempo significativo. el espacio en disco disponible para el almacenamiento en búfer depende de la cuota de almacenamiento de logs para la plataforma y el volumen de los logs que quedan por ejecutar. Si un informe predefinido forma parte de un conjunto de de informes y se deshabilita. tráfico. De forma predeterminada. asegúrese de que no se incluye en ningún informe de grupos o informe PDF. para deshabilitar un informe. puede deshabilitar los informes que no sean relevantes. la entradas de log se reenvían a la aplicación. De forma predeterminada. 26 • Guía de referencia de interfaz web . Esta opción es válida para una máquina virtual de Panorama con un disco virtual y para el dispositivo M-Series en modo Panorama.Definición de la configuración de gestión Tabla 1. Obtener únicamente nuevos logs al convertir a principal: Esta opción solo es aplicable cuando Panorama escribe logs en un recurso compartido de archivos de red (NFS). amenazas y filtrado de URL disponibles en el cortafuegos y en Panorama. Solo logs principales activos al disco local: le permite configurar solo la instancia principal activa para guardar logs en el disco local. Debido a que los cortafuegos consumen recursos de memoria para generar resultados cada hora (y enviarlos a Panorama cuando se agrega y se compila para visualización). los cortafuegos solo envían logs en la instancia activa principal de Panorama.

Bloquear período de cambio de contraseña (días) El usuario no podrá cambiar sus contraseñas hasta que no se haya alcanzado el número de días especificado (rango: 0-365 días). no puede establecer un requisito de 10 mayúsculas. 10 minúsculas. Es necesario cambiar la contraseña al iniciar sesión por primera vez Seleccione esta casilla de verificación para pedir a los administradores que cambien sus contraseñas la primera vez que inicien sesión en el dispositivo. no podrá reutilizar ninguna de sus últimas 4 contraseñas (rango: 0-50). utilice siempre el dispositivo principal cuando configure opciones de complejidad de contraseña y compile lo antes posible después de realizar cambios. Evitar límite de reutilización de contraseña Exija que no se reutilice una contraseña anterior basándose en el recuento especificado. si el valor se fija en 2. consulte “Definición de perfiles de contraseña”.0 • 27 . pero no test111. Letras numéricas mínimas Exija un número mínimo de letras numéricas de 0-15 números. Consulte “Definición de funciones de administrador” para obtener información sobre los caracteres válidos que pueden utilizarse en las cuentas. Por ejemplo. la contraseña no está permitida. La nueva contraseña difiere por caracteres Cuando los administradores cambien sus contraseñas. la contraseña puede contener el mismo carácter dos veces seguidas. puede garantizar que las cuentas de administrador locales del cortafuegos cumplan un conjunto definido de requisitos de contraseña. Para obtener más información. Con esta función. los caracteres deben diferir según el valor especificado. Si establece el valor en 2. También puede crear un perfil de contraseña con un subconjunto de estas opciones que cancelará estos ajustes y que puede aplicarse a cuentas específicas. Palo Alto Networks Guía de referencia de interfaz web . Bloquear inclusión de nombre de usuario (incluida su inversión) Seleccione esta casilla de verificación para impedir que el nombre de usuario de la cuenta (o la versión invertida del nombre) se utilice en la contraseña.Definición de la configuración de gestión Tabla 1. Letras en minúscula mínimas Exija un número mínimo de letras en minúscula de 0-15 caracteres. Caracteres especiales mínimos Exija un número mínimo de caracteres especiales (no alfanuméricos) de 0-15 caracteres. Por ejemplo. si el valor se establece como 4. el sistema aceptará la contraseña test11 u 11test11. Longitud mínima Exija una longitud mínima de 1-15 caracteres. El intervalo es de 2-15. versión 7. ya que esto excedería la longitud máxima de 31. pero si el mismo carácter se usa tres o cuatro veces seguidas. Nota: Si tiene configurada la alta disponibilidad (HA). 10 números y 10 caracteres especiales. Por ejemplo. Nota: La longitud de contraseña máxima que puede introducirse es de 31 caracteres. Bloquear caracteres repetidos Especifique el número de caracteres duplicados secuenciales permitidos en una contraseña. Al ajustar los requisitos. Letras en mayúscula mínimas Exija un número mínimo de letras en mayúscula de 0-15 caracteres. asegúrese de no crear una combinación que no pueda aceptarse. Configuración de gestión (Continuación) Elemento Descripción Complejidad de contraseña mínima Habilitado Habilite los requisitos de contraseña mínimos para cuentas locales. porque el número 1 aparece tres veces seguidas.

Si pulsa Guardar. Definición de la configuración de operaciones Dispositivo > Configuración > Operaciones Panorama > Configuración > Operaciones Cuando cambia un ajuste de configuración y hace clic en ACEPTAR. Para gestionar configuraciones. Inicio de sesión de administrador caducado permitido (recuento) Permita que el administrador inicie sesión el número de veces especificado después de que la cuenta haya vencido. Este método le permite revisar la configuración antes de activarla. 28 • Guía de referencia de interfaz web . También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. actualizará la configuración activa con el contenido de la configuración candidata. si el valor se ha establecido como 3 y su cuenta ha vencido. se actualiza la configuración candidata actual. se pedirá a los administradores que cambien su contraseña cada 90 días.0 Palo Alto Networks . se creará una copia de la configuración candidata actual. seleccione las funciones de gestión de configuración adecuadas que se describen en la tabla siguiente. importar y exportar configuraciones. Puede guardar y restablecer la configuración candidata con la frecuencia que sea necesario y también cargar. si el valor se establece como 90. Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña. Si activa varios cambios simultáneamente. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). se aplica la configuración candidata a la configuración activa. Al hacer clic en Compilar en la parte superior de la página. de 0 a 365 días. no la configuración activa. lo que activa todos los cambios de configuración desde la última compilación.Definición de la configuración de operaciones Tabla 1. este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). ayudará a evitar estados de configuración no válidos que pueden producirse cuando se aplican cambios en tiempo real. Configuración de gestión (Continuación) Elemento Descripción Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. Por ejemplo. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que la cuenta haya vencido (rango: 0-30 días). validar. versión 7. mientras que si selecciona Compilar. Por ejemplo. Es conveniente guardar periódicamente los ajustes de configuración que haya introducido haciendo clic en el enlace Guardar de la esquina superior derecha de la pantalla.

Exportar instantánea de configuración con nombre Exporta la configuración activa (running-config. Para automatizar el proceso de crear y exportar el lote de configuración diariamente a un servidor SCP o FTP. La acción limpia el cortafuegos (elimina cualquier configuración local del mismo) y envía la configuración del cortafuegos almacenada en Panorama. debe acceder a la CLI del cortafuegos y ejecutar el comando del modo de configuración load device-state. Exportar versión de configuración Exporta una versión especificada de la configuración. use esta opción para limpiarlo. Para obtener información relacionada. Seleccione el archivo de configuración que debe exportarse.xml) no puede sobrescribirse. Puede abrir el archivo y/o guardarlo en cualquier ubicación de red. de modo que pueda gestionarlo usando Panorama. La configuración en ejecución actual se sobrescribirá. Cargar instantánea de configuración con nombre Carga una configuración candidata desde la configuración activa (running-config. Exportar o insertar lote de configuración de dispositivo (Únicamente en Panorama) Le indica que seleccione un cortafuegos y realice una de las siguientes acciones en la configuración del cortafuegos almacenada en Panorama: • Enviar y compilar la configuración en el cortafuegos. Después de importar una configuración de cortafuegos. • Exportar la configuración al cortafuegos sin cargarlo.Definición de la configuración de operaciones Tabla 2. Para cargar la configuración.xml) o una configuración guardada o importada anteriormente. Se producirá un error si no se ha guardado la configuración candidata. Funciones de gestión de configuración Función Descripción Gestión de configuración Volver a la última configuración guardada Restablece la última configuración candidata guardada desde la unidad local. La configuración candidata actual se sobrescribirá. Guardar instantánea de configuración con nombre Guarda la configuración candidata en un archivo. consulte “Programación de exportaciones de configuración”.0 • 29 . Tenga en cuenta que el archivo de configuración activa actual (running-config. versión 7. consulte “Importa configuración del dispositivo en Panorama”. Exportar lote de configuración de dispositivos y Panorama (Únicamente en Panorama) Genera y exporta manualmente la versión más reciente de la copia de seguridad de configuración en curso de Panorama y de los cortafuegos gestionados. Este comando limpia el cortafuegos del mismo modo que la opción Enviar y compilar. La configuración candidata actual se sobrescribirá. Cargar versión de configuración Carga una versión especificada de la configuración. Introduzca un nombre de archivo o seleccione un archivo existente para sobrescribirlo. Seleccione el archivo de configuración que debe cargarse. Palo Alto Networks Guía de referencia de interfaz web .xml) o desde una configuración guardada o importada anteriormente. Guardar configuración candidata Guarda la configuración candidata en la memoria flash (del mismo modo que si hiciera clic en Guardar en la parte superior de la página). Volver a la configuración en ejecución Restablece la última configuración en ejecución.

la configuración en ejecución en el momento de la exportación y toda la información de los certificados (certificados de CA raíz.tgz y se guardará en /opt/ pancfg/mgmt/device-state. Importar estado de dispositivo (únicamente cortafuegos) Importa la información de estado del cortafuegos que se exportó mediante la opción Exportar estado de dispositivo. Si el dispositivo es un portal de GlobalProtect. Para obtener información sobre cómo utilizar la API XML. El archivo se denominará device_state_cfg. plantillas de Panorama y políticas compartidas.Definición de la configuración de operaciones Tabla 2. la exportación incluirá la información de la Entidad de certificación (CA) y la lista de los dispositivos satélite con su información de autenticación. Funciones de gestión de configuración (Continuación) Función Descripción Exportar estado de dispositivo (únicamente cortafuegos) Exporta la configuración y la información dinámica desde un cortafuegos que esté configurado como portal de GlobalProtect con la función VPN a gran escala (LSVPN) habilitada. Importar instantánea de configuración con nombre Importa un archivo de configuración desde cualquier ubicación de red. servidor y satélite). se puede importar el archivo exportado para restablecer la información dinámica y de configuración del portal. Importante: Debe realizar manualmente la exportación del estado del dispositivo o crear una secuencia de comandos programada de la API XML para exportar el archivo a un servidor remoto. Para crear el archivo de estado del dispositivo a partir de la CLI.com/documentation. en inglés) en http://www. consulte el documento “PAN-OS XML-Based Rest API Usage Guide” (Guía de uso de la API Rest basada en XML de PAN-OS. 30 • Guía de referencia de interfaz web .0 Palo Alto Networks . versión 7. Esto incluye la configuración en ejecución actual. ya que puede que los certificados de satélite cambien a menudo. Si el portal tiene un fallo. El comando de operación para exportar el archivo de estado del dispositivo es scp export device-state (también puede utilizar tftp export device-state). La exportación incluye una lista de todos los dispositivos satélite gestionados por el portal. Haga clic en Examinar y seleccione el archivo de configuración que debe importarse.paloaltonetworks. Esto debe hacerse con regularidad. ejecute save device state. en el modo de configuración.

el valor predeterminado es el nombre del cortafuegos. • Importar objetos compartidos de los dispositivos en el contexto compartido de Panorama: Esta casilla de verificación está seleccionada de manera predeterminada. Si anula la selección de la casilla de verificación. • Nombre de plantilla: Introduzca un nombre para la plantilla que contendrá el dispositivo importado y los ajustes de red. Palo Alto Networks Guía de referencia de interfaz web . – Si el nombre o el valor del objeto compartido del cortafuegos no coinciden con el objeto compartido de Panorama. Para otros cortafuegos. – Si una configuración importada en una plantilla hace referencia a un objeto de cortafuegos compartido. Panorama importa reglas de seguridad predeterminadas (predeterminada intrazona y predeterminada entre zonas) en la base de reglas posterior. Sin embargo. Este ajuste tiene las siguientes excepciones: – Si un objeto de cortafuegos compartido se llama igual y tiene el mismo valor que un objeto de Panorama existente. El menú desplegable solo enumera los cortafuegos conectados a Panorama y no asignados a ningún grupo de dispositivos o plantilla. no un vsys individual. ADVERTENCIA: Las versiones de contenido en Panorama (por ejemplo. • Nombre de grupo de dispositivo: Para un cortafuegos vsys múltiple. el valor predeterminado es el nombre del cortafuegos. una cadena de caracteres como prefijo para cada nombre de grupo de dispositivo. la importación excluye el objeto del cortafuegos. Funciones de gestión de configuración (Continuación) Función Descripción Importa configuración del dispositivo en Panorama (Únicamente en Panorama) Importa una configuración de cortafuegos en Panorama. los nombres de reglas deben ser exclusivos: elimine una de las reglas antes de realizar una compilación en Panorama. Independientemente de su selección. No puede usar el nombre de una plantilla existente. Panorama copia los objetos del cortafuegos compartidos en grupos de dispositivos en lugar de en Compartidos.0 • 31 . Para cada sistema virtual (vsys) en el cortafuegos. Configure las siguientes opciones de importación: • Dispositivo: Seleccione el cortafuegos desde el que Panorama importará las configuraciones. cada grupo de dispositivo tiene un nombre vsys de manera predeterminada. • Ubicación de importación de reglas: Seleccione si Panorama importará las políticas como reglas previas o posteriores. pero no puede usar el nombre de un grupo de dispositivo existente. Panorama crea automáticamente una plantilla que contenga las configuraciones de red y dispositivo. Panorama crea automáticamente un grupo de dispositivos que contenga las configuraciones de política y objetos. la compilación fallará. este importa el objeto del cortafuegos en cada grupo de dispositivos. • Prefijo de nombre de grupo de dispositivo (únicamente cortafuegos vsys múltiple): De manera opcional. Para un cortafuegos con vsys múltiple. versión 7. Los grupos de dispositivos estarán un nivel por debajo de la ubicación compartida en la jerarquía. – Si un objeto compartido hace referencia a una configuración importada en una plantilla. de lo contrario. aunque puede reasignarlos a un grupo de dispositivos principal diferente cuando finalice la importación (consulte “Definición de grupos de dispositivos”). lo que significa que Panorama importa objetos de Compartidos en el cortafuegos a Compartidos en Panorama. Panorama importa ese objeto en Compartidos independientemente de que seleccione la casilla de verificación. Puede seleccionar solamente un cortafuegos completo. Puede editar los nombres predeterminados. el campo estará vacío. ADVERTENCIA: Si Panorama tiene una regla que se llama igual que una regla de cortafuegos que está importando. base de datos de aplicaciones y amenazas) deben ser iguales o superiores a las versiones del cortafuegos desde el que importa una configuración.Definición de la configuración de operaciones Tabla 2. Panorama importa el objeto en un grupo de dispositivos independientemente de que seleccione la casilla de verificación. Para otros cortafuegos. Panorama muestra ambas reglas.

• Se cerrarán y registrarán las sesiones existentes. Apagar Para realizar un apagado correcto del cortafuegos/Panorama. versión 7. 32 • Guía de referencia de interfaz web . Todos los cambios de configuración que no se guardasen o compilasen se perderán (consulte “Definición de la configuración de operaciones”). Si no se puede crear esta entrada de log. Deberá desenchufar la fuente de alimentación y volver a enchufarla antes de poder activar el dispositivo. Nota: Si la interfaz web no está disponible.0 Palo Alto Networks . Nota: Si la interfaz web no está disponible. haga clic en Reiniciar plano de datos. Todos los cambios de configuración que no se hayan guardado o compilado se perderán. utilice el comando de la CLI request shutdown system . a continuación. Todos los administradores cerrarán sesión y se producirán los siguientes procesos: • Se cerrarán todas las sesiones de inicio de sesión. Nota: Si la interfaz web no está disponible. haga clic en Reiniciar dispositivo. haga clic en Sí en el mensaje de confirmación. aparecerá una advertencia y el sistema no se apagará.Definición de la configuración de operaciones Tabla 2. • Se detendrán todos los procesos del sistema. Reiniciar plano de datos Para reiniciar las funciones de datos del cortafuegos sin reiniciarlo. Esta opción no está disponible en el cortafuegos PA-200 y Panorama. haga clic en Apagar dispositivo o Apagar Panorama y. • Ahora podrá desmontar de manera limpia las unidades de disco y el dispositivo dejará de recibir alimentación. • Se crearán logs del sistema que mostrarán el nombre del administrador que inició el apagado. vuelve a cargar el software (PAN-OS o Panorama) y la configuración activa. utilice el comando de la CLI request restart system. cierra y registra las sesiones existentes y crea un log del sistema que muestra el nombre del administrador que inició el apagado. Funciones de gestión de configuración (Continuación) Función Descripción Operaciones de dispositivo Reiniciar Para reiniciar el cortafuegos o Panorama. • Se deshabilitarán las interfaces. utilice el comando de la CLI request restart dataplane. El dispositivo cierra su sesión.

elimine su entrada y realice una compilación. Consulte “Gestión de informes de resumen en PDF”. • Imagen de pie de página del informe en PDF Haga clic en para cargar un archivo de imagen. la vista previa muestra las dimensiones de imagen recomendadas. Para obtener información sobre cómo generar informes en PDF. haga clic en la casilla de verificación que aparece junto al informe deseado y. versión 7.0 • 33 . haga clic en la pestaña Muestra de informe. Para ver un informe. amenazas y bloqueos al equipo de investigación de Palo Alto Networks. • El tamaño de imagen máximo para cualquier imagen de logotipo es de 128 KB. Puede que tenga que ponerse en contacto con el creador de la imagen para eliminar los canales alfa de la imagen o asegurarse de que el software de gráficos que está utilizando no guarda los archivos con la función de canal alfa. Se abrirá la pestaña Muestra de informe para mostrar el código del informe. • En el caso de las opciones de la pantalla de inicio de sesión y de la interfaz de usuario principal. Configuración del servicio de estadísticas La función Servicio de estadísticas permite que el cortafuegos envíe información de aplicaciones anónimas. los informes no se generan correctamente. Si es necesario. Los archivos de imagen con un canal alfa no son compatibles y. la imagen se mostrará del modo en que se visualizará.Definición de la configuración de operaciones Tabla 2. En el caso de informes en PDF. en para obtener una vista previa o en para eliminar una imagen cargada anteriormente. Funciones de gestión de configuración (Continuación) Función Descripción Varios Logotipos personalizados Utilice esta opción para personalizar cualquiera de los siguientes elementos: • Imagen de fondo de la pantalla de inicio de sesión • Imagen de encabezado de la interfaz de usuario principal • Imagen de la página de título del informe en PDF. Este servicio está deshabilitado de manera predeterminada y. Configuración de SNMP Especifique parámetros de SNMP. En todos los casos. Puede permitir que el cortafuegos envíe cualquiera de los siguientes tipos de información: • Informes de aplicación y amenazas • Informes de aplicaciones desconocidas • Informes de URL • Seguimientos de bloqueos de dispositivos Para ver una muestra del contenido de un informe estadístico que se enviará. cuando se utilizan en informes en PDF. el tamaño de las imágenes se ajustará automáticamente sin recortarlas. gif y jpg. al hacer clic en . a continuación. una vez habilitado. Tenga en cuenta lo siguiente: • Los tipos de archivos admitidos son png. haga clic en el icono de informe . • Para volver al logotipo predeterminado. Palo Alto Networks Guía de referencia de interfaz web . se recortará la imagen para ajustarla. se cargará información cada 4 horas. La información recopilada permite que el equipo de investigación mejore continuamente la eficacia de los productos de Palo Alto Networks basándose en información del mundo real. Consulte “Habilitación de supervisión de SNMP”. consulte “Gestión de informes de resumen en PDF”.

Alta disponibilidad Si se selecciona. se configura la alta disponibilidad del HSM. Nombre de módulo Especifique un nombre de módulo para el HSM.Definición de módulos de seguridad de hardware Definición de módulos de seguridad de hardware Dispositivo > Configuración > HSM La pestaña HSM le permite ver el estado y configurar un módulo de seguridad de hardware (HSM). Cree varios nombres de módulos si está definiendo una configuración de alta disponibilidad del HSM. Estado Consulte “Configuración del estado del módulo de seguridad de hardware de Luna SA de Safenet” o “Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect” según sea necesario. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. versión 7.0 Palo Alto Networks . Nombre de grupo de alta disponibilidad. Tabla 3. Configuración de estado del proveedor de módulo HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. • Thales Nshield Connect: Se ha configurado un HSM de Thales Nshield Connect en el cortafuegos. Tabla 4. • Luna SA de Safenet: Se ha configurado un HSM de Luna SA de SafeNet en el cortafuegos. De forma predeterminada. Dirección de origen de cortafuegos Dirección del puerto utilizado para el servicio HSM. Nombre de grupo configurado en el cortafuegos para la alta disponibilidad del HSM. 34 • Guía de referencia de interfaz web . la clave maestra se asegura en el HSM. Solo Luna SA de Safenet. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. No se necesita otra configuración. Para configurar un módulo de seguridad de hardware (HSM) en el cortafuegos. Clave maestra asegurada por HSM Si se activa. La siguiente configuración de estado aparece en la sección del proveedor de módulo de seguridad de hardware. Sin embargo. Dirección de servidor Especifique una dirección de IPv4 para cualquier módulo HSM que esté configurando. Ajustes de configuración de HSM Campo Descripción Proveedor configurado Especifica una de las siguientes opciones: • Ninguno: No se ha configurado ningún HSM para el cortafuegos. se trata de la dirección del puerto de gestión. haga clic en el icono Editar de la sección Proveedor de módulo de seguridad de hardware y configure los siguientes ajustes. se puede especificar como un puerto diferente a través de la opción Configuración de ruta de servicios en Dispositivo > Configuración > Servicios. Solo Luna SA de Safenet.

Dirección IP Dirección IP del HSM que se asignó en el cortafuegos. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect Campo Descripción Nombre Nombre del servidor del HSM.Definición de módulos de seguridad de hardware Tabla 4. Se debe configurar el nombre del módulo y la dirección del servidor de todos los módulos HSM. Seleccione Configurar módulo de seguridad de hardware y configure los siguientes ajustes para autenticar el cortafuegos en el HSM. Reintento de recuperación automática Solo Luna SA de Safenet Especifique el número de intentos que debe realizar el cortafuegos para recuperar la conexión con HSM antes de conmutarse por error a otro HSM en una configuración de alta disponibilidad del HSM. Tabla 5. Puede ser cualquier cadena ASCII con una longitud de hasta 31 caracteres. La sección Estado de módulo de seguridad de hardware proporciona la siguiente información sobre los HSM que se han autenticado correctamente. Tabla 7. La pantalla mostrará opciones diferentes dependiendo el proveedor HSM configurado. versión 7. Tabla 6. Contraseña de administrador Introduzca la contraseña del administrador de HSM para autenticar el cortafuegos en el HSM. Solo Luna SA de Safenet Especifique el nombre de grupo que se debe utilizar para el grupo de alta disponibilidad del HSM. Estado de módulo Estado de funcionamiento actual del HSM. Rango 0 -500. Este ajuste tendrá el valor Autenticado si el HSM aparece en esta tabla. Dirección de sistema de archivos remoto Solo Thales Nshield Connect Configure la dirección IPv4 del sistema de archivos remoto utilizado en la configuración de HSM de Thales Nshield Connect.0 • 35 . Este nombre lo utiliza el cortafuegos de forma interna. Palo Alto Networks Guía de referencia de interfaz web . Ajustes de Configurar módulo de seguridad de hardware Campo Descripción Nombre de servidor Seleccione un nombre de servidor HSM en el cuadro desplegable. Ajustes de configuración de HSM (Continuación) Campo Descripción Alta disponibilidad Solo Luna SA de Safenet Seleccione esta casilla de verificación si está definiendo módulos HSM en una configuración de alta disponibilidad. Partición Nombre de la partición en el HSM que se asignó en el cortafuegos. Nombre de grupo de alta disponibilidad. Safenet Configuración del estado del módulo de seguridad de hardware de Luna SA de Campo Descripción Número de serie Se muestra el número de serie de la partición del HSM si la partición de HSM se ha autenticado correctamente.

36 • Guía de referencia de interfaz web . • Autenticado • No autenticado Habilitación de supervisión de SNMP Dispositivo > Configuración > Operaciones SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. Para SNMP V2c Cadena de comunidad SNMP Introduzca la cadena de comunidad. Cuando se genera un log o trap.Habilitación de supervisión de SNMP Tabla 7. lo que significa que el dispositivo usa un OID exclusivo para cada trap SNMP en función del tipo de evento. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores). Contacto Introduzca el nombre o la dirección de correo electrónico de la persona responsable del mantenimiento del cortafuegos. todos los traps tendrán el mismo OID. Este ajuste se indica en la MIB de información del sistema estándar. Si anula la selección de esta casilla de verificación. Utilizar definiciones de traps específicas Esta casilla de verificación está seleccionada de manera predeterminada. que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar. Configuración del estado del módulo de seguridad de hardware de Thales Nshield Connect (Continuación) Campo Descripción Estado de módulo Estado de funcionamiento actual del HSM. Se recomienda no usar la cadena de comunidad pública predeterminada. Esta cadena puede tener hasta 127 caracteres. admite todos los caracteres y distingue entre mayúsculas y minúsculas. Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar las estadísticas que recopila de los dispositivos de Palo Alto Networks. versión 7. Un trap SNMP identifica un evento con un ID de objeto único (OID) y los campos individuales se definen como una lista de enlaces de variables (varbind). Haga clic en el enlace Configuración de SNMP y especifique los siguientes ajustes para permitir las solicitudes GET SNMP desde su gestor de SNMP: Tabla 8. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí cuando intercambian mensajes get (solicitud de estadísticas) y trap SNMP. consulte MIB compatibles.0 Palo Alto Networks . Los MIB SNMP definen todos los traps SNMP que genera el dispositivo. Para configurar el perfil de servidor que habilita la comunicación del cortafuegos con los destinos trap SNMP en su red (consulte “Configuración de destinos de traps SNMP”). Use la página Operaciones para configurar el dispositivo y usar la versión de SNMP compatible con su gestor de SNMP (SNMPv2c o SNMPv3). Configuración de SNMP Campo Descripción Ubicación física Especifique la ubicación física del cortafuegos. Su selección controla los campos restantes que muestra el cuadro de diálogo. esta información le permite identificar (en un gestor de SNMP) el dispositivo que ha generado la notificación.

6. • Máscara: Especifique la máscara en formato hexadecimal. 1. donde define los servicios que el cortafuegos o sus sistemas virtuales. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP y respuestas a solicitudes de estadísticas. • Contraseña privada: Especifique la contraseña de privacidad del usuario. los objetos que solicite el usuario deberán tener OID que coincidan con los primeros cuatro nodos (f = 1111) de 1. Los objetos no necesitan coincidir con los nodos restantes. En este ejemplo. haga clic en Añadir.3. use el OID de máximo nivel 1.6.Definición de la configuración de servicios Tabla 8. El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña. Configuración de SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre/Vista Puede asignar un grupo de una o más vistas al usuario de un gestor de SNMP para controlar qué objetos MIB (estadísticas) del dispositivo puede obtener el usuario. la opción coincidente está fijada en incluir y la máscara es 0xf0. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. sino simplemente un menú Servicios.4. • Contraseña de autenticación: Especifique la contraseña de autenticación del usuario. Para cada usuario.1. El dispositivo usa la contraseña para autenticar el gestor SNMP cuando se reenvían traps y se responde a solicitudes de estadísticas.1. haga clic en Añadir y configure los siguientes ajustes: • Usuarios: Especifique un nombre de usuario para identificar una cuenta de usuario de SNMP. Cada vista es un OID emparejado y una máscara binaria: el OID especifica un MIB y la máscara (en formato hexadecimal) especifica qué objetos son accesibles dentro (incluir coincidencias) o fuera (excluir coincidencias) del MIB.6. no hay dos pestañas.1.3.2 no.3.6. privacidad y control de acceso cuando los dispositivos reenvían traps y los gestores SNMP obtienen estadísticas de dispositivos. defina la máscara en 0xf0 y configure la opción de coincidencia en incluir. Usuarios Las cuentas de usuario SNMP proporcionan autenticación. • Opción: Seleccione la lógica de coincidencia que se aplica al MIB. Definición de la configuración de servicios Dispositivo > Configuración > Servicios En un cortafuegos donde hay múltiples sistemas virtuales habilitados. Para cada grupo de vistas. (Si el cortafuegos es un único sistema virtual o si hay varios sistemas virtuales deshabilitados. El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP. • Ver: Asigne un grupo de vistas al usuario. Estos ajustes también se usan como los valores predeterminados para sistemas virtuales que no tienen un ajuste personalizado para un servicio.) Use la pestaña Global para definir servicios para todo el cortafuegos.1. introduzca un nombre para el grupo y configure lo siguiente en cada vista que añada al grupo: • Ver: Especifique un nombre para una vista.3.1. Palo Alto Networks Guía de referencia de interfaz web . Por ejemplo. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. Nota: Para proporcionar acceso a toda la información de gestión. la pestaña Servicios se divide en las pestañas Global y Sistemas virtuales. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. usan para operar eficientemente. El nombre de usuario puede tener hasta 31 caracteres.6.2 coincide con la máscara y 1. • OID: Especifique el OID del MIB. puntos. si el OID es 1. versión 7.0 • 37 . respectivamente. guiones bajos o guiones.

Para controlar y redirigir solicitudes de DNS entre sistemas virtuales específicos. Seleccione una ubicación (sistema virtual) y haga clic en Configuración de ruta de servicios. seleccione IPv4 o IPv6. Consulte en la Tabla 10 los servicios que se pueden personalizar. (Por ejemplo. LDAP. RADIUS. y si el servicio es compatible con direcciones de origen IPv4 o IPv6.) Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas. Para configurar la interfaz de gestión. La Tabla 9 describe los servicios globales. – La opción Personalizar le ofrece un control granular sobre la comunicación del servicio mediante la configuración de una interfaz de origen y una dirección IP específicas que el servicio usará como interfaz de destino y dirección IP de destino en su respuesta. versión 7. Consulte la Tabla 9 para conocer descripciones de los campos de las opciones disponibles en la sección Servicios. 38 • Guía de referencia de interfaz web . Utilice la pestaña NTP específica para configurar los ajustes del protocolo de tiempo de red (NTP). el servidor de actualizaciones y el servidor proxy. Hay dos formas de configurar rutas de servicio globales: – La opción Utilizar interfaz de gestión para todos forzará todas las comunicaciones de servicios de cortafuegos con servidores externos a través de la interfaz de gestión (MGT). La pestaña Destino es otra función de ruta de servicio global que puede personalizar. desplácese hasta la pestaña Dispositivo > Configuración > Gestión y edite la sección Configuración de interfaz de gestión. haga clic en Configuración de ruta de servicios para especificar cómo se comunicará el cortafuegos con otros dispositivos o servidores para servicios como DNS. Seleccione Heredar configuración de ruta de servicios globales o Personalizar rutas de servicio para un sistema virtual. Seleccione los servicios que quiere personalizar para que tengan la misma configuración y haga clic en Establecer rutas de servicio seleccionadas.0 Palo Alto Networks . Use la pestaña Sistemas virtuales para especificar rutas de servicios para un único sistema virtual. deberá configurar la interfaz de gestión para permitir las comunicaciones entre el cortafuegos y los servidores/dispositivos que proporcionan servicios. puede configurar una IP/interfaz de origen específica para toda la comunicación por correo electrónico entre el cortafuegos y un servidor de correo electrónico y utilizar una interfaz/IP de origen diferente para las actualizaciones de Palo Alto. • En la sección Características de servicios. correo electrónico. La pestaña Destino se muestra en la ventana Configuración de ruta de servicios y se describe en “Ruta de servicio de destino”. Si selecciona esta opción. Estos servicios se enumeran en la Tabla 10. haga clic en el icono Editar para definir las direcciones IP de destino de los servidores de sistemas de nombres de dominio (DNS). Si elige personalizar configuraciones. puede usar un Proxy DNS y un perfil de servidor DNS. syslog y mucho más. que indica si se puede configurar un servicio para el cortafuegos Global o los sistemas virtuales.Definición de la configuración de servicios • En la sección Servicios.

Puerto Introduzca el puerto para el servidor proxy. Guía de referencia de interfaz web .0 • 39 . Servidor DNS principal Introduzca la dirección IP del servidor DNS primario. Usuario Introduzca el nombre de usuario para acceder al servidor. introduzca la dirección IP o nombre de host de un segundo servidor NTP con el que sincronizar el reloj del cortafuegos si el servidor primario no está disponible. No cambie el nombre del servidor a menos que se lo indique la asistencia técnica. Las opciones incluyen las siguientes: • Servidores DNS principal y secundario para proporcionar resolución de nombres de dominio. para buscar el servidor de actualizaciones. Sección Servidor proxy Servidor Si el dispositivo necesita utilizar un servidor proxy para acceder a los servicios de actualización de Palo Alto Networks. logs y la gestión de dispositivos. Contraseña/ Confirmar contraseña Introduzca y confirme la contraseña para que el usuario acceda al servidor proxy. De forma optativa. Esta opción añade un nivel de seguridad adicional para la comunicación entre el servidor del cortafuegos/Panorama y el servidor de actualización. el cortafuegos o Panorama verificarán que el servidor desde el que se descarga el software o el paquete de contenidos cuenta con un certificado SSL firmado por una autoridad fiable. Actualizar servidor Este ajuste representa la dirección IP o el nombre de host del servidor utilizado para descargar actualizaciones de Palo Alto Networks. El valor actual es updates. • Un proxy DNS que se haya configurado en el cortafuegos es otra opción para configurar servidores de DNS. Este ajuste se utiliza para todas las consultas de DNS iniciadas por el cortafuegos con el fin de admitir objetos de dirección FQDN. NTP Dirección de servidor NTP Palo Alto Networks Introduzca la dirección IP o el nombre de host del servidor NTP que desee usar para sincronizar el reloj del cortafuegos. Verificar identidad del servidor de actualización Si se habilita esta opción. por ejemplo. para resolver entradas de DNS en logs o para objetos de dirección basados en FDQN.com. versión 7.paloaltonetworks. El servidor se utiliza para las consultas de DNS del cortafuegos.Definición de la configuración de servicios Tabla 9. Configuración de servicios Función Descripción Servicios DNS Seleccione el tipo de servicio de DNS: Servidor u Objeto proxy DNS. Servidor de DNS secundario Introduzca la dirección IP de un servidor DNS secundario que deberá utilizarse si el servidor principal no está disponible (opcional). introduzca la dirección IP o el nombre de host del servidor.

 —  — 40 • Guía de referencia de interfaz web . • Clave simétrica: Seleccione esta opción para que el cortafuegos utilice intercambio de clave simétrica (secretos compartidos) para autenticar las actualizaciones temporales del servidor NTP. seleccione el tipo de autenticación que debe utilizar el cortafuegos: • Ninguno: Seleccione esta opción para desactivar la autenticación del NTP (predeterminado). el DNS se realiza en el perfil de servidor de DNS. Si selecciona la clave simétrica.     MDM: Servidor de gestión de dispositivos móviles. Ajustes de configuración de ruta de servicios Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Estado de CRL: Servidor de lista de revocación de certificado (CRL).  —  — LDAP: Servidor de protocolo ligero de acceso a directorios.  — — — Kerberos: Servidor de autenticación Kerberos.0 Palo Alto Networks . –Clave de autenticación/Confirmar clave de autenticación: Introduzca y confirme la clave de autenticación del algoritmo de autenticación.65534).Definición de la configuración de servicios Tabla 9. continúe introduciendo los siguientes campos: –ID de clave: Introduzca el ID de clave (1.  — — — Panorama: Servidor Panorama de Palo Alto Networks. Para cada servidor NTP.   — — Flujo de red: Servidor de flujo de red para la recopilación de estadísticas de tráfico de red. Tabla 10. * Para sistemas virtuales. versión 7. –Algoritmo: Seleccione el algoritmo que se debe utilizar en la autenticación del NTP (MD5 o SHA1).   — — RADIUS: Servidor de servicio de autenticación remota telefónica de usuario.     NTP: Servidor de protocolo de tiempo de red.     HSM: Servidor de módulo de seguridad de hardware. Configuración de servicios (Continuación) Función Descripción Tipo de autenticación Puede activar el cortafuegos para autenticar las actualizaciones de hora desde un servidor NTP.   — — Proxy: Servidor que actúa como proxy para el cortafuegos. • Clave automática: Seleccione esta opción para que el cortafuegos utilice la clave automática (criptografía de clave pública) para autenticar las actualizaciones de hora del servidor NTP.   * * Correo electrónico: Servidor de correo electrónico.     SNMP Trap: Servidor trap de protocolo simple de administración de redes.   — — DNS: Servidor de sistema de nombres de dominio.   — — Actualizaciones de Palo Alto: Actualizaciones de Palo Alto Networks.

 — — — Wildfire Public: Servidor WildFire de Palo Alto Networks público. La Interfaz de origen tiene las siguientes tres opciones: • Heredar configuración global: Los servicios seleccionados heredarán la configuración global para estos servicios. No tiene que definir la dirección de destino porque el destino se configura para cada servicio en cuestión. Al configurar rutas de servicio para un sistema virtual. Para los servicios seleccionados. las respuestas del servidor se enviarán a la interfaz seleccionada porque esta era la interfaz de origen. Palo Alto Networks Guía de referencia de interfaz web . Ajustes de configuración de ruta de servicios (Continuación) Servicio Sistema virtual Global IPv4 IPv6 IPv4 IPv6 Syslog: Servidor para registro de mensajes de sistema. la opción Heredar configuración de ruta de servicios globales significa que todos los servicios del sistema virtual heredarán la configuración de ruta de servicios global. La dirección de origen muestra la dirección IPv4 o IPv6 asignada a la interfaz seleccionada.Definición de la configuración de servicios Tabla 10.     Tacplus: Servidor de sistema de control de acceso del controlador de acceso a terminales para servicios de autenticación. seleccione una dirección del menú desplegable. O bien puede elegir Personalizar. versión 7. en la pestaña IPv4 o IPv6.     Actualizaciones de URL: Servidor de actualizaciones de Localizador de recursos uniforme (URL). seleccione uno de los servicios disponibles de la lista. las respuestas del servidor se enviarán a esta dirección de origen. haga clic en Establecer rutas de servicio seleccionadas y seleccione Interfaz de origen y Dirección de origen del menú desplegable.   — — Supervisor de VM: Servidor de supervisor de máquina virtual.  — — — Al personalizar una ruta de servicios global.     Agente UID: Servidor de agente de ID de usuarios. la dirección IP seleccionada será el origen del tráfico de servicios. autorización y contabilidad (AAA. Para Dirección de origen. dicha acción establecerá el destino de las consultas de DNS. cuando defina sus servidores DNS en la pestaña Dispositivo > Configuración > Servicios.0 • 41 . • Cualquiera: Permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles (interfaces en el sistema virtual específico).     Wildfire Private: Servidor WildFire de Palo Alto Networks privado. seleccionar un servicio y hacer clic en Establecer rutas de servicio seleccionadas. • Una interfaz del menú desplegable: Para los servicios en configuración. por sus siglas en inglés). Una interfaz de origen definida en Cualquiera permite seleccionar una dirección de origen desde cualquiera de las interfaces disponibles. Por ejemplo. seleccionar IPv4 o IPv6.

así como la interfaz y la dirección de origen (ruta de servicio) que se usará en los paquetes enviados al servidor de DNS. versión 7. Definición de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Para simplificar la configuración para un sistema virtual. Configuración de ruta de servicio de destino Campo Descripción Destino Introduzca la dirección IP de destino. Un perfil de servidor de DNS solo sirve para un sistema virtual. Interfaz de origen Seleccione la interfaz de origen que se utilizará para los paquetes que regresan del destino. Las rutas de servicio de destino están disponibles solo en la pestaña Global (no la pestaña Sistemas virtuales). aparece la pestaña Destino. no sirve para la ubicación compartida global. si hace clic en Configuración de ruta de servicios y luego en Personalizar. La pestaña Destino sirve para los siguientes casos de uso: • Cuando un servicio no tiene una ruta de servicio de aplicaciones. de modo que la ruta de servicio de un sistema virtual individual no puede cancelar entradas de tabla de rutas que no están asociadas a un sistema virtual. Dirección de origen Seleccione la dirección de origen que se utilizará para los paquetes que regresan del destino. La interfaz y la dirección de origen se usan como interfaz y dirección destino en la respuesta desde el servidor de DNS. 42 • Guía de referencia de interfaz web . Tabla 11. Cualquier configuración en las rutas de servicio de destino cancelan las entradas de tabla de rutas.0 Palo Alto Networks . un perfil de servidor de DNS le permite especificar el sistema virtual que se está configurando. • Dentro de un único sistema virtual. Se puede usar una ruta de servicio de destino para añadir una redirección personalizada de un servicio compatible con los servicios de la lista Personalizar (Tabla 10).Definición de un perfil de servidor de DNS Ruta de servicio de destino Dispositivo > Configuración > Servicios > Global Al regresar a la pestaña Global. un origen de herencia o las direcciones DNS primarias y secundarias para los servidores de DNS. cuando quiere usar varios enrutadores virtuales o una combinación de enrutador virtual y puerto de gestión. La Tabla 12 describe la configuración del perfil de servidor de DNS. Pueden estar relacionadas o no relacionadas con cualquier servicio. La Tabla 11 define los campos para la ruta de servicio de destino. Una ruta de servicio de destino es un modo de configurar la ruta para cancelar la tabla de rutas de base de información de reenvío (FIB). No necesita introducir la subred de la dirección de destino.

Comprobar estado de origen de herencia Haga clic para ver la información de origen de herencia. Ruta de servicio IPv6 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Este valor se utiliza en el filtrado de URL dinámica para determinar la cantidad de tiempo que una entrada permanece en la caché después de ser devuelta por el servicio de filtrado de URL. Origen de herencia Seleccione Ninguno si las direcciones del servidor de DNS no son heredadas. DNS secundario Especifique la dirección IP del servidor DNS secundario. Configuración de ID de contenidos Función Descripción Filtrado de URL Tiempo de espera de caché de URL dinámica Palo Alto Networks Haga clic en Editar e introduzca el tiempo de espera (en horas). la protección de datos y las páginas contenedoras. Ubicación Seleccione el sistema virtual al que pertenece el perfil. consulte “Perfiles de filtrado de URL”. especifique el servidor de DNS desde el que el perfil debería heredar la configuración. Definición de la configuración de ID de contenido Dispositivo > Configuración > ID de contenido Utilice la pestaña ID de contenido (Content-ID) para definir la configuración del filtrado de URL. De lo contrario. DNS principal Especifique la dirección IP del servidor DNS primario. Configuración de perfil de servidor de DNS Campo Descripción Nombre Asigne un nombre al perfil de servidor de DNS. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Esta opción únicamente es aplicable al filtrado de URL que utilice la base de datos de BrightCloud.0 • 43 . Dirección de origen Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. Tabla 13.Definición de la configuración de ID de contenido Tabla 12. Interfaz de origen Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. Guía de referencia de interfaz web . Dirección de origen Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. Ruta de servicio IPv4 Haga clic en la casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. Si desea más información sobre el filtrado de URL. versión 7.

introduzca la dirección IP para el redireccionamiento. Para obtener más información. Tiempo de espera de cancelación de administrador de URL Especifique en minutos el intervalo que transcurre desde que el usuario introduce la contraseña de cancelación de administrador hasta que el usuario debe volver a introducir la contraseña de cancelación de administrador para las URL de la misma categoría (intervalo: 1-86400. haga clic en Añadir y especifique la configuración que se aplica cuando un perfil de bloqueo de URL bloquea una página y la acción Cancelar se especifica (para obtener más información. consulte “Perfiles de filtrado de URL”): • Ubicación: Seleccione el sistema virtual en la lista desplegable (únicamente cortafuegos de VSYS múltiple). predeterminado: 900). predeterminado: 1800). El cortafuegos conecta con la nube PAN-DB pública de manera predeterminada. • Contraseña/Confirmar contraseña: Introduzca la contraseña que el usuario debe introducir para cancelar la página de bloque. seleccione un perfil de servicio SSL/TLS. • Perfil de servicio SSL/TLS: Para especificar un certificado y las versiones de protocolo TLS para protección de comunicaciones al redireccionar a través del servidor especificado. dirección IPv6 o FQDN para los servidores PAN-DB privados en su red. Cancelación de administrador de URL Configuración de la cancelación de administrador de URL Para cada sistema virtual que quiera configurar para la cancelación de administradores de URL. Si selecciona Redirigir. Tiempo de espera de bloqueo de administrador de URL Especifique en minutos el período que un usuario está bloqueado y no puede utilizar la contraseña de cancelación de administrador de URL después de tres intentos incorrectos (1-86400. La solución PAN-DB privada es para empresas que no permiten que los cortafuegos accedan directamente a los servidores de PAN-DB en la nube pública. Configuración de ID de contenidos (Continuación) Función Descripción Tiempo de espera de caché de URL dinámica Especifique en minutos el intervalo que transcurre desde una acción de “continuación” por parte del usuario hasta el momento en que el usuario debe volver a pulsar el botón de continuación para las URL de la misma categoría (intervalo: 1-86400. actualizaciones de URL y búsquedas de URL para categorizar páginas web. Haga clic en para eliminar una entrada. consulte “Gestión de perfiles de servicio SSL/TLS”. Configuración de ID de contenidos Longitud de captura de paquetes extendida Establezca el número de paquetes que se deben capturar cuando la opción de captura extendida se habilita en perfiles de antispyware y vulnerabilidad. Los cortafuegos acceden a los servidores incluidos en esta lista de servidores de PAN-DB para bases de datos de URL. 44 • Guía de referencia de interfaz web . Puede introducir hasta 20 entradas. Servidor PAN-DB (Necesario para la conexión a un servidor PAN-DB privado) Especifique la dirección IPv4. El rango es 1-50 y el valor predeterminado es 5.Definición de la configuración de ID de contenido Tabla 13. predeterminado: 15). • Modo: Determina si la página de bloqueo se entrega de manera transparente (parece originarse en el sitio web bloqueado) o redirige al usuario al servidor especificado. versión 7.0 Palo Alto Networks .

que contiene las direcciones IP de un cliente que solicita un servicio web cuando se implementa el cortafuegos entre Internet y un servidor proxy. Strip-X-Forwarded-For Header Seleccione esta casilla de verificación para eliminar el encabezado X-Forwarded-For (XFF). de modo que esas políticas puedan controlar y registrar el acceso a los usuarios y grupos asociados. el servicio de ID de usuario usa la primera entrada de la izquierda. Características de ID de contenido Gestionar protección de datos Palo Alto Networks Aumente la protección para acceder a logs que puedan incluir información confidencial. de lo contrario. Si el encabezado tiene varias direcciones IP. haga clic en Eliminar contraseña. Para habilitar esta configuración en cada sistema virtual. vaya a la pestaña Dispositivo > Sistemas virtuales. • Para cambiar la contraseña. ocultaría las direcciones IP a los usuarios. esta opción está habilitada para cada sistema virtual. Introduzca la contraseña anterior y. el cortafuegos puede reenviar contenido descifrado al realizar reflejo de puerto o enviar archivos de WildFire para su análisis. haga clic en Establecer contraseña. Si está seleccionada. El servicio de ID de usuario compara los nombres de usuario que lee con los nombres de usuario que menciona su regla. El cortafuegos pone a cero el valor del encabezado antes de reenviar la solicitud y los paquetes reenviados no contienen información de IP de origen interna. Para dispositivos con capacidad para varios sistemas virtuales. Si el servicio de ID de usuario no puede realizar la comparación o no tiene permiso en la zona asociada con la dirección IP. Si el encabezado tiene una dirección IP no válida. el servicio de ID de usuario usa esa dirección IP como un nombre de usuario para las referencias de asignación de grupos en las políticas. introduzca y confirme la nueva contraseña. Nota: Al seleccionar esta casilla de verificación no se deshabilita el uso de encabezado XFF para atribución de usuarios en políticas (consulte “Usar X-Forwarded-For Header en ID de usuario”). haga clic en Cambiar contraseña. a continuación. como números de tarjetas de crédito o números de la Seguridad Social. versión 7.0 • 45 . el campo Usuario de origen muestra la dirección IP XFF con el prefijo x-fwd-for.Definición de la configuración de ID de contenido Tabla 13. el cortafuegos solamente pone a cero el valor de XFF tras usarlo para atribución de usuarios. • Para eliminar la contraseña y los datos que se han protegido. Guía de referencia de interfaz web . Los logs de URL muestran los nombres de usuario coincidentes en el campo Usuario de origen. Haga clic en Gestionar protección de datos y configure lo siguiente: • Para establecer una nueva contraseña si todavía no se ha establecido una. X-Forwarded-For Headers Usar X-Forwarded-For Header en ID de usuario Seleccione esta casilla de verificación para especificar que el servicio de ID de usuario lea las direcciones IP desde el encabezado de X-Forwarded-For (XFF) en las solicitudes del cliente de servicios web cuando se implementa el cortafuegos entre Internet y un servidor proxy que. Configuración de ID de contenidos (Continuación) Función Descripción Permitir reenvío de contenido descifrado Seleccione la casilla de verificación para permitir que el cortafuegos reenvíe contenido descifrado a un servicio externo. Introduzca y confirme la contraseña.

UU. Configuración de ID de contenidos (Continuación) Función Descripción Páginas contenedoras Utilice estos ajustes para especificar los tipos de URL que el cortafuegos seguirá o registrará basándose en el tipo de contenido. puede que también experimente una respuesta más rápida en los envíos de muestras y la generación de informes. Para reenviar contenido descifrado a WildFire. Ajustes de WildFire en el cortafuegos Campo Descripción Configuración general Nube pública de WildFire Introduzca wildfire. 46 • Guía de referencia de interfaz web . para analizar archivos. el cual puede seleccionar en la lista desplegable Ubicación. Tras introducir la configuración de WildFire. versión 7. Si se detecta que un archivo enviado a la nube de Japón es malintencionado. Tabla 14. puede especificar qué archivos se reenvían a la nube de WildFire o al dispositivo de WildFire creando un perfil de análisis de WildFire (Objetos > Perfiles de seguridad > Análisis de WildFire). se utilizarán los tipos de contenido predeterminados. introduzca wildfire.jp.paloaltonetworks. text/plain y text/xml. Si no hay tipos de contenido asociados a un sistema virtual. Para usar la nube de WildFire alojada en Japón. como application/ pdf. Configuración de ajustes de WildFire Dispositivo > Configuración > WildFire Utilice la pestaña WildFire para configurar los ajustes de WildFire en el cortafuegos. Haga clic en Añadir e introduzca o seleccione un tipo de contenido. Puede habilitar tanto la nube de WildFire como un dispositivo WildFire para que se usen para realizar análisis de archivos. se utilizará la lista predeterminada de tipos de contenido. La adición de nuevos tipos de contenido para un sistema virtual cancela la lista predeterminada de tipos de contenido.0 Palo Alto Networks . text/html.com para usar la nube de WildFire alojada en EE. application/soap+xml. Las páginas contenedoras se establecen según el sistema virtual. Puede que desee utilizar el servidor japonés si no desea que se envíen archivos benignos a los servidores de nube estadounidenses. deberá seleccionar la casilla de verificación “Permitir reenvío de contenido descifrado” del cuadro Configuración de Dispositivo > Configuración > ID de contenido > Filtrado de URL. Si un sistema virtual no tiene una página contenedora explícita definida. UU.Configuración de ajustes de WildFire Tabla 13. donde el archivo se vuelve a analizar y se genera una firma.paloaltonetworks. application/xhtml+. También puede establecer los límites de tamaño de archivo y la información de sesión sobre la que se informará. el sistema de la nube de Japón lo reenvía a los servidores de EE.. Nube privada de WildFire Especifique la dirección IP o FQDN del dispositivo WildFire que se usará para analizar archivos. Si se encuentra en la región de Japón.

los archivos analizados por WildFire indicados como benignos aparecerán en el log Supervisar > Envíos de WildFire.0 • 47 . Nota: Incluso si esta opción está activada en el cortafuegos. Los rangos disponibles son: • flash (Adobe Flash): 1-10 MB. 10 MB de forma predeterminada • pdf (Portable Document Format) 100 KB-1000 KB. haga clic en el campo Límite de tamaño y aparecerá un mensaje emergente que mostrará el intervalo disponible y el valor predeterminado. 2 MB de forma predeterminada • ms-office (Microsoft Office): 200 KB-10000 KB. los enlaces de correo electrónico que WildFire considera benignos no se registrarán debido a la cantidad potencial de enlaces procesados. 5 MB de forma predeterminada • apk (aplicaciones para Android): 1-50 MB.Configuración de ajustes de WildFire Tabla 14. Palo Alto Networks Guía de referencia de interfaz web . Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Tamaño de archivo máximo (MB) Especifique el tamaño de archivo máximo que se reenviará al servidor WildFire. los enlaces de correo electrónico que WildFire considera grayware no se registrarán debido a la cantidad potencial de enlaces procesados. 500 KB de forma predeterminada Nota: Los valores anteriores pueden variar según la versión de PAN-OS o la versión de contenido instalada. Para ver los intervalos válidos. 1 MB de forma predeterminada • pe (Portable Executable): 1-10 MB. 200 KB de forma predeterminada • jar (archivo de clase de Java empaquetado): 1-10 MB. versión 7. los archivos analizados por WildFire indicados como grayware aparecerán en el log Supervisar > Envíos de WildFire. Informar de archivos benignos Cuando esta opción está activada (desactivada de forma predeterminada). Nota: Incluso si esta opción está activada en el cortafuegos. Archivos Grayware del informe Cuando esta opción está activada (desactivada de forma predeterminada).

• Destinatario de correo electrónico: Proporciona el nombre del destinatario en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Vsys: Sistema virtual del cortafuegos que identificó al posible software malintencionado. versión 7. • Puerto de destino: Puerto de destino del archivo sospechoso. todo está seleccionado: • IP de origen: Dirección IP de origen que envió el archivo sospechoso. • IP de destino: Dirección IP de destino del archivo sospechoso. De manera predeterminada. • URL: URL asociada al archivo sospechoso. • Nombre de archivo: Nombre del archivo que se envió. • Usuario: Usuario de destino. Definición de la configuración de sesión Dispositivo > Configuración > Sesión Utilice la pestaña Sesión para configurar los tiempos de vencimiento de las sesiones. • Remitente de correo electrónico: Proporciona el nombre del remitente en los logs de WildFire e informes de WildFire detallados cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3.Definición de la configuración de sesión Tabla 14. Ajustes de WildFire en el cortafuegos (Continuación) Campo Descripción Ajustes de información de sesión Configuración Especifique la información que se reenviará al servidor WildFire. • Aplicación: Aplicación de usuario que se utilizó para transmitir el archivo. como aplicar cortafuegos al tráfico IPv6 y volver a hacer coincidir la política de seguridad con las sesiones existentes cuando cambia la política. la configuración de certificados de descifrado y los ajustes globales relacionados con las sesiones. La pestaña presenta las siguientes secciones: • “Configuración de sesión” • “Tiempos de espera de sesión” • “Ajustes de descifrado: Comprobación de revocación de certificado” • “Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy” • “Configuración de sesión de VPN” 48 • Guía de referencia de interfaz web . • Asunto de correo electrónico: Proporciona el asunto del correo electrónico en los logs e informes detallados de WildFire cuando se detecta un enlace de correo electrónico malicioso en el tráfico del SMTP y POP3. • Puerto de origen: Puerto de origen que envió el archivo sospechoso.0 Palo Alto Networks .

Definición de la configuración de sesión

Configuración de sesión
Tabla 15. Configuración de sesión
Campo

Descripción

Reanalizar sesiones
establecidas

Haga clic en Editar y seleccione Reanalizar sesiones establecidas para que
el cortafuegos aplique las políticas de seguridad recién configuradas a las
sesiones que ya están en curso. Esta capacidad está habilitada de manera
predeterminada. Si este ajuste está deshabilitado, cualquier cambio de
política se aplica solo a las sesiones iniciadas después de que se haya
compilado un cambio de política.
Por ejemplo, si se ha iniciado una sesión de Telnet mientras había
configurada una política que permitía Telnet y, en consecuencia, ha
compilado un cambio de política para denegar Telnet, el cortafuegos aplica
la política revisada a la sesión actual y la bloquea.

Tamaño de depósito de
testigo de ICMPv6

Introduzca el tamaño de depósito para la limitación de tasa de mensajes de
error de ICMPv6. El tamaño de depósito de testigo es un parámetro del
algoritmo de depósito de testigo que controla la intensidad de las ráfagas
de transmisión de los paquetes de error de ICMPv6 (rango: 10-65.535
paquetes; valor predeterminado: 100).

Tasa de paquetes de
error de ICMPv6

Introduzca el número medio de paquetes de error de ICMPv6 por segundo
que se permiten globalmente a través del cortafuegos (el intervalo es
10-65535 paquetes/segundo, de forma predeterminada es 100 paquetes/
segundo). Este valor se aplica a todas las interfaces. Si el cortafuegos
alcanza la tasa de paquetes de error de ICMPv6, el depósito de testigo de
ICMPv6 se utiliza para activar la limitación de mensajes de error de
ICMPv6.

Habilitar cortafuegos
IPv6

Para habilitar capacidades de cortafuegos para IPv6, haga clic en Editar y
seleccione la casilla de verificación Cortafuegos IPv6.
Todas las configuraciones basadas en IPv6 se ignorarán si IPv6 no se
habilita. Incluso si IPv6 está activado para una interfaz, el ajuste
Cortafuegos IPv6 también debe estar activado para que IPv6 funcione.

Habilitar trama gigante
MTU global

Seleccione esta opción para habilitar la compatibilidad con tramas gigantes
en interfaces de Ethernet. Las tramas gigantes tienen una unidad de
transmisión máxima (MTU) de 9192 bytes y están disponibles en
determinadas plataformas.
• Si no activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 1500 bytes; el intervalo es de 576 a 1500 bytes.
• Si activa Habilitar trama gigante, la MTU global vuelve al valor
predeterminado de 9192 bytes; el intervalo es de 9192 a 9216 bytes.
Si activa las tramas gigantes y tiene interfaces donde la MTU no está
específicamente configurada, estas interfaces heredarán automáticamente
el tamaño de la traga gigante. Por lo tanto, antes de que active las tramas
gigantes, si no desea que alguna interfaz las adopte, debe establecer la
MTU para esa interfaz en 1500 bytes u otro valor. Para configurar la MTU
para la interfaz (Red > Interfaces > Ethernet), consulte “Configuración de
interfaz de capa 3”.

Tamaño mínimo de
MTU para NAT64 en
IPv6

Introduzca la MTU global para el tráfico IPv6 traducido. El valor
predeterminado de 1280 bytes se basa en la MTU mínima estándar para el
tráfico IPv6.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 49

Definición de la configuración de sesión

Tabla 15. Configuración de sesión (Continuación)
Campo

Descripción

Ratio de
sobresuscripción NAT

Seleccione la velocidad de sobresuscripción NAT, es decir, el número de
ocasiones en las que el mismo par de dirección IP y puerto traducido se
pueden usar de forma simultánea. La reducción de la velocidad de
sobresuscripción disminuirá el número de traducciones de dispositivo
origen, pero proporcionará más capacidades de regla de NAT.
• Valor predeterminado de plataforma: La configuración explícita de la
velocidad de sobresuscripción está desactivada; se aplica la velocidad de
sobresuscripción predeterminada para la plataforma. Consulte las
velocidades predeterminadas de la plataforma en
https://www.paloaltonetworks.com/products/product-selection.html.
• 1x: 1 vez. Esto significa que no existe ninguna sobresuscripción; cada par
de dirección IP y puerto traducido se puede utilizar solo una vez en cada
ocasión.
• 2x: 2 veces
• 4x: 4 veces
• 8x: 8 veces

Tasa de paquetes (por
segundo) inalcanzable
de ICMP

Define el número máximo de respuestas de ICMP inalcanzable que puede
enviar el cortafuegos por segundo. Este límite es compartido por los
paquetes IPv4 e IPv6.
El valor predeterminado es 200 mensajes por segundo;
intervalo: 1-65535 mensajes por segundo.

Vencimiento acelerado

Activa el vencimiento acelerado de las sesiones inactivas.
Seleccione la casilla de verificación para habilitar el vencimiento acelerado
y especificar el umbral (%) y el factor de escala.
Cuando la tabla de sesión alcanza el umbral de vencimiento acelerado
(% lleno), PAN-OS aplica el factor de escala de vencimiento acelerado a
los cálculos de vencimiento de todas las sesiones. El factor de escala
predeterminado es 2, lo que significa que el vencimiento acelerado se
produce a una velocidad dos veces más rápida que el tiempo de espera de
inactividad configurado. El tiempo de espera de inactividad configurado
dividido entre 2 tiene como resultado un tiempo de espera más rápido
(la mitad). Para calcular el vencimiento acelerado de la sesión, PAN-OS
divide el tiempo de inactividad configurado (para ese tipo de sesión) entre
el factor de escala para determinar un tiempo de espera más corto.
Por ejemplo, si se utiliza el factor de escala de 10, una sesión que por lo
general vencería después de 3600 segundos lo hará 10 veces más rápido
(en 1/10 del tiempo), es decir, 360 segundos.

Tiempos de espera de sesión
El tiempo de espera de una sesión define la duración para la que PAN-OS mantiene una
sesión en el cortafuegos después de la inactividad en esa sesión. De forma predeterminada,
cuando la sesión agota su tiempo de espera para el protocolo, PAN-OS cierra la sesión.
En el cortafuegos, puede definir un número de tiempos de espera para sesiones TCP, UDP e
ICMP por separado. El tiempo de espera predeterminado se aplica a cualquier otro tipo de
sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas la
sesiones de ese tipo en el cortafuegos.
Además de los ajustes globales, tiene la posibilidad de definir tiempos de espera para cada
aplicación en la pestaña Objetos > Aplicaciones. Los tiempos de espera disponibles para esa
aplicación aparecen en la ventana Opciones. El cortafuegos aplica los tiempos de espera de la
aplicación a una aplicación que esté en estado Establecido. Cuando se configuran, los tiempos
de espera para una aplicación anulan los tiempos de espera globales de la sesión TCP o UDP.

50 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Utilice las opciones de esta sección para configurar los ajustes de los tiempos de espera globales:
específicamente para las sesiones TCP, UDP e ICMP y para el resto de tipos de sesiones.
Los valores predeterminados son valores óptimos. Sin embargo, puede modificarlos según las
necesidades de su red. Si configura un valor demasiado bajo, puede hacer que se detecten
retrasos mínimos en la red, lo que podría producir errores a la hora de establecer conexiones
con el cortafuegos. Si configura un valor demasiado alto, entonces podría retrasarse la
detección de errores.

Tabla 16. Tiempos de espera de sesión
Campo

Descripción

Valor predeterminado

Tiempo máximo que una sesión que no es TCP/UDP ni ICMP se puede abrir
sin una respuesta.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Descartar tiempo de
espera

PAN-OS aplica el tiempo de espera de descarte cuando se deniega una
sesión debido a las políticas de seguridad configuradas en el cortafuegos.

– Descartar valor
predeterminado

Solo se aplica al tráfico que no es de TCP/UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

– Descartar TCP

Se aplica al tráfico de TCP.
El valor predeterminado es 90 segundos; el intervalo es 1-1599999 segundos.

– Descartar UDP

Se aplica al tráfico de UDP.
El valor predeterminado es 60 segundos; el intervalo es 1-1599999 segundos.

ICMP

Tiempo máximo que una sesión ICMP puede permanecer abierta sin una
respuesta de ICMP.
El valor predeterminado es 6 segundos; el intervalo es 1-1599999 segundos.

Analizar

Tiempo máximo que cualquier sesión puede permanecer abierta después
de ser considerada inactiva. PAN-OS considera inactiva una aplicación
cuando supera el umbral de generación definido para la misma.
El valor predeterminado es 10 segundos; el intervalo es 5-30 segundos.

TCP

Tiempo máximo que una sesión TCP permanece abierta sin una respuesta
después de que una sesión TCP active el estado Establecido (después de
que se complete el protocolo o la transmisión de datos haya comenzado).
El valor predeterminado es 3600 segundos; el intervalo es 1-1599999 segundos.

Protocolo de
enlace TCP

Tiempo máximo entre la recepción de SYN-ACK y la siguiente ACK para
establecer completamente la sesión.
El valor predeterminado es 10 segundos; el intervalo es 1-60 segundos.

Inicialización de TCP

Tiempo máximo entre la recepción de SYN y SYN-ACK antes de iniciar el
temporizador del protocolo de enlace TCP.
Valor predeterminado: 5 segundos; intervalo: 1-60 segundos

TCP semicerrado

Tiempo máximo entre la recepción del primer FIN y la recepción del
segundo FIN o RST.
Valor predeterminado: 120 segundos; intervalo: 1-604800 segundos

Tiempo de espera
de TCP

Tiempo máximo después de recibir el segundo FIN o RST.
Valor predeterminado: 15 segundos; intervalo: 1-600 segundos

RST sin verificar

Tiempo máximo después de recibir un RST que no se puede verificar
(el RST está dentro de la ventana TCP pero tiene un número de secuencia
inesperado o el RST procede de una ruta asimétrica).
Valor predeterminado: 30 segundos; intervalo: 1-600 segundos

UDP

Tiempo máximo que una sesión UDP permanece abierta sin una respuesta
de UDP.
El valor predeterminado es 30 segundos; el intervalo es 1-1599999 segundos.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 51

Definición de la configuración de sesión

Tabla 16. Tiempos de espera de sesión (Continuación)
Campo

Descripción

Portal cautivo

El tiempo de espera de la sesión de autenticación en segundos para el
formulario web del portal cautivo (predeterminado: 30; intervalo: 1-1599999).
Para acceder al contenido solicitado, el usuario debe introducir las
credenciales de autenticación en este formato y autenticarse correctamente.
Para definir otros tiempos de espera del portal cautivo, como el
temporizador de inactividad y el tiempo que debe pasar para volver a
autenticar al usuario, utilice la pestaña Dispositivo > Identificación de
usuario > Configuración de portal cautivo. Consulte “Pestaña
Configuración de portal cautivo”.

Ajustes de descifrado: Comprobación de revocación de certificado
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Comprobación de revocación
de certificado para establecer los parámetros descritos en la siguiente tabla.

Tabla 17. Características de sesión: Comprobación de revocación de certificado
Campo

Descripción

Habilitar: CRL

Seleccione esta casilla de verificación para utilizar el método de la lista de
revocación de certificados (CRL) y verificar el estado de revocación de los
certificados.
Si también activa el protocolo de estado de certificado en línea (OCSP), el
cortafuegos primero prueba con él; si el servidor OCSP no está disponible,
entonces el cortafuegos intenta utilizar el método CRL.
Para obtener más información sobre los certificados de descifrado, consulte
“Políticas de descifrado”.

Tiempo de espera de
recepción: CRL

Si ha activado el método CLR para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de CRL.

Habilitar: OCSP

Seleccione la casilla de verificación para utilizar OCSP y verificar el estado
de revocación de los certificados.

Tiempo de espera de
recepción: OCSP

Si ha activado el método OCSP para verificar el estado de revocación de
certificados, especifique el intervalo en segundos (1-60, 5 de forma
predeterminada) después del cual el cortafuegos deja de esperar una
respuesta procedente del servicio de OCSP.

Bloquear sesión con
estado de certificado
desconocido

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS cuando
el servicio OCSP o CRL devuelva un estado de revocación de certificados
desconocido. De lo contrario, el cortafuegos continuará con la sesión.

Bloquear sesión al
agotar el tiempo de
espera de
comprobación de
estado de certificado

Seleccione la casilla de verificación para bloquear sesiones SSL/TLS
después de que el cortafuegos registre un tiempo de espera de la solicitud
de OCSP o CRL. De lo contrario, el cortafuegos continuará con la sesión.

52 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de la configuración de sesión

Tabla 17. Características de sesión: Comprobación de revocación de certificado (Continuación)
Campo

Descripción

Tiempo de espera del
estado del certificado

Especifique el intervalo en segundos (1-60 segundos, 5 de forma
predeterminada) tras el cual el cortafuegos deja de esperar una respuesta
de cualquier servicio de estado de certificados y aplica la lógica de bloqueo
de sesión que opcionalmente defina. El Tiempo de espera del estado del
certificado se relaciona con el Tiempo de espera de recepción de OCSP/
CRL de la manera siguiente:
• Si habilita tanto OCSP como CRL: El cortafuegos registra un tiempo de
espera de solicitud después de que pase el menor de dos intervalos: el
valor de Tiempo de espera del estado del certificado o la suma de los
dos valores de Tiempo de espera de recepción.
• Si habilita únicamente OCSP: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de OCSP.
• Si habilita únicamente CRL: El cortafuegos registra un tiempo de espera
de solicitud después de que pase el menor de dos intervalos: el valor de
Tiempo de espera del estado del certificado o el valor de Tiempo de
espera de recepción de CRL.

Ajustes de descifrado: Reenviar los ajustes de certificados del servidor proxy
En la pestaña Sesión, sección Ajustes de descifrado, seleccione Reenviar los ajustes de
certificados del servidor proxy para configurar el tamaño de clave y el algoritmo de hash de
los certificados que presenta el cortafuegos a los clientes cuando establecen sesiones para el
descifrado del proxy de reenvío SSL/TLS. La siguiente tabla describe los parámetros.

Tabla 18. Características de sesión: Reenviar los ajustes de certificados del servidor proxy
Campo

Descripción

Definido por el host de
destino

Seleccione esta opción si desea que PAN-OS genere certificados basados en
la clave que utiliza el servidor de destino:
• Si el servidor de destino utiliza una clave RSA de 1024 bits, PAN-OS genera
un certificado con ese tamaño de clave y un algoritmo de hash SHA-1.
• Si el servidor de destino utiliza un tamaño de clave superior a 1024 bits
(por ejemplo, 2048 o 4096 bits), PAN-OS genera un certificado que utiliza
una clave de 2048 bits y un algoritmo SHA-256.
Es el ajuste predeterminado.

RSA de 1024 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 1024 bits y un algoritmo de hash SHA-1
independientemente del tamaño de clave que utiliza el servidor de destino.
A fecha de 31 de diciembre de 2013, las entidades de certificación públicas
(CA) y navegadores más populares han limitado la compatibilidad con los
certificados X.509 que utilizan claves de menos de 2048 bits. En el futuro,
según su configuración de seguridad, cuando el navegador presente dichas
claves, el usuario podría recibir un aviso o se podría bloquear
completamente la sesión SSL/TLS.

RSA de 2048 bits

Seleccione esta opción si desea que PAN-OS genere certificados que
utilicen una clave RSA de 2048 bits y un algoritmo de hash SHA-256
independientemente del tamaño de clave que utiliza el servidor de destino.
Las CA públicas y los navegadores más populares admiten claves de
2048 bits, que proporcionan más seguridad que las claves de 1024 bits.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 53

Definición de la configuración de sesión

Configuración de sesión de VPN
En la pestaña Sesión, en la sección Configuración de sesión de VPN, configure los ajustes
globales relacionados con el cortafuegos que establece una sesión de VPN. La siguiente tabla
describe la configuración.

Tabla 19 Configuración de sesión de VPN
Campo

Descripción

Umbral de
activación de
cookies

Especifique un número máximo de asociaciones de seguridad (SA) IKE a
medio abrir IKEv2 permitidas por el cortafuegos, por encima del cual se activa
la validación de cookies. Si el número de SA IKE a medio abrir supera el
umbral de activación de cookies, el respondedor solicita una cookie y el
iniciador debe responder con una IKE_SA_INIT que contenga una cookie. Si la
cookie se valida correctamente, se puede iniciar otra sesión de SA.
Un valor de 0 significa que la validación de cookies está siempre activa.
El Umbral de activación de cookies es una configuración de cortafuegos global
y debería ser inferior a la configuración de SA medio abiertas máx., que
también es global.
Intervalo: 0-65535. Valor predeterminado: 500.

SA medio abiertas
máx.

Especifique el número máximo de SA IKE a medio abrir IKEv2 que los
iniciadores pueden enviar al cortafuegos sin obtener una respuesta. Cuando se
alcance el máximo, el cortafuegos no responderá a nuevos paquetes
IKE_SA_INIT. Intervalo: 1-65535. Valor predeterminado: 65535.

Certificados en
caché máx.

Especifique el número máximo de certificados de autoridades de certificados
(CA) de peer recuperados por HTTP que el cortafuegos puede almacenar en
caché. Este valor solo lo usan las funciones IKEv2 Hash y URL. Intervalo:
1-4000. Valor predeterminado: 500.

54 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Comparación de archivos de configuración

Comparación de archivos de configuración
Dispositivo > Auditoría de configuraciones
Puede ver y comparar archivos de configuración utilizando la página Auditoría de
configuraciones. En las listas desplegables, seleccione las configuraciones para compararlas.
Seleccione el número de líneas que desee incluir para el contexto y haga clic en Ir.
El sistema presenta las configuraciones y resalta las diferencias, como en la siguiente ilustración.
La página también incluye los botones
y
junto a las listas desplegables, que se
habilitan al comparar dos versiones de configuración consecutivas. Haga clic en
para
cambiar las configuraciones que se están comparando por el conjunto anterior de
configuraciones guardadas y en
para cambiar las configuraciones que se están
comparando por el conjunto siguiente de configuraciones guardadas.

Ilustración 1. Comparación de configuraciones

Panorama guarda automáticamente todos los archivos de configuración que se han compilado
en cada cortafuegos gestionado, independientemente de si los cambios se realizaron a través
de la interfaz de Panorama o localmente en el cortafuegos.

Instalación de una licencia
Dispositivo > Licencias
Use esta página para activar licencias en todas las plataformas del cortafuegos. Al adquirir
una suscripción de Palo Alto Networks, recibirá un código de autorización para activar una o
más claves de licencia.
En el cortafuegos VM-Series, esta página también permite desactivar una máquina virtual (VM).
Las siguientes acciones están disponibles en la página Licencias:

• Recuperar claves de licencia del servidor de licencias: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que se han activado en el portal de
asistencia técnica, haga clic en Recuperar claves de licencia del servidor de licencias.

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 55

Instalación de una licencia

• Activar característica mediante código de autorización: Para habilitar suscripciones
adquiridas que requieren un código de autorización y que no se han activado anteriormente
en el portal de asistencia técnica, haga clic en Activar característica mediante código de
autorización. Introduzca su código de autorización y haga clic en ACEPTAR.

• Clave de licencia de carga manual: Si el cortafuegos no tiene conexión con el servidor de
licencias y desea cargar claves de licencia manualmente, realice los siguientes pasos:

a. Descargue el archivo de clave de licencia en https://support.paloaltonetworks.com y
guárdelo localmente.

b. Haga clic Clave de licencia de carga manual, haga clic en Examinar, seleccione el
archivo y haga clic en ACEPTAR.
Para habilitar licencias para el filtrado de URL, instale la licencia, descargue la base
de datos y haga clic en Activar. Si utiliza PAN-DB para el filtrado de URL (PAN-DB
for URL Filtering), tendrá que hacer clic en Descargar para recuperar en primer
lugar la base de datos de semilla inicial y, a continuación, hacer clic en Activar.
También puede ejecutar el comando de CLI “request url-filtering download
paloaltonetworks region <region name>”.

• Deshabilitar VM: Esta opción está disponible en el cortafuegos VM-Series con el modelo
Traiga su propia licencia, que es compatible con licencias perpetuas y temporales;
el modelo de licencias a petición no es compatible con esta funcionalidad.
Haga clic en Desactivar VM cuando ya no necesite una instancia del cortafuegos
VM-Series. Le permitirá liberar todas las licencias activas (licencias de suscripción,
licencias de capacidad de VM y derecho de asistencia) usando esta opción. Las licencias se
devuelven a su cuenta y podrá aplicarlas a nuevas instancias de un cortafuegos
VM-Series cuando sea necesario.
Al desactivar la licencia, la funcionalidad del cortafuegos se deshabilita y se queda sin
licencia; no obstante, la configuración permanece intacta.
– Haga clic en Continuar manualmente si el cortafuegos VM-Series no tiene acceso
directo a Internet. El cortafuegos genera un archivo de token. Haga clic en el enlace
Exportar token de licencia para guardar el archivo de token en su ordenador local y
luego reinicie el cortafuegos. Inicie sesión en el portal de asistencia de
Palo Alto Networks y acceda a la página Activos > Dispositivos; haga clic en el enlace
Deshabilitar VM para usar este archivo de token y completar el proceso de
desactivación.
– Haga clic en Continuar si desea desactivar las licencias del cortafuegos VM-Series.
Haga clic en Reiniciar ahora para completar el proceso de desactivación de licencias.
– Haga clic en Cancelar si desea cancelar y cerrar la ventana de desactivación de VM.

Comportamiento tras el vencimiento de la licencia
Póngase en contacto con el equipo de operaciones y ventas de Palo Alto Networks para
obtener información sobre cómo renovar sus licencias o suscripciones.

56 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

Definición de orígenes de información de VM

• Si vence la suscripción de prevención de amenazas en el cortafuegos, ocurrirá lo siguiente:
– Se genera una entrada de log en el sistema; la entrada indica que la suscripción ha vencido.
– Todas las funciones de prevención de amenazas continuarán funcionado con las
firmas que se instalaron en el momento en que caducó la licencia.
– Las nuevas firmas no se pueden instalar hasta que no se haya instalado una licencia
válida. De igual forma, la capacidad de restablecimiento a una versión anterior de las
firmas no es compatible si la licencia ha caducado.
– Las firmas de App-ID personalizadas continuarán funcionando y se pueden modificar.

• Si la licencia de soporte caduca, la prevención de amenazas y sus actualizaciones
continuarán funcionando normalmente.

• Si los derechos de soporte vencen, las actualizaciones de software dejarán de estar
disponibles. Deberá renovar su licencia para continuar teniendo acceso a las
actualizaciones de software e interactuar con el grupo de soporte técnico.

• Si vence una licencia de capacidad de VM temporal, no podrá obtener software o
actualizaciones de contenido para el cortafuegos hasta que renueve la licencia. Aunque
puede que tenga una suscripción válida (prevención de amenazas o WildFire, por
ejemplo) y una licencia de asistencia, debe tener una licencia de capacidad válida para
obtener el software y las actualizaciones de contenido más recientes.

Definición de orígenes de información de VM
Dispositivo > Orígenes de información de VM
Utilice esta pestaña para registrar cambios activamente en las máquinas virtuales (VM)
implementadas en cualquier de estos orígenes (servidor ESXi de VMware, servidor vCenter
de VMware o Amazon Web Services, Virtual Private Cloud (AWS-VPC). Hay dos formas de
supervisar los orígenes de información de VM.

• El cortafuegos puede supervisar el servidor ESXi de VMware, el servidor vCenter de
VMware y los entornos AWS-VPC, así como y recuperar cambios conforme realiza el
abastecimiento o modifica los invitados en estos orígenes supervisados. En cada
cortafuegos o sistema virtual de cortafuegos que admita varios sistemas virtuales,
puede configurar hasta 10 orígenes.
Si sus cortafuegos están configurados con alta disponibilidad:
– En una configuración activa/pasiva, solo el cortafuegos activo supervisa los orígenes
de la información de la máquina virtual.
– En una configuración activa/pasiva, solo el cortafuegos con el valor de prioridad
principal supervisa los orígenes de la máquina virtual.
Para obtener información sobre cómo funcionan de forma sincronizada los orígenes de
información de la VM y los grupos de direcciones dinámicas, y poder supervisar los
cambios en el entorno virtual, consulte la Guía de implementación de la serie VM.

• Para la dirección IP de la identificación de usuario, puede configurar los orígenes de la
información de VM en el agente de User-ID de Windows o en el cortafuegos para
supervisar los servidores ESXi de VMware y vCenter y recuperar los cambios conforme

Palo Alto Networks

Guía de referencia de interfaz web , versión 7.0 • 57

Definición de orígenes de información de VM

realiza el abastecimiento o modifica los invitados configurados en el servidor. Se admiten
hasta 100 orígenes en el agente de User-ID de Windows; el agente de User-ID de
Windows no admite AWS.
Nota: Las VM de servidores ESXi o vCenter supervisados deben tener las herramientas de VMware instaladas y
en ejecución. Las herramientas de VMware dan la posibilidad de deducir las direcciones IP y otros valores
asignados a cada VM.

Para conocer los valores asignados a las VM supervisadas, el cortafuegos supervisa los
siguientes atributos:

Atributos supervisados en un
origen de VMware

Atributos supervisados
en el AWS-VPC

• UUID

• Arquitectura

• Nombre

• Sistema operativo invitado

• Sistema operativo invitado

• ID de imagen

• Estado de máquina virtual: el estado de

• ID de instancia

alimentación es apagado, encendido,
en espera y desconocido.

• Estado de instancia

• Anotación

• Tipo de instancia

• Versión

• Nombre de clave

• Red: nombre del conmutador virtual,

• Colocación: arrendamiento, nombre de grupo,

nombre del grupo de puerto e ID de
VLAN

• Nombre del contenedor: nombre de
vCenter, nombre del objeto del centro
de datos, nombre del grupo de
recursos, nombre del clúster, host,
dirección IP del host.

zona de disponibilidad

• Nombre de DNS privado
• Nombre de DNS público
• ID de subred
• Etiqueta (clave, valor) (se admiten hasta
5 etiquetas por instancia)

• ID de VPC
Añadir: para añadir un nuevo origen para la supervisión de VM, haga clic en Añadir y,
a continuación, complete los detalles basados en el origen que se está supervisando:

• Para el servidor ESXi de VMware o vCenter, consulte “Activación de los orígenes de
información de la VM para los servidores ESXi de VMware o vCenter”.

• Para AWS-VPC, consulte “Activación de los orígenes de información de la VM para
AWS VPC”.
Actualizar conectados: Haga clic para actualizar el estado de la conexión; se actualiza la
visualización en pantalla. Este botón no actualiza la conexión entre el cortafuegos y los
orígenes supervisados.
Eliminar: Seleccione un origen de información de máquina virtual configurado y haga clic
para eliminar el origen configurado.

58 • Guía de referencia de interfaz web , versión 7.0

Palo Alto Networks

versión 7. rango de 2-10 horas) (Optativo) Para cambiar el valor predeterminado. (de forma predeterminada: 2 horas. Activación de los orígenes de información de la VM para los servidores ESXi de VMware o vCenter Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). números. Nombre de usuario Especifique el nombre de usuario necesario para autenticar para el origen. (de forma predeterminada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. guiones y guiones bajos. Activación de los orígenes de información de la VM para AWS VPC Campo Descripción Nombre Introduzca un nombre para identificar el origen supervisado (de hasta 31 caracteres). guiones y guiones bajos. Puerto Especifique el puerto en el que está escuchando el host/origen. Origen Introduzca el FQDN o la dirección IP del host/origen que se está supervisando. Contraseña Introduzca la contraseña y confirme la entrada. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos. si el host no responde. Palo Alto Networks Guía de referencia de interfaz web . espacios. Utilice únicamente letras. seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado y especifique el valor. Tipo Seleccione VPC de AWS. números.Definición de orígenes de información de VM Tabla 20. Habilitado De forma predeterminada. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 • 59 . Tiempo de espera Introduzca el intervalo en horas después del cual se cierra la conexión al origen supervisado. el cortafuegos cerrará la conexión al origen. Utilice únicamente letras. el rango es de 5-600 segundos) Tabla 21. (puerto predeterminado 443). espacios. Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. Tipo Seleccione si el host/origen que se está supervisando es un servidor ESXi o vCenter. Cuando se alcanza el límite especificado o si no se puede acceder al host o este no responde. 5 segundos. el estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente. la comunicación entre el cortafuegos y el origen configurado está activada.

Origen Añada la URI en la que reside la Virtual Private Cloud. El cortafuegos necesitas las credenciales (ID de clave de acceso y clave de acceso secreto) para firmar digitalmente las llamadas de API realizadas a los servicios de AWS. Cuando se alcanza el límite especificado o si no se puede acceder al origen o este no responde. 60 segundos. El estado de la conexión también aparece en amarillo cuando se deshabilita el origen supervisado. Esta información es una parte de las credenciales de seguridad de AWS. Quite la marca de la casilla de verificación correspondiente para deshabilitar la comunicación entre el host y el cortafuegos.com.Definición de orígenes de información de VM Tabla 21. vpc-1a2b3c4d. (de forma predeterminada. el cortafuegos cerrará la conexión al origen. Intervalo de actualización Especifique el intervalo en el que el cortafuegos recupera información del origen. Clave de acceso secreto Introduzca la contraseña y confirme la entrada. Habilitado De forma predeterminada. Activación de los orígenes de información de la VM para AWS VPC (Continuación) Campo Descripción Descripción (Optativo) Añada una etiqueta para identificar la ubicación o función del origen. ID de VPC Introduzca el ID del AWS-VPC para supervisar. por ejemplo. Por ejemplo. si el host no responde. Si su cuenta se configura para usar un VPC predeterminado. (valor predeterminado 2 horas) (Optativo) Seleccione la casilla de verificación Habilitar el tiempo de espera cuando el origen esté desconectado. El estado de conexión entre el origen supervisado y el cortafuegos aparece en la interfaz de la siguiente forma: – Conectado – Desconectado – Pendiente.0 Palo Alto Networks . ec2.<su_región_AWS>.com ID de clave de acceso Introduzca la cadena de texto alfanumérico que identifica de forma exclusiva al usuario propietario o con autorización de acceso a la cuenta de AWS. la comunicación entre el cortafuegos y el origen configurado está activada. el rango es de 60-1200 segundos) Tiempo de espera Intervalo en horas después del cual se cierra la conexión al origen supervisado. el ID del VPC predeterminado aparecerá en los atributos de cuenta de AWS.amazonaws.amazonaws. versión 7. Solo se supervisan las instancias de EC2 implementadas en este VPC. La sintaxis es: ec2.us-west-1. 60 • Guía de referencia de interfaz web .

puede que el dispositivo crea equivocadamente que la firma del software es futura. con código 171072.3. Siga estas recomendaciones antes de actualizar o desactualizar la versión de software: • Lea las notas de la versión para ver una descripción de los cambios de una versión y la ruta de migración para instalar el software. Opciones de software Campo Descripción Versión Muestra las versiones de software que están disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. error al cargar en el gestor de software PAN. debe descargar (sin instalar) PAN-OS 6. puede que se migre la configuración para admitir nuevas características. ej.0. En la siguiente tabla se proporciona ayuda para utilizar la página de Software.0 en el cortafuegos antes de descargar e instalar PAN-OS 6. se recomienda que lo haga a una configuración que coincida con la versión del software. • Al actualizar un par de alta disponibilidad (HA) a una nueva versión con características (en la que cambie el primero o el segundo dígito de la versión de PAN-OS. haga clic en ACEPTAR para guardar el archivo de configuración en su ordenador. Si está habilitada la sincronización de sesiones.1). seleccione running-config. o de 6. Por ejemplo. • Si necesita actualizar el cortafuegos a una versión de mantenimiento de PAN-OS para la cual la versión base es superior al software instalado actualmente. de 5. versión 7. ya que una versión con características puede migrar determinadas configuraciones para admitir nuevas características.0 a 6.0. p. El software PAN-OS está firmado digitalmente y el dispositivo comprueba la firma antes de instalar una nueva versión. descargar o actualizar una versión. para actualizar un cortafuegos de PAN-OS 5.0 a 6.0. a continuación. (Haga clic en la pestaña Dispositivo > Configuración > Operaciones y seleccione Exportar instantánea de configuración con nombre.0. debe cargar (sin instalar) la versión base en el cortafuegos antes de cargar e instalar la versión de mantenimiento. Tabla 22. • Los ajustes de fecha y hora del cortafuegos deben estar actualizados. Tamaño Indica el tamaño de la imagen de software.) • Cuando realice una desactualización. las sesiones no se sincronizarán si un dispositivo del clúster ejecuta una versión con características de PAN-OS diferente.12 a PAN-OS 6.3.0 • 61 . las muestra al principio de la lista. Palo Alto Networks Guía de referencia de interfaz web . eliminar una imagen de software del dispositivo o ver las notas de la versión.. por lo que mostrará el mensaje Error de descifrado: la edición de GnuPG no es cero.0.Instalación de software Instalación de software Dispositivo > Software Use esta página para ver las versiones de software disponibles. Si hay actualizaciones disponibles. haga clic en Comprobar ahora. instalar una versión (se requiere una licencia de asistencia). Si el ajuste de fecha del dispositivo no está actualizado.xml y. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones. • Realice una copia de seguridad de su configuración actual.

Disponible Indica la versión correspondiente de la imagen de software cargada o descargada en el cortafuegos. visite el sitio de actualizaciones de software desde un ordenador con conexión a Internet.. Haga clic en el enlace para instalar el software. En una configuración de alta disponibilidad (HA). Los enlaces de Notas de versión no están disponibles para el software cargado. Se necesita reiniciar para completar el proceso de actualización.0 Palo Alto Networks . Botón Cargar Importa una imagen de actualización de software desde un ordenador al que tiene acceso el cortafuegos. versión 7. protección frente amenazas y archivos de datos de GlobalProtect mediante actualizaciones dinámicas para las siguientes funciones: 62 • Guía de referencia de interfaz web . Haga clic en el enlace para iniciar la descarga. • Instalar: Se ha descargado o cargado la versión de software correspondiente en el cortafuegos. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de software correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Para volver a instalar la misma versión. haga clic en el enlace. que es necesario al descargar actualizaciones desde el servidor de actualizaciones de Palo Alto Networks. Para realizar una carga. Se suele utilizar esta opción si el cortafuegos no tiene acceso a Internet. la página de software muestra la misma información (p. Actualización de definiciones de aplicaciones y amenazas Dispositivo > Actualizaciones dinámicas Panorama > Actualizaciones dinámicas Palo Alto Networks publica regularmente actualizaciones para la detección de aplicaciones. Únicamente puede eliminar la imagen base en el caso de versiones anteriores que no necesiten actualizarse. Botón Comprobar ahora Comprueba si hay nuevas actualizaciones de software en Palo Alto Networks.Actualización de definiciones de aplicaciones y amenazas Tabla 22. Este enlace solo está disponible para actualizaciones que descargue del servidor de actualizaciones de Palo Alto Networks: no está disponible para actualizaciones cargadas. versión y tamaño) y los enlaces Instalar/Reinstalar para software cargado y descargado. Instalado actualmente Indica si la versión correspondiente de la imagen de software está activada y si se ejecuta actualmente en el cortafuegos. Una vez cargada. Notas de versión Proporciona un enlace a las notas de la versión de la actualización de software correspondiente. puede seleccionar la casilla de verificación Sincronizar en el peer para enviar la imagen de software importada al peer HA. Por ejemplo.1 a menos que crea que pueda necesitar una versión anterior en algún momento.0. • Reinstalar: Se ha instalado la versión de software correspondiente. descargue la actualización en ese ordenador y en la página Dispositivo > Software del cortafuegos haga clic en Cargar para importar la imagen de software. puede eliminar la imagen base de 6. si ejecuta 7. ej. Opciones de software (Continuación) Campo Descripción Fecha de versión Indica la fecha y hora en la que Palo Alto Networks publicó la versión. Elimina la imagen de software cargada o descargada anteriormente del cortafuegos.

• Archivo de datos de GlobalProtect: Contiene la información específica del proveedor para definir y evaluar los datos del perfil de información del host (HIP) proporcionados por los agentes de GlobalProtect. • Filtrado de URL de BrightCloud: Ofrece actualizaciones únicamente para la base de datos de filtrado de URL de BrightCloud. Además. posteriormente puede revisar el impacto de la política en las nuevas firmas de aplicaciones y realizar cualquier actualización de políticas antes de habilitarlas. • Aplicaciones: Incluye firmas de aplicaciones nuevas y actualizadas. Esta opción le permite disfrutar de nuevas firmas de amenazas al instante. Puede ver las actualizaciones más recientes. Todas las semanas se publican nuevas aplicaciones y amenazas. a continuación.1 o superior y el cortafuegos debe estar configurado para el uso del dispositivo de WildFire para el análisis de enlaces de correo electrónico/archivos. pero sí un contrato de asistencia/mantenimiento en vigor. debe esperar de 24 a 48 horas para que las firmas entren a formar parte de la actualización de aplicaciones y amenazas. Si está administrando sus cortafuegos con Panorama y desea programar actualizaciones dinámicas para uno o varios cortafuegos. seleccionar la actualización que desee descargar e instalar. Si tiene una licencia de PAN-DB. • WF-Private: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por un dispositivo de WildFire (WF-500). el cortafuegos y el dispositivo se deben ejecutar en PAN-OS 6. Sin la suscripción. las actualizaciones programadas no son necesarias ya que los dispositivos permanecen sincronizados con los servidores de forma automática. • Aplicaciones y amenazas: Incluye firmas de amenazas y aplicaciones nuevas y actualizadas. Para recibir actualizaciones de contenido procedentes de un WF-500. Debe contar con una suscripción a prevención de amenazas para obtener estas actualizaciones. También puede elegir instalar solamente las nuevas firmas de amenazas en una versión de publicación de contenido. También puede revertir a una versión de una actualización instalada anteriormente. versión 7.Actualización de definiciones de aplicaciones y amenazas • Antivirus: Incluye firmas de antivirus nuevas y actualizadas. Esta actualización está disponible si cuenta con una suscripción de prevención de amenazas (y en este caso obtiene esta actualización en lugar de la actualización de aplicaciones). consulte “Programación de actualizaciones dinámicas”. Esta actualización no requiere suscripciones adicionales.0 • 63 . Todas las semanas se publican nuevas actualizaciones de aplicaciones. Se publican nuevas firmas de antivirus todos los días. Palo Alto Networks Guía de referencia de interfaz web . Debe tener una suscripción a una puerta de enlace de GlobalProtect para recibir estas actualizaciones. leer las notas de versión de cada actualización y. Se le muestra esta opción tanto al instalar una versión de contenido como al establecer la programación para instalar automáticamente versiones de publicación de contenido. • WildFire: Proporciona firmas de software malintencionado y antivirus casi en tiempo real como consecuencia del análisis realizado por el servicio de la nube de WildFire. Todos los días se publican nuevas actualizaciones de la base de datos de URL de BrightCloud. debe crear una programación para estas actualizaciones antes de que GlobalProtect funcione. incluidas las firmas descubiertas por WildFire. Debe contar con una suscripción a BrightCloud para obtener estas actualizaciones.

este campo podría mostrar un enlace para revisar Aplicaciones. Si hay actualizaciones disponibles. Para comprobar si hay una nueva versión de software disponible en Palo Alto Networks. Cuando programa una actualización. puede elegir Deshabilitar nuevas aplicaciones en actualización de contenido. puede especificar el tiempo de espera antes de la actualización de contenidos.Actualización de definiciones de aplicaciones y amenazas En la siguiente tabla se proporciona ayuda para utilizar esta página. haga clic en Comprobar ahora. Características Enumera el tipo de firmas que puede incluir la versión de contenido. seleccione el enlace Aplicaciones. Opciones de las actualizaciones dinámicas Campo Descripción Versión Muestra las versiones disponibles actualmente en el servidor de actualizaciones de Palo Alto Networks. Al programar descargas e instalaciones periódicas de actualizaciones de contenido. (Para habilitar posteriormente aplicaciones que tienen deshabilitadas de manera automáticamente las actualizaciones de contenido. incluye información de la versión de contenido. ya sea solo para la descarga de las actualizaciones o para la descarga e instalación de estas en el cortafuegos. Puede definir la frecuencia y el momento de la descarga de actualizaciones de contenido dinámico (día o fecha y hora). Amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). Amenazas. 64 • Guía de referencia de interfaz web . Fecha de versión Fecha y hora en la que Palo Alto Networks publicó la versión. En las versiones de publicaciones de contenido de Aplicaciones y amenazas. Tipo Indica si la descarga incluye una actualización completa o una actualización incremental. También puede usar el cuadro de diálogo Nuevas aplicaciones para Habilitar/ Deshabilitar nuevas aplicaciones. Nombre de archivo Muestra el nombre de archivo. Para ello. Tabla 23. Puede elegir deshabilitar una nueva aplicación incluida en una publicación de contenido si quiere evitar cualquier impacto en la política desde aplicación que se identifique exclusivamente (una aplicación se puede tratar de manera diferente antes y después de una instalación de contenido si una aplicación desconocida anteriormente se identifica y categoriza de manera de diferente). Tamaño Muestra el paquete de actualización de contenido. Haga clic en esta opción para ver nuevas firmas de aplicaciones disponibles por primera vez desde la última versión de publicación de contenido instalada en el cortafuegos.0 Palo Alto Networks . introduzca el número de horas que debe esperarse en el campo Umbral (Horas). las muestra al principio de la lista. Última comprobación Muestra la fecha y hora en la que el cortafuegos se conectó por última vez al servidor de actualizaciones y comprobó si había alguna actualización disponible. versión 7. así como la flexibilidad para habilitar aplicaciones tras preparar actualizaciones de políticas que podrían ser necesarias para aplicaciones recién identificadas y que pueden tratarse de manera diferente tras la actualización. Descargado Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido en el cortafuegos. El cortafuegos utiliza la ruta del servicios para conectar al servidor de actualizaciones y comprueba la existencia de nuevas versiones de publicación de contenido. si desea retrasar la instalación de nuevas actualizaciones hasta que haya transcurrido un determinado número de horas desde su publicación. Esta opción ofrece protección contra las amenazas más recientes. Programación Le permite programar la frecuencia de recuperación de actualizaciones.

Elimine la versión de publicación de contenido descargada anteriormente del cortafuegos. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que se instala la versión de publicación de contenido correspondiente. y al mismo tiempo le concede la flexibilidad de habilitar aplicaciones tras preparar cualquier actualizaciones de políticas. Acción Indica la acción actual que puede realizar para la imagen de software correspondiente de la siguiente forma: • Descargar: La versión de publicación de contenido correspondiente está disponible en el servidor de actualizaciones de Palo Alto Networks. Haga clic en el enlace para instalar la actualización. versión 7.0 • 65 .Actualización de definiciones de aplicaciones y amenazas Tabla 23. • Instalar: La versión de publicación de contenido correspondiente se ha descargado en el cortafuegos. Al instalar una nueva versión de publicación de contenido en Aplicaciones y amenazas. También puede usar el cuadro de diálogo Revisión de políticas para añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) de una política de seguridad existente. haga clic en el botón Cargar para cargar manualmente la imagen de software en el cortafuegos. • Revisión de políticas (solamente contenido de aplicaciones y amenazas): Revisa cualquier impacto en políticas de nuevas aplicaciones incluidas en una versión de publicación de contenido. Documentación Proporciona un enlace a las notas de la versión de la versión correspondiente. Esta opción ofrece protección contra las amenazas más recientes. verá la opción de Deshabilitar nuevas aplicaciones en actualización de contenido. Haga clic en el enlace para iniciar la descarga. Opciones de las actualizaciones dinámicas (Continuación) Campo Descripción Instalado actualmente Una marca de verificación en esta columna indica que se ha descargado la versión correspondiente de la publicación de contenido que se está ejecutando actualmente en el cortafuegos. Use esta opción para evaluar el tratamiento que recibe una aplicación antes y después de instalar una actualización de contenido. Si el cortafuegos no tiene acceso a Internet. • Revertir: Anteriormente se ha descargado la versión de publicación de contenido correspondiente. al descargar una versión de publicación de contenido de Aplicaciones y amenazas se habilita la opción de Revisión de políticas afectadas por las nuevas firmas de aplicaciones incluidas en la publicación. A continuación. Palo Alto Networks Guía de referencia de interfaz web . haga clic en el enlace. seleccione el enlace Aplicaciones. amenazas en la página Actualizaciones dinámicas o seleccione Objetos > Aplicaciones). debido al impacto de nuevas firmas de aplicaciones (para habilitar aplicaciones que ha deshabilitado anteriormente. utilice un ordenador conectado a Internet para ir al sitio Actualizaciones dinámicas para buscar y descargar la versión de publicación de contenido en su ordenador local. Asimismo. Para volver a instalar la misma versión.

• Perfil de autenticación: Seleccione un servidor externo existente de uno de los siguientes tipos para autenticar a usuarios: – RADIUS (Servidor de servicio de autenticación remota telefónica de usuario) – TACACS+ (Servidor de sistema de control de acceso del controlador de acceso a terminales) – LDAP (Protocolo ligero de acceso a directorios) – Kerberos Las funciones que asigne a las cuentas de administrador determinan las funciones que el cortafuegos permite a los administradores después de que inicien sesión. Para obtener más información. Primero utiliza la función Superusuario para la configuración inicial del dispositivo y para crear las cuentas de administrador para el administrador de seguridad. perfiles y cuentas de administrador Funciones. Puede asignar perfiles de funciones predefinidas o personalizadas.0 Palo Alto Networks . consulte “Creación de cuentas administrativas”. También hay tres funciones de administrador predefinidas que se pueden utilizar con fines de criterios comunes. consulte: • “Configuración de perfiles de autenticación” • “Definición de funciones de administrador” • “Creación de cuentas administrativas” • “Configuración de GlobalProtect”: Para obtener información sobre autenticación en redes privadas virtuales SSL (VPN) • “Especificación de dominios de acceso para administradores”: Para obtener instrucciones sobre cómo definir dominios de sistemas virtuales para administradores • “Creación de un perfil del certificado”: Para obtener instrucciones sobre la definición de perfiles de certificados para administradores Definición de funciones de administrador Dispositivo > Funciones de administrador Utilice la página Funciones de administrador para definir perfiles de funciones que determinen el acceso y las responsabilidades disponibles para los usuarios administrativos. que especifican privilegios detallados. perfiles y cuentas de administrador Al crear una cuenta de administrador. versión 7. Para obtener instrucciones sobre cómo añadir cuentas de administrador. Una vez se hayan creado las cuentas y se hayan aplicado las funciones de administrador de criterios comunes adecuadas. el administrador de auditoría y el administrador criptográfico.Funciones. • Certificado de cliente: Se autentica a los usuarios mediante certificados de cliente existentes. podrá iniciar sesión utilizando esas cuentas. La cuenta Superusuario predeterminada en el 66 • Guía de referencia de interfaz web . especifique una de las siguientes opciones para determinar el modo en que el cortafuegos autentica a los usuarios administradores que inician sesión: • Base de datos local: La información de inicio de sesión y contraseña de usuario se introduce directamente en la base de datos del cortafuegos.

ej. excepto en que todas tienen un acceso de solo lectura a la traza de auditoría (excepto el administrador de auditoría con acceso de lectura/eliminación completo). • Administrador de seguridad: El administrador de seguridad es responsable del resto de tareas administrativas (p. En el modo de funcionamiento estándar.0 • 67 . la creación de la política de seguridad del cortafuegos) no asumidas por las otras dos funciones administrativas. haga clic en Añadir y especifique la siguiente información: Palo Alto Networks Guía de referencia de interfaz web .Funciones. Para añadir una función de administrador.. la contraseña predeterminada de admin es admin. perfiles y cuentas de administrador modo CC (Criterios comunes) o FIPS (Estándar federal de procesamiento de información) es admin y la contraseña predeterminada es paloalto. versión 7. Estas funciones de administrador no se pueden modificar y se definen de la manera siguiente: • Administrador de auditoría: El administrador de auditoría es responsable de la revisión regular de los datos de auditoría del cortafuegos. Las funciones de administrador predefinidas se han creado donde las capacidades no se solapan. • Administrador criptográfico: El administrador criptográfico es responsable de la configuración y el mantenimiento de los elementos criptográficos relacionados con el establecimiento de conexiones seguras con el cortafuegos.

• Solo lectura: acceso de solo lectura a la pestaña seleccionada. Período necesario para el cambio de contraseña (días) Exija que los administradores cambien su contraseña con la regularidad especificada por el número de días establecido. Si habilita Complejidad de contraseña mínima (consulte “Complejidad de contraseña mínima”). También puede establecer una advertencia de vencimiento de 0-30 días y especificar un período de gracia. si el valor se establece como 90. guiones y guiones bajos. excepto al definir nuevas cuentas o sistemas virtuales. 68 • Guía de referencia de interfaz web . • devicereader: El acceso a un dispositivo seleccionado es de solo lectura. espacios. • Deshabilitar: sin acceso a la pestaña seleccionada. espacios. se pedirá a los administradores que cambien su contraseña cada 90 días. guiones y guiones bajos. Descripción Introduzca una descripción opcional de la función (de hasta 255 caracteres). Configuración de perfil de contraseña Campo Descripción Nombre Introduzca un nombre para identificar el perfil de contraseña (de hasta 31 caracteres). Utilice únicamente letras. • deviceadmin: El acceso a un dispositivo seleccionado es completo. versión 7. Definición de perfiles de contraseña Dispositivo > Perfiles de contraseña y Panorama > Perfiles de contraseña Los perfiles de contraseña le permiten establecer requisitos de contraseña básicos para una cuenta local individual. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de funciones de administrador Campo Descripción Nombre Introduzca un nombre para identificar esta función de administrador (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Interfaz de usuario web Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la interfaz web: • Habilitar: acceso de lectura/escritura a la pestaña seleccionada. Para crear un perfil de contraseña. de 0 a 365 días. API XML Haga clic en los iconos de áreas especificadas para indicar el tipo de acceso permitido para la API XML.0 Palo Alto Networks . Por ejemplo. números. Tabla 25. • superlector: El acceso al dispositivo actual es de solo lectura.Definición de perfiles de contraseña Tabla 24. Línea de comandos Seleccione el tipo de función para el acceso a la CLI: • Ninguno: El acceso a la CLI del dispositivo no está permitido. Utilice únicamente letras. que proporciona requisitos de contraseña para todas las cuentas locales. números. haga clic en Añadir y especifique la siguiente información. este perfil de contraseña cancelará esos ajustes. Función Seleccione el ámbito de responsabilidad administrativa: dispositivo o sistema virtual (para dispositivos habilitados para sistemas virtuales múltiples). • superusuario: El acceso al dispositivo actual es completo.

este ajuste puede utilizarse para pedir al usuario que cambie su contraseña cada vez que inicie sesión a medida que se acerque la fecha obligatoria de cambio de contraseña (rango: 0-30 días). Palo Alto Networks Guía de referencia de interfaz web . versión 7. Administrador remoto. seleccione el perfil en la lista desplegable Perfil de la contraseña. Para aplicar un perfil de contraseña a una cuenta.0 • 69 . Configuración de perfil de contraseña Campo Descripción Período de advertencia de vencimiento (días) Si se establece un período necesario para el cambio de contraseña. Requisitos de nombre de usuario y contraseña La tabla siguiente enumera los caracteres válidos que se pueden utilizar en nombres de usuario y contraseñas para cuentas de PAN-OS y Panorama. Período de gracia posterior al vencimiento (días) Permita que el administrador inicie sesión el número de días especificado después de que su cuenta haya vencido (rango: 0-30 días).) • Guión (-) Nota: Los nombres de inicio de sesión no pueden empezar por guión (-). seleccione una cuenta y. si el valor se ha establecido como 3 y su cuenta ha vencido. podrá iniciar sesión 3 veces más antes de que se bloquee la cuenta (rango: 0-3 inicios de sesión). VPN SSL o portal cautivo Los siguientes caracteres no están permitidos para el nombre de usuario: • Acento grave (`) • Corchetes angulares (< y >) • Y comercial (&) • Asterisco (*) • Arroba (@) • Signos de interrogación (¿ y ?) • Barra vertical (|) • Comilla simple (‘) • Punto y coma (.Definición de perfiles de contraseña Tabla 25. a continuación.) • Comillas (“ y ”) • Signo del dólar ($) • Paréntesis (“(” y “)”) • Dos puntos (:) Cuentas de administrador locales Los siguientes son los caracteres permitidos para los nombres de usuario locales: • Minúsculas (a-z) • Mayúsculas (A-Z) • Números (0-9) • Guión bajo (_) • Punto (. Por ejemplo. seleccione Dispositivo > Administradores (para cortafuegos) o Panorama > Administradores. Caracteres válidos para nombres de usuario y contraseñas Tipo de cuenta Restricciones Conjunto de caracteres de contraseña No hay ninguna restricción en los conjuntos de caracteres de los campos de contraseña. Tabla 26. Recuento de inicio de sesión de administrador posterior al vencimiento Permita que el administrador inicie sesión el número de veces especificado después de que su cuenta haya vencido.

números. mayúsculas y números. Para añadir un administrador. consulte “Creación de cuentas administrativas de Panorama”.) Se admiten las siguientes opciones de autenticación: • Autenticación con contraseña: El administrador introduce un nombre de usuario y una contraseña para iniciar sesión. TACACS+. Los cortafuegos tienen una cuenta de administrador predefinida con acceso completo. Si selecciona esta casilla de verificación. No se necesitan certificados. consulte “Configuración de perfiles de autenticación”. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Kerberos o la autenticación de base de datos local. Este ajuste se puede utilizar para RADIUS.Creación de cuentas administrativas Creación de cuentas administrativas Dispositivo > Administradores Las cuentas de administrador controlan el acceso a los dispositivos. versión 7. a continuación. Para garantizar la seguridad de la interfaz de gestión del dispositivo. puntos y guiones bajos. Un administrador de cortafuegos puede tener acceso completo o de solo lectura a un único cortafuegos o a un sistema virtual en un único cortafuegos. Perfil de autenticación Seleccione un perfil de autenticación para la autenticación del administrador. • Autenticación con certificado de cliente (web): Esta autenticación no necesita nombre de usuario o contraseña. También puede aplicar “Complejidad de contraseña mínima” desde Configuración > Gestión. haga clic en Añadir y especifique la siguiente información. Utilice únicamente letras. 70 • Guía de referencia de interfaz web . carga la clave pública en el dispositivo para permitir un acceso seguro sin exigir que el administrador introduzca un nombre de usuario y una contraseña. guiones.0 Palo Alto Networks . Puede utilizar este método junto con los perfiles de autenticación o para la autenticación de base de datos local. Nueva contraseña Confirmar nueva contraseña Introduzca y confirme una contraseña que haga distinción entre mayúsculas y minúsculas para el administrador (de hasta 31 caracteres). (Para obtener más información sobre administradores de Panorama. Utilizar únicamente el certificado de autenticación de cliente (web) Seleccione la casilla de verificación para utilizar la autenticación con certificado de cliente para el acceso web. el certificado es suficiente para autenticar el acceso al dispositivo. el certificado será suficiente para autenticar el acceso al dispositivo. • Autenticación con clave pública (SSH): El administrador genera un par de claves pública y privada en la máquina que requiere acceso al dispositivo y. LDAP. Configuración de cuentas de administrador Campo Descripción Nombre Introduzca un nombre de inicio de sesión para el administrador (de hasta 31 caracteres). Tabla 27. Para obtener más información. También puede aplicar “Contraseña mínima” desde Configuración > Gestión. no es necesario ni el nombre de usuario ni la contraseña. se recomienda cambiar periódicamente las contraseñas administrativas utilizando una mezcla de minúsculas. Los nombres de inicio de sesión no pueden empezar por guión (-).

seleccione un perfil de función personalizado en la lista desplegable. Los algoritmos de clave admitidos son DSA (1. Haga clic en Importar clave y explore para seleccionar el archivo de clave pública. los dominios de acceso están vinculados a atributos específicos del proveedor (VSA) RADIUS y únicamente se admiten si se utiliza un servidor RADIUS para la autenticación del administrador (consulte “Configuración de ajustes de servidor RADIUS”). si es aplicable. Configuración de cuentas de administrador (Continuación) Campo Descripción Utilizar autenticación de clave pública (SSH) Seleccione la casilla de verificación para utilizar la autenticación con clave pública SSH. Si elige Basado en función. Palo Alto Networks Guía de referencia de interfaz web . Especificación de dominios de acceso para administradores Dispositivo > Dominio de acceso Panorama > Dominio de acceso Utilice la página Dominio de acceso para especificar dominios para el acceso del administrador al cortafuegos o Panorama. • Administrador de dispositivo (solo lectura): El acceso a un cortafuegos seleccionado es de solo lectura. En Panorama. Para obtener más información. puede gestionar dominios de acceso localmente o usando VSA RADIUS (consulte “Especificación de dominios de acceso de Panorama para administradores”). Si selecciona Dinámico. • Superusuario (solo lectura): Acceso de solo lectura al cortafuegos actual. • Administrador de Vsys: El acceso a un sistema virtual seleccionado en un cortafuegos específico (si hay varios sistemas virtuales habilitados) es completo.024 bits) y RSA (768-4096 bits). Función Asigne una función a este administrador. Nota: Si falla la autenticación con clave pública. • Administrador de Vsys (solo lectura): El acceso a un sistema virtual seleccionado en un cortafuegos específico es de solo lectura. consulte “Definición de funciones de administrador”. Los formatos de archivo de clave admitidos son IETF SECSH y OpenSSH. se mostrará un mensaje de nombre de usuario y contraseña para el administrador. Para crear un nuevo perfil de contraseña. consulte “Definición de perfiles de contraseña”. excepto al definir nuevas cuentas o sistemas virtuales.0 • 71 . • Administrador de dispositivo: El acceso a un cortafuegos seleccionado es completo. La clave cargada se muestra en el área de texto de solo lectura. puede seleccionar una de las siguientes funciones preconfiguradas: • Superusuario: El acceso al cortafuegos actual es completo. Perfil de la contraseña Seleccione el perfil de contraseña. Sistema virtual (Solo para una función de administrador de sistema virtual del cortafuegos) Haga clic en Añadir para seleccionar los sistemas virtuales a los que puede acceder el administrador. versión 7.Especificación de dominios de acceso para administradores Tabla 27. La función determina lo que el administrador puede ver y modificar. En el cortafuegos.

Si hay un dominio asociado en el servidor RADIUS. este consulta al servidor RADIUS acerca del dominio de acceso del administrador. se devuelve y el administrador se restringe a los sistemas virtuales definidos de dentro del dominio de acceso con nombre del dispositivo. acceso SSL-VPN y portal cautivo. guiones bajos y puntos. versión 7. Configuración de dominio de acceso Campo Descripción Nombre Introduzca un nombre para el dominio de acceso (de hasta 31 caracteres). LDAP y Kerberos. Sistemas virtuales Seleccione sistemas virtuales en la columna Disponibles y haga clic en Añadir para seleccionarlos.0 o posterior.Configuración de perfiles de autenticación Cuando un administrador intenta iniciar sesión en el cortafuegos. Tabla 28. Utilice únicamente letras. use el comando CLI de autenticación para determinar si su cortafuegos o servidor de gestión Panorama puede comunicarse con el servicio de autenticación de back-end y si la solicitud de autenticación se realizó correctamente. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Para obtener más información sobre este comando. Puede realizar pruebas de autenticación con la configuración del candidato. Si no se utiliza RADIUS. Los dispositivos de Palo Alto Networks son compatibles con servicios de autenticación de bases de datos locales RADIUS. guiones. los ajustes de dominio de acceso de esta página se ignorarán. TACACS+. Consejo: Después de configurar un perfil de autenticación. 72 • Guía de referencia de interfaz web . Los dominios de acceso únicamente son compatibles en dispositivos que admiten sistemas virtuales. Configuración de perfiles de autenticación Dispositivo > Perfil de autenticación Panorama > Perfil de autenticación Utilice la página Perfil de autenticación para configurar ajustes de autenticación que puede aplicar a cuentas de administradores.0 Palo Alto Networks . consulte la Guía del administrador de PAN-OS 7. números. de modo que sepa cuál es la configuración correcta antes de compilarla.

no introduzca el mismo nombre como una secuencia de autenticación en la ubicación Compartido. seleccione el perfil de autenticación del menú desplegable. puede tener hasta 31 caracteres. PRECAUCIÓN: En un cortafuegos en modo de sistemas virtuales múltiples.Configuración de perfiles de autenticación Tabla 29. Obtener grupo de usuarios Si el tipo de autenticación es RADIUS. espacios. Configuración de perfil de autenticación Campo Descripción Nombre Introduzca un nombre para identificar el perfil. “Configuración de ajustes de servidor LDAP” y “Configuración de ajustes del servidor Kerberos”. no puede seleccionar la Ubicación. El nombre distingue entre mayúsculas y minúsculas. “Configuración de ajustes del servidor TACACS+”. versión 7. Una vez guardado el perfil. Del mismo modo. incluidas letras. Palo Alto Networks Guía de referencia de interfaz web . El nombre debe ser exclusivo en la ubicación actual (cortafuegos o sistema virtual) en relación con otros perfiles de autenticación y secuencias de autenticación. seleccione un vsys o Compartido (todos los sistemas virtuales). • TACACS+: Utilice un servidor RADIUS para la autenticación.0 • 73 . guiones. • Kerberos: Use Kerberos para autenticación. no introduzca el mismo nombre como una secuencia en un vsys. Consulte “Configuración de ajustes de servidor RADIUS”. Pestaña Autenticación Tipo Seleccione el tipo de autenticación: • Ninguna: No utilice ninguna autenticación del cortafuegos. TACACS+. Se pueden producir errores de referencia mientras compila un perfil de autenticación y una secuencia con los mismos nombres en estos casos. • LDAP: Use LDAP para autenticación. si el perfil Ubicación está compartido. si la ubicación del perfil de autenticación es un vsys. guiones bajos y puntos. En cualquier otro contexto. introduzca un atributo de directorio LDAP que identifique exclusivamente al usuario y que actúe como ID de inicio de sesión para ese usuario. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. • RADIUS: Utilice un servidor RADIUS para la autenticación. • Base de datos local: Utilice la base de datos de autenticación del cortafuegos. o Kerberos. números. seleccione la casilla de verificación para utilizar VSA RADIUS para definir el grupo que tiene acceso al cortafuegos. LDAP. Ubicación Seleccione el ámbito en el que está disponible el perfil. Perfil de servidor Si el Tipo de autenticación es RADIUS. Atributo de inicio de sesión Si el tipo de autenticación es LDAP. no puede cambiar su Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys).

Por ejemplo. Si especifica la variable %USERDOMAIN% y deja en blanco Dominio de usuario. Consulte “Configuración de GlobalProtect”para obtener más información sobre la autenticación de cookies y la conexión anterior al inicio de sesión. en el nombre de cuenta de usuario usuario@EJEMPLO. • Para anexar un dominio a la entrada del usuario.LOCAL. Esto permitirá a los usuarios conectarse al dominio para cambiar sus contraseñas incluso aunque la contraseña haya caducado. En este flujo de trabajo. • Para que un dominio preceda a la entrada del usuario. introduzca el Dominio de Kerberos (hasta 127 caracteres). el administrador puede asignar una contraseña de LDAP temporal que permita a los usuarios iniciar sesión en la VPN. Consejo: Se recomienda configurar los agentes para que utilicen el método de conexión anterior al inicio de sesión. lo que evitará el acceso a la VPN). pero el inicio de sesión de la puerta de enlace fallará. los mensajes de notificación se mostrarán 7 días antes de la caducidad de la contraseña (de 1-255 días). Nota: Si el Modificador de nombre de usuario incluye la variable %USERDOMAIN%. el dominio es EJEMPLO. el dispositivo elimina todas las cadenas de dominio introducidas por usuarios. introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USERDOMAIN%\%USE-RINPUT%. el valor Dominio de usuario sustituye a cualquier cadena de dominio que introduzcan los usuarios. De forma predeterminada. la contraseña temporal se utilizará para autenticarse en el portal.LOCAL. Seleccione de entre las siguientes opciones: • Enviar solamente la información de usuario sin modificar. dejar en blanco el Dominio de usuario (predeterminado) y definir el Modificador de nombre de usuario con la variable %USERINPUT% (predeterminado). 74 • Guía de referencia de interfaz web . El dispositivo usa la cadena modificada para la autenticación y usa el valor Dominio de usuario para asignación de grupos de User-ID.0 Palo Alto Networks . introduzca Dominio de usuario y defina Modificador de nombre de usuario como %USE-RINPUT%@%USERDO-MAIN%. Esto se aplica tanto para dominios principales como secundarios. Consejo: Si los usuarios dejan caducar sus contraseñas. Corresponde al nombre de host del nombre de inicio de sesión del usuario. Dominio de usuario y Modificador de nombre de usuario El dispositivo combina los valores de Dominio de usuario y Modificador de nombre de usuario para modificar la cadena de dominio/nombre de usuario que introduce un usuario durante el inicio de sesión. Dominio de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. El dispositivo resuelve nombres de dominio con el nombre NetBIOS adecuado para la asignación de grupos de User-ID. Los usuarios no podrán acceder a la VPN si las contraseñas caducan. versión 7. Los modificadores Dominio de usuario tiene prioridad con respecto a nombres NetBIOS derivados automáticamente.Configuración de perfiles de autenticación Tabla 29. Configuración de perfil de autenticación (Continuación) Campo Descripción Aviso de caducidad de contraseña Si el tipo de autenticación es LDAP y el perfil de autenticación es para usuarios de GlobalProtect. se recomienda establecer el modificador de autenticación en la configuración del portal para la autenticación de cookies para la actualización de configuración (de lo contrario. defina con cuántos días de antelación empezarán a mostrarse mensajes de notificación a los usuarios para alertarles de que sus contraseñas vencen en x número de días.

introducir admin1 tiene el mismo efecto que introducir businessinc\admin1. Si no añade entradas. no necesita especificar dominios en la Lista de permitidas. Puede especificar grupos que ya existen en su servicio de directorios o especificar grupos personalizados basados en filtros LDAP (consulte “Pestaña secundaria Grupo personalizado”). Palo Alto Networks Guía de referencia de interfaz web . PRECAUCIÓN: Si define Intentos fallidos con un valor diferente de 0 pero deja Tiempo de bloqueo en 0. Cada perfil de autenticación puede tener un keytab. que no tiene por qué ser Kerberos. Por ejemplo. consulte la Guía del administrador de PAN-OS. Durante la autenticación. PRECAUCIÓN: Si define Tiempo de bloqueo con un valor diferente de 0 pero deja Intentos fallidos en 0. puede usar también des3-cbc-sha1 o arcfour-hmac. ningún usuario se puede autenticar. la autenticación es inmediata. el algoritmo tiene que ser aes128-cts-hmac-sha1-96 o aes256-cts-hmac-sha1-96. Un valor de 0 (predeterminado) significa que no hay límite. Tiempo de bloqueo Introduzca el número de minutos (0-60) que el dispositivo bloqueará una cuenta de usuario desde que el usuario alcanza el número de intentos fallidos. Su administrador de Kerberos determina qué algoritmos usan los vales de servicio. Configuración de perfil de autenticación (Continuación) Campo Descripción Keytab de Kerberos Si su red es compatible con el registro único (SSO) de Kerberos. Un keytab contiene la información de cuenta de Kerberos (nombre principal y contraseña con hash) para el dispositivo. versión 7. Un valor de 0 (predeterminado) significa que el bloqueo se aplica hasta que el administrador desbloquee manualmente la cuenta de usuario.0 • 75 .Configuración de perfiles de autenticación Tabla 29. De lo contrario. a continuación. necesaria para la autenticación SSO. Nota: Si ha introducido un valor de Dominio de usuario. haga clic en ACEPTAR. si el Dominio de usuario es businessinc y quiere añadir al usuario admin1 a la Lista de permitidas. haga clic en el enlace Importar y luego en Examinar para buscar el archivo keytab. el proceso de autenticación se revierte a autenticación manual (nombre de usuario/contraseña) del tipo especificado. se ignora Intentos fallidos y nunca se bloquea al usuario. el dispositivo intenta primero usar el keytab para establecer SSO. Nota: Si el dispositivo está en modo FIPS (Estándar federal de procesamiento de información) o CC (Criterios comunes). El algoritmo en el keytab tiene que coincidir con el algoritmo del vale de servicio que el servicio de concesión de vales emite para habilitar a los clientes para SSO. el proceso de SSO fallará. Para eliminar usuarios o grupos. se ignora el Tiempo de bloqueo y nunca se bloquea al usuario. De lo contrario. seleccione las casillas de verificación correspondientes y haga clic en Eliminar. De lo contrario. Para obtener más información sobre cómo crear keytabs válidos para dispositivos Palo Alto Networks. Pestaña Avanzada Lista de permitidas Haga clic en Añadir y seleccione todos o seleccione los usuarios y grupos específicos que tienen permiso para autenticarse con este perfil. Intentos fallidos Introduzca el número de intentos de inicio de sesión erróneos (1-10) que permite el dispositivo antes de bloquear la cuenta de usuario. Si lo logra y el usuario que intenta acceder está en la “Lista de permitidas”.

No se requiere ningún servidor de autenticación externo con esta configuración. 76 • Guía de referencia de interfaz web . Una vez haya configurado esto. Utilice únicamente letras. administradores de dispositivos y usuarios de portal cautivo. no puede cambiar su Ubicación.0 Palo Alto Networks . no puede seleccionar la Ubicación. podrá crear una política desde Políticas > Portal cautivo. Configuración de usuario local Campo Descripción Nombre Introduzca un nombre para identificar al usuario (de hasta 31 caracteres).Creación de una base de datos de usuario local Creación de una base de datos de usuario local Dispositivo > Base de datos de usuario local > Usuarios Puede establecer una base de datos local en el cortafuegos para almacenar información de autenticación para usuarios con acceso remoto. Habilitar Seleccione la casilla de verificación para activar la cuenta de usuario. versión 7. Una vez guardada la cuenta de usuario. primero debe crear la cuenta local. números. de modo que toda la gestión de cuentas se realiza en el cortafuegos o desde Panorama. A continuación. debe habilitar el portal cautivo desde Dispositivo > Autenticación de usuario > Portal cautivo y seleccionar el perfil de autenticación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Al configurar el portal cautivo. Modo Utilice este campo para especificar la opción de autenticación: • Contraseña: Introduzca y confirme una contraseña para el usuario. Consulte “Configuración del cortafuegos para la identificación de usuarios” para obtener más información. espacios. Ubicación Seleccione el ámbito en el que está disponible la cuenta de usuario. guiones y guiones bajos. seleccione un vsys o Compartido (todos los sistemas virtuales). En cualquier otro contexto. Tabla 30. • Hash de la contraseña: Introduzca una cadena de contraseña con hash. En el contexto de un cortafuegos con más de un sistema virtual (vsys). añadirla a un grupo de usuarios y crear un perfil de autenticación utilizando el nuevo grupo. Utilice la página Usuarios locales para añadir información de usuario a la base de datos local. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.

guiones y guiones bajos. En cualquier otro contexto. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. En el contexto de un cortafuegos con más de un sistema virtual (vsys). versión 7. el predeterminado es 3). Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. seleccione un vsys o Compartido (todos los sistemas virtuales). números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Palo Alto Networks Guía de referencia de interfaz web . Ubicación Seleccione el ámbito en el que está disponible el perfil. En el contexto de un cortafuegos con más de un sistema virtual (vsys). no puede cambiar su Ubicación. guiones y guiones bajos. espacios. Ubicación Seleccione el ámbito en el que está disponible el grupo de usuarios. predeterminado: 3). Configuración de ajustes de servidor RADIUS Dispositivo > Perfiles de servidor > RADIUS Panorama > Perfiles de servidor > RADIUS Utilice la página RADIUS para configurar los ajustes de los servidores RADIUS con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). espacios. no puede cambiar su Ubicación. Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (intervalo: 1-30. Reintentos Introduzca el número de reintentos automáticos tras un tiempo de espera antes de que falle la solicitud (intervalo: 1-5. no puede seleccionar la Ubicación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. no puede seleccionar la Ubicación. la casilla de verificación aparece solo si la Ubicación es Compartida.0 • 77 . En cualquier otro contexto. números. Para cortafuegos que tienen varios sistemas virtuales. Tabla 31.Cómo añadir grupos de usuarios locales Cómo añadir grupos de usuarios locales Dispositivo > Base de datos de usuario local > Grupos de usuarios Utilice la página Grupos de usuarios para añadir información de grupo de usuarios a la base de datos local. Una vez guardado el perfil. seleccione un vsys o Compartido (todos los sistemas virtuales). Tabla 32. Una vez guardado el grupo de usuarios. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Todos los usuarios locales Haga clic en Añadir para seleccionar a los usuarios que desee añadir al grupo. Configuración de servidor RADIUS Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). Utilice únicamente letras. Configuración de grupo de usuarios local Campo Descripción Nombre Introduzca un nombre para identificar el grupo (de hasta 31 caracteres). Utilice únicamente letras.

no puede seleccionar la Ubicación. • Nombre: Introduzca un nombre para identificar el servidor. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.Configuración de ajustes del servidor TACACS+ Tabla 32. números. Tiempo de espera Introduzca un intervalo en segundos después del cual la solicitud de autenticación vence (el intervalo es de 1-20. Esta opción mejora el rendimiento al evitar el procesamiento que requiere iniciar y eliminar una sesión TCP diferente para cada evento de autenticación. En cualquier otro contexto.0 Palo Alto Networks . Servidores Haga clic en Añadir y especifique los siguientes parámetros para cada servidor TACACS+: • Nombre: Introduzca un nombre para identificar el servidor. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Configuración de servidor RADIUS (Continuación) Campo Descripción Servidores Configure información para cada servidor en el orden preferido. 78 • Guía de referencia de interfaz web . • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor RADIUS. • Puerto: Introduzca el puerto del servidor (predeterminado: 49) para solicitudes de autenticación. el predeterminado es 3). Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Tabla 33. no puede cambiar su Ubicación. Utilizar conexión única para toda la autenticación Seleccione la casilla de verificación para usar la misma sesión TCP para todas las autenticaciones. • Puerto: Introduzca el puerto del servidor (predeterminado: 1812) para solicitudes de autenticación. Configuración de ajustes del servidor TACACS+ Dispositivo > Perfiles de servidor > TACACS+ Panorama > Perfiles de servidor > TACACS+ Use la página TACACS+ para configurar ajustes para los servidores de sistema de control de acceso del controlador de acceso a terminales (TACACS+) con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). Para cortafuegos de vsys múltiples. • Servidor RADIUS: Introduzca la dirección IP del servidor o FQDN. • Servidor TACACS+: Introduzca la dirección IP o FQDN del servidor TACACS+. • Secreto/Confirmar secreto: Introduzca y confirme una clave para verificar y cifrar la conexión entre el dispositivo y el servidor TACACS+. seleccione un vsys o Compartido (todos los sistemas virtuales). versión 7. la casilla de verificación aparece solo si la Ubicación es Compartida. Una vez guardado el perfil. guiones y guiones bajos. espacios. Ubicación Seleccione el ámbito en el que está disponible el perfil. Configuración de servidor de TACACS+ Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil de servidor (de hasta 31 caracteres). Utilice únicamente letras. En el contexto de un cortafuegos con más de un sistema virtual (vsys).

Intervalo de reintento Especifique el intervalo en segundos tras el cual el sistema intentará conectarse al servidor LDAP después de un intento fallido anterior (intervalo: 1-3600. el dispositivo regresa a SSL. • 636: SSL • Cualquier otro puerto: El dispositivo intenta primer usar TLS. su valor se define previamente como Compartido (para cortafuegos) o como Panorama.Configuración de ajustes de servidor LDAP Configuración de ajustes de servidor LDAP Dispositivo > Perfiles de servidor > LDAP Panorama > Perfiles de servidor > LDAP Utilice la página LDAP para configurar los ajustes de los servidores LDAP con referencia en los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). no puede cambiar su Ubicación. Tipo Seleccione el tipo de servidor de la lista desplegable. que actualiza la conexión de texto no cifrado con TLS). Utilice únicamente letras. El protocolo depende del puerto del servidor: • 389 (predeterminado): TLS (específicamente. El agente guardará la contraseña cifrada en el archivo de configuración. predeterminado: 60). seleccione un vsys o Compartido (todos los sistemas virtuales). Contraseña/Confirmar contraseña Especifique la contraseña de la cuenta de enlace. Ubicación Seleccione el ámbito en el que está disponible el perfil. versión 7. Palo Alto Networks Guía de referencia de interfaz web . no puede seleccionar la Ubicación. Tiempo de espera de enlace Especifique el límite de tiempo impuesto al conectar con el servidor de directorio (1-30 segundos. En cualquier otro contexto. haga clic en Añadir e introduzca el nombre de host. Tabla 34. predeterminado: 30 segundos). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. números. Enlazar DN Especifique el nombre de inicio de sesión (nombre distintivo) del servidor de directorio. En el contexto de un cortafuegos con más de un sistema virtual (vsys). el dispositivo usa la operación StartTLS. La casilla de verificación está seleccionada de manera predeterminada. Solicitar conexión SSL/TLS protegida Seleccione esta casilla de verificación si quiere que el dispositivo use SSL o TLS para comunicarse con el servidor de directorio. Configuración de servidor LDAP Campo Descripción Nombre de perfil Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). dirección IP o FQDN (servidor LDAP) y puerto (predeterminado: 389). Tiempo de espera de búsqueda Especifique el límite de tiempo impuesto al realizar búsquedas de directorio (1-30 segundos.0 • 79 . espacios. DN base Especifique el contexto raíz del servidor de directorio para acotar la búsqueda de información de usuario o grupo. la casilla de verificación aparece solo si la Ubicación es Compartida. Una vez guardado el perfil. guiones y guiones bajos. Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Servidores Para cada servidor LDAP. Para cortafuegos que tienen varios sistemas virtuales. Si el servidor de directorio no admite TLS. predeterminado: 30 segundos).

Configuración de servidor LDAP (Continuación) Campo Descripción Verificar certificado de servidor para sesiones SSL Seleccione esta casilla de verificación (está sin marcar de manera predeterminada) si quiere que el dispositivo verifique el certificado que presenta el servidor de directorio para conexiones SSL/TLS. debe seleccionar también la casilla de verificación Solicitar conexión SSL/TLS protegida. a continuación. Para habilitar esta verificación. Para que el dispositivo confíe en el certificado. prueba el atributo Subject DN. Si la verificación falla. Después de configurar un perfil de servidor Kerberos. su entidad de certificación (CA) raíz y cualquier certificado intermedio debe estar en la tienda de certificados en Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos. El dispositivo comprueba primero la coincidencia del atributo Subject AltName del certificado y. Si el certificado usa el FQDN del servidor de directorio.Configuración de ajustes del servidor Kerberos Tabla 34. versión 7. Configuración de ajustes del servidor Kerberos Dispositivo > Perfiles de servidor > Kerberos Panorama > Perfiles de servidor > Kerberos Use la página de Kerberos para configurar un perfil de servidor que permita a los usuarios autenticarse de manera nativa en un controlador de dominio de Active Directory o un servidor de autenticación compatible con Kerberos V5. la conexión también.0 Palo Alto Networks . 80 • Guía de referencia de interfaz web . El dispositivo verifica el certificado en dos aspectos: • El certificado es fiable y válido. debe usar FQDN en el campo servidor LDAP para que se consiga la coincidencia de nombre. puede asignarlo a los perfiles de autenticación (consulte “Configuración de perfiles de autenticación”). • El nombre del certificado debe coincidir con el Nombre del host del servidor LDAP.

Palo Alto Networks Guía de referencia de interfaz web .Configuración de una secuencia de autenticación Para usar autenticación de Kerberos.0 • 81 . Únicamente uso de administrador Seleccione esta casilla de verificación para especificar que solo las cuentas de administrador puedan usar el perfil para la autenticación. Utilice únicamente letras. la casilla de verificación aparece solo si la Ubicación es Compartida. En cualquier otro contexto. Las direcciones IPv6 no son compatibles.: base de datos local. El dispositivo solo deniega el acceso si la autenticación falla con todos los perfiles de la secuencia. las cuentas de usuario residen en varios directorios (p. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. • Servidor Kerberos: Introduzca la dirección IPv4 del servidor o FQDN. guiones y guiones bajos. LDAP y RADIUS). registro único de Kerberos. consulte “Configuración de perfiles de autenticación”. seleccione un vsys o Compartido (todos los sistemas virtuales). debe poderse acceder a su servidor Kerberos de back-end a través de una dirección IPv4. Configuración de una secuencia de autenticación Dispositivo > Secuencia de autenticación Panorama > Secuencia de autenticación En algunos entornos. ej. no puede seleccionar la Ubicación. no puede cambiar su Ubicación. números. Una vez guardado el perfil. lista de permitidas y valores de bloqueo de cuenta) hasta que un perfil autentica correctamente al usuario. Ubicación Seleccione el ámbito en el que está disponible el perfil. Configuración de servidor Kerberos Campo Descripción Nombre de perfil Introduzca un nombre para identificar el servidor (de hasta 31 caracteres). haga clic en Añadir y especifique los siguientes ajustes: • Nombre: Introduzca un nombre para el servidor. • Puerto: Introduzca un número de puerto opcional (predeterminado: 88) para la comunicación con el servidor. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. El dispositivo prueba los perfiles de manera secuencial descendente (aplicando la autenticación. espacios. Para ver información sobre perfiles de autenticación. versión 7. Una secuencia de autenticación es un conjunto de perfiles de autenticación que el dispositivo Palo Alto Networks intenta usar para la autenticación de usuarios cuando estos inician sesión. Tabla 35. En el contexto de un cortafuegos con más de un sistema virtual (vsys). Servidores En el caso de cada servidor Kerberos. Para cortafuegos que tienen varios sistemas virtuales.

El nombre debe ser exclusivo en la Ubicación actual (cortafuegos o sistema virtual) en relación con otras secuencias de autenticación y perfiles de autenticación. En cualquier otro contexto. Programación de exportaciones de logs Dispositivo > Programación de la exportación de logs Puede programar exportaciones de logs y guardarlas en un servidor File Transfer Protocol (FTP) en formato CSV o utilizar Secure Copy (SCP) para transferir datos de manera segura entre el dispositivo y un host remoto. Si el dispositivo no encuentra una coincidencia. Del mismo modo. si la secuencia Ubicación está compartida. guiones. Por ejemplo. Los perfiles de logs contienen la información de programación y servidor FTP. Configuración de secuencias de autenticación Campo Descripción Nombre Introduzca un nombre para identificar la secuencia. si la Ubicación de la secuencia de autenticación es un sistema virtual (vsys). espacios. Ubicación Seleccione el ámbito en el que está disponible la secuencia. puede tener hasta 31 caracteres. Una vez guardada la secuencia. En el contexto de un cortafuegos con más de un sistema virtual (vsys). seleccione un perfil y haga clic en Mover hacia arriba o Mover hacia abajo. Usar el dominio para determinar el perfil de autenticación Seleccione esta casilla de verificación (seleccionada de manera predeterminada) si quiere que el dispositivo busque coincidencias con el nombre de dominio que introduce un usuario durante el inicio de sesión con el Dominio de usuario o Dominio de Kerberos de un perfil de autenticación asociado a la secuencia y luego usar el perfil para autenticar el usuario.0 Palo Alto Networks . no introduzca el mismo nombre como un perfil de autenticación en la ubicación Compartido. no puede cambiar su Ubicación. números. PRECAUCIÓN: En un cortafuegos con sistemas virtuales múltiples. selecciónelo y haga clic en Eliminar. puede que un perfil especifique la recogida de los logs del día anterior cada día a las 3:00 y su almacenamiento en un servidor FTP específico. guiones bajos y puntos. El nombre distingue entre mayúsculas y minúsculas.Programación de exportaciones de logs Tabla 36. seleccione un vsys o Compartido (todos los sistemas virtuales). Para eliminar un perfil. incluidas letras. Para cambiar el orden de la lista. versión 7. no introduzca el mismo nombre como un perfil en un vsys. Se pueden producir errores de referencia mientras compila una secuencia de autenticación y un perfil con los mismos nombres en estos casos. prueba los perfiles de autenticación en la secuencia en orden descendente. Perfiles de autenticación Haga clic en Añadir y en el menú desplegable seleccione los perfiles de autenticación que quiera añadir a la secuencia. no puede seleccionar la Ubicación. La entrada del usuario que usa el dispositivo para la coincidencia puede ser el texto que precede al nombre de usuario (separado por una barra invertida) o el texto que sigue al nombre de usuario (separado por el símbolo @). 82 • Guía de referencia de interfaz web . su valor se define previamente como Compartido (para cortafuegos) o como Panorama.

eventos del sistema. Puerto Introduzca el número de puerto que utilizará el servidor FTP. Utilice únicamente letras. Descripción Introduzca una descripción opcional (de hasta 255 caracteres). URL. guiones y guiones bajos. Nombre de usuario Introduzca el nombre de usuario para acceder al servidor FTP. No podrá cambiar el nombre después de crear el perfil. Nombre de host Introduzca el nombre de host o dirección IP del servidor FTP que se utilizará para la exportación. y seleccionar un perfil de syslog y de servidor de correo electrónico para enviare mensajes de syslog y notificaciones de correo electrónico. logs de correlación (en algunas plataformas) y para configurar y habilitar alarmas. Definición de destinos de logs Dispositivo > Configuración de log Utilice esta página para habilitar el cortafuegos y que registre cambios de configuración. Amenaza. Datos o Coincidencia HIP). El valor predeterminado es Tráfico. números. La siguiente tabla describe los destinos de logs remotos. Si está utilizando SCP. Habilitar modo pasivo de FTP Seleccione la casilla de verificación para utilizar el modo pasivo para la exportación.23:59). Para cada log. puede habilitar funcionamiento remoto para Panorama. Habilitado Seleccione la casilla de verificación para habilitar la programación de exportaciones de logs. Configuración de la programación de la exportación de logs Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). Contraseña Introduzca la contraseña para acceder al servidor FTP. espacios. Palo Alto Networks Guía de referencia de interfaz web . Puede utilizar SCP para exportar logs de manera segura o puede utilizar FTP. Ruta Especifique la ruta ubicada en el servidor FTP que se utilizará para almacenar la información exportada. El valor predeterminado es 21.Definición de destinos de logs Haga clic en Añadir y especifique los siguientes ajustes: Tabla 37. versión 7.0 • 83 . El valor predeterminado es anónimo. deberá verificar y aceptar la clave de host del servidor SCP. Tipo de log Seleccione el tipo de log (Tráfico. que no es un protocolo seguro. Hora de inicio de exportación programada (a diario) Introduzca la hora del día (hh:mm) a la que comenzará la exportación en el formato de 24 horas (00:00 . esta opción está seleccionada. Protocolo Seleccione el protocolo que debe utilizarse para exportar logs desde el cortafuegos a un host remoto. Además. De manera predeterminada. logs de coincidencias HIP. No se necesita contraseña si el usuario es “anónimo”. y generar traps SNMP. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. deberá hacer clic en el botón Conexión de servidor SCP de prueba para probar la conectividad entre el cortafuegos y el servidor SCP.

Destinos de logs remotos Destino Descripción Panorama Todas las entradas de logs se pueden reenviar a Panorama. consulte “Definición de la configuración de gestión”. así como para las entradas de log de configuración. Para definir los destinos de syslog. Para especificar un nuevo perfil de correo electrónico. Para definir los nuevos destinos de traps SNMP. consulte “Reenvío de logs”. Configuración del log Configuración El widget Config le permite definir la configuración de las entradas del log de configuración. consulte “Configuración de servidores Syslog”. amenazas y tráfico. Configuración del log Configuración Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. pero no para entradas del log Configuración. consulte “Configuración de servidores Syslog”. Syslog Se pueden generar mensajes de Syslog según el nivel de gravedad para entradas de los logs de sistema. 84 • Guía de referencia de interfaz web . amenazas y tráfico. Para especificar la dirección del servidor de Panorama. seleccione el nombre del servidor Syslog. Tabla 39. así como para las entradas de log de configuración. Trap SNMP Para generar traps SNMP para entradas del log configuración. el dispositivo de gestión central de Palo Alto. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Para definir los servidores y destinatarios de correo electrónico. Nota: Para configurar los destinos de los logs de tráfico. seleccione el perfil del servidor trap SNMP. versión 7. Para especificar nuevos servidores Syslog. consulte “Configuración de destinos de traps SNMP”. Amenaza y Tráfico. Correo electrónico Para generar notificaciones por correo electrónico para entradas del log de configuración. seleccione un perfil de correo electrónico del menú desplegable. Correo electrónico Se pueden enviar notificaciones de correo electrónico según el nivel de gravedad para entradas de los logs de sistema. consulte “Configuración de destinos de traps SNMP”.0 Palo Alto Networks . Syslog Para generar mensajes de Syslog para entradas del log Configuración. consulte “Configuración de ajustes de notificaciones por correo electrónico”.Definición de destinos de logs Tabla 38. Trap SNMP Se pueden generar traps SNMP según el nivel de gravedad para entradas de los logs Sistema. Para especificar los nuevos destinos de traps SNMP.

• Medio: Notificaciones de nivel medio. En función de la gravedad del evento. consulte “Uso del motor de correlación automatizada”.Definición de destinos de logs Configuración del log Sistema El log Sistema muestra eventos del sistema. Configuración del log Sistema Campo Descripción Panorama Seleccione la casilla de verificación para cada nivel de gravedad de las entradas del log Sistema que se enviarán al sistema de gestión centralizado de Panorama. versión 7. cualquier cambio de configuración y el resto de eventos no cubiertos por los otros niveles de gravedad. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log Sistema. • “Configuración de servidores Syslog”. como fallos de HA. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. Para especificar la dirección del servidor de Panorama. mensajes de Syslog o notificaciones por correo electrónico. como servidores Syslog y RADIUS.0 • 85 . cambios de estado de enlaces e inicios de sesión y cierres de sesión de administradores en el cortafuegos. como cambios de contraseña de usuario. Los eventos correlacionados recopilan pruebas de comportamientos sospechosos o inusuales de los usuarios o hosts en la red. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. Palo Alto Networks Guía de referencia de interfaz web . • Informativo: Inicios de sesión/cierres de sesión. Para definir nuevos destinos. incluidas las interrupciones en las conexiones con dispositivos externos. consulte: • “Configuración de destinos de traps SNMP”. Los niveles de gravedad son los siguientes: • Crítico: Fallos de hardware. como actualizaciones de paquetes de antivirus. cambio de nombre o contraseña de administrador. • Alto: Problemas graves. Para obtener más información sobre el motor de correlación. Tabla 40. lo que incluye la conmutación por error de HA y los fallos de enlaces. seleccione los ajustes de SNMP. • Bajo: Notificaciones de menor gravedad. consulte “Definición de la configuración de gestión”. Configuración del log de correlación Los logs de correlación se generan cuando un objeto de correlación coincide con un patrón o comportamiento y se registra un evento de correlación. • “Configuración de ajustes de notificaciones por correo electrónico”.

Por ejemplo. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de correlación. • Alto: Indica que hay una probabilidad muy alta de que un host vea comprometida su seguridad basándose en una correlación entre varios eventos de amenaza. Para definir nuevos destinos. se registra un evento crítico cuando un host que ha recibido un archivo considerado malintencionado por WildFire muestra la misma actividad de comando y control observada en ese archivo malintencionado dentro del espacio aislado de WildFire.0 Palo Alto Networks . • Medio: Indica que hay una probabilidad alta de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos. seleccione los ajustes de SNMP. 86 • Guía de referencia de interfaz web . mensajes de Syslog o notificaciones por correo electrónico. un evento por separado no tiene por qué ser significativo en sí. • Bajo: Indica la posibilidad de que un host vea comprometida su seguridad basándose en la detección de uno o varios eventos sospechosos. consulte: • “Configuración de destinos de traps SNMP”. Trap SNMP Correo electrónico Syslog Bajo cada nivel de gravedad. Configuración del log de correlación Campo Descripción Panorama Seleccione la casilla de verificación de cada nivel de gravedad de las entradas del log de correlación que se enviarán a Panorama.Definición de destinos de logs En función de la gravedad del evento. Los niveles de gravedad son los siguientes: • Crítico: Confirma que se ha comprometido la seguridad de un host basándose en eventos correlacionados que indican un patrón en aumento. versión 7. como las visitas repetidas a URL consideradas malintencionadas que sugiere la existencia de una actividad de comando y control generada por una secuencia de comandos. • Informativo: Detecta un evento que podría resultar útil en conjunto para identificar una actividad sospechosa. puede especificar si las entradas del log Sistema se registran de manera remota con Panorama y se envían como traps SNMP. • “Configuración de ajustes de notificaciones por correo electrónico”. como una visitas a una URL considerada malintencionada o un dominio DNS dinámico. como el software malicioso detectado en cualquier punto de la red que coincida con la actividad de comando y control generada por un host concreto. • “Configuración de servidores Syslog”. Tabla 41.

orden de columnas y actualización. Para reconocer alarmas. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Palo Alto Networks Guía de referencia de interfaz web . Correo electrónico Para generar notificaciones por correo electrónico para entradas del log Configuración. Definición de configuración de alarmas La configuración de alarmas le permite habilitar alarmas y notificaciones de alarmas para la CLI y la interfaz web. Para especificar los nuevos destinos de traps SNMP.0 • 87 . • Se ha alcanzado el umbral de fallos de cifrado/descifrado. • La base de datos de logs de cada tipo de log está casi llena. la cuota predeterminada está configurada para notificar que se ha usado el 90% de la capacidad del disco. seleccione sus casillas de verificación y haga clic en Reconocer. versión 7. La configuración de alarmas permite actuar antes de que se llene el disco y se purguen los logs. Esta acción pasa las alarmas a la lista Alarmas de reconocimiento.Definición de destinos de logs Configuración del log Coincidencias HIP La configuración del log Coincidencias HIP (perfil de información de host) se utiliza para proporcionar información sobre las políticas de seguridad que se aplican a clientes de GlobalProtect. Para especificar nuevos ajustes de correo electrónico. Tabla 42. Syslog Para generar mensajes de Syslog para entradas del log Configuración. Trap SNMP Para generar traps SNMP para entradas del log Coincidencias HIP. Configuración del log Coincidencias HIP Campo Descripción Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log Configuración al sistema de gestión centralizado de Panorama. Para especificar nuevos servidores Syslog. La ventana Alarmas también incluye controles de páginas. seleccione el nombre del servidor Syslog. Puede ver la lista de alarmas actual en cualquier momento haciendo clic en el icono Alarmas situado en la esquina inferior derecha de la interfaz web cuando la opción Alarma está configurada. seleccione el nombre del destino de trap. consulte “Configuración de destinos de traps SNMP”. seleccione el nombre de la configuración de correo electrónico que especifica las direcciones de correo electrónico adecuadas. También le permite configurar notificaciones para esos eventos: • Se ha encontrado una coincidencia con una regla de seguridad (o grupo de reglas) en un umbral especificado y dentro de un intervalo de tiempo especificado. Esto abre una ventana que enumera las alarmas reconocidas y no reconocidas del log de alarmas actual. consulte “Configuración de servidores Syslog”.

sistema. coincidencia HIP. configuración. incluyendo el momento en que se producen y cuándo se reconocen. • Administradores suprimidos: No genera logs para los cambios que realizan los administradores enumerados en la configuración del cortafuegos. Configuración del log Alarma Campo Descripción Habilitar alarmas Habilite alarmas basándose en los eventos enumerados en esta página. amenazas de seguridad. • Logs de inicios de sesión correctos: Registra los inicios de sesión correctos en el cortafuegos por parte del administrador. Gestión de configuración de logs Cuando se configura para la creación de logs. Habilitar alarmas audibles El cortafuegos seguirá reproduciendo una alarma sonora cuando existan alarmas no reconocidas en la interfaz web o la CLI. Umbral de alarma de base de datos de log (% lleno) Genere una alarma cuando una base de datos de logs alcance el porcentaje indicado del tamaño máximo. el cortafuegos registra cambios en la configuración. Los incumplimientos se cuentan cuando una sesión coincide con una política de denegación explícita. versión 7. Estas etiquetas están disponibles para su especificación al definir políticas de seguridad. El botón Alarmas solo es visible cuando la casilla de verificación Habilitar alarmas está seleccionada. alarma) que le gustaría borrar. Utilice la página Gestionar logs para borrar los logs del dispositivo. 88 • Guía de referencia de interfaz web . • Logs de inicios de sesión incorrectos: Registra los inicios de sesión incorrectos en el cortafuegos por parte del administrador. Límites de grupos de políticas de seguridad Se genera una alarma si el conjunto de reglas alcanza el número de infracciones del límite de reglas especificado en el campo Umbral de infracciones durante el período especificado en el campo Período de tiempo de infracciones. Auditoría selectiva Nota: Estos ajustes aparecen en la página Alarmas únicamente en el modo Criterios comunes. edite la sección Configuración de alarma y utilice la siguiente tabla para definirla: Tabla 43. eventos del sistema. Especifique los siguientes ajustes: • Logging específico de CC: Permite logs ampulosos necesarios para el cumplimiento de criterios comunes (CC).Definición de destinos de logs Para añadir una alarma. flujos de tráfico y alarmas generadas por el dispositivo. Utilice Etiquetas de política de seguridad para especificar las etiquetas con las que los umbrales de límite de reglas generarán alarmas. datos. URL. Haga clic en el enlace que corresponde al log (tráfico. Umbral de fallo de cifrado/descifrado Especifique el número de fallos de cifrado/descifrado tras los cuales se genera una alarma. Habilitar notificaciones de alarma web Abra una ventana para mostrar alarmas en las sesiones de usuario. Habilitar notificaciones de alarmas por CLI Habilite notificaciones de alarmas por CLI cuando se produzca una alarma. Límites de política de seguridad Se genera una alarma si un puerto o una dirección IP en concreto incumple una regla de denegación el número de veces especificado en el ajuste Umbral de infracciones de seguridad dentro del período (segundos) especificado en el ajuste Período de tiempo de infracciones de seguridad. amenazas.0 Palo Alto Networks .

Ubicación Seleccione el ámbito en el que está disponible el perfil. que identifica a una comunidad SNMP de gestores SNMP y dispositivos supervisados. tenga en cuenta los requisitos de seguridad de su red cuando defina la pertenencia a la comunidad (acceso de administradores).Configuración de destinos de traps SNMP Configuración de destinos de traps SNMP Dispositivo > Perfiles de servidor > Trap SNMP Panorama > Perfiles de servidor > Trap SNMP SNMP (Protocolo simple de administración de redes) es un protocolo estándar para la supervisión de los dispositivos de su red. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. Tabla 44. versión 7. guiones y guiones bajos. espacios.0 • 89 . En el contexto de un cortafuegos con más de un sistema virtual (vsys). números. no puede cambiar su Ubicación. además de servir como contraseña para autenticar a los miembros de la comunidad entre sí durante el reenvío de traps. Configuración de perfil de servidor de Trap SNMP Campo Descripción Nombre Introduzca un nombre para el perfil de SNMP (de hasta 31 caracteres). Utilice únicamente letras. puntos. Comunidad Introduzca la cadena de comunidad. Para avisarle de eventos o alertas del sistema en su red. Tras crear el perfil del servidor. no puede seleccionar la Ubicación. Para cada versión. Esta cadena puede tener hasta 127 caracteres. Use la página Trap SNMP para configurar el perfil del servidor que permite al cortafuegos o Panorama enviar traps a los gestores de SNMP. Una vez guardado el perfil. En cualquier otro contexto. guiones bajos o guiones. Versión Seleccione la versión de SNMP: V2c (predeterminado) o V3. Su selección controla los campos restantes que muestra el cuadro de diálogo. Palo Alto Networks Guía de referencia de interfaz web . Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. seleccione un vsys o Compartido (todos los sistemas virtuales). pude añadir hasta cuatro gestores SNMP. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. consulte “Habilitación de supervisión de SNMP”. Para habilitar GET SNMP (solicitudes de estadísticas desde un gestor SNMP). su valor se define previamente como Compartido (para cortafuegos) o como Panorama. los dispositivos supervisados envían traps SNMP a los gestores de SNMP (servidores trap). consulte MIB compatibles. Para obtener una lista de los MIB que debe cargar en el gestor de SNMP para que pueda interpretar los traps de Palo Alto Networks. debe especificar qué tipos de logs activarán el cortafuegos para que envíe traps SNMP (consulte “Definición de destinos de logs”). Se recomienda no usar la cadena de comunidad pública predeterminada. admite todos los caracteres y distingue entre mayúsculas y minúsculas. Dado que los mensajes SNMP contienen cadenas de comunidad en texto sin cifrar. Para SNMP V2c Nombre Especifique un nombre para el gestor SNMP. No elimine perfiles de servidor usados por configuración de log Sistema o perfiles de logs.

Usuario Especifique un nombre de usuario para identificar la cuenta de usuario de SNMP (de hasta 31 caracteres). los mensajes usan el número de serie del dispositivo como EngineID. Especifique la privacidad de autenticación del usuario SNMP. puntos. versión 7. El nombre puede tener hasta 31 caracteres que pueden ser alfanuméricos. EngineID Especifique el ID de motor del dispositivo. Contraseña de autenticación Especifique la contraseña de autenticación del usuario SNMP. Configuración de perfil de servidor de Trap SNMP (Continuación) Campo Descripción Para SNMP V3 Nombre Especifique un nombre para el gestor SNMP. deje el campo en blanco. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. Gestor SNMP Especifique el FQDN o dirección IP del gestor SNMP. los mensajes trap usan este valor para identificar exclusivamente el dispositivo. debe estar en formato hexadecimal. Si deja este campo en blanco. de lo contrario. La contraseña debe tener entre 8 y 256 caracteres y todos están permitidos. el valor se sincroniza y ambos peers usarán el mismo EngineID. El dispositivo usa la contraseña para autenticar el gestor SNMP.0 Palo Alto Networks . Contraseña priv. de modo que el gestor SNMP pueda identificar qué peer HA envió los traps. 90 • Guía de referencia de interfaz web . El dispositivo usa el algoritmo de hash seguro (SHA-1 160) para cifrar la contraseña.Configuración de destinos de traps SNMP Tabla 44. guiones bajos o guiones. con el prefijo 0x. Cuando un gestor SNMP y el dispositivo se autentican entre sí. El dispositivo usa la contraseña y el estándar de cifrado avanzado (AES-128) para cifrar traps SNMP. Para dispositivos en configuración de alta disponibilidad (HA). Si introduce un valor. y con otros 10-128 caracteres para representar cualquier número de 5-64 bytes (2 caracteres por byte). El nombre de usuario que configure en el dispositivo debe tener el mismo nombre de usuario configurado en el gestor SNMP.

Haga clic en ACEPTAR para guardar la configuración. Para obtener información detallada sobre los campos que se pueden utilizar para logs personalizados. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tráfico. Tabla 45. Palo Alto Networks Guía de referencia de interfaz web . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. espacios. debe especificar uno o más servidores Syslog. Utilice únicamente letras. Escape Especifique secuencias de escape. Utilice el cuadro Caracteres de escape para enumerar todos los caracteres que se escaparán sin espacios. Después de definir los servidores Syslog. Seleccione el valor que asigna al modo en que su servidor Syslog usa el campo Instalaciones para gestionar mensajes. no puede cambiar su Ubicación. Ver una descripción de cada campo que se pueda usar para logs personalizados. números. Puerto Introduzca el número de puerto del servidor Syslog (el puerto estándar para UDP es 514. consulte “Configuración de ajustes de notificaciones por correo electrónico”. Instalaciones Seleccione uno de los valores estándar de Syslog. En el contexto de un cortafuegos con más de un sistema virtual (vsys). el puerto estándar para SSL es 6514.Configuración de servidores Syslog Configuración de servidores Syslog Dispositivo > Perfiles de servidor > Syslog Panorama > Perfiles de servidor > Syslog Para generar mensajes de Syslog para logs Sistema. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. Ubicación Seleccione el ámbito en el que está disponible el perfil. Transporte Elija si desea transportar los mensajes de Syslog en UDP. seleccione un vsys o Compartido (todos los sistemas virtuales). En el cuadro de diálogo. para TCP debe especificar un número de puerto). números. Una vez guardado el perfil. En cualquier otro contexto. Pestaña Servidores Nombre Haga clic en Añadir e introduzca un nombre para el servidor Syslog (de hasta 31 caracteres). Nuevo servidor Syslog Campo Descripción Nombre Introduzca un nombre para el perfil de Syslog (de hasta 31 caracteres). Amenaza o Coincidencias HIP. versión 7. No puede eliminar un servidor que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. consulte RFC 3164 (formato BSD) o RFC 5424 (formato IETF). Servidor Introduzca la dirección IP del servidor Syslog. espacios. guiones y guiones bajos. Otras cadenas de texto se pueden editar directamente en el área Formato de log. Configuración. podrá utilizarlos para las entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). no puede seleccionar la Ubicación.0 • 91 . Utilice únicamente letras. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. Para obtener más información sobre el campo Instalaciones. Formato Especifique el formato de Syslog que se debe utilizar: BSD (valor predeterminado) o IETF. TCP o SSL. haga clic en un campo para añadirlo al área Formato de log. guiones y guiones bajos.

Pestaña Servidores Servidor Introduzca un nombre para identificar el servidor (1-31 caracteres). Este campo es solamente una etiqueta y no tiene que ser el nombre de host de un servidor SMTP existente. Configuración de notificaciones por correo electrónico Campo Descripción Nombre Introduzca un nombre para el perfil de servidor (de hasta 31 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Tabla 46. De Introduzca la dirección de correo electrónico del remitente. seleccione un vsys o Compartido (todos los sistemas virtuales). Puerta de enlace Introduzca la dirección IP o el nombre de host del servidor Simple Mail Transport Protocol (SMTP) utilizado para enviar el correo electrónico. espacios. Después de definir la configuración de correo electrónico. guiones y guiones bajos.0 Palo Alto Networks . Para obtener información sobre cómo programar la entrega de informes por correo electrónico. añada la dirección de correo electrónico de una lista de distribución. 92 • Guía de referencia de interfaz web . En el cuadro de diálogo. En cualquier otro contexto. Haga clic en ACEPTAR para guardar la configuración. números. Una vez guardado el perfil. Pestaña Formato de log personalizado Tipo de log Haga clic en el tipo de log para abrir un cuadro de diálogo que le permitirá especificar un formato de log personalizado. debe configurar un perfil de correo electrónico.com”. Para añadir varios destinatarios. haga clic en un campo para añadirlo al área Formato de log. Escape Incluya los caracteres de escape y especifique el carácter o los caracteres de escape. Mostrar nombre Introduzca el nombre mostrado en el campo De del correo electrónico. versión 7. No puede eliminar un ajuste de correo electrónico que se utilice en algún ajuste del log Sistema o Configuración o algún perfil de logs. Destinatario adicional También puede introducir la dirección de correo electrónico de otro destinatario. Solo puede añadir un destinatario adicional.Configuración de ajustes de notificaciones por correo electrónico Configuración de ajustes de notificaciones por correo electrónico Dispositivo > Perfiles de servidor > Correo electrónico Panorama > Perfiles de servidor > Correo electrónico Para generar mensajes de correo electrónico para logs. no puede seleccionar la Ubicación. su valor se define previamente como Compartido (para cortafuegos) o como Panorama. consulte “Programación de informes para entrega de correos electrónicos”. como “alerta_seguridad@empresa. Para Introduzca la dirección de correo electrónico del destinatario. podrá habilitar las notificaciones por correo electrónico para entradas de los logs Sistema y Configuración (consulte “Configuración del log Configuración”). Utilice únicamente letras. Ubicación Seleccione el ámbito en el que está disponible el perfil. no puede cambiar su Ubicación. En el contexto de un cortafuegos con más de un sistema virtual (vsys).

Tabla 47. Puede habilitar NetFlow para que exporte todos los tipos de interfaces. Para configurar exportaciones de datos NetFlow. 5 de forma predeterminada). utilice el valor del recopilador con la velocidad de actualización más rápida. pero no bidireccional. Los recopiladores NetFlow requieren plantillas para descifrar los campos exportados. el cortafuegos exporta los datos NetFlow para todo el tráfico que atraviesa la interfaz hacia los servidores especificados. La frecuencia de actualización necesaria depende del recopilador de flujo de red: Si añade varios recopiladores de flujo de red al perfil del servidor. Tipos de campos de PAN-OS Exporte campos específicos de PAN-OS para App-ID y el servicio de User-ID en registros de Netflow.055). Tiempo de espera activo Especifique la frecuencia (en minutos) a la que el cortafuegos exporta registros de datos para cada sesión (1-60. espacios. con o sin NAT y con campos estándar o específicos de empresa. Utilice únicamente letras. versión 7. Después de asignar el perfil a una interfaz (consulte “Configuración de la interfaz de un cortafuegos”).Configuración de ajustes de flujo de red Configuración de ajustes de flujo de red Dispositivo > Perfiles de servidor > Flujo de red Todos los cortafuegos son compatibles con la versión 9 de NetFlow. Servidores Nombre Especifique un nombre para identificar el servidor (de hasta 31 caracteres). Utilice únicamente letras. defina un perfil de servidor NetFlow. tarjeta de log o reflejo de descifrado. de forma predeterminada 30) o paquetes (1-600. de forma predeterminada 20) después de los cuales el cortafuegos actualiza la plantilla de flujo de red para aplicar cualquier cambio en sus campos o un cambio en la selección de plantilla. Tasa de actualización de plantilla Especifique el número de minutos (1-3600. números. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. guiones y guiones bajos. Puede añadir un máximo de dos servidores por perfil. a excepción de las de alta disponibilidad (HA). Puerto Especifique el número de puerto para el acceso al servidor (valor predeterminado: 2. Los cortafuegos solo son compatibles con NetFlow unidireccional. El cortafuegos selecciona una plantilla según el tipo de datos que va a exportar: tráfico IPv4 o IPv6. Servidor Especifique el nombre de host o la dirección IP del servidor. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. que especifique los servidores NetFlow que recibirán los datos y especifique los parámetros de exportación. Configuración de Netflow Campo Descripción Nombre Introduzca un nombre para el perfil de servidor Netflow (de hasta 31 caracteres). El cortafuegos es compatible con plantillas de NetFlow estándar y de empresa (específicas de PAN-OS). a excepción de los cortafuegos de las series PA-4000 y PA-7000. Establezca la frecuencia basada en cuántas veces quiere que el recopilador del flujo de datos actualice las estadísticas de tráfico. números.0 • 93 . guiones y guiones bajos. espacios. Palo Alto Networks Guía de referencia de interfaz web .

Configuración de un perfil de servidor de DNS Configuración de un perfil de servidor de DNS Dispositivo > Perfiles de servidor > DNS Configure un perfil de servidor DNS. eliminar. DNS principal Especifique la dirección IP del servidor DNS principal. Ruta de servicio IPv6 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv6. Ruta de servicio IPv4 Haga clic en esta casilla de verificación si quiere especificar que los paquetes dirigidos al servidor de DNS tienen su origen en una dirección IPv4. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS. revocar) los certificados de dispositivos usados para garantizar la comunicación. Ubicación Seleccione el sistema virtual al que pertenece el perfil. Comprobar estado de origen de herencia (Opcional) Si elige un servidor DNS desde el que heredar configuraciones. haga clic en este enlace para ver el estado del origen de herencia. versión 7. Uso de certificados Dispositivo > Gestión de certificados > Certificados Los certificados se utilizan para cifrar datos y garantizar la comunicación en una red. DNS secundario Especifique la dirección IP del servidor DNS secundario. o déjelo como heredado si ha elegido un origen de herencia. habilitar y deshabilitar las entidades de certificados (CA) en las que confía el cortafuegos. – Especifique la dirección de origen IPv4 desde la que se originan los paquetes dirigidos al servidor de DNS. que se aplica a sistemas virtuales para simplificar la configuración. 94 • Guía de referencia de interfaz web . renovar. o déjelo como heredado si ha elegido un origen de herencia. Origen de herencia (Opcional) Especifique el servidor de DNS desde el que el perfil debería heredar la configuración. • “Gestión de entidades de certificación de confianza predeterminadas”: Utilice la página Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas para ver. También puede exportar e importar la clave de alta disponibilidad (HA) que protege la conexión entre los peers de HA en la red. Tabla 48 Perfil de servidor de DNS Campo Descripción Nombre Especifique un nombre para el perfil de servidor SNMP. importar.0 Palo Alto Networks . – Especifique la dirección de origen IPv6 desde la que se originan los paquetes dirigidos al servidor de DNS. • “Gestión de certificados de dispositivos”: Use la página Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos para gestionar (generar. – (Opcional) Especifique la interfaz de origen que usarán los paquetes dirigidos al servidor de DNS.

Cuando el cortafuegos descifra tráfico. versión 7. • Exclusión de SSL: Este certificado excluye las conexiones si se encuentran durante el descifrado de proxy de reenvío SSL. descifrado de SSL o LSVPN. Solo se requiere el nombre. Palo Alto Networks Guía de referencia de interfaz web .0 • 95 . En este caso. Para generar un certificado. números. • CA raíz de confianza: El certificado está marcado como CA de confianza con fines de descifrado de reenvío. seleccione esta casilla de verificación si quiere que el certificado esté disponible en cada vsys. haga clic en Generar y especifique la siguiente información. Tabla 49. • Certificado de Syslog seguro: Este certificado activa el reenvío seguro de syslogs en un servidor de syslog externo. Si no es así. guiones y guiones bajos. Utilice únicamente letras. utiliza un certificado de CA no fiable especial para firmar el certificado de descifrado. El certificado de CA raíz de confianza es para CA adicionales que son fiables para su empresa pero que no forman parte de la lista de CA fiables preinstalada. Nombre común Introduzca la dirección IP o FQDN que aparecerá en el certificado. el usuario verá la página de error de certificado habitual al acceder al cortafuegos y deberá desestimar la advertencia de inicio de sesión. • No fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA que no está en la lista de CA de confianza del cortafuegos. comprueba si el certificado ascendente ha sido emitido por una CA de confianza. A continuación se mencionan algunos usos de los certificados: • Fiable de reenvío: Este certificado se presenta a los clientes durante el descifrado cuando el servidor al que se están conectando está firmado por una CA de la lista de CA de confianza del cortafuegos. Compartido En un cortafuegos que tiene más de un sistema virtual (vsys). deberá hacer clic en el nombre del certificado en la página Certificados y seleccionar la casilla de verificación Reenviar certificado fiable. espacios. Configuración para generar un certificado Campo Descripción Nombre del certificado Introduzca un nombre (de hasta 31 caracteres) para identificar el certificado. Si se utiliza un certificado autofirmado para el descifrado de proxy de reenvío. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.Uso de certificados Gestión de certificados de dispositivos Dispositivo > Gestión de certificados > Certificados > Certificados de dispositivos Panorama > Gestión de certificados > Certificados Indique los certificados que quiere que el cortafuegos o Panorama utilice para tareas como asegurar el acceso a la interfaz web. El cortafuegos tiene una extensa lista de CA de confianza existentes.

0 eliminarán cualquier certificado de ECDSA que envíe desde Panorama. seleccione RSA para compatibilidad con navegadores y sistemas operativos antiguos. Resumen Seleccione el algoritmo de resumen del certificado. SHA1. SHA256. Nota: ECDSA usa tamaños de clave más pequeños que el algoritmo RSA y. Si el algoritmo es DSA de curva elíptica. ECDSA también ofrece una seguridad igual o superior a la de RSA. Autoridad del certificado Seleccione esta casilla de verificación si quiere que el cortafuegos emita el certificado. ADVERTENCIA: Los cortafuegos que ejecutan versiones anteriores a PAN-OS 7. ECDSA se recomienda para navegadores de clientes y sistemas operativos compatibles. Algoritmo Seleccione un algoritmo de generación de claves para el certificado: RSA o DSA de curva elíptica (ECDSA). Para generar una solicitud de firma de certificado (CSR). debe seleccionar SHA256. El nombre de host correspondiente aparece en el certificado. Las opciones disponibles dependen de la generación de claves de algoritmos: • RSA: MD5. PRECAUCIÓN: Si especifica un Período de validez en una configuración del satélite de GlobalProtect. por lo tanto. Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA.Uso de certificados Tabla 49. Si está utilizando Panorama. El valor predeterminado es de 365 días. versión 7. las claves RSA generadas deben ser de 2048 bits o superiores. Marcar este certificado como CA le permitirá utilizarlo para firmar otros certificados en el cortafuegos. SHA384 o SHA512 como el algoritmo de resumen. El dispositivo genera el certificado y el par de claves y entonces puede exportar el CSR. ese valor cancelará el valor introducido en este campo. OCSP responder Seleccione un perfil de respondedor OSCP de la lista desplegable (consulte “Cómo añadir un respondedor OCSP”). son válidos ambos algoritmos de resumen (SHA256 y SHA384). SHA384 o SHA512 • DSA de curva elíptica: SHA256 o SHA384 Si el cortafuegos está en modo FIPS o CC y el algoritmo de generación de claves es RSA. De lo contrario. Número de bits Seleccione la longitud de la clave del certificado. son válidas ambas opciones de longitud (256 y 384). Si ha importado certificados de CA o los ha emitido en el propio dispositivo (autofirmados). 96 • Guía de referencia de interfaz web . Configuración para generar un certificado (Continuación) Campo Descripción Firmado por Un certificado se puede firmar con una entidad de certificación (CA) importado al cortafuegos o se puede utilizar un certificado autofirmado donde el propio cortafuegos es la CA. Si el algoritmo es DSA de curva elíptica. y ningún certificado RSA firmado por una entidad de certificación (CA) ECDSA será válido en esos cortafuegos. seleccione una autoridad externa (CSR). Vencimiento (días) Especifique el número de días que el certificado será válido. ofrece una mejora del rendimiento para las conexiones SSL/TLS de procesamiento. también tiene la opción de generar un certificado autofirmado para Panorama.0 Palo Alto Networks . el menú desplegable incluye los CA disponibles para firmar el certificado que se está creando.

Correo electrónico. puede especificar uno de los siguientes campos de nombre alternativo del asunto: Nombre de host (SubjectAltName:DNS). no en el cortafuegos.0 • 97 . Si ha configurado un módulo de seguridad de hardware (HSM). seleccione País en la columna Tipo y. Si el cortafuegos es la CA que emitió el certificado. El certificado se establecerá instantáneamente en estado revocado. Establezca el periodo de validez (en días) para el certificado y haga clic en Aceptar. Organización. No es necesario realizar una compilación. Después de generar el certificado. haga clic en la columna Valor para ver los códigos de país ISO 6366. los detalles aparecen en la página. Revocar Seleccione el certificado que desea revocar y haga clic en Revocar. haga clic en Añadir para especificar atributos del certificado adicionales que se deben utilizar para identificar la entidad para la que está emitiendo el certificado. Departamento. Si una entidad de certificación (CA) externa firmó el certificado y el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. versión 7. Además.Uso de certificados Tabla 49. Localidad. Palo Alto Networks Guía de referencia de interfaz web . Nota: Para añadir un país como atributo de certificado. IP (SubjectAltName:IP). Estado. Otras acciones admitidas Acciones Descripción Eliminar Seleccione el certificado que desea eliminar y haga clic en Eliminar. Tabla 50. seleccione el certificado correspondiente y haga clic en Renovar. las claves privadas se almacenan en un almacén HSM externo. el cortafuegos lo sustituirá por un nuevo certificado que tenga un número de serie diferente pero los mismos atributos que el certificado anterior. el cortafuegos utilizará información del respondedor OCSP para actualizar el estado del certificado. y Correo electrónico alternativo (SubjectAltName:email). Configuración para generar un certificado (Continuación) Campo Descripción Atributos del certificado De forma alternativa. Renovar En caso de que un certificado caduque o esté a punto de caducar. a continuación. Puede añadir cualquiera de los siguientes atributos: País.

este será el único archivo que contiene a ambos objetos. es decir. busque el archivo de clave privada cifrada (por lo general. Seleccione la casilla de verificación Exportar clave privada e introduzca una frase de contraseña dos veces para exportar la clave privada además del certificado. consulte “Definición de módulos de seguridad de hardware”. consulte usos.pem para formato de codificación base64). • Seleccione el sistema virtual al que desea importar el certificado de la lista desplegable. Si utiliza PEM. • Seleccione el formato de archivo para el archivo de certificado.key). Exportar Para exportar un certificado. Si utiliza PEM. Seleccione el formato de archivo que desea que utilice el certificado exportado (. se debe exportar la clave del cortafuegos 1 y. el archivo de clave se seleccionó anteriormente. • Utilice la opción Examinar para buscar el archivo de certificado. importarse al cortafuegos 2 y viceversa. • Seleccione la casilla La clave privada reside en el módulo de seguridad de hardware si está utilizando un HSM par almacenar la clave privada para este certificado. a continuación.0 Palo Alto Networks . seleccione el enlace para el certificado y las casillas de verificación para indicar cómo planea utilizar el certificado. haga clic en Importar y especifique los siguientes detalles • Nombre para identificar el certificado. haga clic en Exportar clave de HA y especifique una ubicación en la que guardar el archivo. denominado *. Importar clave de HA Las claves de HA se deben intercambiar entre ambos peers del cortafuegos. Para importar claves para alta disponibilidad (HA). haga clic en Importar clave de HA y explore para especificar el archivo de clave que se importará. Si está importando un certificado PKCS #12 y una clave privada. fecha de vencimiento y estado de validez de cada una de ellas.pfx para PKCS#12 o . Generar Consulte generar. Si desea más información sobre HSM. Aparece el nombre. Gestión de entidades de certificación de confianza predeterminadas Dispositivo > Gestión de certificados > Certificados > Entidades de certificación de confianza predeterminadas Utilice esta página para ver. Otras acciones admitidas Acciones Descripción Importar Para importar un certificado. Si utiliza PKCS #12. versión 7. este será únicamente el certificado público.Uso de certificados Tabla 50. 98 • Guía de referencia de interfaz web . Para obtener una descripción de cada uno de ellos. seleccione el certificado que desea exportar y haga clic en Exportar. asunto. emisor. • Seleccione la casilla de verificación Importar clave privada para cargar la clave privada e introducir la frase de contraseña dos veces. deshabilitar o exportar las entidades de certificación (CA) preincluidas en las que confía el cortafuegos. Para exportar claves para HA. Exportar clave de HA Defina el uso del certificado En la columna Nombre.

cómo verificar el estado de revocación de certificados y cómo restringe el acceso dicho estado.Creación de un perfil del certificado Esta lista no incluye los certificados de CA generados en el cortafuegos. Campo de nombre de usuario Si GlobalProtect usa solo certificados para autenticación de portal/ puerta de enlace. Tabla 51 Configuración de entidades de certificación de confianza Campo Descripción Habilitar Si ha deshabilitado una CA y desea habilitarla. gestor de seguridad móvil y acceso a la interfaz web del cortafuegos/Panorama. Los perfiles especifican qué certificados deben utilizarse.0 • 99 . su valor se define previamente como Compartido (para cortafuegos) o como Panorama. a continuación. Tabla 52. Deshabilitar Haga clic en la casilla de verificación junto a la CA que desee deshabilitar y. Exportar Haga clic en la casilla de verificación junto a la CA y. números. • Asunto alternativo: Seleccione si PAN-OS utiliza el correo electrónico o nombre principal. haga clic en Exportar para exportar el certificado de CA. espacios. seleccione un vsys o Compartido (todos los sistemas virtuales). Utilice únicamente letras. PAN-OS usa el campo de certificado que ha seleccionado en el menú desplegable Campo de nombre de usuario como el nombre de usuario y busca coincidencias con la dirección IP del servicio User-ID: • Asunto: PAN-OS utiliza el nombre común. Configuración de perfiles de certificado Tipo de página Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). Configure un perfil de certificado para cada aplicación. En cualquier otro contexto. no puede seleccionar la Ubicación. guiones y guiones bajos. haga clic en Habilitar. Ubicación Seleccione el ámbito en el que está disponible el perfil. a continuación. haga clic en Deshabilitar. a continuación. Puede realizar esta acción para importar el certificado a otro sistema o si desea verlo fuera de línea. VPN de sitio a sitio de IPSec. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Creación de un perfil del certificado Dispositivo > Gestión de certificados > Perfil del certificado Panorama > Gestión de certificados > Perfil del certificado Los perfiles de certificados definen la autenticación de usuarios y dispositivos para portal cautivo. versión 7. Palo Alto Networks Guía de referencia de interfaz web . • Ninguno: Suele destinarse al dispositivo GlobalProtect o a la autenticación anterior al inicio de sesión. En el contexto de un cortafuegos con más de un sistema virtual (vsys). haga clic en la casilla de verificación junto a la CA y. Una vez guardado el perfil. Puede que le interese esto si solamente desea confiar en determinadas CA o eliminarlas todas para únicamente confiar en su CA local. no puede cambiar su Ubicación. GlobalProtect.

el cortafuegos continuará con la sesión. Tiempo de espera de recepción de OCSP Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del respondedor OCSP. Para utilizar un certificado diferente para la validación. el cortafuegos primero intentará utilizar el OCSP y solamente retrocederá al método CRL si el respondedor OCSP no está disponible. Certificados de CA Haga clic en Añadir y seleccione un certificado de CA para asignarlo al perfil. Opcionalmente. Para cancelar ese ajuste. versión 7. Utilizar OCSP Seleccione la casilla de verificación para utilizar OCSP y verificar el estado de revocación de los certificados. selecciónelo en el campo Verificación de certificado CA con OCSP. si el cortafuegos utiliza el protocolo de estado de certificado en línea (OCSP) para verificar el estado de revocación de certificados. el cortafuegos utiliza el certificado seleccionado en el campo Certificado de CA para validar las respuestas de OCSP. • De manera predeterminada. Nota: Si selecciona OCSP y CRL. Tiempo de espera del estado del certificado Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta de cualquier servicio de estado de certificados y aplica la lógica de bloqueo de sesión que defina. configure los siguientes campos para cancelar el comportamiento predeterminado. Bloquear una sesión si el estado del certificado es desconocido Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones cuando el servicio OCSP o CRL devuelva un estado de revocación de certificados desconocido (unknown). Bloquear sesiones si no se puede recuperar el estado del certificado dentro del tiempo de espera Seleccione la casilla de verificación si desea que el cortafuegos bloquee sesiones después de registrar un tiempo de espera de la solicitud de OCSP o CRL. el cortafuegos utiliza la URL del respondedor OCSP que estableció en el procedimiento “Cómo añadir un respondedor OCSP”. Tiempo de espera de recepción de CRL Especifique el intervalo (1-60 segundos) tras el cual el cortafuegos deja de esperar una respuesta del servicio CRL. introduzca una URL de OCSP predeterminada (que comience por http:// o https://). estos campos no son aplicables. Para la mayoría de las implementaciones. De lo contrario. Utilizar CRL Seleccione la casilla de verificación para utilizar una lista de revocación de certificados (CRL) para verificar el estado de revocación de los certificados. el cortafuegos continuará con la sesión. Configuración de perfiles de certificado (Continuación) Tipo de página Descripción Dominio Introduzca el dominio NetBIOS para que PAN-OS pueda identificar a los usuarios mediante el ID de usuario. • De manera predeterminada.0 Palo Alto Networks . Cómo añadir un respondedor OCSP Dispositivo > Gestión de certificados > OCSP responder Utilice la página OCSP responder para definir un respondedor (servidor) del protocolo de estado de certificado en línea (OCSP) que verifique el estado de la revocación de los certificados. 100 • Guía de referencia de interfaz web .Cómo añadir un respondedor OCSP Tabla 52. De lo contrario.

seleccione la opción para habilitar en la sección OCSP. seleccione Avanzado > Otra información. números. edite la sección Configuración de interfaz de gestión. Para añadir un perfil. haga clic en Añadir. haga clic en Aceptar. haga clic en Aceptar y Compilar. a continuación. Debe ser exclusivo y utilizar únicamente letras. los perfiles le permiten restringir los conjuntos de cifras disponibles para proteger la comunicación con los clientes que solicitan los servicios. a continuación. haga clic en Añadir. habilitar un OCSP requiere las siguientes tareas: • Activar la comunicación entre el cortafuegos y el servidor del OCSP: seleccione Dispositivo > Configuración > Gestión. El nombre distingue entre mayúsculas y minúsculas. Ubicación Seleccione el ámbito en el que está disponible el respondedor. A partir de este valor. configúrelo de forma optativa para verificar el estado de revocación de los certificados del servidor de destino: seleccione Dispositivo > Configuración > Sesiones. En el contexto de un cortafuegos con más de un sistema virtual (vsys). a continuación. haga clic en Aceptar. En primer lugar. Si configura el cortafuegos como respondedor OCSP. su valor se define previamente como Compartido. Gestión de perfiles de servicio SSL/TLS Dispositivo > Gestión de certificados > Perfil de servicio SSL/TLS Panorama > Gestión de certificados > Perfil de servicio SSL/TLS Los perfiles de servicio SSL/TLS especifican un certificado y una versión o conjunto de versiones de protocolo para servicios de dispositivos que utilizan SSL/TLS.0 • 101 . espacios. seleccione Red > Perfiles de red > Gestión de interfaz. seleccione OCSP de HTTP y. En segundo lugar. no puede cambiar su Ubicación. Mediante la definición de versiones de protocolo. En cualquier otro contexto. introduzca el tiempo de espera de recepción (intervalo después del cual el cortafuegos deja de esperar una respuesta del OCSP) y. seleccione OCSP de HTTP y. PAN-OS deriva automáticamente una URL y la añade al certificado que se está verificando. • Opcionalmente. Una vez guardado el respondedor. haga clic en Aceptar. seleccione un vsys o Compartido (todos los sistemas virtuales). añada un perfil de gestión de interfaz a la interfaz utilizada para servicios OCSP. seleccione el perfil de gestión de la interfaz que ha configurado y. rellene los campos en la siguiente tabla y luego haga clic en ACEPTAR. haga clic en el nombre de la interfaz que utilizará el cortafuegos para los servicios del OCSP. Tabla 53 Configuración de respondedor OCSP Campo Descripción Nombre Introduzca un nombre para identificar al respondedor (hasta 31 caracteres). seleccione Red > Interfaces. el nombre de host debe resolverse en una dirección IP de la interfaz que utiliza el cortafuegos para servicios de OCSP. a continuación. versión 7.Gestión de perfiles de servicio SSL/TLS Además de añadir un respondedor OCSP. Nombre de host Especifique el nombre de host (recomendado) o la dirección IP del respondedor OCSP. no puede seleccionar la Ubicación. Palo Alto Networks Guía de referencia de interfaz web . para configurar el cortafuegos como respondedor OCSP. guiones y guiones bajos. • Si el cortafuegos descifra el tráfico SSL/TLS saliente. haga clic en Configuración de revocación de certificados de descifrado.

Cifrado de claves privadas y contraseñas del cortafuegos Dispositivo > Clave maestra y diagnóstico Panorama > Clave maestra y diagnóstico Utilice la página Clave maestra y diagnóstico para especificar una clave maestra para cifrar las claves privadas en el dispositivo (cortafuegos o dispositivo de Panorama). TLSv1. Si las claves maestras son diferentes. Versión máx. Compartido Si el cortafuegos tiene más de un sistema virtual (vsys). de forma predeterminada. números.0.2 o Máx (la versión más reciente disponible). Seleccione la versión de TLS más reciente que pueden usar los servicios a los que se asigna este perfil: TLSv1. versión 7. Seleccione. Certificado PRECAUCIÓN: No use certificados de entidades de certificación (CA) para servicios SSL/TLS.1 o TLSv1. selecciónelo. selecciónelo y haga clic en Eliminar. Versión mín.1. Esta opción de clave maestra ofrece una capa añadida de seguridad. puede seleccionar esta casilla de verificación para que el perfil esté disponible en todos los sistemas virtuales.2. la sincronización de la configuración de HA no funcionará correctamente. Para eliminar un perfil. Tabla 54 Configuración de perfil de servicio SSL/TLS Campo Descripción Nombre Introduzca un nombre para identificar el perfil (de hasta 31 caracteres). Incluso aunque no se especifique una clave maestra nueva. Consulte “Gestión de certificados de dispositivos”. Debe ser exclusivo y utilizar únicamente letras. De manera predeterminada. Si los dispositivos tienen una configuración de alta disponibilidad (HA). en el menú desplegable Ubicación. haga clic en Duplicar y luego en ACEPTAR. las claves privadas siempre se almacenan de forma cifrada en el dispositivo.0 Palo Alto Networks .0. la casilla de verificación no está seleccionada y el perfil está disponible solo en el vsys seleccionado en la pestaña Dispositivo. El nombre distingue entre mayúsculas y minúsculas. espacios. Como la clave maestra se utiliza para cifrar el resto de claves. TLSv1. Seleccione la última versión de TLS que pueden usar los servicios a los que se asigna este perfil: TLSv1. asegúrese de utilizar la misma clave maestra en ambos dispositivos para garantizar que las claves privadas y los certificados se cifran con la misma clave. importe o genere un certificado para asociarlo con el perfil. la clave privada utilizada para autenticar el acceso a la interfaz web del dispositivo y cualquier otra clave cargada en el dispositivo. La clave maestra se utiliza para cifrar claves privadas como la clave RSA (utilizada para autenticar el acceso a la CLI). 102 • Guía de referencia de interfaz web . asegúrese de almacenarla en un lugar seguro. TLSv1. guiones y guiones bajos. use solo certificados firmados.Cifrado de claves privadas y contraseñas del cortafuegos Para duplicar un perfil.

Deberá actualizar la clave maestra antes de su vencimiento. en cuyo momento se notificará al usuario del vencimiento inminente (rango: 1-365 días). ambos peers deben estar en el mismo hipervisor y deben tener el mismo número de núcleos de CPU asignados a cada peer. HA Lite Los cortafuegos de las series PA-200 y VM-Series edición NSX admiten una versión “lite” de la HA activa/pasiva que no incluye ninguna sincronización de sesiones. HA Lite permite la sincronización de la configuración y la sincronización de algunos elementos de tiempo de Palo Alto Networks Guía de referencia de interfaz web . No puede utilizar HSM en una interfaz dinámica como un cliente DHCP o PPPoE. Asimismo. Criterios comunes En el modo Criterios comunes. introduzca una cadena de 16 caracteres y confirme la nueva clave. También se incluye un programador para especificar los momentos en los que se ejecutarán las dos pruebas automáticas. ambos peers deben tener el mismo modelo. PA-500 y PA-2000. Configuración de clave maestra y diagnóstico Campo Descripción Clave maestra actual Especifique la clave que se utiliza actualmente para cifrar todas las claves privadas y contraseñas del dispositivo. consulte “Habilitación de HA en el cortafuegos”. Habilitación de HA en el cortafuegos Dispositivo > Alta disponibilidad Para redundancia. Cuando se configura en HA. Duración Especifique el número de días y horas tras el cual vence la clave maestra (rango: 1-730 días).Habilitación de HA en el cortafuegos Para añadir una clave maestra. cada peer del par de HA se puede conectar a un origen HSM diferente. Si utiliza Panorama y desea mantener sincronizada la configuración en ambos peers. deben ejecutar la misma versión de PAN-OS y deben tener el mismo conjunto de licencias. Tiempo para el recordatorio Especifique el número de días y horas antes del vencimiento. el cortafuegos se puede implementar en una configuración activa/pasiva o activa/pasiva de alta disponibilidad (HA). Almacenado en HSM Marque esta casilla si la clave maestra se cifra en un módulo de seguridad de hardware (HSM). utilice las plantillas de Panorama para configurar el origen de HSM en los cortafuegos gestionados.0 • 103 . Nueva clave principal Confirmar clave maestra Para cambiar la clave maestra. En un par de HA. HSM no es compatible con los cortafuegos de las series PA-200. para los cortafuegos VM-Series. La configuración HSM no está sincronizada entre dispositivos de peer en modo de alta disponibilidad. versión 7. Por lo tanto. los peers de HA se reflejan entre sí en la configuración. hay disponibles botones adicionales para ejecutar una prueba automática de algoritmos criptográficos y una prueba automática de integridad del software. Para obtener información sobre cómo actualizar claves maestras. haga clic en el botón de edición en la sección Clave maestra y utilice la siguiente tabla para introducir los valores: Tabla 55.

• Dirección IP de HA del peer: Introduzca la dirección IP de la interfaz de HA1 que se especifica en la sección Enlace de control del otro cortafuegos. Para cada sección de la página Alta disponibilidad. • Automático: Hace que el estado de los enlaces refleje la conectividad física. Esta opción permite que el estado de los enlaces de la interfaz permanezca activo hasta que se produzca una conmutación por error. Configuración Activa/Pasiva Estado de enlace pasivo: apagado o automático. información de concesión de cliente DHCP. • ID de grupo: Introduzca un número para identificar el par activo/pasivo (de 1 a 63). Esta opción no está disponible en el cortafuegos VM-Series en AWS. • Descripción: Introduzca una descripción del par activo/pasivo (opcional). Tabla 56. Configuración de HA Campo Descripción Pestaña General Configuración Especifique los siguientes ajustes: • Habilitar HA: Active las prestaciones de HA.Habilitación de HA en el cortafuegos ejecución. información de concesión de servidor DHCP. Este temporizador se utiliza cuando faltan latidos o mensajes de saludo debido a un fallo de supervisión de ruta o de enlace. Esta opción es compatible con el modo de capa 2.0 Palo Alto Networks . capa 3 y Virtual Wire. Supervisar fallo de tiempo de espera descendente (min): Este valor entre 1 y 60 minutos determina el intervalo en el que un cortafuegos estará en un estado no funcional antes de volverse pasivo. disminuyendo la cantidad de tiempo que tarda el dispositivo pasivo en tomar el control. • ID de dispositivo: Seleccione 0 o 1 para designar el cortafuegos como activo-primario o activo-secundario en una configuración de HA activa/ activa. 104 • Guía de referencia de interfaz web . También admite la conmutación por error de túneles de IPSec (las sesiones deben volver a establecerse). • Velocidad de enlace: Seleccione la velocidad del enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). • Apagar: Obliga a aplicar el estado desactivado al enlace de interfaz. pero descarta todos los paquetes recibidos. El ID debe ser exclusivo cuando hay más de un par de alta disponibilidad residiendo en una red de capa 2. información de concesión de PPPoE y la tabla de reenvío del cortafuegos cuando está configurado en el modo de capa 3. haga clic en Editar en el encabezado y especifique la información correspondiente descrita en la tabla siguiente. Esta es la opción predeterminada. • Modo: Seleccione activo-activo o activo-pasivo. Permite que varios pares de cortafuegos activos/pasivos residan en la misma red. versión 7. • Crear copia de seguridad de la dirección IP de HA del peer: Introduzca la dirección IP del enlace de control de copia de seguridad del peer. que garantiza que no se creen bucles en la red. • Habilitar sincronización de configuración: Sincronice la configuración entre peers. • Dúplex de enlace: Seleccione una opción de dúplex para el enlace de datos entre los cortafuegos activo y pasivo (cortafuegos con puertos de HA específicos). La opción Automático es conveniente si es viable para su red.

Palo Alto Networks Guía de referencia de interfaz web . Se recomienda este temporizador para evitar una conmutación por error cuando ambos dispositivos experimentan el mismo fallo de supervisor de enlace/ruta simultáneamente. versión 7. El intervalo de tiempo adicional únicamente se aplica al dispositivo activo en el modo activo/pasivo y al dispositivo principal activo en el modo activo/activo.). valor predeterminado: 500 ms). valor predeterminado: 3). › N. valor predeterminado: 1). › Tiempo de espera ascendente tras fallo de supervisor (ms): Especifique el intervalo durante el cual el cortafuegos permanecerá activo tras un fallo de supervisor de ruta o supervisor de enlace. › Tiempo de espera ascendente principal adicional (min. Este temporizador únicamente se utiliza cuando el motivo de fallo es un fallo de supervisor de ruta o de enlace (rango: 1-60. › Tiempo de espera para ser preferente: Introduzca el tiempo que un dispositivo secundario pasivo o activo esperará antes de tomar el control como dispositivo activo o principal activo (rango: 1-60 min.º máximo de flaps: Se cuenta un flap cuando el cortafuegos deja el estado activo antes de que transcurran 15 minutos desde la última vez que dejó el estado activo. valor predeterminado: 0 ms).): Este intervalo de tiempo se aplica al mismo evento que Supervisar fallo de tiempo de espera ascendente (rango: 0-60. Se recomienda este ajuste para evitar una conmutación por error de HA debido a los flaps ocasionales de los dispositivos vecinos (rango: 0-60.0 • 105 . Configuración de HA (Continuación) Campo Descripción Configuración de elección Especifique la cantidad de tiempo (minutos) que un cortafuegos pasará en el estado no funcional antes de volverse pasivo.000 ms.. valor predeterminado: 1 min.000 ms. Puede especificar el número máximo de flaps permitidos antes de que se determine suspender el cortafuegos y que el cortafuegos pasivo tome el control (rango: 0-16. El valor 0 significa que no hay máximo (se necesita un número infinito de flaps antes de que el cortafuegos pasivo tome el control).Habilitación de HA en el cortafuegos Tabla 56.

se recomienda habilitar la opción Copia de seguridad de heartbeat. dado que los mensajes de control tienen que comunicarse desde el plano de datos hasta el plano de gestión. versión 7. Esta opción supervisa el estado del enlace físico de los puertos de HA1. • Tiempo de espera de supervisor (ms): Introduzca la cantidad de tiempo (milisegundos) que el cortafuegos esperará antes de declarar un fallo de peer debido a un fallo del enlace de control (1. no es necesario habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección porque las copias de seguridad de latidos ya se realizarán a través de la conexión de interfaz de gestión. • Máscara de red: Introduzca la máscara de red de la dirección IP (como “255. En el cortafuegos VM-Series en AWS. Configure este ajuste para la interfaz de HA1 principal. Como en este caso se está utilizando el puerto de gestión. En el caso de dispositivos que no tienen un puerto de HA específico.Habilitación de HA en el cortafuegos Tabla 56. • Dirección IPv4/IPv6: Introduzca la dirección IPv4 o IPv6 de la interfaz de HA1 para las interfaces de HA1 principal y de copia de seguridad. Especifique los siguientes ajustes para los enlaces de control de HA principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA para las interfaces de HA1 principal y de copia de seguridad.000 ms).000 ms. El ajuste de copia de seguridad es opcional. En este caso. Configuración de HA (Continuación) Campo Descripción Enlace de control (HA1)/Enlace de control (copia de seguridad de HA1) La configuración recomendada para la conexión del enlace de control de HA es utilizar el enlace HA1 específico entre los dos dispositivos y utilizar el puerto de gestión como interfaz de enlace de control (copia de seguridad de HA). • Cifrado habilitado: Habilite el cifrado después de exportar la clave de HA desde el peer de HA e importarla a este dispositivo. no necesita habilitar la opción Copia de seguridad de heartbeat en la página Configuración de elección. la información del enlace de control de HA no podrá comunicarse entre los dispositivos y se producirá una conmutación por error. el puerto de gestión se usa como el enlace HA1.0”) para las interfaces de HA1 principal y de copia de seguridad.000-60. como el cortafuegos PA-200. El ajuste de copia de seguridad es opcional. La importación/exportación de claves se realiza en la página Certificados (consulte Creación de un perfil del certificado). si se produce un fallo en el plano de datos. Al utilizar un puerto de datos para el enlace de control de HA. Lo mejor es utilizar los puertos de HA específicos o. en dispositivos que no tengan ningún puerto de HA específico.255. debe tener en cuenta que. valor predeterminado: 3.0 Palo Alto Networks . La clave de HA de este dispositivo también debe exportarse desde este dispositivo e importarse al peer de HA. debe configurar el puerto de gestión para la conexión de HA del enlace de control y una interfaz de puerto de datos configurada con el tipo HA para la conexión de copia de seguridad de HA1 del enlace de control. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos para el puerto de HA1 específico.255. el puerto de gestión. Si está utilizando un puerto HA1 físico para el enlace de HA de enlace de control y un puerto de datos para el enlace de control (copia de seguridad de HA). 106 • Guía de referencia de interfaz web . El ajuste de copia de seguridad es opcional. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos para el puerto de HA1 específico. • Puerta de enlace: Introduzca la dirección IP de la puerta de enlace predeterminada para las interfaces de HA1 principal y de copia de seguridad. El ajuste de copia de seguridad es opcional.

• Habilitar sincronización de sesión: Habilite la sincronización de la información de la sesión con el cortafuegos pasivo y seleccione una opción de transporte. El ajuste de copia de seguridad es opcional. Puede configurar la opción Conexión persistente de HA2 en ambos dispositivos o solamente un dispositivo del par de HA. Si las direcciones IP de HA2 de los cortafuegos del par de HA están en la misma subred. • Máscara de red: Especifique la máscara de red de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. • Dúplex de enlace (únicamente modelos con puertos de HA específicos): Seleccione una opción de dúplex para el enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. Configure este ajuste para las interfaces de HA2 principal y de copia de seguridad. Si la opción se establece únicamente en un dispositivo. Si la ruta de HA2 se recupera. Palo Alto Networks Guía de referencia de interfaz web . Sin embargo.0 • 107 . como en la opción IP (puerto UDP 29281). se producirá la acción definida (log o ruta de datos divididos). • Transporte: Seleccione una de las siguientes opciones de transporte: – Ethernet: Utilice esta opción cuando los cortafuegos estén conectados opuesto con opuesto o a través de un conmutador (Ethertype 0x7261). El ajuste de copia de seguridad es opcional. • Puerta de enlace: Especifique la puerta de enlace predeterminada de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad. La opción está deshabilitada de manera predeterminada. Si se produce un fallo basado en el umbral establecido. El ajuste de copia de seguridad es opcional. debe utilizar esta acción. Configuración de HA (Continuación) Campo Descripción Enlace de datos (HA2) Especifique los siguientes ajustes para el enlace de datos principal y de copia de seguridad: • Puerto: Seleccione el puerto de HA. el campo Puerta de enlace debería quedarse en blanco. versión 7. ya que no es necesario dividir los datos porque no hay más de un dispositivo activo en un momento concreto. – Acción: Seleccione la acción que debe realizarse si fallan los mensajes de supervisión basándose en el ajuste de umbral. • Velocidad de enlace (únicamente modelos con puertos de HA específicos): Seleccione la velocidad del enlace de control entre los cortafuegos activo y pasivo para el puerto de HA2 específico. El ajuste de copia de seguridad es opcional. solamente ese dispositivo enviará los mensajes de conexión persistente. – UDP: Utilice esta opción para aprovechar el hecho de que la suma de comprobación se calcula sobre todo el paquete y no solamente el encabezado.Habilitación de HA en el cortafuegos Tabla 56. se generará un log informativo. • Conexión persistente de HA2: Seleccione esta casilla de verificación para habilitar la supervisión del enlace de datos de HA2 entre los peers de HA. En una configuración activa/pasiva. › Únicamente log: Seleccione esta opción para generar un mensaje del log Sistema de nivel crítico cuando se produzca un fallo de HA2 basándose en el ajuste de umbral. se notificará al otro dispositivo si se produce un fallo y pasará al modo de ruta de datos divididos si se selecciona esa acción. – IP: Utilice esta opción cuando se requiera el transporte de capa 3 (número de protocolo IP: 99). • Dirección IP: Especifique la dirección IPv4 o IPv6 de la interfaz de HA para las interfaces de HA2 principal y de copia de seguridad.

› Umbral (ms): Tiempo durante el cual los mensajes de conexión persistente han fallado antes de que se haya activado una de las acciones anteriores (rango: 5.000 ms. Configuración de HA (Continuación) Campo continuación Descripción › Ruta de datos divididos: Esta acción está diseñada para una configuración de HA activa/activa. se producirá una conmutación por error en el enlace de copia de seguridad si hay un fallo en el enlace físico.Habilitación de HA en el cortafuegos Tabla 56.0 Palo Alto Networks .000 ms). Nota: Cuando se configura un enlace de copia de seguridad de HA2. capa 2 o capa 3 cuando se necesite la supervisión de otros dispositivos de red en caso de conmutación por error y la supervisión de enlaces no sea suficiente por sí sola. versión 7. 108 • Guía de referencia de interfaz web . si el administrador o un fallo de supervisión deshabilita la sincronización de sesiones. Con la opción Conexión persistente de HA2 habilitada. la propiedad de sesión y la configuración de sesión se establecerán como el dispositivo local y las nuevas sesiones se procesarán localmente durante la sesión. Utilice la supervisión de rutas para configuraciones de Virtual Wire.000-60. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de rutas supervisados presentan fallos al responder. En una configuración activa/activa. valor predeterminado: 10. Pestaña Supervisión de enlaces y rutas (no disponible para el cortafuegos VM-Series en AWS) Supervisión de rutas Especifique lo siguiente: • Habilitado: Habilite la supervisión de rutas. La supervisión de rutas permite que el cortafuegos supervise direcciones IP de destino especificadas enviando mensajes de ping ICMP para asegurarse de que responden. la conmutación por error también se producirá si fallan los mensajes de conexión persistente de HA basados en el umbral definido.

• Condición de fallo: Seleccione si se produce un fallo cuando alguna o todas las direcciones de destino especificadas presentan fallos al responder. VLAN o ruta de enrutador virtual). • Intervalo de ping: Especifique el intervalo entre los pings que se envían a la dirección de destino (rango: 200-60. La dirección IP de origen para grupos de rutas asociados a enrutadores virtuales se configurará automáticamente como la dirección IP de interfaz que se indica en la tabla de rutas como la interfaz de salida (egress) para la dirección IP de destino especificada. Guía de referencia de interfaz web . Supervisión de enlaces Especifique lo siguiente: • Habilitado: Habilite la supervisión de enlaces. La supervisión de enlaces permite activar una conmutación por error cuando falla un enlace físico o un grupo de enlaces físicos. Para agregar un grupo de rutas. haga clic en Añadir para el tipo de interfaz (Virtual Wire. Esto es obligatorio para sesiones enrutadas asimétricamente que requieren la inspección de capa 7 para inspección de identificación de aplicaciones y usuarios (App-ID y Content-ID). Pestaña Configuración Activa/Activa Reenvío de paquetes Palo Alto Networks Seleccione la casilla de verificación Habilitar para permitir el reenvío de paquetes a través del enlace de HA3. valor predeterminado: 200 milisegundos). versión 7. • Recuento de pings: Especifique el número de pings fallidos antes de declarar un fallo (rango: 3-10 pings. • Habilitado: Habilite el grupo de rutas. introduzca la dirección IP de origen utilizada en los paquetes sonda enviados al enrutador de siguiente salto (dirección IP de destino). • Habilitado: Habilite el grupo de enlaces. especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre de grupo de enlaces.Habilitación de HA en el cortafuegos Tabla 56. VLAN o Enrutador virtual) y especifique lo siguiente: • Nombre: Seleccione un cable virtual.0 • 109 .000 milisegundos. • Condición de fallo: Seleccione si se produce un fallo cuando alguno o todos los enlaces seleccionados presentan fallos. Grupos de enlaces Defina uno o más grupos de enlaces para supervisar enlaces Ethernet específicos. • Interfaces: Seleccione una o más interfaces Ethernet que se supervisarán. VLAN o enrutador virtual en la lista de selección desplegable (la selección desplegable se rellena dependiendo de si añade un cable virtual. Configuración de HA (Continuación) Campo Descripción Grupo de rutas Defina uno o más grupos de rutas para supervisar direcciones de destino específicas. • IP de origen: En el caso de interfaces de Virtual Wire y de VLAN. Para añadir un grupo de enlaces. • IP de destino: Introduzca una o más direcciones de destino (separadas por comas) que se supervisarán. El enrutador local debe ser capaz de enrutar la dirección al cortafuegos. • Condición de fallo: Seleccione si se produce una conmutación por error cuando alguno o todos los grupos de enlaces supervisados presentan fallos. valor predeterminado: 10 pings).

Configuración de HA (Continuación) Campo Descripción Interfaz de HA3 Seleccione la interfaz para reenviar paquetes entre peers de HA cuando está configurada en el modo activo/activo. Durante el periodo de tentativa. La sincronización del enrutador virtual se puede utilizar cuando el enrutador virtual no está empleando protocolos de enrutamiento dinámico. Esta es la configuración recomendada para reducir al mínimo el uso del enlace de reenvío de paquetes de HA3. debe activar las tramas gigantes (Jumbo Frames) en el cortafuegos y en todos los dispositivos de red intermediarios. • Primer paquete: Seleccione esta opción para que el cortafuegos que reciba el primer paquete de la sesión sea responsable de la inspección de la capa 7 de manera que admita identificación de aplicaciones y usuarios (App-ID y Content-ID). versión 7.0 Palo Alto Networks . el cortafuegos de recuperación entraría en estado activo-secundario inmediatamente y bloquearía los paquetes. este entrará en estado de tentativa. Sin este temporizador. Tiempo de espera de tentativa (seg. Utilice esta opción cuando ambos dispositivos tengan velocidades de enlace similares y requieran los mismos perfiles de QoS en todas las interfaces físicas. Este ajuste se recomienda principalmente para operaciones de solución de problemas. Cuando utilice la interfaz de HA3. Para habilitar las tramas gigantes (Jumbo Frames). Sincronización de QoS Sincronice la selección de perfil de QoS en todas las interfaces físicas. • Módulo de IP: Selecciona un cortafuegos basado en la paridad de la dirección IP de origen. Sincronización de VR Fuerce la sincronización de todos los enrutadores virtuales configurados en los dispositivos de HA. • Hash de IP: Determina el cortafuegos de configuración mediante un hash de la dirección IP de origen o dirección IP de origen y destino y un valor de inicialización de hash si se desea una mayor aleatorización. • Dispositivo principal: Garantiza que todas las sesiones se configuran en el cortafuegos principal. Este temporizador define la duración que tendrá en ese estado. el cortafuegos intentará crear adyacencias de ruta y completar su tabla de ruta antes de procesar los paquetes. ya que carecería de las rutas necesarias (de forma predeterminada.Habilitación de HA en el cortafuegos Tabla 56. Este ajuste afecta a la sincronización de la configuración de QoS en la pestaña Red. 110 • Guía de referencia de interfaz web . Ambos dispositivos deben conectarse al mismo enrutador de siguiente salto a través de una red conmutada y deben utilizar únicamente rutas estáticas. Configuración de sesión Seleccione el método para la configuración de sesión inicial. 60 segundos). Selección de propietario de sesión Especifique una de las siguientes opciones para seleccionar el propietario de sesión: • Dispositivo principal: Seleccione esta opción para que el cortafuegos principal activo gestione la inspección de capa 7 para todas las sesiones. seleccione Dispositivo > Configuración < Sesión y la opción Habilitar trama gigante en la sección Configuración de sesión. La política de QoS se sincroniza independientemente de este ajuste.) Cuando falla un cortafuegos en un estado activo/activo de HA.

de modo que cada cortafuegos posea una y. Puede seleccionar el tipo de dirección virtual para que sea Flotante o Uso compartido de carga de ARP. Si falla alguno de los cortafuegos. Palo Alto Networks Guía de referencia de interfaz web . seleccione la pestaña IPv4 o IPv6 y. – Prioridad de dispositivo 0: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. Aspectos importantes que hay que tener en cuenta al configurar la HA • La subred utilizada para la IP local y del peer no debe utilizarse en ningún otro lugar del enrutador virtual. • Las versiones del sistema operativo y del contenido deben ser las mismas en cada dispositivo. versión 7. Si suspende el cortafuegos activo actual. Para volver a poner un dispositivo suspendido en un estado funcional. – Prioridad de dispositivo 1: Establezca la prioridad para determinar qué dispositivo poseerá la dirección IP flotante. – Dirección de conmutación por error si el estado de enlace no está operativo: Utilice la dirección de conmutación por error cuando el estado del enlace esté desactivado en la interfaz. la dirección IP flotante pasará al peer de HA. • Uso compartido de carga de ARP: Introduzca una dirección IP que compartirá el par de HA y proporcionará servicios de puerta de enlace para hosts. – Hash de IP: Si se selecciona esta opción. a continuación. Configuración de HA (Continuación) Campo Descripción Dirección virtual Haga clic en Añadir. vuelva a hacer clic en Añadir para introducir opciones para una dirección virtual de HA que utilizará el clúster activo/activo de HA. puede utilizar el uso compartido de carga de ARP en la interfaz de LAN y una IP flotante en la interfaz de WAN. puede desconectar el cable del dispositivo activo (o activo-principal) o puede hacer clic en este enlace para suspender el dispositivo activo. el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en un hash de la dirección IP de los solicitantes de ARP. CLI Para probar la conmutación por error. el otro peer tomará el control. También puede mezclar los tipos de direcciones virtuales del clúster: por ejemplo. establezca la prioridad. el cortafuegos que responda a las solicitudes de ARP se seleccionará basándose en la paridad de la dirección IP de los solicitantes de ARP. Esta opción únicamente debería utilizarse cuando el cortafuegos y los host se encuentren en el mismo dominio de difusión. El dispositivo con el valor más bajo tendrá la prioridad.Habilitación de HA en el cortafuegos Tabla 56.0 • 111 . • Los LED son de color verde en los puertos de HA para el cortafuegos activo y de color ámbar en el cortafuegos pasivo. El dispositivo con el valor más bajo tendrá la prioridad. Seleccione Algoritmo de selección de dispositivo: – Módulo de IP: Si se selecciona esta opción. • Flotante: Introduzca una dirección IP que se desplazará entre los dispositivos de HA en el caso de un fallo de enlace o dispositivo. a continuación. Debe configurar dos direcciones IP flotantes en la interfaz. Comandos de operación Suspender dispositivo local Cambia a Make local device functional Hace que el dispositivo de HA entre en el modo de suspensión y deshabilita temporalmente las prestaciones de HA en el cortafuegos. Una falta de coincidencia puede impedir que los dispositivos del par se sincronicen.

según corresponda. Si necesita segmentación de rutas para cada vsys. cuando se produce una conmutación por error y el dispositivo activo cambia a un estado pasivo. Para optimizar la administración de políticas. debe crear/asignar enrutadores virtuales adicionales y asignar interfaces. pero no permite la transmisión hasta que el dispositivo vuelve a activarse. versión 7. Si cuenta con un software de supervisión en el dispositivo vecino. por lo que el dispositivo vecino no detecta ningún flap.Definición de sistemas virtuales • Puede comparar la configuración de los cortafuegos local y peer mediante la herramienta Auditoría de configuraciones de la pestaña Dispositivo. puede mantener cuentas de administrador distintas para todo el dispositivo y las funciones de red. Cada vsys puede ser un cortafuegos independiente con su propia política de seguridad. En una configuración activa/pasiva de alta disponibilidad (HA) con dispositivos que utilizan puertos de SFP+ de 10 gigabits. incluidos el enrutamiento estático y dinámico. Definición de sistemas virtuales Dispositivo > Sistemas virtuales Los sistemas virtuales (vsys) son instancias de cortafuegos (virtuales) independientes que puede gestionar por separado dentro de un cortafuegos físico. VLAN y Virtual Wire. Este comportamiento es distinto al otros puertos. Para sincronizar los cortafuegos desde la CLI del dispositivo activo. si desea personalizar las características de seguridad para el tráfico asociado al departamento financiero. Si usa una plantilla de Panorama para definir vsys. Por ejemplo. el puerto Ethernet de 10 gigabits se desactiva y se vuelve a activar para actualizar el puerto. los vsys no controlan las funciones de control de dispositivos y niveles de red. a continuación. • Sincronice los cortafuegos desde la interfaz web pulsando el botón Introducir configuración ubicado en el widget de HA en la pestaña Panel. Para cada vsys puede especificar un conjunto de interfaces de cortafuegos físicas y lógicas (incluidas VLAN y Virtual Wire) y zonas de seguridad. Esto permite al administrador de vsys del departamento financiero gestionar las políticas de seguridad únicamente de dicho departamento. pertenecen a todo un cortafuegos y a todos sus vsys. informes y funciones de visibilidad que proporciona el cortafuegos. este verá el puerto como flap debido a su desactivación y posterior activación. y crear a su vez cuentas de administrador de vsys que permitan el acceso a vsys individuales. como el puerto Ethernet de 1 gigabit. Tenga en cuenta que la configuración del dispositivo desde el que introducirá la configuración sobrescribirá la configuración del dispositivo del peer. Las funciones de red. 112 • Guía de referencia de interfaz web . utilice el comando request high-availability sync-to-remote running-config. un vsys le permite segmentan la administración de todas las políticas. este puerto sigue permitiendo la transmisión. interfaces y administradores. seleccionando la configuración local deseada en el cuadro de selección de la izquierda y la configuración del peer en el cuadro de selección de la derecha.0 Palo Alto Networks . definir políticas de seguridad que pertenezcan únicamente a ese departamento. puede establecer un vsys como predeterminado. Aunque se desactive. El vsys predeterminado y el modo de sistemas virtuales múltiples determinan si los cortafuegos aceptan configuraciones específicas de vsys durante una compilación de plantilla: • Los cortafuegos que están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para todos los vsys definidos en la plantilla. puede definir un vsys financiero y.

Los cortafuegos de las series PA-2000 y PA-3000 pueden admitir varios sistemas virtuales si se instala la licencia adecuada. Nota: Si usa una plantilla de Panorama para configurar el vsys. Antes de definir una política o un objeto de las políticas. seleccione la casilla de verificación Capacidad de cortafuegos virtuales y haga clic en ACEPTAR. syslog y correo electrónico). Configuración de sistemas virtuales Campo Descripción ID Introduzca un identificador que sea un número entero para el vsys. guiones y guiones bajos. Tabla 57. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente letras.Definición de sistemas virtuales • Los cortafuegos que no están en modo de sistemas virtuales múltiples aceptan configuraciones específicas de vsys para el vsys predeterminado. este campo no aparece. espacios. Permitir reenvío de contenido descifrado Seleccione esta casilla de verificación para permitir que el sistema virtual reenvíe el contenido descifrado a un servicio exterior durante el reflejo de puerto o el envío de archivos de WildFire para análisis. números. tenga en cuenta lo siguiente: • Un administrador de vsys crea y gestiona todos los elementos necesarios para las políticas. • Puede configurar rutas de servicios globales (para todos los vsys en un cortafuegos) o específicas de un vsys (consulte “Definición de la configuración de servicios”). • Las zonas son objetos dentro de vsys. PA-5000 y PA-7000 Series admiten múltiples sistemas virtuales. Antes de definir vsys. Palo Alto Networks Guía de referencia de interfaz web . consulte Reflejo de puertos de descifrado.0 • 113 . Esto añade una página Dispositivo > Sistemas virtuales. • Puede establecer destinos de logs remotos (SNMP. modifique la Configuración general. estos cortafuegos aceptan configuraciones no específicas de vsys. aplicaciones. servicios y perfiles para que estén disponibles para todos los vsys (compartido) o con un único vsys. Los cortafuegos de las series PA-4000. Tenga en cuenta que si no establece un vsys como predeterminado. Nombre Introduzca un nombre (de hasta 31 caracteres) para identificar el vsys. haga clic en Añadir y especifique la siguiente información. Antes de habilitar múltiples vsys. versión 7. el nombre vsys en la plantilla debe coincidir con el nombre de vsys en el cortafuegos. Seleccione la página. Nota: Si usa una plantilla de Panorama para enviar configuraciones vsys. seleccione el sistema virtual en la lista desplegable de la pestaña Políticas u Objetos. Los cortafuegos PA-500 y PA-200 no admiten varios sistemas virtuales. Consulte la hoja de datos de su modelo de cortafuegos para obtener información sobre el número de vsys admitidos. debe habilitar primero la capacidad para varios vsys en el cortafuegos: seleccione Dispositivo > Configuración > Gestión. Para obtener información sobre el reflejo de puertos de descifrado.

114 • Guía de referencia de interfaz web . Para eliminar un objeto. como mínimo. Para incluir objetos de un tipo especial. • Túneles VPN de sitio a sitio: número máximo de túneles de VPN de sitio a sitio. • Túneles de GlobalProtect concurrentes: número máximo de usuarios de GlobalProtect remotos concurrentes. haga clic en Añadir y seleccione el objeto del menú desplegable. • Reglas de reenvío basados en políticas: número máximo de reglas de reenvío basado en políticas (PBF). VLAN. Las puertas de enlace compartidas utilizan interfaces de capa 3 y. Se utiliza un único enrutador virtual para enrutar el tráfico de todos los sistemas virtuales a través de la puerta de enlace compartida. • Reglas de seguridad: número máximo de reglas de seguridad. una interfaz de capa 3 debe configurarse como puerta de enlace compartida. Puede añadir uno o más objetos de cualquier tipo. • Reglas de portal cautivo: número máximo de reglas de portal cautivo (CP).Configuración de puertas de enlace compartidas Tabla 57. Pestaña Recurso Especifique los límites de recursos permitidos para este vsys: • Límite de sesiones: número máximo de sesiones. Virtual Wire. Configuración de puertas de enlace compartidas Dispositivo > Puertas de enlace compartidas Las puertas de enlace compartidas permiten a los sistemas virtuales múltiples compartir una única comunicación externa (tradicionalmente conectada a una red ascendente común como un proveedor de servicios de Internet). Puede configurar una zona “Vsys externa” para definir las reglas de seguridad en el sistema virtual. • Reglas de descripción: número máximo de reglas de descifrado. El resto de sistemas virtuales se comunican con el mundo exterior a través de la interfaz física mediante una única dirección IP. • Reglas de cancelación de aplicaciones: número máximo de reglas de cancelación de aplicaciones. versión 7. • Reglas de NAT: número máximo de reglas de NAT. Consulte “Configuración de proxy DNS”. selecciónelo y haga clic en Eliminar. Enrutador virtual o Sistema virtual visible).0 Palo Alto Networks . Las comunicaciones que se originan en un sistema virtual y que salen del cortafuegos mediante una puerta de enlace compartida requieren una política similar para las comunicaciones que pasan entre dos sistemas virtuales. • Reglas de protección DoS: número máximo de reglas de denegación de servicio (DoS). seleccione la casilla de verificación de ese tipo (Interfaz. • Reglas de QoS: número máximo de reglas de QoS. Configuración de sistemas virtuales (Continuación) Campo Descripción Pestaña General Seleccione un objeto de proxy de DNS si desea aplicar reglas de proxy de DNS a este vsys.

seleccione qué servidores DNS se deben utilizar para las consultas de nombre de dominio. Esta opción únicamente está disponible si las prestaciones de opción continua están habilitadas en el perfil de seguridad. Página de opción continua de bloqueo de archivo Página para que los usuarios confirmen que la descarga debe continuar. guiones y guiones bajos. La siguiente tabla describe los tipos de páginas de respuesta personalizadas que admiten mensajes del cliente. Página de bienvenida de GlobalProtect Página de bienvenida para los usuarios que intenten iniciar sesión en el portal de GlobalProtect. Página de inicio de sesión en el portal de GlobalProtect Página para los usuarios que intenten acceder al portal de GlobalProtect. Tabla 59. Nombre Introduzca un nombre para la puerta de enlace compartida (de hasta 31 caracteres). Página de bloqueo de aplicación Acceso bloqueado debido a que la aplicación está bloqueada por una política de seguridad. Consulte “Perfiles de bloqueo de archivo”.Definición de páginas de respuesta personalizadas Tabla 58. Página de bloqueo de bloqueo de archivo Acceso bloqueado debido a que el acceso al archivo está bloqueado. Cada sistema virtual puede tener sus propias páginas de respuesta personalizadas. Página de notificación de errores de certificado SSL Notificación de que un certificado SSL se ha revocado. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Definición de páginas de respuesta personalizadas Dispositivo > Páginas de respuesta Las páginas de respuesta personalizadas son las páginas web que se muestran cuando un usuario intenta acceder a una URL. espacios. Página de ayuda de portal de GlobalProtect Página de ayuda personalizada para usuarios de GlobalProtect (accesible desde el portal). Tipos de páginas de respuesta personalizadas Tipo de página Descripción Página de bloqueo de antivirus Acceso bloqueado debido a una infección por virus. números. Configuración de puertas de enlace compartidas Campo Descripción ID Identificador de la puerta de enlace (no utilizado por el cortafuegos). Palo Alto Networks Guía de referencia de interfaz web . Utilice únicamente letras. Proxy DNS (Optativo) Si hay un proxy DNS configurado. Interfaces Seleccione casillas de verificación para las interfaces que utilizará la puerta de enlace compartida. Puede proporcionar un mensaje HTML personalizado que se descargará y mostrará en lugar del archivo o la página web que ha solicitado. versión 7. Solo se requiere el nombre. Página de comodidad de portal cautivo Página para que los usuarios verifiquen su nombre de usuario y contraseña para máquinas que no formen parte del dominio.0 • 115 .

haga clic en Importar o Exportar. El usuario verá esta página si se realiza una búsqueda con Bing. haga clic en el enlace Habilitar del tipo de página. Por ejemplo. Página de bloqueo de URL Acceso bloqueado por un perfil de filtrado de URL o porque la categoría de URL está bloqueada por una política de seguridad. Página de continuación y cancelación de filtrado de URL Página con política de bloqueo inicial que permite que los usuarios deriven el bloqueo. Yandex o YouTube y la configuración de cuenta de su explorador o motor de búsqueda no está establecida como estricta. • Para usar la página de respuesta predeterminada de una página personalizada cargada anteriormente.0 Palo Alto Networks . Explore para ubicar la página. Tipos de páginas de respuesta personalizadas (Continuación) Tipo de página Descripción Página de exclusión de descifrado de SSL Página de advertencia para el usuario que indica que esta sesión se inspeccionará.Definición de páginas de respuesta personalizadas Tabla 59. Con la página de cancelación. Consulte la sección “Cancelación de administrador de URL” de la Tabla 1 para obtener instrucciones sobre cómo configurar la contraseña de cancelación. • Para exportar una página de respuesta HTML personalizada. Se mostrará un mensaje para indicar si la importación se ha realizado con éxito. Seleccione si abrir el archivo o guardarlo en el disco y seleccione la casilla de verificación si desea continuar utilizando la misma opción. Página de bloqueo de aplicación de búsqueda segura de filtro de URL Acceso bloqueado por una política de seguridad con un perfil de filtrado de URL que tiene habilitada la opción Forzaje de búsquedas seguras. Puede realizar cualquiera de las siguientes funciones bajo Páginas de respuesta: • Para importar una página de respuesta HTML personalizada. La página de bloque pedirá al usuario que establezca la configuración de búsqueda segura como estricta. el archivo debe estar en formato HTML. elimine la página de bloqueo personalizada y realice una compilación. Google. 116 • Guía de referencia de interfaz web . Yahoo. versión 7. a continuación. Esto establecerá la página de bloqueo predeterminada como la nueva página activa. haga clic en el enlace del tipo de página que desee cambiar y. • Para habilitar o deshabilitar la página Bloqueo de aplicación o las páginas Exclusión de descifrado de SSL. Seleccione o cancele la selección de la casilla de verificación Habilitar. un usuario que piense que la página se bloqueó de manera inadecuada puede hacer clic en el botón Continuar para ir a la página. haga clic en el enlace Exportar del tipo de página. el usuario necesita una contraseña para cancelar la política que bloquea esta URL. Para que la importación tenga éxito.

envíelo al departamento de asistencia técnica de Palo Alto Networks. el estado de la asistencia técnica del dispositivo o activar su contrato usando un código de autorización. donde puede gestionar sus casos y un enlace para registrar el dispositivo mediante el inicio de sesión de asistencia técnica. Para ver los detalles de las alertas de producción o las alertas de aplicación y amenazas. • Archivo de asistencia técnica: Utilice el enlace Generar archivo de asistencia técnica para generar un archivo del sistema que pueda utilizar el grupo de asistencia técnica para facilitar la resolución de los problemas que pudiera estar experimentando el dispositivo. Puede ver la información de contacto de Palo Alto Networks. haga clic en Descargar archivo de asistencia técnica para recuperarlo y. Para obtener más información sobre el informe AVR. haga clic en el enlace Descargar archivo de volcado de estadísticas para recuperar el informe. • Archivo de volcado de estadísticas: Utilice el enlace Generar archivo de volcado de estadísticas para generar un conjunto de informes de XML que resuma el tráfico de red en los últimos 7 días. Una vez generado el informe. la fecha de vencimiento y alertas de producto y seguridad de Palo Alto Networks. • Enlaces: Esta sección proporciona un enlace a la página de inicio de asistencia técnica. El ingeniero de sistemas de Palo Alto Networks o de un socio autorizado utiliza el informe para generar un informe de riesgos y visibilidad de la aplicación (Informe AVR). Se publicarán alertas de aplicación y amenazas si se descubren alertas de importancia.Visualización de información de asistencia técnica Visualización de información de asistencia técnica Dispositivo > Asistencia técnica Panorama > Asistencia técnica La página de asistencia le permite acceder a opciones relacionadas con la asistencia técnica. Las alertas de producción se publicarán si hay una recuperación a gran escala o un problema urgente relacionado con una determinada publicación.0 • 117 . Después de generar el archivo. haga clic en el nombre de la alerta. El AVR resalta lo que se ha encontrado en la red y los riesgos asociados con la empresa o de seguridad que pueden existir. • Alertas de producción/Alertas de aplicación y amenazas: Estas alertas se recuperarán desde los servidores de actualización de Palo Alto Networks cuando se acceda a esta página o se actualice. Realice cualquiera de las siguientes funciones en esta página: • Asistencia técnica: Utilice esta sección para ver la información de contacto de la asistencia técnica de Palo Alto Networks. a continuación. versión 7. póngase en contacto con el ingeniero de sistemas de Palo Alto Networks o de un socio autorizado. Tradicionalmente se utiliza como parte del proceso de evaluación. según el número de serie de su dispositivo (cortafuegos o dispositivo de Panorama). Palo Alto Networks Guía de referencia de interfaz web .

0 Palo Alto Networks . versión 7.Visualización de información de asistencia técnica 118 • Guía de referencia de interfaz web .

0 • 119 .Capítulo 4 Configuración de red • “Definición de cables virtuales (Virtual Wires)” • “Configuración de la interfaz de un cortafuegos” • “Configuración de un enrutador virtual” • “Configuración de la compatibilidad de VLAN” • “Configuración de DHCP” • “Configuración de proxy DNS” • “Configuración de LLDP” • “Definiendo perfiles de gestiones de interfaz” • “Definición de perfiles de supervisión” • “Definición de perfiles de protección de zonas” • “Definición de perfiles LLDP” Palo Alto Networks Guía de referencia de interfaz web. versión 7.

espacios. Este nombre aparece en la lista de cables virtuales cuando se configuran interfaces. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. ¿qué componentes tienen? “Componentes comunes de las interfaces de cortafuegos” “Componentes comunes de interfaces de cortafuegos de la serie PA-7000” 120 • Guía de referencia de interfaz web. guiones y guiones bajos.0 Palo Alto Networks . Tabla 60. Si no selecciona esta casilla de verificación. Configuración de la interfaz de un cortafuegos Las interfaces de cortafuegos (puertos) permiten a un cortafuegos conectar con otros dispositivos de red y con otras interfaces del cortafuegos. el estado del enlace no se propaga por el cable virtual. Las subinterfaces de cable virtual deben utilizar etiquetas que no existen en la lista principal Tags permitidos. Tenga en cuenta que los valores de etiqueta no se cambian en los paquetes de entrada o de salida. Si este ajuste no está activado. En los siguientes temas se describen los tipos de interfaz y cómo configurarlos: ¿Qué está buscando? Consulte ¿Qué son las interfaces de cortafuegos? “Resumen de las interfaces de cortafuegos” Acabo de empezar con las interfaces de cortafuegos. la lista Tags permitidos causará que todo el tráfico con las etiquetas de la lista se clasifique en el cable virtual principal. números. Si utiliza subinterfaces de cable virtual. Un valor de cero indica tráfico sin etiquetar (opción predeterminada).Definición de cables virtuales (Virtual Wires) Definición de cables virtuales (Virtual Wires) Red > Cables virtuales Utilice esta página para definir cables virtuales (Virtual Wire) después de especificar dos interfaces de cable virtual en el cortafuegos. deben estar separados por comas. el tráfico multicast se reenvía por el cable virtual. El tráfico que se excluye del valor de la etiqueta se descarta. Utilice únicamente letras. Las interfaces aparecen en esta lista si tienen el tipo de interfaz de cable virtual y no se han asignado a otro cable virtual. Cortafuegos multicast Seleccione esta opción si desea poder aplicar reglas de seguridad al tráfico multicast. Si especifica varias etiquetas o intervalos. Interfaces Seleccione dos interfaces Ethernet de la lista de configuración de cable virtual. Envío del estado del enlace Seleccione esta casilla de verificación si desea desactivar el otro puerto en un cable virtual cuando se detecta un estado de enlace no operativo. versión 7. Etiquetas permitidas Introduzca el número de etiqueta (0 a 4094) o el intervalo de números de etiqueta (tag1-tag2) del tráfico permitido en el cable virtual. Configuración de cable virtual (cable virtual) Campo Descripción Nombre de cable virtual Introduzca un nombre para el cable virtual (Virtual Wire) (de hasta 31 caracteres).

Por ejemplo. el cable virtual (interfaz y Palo Alto Networks Guía de referencia de interfaz web. capa 3 y modo tap. el reflejo de descifrado. la tarjeta de log (interfaz y subinterfaz).0 • 121 .Resumen de las interfaces de cortafuegos ¿Qué está buscando? Consulte Sé bastante sobre interfaces de cortafuegos. puede enviar y recibir tráfico a distintas velocidades de transmisión. ¿dónde puedo encontrar información sobre cómo configurar un tipo de interfaz específico? Interfaces físicas (Ethernet) “Configure la interfaz de capa 2” “Configuración de la subinterfaz de capa 2” “Configure la interfaz de capa 3” “Configuración de la subinterfaz de capa 3” “Configuración de una interfaz de cable virtual (Virtual Wire)” “Configuración de una subinterfaz de cable virtual (Virtual Wire)” “Configuración de una interfaz de Tap” “Configuración de una interfaz de tarjeta de log” “Configuración de una subinterfaz de tarjeta de log” “Configuración de una interfaz de reflejo de descifrado” “Configuración de los grupos de interfaces de agregación” “Configuración una interfaz de agregación” “Configuración de una interfaz HA” Interfaces lógicas “Configuración de una interfaz VLAN” “Configuración de una interfaz de bucle invertido” “Configuración de una interfaz de túnel” ¿Busca más información? Consulte Networking (Redes) Resumen de las interfaces de cortafuegos Las configuraciones de interfaz en los puertos de datos del cortafuegos permiten que entre y salga el tráfico del cortafuegos. puede configurar las interfaces de Ethernet en un cortafuegos para implementaciones de cable virtual. versión 7. Las interfaces que admite el cortafuegos son: • Interfaces físicas: El cortafuegos tiene dos tipos de interfaces de Ethernet. Un cortafuegos de Palo Alto Networks puede funcionar en múltiples implementaciones de forma simultánea porque puede configurar las interfaces para admitir distintas implementaciones. cobre coaxial y fibra óptica. Puede configurar interfaces de Ethernet como los siguientes tipos: Tap. capa 2. alta disponibilidad (HA).

• Interfaces lógicas: Esto incluye interfaces de red de área local virtual (VLAN). de bucle invertido o de túnel. Para una dirección IPv4. interfaces agregadas. interfaces VLAN. 122 • Guía de referencia de interfaz web. SSH. PA-5000 y PA-3000) • Virtual Wire • Capa 2 • Capa 3 • Tarjeta de log (solo cortafuegos de la serie PA-7000) • Agregar Ethernet Perfil de gestión Seleccione un perfil que defina los protocolos (por ejemplo.Componentes comunes de las interfaces de cortafuegos subinterfaz). Debe configurar la interfaz física antes de definir una VLAN o una interfaz de túnel. Dirección IP Configure la dirección IPv4 o IPv6 de la interfaz de Ethernet. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. consulte “Componentes comunes de interfaces de cortafuegos de la serie PA-7000”. Componentes comunes de las interfaces de cortafuegos La siguiente tabla describe los componentes de la página Red > Interfaces que son comunes para la mayoría de tipos de interfaz. esta columna indica si la interfaz es accesible y puede recibir tráfico a través de la red: • Verde: Configurado y ascendente • Rojo: Configurado pero desactivado o inactivo • Gris: No configurado Pase el ratón sobre un icono para mostrar información sobre herramientas que indique la velocidad de enlace y los ajustes dúplex en la interfaz. versión 7. también puede seleccionar el modo de direccionamiento de la interfaz: estático. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Enrutador virtual Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Tabla 61. Si selecciona Ninguno.0 Palo Alto Networks . Los tipos de interfaz y las velocidades de transmisión disponibles pueden variar por modelo de hardware. la capa 2 (interfaz y subinterfaz). Tipo de interfaz Para las interfaces de Ethernet (Red > Interfaces > Ethernet). Estado de enlace Para interfaces Ethernet. VLAN. interfaces de bucle invertido e interfaces de túnel. puede seleccionar el tipo de interfaz: • Puntear • HA • Reflejo de descifrado (solo cortafuegos de las series PA-7000. la capa 3 (interfaz y subinterfaz) y la Ethernet agregada. se elimina la asignación del enrutador virtual actual de la interfaz. Componentes comunes de las interfaces de cortafuegos Campo Descripción Interfaz (nombre de interfaz) El nombre de interfaz viene predefinido y no puede cambiarlo. Para una descripción de componentes que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000. Puede adjuntar un sufijo numérico para subinterfaces. protocolo de configuración de host dinámico (DHCP) o el protocolo punto a punto sobre Ethernet (PPPoE). interfaces de bucle invertido e interfaces de túnel.

versión 7. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. se elimina la asignación de zona actual de la interfaz. Haga clic en el botón Agregar interfaz para crear una interfaz o haga clic en el nombre de una interfaz existente (ethernet1/1. Componentes comunes de interfaces de cortafuegos de la serie PA-7000 La siguiente tabla describe los componentes de la página Red > Interfaces > Ethernet que son únicos o diferentes cuando configura interfaces en un cortafuegos de la serie PA-7000.Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Tabla 61. Palo Alto Networks Guía de referencia de interfaz web. En los cortafuegos de la serie PA-7000. debe “Configuración de una interfaz de tarjeta de log” con un puerto de datos. por ejemplo) para editarla. esta columna indica si se han habilitado las siguientes características: Protocolo de control de agregación de enlaces (LACP) Perfil de calidad del servicio (QoS) Protocolo de detección de nivel de enlace (LLDP) Perfil de flujo de red Cliente de protocolo de configuración de host dinámico (DHCP): Esta interfaz funciona como un cliente DHCP y recibir una dirección IP asignada dinámicamente. Para permitir el intercambio entre las interfaces de la capa 2 o permitir el enrutamiento a través de una interfaz de VLAN. Comentarios Una descripción de la función u objetivo de la interfaz. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Características En las interfaces Ethernet. Si selecciona Ninguno. VLAN Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Componentes comunes de las interfaces de cortafuegos Campo Descripción Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz.0 • 123 . Si selecciona Ninguno. debe configurar un objeto VLAN. o cuando usa Panorama para configurar interfaces en cualquier cortafuegos. se elimina la asignación de VLAN de la interfaz.

se elimina la asignación del servidor NetFlow actual de la interfaz.0 Palo Alto Networks . Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Componentes comunes de interfaces de cortafuegos de la serie PA-7000 Campo Descripción Ranura Seleccione el número de ranura (1-12) de la interfaz. versión 7. Tipo de interfaz Interfaz Ethernet Seleccione Capa2. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Solo los cortafuegos de la serie PA-7000 tienen múltiples ranuras. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Tabla 63. Si selecciona Ninguno. Configuración de interfaz de capa 2 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. 124 • Guía de referencia de interfaz web. Configure la interfaz de capa 2 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 2. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Interfaz (nombre de interfaz) Seleccione el nombre de una interfaz que esté asociada con la Ranura seleccionada. haga clic en el nombre de una interfaz (ethernet1/1. seleccione la Ranura 1. Si usa Panorama para configurar una interfaz para cualquier otra plataforma de cortafuegos. dúplex medio (Medio) o negociado automáticamente (Auto). VLAN Interfaz de Ethernet > Configurar Para habilitar el cambio entre las interfaces de Capa 2 o para habilitar el enrutamiento a través de una interfaz VLAN. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). por ejemplo) que no esté configurado y especifique la siguiente información. Si selecciona Ninguno. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Si selecciona Ninguno. se elimina la asignación de zona actual de la interfaz. seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. se elimina la asignación de VLAN de la interfaz.Configure la interfaz de capa 2 Tabla 62.

o haga clic en el enlace VLAN para definir una nueva VLAN (consulte “Configuración de la compatibilidad de VLAN”). Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. desactivada (abajo) o determinado automáticamente (auto). Configuración de subinterfaz de capa 2 Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Tabla 64.Configuración de la subinterfaz de capa 2 Tabla 63. En el campo adyacente. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. seleccione una fila de interfaz física asociada. Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow.0 • 125 . Configuración de la subinterfaz de capa 2 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado con una interfaz física de capa 2. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. seleccione una VLAN. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Si selecciona Ninguno. Comentarios Introduzca una descripción opcional para la subinterfaz. Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. Para configurar una subinterfaz de capa 2. VLAN Para permitir el cambio entre las interfaces de capa 2 o para permitir el enrutamiento a través de una interfaz VLAN. puede definir una interfaz lógica de capa 2 adicional (subinterfaz) para cada etiqueta VLAN asignada al tráfico que recibe el puerto. se elimina la asignación actual de VLAN de la interfaz. Palo Alto Networks Guía de referencia de interfaz web. Para permitir el intercambio entre subinterfaces de capa 2. se elimina la asignación de zona actual de la subinterfaz. asígneles el mismo objeto VLAN a las subinterfaces. Si selecciona Ninguno. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Si selecciona Ninguno. versión 7. “Configure la interfaz de capa 2”. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Configuración de interfaz de capa 2 (Continuación) Campo Configurado en Descripción Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. Etiqueta Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. haga clic en Añadir subinterfaz y especifique la siguiente información.

Note: El cortafuegos de la serie PA-4000 no admite esta característica. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de la interfaz en Mbps (10. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. SSH. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. se elimina la asignación de zona actual de la interfaz. MTU Interfaz de Ethernet > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. se elimina la asignación del enrutador virtual actual de la interfaz. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). versión 7. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. se elimina la asignación del servidor NetFlow actual de la interfaz. 126 • Guía de referencia de interfaz web. Configuración de interfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Perfil de gestión Interfaz de Ethernet > Avanzado > Otra información Seleccione un perfil que defina los protocolos (por ejemplo. Si selecciona Ninguno. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. por ejemplo) que no esté configurado y especifique la siguiente información. Tabla 65.0 Palo Alto Networks . opción predeterminada 1500). Tipo de interfaz Interfaz Ethernet Seleccione Capa3. deshabilitado (Desactivado) o determinado automáticamente (Auto). Si selecciona Ninguno. Enrutador virtual Interfaz de Ethernet > Configurar Seleccione una enrutador virtual o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. 100 o 1000) o modo automático. haga clic en el nombre de una interfaz (ethernet1/1. se elimina la asignación de perfil actual de la interfaz. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. dúplex medio (Medio) o negociado automáticamente (Auto).Configure la interfaz de capa 3 Configure la interfaz de capa 3 Red > Interfaces > Ethernet Para configurar una interfaz de Capa 3. Si selecciona Ninguno. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es habilitado (Activado). Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado.

Como OSPF utiliza multidifusión. Puede filtrar numerosas direcciones introduciendo una cadena de búsqueda y haciendo clic en el icono Aplicar filtro . Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione esta casilla de verificación para activar el proxy del protocolo de detección de vecinos (ND) para la interfaz.0 • 127 . Si la casilla de verificación Habilitar Proxy NDP está seleccionada. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. Dirección Interfaz de Ethernet > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. Palo Alto Networks Guía de referencia de interfaz web. Para eliminar una entrada.Configure la interfaz de capa 3 Tabla 65. selecciónela y haga clic en Eliminar. no es compatible con subinterfaces sin etiquetar. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y seleccione la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). este parámetro permite ajustarlo. a continuación. versión 7. a continuación. haga clic en Añadir y. Interfaz de Ethernet > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Dirección IP Interfaz de Ethernet > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). El orden de las direcciones es indiferente. Esto también significa que un paquete que va en dirección inversa debe tener su dirección de origen traducida a la dirección IP de la subinterfaz sin etiquetar. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. el cortafuegos envía su propia dirección MAC para la interfaz y solicita todos los paquetes destinados para estas direcciones. Si un paquete no cabe en el MSS sin fragmentarse. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred. Si el destino es la dirección IP de una subinterfaz sin etiquetar. Subinterfaz no etiquetada Interfaz de Ethernet > Avanzado > Otra información Especifica que todas las interfaces que pertenecen a esta interfaz de capa 3 no se etiqueten. Otra variable de esta forma de clasificación es que todos los paquetes de multidifusión (multicast) y difusión se asignarán a la interfaz de base en lugar de a cualquiera de las subinterfaces. Si la dirección es una subred. En la respuesta ND. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. Idealmente. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que seleccione Habilitar Proxy NDP si usa Traducción de prefijo de red IPv6 (NPTv6). se asignará a la subinterfaz. haga clic en Añadir y. PAN-OS selecciona una subinterfaz sin etiquetar como la interfaz de entrada (ingress) basada en el destino del paquete. intervalos de IP. introduzca la dirección IP y MAC del vecino. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Interfaz de Ethernet > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. una de estas direcciones es la misma que la traducción de origen en NPTv6.

• Dirección IPv4 Tipo = PPPoE Habilitar Interfaz Ethernet > IPv4 > PPPoE > General Seleccione esta casilla de verificación para activar la interfaz para la terminación PPPoE.168. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente PPPoE o DHCP. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP.0/24 para IPv4 o 2001:db8::/32 para IPv6). 128 • Guía de referencia de interfaz web. La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. Para una dirección IPv4 Tipo Interfaz de Ethernet > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. • Dirección IPv4 Tipo = Estático IP Interfaz de Ethernet > IPv4 Haga clic en Añadir y. • PPPoE: el cortafuegos utilizará la interfaz para el protocolo punto a punto sobre Ethernet (PPPoE). 192. Para eliminar una dirección IP. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). Contraseña/ Confirmar contraseña Interfaz Ethernet > IPv4 > PPPoE > General Introduzca y confirme la contraseña del nombre de usuario.2.Configure la interfaz de capa 3 Tabla 65. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Negar Interfaz de Ethernet > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. Puede introducir múltiples direcciones IP para la interfaz. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. seleccione la dirección y haga clic en Eliminar. • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. Nombre de usuario Interfaz Ethernet > IPv4 > PPPoE > General Introduzca el nombre de usuario de la conexión de punto a punto. a continuación. • Seleccione un objeto de dirección existente de tipo máscara de red IP. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. versión 7.0 Palo Alto Networks . Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP.

Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Mostrar información de tiempo de ejecución de cliente PPPoE Interfaz Ethernet > IPv4 > PPPoE > General De forma opcional. Autenticación Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione el protocolo de autenticación para las comunicaciones PPPoE: CHAP (Protocolo de autenticación por desafío mutuo). • Seleccione un objeto de dirección existente de tipo máscara de red IP. El nivel de prioridad aumenta conforme disminuye el valor numérico. Si selecciona Ninguno. introduzca la cadena de servicio (no predeterminado). • Dirección IPv4 Tipo = DHCP Habilitar Palo Alto Networks Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz.0 • 129 . PAP (Protocolo de autenticación de contraseña) o. Auto (el cortafuegos determina el protocolo). 192. • Seleccione Ninguno para eliminar la asignación de dirección actual de la interfaz. versión 7. optativa).168. Pasivo Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione la casilla de verificación para utilizar el modo pasivo. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Métrica de ruta predeterminada Interfaz Ethernet > IPv4 > PPPoE > Avanzado Para la ruta entre el cortafuegos y el proveedor de servicios de Internet. en el proveedor de servicios de Internet. de forma predeterminada. En modo pasivo. introduzca una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535.0/24 para IPv4 o 2001:db8::/32 para IPv6). haga clic en este enlace para abrir un cuadro de diálogo que muestre los parámetros que el cortafuegos ha negociado con el proveedor de servicios de Internet (ISP) para establecer una conexión. se elimina la asignación del protocolo actual de la interfaz. un extremo PPPoE espera a que el concentrador de acceso envíe la primera trama. Acceder a concentrador Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa.Configure la interfaz de capa 3 Tabla 65.2. Servicio Interfaz Ethernet > IPv4 > PPPoE > Avanzado De forma optativa. Guía de referencia de interfaz web. La información específica depende del ISP. introduzca el nombre del concentrador de acceso. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. al que se conecta el cortafuegos (no predeterminado). Dirección estática Interfaz Ethernet > IPv4 > PPPoE > Avanzado Realice uno de los siguientes pasos para especificar la dirección IP que ha asignado el proveedor de servicios de Internet (no predeterminado): Crear automáticamente ruta predeterminada que apunte al peer Interfaz Ethernet > IPv4 > PPPoE > Avanzado Seleccione esta casilla de verificación para crear automáticamente una ruta predeterminada que señale al peer PPPoE cuando se conecta.

la asignación de IP dinámica. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de Ethernet > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. la puerta de enlace. NIS. la máscara de subred. Métrica de ruta predeterminada Interfaz de Ethernet > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. 130 • Guía de referencia de interfaz web. la configuración del servidor (DNS. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. no predeterminada). dominio. versión 7.0 Palo Alto Networks . el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. Si deja este campo en blanco. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de Ethernet > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. incluidos el estado de concesión de DHCP. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección.Configure la interfaz de capa 3 Tabla 65. ID de interfaz Interfaz de Ethernet > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. WINS. El nivel de prioridad aumenta conforme disminuye el valor numérico. POP3 y SMTP). NTP. 00:26:08:FF:FE:DE:4E:29).

2001:400:f00::1/64). predeterminado 30). – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. El valor predeterminado es de 2592000. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de Ethernet > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. versión 7. El valor predeterminado es de 604800. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Dirección Interfaz de Ethernet > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p.0 • 131 . – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. predeterminado 1). pero cualquier conexión existente es válida hasta que caduque la duración válida. predeterminado 1). a continuación.Configure la interfaz de capa 3 Tabla 65. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. Cuando caduca la duración preferida. configure los otros campos de esta sección. ej. • Enviar anuncio de enrutador: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP. Palo Alto Networks Guía de referencia de interfaz web. Los campos restantes solo se aplican si habilita el RA.. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz.) Si desea información sobre el RA. Habilitar detección de direcciones duplicadas Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. Intentos DAD Interfaz de Ethernet > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. consulte “Habilitar anuncio de enrutador” en esta tabla. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. La duración válida debe ser igual o superar la duración preferida. Tiempo alcanzable Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos.

predeterminado no especificado). Límite de salto Interfaz de Ethernet > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. predeterminado no especificado). Máx. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. Duración de enrutador (segundos) Interfaz de Ethernet > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. predeterminado 600). Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. active esta casilla de verificación y configure los otros campos de esta sección. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de Ethernet > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Si establece las opciones de RA para cualquier dirección IP. Cuando acaba la duración. de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. Tiempo alcanzable (ms) Interfaz de Ethernet > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. Esta opción es un ajuste global de la interfaz. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada.0 Palo Alto Networks . consulte “Dirección” en esta tabla). MTU de enlace Interfaz de Ethernet > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. 132 • Guía de referencia de interfaz web. Tiempo de retransmisión (ms) Interfaz de Ethernet > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. predeterminado 1800). debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. predeterminado no especificado). de intervalo (segundos) Interfaz de Ethernet > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. predeterminado 200). Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. versión 7. Mín. Si desea establecer las opciones de RA para direcciones IP individuales. Introduzca 0 si no desea ningún límite de salto. predeterminado 64).Configure la interfaz de capa 3 Tabla 65.

0 • 133 . el cliente utiliza este campo para seleccionar un enrutador preferido. versión 7. Otras configuraciones Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta.Configure la interfaz de capa 3 Tabla 65. ajustes relacionados con DNS) a través de DHCPv6. Comprobación de coherencia Interfaz de Ethernet > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. Configuración gestionada Interfaz de Ethernet > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. El cortafuegos envía logs sobre cualquier incoherencia. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. Configuración de interfaz de capa 3 (Continuación) Campo Configurado en Descripción Preferencia de enrutador Interfaz de Ethernet > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. Palo Alto Networks Guía de referencia de interfaz web.

Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Si selecciona Ninguno. se elimina la asignación de perfil actual de la interfaz. Enrutador virtual Subinterfaz de capa3 > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). se elimina la asignación de servidor NetFlow actual de la subinterfaz. MTU Subinterfaz de capa3 > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Perfil de gestión Subinterfaz de capa3 > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Perfil de flujo de red Subinterfaz de capa3 Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow.Configuración de la subinterfaz de capa 3 Configuración de la subinterfaz de capa 3 Red > Interfaces > Ethernet Para cada puerto Ethernet configurado como interfaz física de capa 3. Si selecciona Ninguno. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. 134 • Guía de referencia de interfaz web. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. Comentarios Subinterfaz de capa3 Introduzca una descripción opcional para la subinterfaz. En el campo adyacente. Zona de seguridad Subinterfaz de capa3 > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Si selecciona Ninguno. seleccione una fila de interfaz física asociada. se elimina la asignación de zona actual de la subinterfaz. Configuración de subinterfaz de capa 3 Campo Configurado en Descripción Nombre de interfaz Subinterfaz de capa3 El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. “Configure la interfaz de capa 3”. Sistema virtual Subinterfaz de capa3 > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. se elimina la asignación del enrutador virtual actual de la interfaz. SSH. puede definir interfaces adicionales lógicas de capa 3 (subinterfaces). Para configurar una subinterfaz de capa 3. Tabla 66. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Etiqueta Subinterfaz de capa3 Introduzca la etiqueta VLAN (1-4094) para la subinterfaz. versión 7. Si selecciona Ninguno. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. haga clic en Añadir subinterfaz y especifique la siguiente información. opción predeterminada 1500).0 Palo Alto Networks .

Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic para activar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. haga clic en Añadir y. el cortafuegos envía su propia dirección MAC para la interfaz. selecciónela y haga clic en Eliminar. intervalos de IP. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP. Negar Palo Alto Networks Subinterfaz de capa3 > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. una de estas direcciones es la misma que la traducción de origen en NPTv6. Dirección MAC Dirección IPv6 Dirección MAC Habilitar Proxy NDP Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). Subinterfaz de capa3 > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). Si un paquete no cabe en el MSS sin fragmentarse. de modo que el cortafuegos recibirá paquetes dirigidos a las direcciones en la lista. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. Guía de referencia de interfaz web. Dirección Subinterfaz de capa3 > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. a continuación. Para eliminar una entrada. introduzca la dirección IP y MAC del vecino. Dirección IP Subinterfaz de capa3 > Avanzado > Entradas de ARP Para añadir una o más entradas estáticas del protocolo de resolución de dirección (ARP). subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. Si la dirección es una subred. Si se selecciona la casilla de verificación Habilitar Proxy NDP. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. Idealmente. versión 7.0 • 135 . puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha gris). El orden de las direcciones es indiferente.Configuración de la subinterfaz de capa 3 Tabla 66. introduzca una dirección IP y la dirección del hardware asociado (Media Access Control o MAC). Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Ajustar TCP MSS Subinterfaz de capa3 > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. a continuación. En la respuesta ND. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred. haga clic en Añadir y. este parámetro permite ajustarlo.

El nivel de prioridad aumenta conforme disminuye el valor numérico. la máscara de subred. Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/activo no admiten el cliente DHCP.2. no predeterminada).168. NTP. a continuación. la asignación de IP dinámica. incluidos el estado de concesión de DHCP. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv4 Tipo Subinterfaz de capa3 > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la subinterfaz: • Estática: debe especificar manualmente la dirección IP. • Cliente DHCP: permite a la subinterfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. la puerta de enlace. seleccione la dirección y haga clic en Eliminar. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Para eliminar una dirección IP. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP. versión 7.0 Palo Alto Networks . • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. la configuración del servidor (DNS. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. POP3 y SMTP). Crear automáticamente ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP.0/24 para IPv4 o 2001:db8::/32 para IPv6). NIS. • Dirección IPv4 Tipo = DHCP Habilitar Subinterfaz de capa3 > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. Mostrar información de tiempo de ejecución de cliente DHCP Subinterfaz de capa3 > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP. 136 • Guía de referencia de interfaz web. • Dirección IPv4 Tipo = Estático IP Subinterfaz de capa3 > IPv4 Haga clic en Añadir y. dominio.Configuración de la subinterfaz de capa 3 Tabla 66. WINS. Métrica de ruta predeterminada Subinterfaz de capa3 > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. 192. Puede introducir múltiples direcciones IP para la interfaz. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. • Seleccione un objeto de dirección existente de tipo máscara de red IP.

También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. La duración válida debe ser igual o superar la duración preferida. Intentos DAD Subinterfaz de capa3 > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Para una dirección IPv6 Habilitar IPv6 en la interfaz Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. consulte “Habilitar anuncio de enrutador” en esta tabla.. Los campos restantes solo se aplican si habilita el RA. • Habilitar dirección en interfaz: Haga clic aquí para habilitar la dirección IPv6 en la interfaz. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. Si deja este campo en blanco. ID de interfaz Subinterfaz de capa3 > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo.0 • 137 . Cuando caduca la duración preferida. a continuación. Habilitar detección de direcciones duplicadas Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. 2001:400:f00::1/64). – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. El valor predeterminado es de 2592000. – Enlace activo: Haga clic aquí si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. configure los otros campos de esta sección. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. • Usar ID de interfaz como parte de host: Active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. • Difusión por proximidad: Haga clic aquí para incluir el enrutador mediante el nodo más cercano. Dirección Subinterfaz de capa3 > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. versión 7. pero cualquier conexión existente es válida hasta que caduque la duración válida. • Enviar anuncio de enrutador: Haga clic aquí para habilitar el anuncio de enrutador (RA) para esta dirección IP. predeterminado 1). 00:26:08:FF:FE:DE:4E:29). ej. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz. el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones. – Autónomo: Haga clic aquí si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. Palo Alto Networks Guía de referencia de interfaz web. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección.) Si desea información sobre el RA. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. El valor predeterminado es de 604800.Configuración de la subinterfaz de capa 3 Tabla 66.

El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. Si desea establecer las opciones de RA para direcciones IP individuales. Tiempo de retransmisión (ms) Subinterfaz de capa3 > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Tiempo alcanzable Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. versión 7. Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. Tiempo alcanzable (ms) Subinterfaz de capa3 > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure.Configuración de la subinterfaz de capa 3 Tabla 66. Límite de salto Subinterfaz de capa3 > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. Si establece las opciones de RA para cualquier dirección IP. consulte “Dirección” en esta tabla). predeterminado 200). Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. 138 • Guía de referencia de interfaz web. predeterminado no especificado). active esta casilla de verificación y configure los otros campos de esta sección. predeterminado no especificado). de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. Esta opción es un ajuste global de la interfaz. debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. predeterminado 64). MTU de enlace Subinterfaz de capa3 > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes. predeterminado 1). Habilitar anuncio de enrutador Subinterfaz de capa3 > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Máx. Mín. predeterminado 600). Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. de intervalo (segundos) Subinterfaz de capa3 > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. Intervalo NS (intervalo de solicitación de vecinos) Subinterfaz de capa3 > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. predeterminado 30).0 Palo Alto Networks . predeterminado no especificado). Introduzca 0 si no desea ningún límite de salto.

Identifique la interfaz que desee utilizar para el cable virtual en la pestaña Ethernet y elimínela de la zona de seguridad actual. 1. Configuración de subinterfaz de capa 3 (Continuación) Campo Configurado en Descripción Duración de enrutador (segundos) Subinterfaz de capa3 > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. Tipo de interfaz Interfaz Ethernet Seleccione Virtual Wire. crear el cable virtual usando las interfaces que ha creado. o solo el tráfico con etiquetas VLAN seleccionadas (no hay disponible ningún otro servicio de enrutamiento o conmutación). También puede crear subinterfaces de cable virtual y clasificar el tráfico en función de una dirección o intervalo IP.0 • 139 . Configuración de interfaces de cable virtual (Virtual Wire) Campo Configurado en Descripción Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. Preferencia de enrutador Subinterfaz de capa3 > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. Otras configuraciones Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. Tabla 67. 2. Cuando acaba la duración. Configuración gestionada Subinterfaz de capa3 > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6. Un cable virtual no requiere ningún tipo de cambio en los dispositivos de red adyacentes. El cortafuegos envía logs sobre cualquier incoherencia. Configuración de una interfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Una interfaz de cable virtual (Virtual Wire) une dos puertos Ethernet. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta. a continuación. ajustes relacionados con DNS) a través de DHCPv6. permitiendo que pase todo el tráfico entre los puertos. Media (predeterminada) o Baja en relación con otros enrutadores del segmento. predeterminado 1800). el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. versión 7. Haga clic en el nombre de la interfaz y especifique la siguiente información.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 66. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. primero debe definir las interfaces Virtual Wire. Comprobación de coherencia Subinterfaz de capa3 > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. o una subred. el cliente utiliza este campo para seleccionar un enrutador preferido. Para configurar un cable virtual (Virtual Wire) en el cortafuegos. Palo Alto Networks Guía de referencia de interfaz web. si la hubiera. tal y como se describe en el siguiente procedimiento y.

se elimina la asignación del cable virtual actual de la interfaz. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. versión 7. Configuración de interfaces de cable virtual (Virtual Wire) (Continuación) Campo Configurado en Descripción Virtual Wire Interfaz de Ethernet > Configurar Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). desactivada (abajo) o determinado automáticamente (auto). Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Habilitar LLDP Interfaz de Ethernet > Avanzado > LLDP Seleccione esta opción para habilitar Protocolo de detección de nivel de enlace (LLDP) en la interfaz. Perfil Interfaz de Ethernet > Avanzado > LLDP Si LLDP está activada. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). La selección de Ninguno provoca que el cortafuegos use los valores predeterminados globales. Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. Funciones LLDP en la capa de enlace para descubrir dispositivos vecinos y sus capacidades.Configuración de una interfaz de cable virtual (Virtual Wire) Tabla 67. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Si selecciona Ninguno. seleccione un perfil LLDP para asignar a la interfaz o haga clic en el enlace Perfil LLDP para crear un nuevo perfil (consulte “Definición de perfiles LLDP”). 140 • Guía de referencia de interfaz web. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. dúplex medio (Medio) o negociado automáticamente (Auto). se elimina la asignación de zona actual de la interfaz. Si selecciona Ninguno.0 Palo Alto Networks .

Perfil de flujo de red Si quiere exportar el tráfico IP unidireccional que atraviesa una subinterfaz de entrada a un servidor NetFlow. Clasificador IP Haga clic en Añadir para introducir una dirección IP. Si selecciona Ninguno. aplicar políticas de seguridad para el tráfico que coincida con los criterios definidos. a continuación. Si selecciona Ninguno. asignar el tráfico etiquetado a una zona y sistema virtual diferentes y.0 • 141 . por ejemplo) que no esté configurada y especifique la siguiente información. haga clic en Añadir subinterfaz y especifique la siguiente información. En el campo adyacente. intervalo IP o subred para clasificar el tráfico en esta subinterfaz de cable virtual. se elimina la asignación del enrutador virtual actual de la subinterfaz. se elimina la asignación de zona actual de la subinterfaz. Configuración de subinterfaces de cable virtual (Virtual Wire) Campo Descripción Nombre de interfaz El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz física que ha seleccionado. Configuración de una interfaz de Tap Red > Interfaces > Ethernet Puede usar una interfaz de Tap para supervisar el tráfico en un puerto. Sistema virtual Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado.Configuración de una subinterfaz de cable virtual (Virtual Wire) Configuración de una subinterfaz de cable virtual (Virtual Wire) Red > Interfaces > Ethernet Las subinterfaces de cable virtual (Virtual Wire) le permiten separar el tráfico según las etiquetas VLAN o una combinación de etiqueta VLAN y clasificador IP. se elimina la asignación de servidor NetFlow actual de la subinterfaz. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Virtual Wire Seleccione un cable virtual o haga clic en el enlace Virtual Wire para definir uno nuevo (consulte “Definición de cables virtuales (Virtual Wires)”). Comentarios Introduzca una descripción opcional para la subinterfaz. Palo Alto Networks Guía de referencia de interfaz web. “Configuración de una interfaz de cable virtual (Virtual Wire)”. Etiqueta Introduzca la etiqueta VLAN (0-4094) para la subinterfaz. introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. haga clic en el nombre de una interfaz (ethernet1/1. seleccione un sistema virtual (vsys) para la subinterfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Para añadir una subinterfaz de cable virtual. versión 7. Tabla 68. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). seleccione una fila de interfaz física asociada. Si selecciona Ninguno. Zona de seguridad Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Para configurar una interfaz de Tap.

por ejemplo) que no esté configurada y especifique la siguiente información. Descripción Note: El cortafuegos de la serie PA-4000 no admite esta característica. versión 7. Configuración de interfaz de Tap Campo Configurado en Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo.0 Palo Alto Networks . Perfil de flujo de red Interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Si activa el reenvío de logs pero no configura ninguna interfaz como la tarjeta de log. dúplex medio (Medio) o negociado automáticamente (Auto).Configuración de una interfaz de tarjeta de log Tabla 69. haga clic en el nombre de una interfaz (ethernet1/16. se elimina la asignación de zona actual de la interfaz. Para configurar una interfaz de tarjeta de log. Si selecciona Ninguno. correo electrónico. Zona de seguridad Interfaz de Ethernet > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Configuración de una interfaz de tarjeta de log Red > Interfaces > Ethernet En un cortafuegos PA-7000. Si selecciona Ninguno. Esto se debe a que las funciones de tráfico y logs de esta plataforma superan las del puerto de gestión. desactivada (abajo) o determinado automáticamente (auto). Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). Protocolo simple de administración de redes (SNMP) y reenvío de archivos WildFire. Tipo de interfaz Interfaz Ethernet Seleccione Tap. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. se elimina la asignación del servidor NetFlow actual de la interfaz. seleccione un sistema virtual para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. se produce un error de compilación. Un puerto de datos de tarjeta de log realiza el reenvío de logs para syslog. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. un puerto de datos debe tener un tipo de interfaz Tarjeta de log. Solo un puerto del cortafuegos puede ser una interfaz de tarjeta de log. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). 142 • Guía de referencia de interfaz web. Sistema virtual Interfaz de Ethernet > Configurar Si el cortafuegos admite múltiples sistemas virtuales y esa función está activada. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10.

Lo mejor es hacer que la etiqueta sea igual al número de subinterfaz para una mayor facilidad de uso. Estado de enlace Interfaz de Ethernet > Avanzado Seleccione si el estado de la interfaz es activada (Arriba). introduzca un sufijo numérico (1-9999) para identificar la subinterfaz. “Configuración de una interfaz de tarjeta de log”. dúplex medio (Medio) o negociado automáticamente (Auto). 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. seleccione una fila de interfaz física asociada. • Máscara de red: Máscara de red para la dirección IPv4 del puerto. haga clic en Añadir subinterfaz y especifique la siguiente información. Comentarios Interfaz Ethernet Introduzca una descripción opcional para la interfaz. Tipo de interfaz Interfaz Ethernet Seleccione Tarjeta de log. desactivada (abajo) o determinado automáticamente (auto). • Puerta de enlace predeterminada: Dirección IPv6 de la puerta de enlace predeterminada para el puerto. Configuración de una subinterfaz de tarjeta de log Red > Interfaces > Ethernet Para añadir una subinterfaz de tarjeta de log.Configuración de una subinterfaz de tarjeta de log Tabla 70. Palo Alto Networks Guía de referencia de interfaz web. Configuración de la subinterfaz de tarjeta de log Campo Configurado en Descripción Nombre de interfaz Subinterfaz LPC El campo Nombre de interfaz de solo lectura muestra el nombre de la interfaz de tarjeta log que ha seleccionado. Dúplex de enlace Interfaz de Ethernet > Avanzado Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). Tabla 71. • Puerta de enlace predeterminada: Dirección IPv4 de la puerta de enlace para el puerto. IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4.0 • 143 . Nombre de interfaz Interfaz Ethernet El nombre de interfaz viene predefinido y no puede cambiarlo. IPv6 • Dirección IP: Dirección IPv4 del puerto. Configuración de la interfaz de tarjeta de log Campo Configurado en Descripción Ranura Interfaz Ethernet Seleccione el número de ranura (1-12) de la interfaz. En el campo adyacente. defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6. Comentarios Subinterfaz LPC Introduzca una descripción opcional para la interfaz. defina lo siguiente: Velocidad de enlace Interfaz de Ethernet > Avanzado Seleccione la velocidad de interfaz en Mbps (10. • Dirección IP: Dirección IPv6 del puerto. versión 7. Etiqueta Subinterfaz LPC Introduzca la etiqueta VLAN (0-4094) para la subinterfaz.

defina lo siguiente: Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv6.0 Palo Alto Networks . SNMP) desde la tarjeta de log. PA-5000 y PA-3000. • Máscara de red: La máscara de red para la dirección IPv4 del puerto. Esta función permite crear una copia del tráfico descifrado desde un cortafuegos y enviarla a una herramienta de recopilación de tráfico que pueda recibir capturas de paquetes sin formato (como NetWitness o Solera) para su archivo o análisis. versión 7. • Dirección IP: Dirección IPv6 del puerto. debe adquirir e instalar la licencia gratuita. debe seleccionar el tipo de la interfaz Reflejo de descifrado. • Puerta de enlace predeterminada: La dirección IPv4 del puerto de enlace predeterminado para el puerto. • Puerta de enlace predeterminada: La dirección IPv6 del puerto de enlace predeterminado al puerto. Configuración de una interfaz de reflejo de descifrado Red > Interfaces > Ethernet Para utilizar la función Reflejo de puerto de descifrado. Cuando una subinterfaz LPC se asigna a vsys. haga clic en el nombre de una interfaz (ethernet1/1. IPv4 Interfaz Ethernet > Reenvío de tarjeta de log Si su red use IPv4. correo electrónico. 144 • Guía de referencia de interfaz web. esa interfaz se usa como interfaz fuente para todos los servicios que envía logs (syslog. defina lo siguiente: IPv6 • Dirección IP: Dirección IPv4 del puerto. puede hacer clic en el enlace Sistemas virtuales para añadir un nuevo vsys.Configuración de una interfaz de reflejo de descifrado Tabla 71. Para configurar una interfaz de reflejo de descifrado. Aquellas organizaciones que necesitan la captura integral de datos con fines forenses o históricos o para prevenir la fuga de datos (DLP) necesitan esta función. Configuración de la subinterfaz de tarjeta de log (Continuación) Campo Configurado en Descripción Sistema virtual Subinterfaz LPC > Configurar Seleccione el sistema virtual (vsys) al que se asigna la subinterfaz de tarjeta de procesamiento de log (LPC). por ejemplo) que no esté configurada y especifique la siguiente información. Para permitir la función. El reflejo del puerto de descifrado solo está disponible en los cortafuegos de las series PA-7000. Alternativamente.

zona de seguridad). PA-3000. de capa 2 capa 3. La compatibilidad para los grupos que tienen LACP activado se limita a los cortafuegos de las series PA-500. Puede agregar XFP de 1 Gbps o 10 Gbps y Ethernet de SPF+. PA-5000 y PA-7000. versión 7. Configuración de interfaz de reflejo de descifrado Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. En un grupo. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. entradas de Protocolo de resolución de direcciones (ARP) y entradas de Detección de vecinos (ND). A continuación. PA-4000. perfil de gestión. • Si activa LACP para un grupo de agregación. Palo Alto Networks Guía de referencia de interfaz web. cable virtual. una vez creado el grupo. Tipo de interfaz Seleccione Reflejo de descifrado. Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). • Los grupos de agregación admiten HA. los enlaces de 1 Gbps deben ser completamente de cobre o de fibra. cable virtual. Configuración de los grupos de interfaces de agregación Red > Interfaces > Ethernet Un grupo de interfaces de agregación le permite combinar varias interfaces Ethernet usando la agregación de enlace IEEE 802. direcciones IP. Comentarios Introduzca una descripción opcional para la interfaz. Por lo tanto. • Un grupo puede tener hasta 8 interfaces. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). haga clic en Añadir grupo de agregación y especifique la información en la siguiente tabla. No puede habilitar LACP para interfaces de cable virtual. enrutador virtual. Las siguientes propiedades pertenecen a la interfaz lógica. realice operaciones como configurar parámetros de capa 2 o capa 3 en el grupo de agregación en lugar de en interfaces individuales. PA-3000. La compatibilidad para HA3 está limitada a los cortafuegos de las series PA-500. Para configurar un grupo de agregación.1AX. interfaces de capa 2 o capa 3. no a las interfaces subyacentes físicas: asignaciones de configuración (sistema virtual. La interfaz de agregación que cree se convertirá en una interfaz lógica. PA-4000 y PA-5000.0 • 145 .Configuración de los grupos de interfaces de agregación Tabla 72. • Puede usar grupos de agregación para el escalado de la redundancia y rendimiento en el enlace HA3 (reenvío de paquetes) en implementaciones de HA Activo/Activo. Las siguientes reglas se aplican a los grupos de agregación: • En un grupo. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. la compatibilidad se limita a las interfaces HA3. configuración de Protocolo de control de agregación de enlace (LACP). VLAN. dúplex medio (Medio) o negociado automáticamente (Auto). desactivada (abajo) o determinado automáticamente (auto). PAN-OS valida esto durante la operación de compilación. asigne interfaces al grupo según lo descrito en “Configuración una interfaz de agregación”. todas las interfaces deben ser del mismo tipo.

se recomienda que uno sea activo y otro pasivo. • Capa 2: Puede seleccionar un Perfil de flujo de red. Velocidad de transmisión Agregar interfaz Ethernet > LACP Seleccione la velocidad con la que el cortafuegos intercambia consultas y responde a los dispositivos peer. En el campo adyacente introduzca un sufijo numérico (1-8) para identificar el grupo agregado. Entre cualquier par de peers LACP.Configuración de los grupos de interfaces de agregación Tabla 73.1AX (al menos tres segundos). que controla los requisitos de configuración y opciones que quedan: • HA: solo debe seleccionar esta opción si la interfaz es un enlace de HA3 entre dos cortafuegos en una implementación activa/activa. LACP está deshabilitada de manera predeterminada. IPv4 o IPv6 y Avanzado como se describe en la Tabla 65. • Activo: el cortafuegos consulta de forma activa el estado del LACP (disponible o sin respuesta) de dispositivos de peer. • Virtual Wire: También puede seleccionar un Perfil de flujo de red. Tipo de interfaz Agregar interfaz Ethernet Seleccione el tipo de interfaz. Si selecciona Ninguno se eliminará la asignación del servidor actual NetFlow desde el grupo de interfaz agregado. cuando una interfaz tenga un fallo. y configurar las pestañas Configurar y Avanzado tal y como se describe en la Tabla 67. versión 7. así como configurar las pestañas LACP que se describen abajo.0 Palo Alto Networks . configurar las pestañas Configurar y Avanzado como se en la Tabla 63. quiere que el cortafuegos cambie a una interfaz operativa en 1 segundo. Comentarios Agregar interfaz Ethernet Introduzca una descripción opcional para la interfaz. también puede configurar la pestaña LACP como se describe a continuación. También puede seleccionar un Perfil de flujo de red y configurar la pestaña LACP como se describe abajo. el fallo se produce a la velocidad estándar definida en IEEE 802. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Note: El cortafuegos de la serie PA-4000 no admite esta característica. LACP no puede funcionar si los dos peers son pasivos. • Rápido: cada segundo • Lento: cada 30 segundos (este es el ajuste predeterminado) Conmutación rápida Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si. • Capa 3: También puede seleccionar un Perfil de flujo de red. Modo Agregar interfaz Ethernet > LACP Seleccione el modo de LACP del cortafuegos. • Pasivo (predeterminado): el cortafuegos responde pasivamente a las consultas de estado del LACP procedentes de los dispositivos peer. 146 • Guía de referencia de interfaz web. configurar las pestañas Configurar. De lo contrario. Agregar configuración de grupo de interfaz Campo Configurado en Descripción Nombre de interfaz Agregar interfaz Ethernet El campo Nombre de interfaz de solo lectura se define como ae. Habilitar LACP Agregar interfaz Ethernet > LACP Seleccione esta casilla de verificación si desea habilitar el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Perfil de flujo de red Agregar interfaz Ethernet Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow.

en una implementación activa/pasiva. En este caso. Sin embargo. Si el número de interfaces asignadas supera el número de interfaces activas. usando la dirección MAC única de cada cortafuegos. el LACP utiliza los valores de ID del sistema para determinar qué cancela al otro con respecto a las prioridades del puerto. se recomienda minimizar la latencia durante el fallo. Si el par del cortafuegos y el par de peers tienen valores de prioridad del sistema idénticos. versión 7. Guía de referencia de interfaz web. Observe que cuanto más bajo es el número.) LACP utiliza la dirección MAC para derivar un ID de sistema a cada peer del LACP. es posible que uno tenga un ID del sistema mayor que los peers del LACP y el otro un ID del sistema menor. Misma dirección MAC del sistema para modo ActivoPasivo de HA Agregar interfaz Ethernet > LACP Los cortafuegos de un par de alta disponibilidad (HA) tienen el mismo valor de prioridad del sistema. Cuando los peers del LACP no se virtualizan. Si los cortafuegos no están en modo de HA activo/pasivo.0 • 147 . Agregar configuración de grupo de interfaz (Continuación) Campo Configurado en Descripción Prioridad del sistema Agregar interfaz Ethernet > LACP Número que determina si el cortafuegos o su peer sobrescribe el otro con respecto a las prioridades del puerto (consulte la descripción del campo Puertos máx. la prioridad de puerto cambia entre los peers del LACP y el cortafuegos que se activa. Debe verificar que la dirección es única globalmente. que será mayor o menor que el ID del sistema de los peers del LACP. el cortafuegos utiliza las prioridades del puerto de las interfaces para determinar cuáles están en modo de espera. el ID del sistema de cada uno puede ser igual o distinto. Si los cortafuegos de HA tienen direcciones MAC únicas. que aparece a continuación). Agregar interfaz Ethernet > LACP Número de interfaces (1-8) que pueden ser activas en cualquier momento en un grupo de agregación del LACP. de forma que PAN-OS las asigne automáticamente. PAN-OS ignora este campo. usando la misma dirección MAC del sistema para los cortafuegos. El valor no puede superar el número de interfaces asignadas al grupo. ambos tendrán el mismo ID del sistema. Puede establecer prioridades de puerto al configurar interfaces individuales para el grupo. o introduzca la suya propia. Puertos máx. para ambos cortafuegos del par de HA. más alta es la prioridad.Configuración de los grupos de interfaces de agregación Tabla 73. Cuando los peers del LACP (también en modo de HA) se virtualizan (apareciendo para la red como un dispositivo único). se recomienda minimizar la latencia del fallo. Si ambos cortafuegos tienen la misma dirección MAC. Dirección MAC Palo Alto Networks Agregar interfaz Ethernet > LACP Si ha activado Usar la misma dirección MAC del sistema. seleccione una dirección MAC generada por el sistema. cuando el fallo se produzca en los cortafuegos. (Los cortafuegos de una implementación activa/activa requieren direcciones MAC únicas. El intervalo es 1-65535 y el valor predeterminado es 32768. dependiendo de si asigna o no la misma dirección MAC.

la prioridad de puerto asignada a cada interfaz determina si está activa o en espera. determina el número de interfaces activas). El intervalo es 1-65535 y el valor predeterminado es 32768. La interfaz que seleccione debe ser del mismo tipo que la definida para el grupo de agregación (por ejemplo. Configuración de interfaz de Ethernet de agregación Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. Especifique la siguiente información para la interfaz. En este caso. (En la configuración del grupo de agregación. Para los valores que no coinciden. Prioridad de puerto LACP El cortafuegos solo utiliza este campo si ha activado el Protocolo de control de agregación de grupo (LACP) para el grupo de agregación. Agregar grupo Asigne la interfaz a un grupo de agregación. aunque cambiará el tipo a Agregar Ethernet cuando la configure. Capa3). Cuanto más bajo es el valor numérico. dúplex medio (Medio) o negociado automáticamente (Auto). Un grupo de agregación podría tener más interfaces de las que admite en los estados activos. el cortafuegos puede usar una tercera interfaz de HA para reenviar los paquetes. la operación de compilación muestra un aviso y PAN-OS activa el valor predeterminado de la velocidad más alta y dúplex completo. Si se activa la alta disponibilidad activa/activa. versión 7. Si activa el protocolo de control de agregación de enlaces (LACP) para el grupo de agregación.0 Palo Alto Networks . el parámetro Puertos máx. Tabla 74. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad.Configuración una interfaz de agregación Configuración una interfaz de agregación Red > Interfaces > Ethernet Para configurar una interfaz Ethernet agregado. Comentarios Introduzca una descripción opcional para la interfaz. “Configuración de los grupos de interfaces de agregación” y haga clic en el nombre de la interfaz que asignará al grupo agregado. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba). Configuración de una interfaz HA Red > Interfaces > Ethernet Todas las interfaces de alta disponibilidad (HA) tienen una función específica: una interfaz se utiliza para la sincronización de la configuración y latidos y la otra interfaz se utiliza para la sincronización del estado. Tipo de interfaz Seleccione Agregar Ethernet. desactivada (abajo) o determinado automáticamente (auto). Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). se recomienda seleccionar la misma Velocidad de enlace y Dúplex de enlace para cada interfaz del grupo. más alta es la prioridad. 148 • Guía de referencia de interfaz web. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10.

Dúplex de enlace Seleccione si el modo de transmisión de la interfaz es dúplex completo (Completo). por ejemplo) que no esté configurada y especifique la siguiente información. Perfil de flujo de red Interfaz de VLAN Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. Si selecciona Ninguno. Configuración de interfaz HA Campo Descripción Nombre de interfaz El nombre de interfaz viene predefinido y no puede cambiarlo. debe especificar los puertos de datos que se utilizarán para HA. En el campo adyacente. Estado de enlace Seleccione si el estado de la interfaz es activada (Arriba).Configuración de una interfaz VLAN Algunos cortafuegos de Palo Alto Networks incluyen puertos físicos exclusivos para su uso en implementaciones HA (uno para el enlace de control y uno para el enlace de datos). Tipo de interfaz Seleccione HA. dúplex medio (Medio) o negociado automáticamente (Auto). Configuración de interfaz VLAN Campo Configurado en Descripción Nombre de interfaz Interfaz de VLAN El campo Nombre de interfaz de solo lectura se define como vlan. versión 7. 100 o 1000) o seleccione auto para que el cortafuegos determine automáticamente la velocidad. Puede añadir uno o más puertos de Ethernet de capa 2 (consulte “Configure la interfaz de capa 2”) a una interfaz VLAN. Para configurar una interfaz de HA. desactivada (abajo) o determinado automáticamente (auto). Si desea más información sobre HA. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Comentarios Interfaz de VLAN Introduzca una descripción opcional para la interfaz.0 • 149 . Tabla 75. Comentarios Introduzca una descripción opcional para la interfaz. Palo Alto Networks Guía de referencia de interfaz web. Velocidad de enlace Seleccione la velocidad de interfaz en Mbps (10. consulte “Habilitación de HA en el cortafuegos”. se elimina la asignación del servidor NetFlow actual de la interfaz. haga clic en el nombre de una interfaz (ethernet1/1. Tabla 76. escriba un sufijo numérico (1-9999) para identificar la interfaz. Configuración de una interfaz VLAN Red > Interfaces > VLAN Una interfaz VLAN puede proporcionar enrutamiento a una red de capa 3 (IPv4 e IPv6). Note: El cortafuegos de la serie PA-4000 no admite esta característica. En el caso de cortafuegos que no incluyen puertos exclusivos.

Enrutador virtual Interfaz de VLAN > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”).0 Palo Alto Networks . MTU Interfaz de VLAN > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Para eliminar una entrada. Perfil de gestión Interfaz de VLAN > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Dirección MAC Interfaz Dirección IPv6 Dirección MAC 150 • Guía de referencia de interfaz web. Si selecciona Ninguno. se elimina la asignación de zona actual de la interfaz. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción VLAN Interfaz de VLAN > Configurar Seleccione una VLAN o haga clic en el enlace VLAN para definir una nueva (consulte “Configuración de la compatibilidad de VLAN”). Si selecciona Ninguno. se elimina la asignación de perfil actual de la interfaz. Sistema virtual Interfaz de VLAN > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Si selecciona Ninguno. selecciónela y haga clic en Eliminar. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU. se elimina la asignación del enrutador virtual actual de la interfaz. opción predeterminada 1500). SSH. Ajustar TCP MSS Interfaz de VLAN > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. Dirección IP Interfaz de VLAN > Avanzado > Entradas de ARP Para añadir una o más entradas de protocolo de resolución de direcciones (ARP) estáticas. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. a continuación. se elimina la asignación de VLAN de la interfaz. introduzca la dirección IPv6 y MAC del vecino. este parámetro permite ajustarlo. Si un paquete no cabe en el MSS sin fragmentarse. Interfaz de VLAN > Avanzado > Entradas de ND Para proporcionar información sobre vecinos para el protocolo de detección de vecinos (NDP). haga clic en Añadir y.Configuración de una interfaz VLAN Tabla 76. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Las entradas ARP estáticas reducen el procesamiento ARP e impiden los ataques de man in the middle de las direcciones especificadas. versión 7. Si selecciona Ninguno. haga clic en Añadir e introduzca una dirección IP y la dirección (Media Access Control o MAC) de su hardware asociado y seleccione una interfaz de capa 3 que pueda acceder a la dirección del hardware. Zona de seguridad Interfaz de VLAN > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona.

El orden de las direcciones es indiferente. Negar Interfaz de VLAN > Avanzado > Proxy NDP Seleccione la casilla de verificación Negar junto a una dirección para evitar el Proxy NDP de esa dirección. Para eliminar una dirección IP.0 • 151 . 192. Idealmente. subredes IPv6 u objetos de direcciones para las que el cortafuegos actuará como el Proxy NDP. por lo que le recomendamos que agregue también los vecinos IPv6 del cortafuegos y haga clic en la casilla de verificación Negar para indicar al cortafuegos que no responda a estas direcciones IP.0/24 para IPv4 o 2001:db8::/32 para IPv6). Note: Los cortafuegos que están en modo de alta disponibilidad (HA) activo/ activo no admiten el cliente DHCP. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. intervalos de IP. Dirección Interfaz de VLAN > Avanzado > Proxy NDP Haga clic en Añadir para introducir una o más direcciones IPv6. el cortafuegos envía su propia dirección MAC para la interfaz y básicamente solicita todos los paquetes destinados para estas direcciones. El cortafuegos no responderá a los paquetes ND que solicitan direcciones MAC para direcciones IPv6 en esta lista. • Seleccione un objeto de dirección existente de tipo máscara de red IP. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. el cortafuegos enviará una respuesta ND para todas las direcciones de la subred.168. Si la dirección es una subred. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. Se recomienda que habilite el Proxy NDP si usa traducción de prefijo de red IPv6 (NPTv6). En la respuesta ND. Puede negar un subconjunto del intervalo de dirección IP o subred IP especificado. una de estas direcciones es la misma que la traducción de origen en NPTv6. puede filtrar numerosas entradas Dirección introduciendo un filtro y haciendo clic en el icono Aplicar filtro (la flecha verde). • Cliente DHCP: permite a la interfaz actuar como cliente del protocolo de configuración de host dinámico (DHCP) y recibir una dirección IP dinámicamente asignada. • Dirección IPv4 Tipo = Estático IP Interfaz de VLAN > IPv4 Haga clic en Añadir y. Puede introducir múltiples direcciones IP para la interfaz. Para una dirección IPv4 Tipo Interfaz de VLAN > IPv4 Seleccione el método para asignar un tipo de dirección IPv4 a la interfaz: • Estática: debe especificar manualmente la dirección IP. Palo Alto Networks Guía de referencia de interfaz web. a continuación.2. seleccione la dirección y haga clic en Eliminar. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Si se selecciona la casilla de verificación Habilitar Proxy NDP. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar Proxy NDP Interfaz de VLAN > Avanzado > Proxy NDP Seleccione para habilitar el proxy de protocolo de detección de vecinos (NDP) para la interfaz. Las opciones que se muestran en la pestaña variarán según su selección de método de dirección IP.Configuración de una interfaz VLAN Tabla 76. versión 7.

Métrica de ruta predeterminada Interfaz de VLAN > IPv4 Para la ruta entre el cortafuegos y el servidor DHCP. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. dominio. 152 • Guía de referencia de interfaz web. versión 7. la asignación de IP dinámica. POP3 y SMTP). Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. Si deja este campo en blanco. WINS. la configuración del servidor (DNS. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción • Dirección IPv4 Tipo = DHCP Habilitar Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para activar el cliente DHCP en la interfaz. NTP. introduzca de forma optativa una métrica de ruta (nivel prioritario) que se asocie a la ruta predeterminada y que se utilice para la selección de ruta (intervalo 1-65535. El nivel de prioridad aumenta conforme disminuye el valor numérico. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. NIS. la puerta de enlace. Mostrar información de tiempo de ejecución de cliente DHCP Interfaz de VLAN > IPv4 Haga clic en este botón para mostrar todos los ajustes recibidos desde el servidor DHCP.0 Palo Alto Networks . Crear automáticament e ruta predeterminada que apunte a la puerta de enlace predeterminada proporcionada por el servidor Interfaz de VLAN > IPv4 Seleccione la casilla de verificación para que se cree automáticamente una ruta predefinida que apunte a la puerta de enlace predeterminada por el servidor DHCP. ID de interfaz Interfaz de VLAN > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. 00:26:08:FF:FE:DE:4E:29). no predeterminada). incluidos el estado de concesión de DHCP. la máscara de subred.Configuración de una interfaz VLAN Tabla 76.

el cortafuegos deja de poder utilizar la dirección para establecer nuevas conexiones.0 • 153 . predeterminado 30). • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. pero cualquier conexión existente es válida hasta que caduque la duración válida. Intentos DAD Interfaz de VLAN > IPv6 Especifique el número de intentos DAD en el intervalo de solicitación de vecinos (Intervalo NS) antes de que falle el intento de identificar vecinos (intervalo 1-10.. versión 7. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. – Autónomo: active esta casilla de verificación si los sistemas pueden crear de forma independiente una dirección IP combinando el prefijo publicado con un ID de interfaz. El valor predeterminado es de 604800. – Enlace activo: active esta casilla de verificación si los sistemas que tienen direcciones en el prefijo se pueden alcanzar sin necesidad de un enrutador. predeterminado 1). También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección.Configuración de una interfaz VLAN Tabla 76. Cuando caduca la duración preferida. Los campos restantes solo se aplican si habilita el RA. • Enviar RA: active esta casilla de verificación para habilitar el anuncio de enrutador (RA) para esta dirección IP.) Si desea información sobre el RA. consulte “Habilitar anuncio de enrutador” en esta tabla. Palo Alto Networks Guía de referencia de interfaz web. El valor predeterminado es de 2592000. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. Intervalo NS (intervalo de solicitación de vecinos) Interfaz de VLAN > IPv6 Especifique el número de segundos de intentos DAD antes de indicar el fallo (intervalo 1-10 segundos. – Duración preferida: duración (en segundos) en la que se prefiere la dirección válida. Tiempo alcanzable Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que un vecino permanece alcanzable después de una consulta y respuesta correctas (intervalo: 1-36000 segundos. – Duración válida: duración (en segundos) que el cortafuegos considera válida la dirección. lo que significa que el cortafuegos la puede utilizar para enviar y recibir tráfico. configure los otros campos de esta sección. a continuación. La duración válida debe ser igual o superar la duración preferida. 2001:400:f00::1/64). Habilitar detección de direcciones duplicadas Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para habilitar la detección de dirección duplicada (DAD) y. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Dirección Interfaz de VLAN > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. predeterminado 1). ej. (También puede activar la opción Habilitar anuncio de enrutador de forma global en la interfaz.

Seleccione no especificado si no desea ninguna MTU de enlace (intervalo 1280-9192. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo máximo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 4-1800. El cortafuegos enviará los RA en intervalos aleatorios entre los valores mínimo y máximo que configure. predeterminado 600). 154 • Guía de referencia de interfaz web. Esta opción es un ajuste global de la interfaz. Puede utilizar un servidor DHCPv6 independiente junto con esta función para proporcionar DNS y otros ajustes a los clientes. Un valor cero especifica que el cortafuegos no es la puerta de enlace predeterminada. predeterminado no especificado). Máx. Si desea establecer las opciones de RA para direcciones IP individuales. active esta casilla de verificación y configure los otros campos de esta sección. Cuando acaba la duración. Límite de salto Interfaz de VLAN > IPv6 Especifique el límite de salto que se debe aplicar a los clientes en los paquetes salientes (intervalo 1-255. el cliente elimina la entrada del cortafuegos de la lista de ruta predeterminada y utiliza otro enrutador como puerta de enlace predeterminada. predeterminado 200). Introduzca 0 si no desea ningún límite de salto. Preferencia de enrutador Interfaz de VLAN > IPv6 Si el segmento de la red tiene múltiples enrutadores de IPv6. Seleccione si el RA publica el enrutador del cortafuegos con prioridad Alta.0 Palo Alto Networks . Seleccione no especificado si no desea ningún tiempo de retransmisión (intervalo 0-4294967295. consulte “Dirección” en esta tabla). Tiempo de retransmisión (ms) Interfaz de VLAN > IPv6 Especifique el temporizador de retransmisión que determinará cuánto tiempo debe esperar el cliente (en milisegundos) antes de retransmitir los mensajes de solicitación de vecinos. el cliente utiliza este campo para seleccionar un enrutador preferido. Seleccione no especificado si no desea establecer ningún valor de tiempo alcanzable (intervalo 0-3600000. El RA permite al cortafuegos actuar como una puerta de enlace predeterminada para hosts IPv6 que no estén configurados estáticamente y proporcionar al host un prefijo IPv6 que se puede utilizar para la configuración de direcciones. haga clic en Añadir en la tabla de direcciones IP y configure la dirección (para obtener detalles. predeterminado no especificado). Los clientes que reciben mensajes de anuncio de enrutador (RA) utilizan esta información.Configuración de una interfaz VLAN Tabla 76. debe seleccionar la opción Habilitar anuncio de enrutador para la interfaz. Tiempo alcanzable (ms) Interfaz de VLAN > IPv6 Especifique el tiempo alcanzable (en milisegundos) que el cliente utilizará para asumir que un vecino es alcanzable después de recibir un mensaje de confirmación de esta condición. versión 7. de intervalo (segundos) Interfaz de VLAN > IPv6 Especifique el intervalo mínimo (en segundos) entre los distintos RA que el cortafuegos enviará (intervalo 3-1350. predeterminado 1800). Si establece las opciones de RA para cualquier dirección IP. Duración de enrutador (segundos) Interfaz de VLAN > IPv6 Especifique la duración (en segundos) que el cliente utilizará el cortafuegos como puerta de enlace predeterminada (intervalo 0-9000. predeterminado no especificado). Media (predeterminada) o Baja en relación con otros enrutadores del segmento. predeterminado 64). Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Habilitar anuncio de enrutador Interfaz de VLAN > IPv6 Para proporcionar la configuración automática de direcciones sin estado (SLAAC) en interfaces IPv6. Mín. MTU de enlace Interfaz de VLAN > IPv6 Especifique la unidad máxima de transmisión (MTU) del enlace que se debe aplicar a los clientes.

seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). Perfil de flujo de red Interfaz de bucle invertido Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow.Configuración de una interfaz de bucle invertido Tabla 76. Si selecciona Ninguno. Zona de seguridad Interfaz de bucle invertido > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. Sistema virtual Interfaz de bucle invertido > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. Configuración de interfaz VLAN (Continuación) Campo Configurado en Descripción Configuración gestionada Interfaz de VLAN > IPv6 Seleccione la casilla de verificación para indicar al cliente que las direcciones están disponibles en DHCPv6.0 • 155 . Otras configuraciones Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación para indicar al cliente que hay disponible otra información de dirección (por ejemplo. Configuración de una interfaz de bucle invertido Red > Interfaces > Bucle invertido Tabla 77. SSH. Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. En el campo adyacente. Si selecciona Ninguno. seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Comentarios Interfaz de bucle invertido Introduzca una descripción opcional para la interfaz. Palo Alto Networks Guía de referencia de interfaz web. escriba un sufijo numérico (1-9999) para identificar la interfaz. se elimina la asignación de perfil actual de la interfaz. se elimina la asignación de zona actual de la interfaz. Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Enrutador virtual Interfaz de bucle invertido > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). Si selecciona Ninguno. El cortafuegos envía logs sobre cualquier incoherencia. ajustes relacionados con DNS) está disponible a través de DHCPv6. se elimina la asignación del enrutador virtual actual de la interfaz. Configuración de interfaz de bucle invertido Campo Configurado en Descripción Nombre de interfaz Interfaz de bucle invertido El campo Nombre de interfaz de solo lectura se define como bucle invertido. se elimina la asignación del servidor NetFlow actual de la interfaz. Si selecciona Ninguno. Comprobación de coherencia Interfaz de VLAN > IPv6 Seleccione esta casilla de verificación si desea que el cortafuegos verifique que los RA enviados desde otros enrutadores están publicando información coherente en el enlace. versión 7.

192. 2001:400:f00::1/64).Configuración de una interfaz de bucle invertido Tabla 77. Ajustar TCP MSS Interfaz de túnel > Avanzado > Otra información Active esta casilla de verificación si desea ajustar el tamaño de segmento máximo (MSS) en 40 bytes menos que la MTU de la interfaz. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. • Seleccione un objeto de dirección existente de tipo máscara de red IP.2. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. este parámetro permite ajustarlo. Configuración de interfaz de bucle invertido (Continuación) Campo Configurado en Descripción MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Esta configuración está destinada a aquellas situaciones en las que un túnel que atraviesa la red necesita un MSS de menor tamaño. seleccione la dirección y haga clic en Eliminar. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU.168. ej. Puede introducir múltiples direcciones IP para la interfaz. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo.0/24 para IPv4 o 2001:db8::/32 para IPv6). 156 • Guía de referencia de interfaz web. opción predeterminada 1500). ID de interfaz Interfaz de bucle invertido > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. a continuación. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de bucle invertido > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. Dirección Interfaz de bucle invertido > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Para una dirección IPv4 IP Interfaz de bucle invertido > IPv4 Haga clic en Añadir y. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano.. 00:26:08:FF:FE:DE:4E:29). Si deja este campo en blanco. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. versión 7. Si un paquete no cabe en el MSS sin fragmentarse. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP.0 Palo Alto Networks . Para eliminar una dirección IP.

seleccione un sistema virtual (vsys) para la interfaz o haga clic en el enlace Sistema virtual para definir un nuevo vsys. MTU Interfaz de túnel > Avanzado > Otra información Introduzca la unidad máxima de transmisión (MTU) en bytes para los paquetes enviados en esta interfaz (576-9192. Zona de seguridad Interfaz de túnel > Configurar Seleccione una zona de seguridad para la interfaz o haga clic en el enlace Zona para definir una nueva zona. seleccione el perfil del servidor o haga clic en Perfil de flujo de red para definir un nuevo perfil (consulte “Configuración de ajustes de flujo de red”). opción predeterminada 1500). Si selecciona Ninguno. En el campo adyacente. Comentarios Interfaz de túnel Introduzca una descripción opcional para la interfaz. se elimina la asignación de perfil actual de la interfaz. Si las máquinas de ambos extremos del cortafuegos ejecutan un descubrimiento de MTU de ruta (PMTUD) y la interfaz recibe un paquete que supera la MTU.0 • 157 . Telnet y HTTP) que puede usar para gestionar el cortafuegos en esta interfaz. Perfil de flujo de red Interfaz de túnel Si quiere exportar el tráfico IP unidireccional que atraviesa una interfaz de entrada a un servidor NetFlow. se elimina la asignación del enrutador virtual actual de la interfaz. Si selecciona Ninguno. Si selecciona Ninguno.Configuración de una interfaz de túnel Configuración de una interfaz de túnel Red > Interfaces > Túnel Tabla 78. escriba un sufijo numérico (1-9999) para identificar la interfaz. Configuración de interfaz de túnel Campo Configurado en Descripción Nombre de interfaz Interfaz de túnel El campo Nombre de interfaz de solo lectura se define como túnel. se elimina la asignación del servidor NetFlow actual de la interfaz. Note: El cortafuegos de la serie PA-4000 no admite esta característica. Palo Alto Networks Guía de referencia de interfaz web. el cortafuegos envía al origen un mensaje de necesidad de fragmentación del ICMP que indica que el paquete es demasiado grande. Sistema virtual Interfaz de túnel > Configurar Si el cortafuegos admite múltiples sistemas virtuales y que la capacidad se ha habilitado. versión 7. Enrutador virtual Interfaz de túnel > Configurar Asigne un enrutador virtual a la interfaz o haga clic en el enlace Enrutador virtual para definir uno nuevo (consulte “Configuración de un enrutador virtual”). se elimina la asignación de zona actual de la interfaz. Perfil de gestión Interfaz de túnel > Avanzado > Otra información Perfil de gestión: seleccione un perfil que defina los protocolos (por ejemplo. Si selecciona Ninguno. SSH.

según exija su topología de red: 158 • Guía de referencia de interfaz web. 192. • Introduzca la entrada en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. versión 7. ID de interfaz Interfaz de túnel > IPv6 Introduzca el identificador único ampliado de 64 bits (EUI-64) en formato hexadecimal (por ejemplo. La base de información de reenvío (FIB) que utiliza su sistema determina el número máximo de direcciones IP. Para eliminar una dirección IP. ej. • Difusión por proximidad: active esta casilla de verificación para que se incluya el enrutamiento a través del nodo más cercano. a continuación. 2001:400:f00::1/64). Todas las interfaces de capa 3. • Usar ID de interfaz como parte de host: active esta casilla de verificación para utilizar el ID de interfaz como parte de host de la dirección IPv6. Cada interfaz solo puede pertenecer a un único enrutador virtual. La definición de un enrutador virtual requiere la configuración de la asignación de los ajustes en la pestaña Configuración de enrutador > General y en cualquiera de las siguientes pestañas. el cortafuegos utilizará el EUI-64 generado desde la dirección MAC de la interfaz física. Dirección Interfaz de túnel > IPv6 Haga clic en Añadir y configure los siguientes parámetros para cada una de las direcciones IPv6: • Dirección: introduzca una dirección IPv6 y la longitud del prefijo (p. Configuración de interfaz de túnel (Continuación) Campo Configurado en Descripción Para una dirección IPv4 IP Interfaz de túnel > IPv4 Haga clic en Añadir y. seleccione la dirección y haga clic en Eliminar. • Habilitar dirección en interfaz: active esta casilla de verificación para habilitar la dirección IPv6 en la interfaz.0/24 para IPv4 o 2001:db8::/32 para IPv6).2. Para una dirección IPv6 Habilitar IPv6 en la interfaz Interfaz de túnel > IPv6 Seleccione esta casilla de verificación para habilitar las direcciones IPv6 en esta interfaz. La definición de enrutadores virtuales permite configurara reglas de reenvío de capa 3 y activar el uso de protocolos de enrutamiento dinámicos. Configuración de un enrutador virtual Red > Enrutadores virtuales Utilice esta página para definir enrutadores virtuales. Puede introducir múltiples direcciones IP para la interfaz. realice uno de los siguientes pasos para especificar una dirección IP y una máscara de red para la interfaz. • Haga clic en enlace Dirección para crear un objeto de dirección de tipo máscara de red IP. También puede seleccionar un objeto de dirección IPv6 existente o hacer clic en Dirección para crear un objeto de dirección. el cortafuegos utiliza el ID de interfaz como la parte de host de esa dirección. • Seleccione un objeto de dirección existente de tipo máscara de red IP.0 Palo Alto Networks . de bucle invertido y VLAN definidas en el cortafuegos se deben asociar con un enrutador virtual.168. 00:26:08:FF:FE:DE:4E:29).Configuración de un enrutador virtual Tabla 78.. Si deja este campo en blanco. Si activa la opción Usar ID de interfaz como parte de host cuando se añade una dirección.

números. Utilice únicamente letras. • Pestaña OSPFv3: Consulte “Configuración de la pestaña OSPFv3”. • Pestaña OSPF: Consulte “Configuración de la pestaña OSPF”. puede ver información sobre un enrutador virtual concreto haciendo clic en Más estadísticas de tiempo de ejecución en la última columna.Pestaña General Campo Descripción Nombre Especifique un nombre para identificar el enrutador virtual (de hasta 31 caracteres). Cuando añade una interfaz. • Pestaña BGP: Consulte “Configuración de la pestaña BGP”. Distancias administrativas Palo Alto Networks Especifique las siguientes distancias administrativas: • Rutas estáticas (10-240. opción predefinida 120). • Pestaña Perfil de redistribución: Consulte “Configuración de la pestaña Perfiles de redistribución”. • Enlace Más estadísticas de tiempo de ejecución: Consulte “Más estadísticas de tiempo de ejecución para un enrutador virtual”. opción predefinida 110). • RIP (10-240. Para especificar el tipo de interfaz. opción predefinida 200). Configuración de enrutador virtual . • Pestaña Multidifusión: Consulte “Configuración de la pestaña Multidifusión”. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Guía de referencia de interfaz web. • Pestaña RIP: Consulte “Configuración de la pestaña RIP”. en la página Red > Enrutadores virtuales. Cuando selecciona una interfaz. opción predefinida 30). • EBGP (10-240. se incluye en el enrutador virtual y se puede utilizar como una interfaz de salida en la pestaña de enrutamiento del enrutador virtual. opción predefinida 20). • Pestaña ECMP: Consulte “Componentes del ECMP”. opción predefinida 10). • IBGP (10-240.0 • 159 . • OSPF Int (10-240. • OSPF Ext (10-240. versión 7. consulte “Configuración de la interfaz de un cortafuegos”. Interfaces Seleccione las interfaces que desea incluir en el enrutador virtual. guiones y guiones bajos. Cuando ha configurado una porción de un enrutador virtual. Configuración de la pestaña General Red > Enrutador virtual > Configuración de enrutador > General Todas las configuraciones del enrutador virtual exigen que añada interfaces de capa 3 y cifras de distancia administrativa según se describe en la siguiente tabla: Tabla 79. sus rutas conectadas se añaden automáticamente. espacios.Configuración de un enrutador virtual • Pestaña Rutas estáticas: Consulte “Configuración de la pestaña Rutas estáticas”.

Distancia administrativa Especifique la distancia administrativa de la ruta estática (10-240.0. • Siguiente VR: Seleccione un enrutador virtual en el cortafuegos como el siguiente salto. La ruta se retiene en la configuración para su referencia futura.0 Palo Alto Networks . Siguiente salto Especifique los siguientes ajustes de salto: • Ninguno: Seleccione esta opción si no existe el siguiente salto en la ruta. 192. Sin las reglas de redistribución. Utilice únicamente letras. o ambos. Tabla 80. Aplique perfiles de redistribución a BGP en la pestaña Reglas de redistribución. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • Descartar: Seleccione esta opción si desea descartare l tráfico que se dirige a este destino.0/0). No instalar Seleccione esta opción si no desea instalar la ruta en la tabla de reenvíos. Configuración de enrutador virtual .Pestaña Rutas estáticas Campo Descripción Nombre Introduzca un nombre para identificar la ruta estática (de hasta 31 caracteres).Configuración de un enrutador virtual Configuración de la pestaña Rutas estáticas Red > Enrutador virtual > Rutas estáticas Opcionalmente puede introducir una o más rutas estáticas. Las rutas predefinidas se aplican a destinos que de otro modo no se encontrarían en la tabla de enrutamiento del enrutador virtual. Métrica Especifique una medida para la ruta estática (1 . Los perfiles de redistribución se pueden añadir o modificar después de configurar todos los protocolos de enrutamiento y de establecer la topología de red resultante. La redistribución de rutas permite a las rutas estáticas y a las rutas adquiridas por otros protocolos anunciarse mediante protocolos de enrutamiento específicos.0. 160 • Guía de referencia de interfaz web. espacios. Consulte la tabla siguiente. versión 7. opción predefinida 10). guiones y guiones bajos. Esta opción permite configurar rutas internamente entre enrutadores virtuales en un único cortafuegos.0/24 para IPv4 o 2001:db8::/32 para IPv6). establecer la prioridad y realizar acciones basadas en el comportamiento de red deseado.65535). Haga clic en la pestaña IP o IPv6 para especificar la ruta mediante direcciones IPv4 o IPv6. Interfaz Seleccione la interfaz para reenviar paquetes al destino o configure el siguiente salto. • Dirección IP: Especifique la dirección IP del siguiente enrutador de salto. cada uno de los protocolos se ejecuta de forma separada y no se comunican fuera de su ámbito.2. Los perfiles de redistribución se deben aplicar a los protocolos de enrutamiento para que surtan efecto. Configuración de la pestaña Perfiles de redistribución Red > Enrutador virtual > Perfiles de redistribución Los perfiles de redistribución dirigen el cortafuegos para filtrar. números. Destino Introduzca una dirección IP y una máscara de red en la notación de enrutamiento entre dominios sin clases (CIDR): dirección_ip/máscara (por ejemplo. Aplique perfiles de redistribución a los protocolos RIP y OSPF definiendo reglas de exportación. Aquí suele ser necesario configurar las rutas predefinidas (0.168.

Pestaña Filtro general Tipo Seleccione las casillas de verificación para especificar los tipos de ruta de candidato.x.x). Etiqueta Especifique los valores de etiqueta OSPF.x/n) y haga clic en Añadir. Un valor métrico inferior significa una ruta más preferible. Introduzca un valor de etiqueta numérica (1-255) y haga clic Añadir. Los perfiles se muestran en orden (con los números más bajos primero). introduzca un nuevo valor métrico. haga clic en el icono asociado con la entrada.x. Pestaña Filtro BGP Comunidad Especifique una comunidad para la política de enrutamiento BGP. y haga clic en Añadir. • No hay ninguna redistribución: Seleccione si no se realizará ningún tipo de redistribución.Pestaña Perfiles de redistribución Campo Descripción Nombre Haga clic en Añadir para mostrar la página Perfil de redistribución e introduzca el nombre del perfil.x o x. • Redistr. Para eliminar una entrada. Comunidad extendida Especifique una comunidad extendida para la política de enrutamiento BGP.x. introduzca la dirección IP o la subred de destino (con el formato x. Pestaña Filtro OSPF Tipo de ruta Seleccione las casillas de verificación para especificar los tipos de ruta de candidato OSPF. haga clic en el icono asociado con la entrada. Redistribuir Seleccione si la redistribución de la ruta se realizará según los ajustes de esta ventana. versión 7. Prioridad Introduzca un nivel de prioridad (intervalo 1-255) para este perfil. Para eliminar una entrada. Si selecciona esta opción.x. Introduzca el ID de área OSPF (con el formato x.x/n) que represente el siguiente salto y haga clic en Añadir. Siguiente salto Para especificar la puerta de enlace de la ruta de candidato. Configuración de enrutador virtual .x o x.x. haga clic en el icono asociado con la entrada.x. introduzca la dirección IP o la subred (con el formato x.x.x.: Seleccione si la redistribución se realizará con rutas de candidato coincidentes. Palo Alto Networks Guía de referencia de interfaz web. haga clic en el icono asociado con la entrada. Para eliminar una entrada.Configuración de un enrutador virtual Tabla 81.x.0 • 161 . Interfaz Seleccione las interfaces para especificar las interfaces de reenvío de la ruta de candidato. Para eliminar una entrada.x. Área Especifique el identificador de área de la ruta de candidato OSPF. Destino Para especificar el destino de la ruta de candidato.

Tabla 83. se deben configurar ajustes en las siguientes pestañas: • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”.Pestaña RIP Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo RIP. • Pestaña Temporizadores: Consulte “Configuración de la pestaña Temporizadores”. Este campo solo es visible si se ha seleccionado la casilla de verificación Anunciar. Anunciar Seleccione si desea anunciar una ruta predefinida a peers RIP con el valor métrico especificado. versión 7. Es muy recomendable seleccionar esta casilla de verificación. Pasivo o Enviar únicamente. Métrica Especifique un valor métrico para el anuncio del enrutador. 162 • Guía de referencia de interfaz web. Perfil de autenticación Seleccione el perfil. Además. Configuración de la pestaña Interfaces Red > Enrutador virtual > RIP > Interfaces En la siguiente tabla se describen los ajustes de la pestaña Interfaces.Configuración de un enrutador virtual Configuración de la pestaña RIP Red > Enrutador virtual > RIP La configuración del protocolo de información de enrutamiento (RIP) requiere que se establezcan los siguientes ajustes generales: Tabla 82. Configuración de RIP – Pestaña Interfaces Campo Descripción Interfaces Interfaz Seleccione la interfaz que ejecuta el protocolo RIP.0 Palo Alto Networks . Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante RIP. Modo Seleccione Normal. Habilitar Seleccione esta opción para habilitar estos ajustes. Configuración de enrutador virtual . • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”.

60). confirme. primero defina los perfiles de autenticación y a continuación. seleccione la opción Preferido.3600). Clave y. aplíquelos a las interfaces en la pestaña RIP. a continuación. Intervalo de actualizaciones Introduzca el número de intervalos entre los anuncios de actualización de rutas (1 . opcionalmente. Intervalos de eliminación Introduzca el número de intervalos entre la hora de vencimiento de la ruta hasta su eliminación (1. Esta duración se utiliza para el resto de los campos de temporización de RIP (1 . Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. • Si selecciona MD5. Seleccione el tipo de contraseña (simple o MD5). • Si selecciona Sencillo. Configuración de RIP – Pestaña Temporizadores Campo Descripción Temporizadores Segundos del intervalo (seg) Defina la duración del intervalo de tiempo en segundos.3600).3600). Para autenticar mensajes RIP. a continuación. Configuración de RIP – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Tipo de contraseña Introduzca un nombre para el perfil de autenticación para autenticar los mensajes RIP. Tabla 84. incluyendo ID de clave (0-255). haga clic en ACEPTAR. Intervalos de vencimiento Introduzca el número de intervalos entre la última hora de actualización de la ruta hasta su vencimiento (1. introduzca una o más entradas de contraseña. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > RIP > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. el estado Preferido.Configuración de un enrutador virtual Configuración de la pestaña Temporizadores Red > Enrutador virtual > RIP > Temporizadores En la siguiente tabla se describen los ajustes de la pestaña Temporizadores. Haga clic en Añadir en cada entrada y. Palo Alto Networks Guía de referencia de interfaz web. introduzca la contraseña sencilla y. versión 7. Tabla 85.0 • 163 .

el filtro.0 Palo Alto Networks .Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. en función del comportamiento de red deseado. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual. Configuración del enrutador virtual . • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. Consulte “Configuración de la pestaña Perfiles de redistribución”. Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF.Configuración de la pestaña Reglas de exportación”. 164 • Guía de referencia de interfaz web. Además. Configuración de la pestaña OSPF Red > Enrutador virtual > OSPF La configuración del protocolo OSPF (Open Shortest Path First) necesita que se establezcan los siguientes ajustes generales: Tabla 87. la prioridad y la acción. especialmente en rutas estáticas. • Perfil de redistribución: Seleccione un perfil de redistribución que permite modificar la redistribución de la ruta. • Pestaña Reglas de exportación: Consulte “. Configuración de RIP – Pestaña Reglas de exportación Campo Descripción Reglas de exportación Reglas de exportación (Solo lectura) Muestra las rutas aplicables a las rutas que envía el enrutador virtual a un enrutador de recepción. Tabla 86. • Permitir redistribución de ruta predeterminada: Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predeterminada a los peers. versión 7. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”.Configuración de un enrutador virtual Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > RIP > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. Es muy recomendable seleccionar esta casilla de verificación.

Tipo Seleccione una de las siguientes opciones. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. el área puede aceptar todos los tipos de rutas. área no totalmente de código auxiliar): Es posible salir del área directamente. Para acceder a un destino fuera del área. Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. Tabla 88. versión 7. Si selecciona esta opción.x. Intervalo Palo Alto Networks Haga clic en Añadir para añadir direcciones de destino LSA en el área en subredes. Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas.x. junto con el valor métrico asociado (1-255). Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada.x. Configuración de OSPF – Pestaña Áreas Campo Descripción Áreas ID de área Configure el área en el que los parámetros OSPF se pueden aplicar.0 • 165 . Introduzca un identificador del área en formato x. pero solo mediante rutas que no sean OSPF. Guía de referencia de interfaz web. Seleccione Anunciar ruta predeterminada para especificar si desea incluir una LSA de ruta predeterminada en los anuncios del área de código auxiliar. • Código auxiliar: No hay salida desde el área. Es el identificador que cada vecino debe aceptar para formar parte de la misma área. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. Si selecciona esta opción. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. junto con el valor métrico asociado (1-255).Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPF > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. que conecta con el resto de áreas. es necesario atravesar el límite. • Normal: No hay restricciones. seleccione Aceptar resumen si desea aceptar este tipo de LSA. Repita esta acción para añadir intervalos adicionales. • NSSA (Not-So-Stubby Area.

La definición manual de vecino solo se permite en modo p2mp. de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. Aunque los paquetes OSPF no se envían ni reciben. versión 7.Configuración de un enrutador virtual Tabla 88. • Interfaz: Seleccione la interfaz. si selecciona esta opción. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos. el enrutador no se designará como DR ni BDR. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. 166 • Guía de referencia de interfaz web. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. la interfaz se incluirá en la base de datos de LSA. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Intervalo: 1-10 segundos. Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. Valor predeterminado: 10 segundos. Si el temporizador de fallos es demasiado corto. Si el valor es cero. Por lo tanto. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/ pasiva. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. Valor predeterminado: 10 segundos. Durante el reinicio. Valor predeterminado: 10 segundos. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. como una interfaz Ethernet. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). Intervalo: 0-3600 segundos. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Valor predeterminado: 4. Intervalo: 0-3600 segundos. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. Por ejemplo. Valor predeterminado: 1 segundo. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. antes de que OSPF considere que ese vecino tiene un fallo. Intervalo: 3-20. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo.0 Palo Alto Networks . ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. Intervalo: 0-3600 segundos.

aplíquelos a las interfaces en la pestaña OSPF. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Palo Alto Networks Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. introduzca una o más entradas de contraseña. haga clic en ACEPTAR. introduzca la contraseña. • Si selecciona Simple.Configuración de un enrutador virtual Tabla 88. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Clave y.Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación. a continuación. Tabla 90. Tipo de contraseña Seleccione el tipo de contraseña (simple o MD5). • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación.0. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual.0). versión 7. . seleccione la opción Preferido.0. primero defina los perfiles de autenticación y a continuación. Haga clic en Añadir en cada entrada y. • Si selecciona MD5. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPF > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. Tabla 89. Guía de referencia de interfaz web. Para especificar la clave que se debe utilizar para autenticar el mensaje saliente. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida. opcionalmente el estado Preferido. Para autenticar mensajes OSPF. incluyendo ID de clave (0-255). • Nombre: Introduzca un nombre para el enlace virtual. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. Configuración de OSPF – Pestaña Áreas (Continuación) Campo Descripción Enlace virtual Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal.0 • 167 . Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. • Habilitar: Seleccione para habilitar el enlace virtual.

de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia. Tabla 91. • Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. mismo ID de LSA). Intervalo: 5 . Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. el cortafuegos no entrará en modo auxiliar. Configuración de OSPF – Pestaña Perfiles de autenticación (Continuación) Campo Descripción Nombre Seleccione el nombre del perfil de redistribución. • Habilitar modo auxiliar: Habilitado de forma predeterminada. Valor predeterminado: 120 segundos. 168 • Guía de referencia de interfaz web.1800 segundos. Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología.0 Palo Alto Networks . Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador.1800 segundos. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. mismo tipo.Configuración de un enrutador virtual Tabla 90. Es un equivalente de MinLSInterval en RFC 2328. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada. Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. • Máx. Los valores menores permiten una reconvergencia OSPF más rápida. esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. Intervalo: 5 . versión 7. • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Compatibilidad RFC 1583 Selecciona la casilla de verificación para garantizar la compatibilidad con RFC 1583. Valor predeterminado: 140 segundos. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente. intervalo 1-65535). Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF.

Rechazar ruta por defecto Seleccione la casilla de verificación si no desea obtener ninguna de las rutas predefinidas mediante OSPF. se deben configurar ajustes en las siguientes pestañas: • Pestaña Áreas: Consulte “Configuración de la pestaña Áreas”. Es muy recomendable seleccionar esta casilla de verificación.0 • 169 .Configuración de un enrutador virtual Configuración de la pestaña OSPFv3 Red > Enrutador virtual > OSPFv3 La configuración del protocolo OSPFv3 (Open Shortest Path First v3) necesita que se establezcan los siguientes ajustes generales: Tabla 92. especialmente en rutas estáticas.Pestaña OSPF Campo Descripción Habilitar Seleccione la casilla de verificación para activar el protocolo OSPF. Palo Alto Networks Guía de referencia de interfaz web. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. • Pestaña Perfiles de autenticación: Consulte “Configuración de la pestaña Perfiles de autenticación”. versión 7. • Pestaña Reglas de exportación: Consulte “Configuración de la pestaña Reglas de exportación”. Además. El protocolo OSPF utiliza el ID del enrutador para identificar de manera única la instancia OSPF. ID del enrutador Especifique el ID del enrutador asociado con la instancia OSPF en este enrutador virtual. Configuración del enrutador virtual .

Habilite o suprima LSA de anuncios que coincidan con la subred y haga clic en ACEPTAR. el área OSPF se comportará como un área totalmente de código auxiliar (TSA) y ABR no propagará ninguno de los LSA de resumen. que conecta con el resto de áreas.0 Palo Alto Networks . Haga clic en Añadir en la sección Intervalos externos e introduzca los intervalos si desea activar o suprimir rutas externas de anuncios que se obtienen mediante NSSA a otras áreas. También puede seleccionar el tipo de ruta que se utilizará para anunciar el LSA predefinido. junto con el valor métrico asociado (1-255). Repita esta acción para añadir intervalos adicionales.Configuración de un enrutador virtual Configuración de la pestaña Áreas Red > Enrutador virtual > OSPFv3 > Áreas La tabla siguiente describe los ajustes de la pestaña Áreas. seleccione Aceptar resumen si desea aceptar este tipo de anuncio de estado de enlace (LSA) de otras áreas. Configuración del enrutador virtual . versión 7. Si selecciona esta opción. Intervalo Haga clic en Añadir para que la subred añada direcciones IPv6 de destino LSA en el área. Tipo Seleccione una de las siguientes opciones. seleccione Aceptar resumen si desea aceptar este tipo de LSA. Tabla 93. Especifique si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. área no totalmente de código auxiliar): Es posible salir del área directamente. junto con el valor métrico asociado (1-255). es necesario atravesar el límite.Pestaña Áreas Campo Descripción Autenticación Seleccione el nombre del perfil de autenticación que desea especificar para esta área de OSPFarea. También puede especificar si desea incluir una ruta LSA predefinida en los anuncios al área de código auxiliar. 170 • Guía de referencia de interfaz web. pero solo mediante rutas que no sean OSPF. el área puede aceptar todos los tipos de rutas. • Normal: No hay restricciones. • Código auxiliar: No hay salida desde el área. Si la opción Aceptar resumen de un área de código auxiliar de la interfaz de enrutador de borde de área (ABR) está desactivada. Para acceder a un destino fuera del área. • NSSA (Not-So-Stubby Area. Si selecciona esta opción.

antes de que OSPF considere que ese vecino tiene un fallo. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente. Aunque los paquetes OSPF no se envían ni reciben. Intervalo: 3-20. Valor predeterminado: 10 segundos.0 • 171 . Por lo tanto. introduzca la dirección IP de todos los vecinos accesibles mediante esta interfaz. la adyacencia bajará durante el reinicio correcto a causa del retraso de saludo. Es la prioridad del enrutador para ser el enrutador designado (DR) o de reserva (BDR) según el protocolo OSPF. • Retraso de saludo de reinicio correcto (segundos): Se aplica a una interfaz de OSPF cuando se configura la alta disponibilidad activa/pasiva. ese retraso de 10 segundos de los paquetes de saludo se enmarca cómodamente dentro del temporizador de fallos de 40 segundos. Intervalo: 0-3600 segundos. como una interfaz Ethernet. Seleccione p2mp (punto a multipunto) si los vecinos se deben definir manualmente. Si el retraso de saludo de reinicio correcto se establece en 10 segundos. Valor predeterminado: 4. Configuración del enrutador virtual . Durante este tiempo no se envían paquetes de saludo desde el cortafuegos de reinicio. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. • Intervalo de saludo (segundos): Intervalo en el que el proceso de OSPF envía paquetes de saludo a sus vecinos directamente conectados. versión 7. un intervalo de saludo de 10 segundos y un valor de recuentos fallidos de 4 da como resultado un valor de temporizador de fallos de 40 segundos.Configuración de un enrutador virtual Tabla 93. • Métrica: Introduzca la métrica OSPF de esta interfaz (0-65535). de forma que la adyacencia no agotará su tiempo de espera durante un reinicio correcto. • Retraso de tránsito (segundo): Tiempo que un LSA se retrasa antes de enviarse a una interfaz. Retraso de saludo de reinicio correcto es el tiempo durante el cual el cortafuegos envía los paquetes de LSA de gracia en intervalos de 1 segundo. el enrutador no se designará como DR ni BDR. El intervalo de saludo multiplicado por los recuentos fallidos es igual al valor del temporizador de fallos. Por ejemplo. Durante el reinicio. Intervalo: 0-3600 segundos. Intervalo: 1-10 segundos. se recomienda que el temporizador de fallos sea al menos cuatro veces el valor del retraso de saludo de reinicio correcto. Valor predeterminado: 1 segundo. Palo Alto Networks Guía de referencia de interfaz web.Pestaña Áreas (Continuación) Campo Descripción Interfaz Haga clic en Añadir e introduzca la siguiente información en cada interfaz que se incluirá en el área y haga clic en ACEPTAR. Valor predeterminado: 10 segundos. Si el temporizador de fallos es demasiado corto. • Intervalo de retransmisión (segundo): Tiempo que espera el OSPF para recibir un anuncio de estado de enlace (LSA) de un vecino antes de que el OSPF retransmita el LSA. el temporizador de fallos (que es el intervalo de saludo multiplicado por los recuentos fallidos) también avanza. • Tipo de enlace: Seleccione Difusión si desea poder acceder a todos los vecinos mediante la interfaz y poder descubrirlos automáticamente por mensajes de saludo multicast OSPF. la interfaz se incluirá en la base de datos de LSA. • Vecinos: En interfaces p2pmp. • Pasivo: Seleccione la casilla de verificación si no desea que la interfaz OSPF envíe o reciba paquetes OSPF. • Interfaz: Seleccione la interfaz. La definición manual de vecino solo se permite en modo p2mp. Valor predeterminado: 10 segundos. Si el valor es cero. • Habilitar: Permite que la configuración de la interfaz OSPF surta efecto. • Prioridad: Introduzca la prioridad OSPF de esta interfaz (0-255). • Recuentos fallidos: Número de ocasiones en las que se puede producir el intervalo de saludo para un vecino sin que OSPF reciba un paquete de saludo desde el vecino. Seleccione p2p (punto a punto) para descubrir al vecino automáticamente. si selecciona esta opción. Intervalo: 0-3600 segundos.

Conjunto de cuatro funciones de hash con un resumen de 256 bits. Configuración del enrutador virtual . • SHA256: Algoritmo de hash seguro 2. SPI Especifique el índice de parámetros de seguridad (SPI) para los paquetes transversales desde el cortafuegos remoto hasta el peer. • MD5: Algoritmo de resumen de mensaje de MD5. primero defina los perfiles de autenticación y a continuación. • Habilitar: Seleccione para habilitar el enlace virtual. • Área de tránsito: Introduzca el ID del área de tránsito que contiene físicamente al enlace virtual.Configuración de un enrutador virtual Tabla 93. Protocolo Especifique uno de los siguientes protocolos: • ESP: Protocolo de carga de seguridad encapsulada.Pestaña Áreas (Continuación) Campo Descripción Enlaces virtuales Configure los ajustes del enlace virtual para mantener o mejorar la conectividad del área troncal. Conjunto de cuatro funciones de hash con un resumen de 512 bits. aplíquelos a las interfaces en la pestaña OSPF. • Sincronización: Es recomendable que mantenga sincronizada su configuración temporal predefinida.0. Configuración de la pestaña Perfiles de autenticación Red > Enrutador virtual > OSPFv3 > Perfiles de autenticación La tabla siguiente describe los ajustes de la pestaña Perfiles de autenticación. • Nombre: Introduzca un nombre para el enlace virtual.0 Palo Alto Networks . • AH: Protocolo del encabezado de autenticación.0). Para autenticar mensajes OSPF. • SHA384: Algoritmo de hash seguro 2. • SHA512: Algoritmo de hash seguro 2. Configuración de OSPFv3: Pestaña Perfiles de autenticación Campo Descripción Perfiles de autenticación Nombre de perfil Introduzca un nombre para el perfil de autenticación. • ID de vecino: Introduzca el ID del enrutador (vecino) del otro lado del enlace virtual.0. • ID de instancia: Introduzca un número de ID de instancia OSPFv3. Conjunto de cuatro funciones de hash con un resumen de 384 bits. Algoritmo criptográfico Especifique una de las siguientes opciones: • Ninguno: No se utilizará ningún algoritmo criptográfico. Los ajustes se deben definir para enrutadores de borde de área y se deben definir en el área troncal (0. 172 • Guía de referencia de interfaz web. Clave/Confirmar clave Introduzca y confirme una clave de autenticación. versión 7. Tabla 94. Haga clic en Añadir e introduzca la siguiente información en enlace virtual que se incluirá en el área troncal y haga clic en ACEPTAR. • SHA1: Algoritmo de hash seguro 1. • Perfil de autenticación: Seleccione un perfil de autenticación definido previamente.

el dispositivo participa en OSPFv3 pero ningún otro enrutador envía tráfico de tránsito. Clave/Confirmar clave Introduzca y confirme una clave de cifrado. el tráfico local seguirá reenviándose al dispositivo. Nueva etiqueta Especifique una etiqueta para la ruta que tenga un valor de 32 bits. El valor debe ser una subred IP o un nombre de perfil de redistribución válido. Nuevo tipo de ruta Seleccione el tipo de métrica que se aplicará. Cuando está en este estado. Configuración de OSPFv3: Pestaña Perfiles de autenticación (Continuación) Campo Cifrado Descripción Especifica una de las siguientes opciones: • aes-128-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 128 bits. Nombre Seleccione el nombre del perfil de redistribución. Tabla 95. versión 7. intervalo 1-65535).Configuración de un enrutador virtual Tabla 94. • nulo: No se utiliza ningún cifrado. Configuración de la pestaña Reglas de exportación Red > Enrutador virtual > OSPF > Reglas de exportación La tabla siguiente describe los ajustes de la pestaña Reglas de exportación.0 • 173 . Métrica Especifique la métrica de ruta asociada con la ruta exportada que se utilizará para seleccionar la ruta (opcional. Configuración de la pestaña Avanzado Red > Enrutador virtual > OSPF > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado. No está disponible si no se ha seleccionado el protocolo AH. Configuración de OSPF – Pestaña Perfiles de autenticación Campo Descripción Reglas de exportación Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir la redistribución de las rutas predeterminadas mediante OSPF. En este estado. Tabla 96. Es útil cuando se realiza mantenimiento con una red de dos bases porque el tráfico se puede volver a enrutar en el dispositivo mientras este siga siendo accesible. • aes-256-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 256 bits. Guía de referencia de interfaz web. • aes-192-cbc: Se aplica el estándar de cifrado avanzado (AES) usando las claves criptográficas de 192 bits. Configuración de OSPF – Pestaña Avanzado Campo Descripción Avanzado Deshabilitar enrutamiento de tránsito para el cálculo de SPF Palo Alto Networks Seleccione esta casilla de verificación si desea establecer el R-bit en los LSA del enrutador enviados desde este dispositivo para indicar que el enrutador no está activo.

• Habilitar comprobación de LSA estricta: Habilitado de forma predeterminada. el cortafuegos no entrará en modo auxiliar.0 Palo Alto Networks . Los enrutadores que se emparejan con el cortafuegos se deben configurar de manera similar para optimizar los tiempos de convergencia. Los valores menores permiten una reconvergencia OSPF más rápida. Configuración de enrutador virtual . Número AS Introduzca el número AS al que pertenece el enrutador virtual. Valor predeterminado: 120 segundos. se deben configurar ajustes en las siguientes pestañas: • Pestaña General: Consulte “Configuración de la pestaña General”. un cortafuegos que tenga esta función activada indicará a los enrutadores vecinos que continúen usándolo como ruta cuando tenga lugar una transición que lo desactive temporalmente.1800 segundos. mismo ID de LSA).1800 segundos. Es un equivalente de MinLSInterval en RFC 2328. • Habilitar modo auxiliar: Habilitado de forma predeterminada. esta función hace que el cortafuegos que tenga habilitado el modo auxiliar de OSPF salga de este modo si se produce un cambio de topología. Además. • Máx. • Intervalo LSA (seg): Esta opción especifica el tiempo mínimo entre las transmisiones de las dos instancias del mismo LSA (mismo enrutador.Configuración de un enrutador virtual Tabla 96. Intervalo: 5 . • Periodo de gracia (seg): Periodo de tiempo en segundos que los dispositivos peer deben continuar reenviando a las adyacencias de este mientras se están restableciendo o el enrutador se está reiniciando. • Pestaña Avanzado: Consulte “Configuración de la pestaña Avanzado”. un cortafuegos que tenga este modo activado continuará reenviando a un dispositivo adyacente durante el reinicio del dispositivo. Reinicio correcto • Habilitar reinicio correcto: Habilitado de forma predeterminada. 174 • Guía de referencia de interfaz web. Valor predeterminado: 140 segundos. Configuración de OSPF – Pestaña Avanzado (Continuación) Campo Descripción Temporizadores • Retraso de cálculo SPF (seg): Esta opción es un temporizador que le permite definir el retraso de tiempo entre la recepción de nueva información de topología y ejecutar un cálculo SPF. de hora de reinicio del mismo nivel: Periodo de gracia máximo en segundos que el cortafuegos aceptará como enrutador de modo auxiliar Si los dispositivos peer ofrecen un periodo de gracia más largo en su LSA de gracia.Pestaña BGP Campo Descripción Habilitar Seleccione la casilla de verificación para activar funciones de BGP. Configuración de la pestaña BGP Red > Enrutador virtual > BGP La configuración del protocolo de puerta de enlace de borde (BGP) requiere que se establezcan los siguientes ajustes: Tabla 97. ID del enrutador Introduzca la dirección IP para asignarla al enrutador virtual. Intervalo: 5 . Los valores más bajos se pueden utilizar para reducir los tiempos de reconvergencia cuando se producen cambios en la tipología. mismo tipo. en función del ID del enrutador (intervalo 1-4294967295). versión 7.

Comparación determinista de MED Active la comparación MED para elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo sistema autónomo). Haga clic en el icono para eliminar un perfil. Configuración de la pestaña General Red > Enrutador virtual > BGP > General La tabla siguiente describe los ajustes de la pestaña General. Tabla 98. Este ajuste es configurable por motivos de interoperabilidad.”. • Pestaña Importar: Consulte “Configuración de las pestañas Importar y Exportar”. • Pestaña Agregado: Consulte “Configuración de la pestaña Anuncio condicional”. • Pestaña Reglas de redistr. Instalar ruta Seleccione la casilla de verificación para instalar rutas BGP en la tabla de enrutamiento global. • Pestaña Exportar: Consulte “Configuración de las pestañas Importar y Exportar”. • Secreto/Confirmar secreto: Introduzca y confirme la contraseña para comunicaciones de peer BGP. Perfiles de autenticación Haga clic en Añadir para incluir un nuevo perfil de autenticación y configurar los siguientes ajustes: • Nombre del perfil: Introduzca un nombre para identificar el perfil. Palo Alto Networks Guía de referencia de interfaz web. Formato AS Seleccione el formato de 2 (predefinido) o 4 bytes.: Consulte “Configuración de la pestaña Reglas de distr. Preferencia local predeterminada Especifica un valor que se puede asignar para determinar preferencias entre diferentes rutas. versión 7.0 • 175 . Agregar MED Seleccione esta opción para activar la agregación de rutas incluso si las rutas tienen valores diferentes de discriminador de salida múltiple (MED). Configuración de BGP – Pestaña General Campo Descripción Pestaña General Rechazar ruta por defecto Seleccione la casilla de verificación para ignorar todas las rutas predeterminadas anunciadas por peers BGP. • Pestaña Anuncio condicional: Consulte “Configuración de la pestaña Anuncio condicional”.Configuración de un enrutador virtual • Pestaña Grupo del peer: Consulte “Configuración de la pestaña Grupo del peer”. Comparar siempre MED Permite comparar MED para rutas de vecinos en diferentes sistemas autónomos.

opción predefinida 120 segundos). • Reutilizar: Especifique un umbral de retirada de ruta por debajo del cual una ruta suprimida se vuelve a utilizar (intervalo 0. opción predeterminada 5).0-1000. • Corte: Especifique un umbral retirada de ruta por encima del cual. Haga clic en el icono para eliminar un perfil. opción predefinida 120 segundos). opción predeterminada 900 segundos). con independencia de su inestabilidad (intervalo 0-3600 segundos.Configuración de un enrutador virtual Configuración de la pestaña Avanzado Red > Enrutador virtual > BGP > Avanzado La tabla siguiente describe los ajustes de la pestaña Avanzado: Tabla 99. • Media vida de disminución no alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera no alcanzable (intervalo 0-3600 segundos.25). • Media vida de disminución alcanzable: Especifique el tiempo después del cual la métrica de estabilidad de una ruta se divide entre dos si la ruta se considera alcanzable (intervalo 0-3600 segundos. Este valor se le comunica a los peers (intervalo 1-3600 segundos. opción predefinida 300 segundos). • Máx. • Hora de reinicio local: Especifique el tiempo que el dispositivo local tarda en reiniciar. se suprime un anuncio de ruta (intervalo 0. Configuración de BGP – Pestaña Avanzado Campo Descripción Pestaña Avanzado Reinicio correcto Active la opción de reinicio correcto. opción predefinida 120 segundos).0-1000. de tiempo de espera: Especifique el tiempo máximo durante el que una ruta se puede suprimir.0 Palo Alto Networks . 176 • Guía de referencia de interfaz web. AS de miembro de confederación Especifique el identificador de la confederación AS que se presentará como un AS único a los peers BGP externos. ID de clúster reflector Especifique un identificador IPv4 para representar el clúster reflector. opción predefinida 1. • Tiempo de ruta obsoleto: Especifique el tiempo que una ruta puede permanecer inhabilitada (intervalo 1-3600 segundos.0. versión 7. de hora de reinicio del peer: Especifique el tiempo máximo que el dispositivo local acepta como período de gracia para reiniciar los dispositivos peer (intervalo 1-3600 segundos. • Máx. opción predefinida 300 segundos). Perfiles de amortiguación Entre los parámetros se incluyen: • Nombre del perfil: Introduzca un nombre para identificar el perfil. • Habilitar: activa el perfil.0.

Restablecimiento parcial con información almacenada Seleccione la casilla de verificación para ejecutar un restablecimiento parcial del cortafuegos después de actualizar los ajustes de peer. versión 7.Configuración de un enrutador virtual Configuración de la pestaña Grupo del peer Red > Enrutador virtual > BGP > Grupo del peer La tabla siguiente describe los ajustes de la pestaña Grupo del peer. Tabla 100.0 • 177 . Importar siguiente salto Seleccione una opción para importar el siguiente salto: • original: Utilice la dirección del salto siguiente en el anuncio de la ruta original. Configuración de BGP – Pestaña Grupo del peer Campo Descripción Pestaña Grupo del peer Nombre Introduzca un nombre para identificar el peer. Exportar siguiente salto Seleccione una opción para exportar el siguiente salto: • resolver: Resuelve la dirección del siguiente salto mediante la tabla de reenvío local. • usar mismas: Sustituya la dirección del siguiente salto con la dirección de esta dirección IP del enrutador para garantizar que estará en la ruta de reenvío. Habilitar Seleccione para activar el peer. Ruta AS confederada agregada Seleccione la casilla de verificación para incluir una ruta a la AS de confederación agregada configurada. – Exportar siguiente salto • IBGP confederado: Especifique lo siguiente: – Exportar siguiente salto • EBGP: Especifique lo siguiente: – Importar siguiente salto – Exportar siguiente salto – Eliminar AS privado (seleccione si desea forzar que BGP elimine números AS privados). Tipo Especifique el tipo o grupo de peer y configure los ajustes asociados (consulte la tabla siguiente para ver las descripciones de Importar siguiente salto y Exportar siguiente salto). • IBGP: Especifique lo siguiente: – Exportar siguiente salto • EBGP confederado: Especifique lo siguiente. • uso-peer: Utilice la dirección IP del peer como la dirección del salto siguiente. Palo Alto Networks Guía de referencia de interfaz web.

• Habilitar: Seleccione para activar el peer. • Conexiones entrantes/Conexiones salientes: Especifique los números de puertos entrantes y salientes y seleccione la casilla de verificación Permitir para permitir el tráfico desde o hacia estos puertos.100000 o ilimitado). • Opciones avanzadas: Configure los siguientes ajustes: – Cliente reflector: Seleccione el tipo de cliente reflector (No cliente. • Dirección local: Seleccione una interfaz de cortafuegos y una dirección IP local.Configuración de un enrutador virtual Tabla 100. Configuración de las pestañas Importar y Exportar Red > Enrutador virtual > BGP > Importar Red > Enrutador virtual > BGP > Exportar 178 • Guía de referencia de interfaz web. • Opciones de conexión: Especifique las siguientes opciones: – Perfil de autenticación: Seleccione el perfil. haga clic en Nuevo y configure los siguientes ajustes: • Nombre: Introduzca un nombre para identificar el peer. Configuración de BGP – Pestaña Grupo del peer (Continuación) Campo Descripción Peer Para agregar un nuevo peer. – Salto múltiple: Defina el valor del tiempo de vida (TTL) en el encabezado IP (intervalo 1-255. de prefijos: Especifique el número máximo de prefijos de IP compatibles (1 . – Intervalo entre mensajes de mantenimiento de conexión: Especifique un intervalo después del cual las rutas de un peer se supriman según el parámetro de tiempo de espera (intervalo 0-1200 segundos. opción predeterminada: 15 segundos).0 Palo Alto Networks . • Dirección del peer: Especifique la dirección IP y el puerto del peer. El valor predeterminado 0 significa 2 para eBGP y 255 para iBGP. Las rutas que se reciben de los clientes reflector se comparten con todos los peers BGP internos y externos. (rango: 3-3600 segundos. • As del peer: Especifique el AS del peer. valor predeterminado: 90 segundos) – Tiempo de espera de inactividad: Especifique el tiempo de espera en estado de inactividad antes de volver a intentar la conexión con el peer (intervalo 1-3600 segundos. opción predeterminada: 30 segundos). – Máx. Cliente o Cliente en malla). – Tiempo de espera: Especifique el período de tiempo que puede transcurrir entre mensajes KEEPALIVE o UPDATE sucesivos de un peer antes de cerrar la conexión del peer. – Tipo del peer: Especifique un peer bilateral o déjelo sin especificar. – Abrir tiempo de retraso: Especifique el tiempo de retraso entre la apertura de la conexión TCP del peer y el envío del primer mensaje abierto de BGP (intervalo 0-240 segundos. opción predefinida 0). opción predeterminada: 0 segundos). versión 7.

Eliminar Regex. Anexar o Sobrescribir. – Origen: Especifique el tipo de la ruta original: IGP. haga clic en Añadir y configure los siguientes ajustes: • Pestaña secundaria General: – Nombre: Especifique un nombre para identificar la regla. únicamente si la acción es Permitir. – Habilitar: Seleccione para activar la regla. Eliminar. únicamente si la acción es Permitir. Eliminar Regex. – Comunidad: Especifique una opción de comunidad: Ninguna. únicamente si la acción es Permitir (0. Haga clic en Duplicar para añadir un nuevo grupo con los mismos ajustes que el grupo seleccionado. Eliminar y preceder. EGP o incompleta.65535). – Siguiente salto: Especifique un enrutador de siguiente salto. versión 7. – Comunidad extendida: Especifique una opción de comunidad: Ninguna. Preceder. – Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas.65535). Configuración de BGP – Pestañas Importar y Exportar Campo Descripción Pestañas Importar reglas/Exportar reglas Importar reglas/ Exportar reglas Haga clic en la pestaña secundaria de BGP Importar reglas o Exportar reglas. únicamente si la acción es Permitir. Eliminar todo. – Ruta AS: Especifique una ruta AS: Ninguna. – Límite de ruta AS: Especifique un límite de ruta AS. – MED: Especifique un valor de MED para el filtrado de rutas. • Pestaña secundaria Acción: – Acción: Especifique una acción (Permitir o Denegar) que se realizará cuando se cumplan las condiciones especificadas. – Preferencia local: Especifique un valor de preferencia local únicamente si la acción es Permitir. – Utilizada por: Seleccione los grupos de peer que utilizarán esta regla. – Peso: Especifique un valor de peso. – MED: Especifique un valor de MED. – Prefijo de dirección: Especifique direcciones o prefijos IP para el filtrado de rutas. Eliminar todo.0 • 179 . • Pestaña secundaria Coincidencia: – Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. Se añade un sufijo al nombre del nuevo grupo para distinguirlo del original. únicamente si la acción es Permitir. únicamente si la acción es Permitir. únicamente si la acción es Permitir. únicamente si la acción es Permitir. (0. Anexar o Sobrescribir. – Amortiguación: Especifique un parámetro de amortiguación. Haga clic en el icono para eliminar un grupo. – Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. únicamente si la acción es Permitir. – Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. Para agregar una nueva regla.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Importar y Exportar: Tabla 101. – Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Palo Alto Networks Guía de referencia de interfaz web.

• Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. Si se encuentra alguna ruta coincidente con el filtro no existente en la tabla de enrutamiento BGP local. en lugar de a los otros. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad. Esta función es muy útil si desea probar y forzar rutas de un AS a otro. Con la función de anuncio condicional. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto de la ruta preferida. salvo que se produzca una pérdida de conectividad con el proveedor preferido. si tiene enlaces a Internet con varios ISP y desea enrutar el tráfico a un único proveedor. A continuación se describe cómo se configuran los valores en los campos. por ejemplo. versión 7. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. Haga clic en Añadir para crear un filtro no existente. • Habilitar: Seleccione para activar el filtro. seleccione la pestaña Anuncio condicional y haga clic en Añadir.Configuración de un enrutador virtual Configuración de la pestaña Anuncio condicional Red > Enrutador virtual > BGP > Anuncio condicional La tabla siguiente describe los ajustes de la pestaña Anuncio condicional: Tabla 102. Especifica la ruta que desea anunciar. Política Especifique el nombre de la política para esta regla de anuncio condicional. puede configurar un filtro no existente que busque el prefijo de la ruta preferida. Habilitar Seleccione la casilla de verificación para activar el anuncio condicional de BGP. • Filtros no existentes: Especifique un nombre para identificar este filtro. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Si un prefijo se va a anunciar y coincide con un filtro no existente. si está disponible en la tabla de ruta de BGP local. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. Utilizado por Haga clic en Añadir y seleccione los grupos de peer que utilizarán esta política de anuncio condicional. Configuración de BGP – Pestañas Anuncio condicional Campo Descripción Pestaña Anuncio condicional La función de anuncio condicional BGP permite controlar la ruta que se anunciará en caso de que no exista ninguna ruta diferente en la tabla de enrutamiento BGP local (LocRIB). el anuncio se suprimirá. solo entonces el dispositivo permitirá el anuncio de la ruta alternativa (la ruta al otro proveedor no preferido) tal y como se especifica en su filtro de anuncio. • MED: Especifique un valor de MED para el filtrado de rutas. Para configurar el anuncio condicional. indicando un fallo de peering o alcance.0 Palo Alto Networks . 180 • Guía de referencia de interfaz web. Pestaña secundaria Filtros no existentes Utilice esta pestaña para especificar el prefijo de la ruta preferida.

Configuración de la pestaña Agregado Red > Enrutador virtual > BGP > Agregado La tabla siguiente describe los ajustes de la pestaña Agregado: Tabla 103. • Anunciar filtros: Especifique un nombre para identificar este filtro. • Siguiente salto: Especifique los enrutadores o subredes del salto siguiente para el filtrado de rutas. Si un prefijo se va a anunciar y no coincide con un filtro no existente. • Expresión regular de la comunidad: Especifique una expresión regular para el filtrado de cadenas de comunidad.Configuración de un enrutador virtual Tabla 102. • Prefijo de dirección: Haga clic en Añadir y especifique el prefijo NLRI exacto para anunciar la ruta si la ruta preferida no está disponible. Suprimir filtros Defina los atributos que harán que las rutas coincidentes se supriman. Configuración de BGP – Pestañas Anuncio condicional (Continuación) Campo Descripción Pestaña secundaria Anunciar filtros Utilice esta pestaña para especificar el prefijo de la ruta de la tabla de enrutamiento Local-RIB que se debería anunciar en caso de que la ruta del filtro no existente no esté disponible en la tabla de enrutamiento local. Haga clic en Añadir para crear un filtro de anuncio. Palo Alto Networks Guía de referencia de interfaz web.0 • 181 . Configuración de BGP – Pestañas Agregado Campo Descripción Pestaña Agregado Nombre Introduzca un nombre para la configuración de agregación. • Expresión regular de ruta AS: Especifique una expresión regular para el filtrado de rutas AS. versión 7. • Expresión regular de comunidad extendida: Especifique una expresión regular para el filtrado de cadenas de comunidad extendidas. Agregar atributos de ruta Defina los atributos que se utilizarán para hacer coincidir las rutas que se agregarán. Anunciar filtros Defina los atributos para los filtros anunciados que asegurarán que cualquier enrutador que coincida con el filtro definido se publicará en los peers. el anuncio se producirá. • MED: Especifique un valor de MED para el filtrado de rutas. • Del peer: Especifique los enrutadores del peer para el filtrado de la ruta. • Habilitar: Seleccione para activar el filtro.

Campo Descripción Pestaña Reglas de redistr. Haga clic en el icono para eliminar una regla. se deben configurar ajustes en las siguientes pestañas: • Pestaña Punto de encuentro: Consulte “Configuración de la pestaña Punto de encuentro”.: Tabla 104. versión 7. • Pestaña Espacio de dirección específico de origen: Consulte “Configuración de la pestaña Espacio de dirección específico de origen”. haga clic en Añadir. Configuración de enrutador virtual .0 Palo Alto Networks . Red > Enrutador virtual > BGP > Reglas de distr. Nombre Seleccione el nombre del perfil de redistribución.Configuración de un enrutador virtual Configuración de la pestaña Reglas de distr. Reglas de redistr. Configuración de BGP – Reglas de distr. Para agregar una nueva regla. Configuración de la pestaña Multidifusión Red > Enrutador virtual > Multidifusión La configuración de protocolos multicast necesita que se configuren los siguientes ajustes estándar: Tabla 105. Configuración de la pestaña Punto de encuentro Red > Enrutador virtual > Multicast > Punto de encuentro 182 • Guía de referencia de interfaz web. configure los siguientes ajustes y haga clic en Listo.Pestaña Multicast Campo Descripción Habilitar Seleccione la casilla de verificación para activar el enrutamiento multicast. Los parámetros de esta tabla se han descrito anteriormente en las pestañas Importar reglas y Exportar reglas. Además. • Pestaña Interfaces: Consulte “Configuración de la pestaña Interfaces”. Permitir redistribución de ruta predeterminada Seleccione la casilla de verificación para permitir que el cortafuegos redistribuya su ruta predefinida a los peers BGP. • Pestaña Umbral SPT: Consulte “Configuración de la pestaña Umbral SPT”. En la siguiente tabla se describe la configuración de la pestaña Reglas de redistr.

versión 7. Descripción Introduzca una descripción opcional. L3. Punto de encuentro remoto Haga clic en Añadir y especifique la siguiente información: • Dirección IP: Especifique la dirección IP del RP. Interfaz Haga clic en Añadir para especificar una o más interfaces de cortafuegos. – Dirección de RP: Seleccione una dirección IP para el RP. – Intervalo de anuncio: Especifique un intervalo entre anuncios para mensajes RP candidatos. • Estático: Especifique una dirección IP estática para el RP y seleccione las opciones de Interfaz de RP y Dirección de RP en las listas desplegables. Los tipos de interfaz válidos incluyen loopback. Palo Alto Networks Guía de referencia de interfaz web.Configuración de un enrutador virtual La tabla siguiente describe los ajustes de la pestaña Punto de encuentro: Tabla 106. Se debe configurar un RP estático de forma explícita en otros enrutadores PIM. • Lista de grupos: Si selecciona Estático o Candidato. Active la casilla de verificación Cancelar RP obtenido para el mismo grupo si desea utilizar el RP especificado del RP elegido para este grupo. Configuración multicast – Pestaña Interfaces Campo Descripción Pestaña secundaria Interfaces Nombre Introduzca un nombre para identificar un grupo de interfaces. mientras que se elige automáticamente un RP candidato. VLAN. • Ninguno: Seleccione esta opción si no hay ningún RP ejecutándose en este enrutador virtual. • Cancelar RP obtenido para el mismo grupo: Active esta casilla de verificación si desea utilizar el RP especificado del RP elegido para este grupo. • Candidato:: Especifique la siguiente información para el candidato del RP que se ejecuta en este enrutador virtual: – Interfaz de RP: Seleccione una interfaz para el RP.0 • 183 . Configuración multicast – Pestaña Punto de encuentro Campo Descripción Pestaña secundaria Punto de encuentro Tipo de RP Seleccione el tipo de Punto de encuentro (RP) que se ejecutará en este enrutador virtual. Configuración de la pestaña Interfaces Red > Enrutador virtual > Multicast > Interfaces En la siguiente tabla se describe la configuración de la pestaña Interfaces: Tabla 107. Ethernet agregada y túnel. haga clic en Añadir para especificar una lista de grupos en los que este RP candidato se propone para ser el RP. • Grupo: Especifique una lista de grupos en los que la dirección especificada actuará como RP. – Prioridad: Especifique una prioridad para los mensajes de RP candidato (opción predefinida 192).

seleccione un valor mayor. 2 o 3 que se ejecutará en la interfaz. – Máx.0 Palo Alto Networks . • Aplicar opción de IP de enrutador-alerta: Seleccione la casilla de verificación para solicitar la opción IP de alerta de enrutador cuando se comunique mediante IGMPv2 o IGMPv3.Configuración de un enrutador virtual Tabla 107. de tiempo de respuesta de consulta: Especifique el tiempo máximo entre una consulta general y una respuesta de un host. • Potencia: Seleccione un valor entero para las cuentas de pérdida de paquete en una red (intervalo 1-7. El valor predeterminado es 60. IGMP se debe activar para el host del lado de las interfaces (enrutador IGMP) o para interfaces de host proxy IGMP. • Origen específico: Haga clic en Añadir para especificar una lista de grupos multicast y pares de origen multicast para los que se permite el tráfico PIM-SSM. • Habilitar: Active la casilla de verificación para activar la configuración IGMP. • Versión IGMP: Seleccione la versión 1. Configuración multicast – Pestaña Interfaces (Continuación) Campo Descripción Permisos de grupos Especifique las reglas generales para el tráfico multicast: • Cualquier fuente: Haga clic en Añadir para especificar una lista de grupos multicast para los que se permite el tráfico PIM-SM. opción predefinida 2). – Último intervalo de consulta de miembro: Especifique el intervalo entre los mensajes de consulta entre grupos o de origen específico (incluyendo los enviados en respuesta a los mensajes salientes del grupo). – Salida inmediata: Active la casilla de verificación para salir del grupo inmediatamente cuando reciba un mensaje de salida. 184 • Guía de referencia de interfaz web. • Máx. Si la pérdida del paquete es común. • Vecinos PIM: Haga clic en Añadir para especificar la lista de vecinos que se comunicarán mediante PIM. Configuración PIM Especifique los siguientes ajustes multicast independiente de protocolo (PIM): • Habilitar: Seleccione la casilla de verificación para permitir que esta interfaz reciba y/o reenvíe mensajes PIM • Imponer intervalo: Especifique el intervalo entre mensajes de imposición de PIM. IGMP Especifique reglas para el tráfico IGMP. • Máx. • Unir/eliminar intervalo: Especifique el intervalo entre los mensajes de unión y poda de PIM (segundos). • Intervalo de saludo: Especifique el intervalo entre mensajes de saludo de PIM. versión 7. de grupos: Especifique la cantidad máxima de grupos permitidos en esta interfaz. • Configuración de consultas: Especifique lo siguiente: – Intervalo de consulta: Especifique el intervalo al que se enviarán las consultas generales a todos los hosts. de fuentes: Especifique la cantidad máxima de pertenencias específicas de origen permitido en esta interfaz (0 = ilimitado). Esta opción se debe deshabilitar para su compatibilidad con IGMPv1. • Prioridad de DR: Especifique la prioridad del enrutador que se ha designado para esta interfaz • Borde de BSR: Active la casilla de verificación para utilizar la interfaz como borde de arranque.

versión 7. Tabla 109. Haga clic en Añadir para especificar los siguientes ajustes de SPT: • Grupo/prefijo multicast: Especifique la dirección/prefijo IP para el que SPT se cambiará a la distribución del árbol de origen cuando el rendimiento alcance los umbrales deseados (kbps). Configuración multicast – Pestaña Umbral SPT Campo Descripción Pestaña secundaria Umbral SPT Nombre El umbral SPT (Shortest Path Tree) define la tasa de rendimiento (en kbps) a la que el enrutamiento multicast cambiará desde la distribución del árbol compartido (con origen en el punto de encuentro) a la distribución del árbol de origen. Haga clic en Añadir para especificar los siguientes ajustes de direcciones de origen específico: • Nombre: Introduzca un nombre para identificar este grupo de ajustes. Palo Alto Networks Guía de referencia de interfaz web.0 • 185 . • Incluido: Active esta casilla de verificación para incluir los grupos especificados en el espacio de dirección SSM. Configuración multicast – Pestaña Espacio de dirección específico de origen Campo Descripción Pestaña secundaria Espacio de dirección específico de origen Nombre Define los grupos multicast a los que el cortafuegos proporcionará servicios multicast de origen específico (SSM).Configuración de un enrutador virtual Configuración de la pestaña Umbral SPT Red > Enrutador virtual > Multicast > Umbral SPT La tabla siguiente describe los ajustes de la pestaña Umbral SPT. Configuración de la pestaña Espacio de dirección específico de origen Red > Enrutador virtual > Multicast > Espacio de dirección específico de origen La tabla siguiente describe los ajustes de la pestaña Espacio de dirección específico de origen. Tabla 108. • Grupo: Especifique los grupos del espacio de dirección SSM. • Umbral: Especifique el rendimiento al que se cambiará desde la distribución del árbol compartido a la distribución del árbol de origen.

Ajuste de log Seleccione un perfil para reenviar logs de protección de zonas a un sistema externo. Para añadir nuevos perfiles. Perfiles de protección de zonas Seleccione un perfil que especifique cómo responde la puerta de enlace de seguridad a los ataques en esta zona. 186 • Guía de referencia de interfaz web. se debe asignar a una zona de seguridad. guiones y guiones bajos. Este nombre aparece en la lista de zonas cuando se definen políticas de seguridad y se configuran interfaces. Tap. Cada interfaz puede pertenecer a una zona en un sistema virtual. Si tiene un perfil de reenvío de logs denominado predeterminado. El tipo de sistema virtual externo es para comunicaciones entre los sistemas virtuales del cortafuegos.0 Palo Alto Networks . Para definir o añadir un nuevo perfil de reenvío de logs (y para denominar a un perfil predeterminado y que este campo se rellene automáticamente). Configuración de zona de seguridad Campo Descripción Nombre Introduzca un nombre de una zona (hasta 15 caracteres). Tipo Seleccione un tipo de zona (Capa 2. versión 7. espacios. o sistema virtual externo) para enumerar todas las interfaces de ese tipo que no tengan una zona asignada. Seleccione el vsys que se aplicará a esta zona. Los tipos de zona de capa 2 y capa 3 enumeran todas las interfaces y subinterfaces Ethernet de ese tipo. Utilice únicamente letras. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Cable virtual. Puede cancelar esta configuración predeterminada en cualquier momento seleccionado un perfil de reenvío de logs diferente cuando establezca una nueva zona de seguridad. consulte “Definición de perfiles de protección de zonas”. haga clic en Nuevo (consulte “Reenvío de logs”).Configuración de un enrutador virtual Definición de zonas de seguridad Red > Zonas Para que la interfaz de un cortafuegos pueda procesar el tráfico. Para definir zonas de seguridad. Ubicación Este campo solo aparece si el dispositivo admite varios sistemas virtuales (vsys) y esa función está activada. este se seleccionará automáticamente para este campo cuando defina una nueva zona de seguridad. números. Capa 3. puntos. haga clic en Nueva y especifique la siguiente información: Tabla 110.

Por defecto.0/8 excepto 10. seleccione esta casilla de verificación para aplicar la información de asignación al tráfico en esta zona.2. Si la zona está fuera del intervalo.0.0/22 a la Lista de excluidos.0/22. el cortafuegos no aplicará la información de asignación de usuario al tráfico de la zona aunque seleccione la casilla de verificación Habilitar identificación de usuarios. y excluye información de todas las subredes de zona fuera de 10.0. haga clic en Agregar y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP (por ejemplo. informes y políticas excluirán la información de asignación de usuario del tráfico de la zona. La exclusión de todas las demás subredes es implícita: no necesita añadirlas a la Lista de excluidos. el cortafuegos aplica la información de asignación de usuario que detecte a todo el tráfico de la zona para usarla en logs. Añada entradas a la Lista de excluidos únicamente para excluir información de asignación de usuario para un subconjunto de redes en la Lista de permitidos.50.Configuración de un enrutador virtual Tabla 110. ACL de identificación de usuarios Lista de excluidos Para excluir la información de asignación de usuario para un subconjunto de subredes en la Lista de permitidos.1.50. Si añade entradas a la Lista de excluidos pero no la Lista de permitidos. 10. haga clic en Añadir y seleccione un objeto de dirección (o grupo de direcciones) o escriba el intervalo de direcciones IP.2. Para definir el intervalo supervisado. Componentes del ECMP Red > Enrutadores virtuales > Configuración de enrutador > ECMP El procesamiento de trayectoria múltiple a igual coste (ECMP) es una función de red que permite al cortafuegos usar hasta cuatro rutas de igual coste hacia el mismo destino.1/24). para cada subred que vaya a excluir. el cortafuegos aplica información de asignación de usuario al tráfico de todas las subredes de la zona. Para definir el intervalo supervisado.0/8. si hay múltiples rutas del mismo coste al mismo destino. el cortafuegos excluye la información de asignación de usuarios para todas las subredes de la zona. no solo las subredes que ha añadido. el enrutador virtual selecciona una de estas rutas de la tabla de enrutamiento y la añade a su tabla de envío. consulte la Guía del administrador de PAN-OS. Observe que el ID de usuario realiza una detección de la zona solo si cae dentro del intervalo de red que supervisa el ID de usuario. no usará ninguna de las demás Palo Alto Networks Guía de referencia de interfaz web.1. versión 7.0. Observe que solo puede incluir subredes que caigan dentro del intervalo de red que supervise el ID de usuario. Por ejemplo. informes y políticas. Para limitar la información a subredes específicas de la zona. si no especifica las subredes en esta lista. Si cancela la selección de la casilla de verificación.0 • 187 . si selecciona esta casilla de verificación. consulte la Guía del administrador de PAN-OS.0. Configuración de zona de seguridad (Continuación) Campo Descripción Habilitar identificación de usuarios Si ha configurado el ID de usuario para realizar una asignación de dirección IP a nombre de usuario (detección). ACL de identificación de usuarios Lista de permitidos Por defecto. para cada subred. Sin esta función.0/8 a la Lista de permitidos y 10. el cortafuegos incluirá la información de asignación de usuario a todas las subredes de zona de 10.0. los logs de cortafuegos. Para limitar la aplicación de información de asignación de usuario a subredes específicas en la zona después. si añade 10.0. use la Lista de permitidos y la Lista de excluidos.

• Cambie dinámicamente el tráfico a otro miembro de ECMP hacia el mismo destino si falla un enlace. en lugar de usar la interfaz ECMP. lo que puede provocar que se terminen las sesiones. Esto puede ayudar a reducir el tiempo de inactividad cuando falla el enlace. Es decir. el cortafuegos usará la interfaz de entrada a la que enviar los paquetes de retorno. Seleccione el número máximo de rutas de coste igual (2. en Configuración de enrutador. seleccione un enrutador virtual y.Configuración de un enrutador virtual rutas a no ser que se interrumpa la ruta seleccionada. no cada vez que se recibe un paquete. Ruta máx. Valor predeterminado: 2. Note: La activación. versión 7. desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. en lugar de dejar algunos enlaces sin usar. de modo que el ajuste Retorno simétrico sobrescribe el equilibrio de cargas. Para configurar ECMP para un enrutador virtual. en lugar de tener que esperar a que el protocolo de enrutamiento o la tabla RIB seleccione una ruta alternativa. 3 o 4) a una red de destino que puede copiarse del RIB al FIB. Retorno simétrico Tiene la opción se hacer clic en la casilla de verificación Retorno simétrico para provocar que los paquetes de retorno salgan de la misma interfaz a la que llegaron los paquetes de entrada asociados. Habilitar La activación. 188 • Guía de referencia de interfaz web. Esto significa que el cortafuegos selecciona una ruta de igual coste al principio de una nueva sesión. Este comportamiento solo se produce con flujos de tráfico del servidor al cliente. El equilibrio de carga de ECMP se realiza a nivel de sesión. permitiendo que el cortafuegos: • Equilibre la carga de los flujos (sesiones) al mismo destino en múltiples enlaces del mismo coste. • Use el ancho de banda disponible en enlaces hacia el mismo destino. lo que puede provocar que se terminen las sesiones. no a nivel de paquete. La habilitación de la funcionalidad ECMP en un enrutador virtual permite que el cortafuegos tenga hasta cuatro rutas del mismo coste a un destino en esta tabla de reenvío.0 Palo Alto Networks . desactivación o cambio de funcionalidad de ECMP requiere que reinicie el cortafuegos. seleccione la pestaña ECMP y configure lo siguiente: Tabla 111 ECMP Campo Descripción Haga clic en Habilitar para habilitar ECMP.

• Operación por turnos equilibrada: Distribuye las secciones de ECMP entrantes de forma homogénea entre los enlaces. el enrutador virtual equilibra las cargas de sesiones mediante esta opción. con más frecuencia se seleccionará esa ruta de igual coste en una nueva sesión.0 • 189 . escriba el Peso que se usará para esa interfaz.Configuración de un enrutador virtual Tabla 111 ECMP (Continuación) Campo Descripción Seleccione uno de los siguientes algoritmos de equilibrado de carga ECMP para usarlo en el enrutador virtual. También puede introducir un valor de Valor de inicialización de hash (un entero) para aleatorizar aún más el equilibrio de cargas. La ventana muestra las siguientes pestañas: • Pestaña Enrutamiento: Consulte “Pestaña Enrutamiento”. para que haya más tráfico ECMP que atraviese el enlace más rápido. no a nivel de paquete. En cada interfaz. que usa un hash de las direcciones IP de origen y destino en el encabezado del paquete para determinar qué ruta ECMP se puede usar. Mientras mayor sea el peso de una ruta de coste igual específica. • Hash de IP: Tiene la opción de hacer clic en Usar puertos de origen/destino para incluir los puertos en el cálculo de hash. Palo Alto Networks Guía de referencia de interfaz web. • Pestaña BGP: Consulte “Pestaña BGP”. Al seleccionar este algoritmo se abrirá la ventana Interfaz. no cada vez que se recibe un paquete. El equilibrio de carga de ECMP se realiza a nivel de sesión. Más estadísticas de tiempo de ejecución para un enrutador virtual Haga clic en el enlace Más estadísticas de tiempo de ejecución de una fila de enrutador virtual para que se abra una ventana con información sobre ese enrutador virtual. Método • Módulo de IP: Por defecto. Haga clic en Añadir y seleccione una Interfaz para incluirla en el grupo de operación por turnos ponderada. El campo Peso es de manera predeterminada 100. Esto significa que el cortafuegos (ECMP) selecciona una ruta de igual coste al principio de una nueva sesión. • Pestaña Multidifusión: Consulte “Pestaña Multidifusión”. versión 7. Un enlace de mayor velocidad recibirá un peso más alto que uno más lento. Haga clic en Añadir de nuevo para añadir otra interfaz y peso. además de las direcciones IP de origen y destino. el intervalo 1-255. • Operación por turnos ponderada: Este algoritmo se puede usar para tener en cuenta distintas capacidades y velocidades de enlace. • Pestaña RIP: Consulte “Pestaña RIP”.

Edad Edad de la entrada de la ruta en la tabla de rutas. • A C: Activo y resultado de una interfaz interna (conectada) . Tabla 113 Estadísticas de tiempo de ejecución de RIP Campo Descripción Pestaña secundaria Resumen Segundos del intervalo Número de segundos en un intervalo.0 Palo Alto Networks .Destino = red. • S: Inactivo (porque esta ruta tiene una métrica más alta) y estático.0. tras el cual el enrutador virtual marca las rutas del peer como inutilizables. • A S: Activo y estático. Interfaz Interfaz de salida del enrutador virtual que deberá usarse para llegar al siguiente salto. esta valor afecta al Intervalo de actualización. Pestaña RIP La siguiente tabla describe las Estadísticas de tiempo de ejecución de RIP del enrutador virtual. Las rutas estáticas no tienen edad. se indica la ruta predeterminada. Tabla 112 Estadísticas de tiempo de ejecución de enrutamiento Campo Descripción Destino Máscara de red y dirección IPv4 o dirección IPv6 y longitud de prefijo de redes que puede alcanzar el enrutador virtual. la ruta se elimina de la tabla de enrutamiento.Destino = solo host. 190 • Guía de referencia de interfaz web. si no se recibe ninguna actualización. • Oo: OSPF interárea. Intervalos de eliminación Número de intervalos tras el cual una ruta se marca como inutilizable y tras el cual.0. • A R: Activo y obtenido mediante RIP.Configuración de un enrutador virtual Pestaña Enrutamiento La siguiente tabla describe las Estadísticas de tiempo de ejecución de enrutamiento del enrutador virtual. • Oi: OSPF intraárea. Siguiente salto Dirección IP del siguiente salto hacia la red de destino. • A C: Activo y resultado de una interfaz interna (conectada) . Métrica Métrica de la ruta. • O2: OSPF externo tipo 2. Intervalo de actualizaciones Numero de intervalos entre las actualizaciones de anuncio de enrutamiento RIP que el enrutador virtual envía a los peer. Intervalos de vencimiento Número de intervalos desde que se recibió la última actualización del enrutador virtual de un peer. • O1: OSPF externo tipo 1. los Intervalos de vencimiento y el Intervalo de eliminación.0. Si el siguiente salto es 0. Marcas • A?B: Activo y obtenido mediante BGP. versión 7.

Métrica de ruta predeterminada Métrica (recuento de saltos) asignada a la ruta predeterminada. dirección ilegal. Enviar permitidos La marca de verificación indica que esta interfaz tiene permiso para enviar paquetes RIP. fallo de autenticación o no hay suficiente memoria. fallo de importación o memoria insuficiente. Rutas no válidas Recuento de rutas no válidas recibidas de este peer. MD5 o ninguno. ID de clave Clave de autenticación usada con los peers. versión 7. Rechazar ruta por defecto Indica si se ha configurado la opción Rechazar ruta por defecto. Tipo de autenticación Tipo de autenticación: contraseña simple. demasiadas rutas en el paquete. Paquetes no válidos Recuento de paquetes no válidos recibidos de este peer. subred incorrecta. Anunciar ruta predeterminada La marca de verificación indica que RIP anunciará su ruta predeterminada a sus peers. Mientras menor sea el valor métrico más prioridad tendrá en la tabla de enrutamiento para su selección como ruta preferida. Causas posibles: ruta no válida. Tabla 114 Estadísticas de tiempo de ejecución de BGP Campo Descripción Pestaña secundaria Resumen ID del enrutador Id de enrutador asignada a la instancia de BGP. Palo Alto Networks Guía de referencia de interfaz web. Pestaña BGP La siguiente tabla describe las estadísticas de tiempo de ejecución de BGP del enrutador virtual. Versión de RIP Versión RIP que está ejecutando el peer. que provoca que VR ignore cualquier ruta predeterminada anunciada por los peers BGP. Posibles causas por las que el cortafuegos no puede procesar el paquete RIP: x bytes por encima del límite de enrutamiento. Última actualización Fecha y hora a la que se recibió la última actualización de este peer. Pestaña secundaria Peer Dirección del peer Dirección IP de un peer hacia la interfaz RIP del enrutador virtual. Recibir permitidos La marca de verificación indica que esta interfaz tiene permiso para recibir paquetes RIP.Configuración de un enrutador virtual Tabla 113 Estadísticas de tiempo de ejecución de RIP (Continuación) Campo Descripción Pestaña secundaria Interfaces Dirección Dirección IP de una interfaz en el enrutador virtual donde está activado RIP. Preferido Clave de autenticación preferida.0 • 191 .

ID de clúster Muestra el ID de clúster reflector configurado. IP local Dirección IP de la interfaz BGP en el VR. Inactivo. Reinicio correcto Indica si se ha activado o no Reinicio correcto (asistencia). Entradas salientes de RIB pico Número máximo de rutas Adj-RIB-Salida que se han asignado en un momento dado. Grupo Nombre del grupo de peers al que pertenece este peer.0 Palo Alto Networks . Pestaña secundaria Peer Nombre Nombre del peer. p. Entradas salientes de RIB actuales Número de entradas en la tabla RIB saliente. Agregar MED independientemente Indica si se ha configurado la opción Agregar MED. Activo. AS de miembro local Número AS de miembro local (solo válido si el VR está en una confederación). que permite añadir una ruta aunque las rutas tengan valores MED distintos. Procesamiento determinista de MED Indica si se ha configurado la opción Comparación determinista de MED. que provoca que VR instale las rutas BGP en la tabla de enrutamiento global. Peer AS Sistema autónomo al que pertenece el peer. Instalar ruta Indica si se ha configurado la opción Instalar ruta. ej. AS local Número de AS al que pertenece VR.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Redistribuir ruta por defecto Indica si se ha configurado la opción Permitir redistribución de ruta predeterminada. Tamaño AS Indica si el tamaño de Formato AS seleccionado es 2 Byte o 4 Byte. 192 • Guía de referencia de interfaz web. Preferencia local predeterminada Muestra la preferencia local predeterminada configurada para el VR. Pestaña secundaria Grupo de peers Nombre de grupo Nombre del grupo de peers. Establecido. Estado Estado del peer.) Duración del estado del peer. Duración de estado (seg. Conectar. Contraseña establecida Sí o No indica si se ha definido la autenticación. Comparar siempre MED Indica si se ha configurado la opción Comparar siempre MED. El campo será 0 si VR no está en una confederación. versión 7. que permite comparar entre rutas de vecinos en distintos sistemas autónomos. Tipo Tipo del grupo de peers configurados. IP del peer Dirección IP del peer. como EBGP o IBGP. que permite a una comparación elegir entre rutas anunciadas por peers IBGP (peers BGP en el mismo AS). Confirmación abierta o Enviado abierto.

Siguiente salto Dirección IP del siguiente salto hasta el prefijo.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Agregar AS confederado Sí o No indican si se ha configurado la opción Agregar AS confederado. Eliminar AS privado Indica si las actualizaciones eliminarán los números AS privados del atributo AS_PATH antes de que se envíen. IP Origen Atributo de origen para el prefijo. el restablecimiento parcial permite que las tablas de enrutamiento se actualicen sin borrar las sesiones BGP. Próximo salto automático Sí o No indica si se ha configurado esta opción. Se prefiere un MED más bajo antes que uno más alto. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. que se usa para seleccionar el punto de salida hacia el prefijo si hay múltiples puntos de salida. Pestaña secundaria RIB saliente Prefijo Entrada de enrutamiento de red en la base de información de enrutamiento. versión 7. Cuando cambian las políticas de enrutamiento a un peer BGP. Marca * indica que la ruta se seleccionó como la mejor ruta BGP. Ruta AS Lista de sistemas autónomos en la ruta hacia la red Prefijo. Siguiente salto Dirección IP del siguiente salto hasta el prefijo. las actualizaciones de tabla de enrutamiento pueden verse afectadas. El MED es un atributo métrico para una ruta. MED Atributo Discriminador de salida múltiple (MED) de la ruta. Es preferible una preferencia local más alta en lugar de más baja. Preferencia local. Preferencia local. Es preferible una preferencia local más alta en lugar de más baja. la ruta con el peso más alto se instalará en la tabla de enrutamiento de IP. Pestaña secundaria RIB local Prefijo Prefijo de red y máscara de subred en la base de información de enrutamiento local. que el AS que anuncia la ruta sugiere a un AS externo. Peso Atributo de peso asignado al prefijo. cómo BGP programó la ruta. Se recomienda un restablecimiento parcial de las sesiones BGP en lugar de uno completo. Siguiente salto de tercero Sí o No indica si se ha configurado esta opción. Soporte de restablecimiento parcial Sí o No indica si el grupo de peers admite un restablecimiento parcial. Atributo de preferencia local para acceder al prefijo. Atributo de preferencia local para la ruta.0 • 193 . la lista se anuncia en las actualizaciones BGP. Recuento de flaps Número de flaps de la ruta. Peer Nombre del peer. Si el cortafuegos tiene más de una ruta hacia el mismo prefijo. Palo Alto Networks Guía de referencia de interfaz web. Peer Peer al que el VR anunciará esta ruta.

Interfaces entrantes Indica interfaces en las que el tráfico multicast entra en VR. 2 o 3 del Protocolo de administración de grupos de Internet (IGMP). cómo BGP programó la ruta. Pestaña secundaria Interfaz IGMP Interfaz Interfaz que tiene activado IGMP. Límite de grupos Número de grupos multicast permitidos en la interfaz. Se prefiere un MED más bajo antes que uno más alto. que el AS que anuncia la ruta sugiere a un AS externo. Tiempo de vencimiento del solicitante Tiempo restante para que caduque el cronómetro de presencia de otro solicitante. Agregar estado Indica si la ruta se ha agregado con otras rutas. versión 7. Versión Versión 1. Anunciar estado Estado anunciado de la ruta. Pestaña Multidifusión La siguiente tabla describe las estadísticas de tiempo de ejecución de IP multicast del enrutador virtual. Origen Dirección de origen multicast. 194 • Guía de referencia de interfaz web.Configuración de un enrutador virtual Tabla 114 Estadísticas de tiempo de ejecución de BGP (Continuación) Campo Descripción Ruta AS Lista de sistemas autónomos en la ruta hacia la red de prefijo. Tiempo de activación del solicitante Tiempo que el solicitante IGMP ha estado activado. MED Atributo Discriminador de salida múltiple (MED) del prefijo. Grupo Dirección de grupo multicast de IP. Límite de orígenes Número de orígenes multicast permitidos en la interfaz. Solicitante Dirección IP del solicitante IGMP en esa interfaz.0 Palo Alto Networks . Salida inmediata indica que el enrutador virtual eliminará una interfaz de la entrada de tabla de reenvíos sin enviar las consultas específicas de grupo IGMP de la interfaz. Salida inmediata Sí o No indica si se ha configurado la Salida inmediata. Pestaña secundaria Pertenencia IGMP Interfaz Nombre de una interfaz a la que corresponde la pertenencia. Tabla 115 Estadísticas de tiempo de ejecución multicast Campo Descripción Pestaña secundaria FIB Grupo Dirección de grupo multicast que reenviará el VR. El MED es un atributo métrico para una ruta. Potencia Potencia variable de la interfaz IGMP. IP Origen Atributo de origen para el prefijo.

Tiempo de activación Tiempo que el vecino ha estado activado. Dirección Dirección IP del vecino. Palo Alto Networks Guía de referencia de interfaz web. Prioridad de DR Prioridad configurada para el enrutador designado. Tiempo de vencimiento Tiempo restante antes de que expire el vecino porque VR no recibe paquetes de saludo del vecino.0 • 195 . Excluir caducidad Tiempo restante hasta que vence el estado Excluir de la interfaz. Borde de BSR Sí o no. Inactivo Indica que la asignación del grupo al RP está inactiva. Pestaña secundaria Interfaz PIM Interfaz Nombre de la interfaz que participa en PIM. Unir/eliminar intervalo Intervalo de unión/eliminación configurado (en segundos). Pestaña secundaria Vecino PIM Interfaz Nombre de la interfaz en el VR. Modo de filtro Incluir o excluir el origen. Dirección Dirección IP de la interfaz. Dirección secundaria Dirección IP secundaria del vecino. IP Origen Indica dónde identificó VR el RP. Modo PIM ASM o SSM. Temporizador de host V1 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 1 en la subred de IP adjuntada a la interfaz. Temporizador de host V2 Tiempo restante hasta que el enrutador local asume que no quedan miembros de ningún IGMP versión 2 en la subred de IP adjuntada a la interfaz. o el tráfico de cualquier origen excepto este (excluir). Intervalo de saludo Intervalo de saludo configurado (en segundos).Configuración de un enrutador virtual Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción Origen Dirección de origen del tráfico multicast. Tiempo de activación Tiempo que ha estado activada esta pertenencia. Pestaña secundaria Asignación de grupos PIM Grupo Dirección IP del grupo asignado a un punto de encuentro. Tiempo de vencimiento Tiempo que queda antes de que venza la pertenencia. versión 7. VR se ha configurado para incluir todo el tráfico o solo el que procede de este origen (incluir). DR Dirección IP del enrutador designado en esa interfaz. RP Dirección IP del punto de encuentro del grupo. Imponer intervalo Intervalo de imposición configurado (en segundos).

Configuración de la compatibilidad de VLAN Red > VLAN El cortafuegos admite redes VLAN que cumplan la normativa IEEE 802. y direcciones de red a los hosts configurados dinámicamente en una red TCP/IP. Interfaces Especifique interfaces del cortafuegos para VLAN. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Este nombre aparece en la lista de redes VLAN cuando se configuran interfaces. cliente o agente de retransmisión de DHCP. Configuración de MAC estática Especifique la interfaz mediante la que una dirección MAC es alcanzable. Para definir una interfaz VLAN. Configuración de VLAN Campo Descripción Nombre Introduzca un nombre de VLAN (de hasta 31 caracteres). pero cada interfaz solo puede pertenecer a una VLAN. La misma VLAN se puede asignar a varias interfaces de capa 2. guiones y guiones bajos. Prioridad de DR Prioridad de enrutador designado que ha recibido el VR en el último mensaje de saludo PIM de este vecino. Interfaz de VLAN Seleccione una interfaz VLAN para permitir enrutar el tráfico fuera de la VLAN. números.Configuración de la compatibilidad de VLAN Tabla 115 Estadísticas de tiempo de ejecución multicast (Continuación) Campo Descripción ID de generación Valor que el VR ha recibido del vecino en el último mensaje de saludo PIM que se ha recibido en esta interfaz. espacios. versión 7. Al asignar esas funciones a distintas interfaces. Utilice únicamente letras. Sustituye a todas las asignaciones obtenidas de interfaz a MAC.0 Palo Alto Networks . Configuración de DHCP El protocolo de configuración de host dinámico (DHCP) es un protocolo estandarizado que proporciona parámetros de configuración de capa de enlace y TCP/IP. el cortafuegos puede desempeñar múltiples funciones.1Q. Tabla 116. consulte “Configuración de una interfaz VLAN”. Cada una de las interfaces de capa 2 definidas en el cortafuegos debe tener una red VLAN asociada. Una interfaz en un cortafuegos Palo Alto Networks puede actuar como un servidor. ¿Qué está buscando? Consulte ¿Qué es el DHCP? “Descripción general de DHCP” ¿Cómo asigna las direcciones un servidor DHCP? “Dirección DHCP” ¿Cómo se configura un servidor DHCP? “Componentes del servidor DHCP” 196 • Guía de referencia de interfaz web.

una Concesión que se especifique como Ilimitada significa que la ubicación es permanente. el administrador de red ahorra tiempo y tiene el beneficio de reutilizar un número limitado de direcciones IP de clientes que ya no necesitan una conectividad de red. como protocolo de transporte. • Un dispositivo que actúa como un agente de retransmisión DHCP escucha mensajes de transmite mensajes de DHCP de unidifusión y difusión y los transmite entre los clientes y los servidores DHCP. • Ubicación dinámica: El servidor DHCP asigna una dirección IP reutilizable desde Grupos de IP de direcciones a un cliente para un periodo máximo de tiempo. Descripción general de DHCP Red > DHCP DHCP usa un modelo cliente-servidor de comunicación. Los mensajes DHCP que un servidor envía a un cliente se envían al puerto 68. “Ejemplo: Configure un servidor DHCP con opciones personalizadas” ¿Busca más información? Consulte DHCP. Los usuarios de los dispositivos cliente ahorran el tiempo y esfuerzo de configuración. La asignación DHCP estática es permanente. y no necesitan conocer el plan de direcciones de red y otros recursos y opciones que heredan del servidor DHCP. • Asignación estática: El administrador de red selecciona la dirección IP para asignarla al cliente y el servidor DHCP se la envía. pueden asignarse a los clientes que necesitan solo un acceso temporal a la red. Los mensajes DHCP que un cliente envía a un servidor se envían al puerto conocido 67 (UDP. • Ubicación automática: El servidor DHCP asigna una dirección IP permanente a un cliente desde sus Grupos de IP. DHCP usa protocolo de datagramas de usuario(UDP). • Un dispositivo que actúa como un servidor DHCP puede atender a los clientes. Dirección DHCP Hay tres formas en que el servidor DHCP asigna o envía una dirección IP a un cliente. El servidor puede ofrecer direcciones IP y muchas opciones DHCP a muchos clientes. servidor DHCP y agente de relé DHCP. RFC 768. versión 7. Este método de asignación de la dirección es útil cuando el cliente tiene un número limitado de direcciones IP.Configuración de DHCP ¿Qué está buscando? Consulte ¿Cómo se configura un agente de retransmisión DHCP? “Componentes del retransmisión DHCP” ¿Cómo se configura un cliente DHCP? “Componentes del cliente DHCP” Mostrarme un ejemplo básico. • Un dispositivo que funcione como cliente DHCP (host) puede solicitar una dirección IP y otros ajustes de configuración al servidor DHCP. Este modelo consta de tres funciones que puede desempeñar el dispositivo: Cliente DHCP. En el cortafuegos. se realiza configurando un servidor DHCP y seleccionando una Dirección reservada para Palo Alto Networks Guía de referencia de interfaz web. conocido como Concesión.0 • 197 . protocolo de arranque y DHCP). Si se usa alguno de esos tres mecanismos de direcciones DHCP.

reinicie. (a no ser que haya especificado que una Concesión sea Ilimitada). Puede configurar múltiples direcciones reservadas. Puede reservar unas direcciones del grupo y asignarlas estáticamente a un fax e impresora. – Si no configura ninguna Dirección reservada. desconecte. Tenga en cuenta los siguientes puntos cuando configure una Dirección reservada: – Es una dirección de Grupos de IP. sin usar DHCP. el servidor DHCP no asignará la Dirección reservada a ningún dispositivo. por ejemplo. La asignación DHCP continúa en su lugar aunque el cliente se desconecte (cierre sesión. por ejemplo. Otro ejemplo es si el dispositivo cliente se usa para una función crucial y debe mantener la misma dirección IP aunque el dispositivo se apague. etc. También debería conocer un grupo válido de direcciones IP de su plan de red que pueda designarse para que su servidor DHCP lo asigne a los clientes.0 Palo Alto Networks . Antes de configurar un servidor DHCP. reinicie o sufra un corte de alimentación. asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3. si tiene una impresora en una LAN y no desea que su dirección IP siga cambiando porque se asocia con un nombre de impresora a través de DNS. En este caso. – Si asigna todas las direcciones de Grupos IP como una Dirección reservada. y de que la interfaz se asigna a una zona y un enrutador virtual. – Puede configurar una Dirección reservada sin configurar una Dirección MAC. La asignación estática de una dirección IP es útil. versión 7. no hay direcciones dinámicas libres para asignarlas al siguiente cliente DHCP que solicite una dirección.). etc. Vínculo hacia los temas relacionados: • “Componentes del servidor DHCP” • “Componentes del retransmisión DHCP” • “Componentes del cliente DHCP” • “Ejemplo: Configure un servidor DHCP con opciones personalizadas” Componentes del servidor DHCP Red > DHCP > Servidor DHCP La siguiente sección describe cada componente del servidor DHCP. etc. los clientes del servidor recibirán nuevas asignaciones de DHCP del grupo cuando sus concesiones venzan o si se reinician. sufra un corte de alimentación.Configuración de DHCP que corresponda con la Dirección MAC del dispositivo cliente. 198 • Guía de referencia de interfaz web.

Configuración de DHCP

Cuando añada un servidor DHCP, puede configurar los ajustes descritos en la tabla siguiente.
Los ajustes del servidor DHCP resultantes tendrán un aspecto similar al siguiente:

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción

Interfaz

Servidor DHCP

Nombre de la interfaz que funcionará como servidor DHCP.

Servidor DHCP

Seleccione habilitado o modo Automático. El modo
Automático activa el servidor y lo desactiva si se detecta
otro servidor DHCP en la red. El ajuste habilitado
desactiva el servidor.

Concesión

Si hace clic en Hacer ping a la IP al asignar IP nuevas, el
servidor hará ping a la dirección IP antes de asignarla a su
cliente. Si el ping recibe una respuesta, significará que ya
hay un dispositivo diferente con esa dirección, por lo que
no está disponible. El servidor asigna la siguiente dirección
desde el grupo. Si selecciona esta opción, la columna
Rastrear IP de la pantalla tendrá una marca de selección.

Modo

Hacer ping a la
IP al asignar IP
nuevas

Especifique un tipo de concesión.

Concesión

Grupos de IP

Dirección
reservada

Palo Alto Networks

Concesión

Concesión

• Ilimitada provoca que el servidor seleccione dinámicamente direcciones IP desde los Grupos IP y los asigne de
forma permanente a los clientes.
• Tiempo de espera determina cuánto durará esa concesión. Introduzca el número de Días y Horas y, opcionalmente, el número de Minutos.
Especifique el grupo de direcciones IP de estado desde el
que el servidor DHCP seleccione una dirección y la asigna a
un cliente DHCP.
Puede introducir una única dirección, una dirección/
<longitud de máscara>, como 192.168.1.0/24, o un intervalo
de direcciones, como 192.168.1.10-192.168.1.20.
También puede especificar una dirección IP (formato
x.x.x.x) desde los grupos de IP que no desee asignar
dinámicamente mediante el servidor DHCP.

Concesión

Si también especifica una Dirección MAC (formato
xx:xx:xx:xx:xx:xx), la Dirección reservada se asigna al
dispositivo asociado con la dirección MAC cuando ese
dispositivo solicita una dirección IP a través de DHCP.

Guía de referencia de interfaz web, versión 7.0 • 199

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Seleccione Ninguno (predeterminado) o seleccione una
interfaz de cliente DHCP de origen o una interfaz de cliente
PPPoE para propagar distintos ajustes de servidor en el
servidor de DHCP. Si especifica un Origen de herencia,
seleccione una o varias opciones que desee como heredadas
desde este origen.

Origen de
herencia

Opciones

Una de las ventajas de especificar un origen de herencia es
que las opciones DHCP se transfieren rápidamente desde el
servidor que está antes del cliente DHCP de origen.
También mantiene actualizadas las opciones del cliente si se
cambia una opción en el origen de herencia. Por ejemplo, si
el origen de herencia sustituye a su servidor NTP (que se ha
identificado como el servidor NTP principal), el cliente
heredará automáticamente la nueva dirección como su
nuevo servidor NTP principal.

Opciones

Si ha seleccionado Origen de herencia, al hacer clic en
Comprobar estado de origen de herencia para abrir la
ventana Estado de interfaz de IP dinámica que muestra las
opciones que se han heredado desde el cliente DHCP.

Puerta de enlace

Opciones

Especifique la dirección IP de la puerta de enlace de la red
(una interfaz en el cortafuegos) que se usa para llegar a
cualquier dispositivo que no esté en la misma LAN que este
servidor DHCP.

Máscara de
subred

Opciones

Especifique la máscara de red que se aplica a las direcciones
del campo Grupos de IP.

Comprobar el
estado de origen
de herencia

200 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
En los siguientes campos, haga clic en la flecha hacia abajo y
seleccione Ninguno o heredado, o introduzca una dirección
IP de servidor remoto que su servidor DHCP enviará a los
clientes para acceder a ese servicio. Si ha seleccionado
heredado, el servidor DHCP hereda los valores desde el
cliente DHCP de origen, especificado como Origen de
herencia.
El servidor DHCP envía estos ajustes a sus clientes.

Opciones

Palo Alto Networks

Opciones

• DNS principal, DNS secundario: Dirección IP de los servidores del sistema de nombres de dominio (DNS) preferidos y alternativos.
• WINS principal, WINS secundario: Introduzca la dirección IP de los servidores Windows Internet Naming
Service (WINS) preferidos y alternativos.
• NIS principal, NIS secundario: Introduzca la dirección
IP de los servidores del Servicio de información de la red
(NIS) preferidos y alternativos.
• NTP principal, NTP secundario: Dirección IP de los servidores del protocolo de tiempo de redes (NTP) disponibles.
• Servidor POP3: Introduzca la dirección IP del servidor
Post Office Protocol de versión 3 (POP3).
• Servidor SMTP: Introduzca la dirección IP del servidor
del protocolo simple de transferencia de correo (SMTP).
• Sufijo DNS: Sufijo para que el cliente lo use localmente
cuando se introduce un nombre de host sin cualificar que
no puede resolver el cliente.

Guía de referencia de interfaz web, versión 7.0 • 201

Configuración de DHCP

Tabla 117. Configuración de servidor DHCP

Campo

Configurado en

Descripción
Haga clic en Añadir e introduzca el Nombre de la opción
personalizada que desea que el servidor DHCP envíe a los
clientes.
Introduzca un Código de opción (intervalo 1-254).

Opciones de
DHCP
personalizadas

Opciones

Si se introduce el Código de opción 43, aparece el campo
Identificador de clase de proveedor (VCI). Introduzca un
criterio de coincidencia que se compare con el VCI entrante
desde la opción 60 del cliente. El cortafuegos buscará en el
VCI entrante desde la opción 60 del cliente, busca el VCI
coincidente en su propia tabla de servidor DHCP y
devuelve el valor correspondiente al cliente en la opción 43.
El criterio de coincidencia de VCI es una cadena o valor
hexagonal. Un valor hexagonal debe tener un prefijo “0x”.
Haga clic en Heredado de fuente de herencia de DHCP
para que el servidor herede el valor para ese código de
opción desde el origen de herencia en lugar de introducir
un Valor de opción.
Como alternativa a la casilla de verificación, puede
continuar con lo siguiente:
Tipo de opción: Seleccione Dirección IP, ASCII o
Hexadecimal para especificar el tipo de datos usado para el
Valor de opción.
En Valor de opción, haga clic en Añadir e introduzca el
valor para la opción personalizada.

Componentes del retransmisión DHCP
Red > DHCP > Retransmisión DHCP
Antes de configurar una interfaz de cortafuegos como un agente de retransmisión DHCP,
asegúrese de que ha configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha
asignado la interfaz a una zona y un enrutador virtual. Si quiere que la interfaz pueda pasar
mensajes DHCP entre los clientes y los servidores. La interfaz puede reenviar mensajes a un
máximo de cuatro servidores DHCP externos. Un mensaje de DHCPDISCOVER del cliente se
envía a todos los servidores configurados, y el mensaje DHCPOFFER del primer servidor que
responde se retransmite al cliente que originó la petición.

202 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Tabla 118. Configuración de retransmisión DHCP
Campo

Configurado en

Descripción

Interfaz

Retransmisión DHCP

Nombre de la interfaz que será el agente de retransmisión
DHCP.

IPv4/IPv6

Retransmisión DHCP

Seleccione el tipo de servidor DHCP y dirección IP que
especificará.

Dirección IP de
servidor DHCP

Retransmisión DHCP

Introduzca la dirección IP del servidor DHCP desde donde
y hacia donde retransmitirá los mensajes DHCP.

Interfaz

Retransmisión DHCP

Si ha seleccionado IPv6 como el protocolo de dirección IP
para el servidor DHCP y especificado una dirección
multicast, deberá también especificar una interfaz saliente.

Componentes del cliente DHCP
Red > Interfaces > Ethernet > IPv4
Red > Interfaces > VLAN > IPv4
Antes de configurar una interfaz de cortafuegos como un cliente DHCP, asegúrese de que ha
configurado una interfaz Ethernet de capa 3 o VLAN de capa 3, y que ha asignado la interfaz a
una zona y un enrutador virtual. Realice esta tarea si quiere usar DHCP para solicitar una
dirección IPv4 para una interfaz en un cortafuegos.

Tabla 119. Configuración de cliente DHCP
Campo

Configurado en

Descripción

Tipo

IPv4

Haga clic en el botón de opción para Cliente DHCP y
seleccione Habilitar para configurar la interfaz como un
cliente DHCP.

Crear automáticamente
ruta predeterminada que
apunte a la puerta de
enlace predeterminada
proporcionada por el
servidor

Métrica de ruta
predeterminada

Mostrar información de
tiempo de ejecución de
cliente DHCP

Palo Alto Networks

IPv4

Esto provoca que el cortafuegos cree una ruta estática a una
puerta de enlace predeterminada que será útil cuando los
clientes intenten acceder a muchos destinos que no
necesitan mantener rutas en una tabla de enrutamiento en
el cortafuegos.

IPv4

Una opción es introducir una Métrica de ruta
predeterminada (nivel de prioridad) para la ruta entre el
cortafuegos y el servidor de actualización. Un ruta con un
número más bajo tiene una prioridad alta durante la
selección de la ruta. Por ejemplo, una ruta con una métrica
de 10 se usa antes que una ruta con una métrica de 100.
El intervalo es de 1-65535. No hay un valor de métrica
predeterminado.

IPv4

Muestra todos los ajustes recibidos desde el servidor
DHCP, incluidos el estado de concesión de DHCP, la
asignación de dirección IP dinámica, la máscara de subred,
la puerta de enlace, la configuración del servidor (DNS,
NTP, dominio, WINS, NIS, POP3 y SMTP).

Guía de referencia de interfaz web, versión 7.0 • 203

Configuración de DHCP

Ejemplo: Configure un servidor DHCP con opciones personalizadas
En el siguiente ejemplo, se configura una interfaz en el cortafuegos como servidor DHCP.
El servidor DHCP se configura con las opciones 66 y 150 para proporcionar información sobre
servidores TFTP que proporciona configuraciones para teléfonos IP de Cisco. Esto significa
que cuando los clientes solicitan las opciones 66 y 150 del servidor, el servidor enviará estos
valores de opción en su respuesta. Los teléfonos IP de Cisco reciben su configuración desde
un servidor TFTP. La opción 66 de DHCP ofrece el nombre de host para un servidor TFTP; la
opción 150 ofrece la dirección IP de un servidor TFTP.

Configuración de un servidor DHCP con opciones personalizadas
1.

Seleccione Red > DHCP > Servidor DHCP.

2.

Seleccione la interfaz que sirve como servidor DHCP.

3.

En la pestaña Concesión, especifique Timeout como 1 día.

4.

Especifique el intervalo de direcciones IP en Grupos de IP que el servidor puede
asignar a los clientes.

204 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de DHCP

Configuración de un servidor DHCP con opciones personalizadas
5.

En la pestaña Opciones, escriba la dirección de puerta de enlace y la máscara de
subred para la red.

6.

Escriba las direcciones de los servidores que este servidor DHCP enviará a los clientes.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 205

Configuración de proxy DNS

Configuración de un servidor DHCP con opciones personalizadas
7.

Para introducir una opción DHCP personalizada, haga clic en Añadir. En este ejemplo,
escriba un nombre para la opción, como Nombre de host de teléfonos VoIP y el código
de opción 66. El nombre de la opción no se envía al cliente y facilita la identificación del
servidor.

8.

Seleccione ASCIl.

9.

Haga clic en Añadir para introducir el valor de opción TFTPserver10 y haga clic en
ACEPTAR.

10. Para introducir otra opción DHCP, haga clic en Añadir. Introduzca un nombre
diferente, como Dirección IP de teléfonos VoIP y el código de opción 150. El nombre
debe ser distinto del primer nombre porque los tipos de datos son diferentes.
11. Seleccione Dirección IP.
12. Haga clic en Añadir para introducir el valor de opción 10.1.1.1 (la dirección de
servidor TFTP principal) y haga clic en ACEPTAR.
13. Haga clic en ACEPTAR y seleccione Confirmar para guardar la configuración.

Configuración de proxy DNS
Los servidores DNS realizan el servicio de resolver un nombre de dominio con una dirección
IP y viceversa. Cuando configura el cortafuegos como un proxy DNS, actúa como un
intermediario entre los clientes y servidores y como un servidor DNS resolviendo consultas
desde su caché DNS. Use esta página para configurar los ajustes que determinan cómo el
cortafuegos sirve como un proxy DNS.

¿Qué desea saber?

Consulte

¿Cómo funciona el cortafuegos
como proxy de las solicitudes
DNS?

“Resumen proxy DNS”

¿Cómo se configura la caché
DHCP?

“Componentes del proxy DNS”

206 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Configuración de proxy DNS

¿Qué desea saber?

Consulte

¿Cómo configuro las
asignaciones de FQDN estática a
dirección IP?

“Componentes del proxy DNS”

¿Qué acciones adicionales puedo
realizar para gestionar proxies
DNS?

“Acciones adicionales de proxy DNS”

Resumen proxy DNS
Red > Proxy DNS
Para dirigir las consultas DNS a distintos servidores DNS según los nombres de dominio,
puede configurar el cortafuegos como un proxy DNS y especificar qué servidores DNS usar.
La especificación de múltiples servidores DNS puede garantizar la localización de las
consultas DNS y aumentar la eficiencia. Por ejemplo, puede reenviar todas las consultas DNS
corporativas a un servidor DNS corporativo y reenviar todas las demás consultas a los
servidores DNS ISP.
También puede enviar las consultas DNS a través de un túnel seguro para proteger detalles
sobre la configuración de red interna y le permite usar las funciones de seguridad como una
autenticación y cifrado.
En el caso de todas las consultas DNS que se dirigen a una dirección IP de interfaz, el
cortafuegos admite la dirección selectiva de consultas a diferentes servidores DNS en función
de nombres de dominio totales o parciales. Las consultas DNS TCP o UDP se envían mediante
la interfaz configurada. Las consultas UDP cambian a TCP cuando una respuesta de una
consulta DNS es demasiado larga para un único paquete UDP.
La interfaz incluye las siguientes pestañas para definir el proxy DNS:

• Reglas de proxy DNS: Le permite configurar los ajustes de nombre, nombre de dominio y
servidor DNS primario y secundario.

• Entradas estáticas: Le permite configurar un FQDN estático a las asignaciones de
dirección IP que se distribuirán en respuesta a consultas DNS realizadas por los hosts.

• Avanzado: Le permite definir los reintentos de consulta TCP, consulta UDP y la caché.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 207

Configuración de proxy DNS

Si el nombre de dominio no se encuentra en la caché proxy de DNS, el cortafuegos busca una
coincidencia de configuración de las entradas en el objeto proxy DNS específico (en la interfaz
en la que se recibe la consulta DNS) y se reenvía a un servidor de nombres en función de los
resultados. Si no se encuentra ninguna correspondencia, se utilizan los nombres de los
servidores predefinidos. También se admiten entradas estáticas y caché.

Consulte:
“Componentes del proxy DNS”
“Traslado o duplicación de una política o un objeto”

Componentes del proxy DNS
Red > Proxy DNS
La siguiente sección describe cada componente que puede configurar para establecer el
cortafuegos como un proxy DNS.

Tabla 120. Proxy DNS Configuración
Campo

Configurado en

Descripción

Habilitar

Proxy DNS

Seleccione la casilla de verificación para activar proxy DNS.

Nombre

Proxy DNS

Especifique un nombre para identificar el objeto proxy DNS
(hasta 31 caracteres). El nombre hace distinción entre mayúsculas
y minúsculas y debe ser exclusivo. Utilice únicamente letras,
números, espacios, guiones y guiones bajos.

Ubicación

Proxy DNS

Especifique el sistema virtual al que se aplique el objeto proxy
DNS. Si quiere seleccionar Compartido, el campo Perfil de
servidor no está disponible. Introduzca los objetos de direcciones
o direcciones IP del servidor DNS Principal y Secundario. Para
que un sistema virtual utilice Proxy DNS, debe configurar uno
previamente. Vaya a Dispositivo > Sistemas virtuales, seleccione
un sistema virtual, y seleccione un Proxy DNS.

Origen de herencia

Proxy DNS

Seleccione un origen para heredar las configuraciones del
servidor DNS predefinido. Se suele utilizar en implementaciones
de sucursales, en las que a la interfaz WAN del cortafuegos se
accede mediante DHCP o PPPoE.

Comprobar el estado de
origen de herencia

Proxy DNS

Haga clic en el enlace para ver la configuración del servidor
asignada actualmente a las interfaces del cliente DHCP y PPoE.
Pueden incluir DNS, WINS, NTP, POP3, SMTP o sufijo DNS.

Perfil de servidor

Proxy DNS

Seleccione o cree un nuevo perfil de servidor DNS. Este campo no
aparece si la ubicación de los sistemas virtuales se especifica como
Compartido.

Principal

Proxy DNS

Especifique las direcciones IP de los servidores DNS primario y
secundario. Si el servidor DNS primario no se encuentra, se
utilizará el secundario.

Secundario

208 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Repita esta acción para añadir más nombres. opción predefinida 4 horas).local”. Nombre de dominio Proxy DNS > Reglas de proxy DNS Haga clic en Añadir e introduzca el nombre de dominio del servidor proxy. las nuevas solicitudes se deben resolver y volver a guardar en la caché (intervalo 4 a 24. selecciónela y haga clic en Eliminar. Repita esta acción para añadir más direcciones. el número de testigos en una cadena comodín debe coincidir con el número de testigos en el dominio solicitado. Puede añadir varias interfaces. Primario/Secundario Proxy DNS > Reglas de proxy DNS Introduzca el nombre de host o la dirección IP de los servidores DNS principal y secundario. opción predefinida 1024). En el caso de una regla de proxy DNS. Caché Proxy DNS > Avanzado Seleccione la casilla de verificación para activar el almacenamiento en caché DNS y especifique la siguiente información: • Tamaño: Especifique el número de entradas que retendrá la caché (intervalo 1024-10240. Tras el tiempo de espera. Para eliminar un nombre. Palo Alto Networks Guía de referencia de interfaz web. Para eliminar una interfaz. FQDN Proxy DNS > Entradas estáticas Introduzca el nombre de dominio completo (FQDN) que se asignará a las direcciones IP estáticas definidas en el campo Dirección. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Interfaz Proxy DNS Active las casillas de verificación Interfaz para especificar las interfaces del cortafuegos que admiten las reglas de proxy DNS. Los valores de tiempo de vida DNS se utilizan para eliminar las entradas de caché cuando se han almacenado durante menos tiempo que el período configurado.local” no coincidirá con “ingeniería. Para eliminar una dirección. “*. Dirección Proxy DNS > Entradas estáticas Haga clic en Añadir e introduzca las direcciones IP que se asignan a este dominio. selecciónela y haga clic en Eliminar. De lo contrario. Por ejemplo. versión 7. Debe usarse una ruta de servicio de destino con un proxy DNS sin interfaz. • Tiempo de espera: Especifique la duración (horas) después de la que se eliminarán todas las entradas. Se deben especificar ambos. No se requiere una interfaz si se usa el proxy DNS solo para la funcionalidad de la ruta de servicio. Nombre Proxy DNS > Entradas estáticas Introduzca un nombre para la entrada estática. si desea que la dirección IP de origen pueda definirse en la ruta de servicio de destino. el proxy DNS debe seleccionar una dirección IP de interfaz como origen (cuando no se definen rutas de servicio DNS).Configuración de proxy DNS Tabla 120.0 • 209 . Nombre Proxy DNS > Reglas de proxy DNS Se requiere un nombre para poder modificar y hacer referencia a una entrada mediante CLI. selecciónelo y haga clic en Eliminar. Seleccione una interfaz de la lista desplegable y haga clic en Añadir.ingeniería. Activar el almacenamiento en caché de dominios resueltos por esta asignación Proxy DNS > Reglas de proxy DNS Seleccione la casilla de verificación para activar el almacenamiento en caché de los dominios que se han resuelto mediante esta asignación.

Acciones adicionales de proxy DNS Tras configurar el cortafuegos como un proxy DNS. versión 7. a la que se puede acceder mediante el protocolo simple 210 • Guía de referencia de interfaz web. ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Definición de perfiles LLDP” ¿Busca más información? Consulte LLDP. • Eliminar: Seleccione una entrada de proxy DNS y haga clic en Eliminar para eliminar la configuración de proxy DNS. • Deshabilitar: Para deshabilitar un proxy DNS. haga clic en el nombre de la entrada de proxy DNS y se seleccione Habilitar. haga clic en la entrada del proxy DNS y cancele la selección de Habilitar. El dispositivo receptor almacena la información en un MIB. • Intentos: Especifique el número máximo de intentos (sin incluir el primer intento) después de los cuales se intentará el siguiente servidor DNS (intervalo 1-30. Configuración de LLDP El protocolo de detección de nivel de enlace (LLDP) ofrece un método automático de detección de los dispositivos vecinos y sus funciones en la capa de enlace. Reintentos de consultas de UDP Proxy DNS > Avanzado Especifique los ajustes para los reintentos de consulta UDP: • Intervalo: Especifique el tiempo en segundos después del cual se enviará otra solicitud si no se ha recibido respuesta (intervalo 1-30. opción predeterminada: 2 segundos). puede realizar las siguientes acciones en la página Red > Proxy DNS para gestionar las configuraciones de proxy DNS: • Modificar: Para modificar un proxy DNS. haga clic en el nombre de la configuración de proxy DNS. opción predeterminada: 64) en el campo Máx.0 Palo Alto Networks . opción predefinida 5). Especifique el límite superior del número de solicitudes DNS TCP pendientes simultáneas que admitirá el cortafuegos (intervalo 64-256.Configuración de LLDP Tabla 120. Para habilitar un proxy DNS que se haya deshabilitado. Descripción general de LLDP Red > LLDP El LLDP permite el cortafuegos para enviar y recibir las tramas Ethernet que contienen las unidades de datos LLDP (LLDPDUs) desde y hacia los vecinos. Proxy DNS Configuración (Continuación) Campo Configurado en Descripción Consultas TCP Proxy DNS > Avanzado Seleccione la casilla de verificación para activar las consultas DNS mediante TCP. de solicitudes pendientes.

Esto facilita la solución de problemas. especialmente para las implementaciones de cable virtual donde el cortafuegos puede pasar desapercibido en una topología de red. si los ajustes predeterminado no se adapta en su entorno. El tiempo de espera TTL es el tiempo que el cortafuegos conservará la información del peer como válido.0 • 211 . LLDP Especifique un valor que se multiplica por el Intervalo de transmisión para determinar el tiempo total de espera TTL. Valor predeterminado: 2 segundos. LLDP Especifique el tiempo de intervalo entre las transmisiones LLDP enviados después de que se realice un cambio en un elemento de Tipo-Longitud-Valor (TLV). Intervalo: 1-3600 segundos. Intervalo: 1-100. El Retraso de transmisión debe ser inferior al Intervalo de transmisión. Intervalo: 1-600 segundos. Configuración LLDP e información mostrada Campo Configurado en o Mostrado en Intervalo de transmisión (segundos) LLDP Retraso de transmisión (segundos) Múltiple tiempo de espera Palo Alto Networks Descripción Especifica el intervalo en el que se transmiten LLDPDUs. haga clic en Editar y después en Habilitar y configure los cuatro ajustes que se muestran en la siguiente tabla. Este intervalo impide la inundación del segmento con LLDPDU si muchos cambios de red aumentan el número de cambios LLDP o si la interfaz provoca flaps. versión 7. El resto de entradas de la tabla describe las estadísticas de peer y estado. Guía de referencia de interfaz web. Tabla 121. El LLDP permite que los dispositivos de red asignen su topología de red y funciones de programación de los dispositivos conectados. Valor predeterminado: 4. Componentes del LLDP Red > LLDP Para habilitar el LLDP en el cortafuegos. independientemente del valor de multiplicador. El tiempo de espera TTL máximo es 65535. Valor predeterminado: 30 segundos.Configuración de LLDP de administración de redes (SNMP).

TLV descartado Estado Recuento de las tramas LLDP descartadas en la recepción. Modo Estado Modo LLDP de la interfaz: Tx/Rx. un error de longitud cuando el sistema construye un LLDPDU para la transmisión. Por ejemplo. Interfaz Estado Nombre de las interfaces que tienen asignados perfiles LLDP. LLDP Estado Estado de LLDP: habilitado o deshabilitado. información fuera de rango o error de longitud. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Intervalo de notificaciones LLDP Especifique el intervalo en el que las notificaciones de Trap SNMP y syslog se transmiten cuando se producen los cambios MIB. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. Valor predeterminado: 5 segundos. 212 • Guía de referencia de interfaz web.0 Palo Alto Networks . Transmisión descartada Estado Número de LLDPDU que no se han transmitido fuera de la interfaz por un error. mal funcionamiento. No reconocido Estado Número de TLV recibidos en la interfaz que no reconoce el agente local LLDP. porque el tipo TLV está en el intervalo TLV reservado. Haga clic en la X roja para borrar el filtro.Configuración de LLDP Tabla 121. Caducado Estado Número de elementos eliminados desde Recibir MIB por una caducidad TTL adecuada. Total recibidos Estado Número de tramas LLDP recibidas de la interfaz. Perfil Estado Nombre del perfil asignado a la interfaz. por ejemplo. Intervalo: 1-3600 segundos. Tx solo o Rx solo. Entre los tipos de errores de TLV se incluyen: falta de uno o más TLV obligatorios. Total transmitidos Estado Número de LLDPDU transmitidos fuera de la interfaz. versión 7. Errores Estado Número de elementos Tiempo-Longitud-Valor (TLV) que se recibieron en la interfaz y contenían errores. filtro de catalejo Estado También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris.

Descripción del sistema Mismos niveles Descripción de puerto Mismos niveles Tipo de puerto Mismos niveles Nombre de interfaz. Más info Mismos niveles Haga clic en este enlace para ver los detalles de peer remoto. Guía de referencia de interfaz web. que se basan en TLV obligatorios y opcionales. Haga clic en la X roja para borrar el filtro.Configuración de LLDP Tabla 121. Capacidades del sistema Mismos niveles Funcionalidades del sistema. filtro de catalejo Mismos niveles También puede introducir un valor de datos en la fila de filtro y hacer clic en la flecha gris. Dirección MAC Mismos niveles La dirección MAC del peer. Interfaz local Mismos niveles Interfaz en el cortafuegos que detectó el dispositivo vecino. ID de puerto Mismos niveles El cortafuegos usa el NombreIf de la interfaz. Nombre del sistema Mismos niveles Nombre del peer. Tipo de bastidor Mismos niveles El tipo de chasis en dirección MAC. ID de bastidor remoto Mismos niveles ID de puerto Mismos niveles IP de puerto del peer. O=Otro. se usa la dirección MAC.0 • 213 . B=Puente. P=Repetidor. que provoca que solo las filas que incluyen ese valor de datos se puedan ver. W=LAN-Inalámbrico. Nombre Mismos niveles Nombre del peer. versión 7. R=Enrutador. T=Teléfono Palo Alto Networks ID de bastidor del peer. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Descripción Borrar estadísticas LLDP Estado Haga clic en este botón de la parte inferior de la pantalla para borrar todas las estadísticas LLDP. Descripción del puerto del peer. Descripción del peer.

Para asignar perfiles de gestión a cada interfaz.0 Palo Alto Networks . 214 • Guía de referencia de interfaz web.Definiendo perfiles de gestiones de interfaz Tabla 121. Dirección de gestión del peer. versión 7. Definiendo perfiles de gestiones de interfaz Red > Perfiles de red > Gestión de interfaz Utilice esta página para especificar los protocolos que se utilizan para gestionar el cortafuegos. consulte “Configure la interfaz de capa 3” y “Configuración de la subinterfaz de capa 3”. Configuración LLDP e información mostrada (Continuación) Campo Configurado en o Mostrado en Capacidades habilitadas Mismos niveles Dirección de gestión Mismos niveles Descripción Funcionalidades habilitadas en el peer.

Los siguientes ajustes se utilizan para configurar un perfil de supervisión. números. Este nombre aparece en la lista de perfiles de gestión de interfaz cuando se configuran interfaces.0 • 215 . el perfil de supervisión se utiliza para especificar la medida que se adoptará cuando un recurso (túnel de IPSec o dispositivo de siguiente salto) no esté disponible. versión 7. Utilice únicamente letras. Para obtener información detallada. Palo Alto Networks Guía de referencia de interfaz web. Si selecciona la casilla de verificación ID de usuario permite la comunicación entre cortafuegos donde uno redistribuye la asignación de usuarios y la información de asignación de grupo a los otros. espacios. Los perfiles de supervisión son opcionales pero pueden ser de gran utilidad para mantener la conectividad entre sitios y para garantizar el cumplimiento de las reglas PBF. En ambos casos. Definición de perfiles de supervisión Red > Perfiles de red > Supervisar Un perfil de supervisor se utiliza para supervisar las reglas de reenvío basado en políticas (PFB) de túneles de IPSec y dispositivos de siguiente salto. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Telnet SSH HTTP OCSP de HTTP HTTPS SNMP Páginas de respuesta ID de usuario Si selecciona la casilla de verificación Páginas de respuesta. guiones y guiones bajos.Definición de perfiles de supervisión Tabla 122. Configuración del Perfil de gestión de interfaz Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). SSL de escucha de Syslog de ID de usuario UDP de escucha de Syslog de ID de usuario Direcciones IP permitidas Introduzca la lista de direcciones IPv4 o IPv6 desde las que se permite la gestión de cortafuegos. 6081 para el Portal cautivo en modo transparente. Ping Seleccione la casilla de verificación para cada servicio que desee activar en las interfaces a las que asigna el perfil. consulte “Pestaña Agentes de ID de usuarios”. y 6082 para el Portal cautivo en el modo Redirigir. los puertos usados para atender las páginas de respuesta del Portal cautivo quedan abiertos en las interfaces de capa 3: puerto 6080 para NTLM.

El cortafuegos utiliza la búsqueda de tabla de enrutamiento para determinar el enrutamiento durante la sesión. • Esperar recuperación: Espera a que el túnel se recupere.Definición de perfiles de protección de zonas Tabla 123. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. utilice la base de reglas de protección DoS para la coincidencia con una zona específica. Si el número de umbral de latidos se pierde. Está diseñado para proporcionar una protección amplia en la zona de entrada (p. Para configurar un perfil Protección de zona. Definición de perfiles de protección de zonas Red > Perfiles de red > Protección de zona Un perfil de protección de zona ofrece protección frente a las inundaciones más comunes. espacios y guiones bajos. la zona donde el tráfico entra al cortafuegos) y no están diseñados para proteger un host de extremo específico o el tráfico que vaya a una zona de destino particular. sorteará el ajuste de protección de zona. números. • Conmutación por error: El tráfico cambiará a una ruta de seguridad. 216 • Guía de referencia de interfaz web.. el cortafuegos realiza la acción especificada. ej. Configuración de supervisión Campo Descripción Nombre Introduzca un nombre para identificar el perfil de supervisión (de hasta 31 caracteres). Para aumentar las capacidades de protección de zona en el cortafuegos. el cortafuegos intentará negociar nuevas claves de IPSec para acelerar la recuperación. Descripción Introduzca una descripción opcional para el perfil de protección de zonas. Este nombre aparece en la lista de perfiles de protección de zonas cuando se configuran zonas. no realiza ninguna acción adicional. Note: La protección de zona solo se aplica cuando no hay ninguna coincidencia de sesión para el paquete. opción predefinida 5). Intervalo Especifique el tiempo entre latidos (intervalo 2-10. guiones y guiones bajos. Los paquetes continuarán enviándose de acuerdo con la regla PBF. Acción Especifique la acción que se realizará si el túnel no está disponible. dirección IP o usuario. haga clic en Añadir y especifique los siguientes ajustes: Tabla 124. Utilice únicamente letras. versión 7. Configuración de Perfil de protección de zonas Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). si existe una disponible. Si el paquete coincide con una sesión existente. ataques de reconocimiento y otros ataques basados en paquetes. opción predefinida 3). números. Utilice únicamente letras. interfaz. En ambos casos. espacios.0 Palo Alto Networks . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Umbral Especifique el número de latidos que se perderán antes de que el cortafuegos realice la acción especificada (intervalo 2-100.

se genera una alarma. Es el método preferido. • Descarte aleatorio temprano: Permite descartar paquetes SYN para mitigar un ataque de inundación: – Si el flujo supera el umbral de tasa de alerta. Tabla 125. Para activar la protección frente a inundaciones SYN en una puerta de enlace compartida puede aplicar un perfil de protección de inundación SYN con descarte aleatorio temprano o cookies SYN. según lo requiera su topología de red: • Pestaña Protección contra inundaciones: Consulte “Configuración de la protección contra inundaciones”. debe crear un perfil de protección de zona separado para la puerta de enlace compartida. • Pestaña Protección de ataque basada en paquetes: Consulte “Configuración de la protección de ataques basada en paquetes”. Configuración de la pestaña Protección contra inundaciones Campo Descripción Umbrales de protección contra inundaciones: Inundación SYN Acción Seleccione la acción que se adoptará en respuesta a un ataque de inundación SYN. en una zona externa solo está disponible el descarte aleatorio temprano para la protección frente a inundación SYN Configuración de la protección contra inundaciones Red > Perfiles de red > Protección de zona > Protección contra inundaciones La tabla siguiente describe los ajustes de la pestaña Protección contra inundaciones. versión 7.Definición de perfiles de protección de zonas Cuando se define un perfil Protección de zona.0 • 217 . – Si el flujo supera el umbral de tasa de activación. se descartan paquetes SYN individuales de forma aleatoria para reducir el flujo. Palo Alto Networks Guía de referencia de interfaz web. se descartan todos los paquetes. • Pestaña Protección de reconocimiento: Consulte “Configuración de la protección de reconocimiento”. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. • Cookies SYN: Calcula un número de secuencia de paquetes SYN-ACK que no requieren almacenar las conexiones pendientes en memoria. – Si el flujo supera el umbral de tasa de máxima. debe configurar los ajustes en la pestaña General y en cualquiera de las siguientes pestañas. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6.

Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Alerta (paquetes/seg.) Introduzca el número máximo de paquetes ICMPv6 que se pueden recibir por segundo. Máximo (paquetes/seg. Activar (paquetes/seg.) Introduzca el número de paquetes ICMPv6 recibidos por segundo en la zona que causa que se descarten los siguientes paquetes ICMPv6.) Introduzca el número máximo de paquetes ICMP que se pueden recibir por segundo. Máximo (paquetes/seg.0 Palo Alto Networks . Umbrales de protección contra inundaciones: ICMPv6 Alerta (paquetes/seg.) Introduzca el número de solicitudes de eco ICMPv6 (pings) recibidos por segundo que genera una alarma de ataque.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes UDP.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera una alarma de ataque.) Introduzca el número máximo de paquetes SYN que se pueden recibir por segundo. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: UDP Alerta (paquetes/seg. Máximo (paquetes/seg. Umbrales de protección contra inundaciones: Inundación ICMP Alerta (paquetes/seg. La respuesta se desactiva si el número de paquetes IP es inferior al umbral. Activar (paquetes/seg.) Introduzca el número de solicitudes de eco ICMP (pings) recibidos por segundo que genera una alarma de ataque. La respuesta se desactiva si el número de paquetes UDP es inferior al umbral.) Introduzca el número de paquetes UDP recibidos por la zona (en un segundo) que genera una alarma de ataque.) Introduzca el número de paquetes IP recibidos por la zona (en un segundo) que genera el descarte aleatorio de paquetes IP.Definición de perfiles de protección de zonas Tabla 125. Cualquier número de paquetes que supere el máximo se descartará. versión 7. Las alarmas se pueden en el panel (consulte “Uso del panel”) y en el log de amenazas (consulte “Realización de capturas de paquetes”). La medición se detiene cuando el número de paquetes ICMPv6 es inferior al umbral. Activar (paquetes/seg. Activar (paquetes/seg. Cualquier número de paquetes que supere el máximo se descartará. Umbrales de protección contra inundaciones: Otras IP Alerta (paquetes/seg. Máximo (paquetes/seg.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera la acción especificada.) Introduzca el número máximo de paquetes UDP que se pueden recibir por segundo.) Introduzca el número de paquetes SYN recibidos por la zona (en un segundo) que genera una alarma de ataque. 218 • Guía de referencia de interfaz web. Cualquier número de paquetes que supere el máximo se descartará. Cualquier número de paquetes que supere el máximo se descartará.) Introduzca el número de paquetes ICMP recibidos por la zona (en un segundo) que causa que se descarten los siguientes paquetes ICMP. Activar (paquetes/seg.

• Bloquear IP: Descarta el resto de paquetes durante un período de tiempo especificado. Tabla 126. Acción Introduzca la acción que el sistema adoptará como respuesta a este tipo de evento: • Permitir: Permite la exploración de puerto de reconocimiento de limpieza de host. Configuración de la protección de reconocimiento Red > Perfiles de red > Protección de zona > Protección de reconocimiento La tabla siguiente describe los ajustes de la pestaña Protección de reconocimiento. Configuración de la pestaña Protección de reconocimiento Campo Descripción Protección de reconocimiento: Examen de puerto TCP. Dirección de fuente de difusión por proximidad Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de fuente de difusión por proximidad. Configuración de la protección de ataques basada en paquetes Red > Perfiles de red > Protección de zona > Protección de ataque basada en paquetes Las siguientes pestañas se utilizan para la configuración de la protección de ataque basada en paquetes: • Descarte IP: Consulte “Configuración de la pestaña Descarte IP”.0 • 219 . • Bloquear: Descarta todos los paquetes enviados desde el origen al destino durante el resto del intervalo de tiempo especificado. • Alerta: Genera una alerta para cada exploración o limpieza que coincida con el umbral del intervalo de tiempo especificado. Palo Alto Networks Guía de referencia de interfaz web. Umbral (eventos) Introduzca el número de puertos explorados en el intervalo de tiempo especificado que activarán este tipo de protección (eventos).Definición de perfiles de protección de zonas Tabla 125. destino. versión 7. e introduzca la duración (segundos). Dirección de origen multicast Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección de origen multicast. Cualquier número de paquetes que supere el máximo se descartará. IPv6 Colocar paquetes con Encabezado de enrutamiento tipo 0 Active la casilla de verificación para colocar los paquetes de IPv6 que incluirán un encabezado de enrutador de tipo 0. Limpieza de host Intervalo (seg) Introduzca el intervalo de tiempo para la detección de exámenes puerto y limpieza de host (segundos).) Introduzca el número máximo de paquetes IP que se pueden recibir por segundo. Seleccione si se bloqueará el tráfico de origen. Dirección compatible de IPv4 Active la casilla de verificación para colocar los paquetes IPv6 que incluyan una dirección compatible con IPv4. o el de origen y destino. Configuración de la pestaña Protección contra inundaciones (Continuación) Campo Descripción Máximo (paquetes/seg. Examen de puerto de UDP.

Ruta de log Descarta paquetes con la opción de ruta de log activada. si es así. Forma incorrecta Descarta paquetes si tienen combinaciones incorrectas de clase. versión 7. número y longitud basadas en RFC 791. 1108. Descartar opciones IP Enrutamiento de fuente estricto Descarta paquetes con la opción de IP de enrutamiento de origen estricto activada. • El segmento está superpuesto a parte de otro segmento. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. ID de secuencia Descarta paquetes con la opción de ID de secuencia activada. Segmento TCP superpuesto no coincidente Este ajuste hará que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. especifique los siguientes ajustes: Tabla 127. • El segmento cubre otro segmento. • Colocación de ICMP: Consulte “Configuración de la pestaña Colocación de ICMP”. Marca de tiempo Descarta paquetes con la opción de marca de tiempo activada. • Colocación de IPv6: Consulte “Configuración de la pestaña Colocación de IPv6”.0 Palo Alto Networks . Enrutamiento de origen no estricto Descarta paquetes con la opción de IP de enrutamiento de origen no estricto activada. 220 • Guía de referencia de interfaz web.Definición de perfiles de protección de zonas • Descarte TCP: Consulte “Configuración de la pestaña Descarte TCP”. Comprobación de dirección IP estricta Tráfico fragmentado Descarta los paquetes IP fragmentados. Configuración de la pestaña Descarte IP Para configurar Descarte IP. Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y. Desconocido Descarta paquetes si no se conoce la clase ni el número. 1393 y 2113. la elimina. Seguridad Descarta paquetes con la opción de seguridad activada. • ICMPv6: Consulte “Configuración de la pestaña Colocación de ICMPv6”. Configuración de la pestaña Protección de ataque basada en paquetes Campo Descripción Pestaña secundaria Descarte IP Dirección IP de réplica Active la casilla de verificación para activar la protección contra replicación de dirección IP.

las sesiones TCP para interfaces de esa zona deben establecerse usando una presentación estándar de tres direcciones. El cortafuegos del última generación Palo Alto Networks gestiona correctamente sesiones y todos los procesos de capa 7 para la presentación de enlace dividido y un establecimiento de sesión abierta simultánea sin configurar Protocolo de enlace dividido.Definición de perfiles de protección de zonas Tabla 127. Rechazar TCP sin SYN Determina si el paquete se rechazará. • No: Acepta TCP sin SYN. Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. • Derivar: Derive los paquetes que contienen una ruta asimétrica. Este mecanismo de protección utiliza números de secuencia para determinar el lugar donde residen los paquetes dentro del flujo de datos TCP. • No: Acepta TCP sin SYN. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. versión 7. si el primer paquete de la configuración de sesión TCP no es un paquete SYN: • Global: Utilice el ajuste del sistema asignado mediante CLI. especifique los siguientes ajustes: Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Segmento TCP superpuesto no coincidente Hace que el cortafuegos informe sobre una falta de coincidencia de superposición y coloque el paquete cuando los datos de segmento no coincidan en estas situaciones: • El segmento está dentro de otro segmento. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. • Sí: Rechaza TCP sin SYN. Cuando se configura esta opción para un perfil de protección de zona y el perfil se aplica a una zona. Tenga en cuenta que permitir el tráfico que no es de sincronización de TCP puede impedir que las políticas de bloqueo de archivos funcionen de la forma esperada en aquellos casos en los que no se establece la conexión del cliente o servidor después de que se produzca el bloqueo. • El segmento está superpuesto a parte de otro segmento. • Sí: Rechaza TCP sin SYN. • El segmento cubre otro segmento. La presentación dividida de cuatro o cinco direcciones o un procedimiento de establecimiento de sesión abierta simultánea son ejemplos de variaciones que no se permiten.0 • 221 . Palo Alto Networks Guía de referencia de interfaz web. no se permiten las variaciones. Configuración de la pestaña Descarte TCP Para configurar Descarte TCP. Configuración de la pestaña Protección de ataque basada en paquetes (Continuación) Campo Descripción Rechazar TCP sin SYN Determina si el paquete se rechazará. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. Protocolo de enlace dividido Evita que una sesión TCP se establezca si el procedimiento de establecimiento de sesión no usa la reconocida presentación de tres direcciones.

0 Palo Alto Networks . la elimina. • Colocar: Descarte los paquetes que contienen una ruta asimétrica. Dirección compatible de IPv4 Descarta los paquetes IPv6 que se definen como una dirección IPv6 compatible con IPv4 RFC 4291. Configuración de la pestaña Colocación de IPv6 Campo Descripción Pestaña secundaria Descarte de IPv6 Encabezado de enrutamiento tipo 0 Descarta los paquetes IPv6 que contienen un encabezado de enrutamiento de Tipo 0. Configuración de la pestaña Colocación de ICMP Campo Descripción Pestaña secundaria Colocación de ICMP ID de 0 de ping de ICMP Descarta paquetes si el paquete de ping de ICMP tiene un identificador con el valor de 0.Definición de perfiles de protección de zonas Tabla 128 Configuración de la pestaña Descarte TCP Campo Descripción Ruta asimétrica Determine si los paquetes que contienen números de secuencia fuera del umbral o ACK de fallo de sincronización se descartarán o se derivarán: • Global: Utilice el ajuste del sistema asignado mediante CLI. Eliminar marca de tiempo de TCP Determina si el paquete tiene una marca de tiempo de TCP en el encabezado y.024) Descarta paquetes ICMP con un tamaño mayor de 1024 bytes. Configuración de la pestaña Colocación de ICMP Para configurar Colocación de ICMP. Configuración de la pestaña Colocación de IPv6 Para configurar Colocación de IPv6. Este ajuste interfiere el proceso PMTUD que ejecutan los hosts tras el cortafuegos. Descartar ICMP incrustado con mensaje de error Descarta los paquetes ICMP que se incrustan con un mensaje de error. Consulte RFC 5095 para la información de encabezado de enrutamiento de tipo 0. Suprimir error caducado ICMP TTL Detiene el envío de mensajes caducados ICMP TTL. especifique los siguientes ajustes: Tabla 129. ICMP de gran tamaño (>1. especifique los siguientes ajustes: Tabla 130. si es así. 222 • Guía de referencia de interfaz web. Fragmento de ICMP Descarta paquetes formados con fragmentos ICMP. Suprimir fragmento de ICMP necesario Detiene el envío de mensajes necesarios por la fragmentación ICMP en respuesta a paquetes que exceden la interfaz MTU y tienen el bit no fragmentar (DF) activado. versión 7. • Derivar: Derive los paquetes que contienen una ruta asimétrica.

Paquete de ICMPv6 demasiado grande: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de paquetes ICMPv6 demasiado grandes incluso con una sesión existente. Palo Alto Networks Guía de referencia de interfaz web.280. que dirige los paquetes a uno o más nodos intermedios a su destino. MTU en paquete ICMP demasiado grande inferior a 1280 bytes Descarta los paquetes IPv6 que contienen un mensaje Paquete de error de ICMPv6 demasiado grande MTU inferior a 1. Campo reservado diferente a cero Descarta paquetes IPv6 que tienen un encabezado con un campo reservado no definido a cero. Extensión de enrutamiento Descarta los paquetes IPv6 que contienen el encabezado de extensión de enrutamiento. Tiempo superado de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de tiempo de ICMPv6 superado incluso con una sesión existente. especifique los siguientes ajustes: Tabla 131. Configuración de la pestaña Colocación de IPv6 (Continuación) Campo Descripción Dirección de fuente de difusión por proximidad Descarta los paquetes IPv6 con una dirección de origen de difusión.0 • 223 .Definición de perfiles de protección de zonas Tabla 130. que contiene opciones buscadas solo para el destino del paquete. Extensión de destino Descarta los paquetes IPv6 que contienen la extensión de opciones de destino. Configuración de la pestaña Colocación de ICMPv6 Campo Descripción Pestaña secundaria ICMPv6 Destino ICMPv6 no alcanzable: requiere regla de seguridad explícita Requiere una búsqueda de política de seguridad explícita para errores de destinos ICMPv6 no alcanzables incluso con una sesión existente. Extensión de salto por salto Descarta los paquetes IPv6 que contienen el encabezado de extensión de salto por salto. Encabezado de fragmento innecesario Descarta los paquetes IPv6 con la etiqueta del último fragmento (M=0) y un desplazamiento de cero. Configuración de la pestaña Colocación de ICMPv6 Para configurar Colocación de ICMPv6. Problema de parámetro de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de problema de parámetro de ICMPv6 incluso con una sesión existente. versión 7. Opciones de IPv6 no válidas en encabezado de extensión Descarta los paquetes IPv6 que contienen opciones IPv6 no válidas en el encabezado de extensión.

Tabla 132. Nombre del sistema Perfil de LLDP Permite que el objeto sysName del cortafuegos se envíe en el TLV Nombre de sistema. Descripción del sistema Perfil de LLDP Permite que el objeto sysDescr del cortafuegos se envíe en el TLV Descripción del sistema. transmisión-solo o recepción-solo. 224 • Guía de referencia de interfaz web. Tras configurar el perfil LLDP. asigna el perfil a una o más interfaces. versión 7. Modo Perfil de LLDP Seleccione el modo en el que funcionará LLDP: transmisión-recepción.Definición de perfiles LLDP Tabla 131. habilitar las notificaciones de syslog y SNMP y configurar el Tipo-Longitud-Valores (TLV) opcional que desea se transmitan a los peer LLDP. Si se activa. el cortafuegos enviará tanto un evento de syslog y trap SNMP como se configura en Dispositivo > Configuración de log > Sistema > Perfil de Trap SNMP y Perfil de Syslog.0 Palo Alto Networks . Configuración de la pestaña Colocación de ICMPv6 (Continuación) Campo Descripción Redirección de ICMPv6: requiere coincidencia explícita de regla de seguridad Requiere una búsqueda de política de seguridad explícita para errores de redireccionamiento de ICMPv6 incluso con una sesión existente. que ocurrirán en el Intervalo de notificaciones global. Descripción de puerto Perfil de LLDP Permite que el objeto ifAlias del cortafuegos se envíe en el TLV Descripción de puerto. Componentes de perfiles LLDP Red > Perfiles de red > Perfil LLDP Un perfil de Protocolo de detección de nivel de enlace (LLDP) es la forma que le permite configurar el modo LLDP en el cortafuegos. Notificación Syslog SNMP Perfil de LLDP Permite las notificaciones de syslog y trap SNMP. Definición de perfiles LLDP ¿Qué está buscando? Consulte ¿Qué es el LLDP? “Descripción general de LLDP” ¿Cómo se configura el LLDP? “Componentes del LLDP” ¿Cómo se configura un perfil de LLDP? “Componentes de perfiles LLDP” ¿Busca más información? Consulte LLDP. Configuración de perfil de LLDP Campo Configurado en Descripción Nombre Perfil de LLDP Especifique un nombre para el perfil LLDP.

Se requiere al menos una dirección de gestión si se ha activado el TLV Dirección de gestión. Capacidades del sistema Perfil de LLDP • Si L3. Si no se configura la dirección IP de gestión. • Si el cable virtual. L2 o cable virtual) de la interfaz que se enviará. Elección de IP Palo Alto Networks Guía de referencia de interfaz web. Dirección de gestión Perfil de LLDP Permite que Dirección de gestión se envíe en el TLV Dirección de gestión.0 • 225 . el cortafuegos anuncia la funcionalidad de enrutador (bit 6) u el bit Otro (bit 1). el sistema usa la dirección MAC de la interfaz de transmisión a medida que se transmite la dirección de gestión. puede introducir una dirección IP en el siguiente campo a la selección de IPv4 o IPv6. Nombre Perfil de LLDP Especifique un nombre para Dirección de gestión. en el campo adyacente. Para cambiar el orden. use los botones Mover hacia arriba o Mover hacia abajo.Definición de perfiles LLDP Tabla 132. Perfil de LLDP Seleccione IPv4 o IPv6 y. el cortafuegos anuncia la funcionalidad del Repetidor (bit 2) y el bit Otro (bit 1). Si se especifica Ninguno. SNMP MIB combina las funcionalidades configuradas en las interfaces en una única entrada. a través de la siguiente asignación en el TLV Capacidades del sistema. • Si L2. Configuración de perfil de LLDP (Continuación) Campo Configurado en Descripción Habilita el modo de implementación (L3. que se envían en el orden especificado. Interfaz Perfil de LLDP Seleccione una interfaz cuya dirección IP será la Dirección de gestión. seleccione o introduzca que la dirección IP se transmita como la dirección de gestión. versión 7. Puede introducir hasta cuatro direcciones de gestión. el cortafuegos anuncia la funcionalidad de puente MAC (bit 3) u el bit Otro (bit 1).

versión 7.0 Palo Alto Networks .Definición de perfiles LLDP 226 • Guía de referencia de interfaz web.

Consulte “Definición de políticas de seguridad” Para obtener información sobre cómo utilizar el explorador de etiquetas. Consulte “Estadísticas de QoS”. cuando pasa por una interfaz con QoS activado.Tipos de políticas Capítulo 5 Políticas y perfiles de seguridad Esta sección describe cómo configurar políticas y perfiles de seguridad: • • • • “Tipos de políticas” “Traslado o duplicación de una política o un objeto” “Perfiles de seguridad” “Otros objetos de las políticas” Tipos de políticas Las políticas permiten controlar el funcionamiento del cortafuegos aplicando reglas y tomando las medidas necesarias de forma automática. así como el acceso SSH (Secure Shell). Consulte “Políticas de reenvío basado en políticas”. Se admiten los siguientes tipos de políticas: Políticas básicas de seguridad para bloquear o permitir una sesión de red basada en la aplicación. según sea necesario.0 • 227 . • Políticas de cancelación para anular las definiciones de la aplicación proporcionadas por el cortafuegos. consulte “Uso del explorador de etiquetas”. Cada una de las políticas puede especificar las categorías de las URL del tráfico que desea descifrar. Consulte “Políticas de descifrado”. el servicio (puerto y protocolo). Consulte “Políticas NAT” y “Definición de políticas de traducción de dirección de red”. • Políticas de traducción de dirección de red (NAT) para traducir direcciones y puertos. Consulte “Definición de políticas de cancelación de aplicación”. versión 7. las zonas y direcciones de origen y destino y. Las zonas identifican interfaces físicas o lógicas que envían o reciben tráfico. El descifrado SSH se utiliza para identificar y controlar los túneles SSH. opcionalmente. • Políticas de descifrado para especificar el descifrado del tráfico de las políticas de seguridad. Palo Alto Networks Guía de referencia de interfaz web. • Políticas de calidad de servicio (QoS) para determinar la forma en la que se clasifica el tráfico para su tratamiento. • Políticas de reenvío basado en políticas para cancelar la tabla de enrutamiento y especificar una interfaz de salida para el tráfico.

Traslado o duplicación de una política o un objeto Al trasladar o duplicar políticas y objetos. seleccione Mover a otro vsys (únicamente cortafuegos) o Mover a otro grupo de dispositivos (únicamente Panorama).0 Palo Alto Networks . El dispositivo o sistema virtual donde realice la cancelación almacena una versión local de la regla en su configuración. cumplimente los campos de la tabla siguiente y. Destino Seleccione la nueva ubicación de la política u objeto: un sistema virtual. Seleccione esta casilla de verificación (seleccionada de manera predeterminada) para que el dispositivo muestre el primer error que encuentre y deje de buscar más errores. haga clic en Mover. seleccione la regla posterior. predeterminada entre zonas y predeterminada intrazona. seleccione la regla anterior. cumplimente los campos de la tabla siguiente y. Consulte “Definición de políticas DoS”. Si cancela la selección de la casilla de verificación. estas políticas compartidas no se pueden editar en el cortafuegos. a continuación. Cancelación o reversión de una regla de seguridad predeterminada Las reglas de seguridad predeterminadas. Consulte “Definición de políticas de portal cautivo”. haga clic en Aceptar. se produce un error si el Destino no incluye un objeto al que se haga referencia en la regla de política que está moviendo. puede asignar un Destino (un sistema virtual en un cortafuegos o un grupo de dispositivos en Panorama) para el que tenga permisos de acceso. incluida la ubicación compartida. Por ejemplo. • Regla anterior: En la lista desplegable adyacente. tienen ajustes predefinidos que puede cancelar en un cortafuegos o en Panorama. Los ajustes que puede cancelar son un subconjunto del conjunto completo 228 • Guía de referencia de interfaz web. el dispositivo buscará todos los errores antes de mostrarlos. Las políticas compartidas introducidas en Panorama se muestran de color verde en la interfaz web del cortafuegos. El valor predeterminado es el Sistema virtual o Grupo de dispositivos que seleccionó en la pestaña Políticas u Objetos. selecciónelos en la pestaña Políticas u Objetos. Tabla 133 Configuración de traslado/duplicación Campo Descripción Reglas/objetos seleccionados Muestra el nombre y la ubicación actual (sistema virtual o grupo de dispositivos) de las políticas u objetos que ha seleccionado para la operación.Tipos de políticas • Políticas de portal cautivo para solicitar la autenticación de los usuarios no identificados. un grupo de dispositivos o una ubicación compartida. haga clic en Aceptar. Si un cortafuegos recibe las reglas predeterminadas de un grupo de dispositivos. • Regla posterior: En la lista desplegable adyacente. Seleccione la posición de regla con respecto a otras reglas: Orden de regla (únicamente políticas) Error en el primer error detectado en la validación • Mover a la parte superior: La regla precederá al resto de reglas. Para duplicar políticas u objetos. a continuación. • Políticas de denegación de servicio (DoS) para proteger de ataques DoS y tomar las medidas de protección en respuesta que coincidan con las reglas. selecciónelos en la pestaña Políticas u Objetos. Para trasladar políticas u objetos. • Mover a la parte inferior: La regla seguirá al resto de reglas. versión 7. haga clic en Duplicar. también puede cancelar los ajustes del grupo de dispositivos.

Seleccione la regla. Para ver la acción de denegación definida de manera predeterminada para una aplicación. consulte “Definición de políticas de seguridad”. políticas de descifrado específicas de etiqueta con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. Para obtener información acerca de las reglas de seguridad predeterminadas. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama.0 • 229 . La columna Nombre muestra el icono de cancelación para las reglas que tienen valores cancelados. Etiqueta Seleccione una etiqueta en la lista desplegable. haga clic en Revertir y haga clic en Sí para confirmar la operación. Para cancelar una regla.Tipos de políticas (la tabla siguiente indica el subconjunto de reglas de seguridad). Por ejemplo. no puede cancelarlo. • Restablecer cliente: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del cliente. • Permitir: (Predeterminado) Permite el tráfico. Tabla 134 Cancelación de una regla de seguridad predeterminada Campo Descripción Pestaña General Nombre El Nombre que identifica la regla es de solo lectura. • Descartar: Descarta la aplicación silenciosamente. consulte la información detallada de la aplicación en Objetos > Aplicaciones. Tipo de regla El Tipo de regla es de solo lectura. La columna Nombre muestra el icono de herencia para las reglas que puede cancelar. Pestaña Acciones Configuración de acción Acción: Seleccione una de las siguientes acciones para el tráfico que coincida con la regla. haga clic en Cancelar y edite los ajustes en la tabla siguiente. El cortafuegos no envía un mensaje de restablecimiento de TCP al host o la aplicación. • Restablecer ambos: Envía un mensaje de restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. no puede cancelarlo. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. • Restablecer servidor: Envía un mensaje de restablecimiento de TCP al dispositivo de la parte del servidor. Seleccione la regla. seleccione Políticas > Seguridad en un cortafuegos o Políticas > Seguridad > Reglas predeterminadas en Panorama. no puede cancelarla. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. versión 7. Palo Alto Networks Guía de referencia de interfaz web. • Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar que se define para la aplicación que el cortafuegos está denegando. Descripción La Descripción es de solo lectura. Para revertir una regla cancelada a sus ajustes predefinidos o a los ajustes introducidos desde un grupo de dispositivos de Panorama.

• Para definir nuevos perfiles (consulte “Perfiles de seguridad”) o grupos de perfiles (consulte “Grupos de perfiles de seguridad”). En el nivel superior. secundarios de segundo nivel y secundarios de tercer nivel (lo que en conjunto se denomina descendientes). seleccione la casilla de verificación Deshabilitar anulación y haga clic en Aceptar. Ajuste de log Especifique cualquier combinación de las siguientes opciones: • Reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. seleccione el objeto. haga clic en Revertir y haga clic en Sí para confirmar la operación. seleccione el Grupo de dispositivos donde reside el objeto. las cancelaciones de ese objeto se deshabilitarán en todos los descendientes del Grupo de dispositivos seleccionado. a continuación. haga clic en Cancelar y edite los ajustes.Tipos de políticas Tabla 134 Cancelación de una regla de seguridad predeterminada (Continuación) Campo Descripción Ajuste de perfil Tipo de perfil: Asigne perfiles o grupos de perfiles a la regla de seguridad: • Para especificar la comprobación que realizan los perfiles de seguridad predeterminados. en lugar de perfiles individuales. A continuación. Puede cancelar un objeto en un descendiente de modo que sus valores difieran de los de un antecesor.0 Palo Alto Networks . Para cancelar un objeto. como servidores de Panorama y Syslog. seleccione Perfiles y. Para deshabilitar las cancelaciones de un objeto. Nota: Si configura el cortafuegos para incluir entradas al inicio o al final de una sesión en el log Tráfico. puede anidar grupos de dispositivos en una jerarquía de árbol de hasta cuatro niveles. seleccione el Grupo de dispositivos que tiene la versión cancelada. no puede cancelar objetos compartidos o predeterminados (preconfigurados). Antispyware. Sin embargo. un grupo de dispositivos puede tener grupos de dispositivos secundarios. a continuación. No puede cancelar los ajustes Nombre o Compartido del objeto. seleccione el Grupo de dispositivos descendiente que tendrá la versión cancelada. • Para asignar un grupo de perfiles. Filtrado de datos y/o Análisis de WildFire. 230 • Guía de referencia de interfaz web. • Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. seleccione el objeto. – Log al finalizar sesión: Genera una entrada en el log Tráfico al final de una sesión (sin seleccionar de manera predeterminada). seleccione un perfil de reenvío de logs de la lista desplegable. haga clic en el nombre del objeto para editarlo. también incluirá entradas de colocación y denegación. Bloqueo de archivo. Para revertir un objeto cancelado a sus valores heredados. primarios principales y primarios principales superiores en niveles sucesivamente mayores (lo que en conjunto se denomina antecesores). Cancelación o reversión de un objeto En Panorama. Esta capacidad de cancelación está habilitada de manera predeterminada. seleccione Grupo y. seleccione Perfil en la lista desplegable (consulte “Reenvío de logs”). La interfaz web muestra el icono para indicar que un objeto tiene valores heredados y muestra el icono para indicar que un objeto heredado tiene valores cancelados. de los cuales hereda políticas y objetos. seleccione las siguientes opciones: – Log al iniciar sesión: Genera una entrada en el log Tráfico al inicio de una sesión (seleccionado de manera predeterminada). Para definir un nuevo perfil de Reenvío de logs. haga clic en Nuevo en la lista desplegable del perfil o grupo correspondiente. Los perfiles de seguridad determinan la generación de entradas en el log Amenaza. Protección de vulnerabilidades. seleccione la pestaña Objetos. En el nivel inferior. seleccione la pestaña Objetos. un grupo de dispositivos puede tener grupos de dispositivos primarios. seleccione los perfiles individuales de Antivirus. seleccione un Perfil de grupo en la lista desplegable. seleccione la pestaña Objetos. versión 7. Filtrado de URL.

Por ejemplo.Tipos de políticas Para sustituir todas las cancelaciones de objetos en Panorama con los valores heredados de la ubicación compartida o los grupos de dispositivos antecesores. – Usuario conocido: Incluye a todos los usuarios autenticados. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. Para obtener más información sobre cómo restringir las reglas según la aplicación. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. A continuación debe compilar en Panorama y en los grupos de dispositivos que contengan cancelaciones para introducir los valores heredados. seleccione la casilla de verificación Los objetos antecesores tienen prioridad y haga clic en Aceptar. cualquier IP con datos de usuario asignados. es decir. En la página de reglas del dispositivo Seguridad o Descifrado. haga clic en la pestaña Usuario para abrir la ventana de selección. Para restringir una política a los usuarios/grupos seleccionados. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. seleccione la casilla de verificación Grupos de usuarios disponibles y haga clic en Añadir grupo de usuarios. Puede seleccionar los usuarios y hacer clic en Añadir usuario. Haga clic en ACEPTAR para guardar las selecciones y actualizar la regla de seguridad o de descripción. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. Especificación de usuarios y aplicaciones para las políticas Políticas > Seguridad Políticas > Descifrado Puede restringir las políticas de seguridad que se deben aplicar a aplicaciones o usuarios seleccionados haciendo clic en el enlace del usuario o aplicación en la página de reglas del dispositivo Seguridad o Descifrado. Para añadir grupos de usuarios. edite los ajustes de Panorama. Haga clic en el menú desplegable situado encima de la tabla Usuario de origen para seleccionar el tipo de usuario: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. Para añadir usuarios individuales. – Desconocido: Incluye a todos los usuarios desconocidos. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos.0 • 231 . 2. También puede introducir los nombres de usuarios individuales en el área Más usuarios. consulte “Definición de aplicaciones”. seleccione Panorama > Configuración > Gestión. versión 7. 4. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. es decir. Palo Alto Networks Guía de referencia de interfaz web. una lista de individuos. aunque el usuario no haya iniciado sesión directamente. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. las direcciones IP que no estén asignadas a un usuario. 3. realice los siguientes pasos: 1. puede que quiera añadir a un usuario. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). Por ejemplo. algunos grupos o añadir usuarios manualmente. También puede escribir el texto de uno o más grupos y hacer clic en Añadir grupo de usuarios. 5. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. introduzca una cadena de búsqueda en el campo Usuario y haga clic en Buscar.

Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar. a continuación. Debido a que las reglas previas y posteriores se definen en Panorama y. Estas reglas son parte de la configuración predefinida de Panorama. Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. pero solo podrá editarlas en Panorama. ID de usuario o servicio. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas. Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. Para crear políticas. • “Definición de políticas de seguridad” • “Definición de políticas de traducción de dirección de red” • “Estadísticas de QoS” • “Políticas de reenvío basado en políticas” • “Políticas de descifrado” • “Definición de políticas de cancelación de aplicación” • “Definición de políticas de portal cautivo” • “Definición de políticas DoS” 232 • Guía de referencia de interfaz web. consulte la sección relevante de cada base de reglas. Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. Utilice Resaltar reglas no utilizadas para buscar reglas no utilizadas y. podrá ver las reglas en los cortafuegos gestionados. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. regla posterior o regla local de un dispositivo. en un grupo de dispositivos. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. opcionalmente. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. En cada base de reglas. Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o.Tipos de políticas Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). Debe cancelarlas para permitir la edición de determinados ajustes en ellas: consulte “Cancelación o reversión de una regla de seguridad predeterminada”. por ejemplo. lo que permite revisarlas entre un gran número de reglas. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. como específicas para un determinado grupo de dispositivos. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). la práctica recomendada es supervisar esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. elimine o deshabilite las reglas. Panorama supervisa cada dispositivo. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. se envían de Panorama a los dispositivos gestionados.0 Palo Alto Networks . versión 7. obtiene y agrega la lista de reglas sin coincidencia.

Descripción general de políticas de seguridad Políticas > Seguridad Las políticas de seguridad le permiten aplicar reglas y realizar acciones. De manera predeterminada. Las reglas de política se comparan con el tráfico entrante en secuencia y al aplicar la primera regla que coincida con el tráfico. incluidas las etiquetas. y pueden ser todo lo general o específicas como sea necesario. Por ejemplo. • Origen: Utilice la pestaña Origen para definir la zona o dirección de origen donde se origina el tráfico. restringir y realizar un seguimiento del tráfico de su red basándose en la aplicación. La interfaz incluye las siguientes pestañas para definir la política de seguridad: • General: Utilice la pestaña General para configurar un nombre y una descripción para la política de seguridad.0 • 233 . ¿Qué desea saber? Consulte ¿Qué es una política de seguridad? “Descripción general de políticas de seguridad” En el caso de Panorama. versión 7. las reglas más específicas deben anteceder a las reglas más generales. el nivel de acceso del usuario puede estar determinado por un HIP que informe al cortafuegos acerca de la Palo Alto Networks Guía de referencia de interfaz web. el usuario o grupo de usuarios y el servicio (puerto y protocolo). puede cancelarlas y cambiar un número limitado de ajustes. también puede basar la política en información recopilada por GlobalProtect. una regla de una aplicación simple debe anteceder a una regla para todas las aplicaciones si el resto de configuraciones de tráfico son las mismas. se aplican las reglas predeterminadas. Aunque estas reglas son parte de la configuración predefinida y son de solo lectura de forma predeterminada.Tipos de políticas Definición de políticas de seguridad Políticas > Seguridad Las políticas de seguridad hacen referencia a zonas de seguridad y gracias a ellas puede permitir. Para el tráfico que no coincide con ninguna regla definida por el usuario. acción (permitir o denegar) configuración de log y perfiles de seguridad. Las reglas predeterminadas (que aparecen en la parte inferior de la base de reglas de seguridad) se predefinen para permitir todo el tráfico de intrazona (en la zona) y denegar todo el tráfico interzona (entre zonas). Por ejemplo. • Usuario: Utilice la pestaña Usuario para aplicar una política para usuarios individuales o un grupo de usuarios. Si está utilizando GlobalProtect con Perfil de información del host (HIP) habilitado. consulte “Definición de políticas en Panorama” ¿Qué campos están disponibles para crear una política de seguridad? “Bloques de creación de una política de seguridad” ¿Cómo puedo utilizar la interfaz web para gestionar políticas de seguridad? “Creación y gestión de políticas” ¿Desea obtener más información? ¿No encuentra lo busca? Consulte Security Policy (en inglés). el cortafuegos incluye una regla de seguridad denominada regla1 que permite todo el tráfico desde la zona fiable a la zona no fiable.

los valores de registro y muchas más comprobaciones si el host tiene instalado software antivirus. Un administrador también puede usar una firma de identificación de aplicaciones (App-ID) y personalizarla para detectar aplicaciones de propiedad reservada o para detectar atributos específicos de una aplicación existente.Tipos de políticas configuración local del usuario. • Destino: Utilice la pestaña Destino para definir la zona o dirección de destino para el tráfico. versión 7. Las aplicaciones personalizadas se definen en Objetos > Aplicaciones. • Aplicación: Utilice la pestaña Aplicación para que la acción de la política se produzca basándose en una aplicación o un grupo de aplicaciones.0 Palo Alto Networks . • Acciones: Utilice la pestaña Acciones para determinar la acción que se realizará basándose en el tráfico que coincida con los atributos de la política definida. • Categoría de URL/servicio: Utilice la pestaña Categoría de URL/servicio para especificar un número de puerto TCP y/o UDP específico o una categoría de URL como criterios de coincidencia en la política. Consulte: “Bloques de creación de una política de seguridad” “Creación y gestión de políticas” 234 • Guía de referencia de interfaz web. La información HIP se puede utilizar para un control de acceso granular basado en los programas de seguridad en ejecución en el host.

cada regla se enumera con su número en el contexto del conjunto de reglas completo de la base de reglas y su puesto en el orden de evaluación. Tabla 135. espacios. Cuando las reglas se envían desde Panorama a un cortafuegos gestionado. Introduzca un nombre para identificar la regla. Por ejemplo. números. Cuando visualice la regla de seguridad predeterminada o cree una nueva regla. tal vez quiera etiquetar determinadas reglas con palabras específicas como descifrado y sin descifrado. Número de regla Nombre N/D General En Panorama. que pueden ser letras. reglas del dispositivo y reglas posteriores dentro de una base de reglas y refleja la secuencia de reglas y su orden de evaluación. Al filtrar reglas para que coincidan con filtros específicos. guiones y guiones bajos. También puede añadir etiquetas a las reglas predeterminadas. las reglas previas y las posteriores se enumeran de forma independiente. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica.0 • 235 . Bloques de creación de una regla de seguridad Campo Configurado en Descripción Cada regla se numera automáticamente y el orden cambia a medida que se mueven las reglas.Tipos de políticas Bloques de creación de una política de seguridad La sección siguiente describe cada bloque de creación o componente de una regla de política de seguridad. podrá configurar las opciones descritas aquí. la numeración de reglas incorpora jerarquía en las reglas previas. en Panorama. Etiqueta General Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Palo Alto Networks Guía de referencia de interfaz web. o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación. versión 7. El nombre debe ser exclusivo en un cortafuegos y. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Haga clic en Añadir para especificar la etiqueta para la política. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres.

B o C. capa 3 o de cable virtual.0 Palo Alto Networks . Las zonas deben ser del mismo tipo (capa 2. versión 7. puede crear una regla que cubra todas las clases. Por ejemplo. 236 • Guía de referencia de interfaz web. Haga clic en Añadir para seleccionar las zonas de origen (el valor predeterminado es Cualquiera). pero no al tráfico entre las zonas A y B. consulte “Definición de zonas de seguridad”. Realice su selección en la lista desplegable o haga clic en Dirección. Por ejemplo. B. Por ejemplo. y C y la zona de destino en A y B. Haga clic en Añadir para añadir las direcciones. esta se aplicará a todo el tráfico dentro de la zona A. Para definir nuevas zonas. Tipo Zona de origen Dirección de origen General Origen Origen • universal (predeterminado): aplica la regla a todo el tráfico coincidente de interzona e intrazona en las zonas de origen y destino especificadas. a todo el tráfico de la zona B. Puede utilizar múltiples zonas para simplificar la gestión. de la zona C a la A y de la zona C a la B.Tipos de políticas Tabla 135. Por ejemplo. si crea una regla universal con las zonas de origen A y B y las zonas de destino A y B. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Especifica si la regla se aplica al tráfico en una zona. a todo el tráfico que vaya de la zona A a la B y a todo el tráfico de la zona B a la A. de la zona B a la A. • interzona: aplica la regla a todo el tráfico coincidente entre la zona de origen especificada y las zonas de destino. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). entre zonas o ambas. la regla se aplicará al tráfico que va de la zona a A a la B. si establece la zona de origen en A y B. si establece la zona de origen en A. • intrazona: aplica la regla a todo el tráfico coincidente dentro de las zonas de origen especificadas (no puede especificar una zona de destino para las reglas de intrazona). Grupo de direcciones o Regiones en la parte inferior de la lista desplegable y especifique la configuración. Virtual Wire). Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. pero no al tráfico dentro de las zonas A. la regla se aplicará a todo el tráfico dentro de la zona A y a todo el tráfico dentro de la zona B. si tiene tres zonas internas diferentes (Marketing.

Los siguientes tipos de usuarios de origen son compatibles: Usuario de origen Perfil HIP de origen Palo Alto Networks Usuario Usuario • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. una lista de individuos. las direcciones IP que no estén asignadas a un usuario. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos.0 • 237 . sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Guía de referencia de interfaz web. El uso de los perfiles de información del host para la aplicación de políticas posibilita una seguridad granular que garantiza que los hosts remotos que acceden a sus recursos críticos posean un mantenimiento adecuado y conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. algunos grupos o añadir usuarios manualmente. aunque el usuario no haya iniciado sesión directamente. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. es decir. puede que quiera añadir a un usuario. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. • Usuario conocido: Incluye a todos los usuarios autenticados. Por ejemplo. Esta opción es equivalente al grupo de usuarios del dominio en un dominio. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios.Tipos de políticas Tabla 135. • Desconocido: Incluye a todos los usuarios desconocidos. versión 7. como por ejemplo si tienen instalados los parches de seguridad y las definiciones de antivirus más recientes. Haga clic en Añadir para seleccionar los perfiles de información de host (HIP) que identificarán a los usuarios. cualquier IP con datos de usuario asignados. Un HIP le permite recopilar información sobre el estado de seguridad de sus hosts de extremo. Por ejemplo. es decir.

solo necesita establecer la zona de origen. podrá ver la información detallada de estos objetos pasando el ratón por encima del objeto en la columna Aplicación. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). puede seleccionar una aplicación general o aplicaciones individuales. consulte “Definición de zonas de seguridad”. Las zonas deben ser del mismo tipo (capa 2. Dirección de destino Destino Haga clic en Añadir para añadir las direcciones. capa 3 o de cable virtual. haciendo clic en la flecha hacia abajo y seleccionando Valor. 238 • Guía de referencia de interfaz web. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. Si una aplicación tiene múltiples funciones.0 Palo Alto Networks . si tiene tres zonas internas diferentes (Marketing. Aplicación Aplicación Si utiliza grupos de aplicaciones. puede crear una regla que cubra todas las clases. versión 7. Nota: En las reglas de intrazona. Para definir nuevas zonas. en el enlace en la parte inferior de la lista desplegable y especifique la configuración de la dirección. Por ejemplo. Si selecciona la aplicación general. filtros o contenedores en la regla de seguridad. sin tener que desplazarse a las pestañas Objeto.Tipos de políticas Tabla 135. Zona de destino Destino Puede utilizar múltiples zonas para simplificar la gestión. Virtual Wire). direcciones de grupos o regiones de destino (el valor predeterminado es Cualquiera). Seleccione si desea especificar aplicaciones a la regla de seguridad. se incluirán todas las funciones y la definición de la aplicación se actualizará automáticamente a medida que se añadan futuras funciones. Realice su selección en la lista desplegable o haga clic en Dirección. Para especificar las zonas que coincidan con una regla de intrazona. no puede definir una zona de destino porque estos tipos de reglas solo pueden hacer coincidir tráfico con un origen y un destino dentro de la misma zona. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable.

las aplicaciones solamente tienen permiso en sus puertos y protocolos predeterminados. • Para especificar una categoría. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Categoría de URL Palo Alto Networks Categoría de URL/ servicio • Seleccione Cualquiera para permitir o denegar todas las sesiones. puede ser una señal de comportamiento y uso de aplicaciones no deseados. pero con esta configuración. Guía de referencia de interfaz web.0 • 239 . Seleccione una de las siguientes opciones de la lista desplegable: Servicio Categoría de URL/ servicio • Cualquiera: Las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. • Selección: Haga clic en Añadir. • Valor predeterminado de aplicación: Las aplicaciones seleccionadas se permiten o deniegan únicamente según sus puertos predeterminados por Palo Alto Networks. Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada.Tipos de políticas Tabla 135. haga clic en Añadir y seleccione una categoría específica (incluyendo una categoría personalizada) de la lista desplegable. versión 7. Seleccione las categorías URL de la regla de seguridad. con independencia de la categoría URL. Tenga en cuenta que cuando utiliza esta opción. Puede añadir varias categorías. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. el dispositivo sigue comprobando todas las aplicaciones en todos los puertos. que si no es a propósito. Consulte “Servicios” y “Grupos de servicios”. Esta opción se recomienda para políticas de permiso porque impide que las aplicaciones se ejecuten en puertos y protocolos no habituales.

Tipos de políticas Tabla 135. Habilitar este ajuste permite que el origen cierre o borre la sesión correctamente y evita que las aplicaciones fallen. puede habilitar el cortafuegos para enviar una respuesta inalcanzable de ICMP a la dirección IP de origen donde se originó el tráfico. a menos que seleccione Enviar ICMP inalcanzable. consulte la información detallada de la aplicación en Objetos > Aplicaciones. Para cancelar la acción predeterminada definida en las reglas de interzona e intrazona predefinidas. En dichos casos. – Restablecer cliente: Envía un restablecimiento de TCP al dispositivo de la parte del cliente. el cortafuegos podría bloquear la sesión y enviar un restablecimiento para una aplicación. seleccione una de las acciones siguientes: – Permitir: (Predeterminado) Permite el tráfico.0 Palo Alto Networks . • Enviar ICMP inalcanzable: Solamente está disponible para interfaces de capa 3. consulte “Cancelación o reversión de una regla de seguridad predeterminada” 240 • Guía de referencia de interfaz web. para todo el tráfico de UDP y para el tráfico de TCP descartado. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la acción para el tráfico que coincida con los atributos definidos en una regla. mientras que podría descartar la sesión silenciosamente para otra aplicación. consulte la sección Configuración de sesión en Dispositivo > Configuración > Sesión. Para ver la acción de denegación definida de manera predeterminada para una aplicación. Para ver la tasa de paquetes inalcanzable de ICMP configurada en el cortafuegos. – Descartar: Descarta la aplicación silenciosamente. Dado que la acción de denegación predeterminada varía según la aplicación. No se envía un restablecimiento de TCP al host o la aplicación. Acción Acciones – Restablecer servidor: Envía un restablecimiento de TCP al dispositivo de la parte del servidor. versión 7. Cuando configura una política de seguridad para descartar tráfico o restablecer la conexión. – Restablecer ambos: Envía un restablecimiento de TCP tanto al dispositivo de la parte del cliente como al de la parte del servidor. el tráfico no alcanza el host de destino. – Denegar: Bloquea el tráfico y aplica la acción predeterminada Denegar definida para la aplicación que se está denegando.

haga clic en Nuevo junto al perfil o grupo adecuado (consulte “Grupos de perfiles de seguridad”). Protección de vulnerabilidades. Ajuste de perfil Acciones Para especificar un grupo de perfiles en lugar de perfiles individuales. Palo Alto Networks Guía de referencia de interfaz web.Tipos de políticas Tabla 135. También puede adjuntar perfiles de seguridad (o grupos de perfiles) a las reglas predeterminadas. a continuación. seleccione un grupo de perfiles en la lista desplegable Perfil de grupo. Para definir nuevos perfiles o grupos de perfiles. Antispyware. versión 7. Filtrado de URL. seleccione Grupo en Tipo de perfil y. seleccione los perfiles individuales de Antivirus. Bloques de creación de una regla de seguridad Campo Configurado en Descripción Para especificar la comprobación realizada por los perfiles de seguridad predeterminados.0 • 241 . Bloqueo de archivo y/o Filtrado de datos.

242 • Guía de referencia de interfaz web. haga clic en Nuevo (consulte “Reenvío de logs”). Tenga en cuenta que la generación de entradas del log de amenazas está determinada por los perfiles de seguridad. como servidores de Panorama y Syslog. seleccione una programación de la lista desplegable. haga clic en Nueva (consulte “Ajustes de descifrado SSL en un perfil de descifrado”). seleccione un perfil de logs de la lista desplegable Perfil de reenvío de logs.Tipos de políticas Tabla 135. seleccione las siguientes opciones: Opciones Acciones • Log al iniciar sesión.0 Palo Alto Networks . también lo harán las entradas de colocación y denegación. Para definir nuevos perfiles de log. Genera una entrada de log de tráfico al final de la sesión (habilitada de forma predeterminada). consulte “Configuración de la calidad de servicio”. Bloques de creación de una regla de seguridad Campo Configurado en Descripción La pestaña Opciones incluye los ajustes de logs y una combinación de otras opciones indicadas a continuación: Para generar entradas de tráfico en el log de tráfico local que cumplan esta regla. Nota: Si las entradas de inicio o fin de la sesión se registran. Para obtener más información sobre QoS. • Log al finalizar sesión. • Perfil de reenvío de logs: Para enviar el log del tráfico local y las entradas del log de amenazas a destinos remotos. Descripción General Introduzca una descripción de la política (hasta 255 caracteres). seleccione IP DSCP o Precedencia de IP e introduzca el valor de QoS en formato binario o seleccione un valor predeterminado de la lista desplegable. Para definir nuevas programaciones. Esta opción puede ser de utilidad en condiciones con gran carga del servidor. También puede cambiar la configuración del log en las reglas predeterminadas. versión 7. Genera una entrada de log de tráfico al inicio de la sesión (deshabilitada de forma predeterminada). • Marca de QoS: Para cambiar el ajuste de Calidad de servicio (QoS) en paquetes que coincidan con la regla. • Deshabilitar inspección de respuesta de servidor: Para deshabilitar la inspección de paquetes del servidor en el cliente. Especifique cualquier combinación de las siguientes opciones: • Programación: Para limitar los días y horas en los que la regla está en vigor. seleccione esta casilla de verificación.

seleccione la regla y haga clic en Deshabilitar. La regla copiada. Mover a la parte superior o Mover a la parte inferior. Si la regla se ha introducido desde Panorama. a continuación. también puede cancelar las reglas predeterminadas y. versión 7. Estas reglas predefinidas (permitir todo el tráfico de intrazona y denegar todo el tráfico de interzona) indican al cortafuegos cómo debe gestionar el tráfico que no coincida con ninguna otra regla de la base de reglas. o bien seleccione una regla haciendo clic en el espacio en blanco de la regla y seleccione Duplicar regla en la parte inferior de la página (una regla seleccionada en la interfaz web se muestra con un fondo de color amarillo). lo que restaura la configuración predefinida o la configuración enviada a Panorama. También puede revertir las reglas predeterminadas.0 • 243 . debe cancelarlas con el fin de editar la configuración de políticas seleccionada. Para obtener más información. haga clic en ella. Como son parte de la configuración predefinida. consulte “Traslado o duplicación de una política o un objeto”. Palo Alto Networks Guía de referencia de interfaz web. Mover Las reglas se evalúan de arriba a abajo y del modo enumerado en la página Políticas. consulte “Cancelación o reversión de una regla de seguridad predeterminada”. consulte “Traslado o duplicación de una política o un objeto”. “regla n” se inserta debajo de la regla seleccionada. Mover hacia abajo. Las acciones Cancelar y Revertir únicamente pertenecen a las reglas predeterminadas que se muestran en la parte inferior de la base de reglas de seguridad. Si usa Panorama. Para cambiar el orden en el que las reglas se evalúan con respecto al tráfico de red. Si desea información detallada sobre la duplicación. modificar y gestionar políticas de seguridad: Tarea Añadir Descripción Para añadir una nueva regla de política. Para habilitar una regla que esté deshabilitada.Tipos de políticas Creación y gestión de políticas Utilice la página Políticas > Seguridad para añadir. selecciónela y haga clic en Habilitar. realice una de las siguientes acciones: • Haga clic en Añadir en la parte inferior de la página. Modificar Para modificar una regla. Eliminar Seleccione una regla y haga clic en Eliminar para eliminar la regla existente. • Seleccione una regla en la que basar la nueva regla y haga clic en Duplicar regla. la regla será de solo lectura en el cortafuegos y no podrá editarse localmente. donde n es el siguiente número entero disponible que hace que el nombre de la regla sea único. Para obtener más información. Habilitar/ deshabilitar Para deshabilitar una regla. seleccione una regla y haga clic en Mover hacia arriba. enviarlas a los cortafuegos de un grupo de dispositivos o contexto compartido.

Regla en uso Regla no utilizada (fondo de puntos amarillos) Mostrar/ ocultar columnas Para cambiar (mostrar u ocultar) las columnas que aparecen en cualquiera de las páginas de Políticas. Las reglas no utilizadas actualmente se muestran con un fondo de puntos amarillos. seleccione la casilla de verificación Resaltar reglas no utilizadas. selecciónelo de la lista desplegable Reglas de filtro. Seleccione o cancele la selección de la casilla de verificación junto al nombre de columna para alternar la visualización de cada columna. supervise esta lista periódicamente para determinar si la regla ha tenido una coincidencia desde la última comprobación antes de eliminarla o deshabilitarla. Nota: Las reglas predeterminadas no son parte del filtro de la base de reglas y siempre aparecen en la lista de reglas filtradas. En Panorama. A continuación. Aplicar filtros Para aplicar un filtro a la lista. Práctica recomendada: Cada dispositivo mantiene una marca para las reglas que tienen una coincidencia. 244 • Guía de referencia de interfaz web. haga clic en la lista desplegable del elemento y seleccione Filtro. Panorama obtiene y agrega la lista de reglas sin coincidencia.0 Palo Alto Networks . desde cada dispositivo gestionado. Para añadir un valor que defina un filtro. Para ver las sesiones de red registradas como coincidencias con respecto a la política. podrá decidir si desea deshabilitar la regla o eliminarla. haga clic en la lista desplegable del nombre de regla y seleccione Visor de log. versión 7.Tipos de políticas Tarea Descripción Visualizar reglas no utilizadas Para buscar reglas no utilizadas actualmente. Dado que la marca se restablece cuando se produce un restablecimiento del plano de datos al reiniciar.

haga clic en la lista desplegable y seleccione Valor. También puede editar.8. utilice el filtro.177 se ha introducido en la barra de filtros y se muestra la política aaa. para ver las direcciones incluidas en un grupo de direcciones. La búsqueda rastreará los objetos incrustados para encontrar una dirección en un objeto de dirección o en un grupo de direcciones.Definición de políticas en Panorama Tarea Descripción Puede mostrar el valor actual haciendo clic en la lista desplegable de la entrada y seleccionando Valor. En la siguiente captura de pantalla. las reglas previas y las reglas posteriores le permiten implementar la política siguiendo un sistema de capas.10. filtrar o eliminar algunos elementos directamente desde el menú de la columna.0 • 245 . Palo Alto Networks Guía de referencia de interfaz web. Barra de filtros Resultados de filtros Reglas de vista previa (únicamente Panorama) Utilice Reglas de vista previa para ver una lista de las reglas antes de enviarlas a los dispositivos gestionados. la jerarquía de las mismas se marca visualmente para cada grupo de dispositivos (y dispositivo gestionado). versión 7. lo que permite revisarlas entre un gran número de reglas. Para buscar objetos que se utilicen dentro de una política basándose en el nombre del objeto o la dirección IP. la dirección IP 10. Por ejemplo. Esa política utiliza un objeto de grupo de direcciones denominado aaagroup. En cada base de reglas. Definición de políticas en Panorama Los grupos de dispositivos en Panorama le permiten gestionar políticas de forma centralizada en los dispositivos gestionados (o cortafuegos). Esto le permitirá ver rápidamente los miembros y las direcciones IP correspondientes del grupo de direcciones sin tener que navegar a las pestañas Objeto. Las políticas definidas en Panorama se crean como reglas previas o reglas posteriores. pase el ratón por encima del objeto en la columna Dirección. que contiene la dirección IP.

un intervalo de direcciones IP. la política NAT se actualizará automáticamente para utilizar cualquier dirección adquirida por la interfaz para subsiguientes traducciones. puede ser de utilidad especificar la interfaz como la dirección traducida. 246 • Guía de referencia de interfaz web. cuatro veces en los cortafuegos PA-4020 y PA-5020 y ocho veces en los cortafuegos de las series PA-4050. Estas reglas son parte de la configuración predefinida de Panorama. es importante tener en cuenta que también se debe configurar una política de seguridad para permitir el tráfico NAT. Puede utilizar las reglas previas para aplicar la política de uso aceptable para una organización. una subred o una combinación de todas ellas. PA-5060 y PA-7000 cuando las direcciones IP de destino sean exclusivas. consulte “Bloques de creación de una política de seguridad” o “Creación y gestión de políticas”. versión 7. Si configura NAT en el cortafuegos. podrá ver las reglas en los cortafuegos gestionados. por ejemplo. NAT también es compatible en interfaces de cable virtual. PA-5050. Debido a que las reglas previas y posteriores se definen en Panorama y. Puede cancelar las reglas predeterminadas para permitir la edición de ajustes seleccionados en estas reglas e introducirlas en los dispositivos gestionados de un grupo de dispositivos o contexto compartido. El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. por lo que los dispositivos vecinos solamente podrán resolver solicitudes ARP para direcciones IP que residan en la interfaz del dispositivo en el otro extremo del cable virtual. es recomendable que traduzca las direcciones de origen a una subred diferente de la subred con la que se comunican los dispositivos vecinos. • Reglas posteriores: Reglas que se añaden al final del orden de reglas y que se evalúan después de las reglas previas y de las reglas definidas localmente en el dispositivo. Múltiples clientes pueden utilizar las mismas direcciones IP públicas con diferentes números de puerto de origen. PA-500. en un grupo de dispositivos. PA-2000 y PA-3000. • Reglas predeterminadas: Reglas que indican al cortafuegos cómo gestionar el tráfico que no coincide con ninguna regla previa. Si especifica la interfaz en la regla de IP dinámica/ puerto. para bloquear el acceso a categorías de URL específicas o permitir el tráfico DNS a todos los usuarios. pero solo podrá editarlas en Panorama. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de puertos y direcciones IP disponibles. PA-4060. Si ejecuta NAT en interfaces de cable virtual. se envían de Panorama a los dispositivos gestionados. como específicas para un determinado grupo de dispositivos. Proxy ARP no es compatible con cables virtuales. Por ejemplo. La política de seguridad se basará en la dirección de la zona posterior y anterior a NAT. El cortafuegos admite los siguientes tipos de traducción de dirección: • IP dinámica/Puerto: Para el tráfico saliente. Las reglas de IP dinámica/NAT de puerto permiten traducir una dirección IP única. ID de usuario o servicio. Las reglas posteriores suelen incluir reglas para impedir el acceso al tráfico basado en App-ID. a continuación. Políticas NAT Si define interfaces de capa 3 en el cortafuegos. Si una interfaz de salida tiene una dirección IP asignada dinámicamente. regla posterior o regla local de un dispositivo. las direcciones de origen privadas se pueden traducir a direcciones públicas en el tráfico enviado desde una zona interna (fiable) a una zona pública (no fiable). puede utilizar políticas de traducción de dirección de red (NAT) para especificar si las direcciones IP y los puertos de origen y destino se convertirán entre públicos y privados. Para definir políticas. • Reglas previas: Reglas añadidas a la parte superior del orden de las reglas y que se evalúan en primer lugar.Definición de políticas en Panorama Las reglas previas o posteriores se pueden definir en un contexto compartido como políticas compartidas para todos los dispositivos gestionados o.0 Palo Alto Networks .

las nuevas direcciones IP que buscan traducción se verán bloqueadas. Las políticas de NAT de IP dinámica permiten especificar una dirección IP única. Tipos de NAT Tipo de asignación Tamaño del grupo de direcciones traducidas No Muchas a 1MaN Hasta 254 direcciones consecutivas Sí No MaN Hasta 32. mientras que el grupo de direcciones traducidas se utiliza en su totalidad. mientras que puede dejar el puerto de origen o destino sin modificar. Si especifica puertos de servicio (TCP o UDP) para NAT. N también puede ser 1.Definición de políticas en Panorama • IP dinámica: Para el tráfico saliente. • IP dinámica: Para el tráfico entrante o saliente. También existen límites diferentes del tamaño del grupo de IP traducido. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. tal y como se indica a continuación. donde M y N son números diferentes. Para especificar un único puerto. Con NAT de IP estática.0 • 247 . múltiples intervalos IP o múltiples subredes como el grupo de direcciones traducidas. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. como TCP 80. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). Si el grupo de direcciones de origen es mayor que el grupo de direcciones traducidas. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. existe una asignación de uno a uno entre cada dirección original y su dirección traducida. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. La siguiente tabla resume los tipos de NAT. puede especificar un grupo de reserva que se utilizará si el grupo primario agota sus direcciones IP.000 direcciones consecutivas Sí No 1a1 Ilimitado Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No IP dinámica IP estática MaN MIP Opcional Palo Alto Networks 1 a muchas PAT VIP Guía de referencia de interfaz web. múltiples IP. versión 7. Puede utilizar la IP estática de origen o destino. no se necesitará una ruta estática para esa dirección en el enrutador. debe definir un nuevo servicio. Para evitar este problema. Las direcciones de origen privadas se traducen a la siguiente dirección disponible en el intervalo de direcciones especificado. mientras que permanecen inalterables con NAT de IP dinámica. Tabla 136.

En este ejemplo. Reglas no NAT Las reglas no NAT están configuradas para permitir la exclusión de direcciones IP definidas en el intervalo de las reglas NAT definidas posteriormente en la política NAT. La política de seguridad es diferente de la política NAT en que las zonas posteriores a NAT se deben utilizar para controlar el tráfico.1. si traduce el tráfico de host saliente a una dirección IP pública. Como ejemplo adicional.1. es necesario configurar la política NAT con una zona de origen correspondiente a las direcciones IP privadas de esos hosts. La política de seguridad debe permitir de forma explícita el tráfico sujeto a NAT.3. NAT puede afectar a las direcciones IP de origen o destino y pueden llegar a modificar la interfaz saliente y la zona.10 a la IP pública 3. se utilizan dos reglas NAT para crear una traducción de origen del tráfico saliente desde la IP 10. las zonas de origen y destino serían las mismas. Reglas NAT bidireccionales El ajuste bidireccional en reglas NAT de origen estáticas crea una regla NAT de destino para el tráfico en los mismo recursos en la dirección opuesta.0.3.3.3. Este par de reglas se pueden simplificar configurando únicamente la tercera regla NAT.0.1.0 Palo Alto Networks . si el tráfico atraviesa múltiples zonas. La zona anterior a NAT es necesaria porque esta coincidencia ocurre antes de que NAT haya modificado el paquete. si traduce el tráfico entrante a un servidor interno (al que se accede mediante una IP pública de servidores de Internet). Para definir una política no NAT. especifique todos los criterios coincidentes y seleccione Sin traducción de origen en la columna de traducción de origen. es necesario configurar la política NAT mediante la zona en la que reside la dirección IP pública.10. y una traducción de destino para el tráfico destinado de la IP pública 3. Opciones de regla NAT El cortafuegos admite reglas no NAT y reglas NAT bidireccionales. versión 7. En este caso. 248 • Guía de referencia de interfaz web. Por ejemplo. es importante tener en cuenta que las direcciones IP anteriores a NAT se utilizarán en la correspondencia de políticas. utilizando la función bidireccional.1 a la IP privada 10. Si crea políticas de seguridad con direcciones IP específicas.Definición de políticas en Panorama Determinación de configuración de zona en NAT y política de seguridad Las reglas NAT se deben configurar para utilizar las zonas asociadas con direcciones IP anteriores a NAT configuradas en la política.

0.2. La política de seguridad debe configurarse explícitamente para permitir el tráfico coincidente con esta regla NAT. Como las direcciones privadas están ocultas. esa dirección anterior a NAT es una dirección IP Pública y. Palo Alto Networks Guía de referencia de interfaz web. Ilustración 4. Reglas NAT bidireccionales Ejemplos de política NAT La siguiente regla de políticas NAT traduce un intervalo de direcciones de origen privadas (10. Ilustración 3. la primera regla NAT traduce la dirección privada de un servidor de correo interno en una dirección IP pública estática. Para el tráfico en dirección opuesta (correo electrónico entrante).0. las sesiones de red no se pueden iniciar desde la red pública.100 en la zona “L3Untrust”) y un número de puerto de origen único (traducción de origen dinámica). La regla 2 utiliza “L3Untrust” para las zonas de origen y destino porque la política NAT se basa en la zona de direcciones anterior a NAT.10. debe añadir una ruta estática al enrutador local para enrutar el tráfico al cortafuegos. la segunda regla traduce la dirección de destino de la dirección pública del servidor a su dirección privada.Definición de políticas en Panorama Ilustración 2. se encuentra en la zona “L3Untrust”. el enrutador local requiere una ruta estática para dirigir el tráfico de retorno al cortafuegos.100 en la zona “L3Trust”) en una dirección IP pública única (200.0 • 249 .0. Traducción de dirección de origen dinámica En el siguiente ejemplo.0. La regla solo se aplica al correo saliente enviado desde la zona “L3Trust” a la zona “L3Untrust”. Origen estático y Traducción de dirección de destino En ambos ejemplos. Cree una política de seguridad con zonas y direcciones de origen/destino que coincidan con la regla NAT. versión 7. En este caso. si la dirección pública no está en la dirección de la interfaz del cortafuegos (o en la misma subred). Si la dirección pública no está en una dirección de interfaz de cortafuegos (o en la misma subred). por lo tanto. La regla solo se aplica al tráfico recibido en una interfaz Capa 3 en la zona “L3Trust” que se destina a una interfaz en la zona “L3Untrust”.1 a 10.

y comunicación IPv4 iniciada con un servidor IPv6. En contraste. Las siguientes funciones NAT64 son compatibles: • Stateful NAT64. PAN-OS también admite la reescritura. 250 • Guía de referencia de interfaz web. así como otros protocolos sin ALG (best effort). /48. /56. La traducción de origen necesita tener un “puerto e IP dinámicas” para implementar Stateful NAT64. • Permite traducir subredes /32. Si tiene redes IPv4 e IPv6 exclusivas y se requiere comunicación. Ejemplos de NAT64 Puede configurar dos tipos de traducción con el cortafuegos: comunicación IPv6 iniciada. • Permite la traducción de paquetes TCP/UDP/ICMP por RFC. Sin embargo. debe realizarse una traducción de destino ya que la dirección se extrae de la dirección IPv6 en el paquete. Este ajuste se configura en la pestaña Dispositivo > Configuración > Sesiones en Ajustes de sesión. y a los clientes de IPv4 acceder a servidores IPv6. • No requiere que conserve un grupo de direcciones IPv4 específicamente para NAT64. que permite mantener las direcciones IPv4 para que una dirección IPv4 pueda asignarse a múltiples direcciones IPv6. Permite a los clientes de IPv6 acceder a los servidores IPv4. • Compatibilidad de varios prefijos. que es similar al destino NAT en IPv4. Stateless NAT64 asigna una dirección IPv4 a una dirección IPv6. Existen tres mecanismos principales de transición definidos por IETF: pila doble./64 y /96)./48. debe utilizar la traducción. Por lo tanto. /64 y /96. El campo de traducción de destino no está definido. La dirección IPv4 definida como origen se configura de la misma forma que una traducción de destino NAT44. El enlace estático de IPv4 asigna una dirección/número de puerto IPv4 a una dirección IP IPv6. lo que le permite conservar aún más direcciones IPv4. versión 7. está en los últimos 4 octetos. • Traduce el atributo de longitud entre IPv4 e IPv6. Utiliza el prefijo definido en los criterios de coincidencia de IP de destino. /40. • Traducción de comunicación IPv4 iniciada. Puede asignar un prefijo NAT64 por regla. es posible traducir un paquete GRE. la dirección IPv6 de destino de la regla NAT es un prefijo que sigue al formato RFC 6052 (/32. pero la ubicación de la dirección IPv4 sería diferente si el prefijo no es /96. túneles y transición. Debe tener en cuenta que en un prefijo /96. que es el valor mínimo de MTU para el tráfico IPv6. puede utilizar una dirección IP simple para NAT44 y NAT64. • Admitido en interfaces y subinterfaces de capa 3. Una dirección IPv4 también se puede compartir con NAT44. /40. • Permite configurar el parámetro IPv6 MTU. que es similar al origen NAT en IPv4. Por ejemplo. es necesario que disponga de una solución DNS64 externa para desacoplar la función de consultas de DNS de la función NAT. La máscara de red de la dirección IPv6 de destino en la regla se utilizaría para extraer la dirección IPv4.Definición de políticas en Panorama NAT64 NAT64 se utiliza para traducir los encabezados IP de origen y destino entre direcciones IPv6 e IPv4. Esta traducción tiene la misma limitación que NAT44. Comunicación IPv6 iniciada En este tipo de traducción. Si utiliza políticas NAT64 en el cortafuegos de Palo Alto Networks.0 Palo Alto Networks . • Permite hairpinning (conexiones de nodos) (NAT de ida y vuelta) y puede evitar ataques de bucle de hairpinning. El valor predeterminado es 1280. • Admite PMTUD (descubrimiento de ruta MTU) y actualiza MSS (tamaño máximo de segmento) para TCP. túnel e interfaces VLAN./56.

IP de origen IP de destino Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC6052 Traducción de origen IP dinámica y modo de puerto (usar direcciones IPv4) Traducción de destino Ninguna (Extraída de las direcciones IPv6 de destino) Comunicación IPv4 iniciada La dirección IPv4 se asigna a la dirección IPv6 y puede usar el modo de IP estática en la traducción de origen. Este método permite que una única dirección IP comparta múltiples servidores IPv6 mediante una asignación estática en el puerto. Servidor IPv6 Servidor DNS Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv4 Ilustración 6. Red de cliente NAT64 IPv6 a IPv4 La tabla siguiente describe los valores necesarios en esta política NAT64.Definición de políticas en Panorama Servidor DNS64 Cortafuegos Puerta de enlace NAT64 Red IPv6 Internet IPv4 Fiable No fiable Host IPv6 Ilustración 5. Red de Internet NAT64 IPv4 a cliente IPv6 Palo Alto Networks Guía de referencia de interfaz web. La dirección de destino es la dirección IP definida en la columna de traducción de destino. Tabla 137. versión 7. Es posible reescribir el puerto de destino. El origen se define en un prefijo IPv6 tal y como se define en RFC6052 y se adjunta a la dirección IPv4 de origen.0 • 251 .

Red IPv4 a Internet IPv6 No admitida actualmente Traducción de destino Ninguna (extraída de direcciones IPv6 de destino) Usar dirección IPv4 pública Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 252 • Guía de referencia de interfaz web. Tabla 139. Aplique el prefijo NAT64 al túnel y aplique la zona adecuada para garantizar que el tráfico IPv6 con el prefijo NAT64 se asigna a la zona de destino correcta. versión 7.Definición de políticas en Panorama La tabla siguiente describe los valores necesarios en esta política NAT64. En NAT64. es importante solucionar la accesibilidad del prefijo NAT64 para la asignación de la zona de destino. Internet IPv4 a una red IPv6 Cualquier dirección IPv4 Dirección IPv4 simple Internet IPv6 a una red IPv4 Cualquier dirección IPv6 Prefijo IPv6 enrutable globalmente con máscara de red compatible con RFC 6052. porque el prefijo NAT64 no debe estar en la ruta de la puerta de enlace NAT64. El cortafuegos de Palo Alto Networks admite todos los escenarios menos uno de ellos. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) Palo Alto Networks . El motor de procesamiento del paquete del cortafuegos debe realizar una búsqueda en la ruta para buscar la zona de destino antes de buscar en la regla NAT. Puede configurar una interfaz de túnel sin punto de finalización porque este tipo de interfaz actuará como un puerto de loopback y aceptará otras máscaras de subred además de /128. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS Escenario Red IPv6 a Internet IPv4 IP de origen Cualquier dirección IPv6 IP de destino Traducción de origen Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. Valores de IPv4 iniciada IP de origen IP de destino Cualquier dirección IPv4 Dirección IPv4 Traducción de origen Modo de IP estática (Prefijo IPv6 en formato RFC 6052) Traducción de destino Dirección simple IPv6 (dirección IP del servidor real) Nota: Puede especificar una reescritura del puerto del servidor. También podrá cancelar el tráfico IPv6 con el prefijo NAT64 si la regla NAT64 no tiene correspondencia. Modo de IP dinámica y puerto. Es muy probable que el prefijo NAT64 acierte con la ruta predeterminada. Modo de IP estática.0 IP dinámica y puerto. o que se cancele porque no hay ninguna ruta. Escenarios IETF para la transición IPv4/IPv6 Existen seis escenarios basados en NAT64 definidos por IETF en RFC 6144. Tabla 138. tal y como se indica en la tabla siguiente.

0 • 253 . versión 7. Traducción de destino Dirección IPv6 simple Prefijo IPv6 en formato RFC 6052 IP dinámica y puerto. donde M y N son números diferentes. N también puede ser 1. Tipos de NAT Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar IP dinámica/ puerto No No Palo Alto Networks Muchas a 1 MaN Sí IP dinámica Tipo de asignación No MaN Tamaño del grupo de direcciones traducidas Hasta 254 direcciones consecutivas Hasta 32. los puertos de destino pueden ser los mismos o dirigirse a diferentes puertos de destino. Usar dirección IPv4 privada Ninguna (extraída de direcciones IPv6 de destino) • IP estática: Para tráfico entrante o saliente. como TCP 80. Tabla 140. IP dinámica/NAT de puerto es diferente de NAT de IP dinámica en que los puertos TCP y UDP de origen no se conservan en IP dinámica/puerto. Si especifica puertos de servicio (TCP o UDP) para NAT.000 direcciones consecutivas Guía de referencia de interfaz web. Los dos métodos dinámicos asignan un intervalo de direcciones cliente (M) a un grupo (N) de direcciones NAT. También existen límites diferentes del tamaño del grupo de IP traducido. Si la dirección pública es la misma que la interfaz del cortafuegos (o está en la misma subred). Con NAT de IP estática. Si se utiliza para asignar una dirección IP pública a múltiples servidores y servicios privados. Se puede expresar como 1 a 1 para una dirección IP única asignada o M a M para un grupo de direcciones IP asignadas una a una. el servicio HTTP predefinido (servicio-http) incluye dos puertos TCP: 80 y 8080. La siguiente tabla resume los tipos de NAT. Es posible que necesite definir rutas estáticas en el enrutador adyacente y/o el cortafuegos para garantizar que el tráfico enviado a una dirección IP Pública se enruta a las direcciones privadas correctas. Resumen de implementaciones de escenarios IETF para el uso de PAN-OS (Continuación) IP de origen Escenario Red IPv4 a red IPv6 Red IPv6 a red IPv4 IP de destino Traducción de origen Cualquier dirección IPv4 Dirección IPv4 simple Modo de IP estática. tal y como se indica a continuación. mientras que puede dejar el puerto de origen o destino sin modificar. Cualquier dirección IPv6 Prefijo NAT64 IPv6 con máscara de red compatible con RFC 6052. mientras que permanecen inalterables con NAT de IP dinámica. debe definir un nuevo servicio. Puede utilizar la IP estática de origen o destino. existe una asignación de uno a uno entre cada dirección original y su dirección traducida. Para especificar un único puerto. no se necesitará una ruta estática para esa dirección en el enrutador.Definición de políticas en Panorama Tabla 139.

Seleccione el tipo de política NAT que está creando. Para obtener información sobre cómo definir políticas en Panorama. Las tablas siguientes describen los ajustes de NAT y NPTv6 (traducción de prefijo de red de IPv6 a IPv6): • “Pestaña General” • “Pestaña Paquete original” • “Pestaña Paquete traducido” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política NAT o NPTv6. añada rutas estáticas al enrutador local para enrutar el tráfico a todas las direcciones públicas hacia el cortafuegos. A medida que sea necesario. 254 • Guía de referencia de interfaz web. versión 7. Es posible que también necesite añadir reglas estáticas a la interfaz de destino en el cortafuegos para reducir el tráfico en la dirección privada. Al igual que las políticas de seguridad. y se aplica la primera regla que coincida con el tráfico.0 Palo Alto Networks .Definición de políticas en Panorama Tabla 140. consulte “Definición de políticas en Panorama”. Tipos de NAT (Continuación) Tipos de NAT de PAN-OS El puerto de destino es el mismo El puerto de destino puede cambiar Tipo de asignación Tamaño del grupo de direcciones traducidas IP estática Sí No 1a1 Ilimitado MaN MIP Opcional 1 a muchas PAT VIP Definición de políticas de traducción de dirección de red Políticas > NAT Las reglas NAT se basan en las zonas de origen y destino. las reglas de política NAT se comparan con el tráfico entrante en secuencia. en las direcciones de origen y destino y en el servicio de aplicación (como HTTP). También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando existan numerosas políticas. lo que influirá en los campos que estarán disponibles en las pestañas Paquete original y Paquete traducido.

Pestaña Paquete original Utilice la pestaña Paquete original para definir el tráfico de origen y destino que se traducirá. haga clic en Añadir para especificar la etiqueta. Puede utilizar múltiples zonas para simplificar la gestión. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Por ejemplo. políticas de descifrado con las palabras descifrado y sin descifrado o utilizar el nombre de un centro de datos específico para políticas asociadas a esa ubicación.) Las zonas deben ser del mismo tipo (capa 2. puede configurar los ajustes para que múltiples direcciones NAT internas se dirijan a la misma dirección IP externa. en Panorama. Interfaz de destino Palo Alto Networks Especifique el tipo de interfaz de traducción.0 • 255 . podría etiquetar determinadas políticas de seguridad con Entrante en DMZ. Tabla 142. versión 7. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Guía de referencia de interfaz web. guiones y guiones bajos. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Configuración de reglas NAT (pestaña Paquete original) Campo Descripción Zona de origen Zona de destino Seleccione una o más zonas de origen y destino para el paquete original (no NAT). Se pueden configurar varias zonas de origen y destino del mismo tipo y es posible definir la regla para que se aplique a redes o direcciones IP específicas. Configuración reglas NAT (pestaña General) Campo Descripción Nombre Introduzca un nombre para identificar la regla. consulte “Definición de zonas de seguridad”. así como el tipo de interfaz de destino y el tipo de servicio. Para definir nuevas zonas. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. El nombre debe ser exclusivo en un cortafuegos y. (El valor predeterminado es Cualquiera. espacios. capa 3 o de cable virtual. • nat64 para la traducción entre direcciones IPv6 y IPv4. Virtual Wire). No puede combinar intervalos de direcciones IPv4 e IPv6 en una única regla NAT. La interfaz de destino se puede utilizar para traducir direcciones IP de manera diferente en caso de que la red esté conectada a dos proveedores de Internet con grupos diferentes de direcciones IP. Etiqueta Si desea añadir una etiqueta a la política. números.Definición de políticas en Panorama Tabla 141. • nptv6 para la traducción entre prefijos IPv6. que pueden ser letras. Por ejemplo. Tipo de NAT Especifique el tipo de traducción para el que va destinado la regla: • ipv4 para la traducción entre direcciones IPv4.

La traducción de dirección de destino también se puede configurar para un host interno que al que se necesite acceder desde una dirección IP pública.0 Palo Alto Networks . se traducirá a la dirección interna (destino) del host interno. defina una dirección de origen (pública) y una dirección de destino (privada) en la pestaña Paquete original para un host interno. Cuando se acceda a la dirección pública. consulte “Grupos de servicios”. el tipo de traducción que se realizará en el origen y la dirección y/o el puerto al que se traducirá. El intervalo admitido de longitudes de prefijo es de /32 a /64. En este caso. Configuración de reglas NAT (pestaña Paquete original) (Continuación) Campo Descripción Servicio Especifique los servicios para los que las direcciones de origen y destino se traducen. y en la pestaña Paquete traducido habilite Traducción de dirección de destino e introduzca la Dirección traducida. versión 7. La dirección no puede tener definida una parte de identificador de interfaz (host). Para definir nuevos grupos de servicio. Para NPTv6.Definición de políticas en Panorama Tabla 142. 256 • Guía de referencia de interfaz web. Dirección de origen Dirección de destino Especifique una combinación de direcciones de origen y destino que se traducirán. para la traducción de dirección de origen. Pestaña Paquete traducido Utilice la pestaña Paquete traducido para determinar. los prefijos configurados para Dirección de origen y Dirección de destino deben tener el formato xxxx:xxxx::/yy.

0. Configuración de reglas NAT (pestaña Paquete traducido) Campo Descripción Traducción de dirección de origen Seleccione el tipo de traducción (grupo de direcciones dinámicas o estáticas) e introduzca una dirección IP o un intervalo de direcciones IP (dirección1-dirección2) a las que se traducirá la dirección de origen (Dirección traducida).0. – NPTv6 debe utilizar la traducción de IP estática para la traducción de dirección de origen. IP dinámica y NAT de puerto origen admite aproximadamente 64.0. si el intervalo de origen es 192. asegúrese de que las direcciones no se solapan con las direcciones del grupo primario. Si crea un grupo de reserva.168. y que se utilizará si el grupo primario agota sus direcciones.168. • IP estática: Siempre se utiliza la misma dirección para la traducción y el puerto permanece inalterable. • Ninguna: La traducción no se ejecuta. Un grupo de direcciones IP dinámicas puede contener varias subredes. PA-500. Para una dirección de IP de origen. Puede definir las direcciones del grupo utilizando la opción Dirección traducida o Dirección de interfaz.1-10. El intervalo de dirección es casi ilimitado. IP dinámica/NAT de puerto de Palo Alto Networks admite más sesiones NAT que las admitidas por el número de direcciones y puertos IP disponibles.000 sesiones simultáneas. El intervalo admitido de longitudes de prefijo es de /32 a /64. la dirección 192. – Avanzado (traducción de IP dinámica de reserva): Utilice esta opción para crear un grupo de reserva que ejecutará la traducción de IP y puerto. Por ejemplo.168.10 y el intervalo de traducción es 10. Se admiten hasta 32. los prefijos configurados para Dirección traducida deben tener el formato xxxx:xxxx::/yy. En algunas plataformas. por lo que podrá traducir sus direcciones de red internas a dos o más subredes públicas diferentes.10.0. El cortafuegos puede utilizar combinaciones de puertos y direcciones IP hasta dos veces (de forma simultánea) en los cortafuegos de las series PA-200. La dirección no puede tener definida una parte de identificador de interfaz (host). se permite un exceso de suscripciones. Para NPTv6. cuatro veces en los cortafuegos PA-4020 y PAh5020 y ocho veces en los cortafuegos PA-4050.0.0.000 sesiones simultáneas en cada dirección IP en el grupo NAT. pero el número de puerto no se cambia. versión 7. para interfaces que reciben una dirección IP dinámica. Palo Alto Networks Guía de referencia de interfaz web. el cortafuegos utilizará la misma dirección de origen traducida para todas las sesiones.0 • 257 .000 direcciones IP consecutivas. PAh5050 y PA-5060 cuando las direcciones IP de destino sean exclusivas.Definición de políticas en Panorama Tabla 143. PA-4060.0. lo que permite a una única IP albergar más de 64.1-192. El tamaño del intervalo de direcciones está limitado por el tipo del grupo de direcciones: • IP dinámica y puerto: La selección de direcciones se basa en un hash de la dirección de IP de origen. • IP dinámica: Se utiliza la siguiente dirección disponible en el intervalo especificado.0.2. PA-2000 y PA-3000.0.2 siempre se traduce a 10.

Sin dichas políticas. el enrutador virtual de la interfaz de entrada (ingress) indica la ruta que determina la interfaz de salida y la zona de seguridad de destino basada en la dirección IP de destino. Políticas de reenvío basado en políticas Políticas > Reenvío basado en políticas Normalmente. los prefijos configurados para Dirección traducida de prefijo de destino deben tener el formato xxxx:xxxx::/yy. La sesión inicial de una dirección IP y puerto de destino concretos asociados con una aplicación no coincidirá con una regla de aplicación específica y se reenviarán de acuerdo con reglas PBF subsiguientes (que no especifican ninguna aplicación) o la tabla de reenvío del enrutador virtual. Para obtener información sobre cómo definir políticas en Panorama.Definición de políticas en Panorama Tabla 143. dirección y usuario de origen. Configuración de reglas NAT (pestaña Paquete traducido) (Continuación) Campo Descripción Bidireccional (Opcional) Habilite la traducción bidireccional si quiere que el cortafuegos cree una traducción correspondiente (NAT o NPTv6) en la dirección opuesta de la traducción que configure. Si habilita la traducción bidireccional. las reglas PBF se pueden utilizar para forzar el tráfico mediante un sistema virtual adicional con la acción de reenvío Reenviar a Vsys. algo que quizás no desee. La traducción de destino se suele utilizar para permitir un servidor interno. consulte “Definición de políticas en Panorama”. Para garantizar el reenvío mediante reglas PBF. La sección de direcciones de puerto y host sencillamente se reenvía sin cambios. Gracias al reenvío basado en políticas (PBF). Para NPTv6. Cuando sea necesario. Para obtener información y directrices de configuración acerca de otros tipos de políticas. cuando el tráfico entra en el cortafuegos. aplicación y servicio de destino. Si el campo Puerto traducido se deja en blanco. Traducción de dirección de destino: Dirección traducida Introduzca una dirección o intervalo de direcciones IP y un número de puerto traducido (1 a 65535) al que la dirección y número de puerto de destino se traducirán. la función bidireccional permitirá la traducción automática de paquetes en ambas direcciones. incluyendo la zona. no se recomienda el uso de reglas específicas de la aplicación. el puerto de destino no se modifica. Tenga en cuenta que el puerto traducido no es compatible con NPTv6 porque NPTv6 es una traducción de prefijo estricta.0 Palo Alto Networks . es necesario definir una regla PBF adicional que reenvíe el paquete desde el sistema virtual de destino mediante una interfaz de salida (egress) concreta en el cortafuegos. así como la dirección. como un servidor de correo electrónico al que se accede desde la red pública. consulte “Políticas y perfiles de seguridad”. El intervalo admitido de longitudes de prefijo es de /32 a /64. puede especificar otra información para determinar la interfaz de salida. La dirección no puede tener definida una parte de identificador de interfaz (host). En este caso. versión 7. 258 • Guía de referencia de interfaz web. es extremadamente importante asegurarse de tener establecidas políticas de seguridad para controlar el tráfico en ambas direcciones. El resto de sesiones de esa dirección IP y puerto de destino de la misma aplicación coincidirán con una regla específica de aplicación.

El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Guía de referencia de interfaz web. Campo Descripción Nombre Introduzca un nombre para identificar la regla. políticas de descifrado con las palabras descifrado y sin descifrado. consulte “Definición de zonas de seguridad”. Por ejemplo. Realice su selección en la lista desplegable o haga clic en Dirección. Puede utilizar múltiples zonas para simplificar la gestión.Definición de políticas en Panorama Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Pestaña General” • “Pestaña Origen” • “Pestaña Destino/aplicación/servicio” • “Pestaña Reenvío” Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política PBF. haga clic en Añadir y seleccione una de la lista desplegable. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. puede crear una regla que cubra todas las clases. Descripción Introduzca una descripción de la política (hasta 255 caracteres). exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. que pueden ser letras. Nota: Solo se admiten zonas de tipo Capa 3 para reenvío basado en políticas. Por ejemplo. Etiqueta Si necesita añadir una etiqueta a la política. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. espacios. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Pestaña Origen Utilice la pestaña Origen para definir la zona de origen o la dirección de origen que define el tráfico de origen entrante al que se aplicará la política de reenvío.0 • 259 . El nombre debe ser exclusivo en un cortafuegos y. haga clic en Añadir para especificar la etiqueta. en Panorama. Campo Descripción Zona de origen Para elegir zonas de origen (el valor predeterminado es cualquiera). guiones y guiones bajos. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Grupo de direcciones. números. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. versión 7. si tiene tres zonas internas diferentes (Marketing. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Para definir nuevas zonas. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones.

Pestaña Destino/aplicación/servicio Utilice la pestaña Destino/aplicación/servicio para definir la configuración de destino que se aplicará al tráfico que coincida con la regla de reenvío. Por ejemplo. 260 • Guía de referencia de interfaz web. algunos grupos o añadir usuarios manualmente. pero no se autenticarán en el dominio y no tendrán ninguna información de asignación de IP a usuario en el cortafuegos. Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. cualquier IP con datos de usuario asignados. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). es decir. De manera predeterminada. • Desconocido: Incluye a todos los usuarios desconocidos. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. es decir. Grupo de direcciones.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. podría utilizar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. esta regla se aplica a cualquier dirección IP. una lista de individuos. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. puede que quiera añadir a un usuario. versión 7. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. • Usuario conocido: Incluye a todos los usuarios autenticados. Realice su selección en la lista desplegable o haga clic en Dirección. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. Por ejemplo. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. aunque el usuario no haya iniciado sesión directamente. las direcciones IP que no estén asignadas a un usuario.0 Palo Alto Networks .

0 • 261 . Campo Descripción Acción Seleccione una de las siguientes opciones: • Reenviar: Especifique la dirección IP del próximo salto y la interfaz de salida (egress) (la interfaz que toma el paquete para el siguiente salto especificado). Nota: No se recomienda usar las reglas específicas de aplicación con PBF. • No hay ningún PBF: No altera la ruta que tomará el paquete. Supervisar Habilite la supervisión para comprobar la conectividad con una Dirección IP de destino o con la dirección IP de Siguiente salto. Seleccione Supervisar y añada un perfil de supervisión (predeterminado o personalizado) que especifique la acción cuando no se pueda alcanzar la dirección IP. consulte “Definición de grupos de aplicaciones”. Palo Alto Networks Guía de referencia de interfaz web. • Reenviar a VSYS: Seleccione el sistema virtual de reenvío en la lista desplegable.. consulte “Definición de aplicaciones”. Para definir grupos de aplicaciones. sin tener que ir hasta las pestañas de objetos. el cortafuegos usa la tabla de enrutamiento para excluir el tráfico coincidente del puerto redirigido. que es el puerto de capa 4 (TCP o UDP) usado por el protocolo o la aplicación. El tráfico se puede reenviar a una dirección IP de siguiente salto o un sistema virtual. podrá ver los detalles de estos objetos al pasar el ratón por encima del objeto en la columna Aplicación. Si desea información detallada. Los paquetes coincidentes usan la tabla de enrutamiento en lugar de PBF. Para definir nuevas aplicaciones. haciendo clic en la flecha hacia abajo y seleccionando Valor. Esta opción excluye los paquetes que coincidan con los criterios de origen/destino/aplicación/servicio definidos en la regla. Forzar vuelta simétrica (Necesario para entornos de enrutamiento asimétrico) Seleccione Forzar vuelta simétrica e introduzca una o más direcciones IP en la Lista de direcciones de próximo salto. Al habilitar el retorno simétrico se garantiza que el tráfico de retorno (p.com/documentation/70/pan-os/pan-os/policy/pbf. Cuando sea posible. • Descartar: descarta el paquete. consulte https://paloaltonetworks. De esta forma podrá ver fácilmente miembros de la aplicación directamente desde la política. ej.html Si utiliza grupos de aplicaciones. filtros o un contenedor en la regla de PBF. Pestaña Reenvío Use la pestaña Reenvío para definir la acción y la información de red que se aplicará al tráfico que coincida con la política de reenvío. versión 7. o bien se puede interrumpir el tráfico. Siguiente salto Si dirige el paquete a una interfaz específica.Definición de políticas en Panorama Campo Descripción Aplicación/servicio Seleccione aplicaciones o servicios específicos para la regla de PBF. desde la zona de confianza en la LAN a Internet) se reenvía a través de la misma interfaz por la cual el tráfico accede a Internet. especifique la dirección IP de Siguiente salto para el paquete. Interfaz de salida Dirige el paquete a una interfaz de salida específica. use un objeto de servicio.

Cada una de las políticas de descifrado especifica las categorías o URL para descifrar o no.com/docs/DOC-1423. Las políticas de descifrado pueden ser tan generales o específicas como sea necesario. incluidos protocolos SSL encapsulados como IMAP(S). Para obtener información y directrices de configuración acerca de otros tipos de políticas. la seguridad de punto a punto entre clientes y servidores se mantiene. Una política que excluya el tráfico del descifrado (con la acción No hay ningún descifrado) siempre debe tener preferencia para poder entrar en vigor. El descifrado SSH se puede utilizar para descifrar el tráfico SSH entrante y saliente para asegurar que los protocolos no se están utilizando para túneles de aplicaciones y contenido no permitido. SMTP(S) y FTP(S). Para ver una lista de estas aplicaciones. Las políticas de descifrado se pueden aplicar a una capa de sockets seguros (SSL). Ningún tipo de tráfico descifrado sale del dispositivo. PAN-OS no descifrará el tráfico SSL de estas aplicaciones y los ajustes de reglas de cifrado no se aplicarán. Puede aplicar perfiles de descifrado a sus políticas con objeto de bloquear y controlar diferentes aspectos del tráfico.0 Palo Alto Networks . Las siguientes tablas describen la configuración de políticas de descifrado: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Opciones” 262 • Guía de referencia de interfaz web.paloaltonetworks. POP3(S). Para definir nuevas programaciones. cree uno en la página Dispositivo > Gestión de certificados > Certificados y. y el cortafuegos actúa como un agente externo de confianza durante la conexión. Para configurar este certificado. selecciónela y haga clic en Mover hacia arriba. versión 7. Las reglas de las políticas se comparan con el tráfico en secuencias. consulte el artículo de ayuda ubicado en https:// live. seleccione una programación de la lista desplegable. Con el descifrado activado. El descifrado SSL se puede utilizar para aplicar App-ID y los perfiles de Antivirus. y a tráfico Secure Shell (SSH). Consulte “Gestión de certificados de dispositivos”. Para obtener más información. haga clic en el nombre del certificado y active la casilla Reenviar certificado fiable. por lo que las reglas más específicas deben preceder a las reglas más generales. Vulnerabilidades. consulte “Perfiles de descifrado”. consulte “Ajustes de descifrado SSL en un perfil de descifrado”. Para obtener información sobre cómo definir políticas en Panorama. Para evitarlo. si el servidor al que se conecta el usuario posee un certificado firmado por una entidad de certificación de confianza del cortafuegos. Para mover una regla a la parte superior de las políticas y que tenga preferencia. a continuación. consulte “Políticas y perfiles de seguridad”. Antispyware. control y seguridad granular. Políticas de descifrado Políticas > Descifrado Puede configurar el cortafuegos para descifrar el tráfico y ganar en visibilidad.Definición de políticas en Panorama Campo Descripción Programación Para limitar los días y horas en los que la regla está en vigor. Filtrado de URL y Bloqueo de archivos al tráfico SSL descifrado antes de volverse a cifrar a medida que el tráfico sale del dispositivo. consulte “Definición de políticas en Panorama”. Algunas aplicaciones no funcionarán si las descifra el cortafuegos. El cifrado de proxy SSL de reenvío requiere que se le presente al usuario la configuración de un certificado de confianza.

números. consulte “Definición de zonas de seguridad”. Las zonas deben ser del mismo tipo (capa 2. Virtual Wire). Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Por ejemplo. Etiqueta Si necesita añadir una etiqueta a la política. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. que pueden ser letras. versión 7.0 • 263 . direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). Realice su selección en la lista desplegable o haga clic en Dirección. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Guía de referencia de interfaz web. puede crear una regla que cubra todas las clases. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo. políticas de descifrado con las palabras descifrado y sin descifrado. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Campo Descripción Nombre Introduzca un nombre para identificar la regla. Puede utilizar múltiples zonas para simplificar la gestión. espacios. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). Grupo de direcciones.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de descifrado. haga clic en Añadir para especificar la etiqueta. Dirección de origen Palo Alto Networks Haga clic en Añadir para añadir las direcciones. capa 3 o de cable virtual. Para definir nuevas zonas. si tiene tres zonas internas diferentes (Marketing. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. en Panorama. guiones y guiones bajos. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de descifrado. El nombre debe ser exclusivo en un cortafuegos y.

pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. versión 7. Dirección de destino Haga clic en Añadir para añadir las direcciones. Los siguientes tipos de usuarios de origen son compatibles: • Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. una lista de individuos. si tiene tres zonas internas diferentes (Marketing. Realice su selección en la lista desplegable o haga clic en Dirección. Las zonas deben ser del mismo tipo (capa 2. • Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. • Desconocido: Incluye a todos los usuarios desconocidos.Definición de políticas en Panorama Campo Descripción Usuario de origen Haga clic en Añadir para seleccionar los usuarios o grupos de usuarios de origen sometidos a la política. es decir. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. cualquier IP con datos de usuario asignados. Por ejemplo. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Puede utilizar múltiples zonas para simplificar la gestión. puede crear una regla que cubra todas las clases. Para definir nuevas zonas. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. las direcciones IP que no estén asignadas a un usuario. Esta opción es equivalente al grupo “usuarios del dominio” en un dominio. Por ejemplo. aunque el usuario no haya iniciado sesión directamente. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red.0 Palo Alto Networks . sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. Grupo de direcciones. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). 264 • Guía de referencia de interfaz web. algunos grupos o añadir usuarios manualmente. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. capa 3 o de cable virtual. • Seleccionar: Incluye los usuarios seleccionados en esta ventana. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Por ejemplo. Virtual Wire). • Usuario conocido: Incluye a todos los usuarios autenticados. consulte “Definición de zonas de seguridad”. puede que quiera añadir a un usuario. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. es decir.

• Valor predeterminado de aplicación: Las aplicaciones seleccionadas se descifrarán (o estarán exentas de descifrado) únicamente en los puertos predeterminados definidos para las aplicaciones por Palo Alto Networks. Esta opción permite controlar los túneles SSH en políticas. • Proxy SSH: Especifique que la política descifrará el tráfico SSH. • Para especificar una categoría. • Seleccione Cualquiera para buscar en todas las sesiones. • Inspección de entrada SSL: Especifique que la política descifrará el tráfico de inspección entrante SSL. especifique el tipo de descifrado. Perfil de descifrado Palo Alto Networks Seleccione un perfil de descifrado existente o cree uno nuevo. Consulte “Servicios” y “Grupos de servicios”. • Seleccionar: Haga clic en Añadir. Pestaña Opciones Use la pestaña Opciones para determinar si el tráfico coincidente debería descifrarse o no. versión 7. Guía de referencia de interfaz web.0 • 265 . Campo Descripción Servicio Aplique la política de descifrado al tráfico en función de números de puertos TCP específicos. con independencia de la categoría URL. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: las aplicaciones seleccionadas se permiten o deniegan en cualquier protocolo o puerto. Seleccione un servicio existente o especifique un nuevo Servicio o Grupo de servicios. Si se ha definido Descifrar. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. especificando el ID de aplicación (App-ID) de túnel ssh. Puede añadir varias categorías. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. Pestaña Categoría de URL Seleccione las categorías URL de la regla de descifrado.Definición de políticas en Panorama Pestaña Categoría de URL/servicio Utilice la pestaña Categoría de URL/servicio para aplicar la política de descifrado al tráfico en función del número de puerto TCP o a cualquier categoría de URL (o una lista de categorías). Campo Descripción Acción Seleccione Descifrar o No descifrar para el tráfico. Consulte “Perfiles de descifrado”. Tipo Seleccione el tipo de tráfico para descifrar de la lista desplegable: • Proxy SSL de reenvío: Especifique que la política descifrará el tráfico del cliente destinado a un servidor externo. También puede añadir funciones de descifrado adicionales configurando o seleccionando un perfil de descifrado.

0 Palo Alto Networks . dirección de origen y destino. puede crear nuevas definiciones de aplicaciones (consulte “Definición de aplicaciones”). puede utilizar una política de cancelación de aplicación para identificar el tráfico de esa aplicación en función de la zona. puede especificar políticas de cancelación de aplicación. versión 7. la definición de aplicación personalizada no puede utilizar un número de puerto para identificar una aplicación. por lo que las reglas más específicas deben preceder a las reglas más generales. El nombre debe ser exclusivo en un cortafuegos y. Para crear una aplicación personalizada con cancelación de aplicaciones: 1. • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Protocolo/Aplicación” Pestaña General Utilice la pestaña General para configurar un nombre y una descripción de la política de cancelación de aplicación. 2. 266 • Guía de referencia de interfaz web. en Panorama. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. espacios. Defina la aplicación personalizada. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. La definición de la aplicación también debe incluir el tráfico (restringido por zona y dirección IP de origen. las políticas de cancelación de aplicación pueden ser tan generales o específicas como sea necesario. Defina una política de cancelación de aplicación que especifique si la aplicación personalizada se debe activar. Por ejemplo. guiones y guiones bajos. Para obtener información y directrices de configuración acerca de otros tipos de políticas. y zona y dirección IP de destino). Use las siguientes tablas para configurar una regla de cancelación de aplicaciones.Definición de políticas en Panorama Definición de políticas de cancelación de aplicación Políticas > Cancelación de aplicación Para cambiar la forma en la que el cortafuegos clasifica el tráfico de la red en las aplicaciones. si desea controlar una de sus aplicaciones personalizadas. consulte “Definición de políticas en Panorama”. Una política suele incluir la dirección IP del servidor que ejecuta la aplicación personalizada y un conjunto restringido de direcciones IP o una zona de origen. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. Consulte “Definición de aplicaciones”. Al igual que las políticas de seguridad. consulte “Políticas y perfiles de seguridad”. números. Si tiene aplicaciones de red clasificadas como “desconocidas”. puerto y protocolo. Campo Descripción Nombre Introduzca un nombre para identificar la regla. que pueden ser letras. Las reglas de las políticas se comparan con el tráfico en secuencias. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. Para obtener información sobre cómo definir políticas en Panorama. Como el motor App-ID de PAN-OS clasifica el tráfico identificando el contenido específico de la aplicación en el tráfico de red.

si tiene tres zonas internas diferentes (Marketing. Puede utilizar múltiples zonas para simplificar la gestión. Grupo de direcciones. Por ejemplo. Dirección de origen Haga clic en Añadir para añadir las direcciones.Definición de políticas en Panorama Campo Descripción Etiqueta Si necesita añadir una etiqueta a la política. Las zonas deben ser del mismo tipo (capa 2. haga clic en Añadir para especificar la etiqueta. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de cancelación de aplicación. capa 3 o de cable virtual. Virtual Wire). Palo Alto Networks Guía de referencia de interfaz web. consulte “Definición de zonas de seguridad”. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. puede crear una regla que cubra todas las clases. Virtual Wire). puede crear una regla que cubra todas las clases. Para definir nuevas zonas. direcciones de grupos o regiones de origen (la opción predeterminada es Cualquiera). o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. si tiene tres zonas internas diferentes (Marketing. Puede utilizar múltiples zonas para simplificar la gestión. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Por ejemplo. políticas de descifrado con las palabras descifrado y sin descifrado. Campo Descripción Zona de destino Haga clic en Añadir para seleccionar las zonas de destino (la opción predeterminada es Cualquiera). Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable. Por ejemplo. versión 7. consulte “Definición de zonas de seguridad”. Para definir nuevas zonas.0 • 267 . Las zonas deben ser del mismo tipo (capa 2. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Campo Descripción Zona de origen Haga clic en Añadir para seleccionar las zonas de origen (la opción predeterminada es Cualquiera). capa 3 o de cable virtual. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Realice su selección en la lista desplegable o haga clic en Dirección. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Ventas y Relaciones públicas) que se dirigen todas a la zona de destino no fiable.

tal y como se describe en “Configuración del cortafuegos para el usuario de usuarios”. Si especifica varios puertos o intervalos. una secuencia de autenticación o un perfil de certificado. Si cancela una aplicación personalizada.0 Palo Alto Networks . La excepción es si cancela una aplicación predeterminada que admite la inspección de amenazas. Para definir nuevas aplicaciones. deben estar separados por comas. consulte “Políticas y perfiles de seguridad”. o en el enlace Regiones en la parte inferior de la lista desplegable y especifique la configuración. Grupo de direcciones. habilite las funciones y configure los ajustes de portal cautivo en la página Identificación de usuarios. Pestaña Protocolo/Aplicación Use la pestaña Protocolo/Aplicación para definir el protocolo (TCP o UDP). Definición de políticas de portal cautivo Políticas > Portal cautivo Utilice la siguiente tabla para configurar y personalizar un portal cautivo para dirigir la autenticación de usuarios mediante un perfil de autenticación. Para obtener información y directrices de configuración acerca de otros tipos de políticas. versión 7. creando una asignación de usuario a dirección IP. Antes de definir políticas de portal cautivo. Puerto Introduzca el número de puerto (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) de las direcciones de destino especificadas. Aplicación Seleccione la aplicación de cancelación de los flujos de tráfico que coincidan con los criterios de la regla anterior. Campo Descripción Protocolo Seleccione el protocolo por el que la aplicación se puede cancelar.Definición de políticas en Panorama Campo Descripción Dirección de destino Haga clic en Añadir para añadir las direcciones. puerto y aplicación que definen con mayor exactitud los atributos de la aplicación para que coincida con la política. Realice su selección en la lista desplegable o haga clic en Dirección. El portal cautivo se utiliza junto con el agente de ID de usuario (User-ID) para aumentar las funciones de identificación de usuarios más allá del dominio de Active Directory. Las siguientes tablas describen la configuración de políticas de portal cautivo: • • • • • “Pestaña General” “Pestaña Origen” “Pestaña Destino” “Pestaña Categoría de URL/servicio” “Pestaña Acción” 268 • Guía de referencia de interfaz web. no se realizará una inspección de amenazas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. direcciones de grupos o regiones de destino (la opción predeterminada es Cualquiera). Los usuarios se dirigen hacia el portal y se autentican. consulte “Definición de aplicaciones”.

Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. haga clic en Añadir para especificar la etiqueta. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación.0 • 269 . Campo Descripción Origen Especifique la siguiente información: • Seleccione una zona de origen si necesita aplicar la política al tráfico entrante de todas las interfaces de una zona concreta. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. políticas de descifrado con las palabras descifrado y sin descifrado. que pueden ser letras. Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política de portal cautivo. Haga clic en Añadir para especificar múltiples interfaces o zonas. • Especifique el parámetro Dirección de origen que se aplicará a la política del portal cautivo desde las direcciones de origen específicas. El nombre debe ser exclusivo en un cortafuegos y. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. en Panorama. Por ejemplo. Campo Descripción Nombre Introduzca un nombre para identificar la regla. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). espacios. Palo Alto Networks Guía de referencia de interfaz web. Haga clic en Añadir para especificar múltiples interfaces o zonas.Definición de políticas en Panorama Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política de portal cautivo. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. números. guiones y guiones bajos. versión 7. Etiqueta Si necesita añadir una etiqueta a la política.

Campo Destino Descripción Especifique la siguiente información: • Seleccione una zona de destino si necesita aplicar la política al tráfico de todas las interfaces de una zona concreta. Una categoría de URL también puede usarse como un atributo para la política. Haga clic en Añadir para especificar múltiples interfaces o zonas. Haga clic en Añadir para especificar múltiples interfaces o zonas. haga clic en Añadir y seleccione una categoría concreta (incluyendo una categoría personalizada) de la lista desplegable. Categoría de URL Seleccione las categorías URL de la regla de portal cautivo. Consulte “Listas de bloqueos dinámicos” para obtener más información sobre cómo definir categorías personalizadas. • Especifique el parámetro Dirección de destino que se aplicará a la política del portal cautivo desde las direcciones de destino específicas. • Seleccione Cualquiera para aplicar las acciones especificadas en la pestaña Servicio/Acción con independencia de la categoría de URL. Puede añadir varias categorías. Consulte “Servicios” y “Grupos de servicios”. versión 7. • Para especificar una categoría. • Valor predeterminado de aplicación: Los servicios seleccionados se permiten o deniegan únicamente según los puertos predeterminados por Palo Alto Networks.0 Palo Alto Networks . Seleccione un servicio existente o seleccione Servicio o Grupo de servicios para especificar una nueva entrada.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política. Esta opción es la recomendada para políticas de permiso. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Campo Descripción Servicio Seleccione los servicios para limitar números de puertos TCP y/o UDP concretos. Pestaña Categoría de URL/servicio Use la pestaña Categoría de URL/servicio para hacer que la acción de la política se realice en función de números de puerto TCP o UDP específicos. Seleccione una de las siguientes opciones de la lista desplegable: • Cualquiera: los servicios seleccionados se permiten o deniegan en cualquier protocolo o puerto. 270 • Guía de referencia de interfaz web. • Selección: Haga clic en Añadir.

Definición de políticas en Panorama Pestaña Acción Use la pestaña Acciones para determinar si el usuario verá un formato web. haga clic en Añadir y. espacios. Use esta página para añadir. • portal no cautivo: Permite el paso del tráfico sin abrir una página de portal cautivo para su autenticación. tal vez quiera etiquetar determinadas políticas de seguridad con Entrante en DMZ. que pueden ser letras. exclusivo dentro de su grupo de dispositivos y cualquier grupo de dispositivos antecesor o descendiente. versión 7. o usar el nombre de un centro de datos específico para políticas asociadas con esa ubicación. Entonces podrá seleccionar una acción protectora en una política cuando se active una coincidencia. El nombre distingue entre mayúsculas y minúsculas y puede tener hasta 31 caracteres. políticas de descifrado con las palabras descifrado y sin descifrado. El explorador web responderá utilizando las credenciales de inicio de sesión actuales del usuario. basadas en sesiones agregadas o direcciones IP de origen y/o destino. editar o eliminar reglas de políticas DoS. Etiqueta Si necesita añadir una etiqueta a la política. consulte “Definición de políticas en Panorama”. números. haga clic en Añadir para especificar la etiqueta.0 • 271 . en Panorama. Por ejemplo. Para obtener información sobre cómo definir políticas en Panorama. direcciones y países. a continuación. • reto de explorador: Abre una solicitud de autenticación NT LAN Manager (NTLM) en el explorador web del usuario. Campo Descripción Nombre Introduzca un nombre para identificar la regla. Palo Alto Networks Guía de referencia de interfaz web. un cuadro de diálogo de reto de explorador o si no se producirá ningún desafío de portal cautivo. puede controlar el tráfico desde y hacia determinadas direcciones o grupos de direcciones o desde determinados usuarios y para servicios concretos. Definición de políticas DoS Políticas > Protección DoS Las políticas de protección DoS permiten controlar el número de sesiones entre interfaces. Pestaña General Use la pestaña General para configurar un nombre y una descripción de la política DoS. También puede configurar una pestaña para que le permita ordenar o filtrar políticas cuando estas son muy numerosas. El nombre debe ser exclusivo en un cortafuegos y. zonas. guiones y guiones bajos. Campo Descripción Configuración de acción Seleccione la acción que se realizará: • Formato web: Abre una página de portal cautivo en la que el usuario puede introducir explícitamente las credenciales de autenticación. Descripción Introduzca una descripción de la regla (hasta 255 caracteres). Para añadir una nueva regla de política. Es útil cuando ha definido muchas políticas y desea revisar las que están etiquetadas con una palabra clave específica. Por ejemplo. Una política DoS puede incluir un perfil DoS que especifique los umbrales (sesiones o paquetes por segundo) que indican un ataque. cumplimente los siguientes campos. Una etiqueta de política es una palabra clave o frase que le permite ordenar o filtrar políticas.

aunque el usuario no haya iniciado sesión directamente. cualquier IP con datos de usuario asignados.Definición de políticas en Panorama Pestaña Origen Use la pestaña Origen para definir la zona de origen o dirección de origen que define el tráfico de origen entrante al que se aplicará la política DoS. • Especifique el parámetro Usuario de origen que se aplicará a la política DoS para el tráfico procedente de los usuarios específicos. Por ejemplo. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Puede crear estas políticas para usuarios anteriores al inicio de sesión y. – Seleccionar: Incluye los usuarios seleccionados en esta ventana. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. sus equipos estarán autenticados en el dominio como si hubieran iniciado sesión completamente. – Desconocido: Incluye a todos los usuarios desconocidos. Cuando se configura la opción Anterior al inicio de sesión en el portal de clientes de GlobalProtect. Los siguientes tipos de usuarios de origen son compatibles: – Cualquiera: Incluye todo el tráfico independientemente de los datos de usuario. 272 • Guía de referencia de interfaz web. es decir. Por ejemplo. algunos grupos o añadir usuarios manualmente. pero no se autenticarán en el dominio y no tendrán ninguna IP en la información de asignación de usuarios en el cortafuegos. la lista de usuarios no se muestra y deberá introducir la información del usuario manualmente. Haga clic en Añadir para especificar varias direcciones. Haga clic en Añadir para especificar múltiples interfaces o zonas. versión 7. Campo Descripción Origen Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. las direcciones IP que no estén asignadas a un usuario. podría usar desconocido para acceso de invitados a alguna parte porque tendrán una IP en su red. – Usuario conocido: Incluye a todos los usuarios autenticados. una lista de individuos. cualquier usuario que no esté registrado en su equipo en ese momento será identificado con el nombre de usuario Anterior al inicio de sesión. es decir. Nota: Si utiliza un servidor RADIUS y no el agente de ID de usuarios (User-ID). Esta opción es equivalente al grupo “usuarios del dominio” en un dominio.0 Palo Alto Networks . puede que quiera añadir a un usuario. – Anterior al inicio de sesión: Incluye a usuarios remotos conectados a la red mediante GlobalProtect pero que no han iniciado sesión en su sistema. • Especifique el parámetro Dirección de origen que se aplicará a la política DoS desde las direcciones de origen específicas.

como el tipo de servicio (http o https) o la acción que se realizará y decidir si se activará un reenvío de log para el tráfico coincidente. versión 7. También puede definir una programación que determine cuándo estará activa la política y seleccionar un perfil DoS agregado o clasificado que defina más atributos para la protección DoS. Campo Descripción Servicio Seleccione en la lista desplegable la política DoS que se aplicará únicamente a los servicios configurados. El resultado sería un límite de 100 sesiones en cualquier momento para esa dirección IP de origen en particular. o pares de direcciones IP de origen y destino. Seleccione la casilla de verificación Negar para seleccionar cualquier dirección excepto las configuradas. Pestaña Opción/Protección Use la pestaña Opción/Protección para configurar opciones adicionales de la política DoS. • Especifique el parámetro Dirección de destino que se aplicará a la política DoS para el tráfico a las direcciones de destino específicas. seleccione un perfil de reenvío de logs de la lista desplegable o haga clic en Perfil para crear uno nuevo. Por ejemplo.0 • 273 . Haga clic en Añadir para especificar varias direcciones. las limitaciones del perfil se aplican a una dirección IP de origen. como un servidor syslog o Panorama. puede especificar un perfil clasificado con un límite de sesión de 100 y especificar un parámetro Dirección de “origen” en la regla. • Permitir: Permite todo el tráfico. Esta configuración se aplica al total del tráfico del origen especificado al destino especificado. Clasificado Seleccione la casilla de verificación y especificar los siguientes ajustes: • Perfil: Seleccione un perfil de la lista desplegable. o a las direcciones IP de origen y destino. que se aplicará a la regla DoS a una fecha/hora concretas. Campo Destino Descripción Especifique la siguiente información: • Seleccione Interfaz de la lista desplegable Tipo para aplicar la política DoS al tráfico entrante en una interfaz o en un grupo de interfaces. Seleccione Zona si la política DoS se debe aplicar al tráfico entrante desde todas las interfaces en una zona concreta. Tenga en cuenta que solo será registrado y reenviado el tráfico que coincida con una acción de la regla. Haga clic en Añadir para especificar múltiples interfaces o zonas. Programación Seleccione una programación preconfigurada de la lista desplegable. • Dirección: Seleccione si la regla se aplicará al origen. Reenvío de logs Si quiere activar el reenvío de entradas de logs de amenazas a un servicio externo. destino. • Proteger: Aplica las protecciones proporcionadas en los umbrales que se configuran como parte del perfil DoS aplicado a esta regla. Agregado Seleccione un perfil de protección DoS de la lista desplegable para determinar la tasa a la que desea adoptar las medidas en respuesta a las amenazas DoS. Si se especifica un perfil clasificado. Acción Seleccione la acción en la lista desplegable: • Denegar: Cancela todo el tráfico. dirección IP de destino. Palo Alto Networks Guía de referencia de interfaz web.Definición de políticas en Panorama Pestaña Destino Use la pestaña Destino para definir la zona de destino o dirección de destino que define el tráfico de destino al que se aplicará la política.

Consulte “Perfiles de bloqueo de archivo”. versión 7. Las siguientes acciones son aplicables al definir perfiles de antivirus. virus y troyanos y bloquear descargas de spyware.0 Palo Alto Networks . Consulte “Perfiles de protección de vulnerabilidades”. • Perfiles de antispyware para bloquear los intentos del spyware en hosts comprometidos para realizar llamadas a casa o balizamiento a servidores externos de comando y control (C2). Además de perfiles individuales. • Perfiles de bloqueo de archivo para bloquear tipos de archivos seleccionados y en la dirección de flujo de sesión especificada (entrante/saliente/ambas). Acciones en perfiles de seguridad La acción especifica cómo responde un cortafuegos ante un evento de amenaza. 274 • Guía de referencia de interfaz web. objetos de spyware personalizados u objetos de vulnerabilidades personalizados. que le informa del uso de la opción que ha habilitado para que se realice una notificación. Consulte “Perfiles de análisis de WildFire”. que restablece ambas partes de la conexión. • Perfiles de protección de vulnerabilidades para detener los intentos de explotación de fallos del sistema y de acceso no autorizado a los sistemas. Consulte “Perfiles de filtrado de datos”. como compras o apuestas. Cada política de seguridad puede incluir uno o más perfiles de seguridad. Los siguientes tipos de perfil están disponibles: • Perfiles de antivirus para proteger contra gusanos. Cada firma de amenaza o virus definida por Palo Alto Networks incluye una acción predeterminada. que suele establecerse como Alerta. y crear grupos de perfiles de seguridad en Objetos > Grupos de perfiles de seguridad. perfiles de protección de vulnerabilidades. • Perfiles de filtrado de URL para restringir el acceso de los usuarios a sitios web específicos y/o categorías de sitios web. No obstante.Perfiles de seguridad Perfiles de seguridad Los perfiles de seguridad proporcionan protección ante amenazas en políticas de seguridad. • Perfiles de análisis de WildFire para especificar que se realice un análisis de archivos localmente en el dispositivo WildFire o en la nube de WildFire. • Perfiles de filtrado de datos que ayudan a evitar que la información confidencial. o como Restablecer ambos. puede definir o cancelar la acción en el cortafuegos. perfiles de antispyware. puede combinar perfiles que a menudo se aplican en conjunto. Consulte “Perfiles de antispyware”. como los números de tarjetas de crédito o de la seguridad social. salga de una red protegida. Consulte “Perfiles de antivirus”. Consulte “Perfiles de filtrado de URL”.

Perfil de Perfil de antisantivirus pyware Perfil de proObjeto personalitección de vul. Restablecer ambos Para TCP.     Descartar Descarta el tráfico de la aplicación. Palo Alto Networks Guía de referencia de interfaz web.zado: spyware y nerabilidades vulnerabilidades     Para perfiles de antivirus. Permitir Permite el tráfico de la aplicación. Para UDP.     Restablecer cliente Para TCP.                 Para UDP. Restablecer servidor Para TCP. realiza la acción predeterminada para la firma de virus. Bloquear IP Esta acción bloquea el tráfico de un par de origen u origendestino.0 • 275 . configurable durante un período de tiempo especificado. descarta la conexión. versión 7. restablece la conexión de la parte del servidor. descarta la conexión. restablece la conexión tanto en el extremo del cliente como en el del servidor. Para UDP. descarta la conexión.     Alerta Genera una alerta para el flujo de tráfico de cada aplicación. restablece la conexión de la parte del cliente.Perfiles de seguridad Acción Descripción Valor predeterminado Realiza la acción predeterminada especificada internamente para cada firma de amenaza. La alerta se guarda en el log de amenazas.

Internet Message Access Protocol (IMAP). El perfil predeterminado busca virus en todos los descodificadores de protocolo enumerados. Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Para ver una lista completa de los tipos de perfiles de seguridad y las acciones que se aplicarán al tráfico coincidente. Este nombre aparece en la lista de perfiles de antivirus cuando se definen políticas de seguridad. genera alertas de Simple Mail Transport Protocol (SMTP). Los perfiles personalizados se pueden utilizar para minimizar la exploración antivirus para el tráfico entre zonas de seguridad fiables y para maximizar la inspección o el tráfico recibido de zonas no fiables. Defina en qué aplicaciones se buscarán virus mediante inspecciones y la acción que se llevará a cabo si se encuentra uno. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). 276 • Guía de referencia de interfaz web. Antes debe quitar el perfil de la política de seguridad y luego eliminarlo. puntos. dependiendo del tipo de virus detectado.Perfiles de seguridad No puede eliminar un perfil que se utiliza en una política de seguridad. El perfil se adjuntará después a una política de seguridad para determinar la inspección del tráfico que atraviese zonas específicas. espacios. así como el tráfico enviado a destinos altamente sensibles. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. y toma las medidas predeterminadas para el resto de las aplicaciones (alerta o denegación).0 Palo Alto Networks . números. Perfiles de antivirus Objetos > Perfiles de seguridad > Antivirus En la página Perfiles de antivirus puede configurar opciones para que el cortafuegos busque virus mediante análisis del tráfico definido. Las siguientes tablas describen la configuración de reenvío basado en políticas: • “Cuadro de diálogo Perfil de antivirus” • “Pestaña Antivirus” • “Pestaña Excepciones” Cuadro de diálogo Perfil de antivirus Utilice este cuadro de diálogo para definir un nombre y una descripción del perfil. guiones y guiones bajos. y Post Office Protocol Version 3 (POP3). como granjas de servidores. como Internet. versión 7. consulte “Perfiles de seguridad”. Utilice únicamente letras.

puede que quiera permitir http pero no inspeccionar el tráfico de una aplicación específica que funcione a través de http. Para cada excepción de la aplicación. lo que significa que la cancelación está habilitada. Descodificadores y acciones Para cada tipo de tráfico en el que desee buscar virus. tal vez prefiera elegir la acción de alerta en las firmas de WildFire en lugar del bloqueo. Para buscar una aplicación. Por ejemplo. Puede definir diferentes acciones para firmas de antivirus estándar (columna Acción) y firmas generadas por el sistema WildFire (Acción de WildFire). Por ejemplo. Si cancela la selección de la casilla de verificación. versión 7. que se pueden generar y emitir en 15 minutos o menos tras la detección de la amenaza. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. • Cada grupo de dispositivos en Panorama. Campo Descripción Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. como ftp y http. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. y Permitir es la excepción de la aplicación. También puede adoptar la medida específica en función de las firmas creadas por WildFire. consulte “Acciones en perfiles de seguridad”. en la que podrá realizar una selección. seleccione la acción que se adoptará cuando se detecte la amenaza. comience escribiendo el nombre de la aplicación en el cuadro de texto. Si cancela la selección de la casilla de verificación. Algunos entornos pueden requerir pruebas de estabilidad más largas para firmas de antivirus. Pestaña Antivirus Use la pestaña Antivirus para definir el tipo de tráfico que se inspeccionará. para bloquear todo el tráfico HTTP excepto el de una aplicación específica. Por ello. Bloquear es la acción del descodificador HTTP. seleccione una acción de la lista desplegable. Use la tabla Excepción de aplicaciones para definir las aplicaciones que no serán inspeccionadas. Para ver una lista de las acciones. por lo que esta opción permite definir distintas acciones para los dos tipos de firmas de antivirus ofrecidos por Palo Alto Networks.0 • 277 . Excepciones de aplicaciones y acciones Identifique aplicaciones que se considerarán excepciones a la regla de antivirus. las firmas de antivirus estándar pasan pruebas de estabilidad más largas (24 horas) en comparación con las firmas de WildFire. y especifique a continuación la acción aplicable. La aplicación se añade a la tabla y puede asignar una acción. Palo Alto Networks Guía de referencia de interfaz web. Se mostrará una lista con las aplicaciones coincidentes. La casilla de verificación no está seleccionada de manera predeterminada.Perfiles de seguridad Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. puede definir un perfil de antivirus para el que la aplicación es una excepción. Por ejemplo.

278 • Guía de referencia de interfaz web. como granjas de servidores. Las excepciones de amenazas se suelen configurar cuando se producen falsos positivos. La acción predeterminada se utiliza con amenazas de gravedad baja e informativa. Perfiles de antispyware Objetos > Perfiles de seguridad > Antispyware Puede adjuntar un perfil de antispyware a una política de seguridad para detectar conexiones de “llamada a casa” que se inicien desde spyware instalado en sistemas de su red. puede añadir excepciones de amenazas directamente desde la lista Supervisar > Logs > Amenazas. La página Antispyware muestra un conjunto predeterminado de columnas. consulte “Bloqueo de transacciones”. puede reducir el rigor de la inspección del antispyware del tráfico entre zonas de seguridad de confianza y aprovechar al máximo la inspección del tráfico recibido de Internet o del tráfico enviado a activos protegidos. Para obtener más información. Puede elegir entre dos perfiles de antispyware predefinidos en la política de seguridad. Con objeto de facilitar aún más la gestión de amenazas. Existen más columnas de información disponibles en el selector de columnas. cada firma de amenaza incluye una acción predeterminada especificada por Palo Alto Networks. Cada uno de estos perfiles tiene un conjunto de reglas predefinidas (con firmas de amenazas) organizadas por la gravedad de la amenaza. Por ejemplo. al igual que las firmas de antivirus normales. los hosts que realizan consultas DNS en dominios malware aparecerán en el informe de botnet. Puede añadir amenazas adicionales introduciendo el ID de amenaza y haciendo clic en Añadir. El ajuste de firmas DNS proporciona un método adicional de identificación de hosts infectados en una red. Estas firmas detectan búsquedas DNS concretas de nombres de host asociados con malware.0 Palo Alto Networks . versión 7. puede generar alertas para un conjunto específico de firmas y bloquear todos los paquetes que coincidan con el resto de firmas. tal como especifica Palo Alto Networks al crear la firma. • Predeterminado: El perfil predeterminado utiliza la acción predeterminada para cada firma. Asegúrese de obtener las actualizaciones de contenido más recientes para estar protegido ante las nuevas amenazas y contar con nuevas firmas para cualquier falso positivo. alta y media y la establece como la acción de bloqueo. Los ajustes de Reglas Los ajustes de Excepciones le permiten cambiar la acción de una firma específica. Los ID de amenaza se presentan como parte de la información del log de amenaza. Las firmas DNS se descargan como parte de las actualizaciones de antivirus. alertar o (por defecto) bloquear cuando se observen estas consultas. También puede crear perfiles personalizados. • Estricto: El perfil estricto cancela la acción definida en el archivo de firma para amenazas de gravedad crítica. Además. Aparecerán las excepciones ya especificadas. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas.Perfiles de seguridad Pestaña Excepciones Use la pestaña Excepciones para definir la lista de amenazas que ignorará el perfil de antivirus. Por ejemplo. Campo Descripción ID de amenaza Añada amenazas específicas que deberían ignorarse. Las firmas DNS se pueden configurar para permitir. Consulte “Visualización de logs”.

Utilice únicamente letras. guiones y guiones bajos. espacios. Acción Seleccione una acción para cada amenaza. bajo o informativo). Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación. Pestaña Reglas Nombre de regla Especifique el nombre de la regla. puntos. alto. edite la sección Configuración de ID de contenidos. • Cada grupo de dispositivos en Panorama. lo que significa que la cancelación está habilitada. medio. La casilla de verificación no está seleccionada de manera predeterminada. Configuración de perfil de antispyware Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).0 • 279 . Gravedad Seleccione un nivel de gravedad (crítico. consulte “Acciones en perfiles de seguridad”. Nombre de amenaza Introduzca Cualquiera para buscar todas las firmas o introduzca el texto para buscar cualquier firma con el texto indicado como parte del nombre de la firma. Seleccione paquete único para capturar un paquete cuando se detecta. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Palo Alto Networks Guía de referencia de interfaz web. Para ver una lista de las acciones. la sesión finaliza inmediatamente. a continuación. Para definir el número de paquetes que deben capturarse. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. versión 7. Si cancela la selección de la casilla de verificación. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. desplácese hasta Dispositivo > Configuración > ID de contenido y. Si está definida la opción de bloqueo. Descripción Introduzca una descripción del perfil (hasta 255 caracteres).Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de antispyware: Tabla 144. Captura de paquetes Seleccione la casilla de verificación para capturar paquetes identificados. desplácese hasta Supervisar > Logs > Amenaza. números. Para ver la captura de paquetes. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Este nombre aparece en la lista de perfiles de antispyware cuando se definen políticas de seguridad. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Solo se producirá captura de paquetes si la acción está permitida o alerta.

o seleccionar Todas para responder a todas las amenazas indicadas. Puede añadir hasta 100 direcciones IP por firma. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. versión 7. La lista depende del host. Pestaña firma DNS 280 • Guía de referencia de interfaz web.Perfiles de seguridad Tabla 144.0 Palo Alto Networks . Si las direcciones IP se añaden a una excepción de amenaza. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Configuración de perfil de antispyware (Continuación) Campo Descripción Pestaña Excepciones Excepciones Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. categoría y gravedad seleccionada. Si la lista está vacía. no hay amenazas en las selecciones actuales.

0 • 281 . La consulta DNS coincide con una entrada DNS en la base de datos de firmas DNS. El cliente infectado intenta entonces iniciar una sesión en el host. una IP no usada en otra zona interna. incluso aunque el cortafuegos esté antes de un servidor de DNS local (es decir. el log de amenazas identificará la resolución DNS local como el origen del tráfico en lugar del host infectado. de modo que los clientes que intenten conectarse a dominios malintencionados (mediante comando y control. Seleccione la casilla de verificación para capturar paquetes identificados. La acción sinkhole de DNS ofrece a los administradores un método para identificar hosts infectados en la red usando tráfico DNS. 3. 5. que el cortafuegos no puede ver el originador de una solicitud de DNS). La dirección IP falsificada es la dirección definida en la pestaña Firmas DNS del perfil Antispyware al seleccionar la acción sinkhole. 2. bloquear. Cuando se configura una dirección IP sinkhole. sinkhole o predeterminada (alertar)]. Guía de referencia de interfaz web. Configuración de perfil de antispyware (Continuación) Campo Descripción Acción para consultas de DNS Seleccione la acción que se realizará cuando se hagan búsquedas DNS en sitios conocidos de software malintencionado [permitir. donde el cortafuegos está antes del servidor DNS local. por ejemplo. los clientes infectados pueden ser identificados filtrando los logs de tráfico o generando un informe personalizado que compruebe las sesiones de la dirección IP especificada. de modo que la acción sinkhole se llevará a cabo en la consulta. Tras seleccionar la acción sinkhole. El software malintencionado en el ordenador de un cliente infectado envía una consulta DNS para resolver un host malintencionado en Internet. 4. En una implementación típica. La consulta DNS del cliente se envía a un servidor DNS interno. que resolverá los dominios al host local). Se alerta al administrador de la consulta DNS malintencionada en el log de amenazas. Los hosts infectados pueden identificarse fácilmente en los logs de tráfico porque cualquier host que intente conectarse a la IP sinkhole está infectado casi con toda seguridad con software malintencionado. Si tiene instalada una licencia de prevención de amenazas y tiene habilitado un perfil de antispyware en un perfil de seguridad. las firmas basadas en DNS se activarán en las solicitudes de DNS destinadas a dominios de software malintencionado. A continuación se detalla la secuencia de eventos que se sucederán al habilitar la función sinkhole: Captura de paquetes Palo Alto Networks 1. Las consultas DNS de software malintencionado falsificadas resuelven este problema de visibilidad generando respuestas erróneas a las consultas dirigidas a dominios malintencionados. Es importante seleccionar una dirección IP mediante la cual una sesión tenga que enrutarse a través del cortafuegos para que este pueda ver la sesión. especifique una dirección IPv4 y/o IPv6 que se utilizará como sinkhole (la predeterminada es la IP del loopback. que a su vez realiza una consulta al servidor de DNS público al otro lado del cortafuegos. por ejemplo) intenten conectarse en su lugar a una dirección IP especificada por el administrador. pero usa la dirección IP falsificada en su lugar.Perfiles de seguridad Tabla 144. versión 7. quien puede entonces buscar en los logs de tráfico la dirección IP sinkhole y localizar fácilmente la dirección IP del cliente que intenta iniciar una sesión con la dirección IP sinkhole.

0 Palo Alto Networks . y el tráfico enviado a destinos altamente sensibles. versión 7. Los perfiles personalizados se pueden utilizar para minimizar la comprobación de vulnerabilidades para el tráfico entre zonas de seguridad fiables y para maximizar la protección del tráfico recibido de zonas no fiables. con origen en la resolución recursiva local. que genera una alerta. Los parámetros de Reglas especifican conjuntos de firmas para habilitar. las firmas de comando y control basadas en DNS y WildFire. Para aplicar los perfiles de protección de vulnerabilidades a las políticas de seguridad. Los datos recopilados incluyen consultas DNS no recursivas (es decir. Los ajustes de Excepciones permiten cambiar la respuesta a una firma concreta. como granjas de servidores. ID de amenaza Introduzca manualmente excepciones de firma DNS (intervalo 4000000-4999999). 282 • Guía de referencia de interfaz web. Perfiles de protección de vulnerabilidades Objetos > Perfiles de seguridad > Protección de vulnerabilidades Una política de seguridad puede incluir especificaciones de un perfil de protección de vulnerabilidades que determine el nivel de protección contra desbordamiento de búfer. la función de DNS pasivo utilizará la ruta de servicio de WildFire para enviar la información de DNS a Palo Alto Networks. La información recopilada a través de estos datos se usa para mejorar la precisión y la capacidad para detectar software malintencionado dentro del filtrado de URL PAN-DB (PAN-DB URL filtering). • El perfil estricto aplica la respuesta de bloqueo a todos los eventos de spyware de gravedad crítica. no en clientes individuales) y cargas de paquetes de respuesta. Configuración de perfil de antispyware (Continuación) Campo Descripción Habilitar supervisión de DNS pasivo Se trata de una función opcional que permite al cortafuegos actuar como un sensor DNS pasivo y enviar información de DNS escogida a Palo Alto Networks para que sea analizada y poder mejorar así las funciones de inteligencia y prevención de amenazas. así como las medidas que se deben adoptar cuando se active una firma de un conjunto. Se recomienda habilitar esta función. Para obtener más información. La pestaña Excepción admite funciones de filtrado. Existen más columnas de información disponibles en el selector de columnas. alta y media del servidor y del cliente. puede bloquear todos los paquetes coincidentes con una firma. La opción está deshabilitada de manera predeterminada. consulte “Bloqueo de transacciones”. El equipo de investigación de amenazas de Palo Alto Networks usa esta información para conocer mejor cómo funciona la propagación de software malintencionado y las técnicas de evasión que se aprovechan del sistema DNS. como Internet. Hay dos perfiles predefinidos disponibles para la función de protección de vulnerabilidades: • El perfil predeterminado aplica la acción predeterminada a todas las vulnerabilidades de gravedad crítica. ejecución de código ilegal y otros intentos de explotar las vulnerabilidades del sistema. Cuando el cortafuegos se configura con rutas de servicio personalizadas. No detecta los eventos de protección de vulnerabilidad informativos y bajos.Perfiles de seguridad Tabla 144. alta y media y utiliza la acción predeterminada para los eventos de protección de vulnerabilidad bajos e informativos. La página Protección de vulnerabilidades muestra un conjunto predeterminado de columnas. consulte “Definición de políticas de seguridad”. Por ejemplo. excepto el del paquete seleccionado. Haga clic en la flecha a la derecha de un encabezado de columna y seleccione las columnas en el submenú Columnas.

a continuación. Este nombre aparece en la lista de perfiles de protección de vulnerabilidades cuando se definen políticas de seguridad. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. lado del servidor o (cualquiera). Utilice únicamente letras. El cortafuegos aplica un conjunto de firmas a la regla buscando nombres de firmas para esta cadena de texto. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. lo que significa que la cancelación está habilitada. números. La casilla de verificación no está seleccionada de manera predeterminada.0 • 283 . espacios. Acción Seleccione la acción que deberá realizarse cuando se active la regla. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Pestaña Reglas Nombre de regla Especifique un nombre para identificar la regla. Para ver la acción predeterminada de una firma. desplácese a Objetos > Perfiles de seguridad > Protección de vulnerabilidades y haga clic en Añadir o seleccione un perfil existente. haga clic en Mostrar todas las firmas. • Cada grupo de dispositivos en Panorama. Para ver una lista de las acciones. Si cancela la selección de la casilla de verificación. versión 7. La acción Predeterminada se basa en la acción por defecto que forma parte de cada firma proporcionada por Palo Alto Networks. puntos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Nombre de amenaza Especifique una cadena de texto para buscar. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Host Palo Alto Networks Especifique si desea limitar las firmas de la regla a las del lado del cliente. guiones y guiones bajos. Aparecerá una lista de todas las firmas y verá una columna Acción. Si cancela la selección de la casilla de verificación. Guía de referencia de interfaz web. Configuración del perfil de protección de vulnerabilidades Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). consulte “Acciones en perfiles de seguridad”. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Haga clic en la pestaña Excepciones y.Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección de vulnerabilidades: Tabla 145.

Solo se producirá captura de paquetes si la acción está permitida o alerta. a continuación. Si está definida la opción de bloqueo.Perfiles de seguridad Tabla 145. o bien seleccione la opción captura extendida para capturar de 1 a 50 paquetes. medio. Para ver la captura de paquetes. donde aaaa es el año y xxxx es un identificador único. Puede realizar una búsqueda de cadenas en este campo. para buscar Microsoft en el año 2009. desplácese hasta Supervisar > Logs > Amenaza. Por ejemplo. bajo. la sesión finaliza inmediatamente. Para definir el número de paquetes que deben capturarse. 284 • Guía de referencia de interfaz web. edite la sección Configuración de ID de contenidos. alto o crítico) si desea limitar las firmas a las coincidentes con los niveles de gravedad especificados. Lista CVE Especifique las vulnerabilidades y exposiciones comunes (CVE) si desea limitar las firmas a las que también coinciden con las CVE especificadas. Cada CVE tiene el formato CVE-aaaa-xxxx. introduzca “MS09”. introduzca “2011”. busque la entrada del log que le interesa y haga clic en la flecha verde hacia abajo de la segunda columna. Seleccione paquete único para capturar un paquete cuando se detecta. Gravedad Seleccione el nivel de gravedad (informativo. ID de proveedor Especifique el ID del proveedor si desea limitar las firmas a las coincidentes con la de los Id de los proveedores especificados. donde aa es el año en formato de dos dígitos y xxx es el identificador único.0 Palo Alto Networks . versión 7. Por ejemplo. desplácese hasta Dispositivo > Configuración > ID de contenido y. los ID de proveedor de Microsoft tienen el formato MSaa-xxx. Categoría Seleccione una categoría de vulnerabilidad si desea limitar las firmas a las que coinciden con esa categoría. Por ejemplo. para buscar las vulnerabilidades del año 2011. La captura extendida ofrece mucho más contexto de la amenaza al analizar los logs de amenazas. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Captura de paquetes Descripción Seleccione la casilla de verificación para capturar paquetes identificados.

versión 7. Seleccione una acción de la lista desplegable o seleccione una opción de la lista desplegable Acción en la parte superior de la lista para aplicar la misma acción a todas las amenazas. destino u origen-destino. aparecerán todas las firmas.Perfiles de seguridad Tabla 145. La acción predeterminada se muestra entre paréntesis. o seleccionar Todas para responder a todas las amenazas indicadas. Los umbrales se pueden aplicar en una IP de origen. solo se mostrarán las firmas que son excepciones.0 • 285 . categoría y gravedad seleccionada. IP de destino o una combinación de IP de origen y destino. Si la casilla de verificación Mostrar todo está seleccionada. Si la casilla de verificación Mostrar todo no está seleccionada. Estos identificadores únicos y comunes son para vulnerabilidades de seguridad de información públicamente conocidas. Configuración del perfil de protección de vulnerabilidades (Continuación) Campo Descripción Pestaña Excepciones Amenazas Seleccione la casilla de verificación Habilitar para cada amenaza a la que desee asignar una acción. Palo Alto Networks Guía de referencia de interfaz web. si la firma está activada por una sesión con la IP de origen y destino con una IP coincidente en la excepción. Si las direcciones IP se añaden a una excepción de amenaza. La lista depende del host. La columna CVE muestra los identificadores de vulnerabilidades y exposiciones comunes (CVE). el ID de amenaza 40001 se activa en un ataque de fuerza bruta de FTP. Puede añadir hasta 100 direcciones IP por firma. no hay amenazas en las selecciones actuales. Puede especificar el número de resultados por unidad de tiempo y si se aplicarán los umbrales de origen. Con esta opción no tiene que crear una nueva regla de política y un nuevo perfil de vulnerabilidad para crear una excepción para una dirección IP concreta. Los umbrales están preconfigurados para firmas de fuerza bruta y se pueden modificar haciendo clic en el icono de lápiz junto al nombre de la amenaza de la pestaña Vulnerabilidad (con la opción Personalizada seleccionada). por ejemplo. La base de datos de firma de vulnerabilidad contiene firmas que indican un ataque de fuerza bruta. Utilice la columna Excepciones de dirección IP para añadir filtros de dirección IP a una excepción de amenaza. la acción de excepción de la amenaza de esa firma solo sustituirá a la acción de la regla. Seleccione la casilla de verificación Captura de paquetes si desea capturar paquetes identificados. Si la lista está vacía. Las firmas de fuerza bruta se activan cuando se produce una condición en un determinado umbral temporal.

se permitirán todas las URL. se bloquearán todas las URL. Este nombre aparece en la lista de perfiles de filtrado de URL cuando se definen políticas de seguridad. Para crear categorías de URL personalizadas con sus propias listas de URL. Si cancela la selección de la casilla de verificación. También puede definir una “lista de bloqueo” de sitios web que esté siempre bloqueada (o que generen alertas) y una “lista de permiso” de sitios web que esté siempre permitida. 286 • Guía de referencia de interfaz web. guiones y guiones bajos. Para aplicar los perfiles de filtrado de URL a las políticas de seguridad. Si cancela la selección de la casilla de verificación. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 Palo Alto Networks . el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Utilice únicamente letras. no solo las categorías de URL definidas para bloquearse. Configuración de perfil de filtrado de URL Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. Si elige Permitir. Nota: Si usa la base de datos BrightCloud y define esta opción para bloquear al vencimiento de la licencia. versión 7. consulte “Categorías de URL personalizadas”. • Cada grupo de dispositivos en Panorama. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si usa PAN-DB. Las siguientes tablas describen la configuración de perfil de filtrado de URL: Tabla 146.Perfiles de seguridad Perfiles de filtrado de URL Objetos > Perfiles de seguridad > Filtrado de URL Una política de seguridad puede incluir la especificación de un perfil de filtrado de una URL que bloquee el acceso a sitios web y a categorías de sitios web específicas. espacios. que aplique Safe Search o que genere una alerta cuando se accede a sitios web concretos (se requiere una licencia de filtrado de URL). números. • Permitir: Permite el acceso a todos los sitios web. el filtrado de URL seguirá funcionando y las categorías de URL que se encuentran en caché actualmente se usarán para bloquear o permitir en función de su configuración. lo que significa que la cancelación está habilitada. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). consulte “Definición de políticas de seguridad”. Categorías (configurable solo para BrightCloud) Acción tras el vencimiento de la licencia Seleccione la medida que se adoptará si vence la licencia de filtrado de URL: • Bloquear: Bloquea el acceso a todos los sitios web.

"yahoo". “www.com (Los testigos son: "*". debe incluir “*.paloaltonetworks. Por ejemplo. + Toda cadena separada por el carácter anterior se considera un testigo. Palo Alto Networks Guía de referencia de interfaz web.y*.yahoo. pero añade una alerta al log de URL. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de bloqueadas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee bloquear o cuyas alertas desee generar. versión 7. "*" and "com") www.paloaltonetworks. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista.com”.*. los siguientes patrones son válidos: *. La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”). • Bloquear: Bloquea el acceso al sitio web.yahoo. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *.133.com”. Por ejemplo. • Alertar: Permite al usuario acceder al sitio web. Los siguientes caracteres se consideran separadores: . / ? & = .com • 198.com (Los testigos son: "www".com” y “paloaltonetworks.219.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. "search". "yahoo" y "com") www.com Acción Seleccione la medida que se adoptará cuando se acceda a un sitio web de la lista de bloqueo. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña. Introduzca las URL una a una.paloaltonetworks. Las entradas de la lista de bloqueo deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas.com www.com” es diferente de “paloaltonetworks. Ejemplos: • www.0 • 287 .com/search=* (Los testigos son: "www". • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada.Perfiles de seguridad Tabla 146. Si desea bloquear el dominio entero. "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo.yahoo. ww*. "com".

Nota: Las páginas Continuar y Cancelar no se mostrarán correctamente en máquinas cliente configuradas para utilizar un servidor proxy. • Permitir: Permite al usuario acceder al sitio web. "*") Los siguientes patrones no son válidos porque el carácter “*” no es el único carácter en el testigo.com www. Categoría/Acción Seleccione. Por ejemplo.paloaltonetworks. debe incluir “*.com • 198. pero añade una alerta al log de URL. Los siguientes caracteres se consideran separadores: . La contraseña y otros ajustes de cancelación se especifican en el área de cancelación de administrador de URL de la página Configuración (consulte la tabla Configuración de gestión en “Definición de la configuración de gestión”).com” y “paloaltonetworks.219.paloaltonetworks. 288 • Guía de referencia de interfaz web.133.com (Los testigos son: "www". Introduzca una dirección IP o URL en cada línea. • Cancelar: Permite al usuario acceder a la página bloqueada después de introducir una contraseña.com/search=* (Los testigos son: "www". “www.paloaltonetworks.com” es diferente de “paloaltonetworks.com (Los testigos son: "*". / ? & = . "yahoo" y "com") www. versión 7. Importante: Debe omitir la parte “http y https” de las URL cuando añada los sitios web a la lista. "yahoo". los siguientes patrones son válidos: *. Las entradas de la lista de permitidas deben ser una coincidencia completa y no distinguen entre mayúsculas y minúsculas.com”.0 Palo Alto Networks . • Alertar: Permite al usuario acceder al sitio web.25/en/US Las listas de bloqueadas y permitidas admiten patrones de comodines. ww*. "*" and "com") www. + Toda cadena separada por el carácter anterior se considera un testigo. "com". • Continuar: Permite al usuario continuar a la página bloqueada después de hacer clic en Continuar en la página bloqueada.yahoo. Si desea permitir el dominio entero. "search". Por ejemplo.yahoo.*. Un testigo puede ser cualquier número de caracteres ASCII que no contenga un carácter separador o *. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Lista de permitidas Introduzca las direcciones IP o los nombres de la ruta URL de los sitios web que desee permitir o cuyas alertas desee generar.com Esta lista tiene prioridad sobre las categorías de sitios web seleccionados. • Bloquear: Bloquea el acceso al sitio web.yahoo. Ejemplos: • www.com”. la medida que se adoptará cuando accede a un sitio web de esa categoría.Perfiles de seguridad Tabla 146.y*. para cada categoría.

configure el perfil de filtrado de URL para que bloquee la categoría de los motores de búsqueda y que se puedan permitir Bing.co. Esta opción se activa si la base de datos local no puede categorizar la URL. Yandex o YouTube) vean los resultados de búsqueda. la opción de bloqueo para el ajuste de búsqueda también debe estar habilitada. Google. Para usar esta función. Yandex y YouTube. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Comprobar categoría de URL Haga clic para acceder al sitio web donde podrá introducir una URL o dirección IP para ver información de categorización.Perfiles de seguridad Tabla 146. Yahoo. Si un usuario realiza una búsqueda usando uno de estos motores y su explorador o motor de búsqueda no tiene configurada la opción búsqueda segura en la opción estricta. Valor predeterminado: Habilitado Habilitar forzaje de búsquedas seguras Seleccione esta casilla de verificación para forzar el filtrado de búsquedas seguras estricto. Para forzar la búsqueda segura. Consulte la Guía del administrador de PAN-OS para obtener más información. Para evitar que los usuarios omitan esta función usando otros proveedores de búsquedas. Y. Valor predeterminado: Deshabilitado Al habilitarla. debe añadirse el perfil a una política de cifrado. Valor predeterminado: Deshabilitado Si la URL no se resuelve después de que aparezca la ventana de tiempo de espera de 5 segundos. a menos que tengan definida la opción de búsqueda segura estricta en sus exploradores para estos motores de búsqueda. los resultados de búsqueda serán bloqueados (dependiendo de la acción definida en el perfil) y se pedirá al usuario que defina la opción estricta en la configuración de búsqueda segura. La habilidad del cortafuegos para detectar la configuración de búsquedas seguras dentro de estos tres proveedores se actualizará usando la actualización de firma Aplicaciones y amenazas. Además. Google. Palo Alto Networks Guía de referencia de interfaz web.0 • 289 . (configurable solo para BrightCloud) Con PAN-DB. Si un proveedor cambia el método de configuración de búsquedas seguras que usa Palo Alto Networks para detectar estas configuraciones. Yahoo. versión 7. no es necesaria una licencia de filtrado de URL.jp) mientras está registrado en su cuenta de Yahoo!. Nota: Si está realizando una búsqueda en Yahoo Japan (yahoo. Filtrado de URL dinámica Seleccione para activar las búsquedas en la nube y categorizar la URL. esta opción está habilitada de forma predeterminada y no es configurable. Página de contenedor de log únicamente Seleccione la casilla de verificación para incluir en el log únicamente las URL que coinciden con el tipo de contenido especificado. debe añadirse el perfil a la política de seguridad. para activar la búsqueda segura para los sitios cifrados (HTTPS). la respuesta aparece como “URL no resuelta”. no Palo Alto Networks. esta opción evitará que los usuarios que realicen búsquedas en Internet usando uno de los tres principales proveedores de búsquedas (Bing. la evaluación para determinar si un sitio se considera seguro o no la realizan los proveedores de búsquedas. se llevará a cabo una actualización de firmas para garantizar que se detecta la configuración adecuadamente.

donde serán analizados para buscar comportamientos malintencionados. • X-Forwarded-For: Opción del campo de encabezado que conserva la dirección IP del usuario que ha solicitado la página web. Esta información se envía en la solicitud de HTTP al servidor. El valor Agente-usuario del log admite hasta 1024 caracteres. Para aplicar los perfiles de bloqueo de archivo a las políticas de seguridad. La Tabla 148 enumera los formatos de archivo compatibles en el momento de esta publicación. Es especialmente útil si tiene un servidor proxy en su red o ha implementado NAT de origen. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). • Sitio de referencia: URL de la página web que enlazaba el usuario a otra página web. Este nombre aparece en la lista de perfiles de bloqueo de archivos cuando se definen políticas de seguridad. consulte “Definición de políticas de seguridad”. Utilice únicamente letras. Cuando están activados. Por ejemplo. los tipos de archivos compatibles se enviarán a WildFire. El valor del sitio de referencia en el log admite hasta 256 caracteres. 290 • Guía de referencia de interfaz web. el agente-usuario puede ser Internet Explorer o Firefox. algo que enmascara la dirección IP del usuario de tal forma que todas las solicitudes parecen originarse desde la dirección IP del servidor proxy o una dirección IP común. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Perfiles de bloqueo de archivo Objetos > Perfiles de seguridad > Bloqueo de archivo Una política de seguridad puede incluir la especificación de un perfil de bloqueo de archivos que impida que los tipos de archivos seleccionados se carguen y/o descarguen. números. espacios. para ver la lista más actualizada. Le permite identificar la dirección IP del usuario. guiones y guiones bajos. haga clic en Añadir en el campo Tipos de archivo del cuadro de diálogo Perfil de bloqueo de archivo.0 Palo Alto Networks . Configuración de perfil de bloqueo de archivo Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). o que genere una alerta cuando se detecten. Las siguientes tablas describen la configuración de perfil de bloqueo de archivo: Tabla 147. El valor de x reenviado para en el log admite hasta 128 caracteres. Si se selecciona la acción Reenviar. dado que en una actualización de contenido se puede añadir una nueva compatibilidad con un tipo de archivo.Perfiles de seguridad Tabla 146. se trata del origen que ha redirigido (referencia) al usuario a la página web que se está solicitando. Configuración de perfil de filtrado de URL (Continuación) Campo Descripción Logging de la cabecera HTTP La activación del logging de la cabecera HTTP proporciona visibilidad sobre los atributos incluidos en la solicitud de HTTP enviada a un servidor. versión 7. Sin embargo. uno o varios de los siguientes pares de valores de atributos se graban en el log de filtrado de URL: • Agente-usuario (User-Agent): El navegador web que utilizaba el usuario para acceder a la URL.

el tráfico que coincida con la política de seguridad no fluirá hacia el cortafuegos debido al hecho de que los usuarios no verán una página que les pregunte si desean continuar. especifique los siguientes ajustes y haga clic en Añadir: • Nombre: Introduzca un nombre para la regla (hasta 31 caracteres). – Continuar y reenviar: Aparece una página de continuación y el archivo se envía a WildFire (combina las acciones Continuar y Reenviar).0 • 291 . Esta acción solo funciona con tráfico basado en web. Si elige cualquier otra aplicación. • Cada grupo de dispositivos en Panorama. • Aplicaciones: Seleccione las aplicaciones a las que afectará la regla o seleccione Cualquiera. – Continuar: Aparecerá un mensaje para el usuario indicando que se ha solicitado una descarga y le pide confirmación para continuar. La casilla de verificación no está seleccionada de manera predeterminada. Configuración de perfil de bloqueo de archivo (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Cuando crea un perfil de bloqueo de archivos con la acción Continuar o Continuar y reenviar (utilizado para el reenvío de WildFire). Palo Alto Networks Guía de referencia de interfaz web.Perfiles de seguridad Tabla 147. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Esto se debe al hecho de que un usuario debe hacer clic en continuar antes de que el archivo se reenvíe y la opción de página de respuesta de continuación solo está disponible con http/https. Si cancela la selección de la casilla de verificación. El propósito es advertir al usuario de una posible descarga desconocida (también se conocen como descargas drive-by) y darle al usuario la opción de continuar o detener la descarga. Si cancela la selección de la casilla de verificación. – Bloquear: El archivo se bloquea. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. – Reenviar: El archivo se envía automáticamente a WildFire. únicamente puede elegir la aplicación navegación web. versión 7. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Para añadir una regla. • Acción: Seleccione la medida que se adoptará cuando se detecten archivos de los tipos seleccionados: – Alertar: Se añade una entrada al log de amenazas. lo que significa que la cancelación está habilitada. Reglas Defina una o más reglas para especificar la medida que se adoptará (si se especifica alguna) para los tipos de archivos seleccionados. • Tipos de archivos: Seleccione los tipos de archivo que desea bloquear o para los que desee generar alertas. • Dirección: Seleccione la dirección de la transferencia de archivos (Cargar. Descargar o Ambos).

receptor y asunto) de los mensajes de correo electrónico que atraviesan el cortafuegos. Si determina que la página es benigna. WildFire visita los enlaces para determinar si la página web correspondiente alberga alguna explotación. reenvía ni ve el mensaje de correo electrónico. el cortafuegos extrae los enlaces de HTTP/ HTTPS contenidos en los mensajes de correo electrónico POP3 y SMTP y los envía a la nube de WildFire para su análisis (esta función no está admitida en el dispositivo WF-5000 WildFire). no recibe. se genera un informe de análisis detallado de WildFire en el log de presentaciones de WildFire y la URL se añade a PAN-DB.0 Palo Alto Networks . versión 7. Si el enlace es malintencionado. Observe que el cortafuegos solo extrae enlaces e información de sesión asociada (emisor. Después de recibir un enlace de correo electrónico de un cortafuegos. encrypted-doc Documento cifrado de Microsoft Office encrypted-docx Documento cifrado de Microsoft Office 2007 encrypted-office2007 Archivo cifrado de Microsoft Office 2007 encrypted-pdf Documento cifrado de Adobe PDF encrypted-ppt Documento cifrado de Microsoft PowerPoint encrypted-pptx Documento cifrado de Microsoft PowerPoint 2007 encrypted-rar Archivo cifrado rar encrypted-xls Archivo cifrado de Microsoft Office Excel encrypted-xlsx Archivo cifrado de Microsoft Office Excel 2007 encrypted-zip Archivo cifrado zip exe Ejecutable de Microsoft Windows 292 • Guía de referencia de interfaz web.Perfiles de seguridad Tabla 148. almacena. Formatos de archivo compatibles con bloqueo de archivos Campo Descripción apk Archivo de paquete de aplicaciones Android avi Archivo de vídeo basado en el formato Microsoft AVI (RIFF) avi-divx Archivo de vídeo AVI codificado con el códec DivX avi-xvid Archivo de vídeo AVI codificado con el códec XviD bat Archivo por lotes MS DOS bmp-upload Archivo de imagen de mapa de bits (carga únicamente) cab Archivo comprimido de Microsoft Windows cdr Archivo de Corel Draw class Archivo bytecode de Java cmd Archivo de comandos de Microsoft dll Biblioteca de vínculos dinámicos de Microsoft Windows doc Documento de Microsoft Office docx Documento de Microsoft Office 2007 dpx Archivo Digital Picture Exchange dsn Archivo Database Source Name dwf Archivo Design Web Format de Autodesk dwg Archivo Autodesk AutoCAD edif Archivo Electronic Design Interchange Format email-link Al enviar el tipo de archivo email-link. no se enviará ninguna entrada de log al cortafuegos.

tlb) pgp Clave de seguridad o firma digital cifrada con software PGP pif Archivo de información de programas de Windows con instrucciones ejecutables pl Archivo de comandos Perl Palo Alto Networks Guía de referencia de interfaz web. docx. El archivo SWC es un paquete comprimido de componentes SWF. cpl.0 • 293 . Los archivos pueden estar comprimidos varias veces con la intención de ocultar el tipo de archivo original y evadir la detección de contenido malintencionado. rtf. texto. se recomienda que seleccione el grupo “msoffice” para asegurarse de que se identificarán todos los tipos de archivos de MS Office admitidos en lugar de seleccionar individualmente cada tipo de archivo.Perfiles de seguridad Tabla 148. Varios niveles de codificación de archivo pueden indicar un comportamiento sospechoso. pst. vídeo y sonido en Internet. com. Codificación multinivel Archivo que se ha codificado cinco o más veces. xlsx). scr. sin embargo. el cortafuegos descodifica e identifica los archivos que se han codificado hasta cuatro veces. sys. puede utilizar este tipo de archivo para bloquear los archivos que el cortafuegos no descodifique debido a que estén codificados cinco o más veces. ocx Archivo Microsoft ActiveX pdf Archivo Adobe Portable Document PE Microsoft Windows Portable Executable (exe. ocx. El archivo SWF suministra gráficos de vector. Si quiere que el cortafuegos bloquee/reenvíe archivos de MS Office. pptx. pub. dll. este contenido se ve en el reproductor Adobe Flash. xls. drv. versión 7. ppt. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción flash Incluye los tipos de archivo de Adobe Shockwave Flash SWF y SWC. De manera predeterminada. flv Archivo de Adobe Flash Video gds Archivo Graphics Data System gif-upload Archivo de imagen GIF (carga únicamente) gzip Archivos comprimidos con la aplicación gzip hta Archivo de aplicación HTML iso Imagen de disco según la normativa ISO-9660 iwork-keynote Documentos de iWork Keynote de Apple iwork-numbers Documentos de iWork Numbers de Apple iwork-pages Documentos de iWork Pages de Apple jar Archivo Java jpeg-upload Archivo de imagen JPG/JPEG (carga únicamente) lnk Acceso directo a archivo de Microsoft Windows lzh Archivo comprimido con la utilidad/algoritmo lha/lhz mdb Archivo Microsoft Access Database mdi Archivo Microsoft Document Imaging mkv Archivo Matroska Video mov Archivo Apple Quicktime Movie mp3 Archivo de audio MP3 mp4 Archivo de audio MP4 mpeg Archivo de audio y vídeo con la compresión MPEG-1 o MPEG-2 msi Archivo paquete de Microsoft Windows Installer msoffice Archivo de Microsoft Office (doc.

se descomprime con la utilidad uncompress zip Archivo Winzip/pkzip Perfiles de análisis de WildFire Objetos > Perfiles de seguridad > Análisis de WildFire Utilice un perfil de análisis de WildFire para especificar que se realice un análisis de archivos de WildFire localmente en el dispositivo WildFire o en la nube de WildFire. Después de crear un perfil de análisis de WildFire. Formatos de archivo compatibles con bloqueo de archivos (Continuación) Campo Descripción png-upload Archivo de imagen PNG (carga únicamente) ppt Presentación en Microsoft Office PowerPoint pptx Presentación en Microsoft Office PowerPoint 2007 psd Documento de Adobe Photoshop rar Archivo comprimido creado con winrar reg Archivo de registro de Windows rm Archivo RealNetworks Real Media rtf Archivo de documento de formato de texto enriquecido de Windows sh Archivo de comandos Shell de Unix stp Archivo de gráficos estándar para el intercambio de datos de modelo de productos en 3D tar Archivo comprimido tar de Unix tdb Archivo Tanner Database (www. 294 • Guía de referencia de interfaz web.Perfiles de seguridad Tabla 148. añadir el perfil a una política (Políticas > Seguridad) le permite aplicar los ajustes de perfil a cualquier tráfico que coincida con esa política (por ejemplo. una categoría de URL definida en la política). versión 7.com) tif Archivo Windows Tagged Image torrent Archivo de BitTorrent wmf Metaarchivo de Windows para guardar imágenes de vectores wmv Archivo de vídeo Windows Media wri Archivo de documento de Windows Write wsf Archivo de comandos de Windows xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel zcompressed Archivo Z comprimido en Unix. la aplicación o la dirección de transmisión del archivo (carga o descarga).tannereda.0 Palo Alto Networks . Puede especificar que el tráfico se reenvíe a la nube pública o a la nube privada en función del tipo de archivo.

0 • 295 . El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. • Añada una Aplicación para que el tráfico de cualquier aplicación coincida con la regla y se reenvíe al destino de análisis especificado. guiones y guiones bajos. Reglas Defina una o más reglas para especificar que el tráfico se reenvíe a la nube pública de WildFire o al dispositivo WildFire (nube privada) para su análisis. • Seleccione un Tipo de archivo para su análisis en el destino de análisis definido para la regla. puede describir las reglas de perfil o el uso previsto del perfil (hasta 255 caracteres). Este nombre aparecerá en la lista de perfiles de análisis de WildFire entre los que puede elegir al definir una política de seguridad. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Configuración de perfil de análisis de WildFire Campo Descripción Nombre Introduzca un nombre descriptivo para el perfil de análisis de WildFire (hasta 31 caracteres). Para aplicar los perfiles de filtrado de datos a las políticas de seguridad. Descripción Opcionalmente. Si cancela la selección de la casilla de verificación. • Aplique la regla al tráfico dependiendo de la Dirección de la transmisión. • Seleccione el Destino del tráfico que se reenviará para su análisis: – Seleccione la nube pública para que todo el tráfico que coincida con la regla se reenvíe a la nube pública de WildFire para su análisis. • Cada grupo de dispositivos en Panorama. Utilice únicamente letras.Perfiles de seguridad Tabla 149. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. espacios. Puede aplicar la regla para cargar tráfico. descargar tráfico o ambas acciones. consulte “Definición de políticas de seguridad”. Si cancela la selección de la casilla de verificación. Palo Alto Networks Guía de referencia de interfaz web. Perfiles de filtrado de datos Objetos > Perfiles de seguridad > Filtrado de datos Una política de seguridad puede incluir la especificación de un perfil de filtrado de datos que ayuda a identificar información confidencial como números de tarjetas de crédito o de la seguridad social y que evita que dicha información salga del área protegida por el cortafuegos. versión 7. números. • Introduzca un Nombre descriptivo para cada regla que añada al perfil (hasta 31 caracteres). – Seleccione la nube privada para que todo el tráfico que coincida con la regla se reenvíe al dispositivo de WildFire para su análisis.

guiones y guiones bajos. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Tipos de archivos Especifique los tipos de archivos que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todos los tipos de archivos enumerados. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Captura de datos Seleccione la casilla de verificación para recopilar automáticamente los datos bloqueados por el filtro. Esta selección no bloquea todas las aplicaciones posibles. Utilice únicamente letras. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. • Haga clic en Añadir para especificar aplicaciones individuales. Si cancela la selección de la casilla de verificación. solo las enumeradas. Esta selección no bloquea todos los posibles tipos de archivo. espacios. Especifique una contraseña para Gestionar protección de datos en la página Configuración para ver sus datos capturados. Consulte “Definición de la configuración de gestión”. Tabla 151. números. solo los enumerados. • Haga clic en Añadir para especificar tipos de archivos individuales. Para añadir un patrón de datos.Perfiles de seguridad Las siguientes tablas describen la configuración de perfil de filtrado de datos: Tabla 150. haga clic en Añadir y especifique la siguiente información. versión 7. 296 • Guía de referencia de interfaz web. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Configuración de perfiles de filtrado de datos Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). La casilla de verificación no está seleccionada de manera predeterminada. Aplicaciones Especifique las aplicaciones que se incluirán en la regla de filtrado: • Seleccione Cualquiera para aplicar el filtro a todas las aplicaciones enumeradas. • Cada grupo de dispositivos en Panorama.0 Palo Alto Networks . el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Configuración de patrones de datos Campo Descripción Patrón de datos Seleccione un patrón de datos existente de la lista desplegable Patrón de datos o configure un nuevo patrón seleccionando Patrón de datos de la lista y especificando la información descrita en “Definición de patrones de datos”. lo que significa que la cancelación está habilitada. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. Si cancela la selección de la casilla de verificación.

Estos perfiles se adjuntan a políticas de protección de DoS para permitirle controlar el tráfico entre interfaces. Los siguientes mecanismos de protección de zona y de DoS se desactivarán en la zona externa: • Cookies SYN • Fragmentación de IP • ICMPv6 Para activar la fragmentación IP y la protección ICMPv6. Umbral de bloqueo Especifique el valor que activará el bloqueo. direcciones y países según sesiones agregadas o direcciones IP únicas de origen o o destino. zonas.0 • 297 . la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5. Perfiles DoS Objetos > Perfiles de seguridad > Protección DoS Los perfiles de protección DoS están diseñados para una selección muy precisa y los perfiles de protección de zona de aumento. consulte “Definición de políticas DoS”. Umbral de alerta Especifique el valor que activará la alerta. puede aplicar un perfil de protección Inundación SYN con Descarte aleatorio temprano o Cookies SYN. debe crear un perfil de protección de zona separado para la puerta de enlace compartida. Por ejemplo si tiene un umbral de 100 con un peso de SSN de 5. solo Descarte aleatorio temprano está disponible para la protección contra inundaciones SYN Palo Alto Networks Guía de referencia de interfaz web. versión 7. Si tiene un entorno de sistema virtual múltiple y ha activado lo siguiente: • Zonas externas para permitir la comunicación entre sistemas virtuales • Puertas de enlace compartidas para permitir que los sistemas virtuales compartan una interfaz común y una dirección IP para las comunicaciones externas. la regla necesitará detectar al menos 20 patrones SSN antes de activar la regla (20 instancias x 5 de peso = 100). Configuración de patrones de datos (Continuación) Campo Descripción Dirección Especifique si desea aplicar el filtro en la dirección de la carga. en una zona externa. descarga o ambas. El perfil DoS especifica los tipos de acciones y los criterios de coincidencia para detectar un ataque de DoS. Para aplicar perfiles DoS a políticas DoS.Perfiles de seguridad Tabla 151. Para protegerse contra inundaciones SYN en una puerta de enlace compartida.

Por ejemplo. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. espacios. IP de destino. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. • Clasificado: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplen el criterio de clasificación (IP de origen. números. Utilice únicamente letras. lo que significa que la cancelación está habilitada. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. 298 • Guía de referencia de interfaz web. una regla de agregación con un umbral de inundación SYN de 10000 paquetes por segundo (pps) cuenta todos los paquetes que cumplen esa regla DoS concreta. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. guiones y guiones bajos. Tipo Especifique uno de los tipos de perfil siguientes: • Agregar: Aplica los umbrales DoS configurados en el perfil a todos los paquetes que cumplan los criterios de la regla en la que se aplica el perfil. Configuración del perfil de protección DoS Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. versión 7. La casilla de verificación no está seleccionada de manera predeterminada. Si cancela la selección de la casilla de verificación. Si cancela la selección de la casilla de verificación. Descripción Introduzca una descripción del perfil (hasta 255 caracteres). Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.Perfiles de seguridad Las siguientes tablas describen la configuración del perfil de protección DoS: Tabla 152.0 Palo Alto Networks . o IP de origen y destino). • Cada grupo de dispositivos en Panorama.

Otros objetos de las políticas Tabla 152. • Etiquetas para ordenar y filtrar objetos. • Tasa máxima: Especifique la tasa a la que los paquetes se descartarán o se bloquearán. 10000 pps).0 • 299 . Máx. Palo Alto Networks Guía de referencia de interfaz web. por defecto. Consulte “Aplicaciones”. 10000 pps). • Filtros de aplicación que permiten simplificar búsquedas. • Activar tasa: Seleccione la tasa (pps) a la que se activará la respuesta DoS (intervalo 0-2000000 pps. este límite se aplica a todo el tráfico clasificado (IP de origen. o IP de origen y destino) que cumple la regla DoS en la que se aplica el perfil DoS. Consulte “Etiquetas”. Otras pestañas secundarias • Tasa de alarma: Seleccione la tasa (pps) a la que se genera la alarma DoS (intervalo 0-2000000 pps. Consulte “Filtros de aplicación”. Los paquetes que lleguen durante la duración del bloqueo no afectarán al recuento para activar las alertas. Los siguientes tipos de objetos son compatibles: • Direcciones y grupos de direcciones para determinar el ámbito de la política. de forma que no sea necesario cancelar conexiones en presencia de un ataque de inundación SYN. Pestaña Protección de recursos Sesiones Seleccione la casilla de verificación para habilitar la protección de los recursos. Otros objetos de las políticas Los objetos de las políticas son los elementos que le permiten construir. • Aplicaciones y grupos de aplicaciones que permiten especificar cómo se tratan las aplicaciones de software en las políticas. Configuración del perfil de protección DoS (Continuación) Campo Descripción Pestaña Protección contra inundaciones Pestaña secundaria Inundación SYN Seleccione la casilla de verificación para activar la protección de inundación SYN y especificar los siguientes ajustes: Pestaña secundaria Inundación de UDP • Acción: (Inundación SYN únicamente) Seleccione entre las siguientes opciones: – Descarte aleatorio temprano: Descarta paquetes de forma aleatoria antes de alcanzar el límite DoS. programar y buscar políticas. por defecto. Nota: Si define límites de umbral de paquetes por segundo (pps) de perfiles de protección de zonas. Consulte “Servicios”. el umbral se basa en los paquetes por segundo que no coinciden con ninguna sesión establecida previamente. • Duración del bloqueo: Especifique la duración (en segundos) durante la que los paquetes infractores se denegarán. este límite se aplica a todo el tráfico entrante que cumple la regla DoS en la que se aplica el perfil DoS. de límites simultáneos Especifique el número máximo de sesiones simultáneas. IP de destino. Pestaña secundaria Inundación de ICMP – Cookies SYN: Utilice esta opción para generar confirmaciones. Si el tipo de perfil DoS es de clasificación. Si el tipo de perfil DoS es de agregación. Consulte “Definición de grupos de direcciones”. versión 7. • Servicios y grupos de servicios que limitan los números de puertos.

Configuración de nuevas direcciones Campo Descripción Nombre Introduzca un nombre que describe las direcciones que se definirán (de hasta 63 caracteres). espacios. el objeto de dirección únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Le permite reutilizar el mismo objeto como dirección de origen o destino en todas las bases de reglas de políticas sin tener que añadirlas cada vez de forma manual. Se configura usando la interfaz web o la CLI y se requiere una operación de compilación para hacer que el objeto forme parte de la configuración. Consulte “Reenvío de logs”. Si cancela la selección de la casilla de verificación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la dirección en grupos de dispositivos descendientes cancelando sus valores heredados.Otros objetos de las políticas • Patrones de datos para definir categorías de información confidencial para políticas de filtrado de datos. guiones y guiones bajos. • Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación. 300 • Guía de referencia de interfaz web. Consulte “Categorías de URL personalizadas”. • Programaciones para especificar cuándo están las políticas activas. La casilla de verificación no está seleccionada de manera predeterminada. consulte “Traslado o duplicación de una política o un objeto”. números. • Categorías URL personalizadas que contienen sus propias listas de URL que se incluyen como grupo en perfiles de filtrado URL. Compartido Seleccione esta casilla de verificación si quiere que el objeto de dirección esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. • Amenazas de spyware y vulnerabilidad que permiten respuestas detalladas a las amenazas. Consulte “Patrones de datos”. Consulte “Grupos de perfiles de seguridad”. Definición de objetos de direcciones Objetos > Direcciones Un objeto de dirección puede incluir una dirección IPv4 o IPv6 (dirección IP simple. Utilice únicamente letras. el objeto de dirección únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. subred) o FQDN. intervalo. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad.0 Palo Alto Networks . haga clic en Añadir y cumplimente los siguientes campos. Tabla 153. versión 7. • Reenvío de log para especificar configuraciones de log. Para trasladar o duplicar objetos. lo que significa que la cancelación está habilitada. Descripción Introduzca una descripción del objeto (hasta 255 caracteres). Para definir un objeto de dirección. Consulte “Ajustes de descifrado SSL en un perfil de descifrado”.

Si desea más información sobre etiquetas. todos los cambios en la dirección IP de las entradas se recogen en el ciclo de actualización. las entradas se actualizan cuando el cortafuegos realiza una comprobación cada 30 minutos.0/24” indica todas las direcciones desde 192. Puede definir una etiqueta aquí o usar la pestaña Objetos > Etiquetas para crear etiquetas nuevas.80. si tiene una Palo Alto Networks Guía de referencia de interfaz web. Un grupo de direcciones puede ser estático o dinámico. Ejemplo: “2001:db8:123:1::1” o “2001:db8:123:1::/64” Intervalo de IP: Para especificar un intervalo de direcciones. consulte “Etiquetas”. Los grupos de direcciones dinámicas son muy útiles si tiene una infraestructura virtual amplia con cambios frecuentes en la ubicación de la máquina virtual o la dirección IP.80. Por tanto. FQDN se resuelve por el servidor DNS del sistema o por un objeto proxy DNS. El formato es: dirección_ip–dirección_ip donde cada dirección puede ser IPv4 o IPv6. Por ejemplo. FQDN se resuelve inicialmente en el momento de la compilación. seleccione Intervalo de IP. Definición de grupos de direcciones Objetos > Grupos de direcciones Para simplificar la creación de políticas de seguridad.2001:db8:123:1::22” Tipo (continuación) FQDN: Para especificar una dirección mediante FQDN.80.80. Etiquetas Seleccione o introduzca etiquetas que desee aplicar a este objeto de dirección. Configuración de nuevas direcciones (Continuación) Campo Descripción Tipo Especifique una dirección o intervalo de direcciones IPv4 o IPv6 o FQDN. • Grupos de direcciones dinámicas: Un grupo de direcciones dinámicas cumplimenta sus miembros dinámicamente usando búsquedas de etiquetas y filtros basados en etiquetas.150/32” indica una dirección y “192.0 • 301 . Máscara de red IP: Introduzca la dirección IPv4 o IPv6 o la el intervalo de la dirección IP con la siguiente notación: dirección_ip/máscara o dirección_ip donde la máscara es el número de dígitos binarios significativos utilizados para la porción de red de la dirección. consulte “Configuración de proxy DNS”.0 hasta 192.168.Otros objetos de las políticas Tabla 153. seleccione FQDN e introduzca el nombre de dominio.168.168. si se configura un proxy. las direcciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de direcciones. e introduzca un intervalo de direcciones. Ejemplo: “192. Ejemplo: “2001:db8:123:1::1 .168. versión 7.255. Para obtener información acerca del proxy DNS.

Las etiquetas se pueden definir directamente en el cortafuegos o en Panorama. A diferencia de los grupos de direcciones estáticas. debe usar secuencias de comandos que activen la API XML en el cortafuegos. – Indique al cortafuegos las direcciones IP y las etiquetas correspondientes para que puedan formarse los grupos de direcciones dinámicas. • Grupos de direcciones estáticas: Un grupo de direcciones estáticas puede incluir objetos de dirección que sean estáticas. puede usar etiquetas para agrupar objetos tanto dinámicos como estáticos en el mismo grupo de direcciones. Esto se puede hacer usando secuencias de comandos externas que usen la API XML en el cortafuegos o un entorno basado en VMware configurando en la pestaña Dispositivo > Orígenes de información de VM en el cortafuegos. El criterio de coincidencia usa operadores lógicos y u o. Cuando se registra una dirección IP y la etiqueta correspondiente (una o más). Por lo tanto. cada grupo dinámico evalúa las etiquetas y actualiza la lista de miembros de su grupo. Para crear un grupo de direcciones.Otros objetos de las políticas configuración de conmutación por error o incluye nuevas máquinas virtuales con frecuencia y le gustaría aplicar una política al tráfico que va o que procede de la nueva máquina sin modificar la configuración o las reglas del cortafuegos. – Defina un grupo de direcciones dinámicas y haga referencia al mismo en la regla de política. cada host que quiera añadir al grupo de direcciones dinámicas debe incluir la etiqueta o atributo definido en el criterio de coincidencia. Los grupos de direcciones dinámicas también pueden incluir objetos de direcciones definidas estáticamente. en lugar de usar secuencias de comandos para activar la API XML. Para usar un grupo de direcciones dinámicas en la política. este incluirá todos los objetos estáticos y dinámicos que coincidan con las etiquetas. así como definirse dinámicamente usando la API XML y registrarse en el cortafuegos. Si dispone de un entorno virtual con VMware. versión 7.0 Palo Alto Networks . Si crea un objeto de dirección y aplica las mismas etiquetas que ha asignado al grupo de direcciones dinámicas. haga clic en Añadir y cumplimente los siguientes campos. los miembros de un grupo de direcciones dinámicas se cumplimentan definiendo un criterio de coincidencia. grupos de direcciones dinámicas o puede ser una combinación de objetos de dirección y grupos de direcciones dinámicas. debe realizar las siguientes tareas. 302 • Guía de referencia de interfaz web. Para registrar una nueva dirección IP y etiquetas o cambios en las direcciones IP o etiquetas actuales. puede usar la función Orígenes de información de VM (pestaña Dispositivo > Orígenes de información de VM ) para configurar el cortafuegos de modo que supervise el host ESX(i) o vCenterServer y recuperar información (dirección de red y etiquetas correspondientes) de nuevos servidores/invitados implementados en estas máquinas virtuales. en los que se especifica una dirección de red en un host.

Si cancela la selección de la casilla de verificación. versión 7. Haga clic en Añadir para añadir un objeto o un grupo de direcciones al grupo de direcciones. Tipo Seleccione Estático o Dinámico. debe haber configurado el cortafuegos para acceder y recuperar los atributos desde el origen/host.Otros objetos de las políticas Tabla 154. lo que significa que la cancelación está habilitada. Compartido Seleccione esta casilla de verificación si quiere que el grupo de direcciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si desea más información sobre etiquetas. Etiquetas Palo Alto Networks Seleccione o introduzca etiquetas que desee aplicar a este grupo de direcciones. que puede realizar un sondeo de la máquina para recuperar cambios en direcciones IP o en la configuración sin modificaciones en el cortafuegos. Defina el criterio Coincidencia usando los operadores Y u O. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. Para usar un grupo de direcciones dinámicas. Nota: Para ver la lista de atributos del criterio de coincidencia. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de direcciones en grupos de dispositivos descendientes cancelando sus valores heredados. consulte “Etiquetas”.0 • 303 . use el criterio de coincidencia para incluir los miembros en el grupo. El grupo puede contener objetos de direcciones y grupos de direcciones tanto estáticas como dinámicas. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. guiones y guiones bajos. el grupo de direcciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Si cancela la selección de la casilla de verificación. Utilice únicamente letras. espacios. La casilla de verificación no está seleccionada de manera predeterminada. Para un grupo de direcciones estáticas. el grupo de direcciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Cada máquina virtual en el origen de información configurado se registra en el cortafuegos. • Cada grupo de dispositivos en Panorama. Grupo de direcciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de direcciones (de hasta 63 caracteres). haga clic en Añadir y seleccione una o más direcciones. números. Guía de referencia de interfaz web. Descripción Introduzca una descripción del objeto (hasta 255 caracteres).

x/n 304 • Guía de referencia de interfaz web. un intervalo de direcciones IP o una subred para identificar la región.Otros objetos de las políticas Definición de regiones Objetos > Regiones El cortafuegos permite la creación de reglas de políticas aplicables a países concretos y otras regiones. versión 7.x. Ubicación geográfica Para especificar la latitud y la longitud. Las siguientes tablas describen la configuración regional: Tabla 155. Configuración de nuevas regiones Campo Descripción Nombre Introduzca un nombre que describe la región (de hasta 31 caracteres). Consulte “Uso de Appscope”. Esta información se utiliza en los mapas de tráfico y amenazas de Appscope. Este nombre aparece en la lista de direcciones cuando se definen políticas de seguridad. utilizando cualquiera de los siguientes formatos: x. La región está disponible como una opción si especifica el origen y el destino de las políticas de seguridad. Puede elegir entre una lista estándar de países o usar los ajustes de región que se describen en esta región. Utilice únicamente letras.x.xxxxxx).a. guiones y guiones bajos. espacios. políticas de descifrado y políticas DoS. para definir las regiones personalizadas que se incluirán como opciones para reglas de política de seguridad.x.a x.x.x. Direcciones Especifique una dirección IP. números.x.x-a. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.0 Palo Alto Networks . seleccione la casilla de verificación y los valores (formato xxx.x x.a.

como el riesgo de seguridad relativo de la aplicación (1 a 5). versión 7. “Descripción general de aplicaciones” Añadir una nueva aplicación o modificar una existente. “Definición de aplicaciones” Descripción general de aplicaciones La página Aplicaciones muestra los diferentes atributos de cada definición de aplicación.Otros objetos de las políticas Aplicaciones Objetos > Aplicaciones ¿Qué está buscando? Consulte Comprender los ajustes y atributos de aplicaciones que aparecen en la página Aplicaciones. El valor del riesgo se basa en criterios como si la aplicación puede compartir archivos. Palo Alto Networks Guía de referencia de interfaz web. Las publicaciones semanales de contenido incluyen periódicamente nuevos descodificadores y contextos para los que puede desarrollar firmas.0 • 305 . El área superior de navegación de la aplicación de la página muestra los atributos que puede utilizar para filtrar la vista de la manera siguiente. Los valores mayores indican un mayor riesgo. si es proclive a un uso incorrecto o a intentos de evasión de cortafuegos. El número a la izquierda de cada entrada representa el número total de aplicaciones con ese atributo.

haga clic en un elemento que desee utilizar como base para el filtrado. para restringir la lista a la categoría de colaboración. En este caso. una aplicación identificada como tráfico de exploración web está permitida por el cortafuegos antes de una nueva instalación de versión de contenido. • Seleccione una aplicación deshabilitada y seleccione Habilitar la aplicación para que pueda implementarse de acuerdo con sus políticas de seguridad configuradas. • Para filtrar por más columnas. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. Se mostrará la aplicación y las columnas de filtrado se actualizarán con las estadísticas de las aplicaciones que coinciden con la búsqueda. • Para importar una aplicación.Otros objetos de las políticas Puede realizar cualquiera de las siguientes funciones en esta página: • Para aplicar filtros de aplicación. Tecnología y Riesgo y. Por ejemplo. la aplicación identificada de manera exclusiva ya no coincide con la regla de seguridad que permite el tráfico de exploración web. versión 7. haga clic en colaboración y la lista solamente mostrará las aplicaciones de esta categoría. Cada vez que aplique un filtro. Las reglas de seguridad definidas para bloquear. Por ejemplo. Visualice todos los filtros guardados en Objetos > Filtros de aplicación. haga clic en Importar. Subcategoría y Riesgo. después de instalar la actualización de contenido. aunque no se haya aplicado un filtro Tecnología de manera explícita. los filtros Característica. seleccione una entrada en otra de las columnas. Estas reglas se actualizan dinámicamente cuando se añade una nueva aplicación mediante una actualización de contenido que coincida con el filtro. Cuando defina políticas de seguridad. Una búsqueda incluye cadenas parciales. permitir o forzar una aplicación coincidente no se aplican al tráfico de la aplicación cuando la aplicación está deshabilitada. finalmente. • Puede Deshabilitar una aplicación (o varias aplicaciones) para que la firma de aplicación no coincida con el tráfico. Por ejemplo. a continuación los filtros Subcategoría. Puede decidir deshabilitar una aplicación que esté incluida con una nueva versión de publicación de contenido porque la implementación de la política de la aplicación podría cambiar cuando la aplicación esté identificada de manera exclusiva. la columna Tecnología se restringe automáticamente a las tecnologías coherentes con la categoría y la subcategoría seleccionadas. • Para buscar una aplicación concreta. si aplica un filtro Categoría.0 Palo Alto Networks . Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. la lista de aplicaciones de la parte inferior de la página se actualizará automáticamente. introduzca el nombre o descripción de la aplicación en el campo Búsqueda y pulse Intro. podría decidir deshabilitar la aplicación para que el tráfico que coincida con la firma de aplicación siga estando clasificado como tráfico de exploración web y esté permitido. puede escribir reglas que se aplicarán a todas las aplicaciones que coincidan con un filtro guardado. 306 • Guía de referencia de interfaz web.

como se describe en la siguiente tabla. haga clic en el nombre de la aplicación. • Seleccione Políticas de revisión para evaluar la implementación basada en políticas para aplicaciones antes y después de instalar una versión de publicación de contenido. Las siguientes tablas describen la configuración de la aplicación: Tabla 156. Información adicional Enlaces a sitios web (Wikipedia. Puede cancelar esta acción predeterminada en la política de seguridad. Google o Yahoo!) que contienen más información sobre la aplicación.Otros objetos de las políticas • Para exportar una aplicación. También puede acceder al cuadro de diálogo Revisión de políticas al descargar e instalar versiones de publicación de contenido en la página Dispositivo > Actualizaciones dinámicas. La acción de denegación predeterminada puede especificar un descarte silencioso o un restablecimiento de TCP. o App-ID que han cambiado. también debe asegurarse de permitir otras aplicaciones de las que dependa la aplicación. Palo Alto Networks Guía de referencia de interfaz web. Característica Evasiva Utiliza un puerto o protocolo para cualquier cosa menos su propósito inicial con la intención de atravesar un cortafuegos. Puertos estándar Puertos que utiliza la aplicación para comunicarse con la red. las sesiones asociadas a esa aplicación coincidirán con la política como la anteriormente identificada como aplicación. Usa implícitamente Otras aplicaciones de las que depende la aplicación seleccionada pero que no necesita añadir a sus reglas de política de seguridad para permitir la aplicación seleccionada porque dichas aplicaciones son compatibles de manera implícita. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. Un lápiz amarillo sobre el icono que aparece a la izquierda del nombre de la aplicación significa que la aplicación se ha personalizado. De igual modo. El cuadro de diálogo Revisión de políticas le permite añadir o eliminar una aplicación pendiente (una aplicación que se descarga con una versión de publicación de contenido pero no se instala en el cortafuegos) desde o hacia una política de seguridad existente. Denegar acción Los App-ID se desarrollan con una acción de denegación predeterminada que determina cómo responde el cortafuegos cuando la aplicación se incluye en una regla de seguridad con una acción de denegación. Siga las instrucciones para guardar el archivo. Utilice el cuadro de diálogo Políticas de revisión para revisar el impacto de la política en las nuevas aplicaciones incluidas en una versión de publicación de contenido descargada. Depende de Lista de otras aplicaciones necesarias para el funcionamiento de esta aplicación. Al crear una regla de política para permitir la aplicación seleccionada.0 • 307 . esto indica cómo se identificaba anteriormente la aplicación. los App-ID deshabilitados aparecerán en los logs como la aplicación como se identificaban anteriormente. versión 7. Identificado anteriormente como Para nuevos App-ID. • Para ver detalles adicionales sobre la aplicación o personalizar el riesgo y los valores de tiempo de espera. Ancho de banda excesivo Consume al menos 1 Mbps con regularidad en uso normal. Si un App-ID está deshabilitado. Esto le ayuda a evaluar si se requieren cambios de política en función de los cambios en la aplicación. los cambios en políticas para aplicaciones pendientes no tienen efecto hasta que no se instala la versión de publicación de contenido correspondiente. Descripción Descripción de la aplicación (hasta 255 caracteres). Observe que los ajustes disponibles varían de una aplicación a otra. Detalles de la aplicación Elemento Descripción Nombre Nombre de la aplicación.

el software como servicio (SaaS) se caracteriza como un servicio en el que el software y la infraestructura son propiedad y están gestionados por el proveedor de servicios de aplicaciones pero en el que conserva el control completo sobre los datos. ataque o robo de datos o se distribuye con software malintencionado. incluido quién puede crear. Detalles de la aplicación (Continuación) Elemento Descripción Proclive al uso indebido Habitualmente utilizada para fines nefarios o fácilmente establecida para llegar más allá de las intenciones del usuario. el cortafuegos dejará de buscar coincidencias de aplicaciones adicionales después de la primera firma coincidente. LinkedIn. compartir y transferir los datos. Utilizada por software malintencionado El software malintencionado es conocido por utilizar la aplicación con fines de propagación. servidor cliente Una aplicación que utiliza un modelo de servidor cliente donde uno o más clientes se comunican con un servidor en la red. las subcategorías de la categoría sistemas empresariales incluyen servicio de autenticación. Los servicios web son aplicaciones alojadas en las que el usuario no posee los datos (por ejemplo. Vulnerabilidades Ha informado públicamente de vulnerabilidades. 308 • Guía de referencia de interfaz web.Otros objetos de las políticas Tabla 156. mensajería instantánea. así como acceder a ellos. las subcategorías de la categoría colaboración incluyen correo electrónico. SaaS Recuerde que en el contexto de cómo se caracteriza una aplicación. Categoría La categoría de la aplicación será una de las siguientes: • sistemas empresariales • colaboración • internet general • multimedia • redes • desconocido Subcategoría Subcategoría en la que se clasifica la aplicación. Continuar buscando otras aplicaciones Indica al cortafuegos que debe seguir intentando buscar coincidencias con otras firmas de aplicaciones. No obstante. programas de oficina. erp-crm. En el cortafuegos. gestión. Archivos de transacción Tiene la capacidad de transferir un archivo de un sistema a otro a través de una red. Pandora) o donde el servicio está compuesto principalmente de datos compartidos proporcionados por numerosos suscriptores con fines sociales (por ejemplo. videoconferencia por Internet. Twitter o Facebook).0 Palo Alto Networks . empresas sociales.000 de usuarios. intercambio de archivos. Si no selecciona esta opción. base de datos. Las diferentes categorías tienen diferentes subcategorías asociadas a ellas. Tecnología basado en explorador Una aplicación que se basa en un explorador web para funcionar. voip y vídeo y publicación web. Tuneliza otras aplicaciones Puede incluir otras aplicaciones en su protocolo. versión 7.000. Ampliamente utilizado Probablemente cuente con más de 1. las aplicaciones SaaS difieren de los servicios web. Por ejemplo. actualización de software y copia de seguridad de almacenamiento. redes sociales. empresa general.

y haga clic en ACEPTAR. Para personalizar este ajuste. Este tiempo de espera es para protocolos diferentes a TCP o UDP. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. Si este valor se configura en el nivel de aplicación. Opciones Tiempo de espera de sesión Período de tiempo. Tiempo de espera.Otros objetos de las políticas Tabla 156. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. cancela el ajuste global TCP semicerrado. haga clic en el enlace Personalizar introduzca un valor y haga clic en Aceptar. en segundos. En el caso de TCP y UDP. para finalizar un flujo de aplicación UDP (el intervalo es de 1-604800 segundos). Palo Alto Networks Guía de referencia de interfaz web. Tiempo de espera de TCP (segundos) Tiempo de espera de UDP (segundos): TCP semicerrado (segundos) Para personalizar este ajuste. que una sesión permanece en la tabla de la sesión entre la recepción del primer paquete FIN y la recepción del segundo paquete FIN o RST. en segundos. Tiempo de espera. la sesión se cierra (el intervalo es de 1-604800). Un valor de 0 indica que se utilizará el temporizador de sesión global. en segundos. se utiliza el ajuste global. Cuando el temporizador caduca. versión 7. Para personalizar este ajuste. consulte las siguientes filas de esta tabla. en segundos. para finalizar un flujo de aplicación TCP (el intervalo es de 1-604800). punto a punto Una aplicación que se comunica directamente con otros clientes para transferir información en vez de basarse en un servidor central para facilitar la comunicación. Eso incluye la mayoría de los protocolos de IP. que es 3600 segundos para TCP. Detalles de la aplicación (Continuación) Elemento Descripción protocolo de red Una aplicación que se utiliza generalmente para la comunicación entre sistemas y que facilita la operación de red. Tiempo máximo. necesario para agotar el tiempo de espera por inactividad (el intervalo es de 1-604800 segundos). haga clic en el enlace Personalizar e introduzca un valor (1-5). Para personalizar este ajuste.0 • 309 . Riesgo Riesgo asignado de la aplicación.

App-ID habilitado Indica si App-ID está habilitado o deshabilitado. Si este valor se configura en el nivel de aplicación. el tráfico se clasifica como desconocido: TCP desconocido o UDP desconocido. Si el cortafuegos no puede identificar una aplicación utilizando el App-ID. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. En el caso de aplicaciones añadidas tras la versión de publicación de contenido 490. cancela el ajuste global Tiempo de espera TCP. versión 7. que una sesión permanece en la tabla de la sesión después de la recepción del segundo paquete FIN o un paquete RST. en segundos. Puede crear nuevas definiciones para aplicaciones desconocidas y a continuación. definir políticas de seguridad para las nuevas definiciones de la aplicación. Detalles de la aplicación (Continuación) Elemento Tiempo de espera TCP (segundos) Descripción Tiempo máximo. excepto aquellas que emulan HTTP completamente. Además. Este comportamiento se aplica a todas las aplicaciones desconocidas. Para obtener más información. consulte “Trabajo con informes de Botnet”. Cuando el temporizador caduca. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en grupos de aplicaciones para simplificar la creación de políticas de seguridad. Tras revisar la política. la sesión se cierra (el intervalo es de 1-600). Si un App-ID está deshabilitado.0 Palo Alto Networks . También tiene la capacidad de Deshabilitar una aplicación que haya habilitado anteriormente. se utiliza el ajuste global. En un cortafuegos de vsys múltiples. puede deshabilitar varios App-ID por separado en cada sistema virtual. tendrá la capacidad de deshabilitarlos mientras revisa el impacto de la política de la nueva aplicación. el tráfico de esa aplicación se tratará como el App-ID Identificado anteriormente como tanto en la política de seguridad como en los logs.Otros objetos de las políticas Tabla 156. 310 • Guía de referencia de interfaz web. puede decidir Habilitar el App-ID.

Tabla 157. Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. Riesgo Seleccione el nivel de riesgo asociado con esta aplicación (1= el más bajo a 5= el más alto). Si cancela la selección de la casilla de verificación. • Cada grupo de dispositivos en Panorama. se registra la aplicación personalizada porque es más específica. sin embargo. Utilice únicamente letras. espacios. la aplicación únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Para ver una descripción de cada característica. números. Si cancela la selección de la casilla de verificación.Otros objetos de las políticas Definición de aplicaciones Objetos > Aplicaciones Utilice la página Aplicaciones para añadir una nueva aplicación a la evaluación del cortafuegos cuando aplique políticas. El primer carácter debe ser una letra. como correo electrónico o base de datos. la aplicación únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos.0 • 311 . Esta subcategoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). puntos. Configuración de nuevas aplicaciones Campo Descripción Pestaña Configuración Nombre Introduzca el nombre de la aplicación (de hasta 31 caracteres). como correo electrónico o base de datos. Esta categoría se utiliza para generar el gráfico Diez categorías de aplicación principales y está disponible para su filtrado (consulte “Centro de control de aplicaciones”). lo que significa que la cancelación está habilitada. versión 7. consulte “Característica”. Aplicación primaria Especifique una aplicación principal para esta aplicación. Características Seleccione las características de la aplicación que pueden poner en riesgo la aplicación. Categoría Seleccione la categoría de la aplicación. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la aplicación en grupos de dispositivos descendientes cancelando sus valores heredados. La casilla de verificación no está seleccionada de manera predeterminada. Subcategoría Seleccione la subcategoría de la aplicación. Tecnología Seleccione la tecnología de la aplicación. Este ajuste se aplica cuando en una sesión coinciden las aplicaciones principal y personalizadas. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Palo Alto Networks Guía de referencia de interfaz web. guiones y guiones bajos. Compartido Seleccione esta casilla de verificación si quiere que la aplicación esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Descripción Introduzca una descripción de la aplicación como referencia general (hasta 255 caracteres).

seleccionando Protocolo IP e introduciendo el número del protocolo (1 a 255).Otros objetos de las políticas Tabla 157. seleccionando Tipo de ICMP e introduciendo el número (intervalo 0-255). Este valor se utiliza para protocolos diferentes de TCP y UDP en todos los casos y para tiempos de espera TCP y UDP cuando no se especifican los tiempos de espera TCP y UDP. se utiliza el ajuste global. Ejemplos: TCP/dinámica o UDP/32. seleccione Puerto e introduzca una o más combinaciones del protocolo y número de puerto (una entrada por línea). Ninguno Especifique firmas independientes de protocolo. Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. El formato general es: <protocolo>/<puerto> donde <puerto> es un número de puerto único. cancela el ajuste global Tiempo de espera TCP. versión 7. Configuración de nuevas aplicaciones (Continuación) Campo Descripción Pestaña Avanzada Puerto Si el protocolo que utiliza la aplicación es TCP y/o UDP. Si este valor se configura en el nivel de aplicación. Tiempo de espera de TCP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación TCP (intervalo 0-604800 segundos). Cuando el temporizador caduca. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. seleccionando Tipo de ICMP6 e introduciendo el número (intervalo 0-255). Valor predeterminado: Si este temporizador no está configurado en el nivel de aplicación. la sesión se cierra. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. la sesión se cierra. Tiempo de espera Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación (intervalo 0-604800 segundos). se utiliza el ajuste global. Tiempo de espera TCP Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión después de la recepción del segundo FIN o RST. Tipo de ICMP6 Especifique un tipo de protocolo de mensajes de control de Internet versión 6 (ICMPv6).0 Palo Alto Networks . Si este valor se configura en el nivel de aplicación. Un valor de cero indica que se utilizará el tiempo de espera predeterminado de la aplicación. TCP semicerrado Introduzca el tiempo máximo que una sesión permanece en la tabla de la sesión entre la recepción del primer FIN y la recepción del segundo FIN o RST. o dinámica para una asignación dinámica de puertos. Este ajuste se aplica si utiliza app-default en la columna Service de una regla de seguridad. El rango es 1h604800 segundos. Protocolo IP Especifique un protocolo IP diferente a TCP o UDP. Tiempo de espera de UDP Introduzca el número de segundos antes de finalizar un flujo de inactividad de una aplicación UDP (intervalo 0-604800 segundos). cancela el ajuste global TCP semicerrado. El rango es 1-600 segundos. seleccionando Ninguno. Tipo de ICMP Especifique un tipo de protocolo de mensajes de control de Internet versión 4 (ICMP). 312 • Guía de referencia de interfaz web. Cuando el temporizador caduca.

Configuración de nuevas aplicaciones (Continuación) Campo Descripción Analizando Seleccione las casillas de verificación de los tipos de análisis que desee permitir. Para exportar la aplicación. por ejemplo. • Importa el orden de las condiciones: Seleccione si el orden en que se definen las condiciones de la firma es importante. – Máscara: Especifique un valor hexadecimal de 4 bytes. Pestaña Firma Firmas Haga clic en Añadir para agregar una firma nueva y especificar la siguiente información: • Nombre de firma: Introduzca un nombre para identificar la firma. Navegue y seleccione el archivo y el sistema virtual de destino en la lista desplegable Destino. Para importar una aplicación. seleccione el grupo y haga clic en Añadir condición. Consulte Tabla 163 para ver reglas de patrones de expresiones regulares. Para añadir una condición en un grupo. • Seleccione un operador entre Coincidencia de patrones e Igual que. por ejemplo. 0xffffff00. 0xaabbccdd. patrones de datos y virus). haga clic en Importar. especifique las siguientes opciones: – Contexto: Seleccione entre solicitudes desconocidas y respuestas de TCP o UDP. en función de los perfiles de seguridad (tipos de archivos. seleccione la casilla de verificación de la aplicación y haga clic en Exportar. seleccione el grupo y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. seleccione la condición y haga clic en el flecha Mover hacia arriba o Mover hacia abajo. – Patrón: Especifique una expresión regular. especifique las siguientes opciones: – Contexto: Seleccione uno de los contextos disponibles.Otros objetos de las políticas Tabla 157. versión 7. No puede mover condiciones de un grupo a otro. – Posición: Seleccione los primeros cuatro bytes o los segundos cuatro en la carga. • Para mover una condición en un grupo. • Ámbito: Seleccione si desea aplicar esta firma a la transacción actual únicamente o a la sesión completa del usuario. • Comentarios: Introduzca una descripción opcional. – Calificador y Valor: Puede añadir pares de calificador/valor. – Valor: Especifique un valor hexadecimal de 4 bytes. No es necesario especificar firmas para la aplicación si la aplicación se utiliza únicamente para reglas de cancelación de aplicación. Especifique las condiciones para definir las firmas: • Añada una condición haciendo clic en Añadir condición AND o Añadir condición OR. • Si selecciona el operador Igual que.0 • 313 . Siga las instrucciones para guardar el archivo. Para mover un grupo. Palo Alto Networks Guía de referencia de interfaz web. Si selecciona el operador Coincidencia de patrones.

En el área superior de la ventana. Nuevo grupo de aplicaciones Campo Descripción Nombre Introduzca un nombre que describe el grupo de aplicaciones (de hasta 31 caracteres). lo que significa que la cancelación está habilitada. La casilla de verificación no está seleccionada de manera predeterminada. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. el grupo de aplicaciones únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. haga clic en Añadir e introduzca el nombre del filtro. Aplicaciones Haga clic en Añadir y seleccione las aplicaciones. Si cancela la selección de la casilla de verificación. el grupo de aplicaciones únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Para definir filtros de aplicaciones para simplificar las búsquedas repetidas. haga clic en un elemento que desee utilizar como base para el filtrado. haga clic en networking. Compartido Seleccione esta casilla de verificación si quiere que el grupo de aplicaciones esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. guiones y guiones bajos. filtros de aplicaciones y/o grupos de aplicaciones diferentes que se incluirán en este grupo.0 Palo Alto Networks . espacios. Si cancela la selección de la casilla de verificación. Este nombre aparece en la lista de aplicaciones cuando se definen políticas de seguridad. números. Utilice únicamente letras. • Cada grupo de dispositivos en Panorama. (Para definir una nueva aplicación.) Tabla 158. Filtros de aplicación Objetos > Filtros de aplicaciones Puede definir filtros de aplicaciones para simplificar las búsquedas repetidas.Otros objetos de las políticas Definición de grupos de aplicaciones Objetos > Grupos de aplicaciones Para simplificar la creación de políticas de seguridad. 314 • Guía de referencia de interfaz web. las aplicaciones que requieren los mismos ajustes de seguridad se pueden combinar en un grupo de aplicaciones. versión 7. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de aplicaciones en grupos de dispositivos descendientes cancelando sus valores heredados. Por ejemplo. para restringir la lista a la categoría de redes. consulte “Definición de aplicaciones”.

Por ejemplo. Subcategoría y Riesgo. Al aplicar los dos primeros filtros. pero puede agregar más definiciones de servicios. la siguiente ilustración muestra el resultado de seleccionar un filtro Categoría. Palo Alto Networks Guía de referencia de interfaz web. finalmente. versión 7. Servicios Objetos > Servicios Cuando define políticas de seguridad de aplicaciones específicas. El servicio predeterminado es Cualquiera. la columna Tecnología se restringe automáticamente a las tecnologías que cumplen los requisitos de la categoría y subcategoría seleccionadas. A medida que selecciona las opciones. los filtros Característica. quepermite todos los puertos TCP y UDP. tal y como se muestra en la ilustración. El filtrado es sucesivo: en primer lugar se aplican los filtros Categoría. aunque no se haya aplicado explícitamente un filtro de tecnología. puede seleccionar uno o más servicios para limitar el número de puertos que las aplicaciones pueden utilizar.0 • 315 . seleccione una entrada las columnas para mostrar las casillas de verificación. la lista de aplicaciones de la parte inferior se actualiza automáticamente. Los servicios que se suelen asignar juntos se pueden combinar en grupos de servicios para simplificar la creación de políticas de seguridad (consulte “Grupos de servicios”).Otros objetos de las políticas Para filtrar por más columnas. Tecnología y Riesgo y. a continuación los filtros Subcategoría. Los servicios HTTP y HTTPS son los predefinidos.

Si cancela la selección de la casilla de verificación. Descripción Introduzca una descripción del servicio (hasta 255 caracteres). versión 7. El puerto de origen es opcional. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Configuración de grupos de servicios Campo Descripción Nombre Introduzca el nombre del grupo de servicios (de hasta 63 caracteres). espacios. Compartido Seleccione esta casilla de verificación si quiere que el objeto de servicio esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. números. guiones y guiones bajos. guiones y guiones bajos. Puerto de origen Introduzca el número de puerto de origen (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del objeto de servicio en grupos de dispositivos descendientes cancelando sus valores heredados. deben estar separados por comas. Para definir nuevos servicios.0 Palo Alto Networks . el objeto de servicio únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. La casilla de verificación no está seleccionada de manera predeterminada. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. Grupos de servicios Objetos > Grupos de servicios Para simplificar la creación de políticas de seguridad. Si especifica varios puertos o intervalos. consulte “Servicios”. 316 • Guía de referencia de interfaz web. Configuración de servicios Campo Descripción Nombre Introduzca el nombre del servicio (de hasta 63 caracteres). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. Este nombre aparece en la lista de servicios cuando se definen políticas de seguridad. Si cancela la selección de la casilla de verificación. el objeto de servicio únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. deben estar separados por comas. lo que significa que la cancelación está habilitada.Otros objetos de las políticas La siguiente tabla describe la configuración del servicio: Tabla 159. números. El puerto de destino es obligatorio. • Cada grupo de dispositivos en Panorama. Utilice únicamente letras. Utilice únicamente letras. Si especifica varios puertos o intervalos. La siguiente tabla describe la configuración del grupo de servicios: Tabla 160. Puerto de destino Introduzca el número de puerto de destino (0 a 65535) o el intervalo de números de puerto (puerto1-puerto2) que utiliza el servicio. espacios. Protocolo Seleccione el protocolo que utiliza el servicio (TCP o UDP). puede combinar los servicios con los mismos ajustes de seguridad en grupos de servicios.

¿Qué desea saber? Consulte ¿Cómo puedo crear etiquetas? “Crear etiquetas” ¿Qué es el explorador de etiquetas? “Uso del explorador de etiquetas” ¿Cómo puedo buscar reglas que estén etiquetadas? “Gestión de etiquetas” ¿Cómo puedo agrupar reglas utilizando etiquetas? ¿Cómo puedo ver etiquetas utilizadas en una política? ¿Cómo puedo aplicar etiquetas a una política? ¿Desea obtener más información? Palo Alto Networks Consulte Policy (en inglés). el grupo de servicios únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. grupos de direcciones (estáticas y dinámicas). versión 7. Configuración de grupos de servicios (Continuación) Campo Descripción Compartido Seleccione esta casilla de verificación si quiere que el grupo de servicios esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.Otros objetos de las políticas Tabla 160. Si cancela la selección de la casilla de verificación. • Cada grupo de dispositivos en Panorama. Al aplicar un color a una etiqueta. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del grupo de servicios en grupos de dispositivos descendientes cancelando sus valores heredados. La casilla de verificación no está seleccionada de manera predeterminada. Puede utilizar una etiqueta para ordenar o filtrar objetos y para distinguir objetos visualmente debido a que pueden tener color. Servicio Haga clic en Añadir para agregar servicios al grupo. Guía de referencia de interfaz web. Realice su selección en la lista desplegable o haga clic en Servicio. la pestaña Política muestra el objeto con un color de fondo. grupos de servicios y reglas de políticas. lo que significa que la cancelación está habilitada. en el enlace en la parte inferior de la lista desplegable y especifique la configuración. Si cancela la selección de la casilla de verificación. el grupo de servicios únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. zonas.0 • 317 . servicios. Las etiquetas pueden aplicarse a objetos de dirección. Consulte “Servicios” para obtener una descripción de la configuración. Etiquetas Objetos > Etiquetas Las etiquetas le permiten agrupar objetos usando palabras clave o frases.

318 • Guía de referencia de interfaz web. La casilla de verificación no está seleccionada de manera predeterminada. cumplimente los siguientes campos: Tabla 161. haga clic en Añadir y. Cada objeto puede tener hasta 64 etiquetas. lo que significa que la cancelación está habilitada. la pestaña Objetos > Etiquetas muestra las etiquetas que define localmente en el cortafuegos o envía desde Panorama al cortafuegos. en Panorama. También puede crear una nueva etiqueta cuando cree o edite una política en la pestaña Políticas. muestra el color de la primera etiqueta aplicada. Si cancela la selección de la casilla de verificación. Comentarios Añada una etiqueta o descripción para recordar la función de la etiqueta. versión 7. Cuando crea una nueva etiqueta. la etiqueta únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales de la etiqueta en grupos de dispositivos descendientes cancelando sus valores heredados. Compartido Seleccione esta casilla de verificación si quiere que la etiqueta esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. la etiqueta únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. renombrar y duplicar etiquetas. cuando un objeto tiene varias etiquetas. En el cortafuegos. • Cada grupo de dispositivos en Panorama. la etiqueta se crea automáticamente en el sistema virtual o grupo de dispositivos seleccionado actualmente en el cortafuegos o Panorama. a continuación. • Edite una etiqueta: Para editar. Color Seleccione un color de la paleta de colores de la lista desplegable. o etiquetas que se definen utilizando la API XML. Si cancela la selección de la casilla de verificación. Configuración de etiqueta Campo Descripción Nombre Introduzca un nombre de etiqueta exclusivo (de hasta 127 caracteres). El nombre no distingue entre mayúsculas y minúsculas. • Añada una etiqueta: Para añadir una nueva pestaña. haga clic en Eliminar y seleccione la etiqueta en la ventana. El valor predeterminado es Ninguno.Otros objetos de las políticas Crear etiquetas Objetos > Etiquetas Utilice esta pestaña para crear una etiqueta. • Elimine una etiqueta: Para eliminar una etiqueta. asignar un color y eliminar. muestra las etiquetas que define en Panorama. renombrar o asignar un color a una etiqueta. La etiqueta se crea automáticamente en el grupo de dispositivos o sistema virtual seleccionado actualmente.0 Palo Alto Networks . Esta pestaña no muestra las etiquetas que se recuperan dinámicamente de las fuentes de información de VM definidas en el cortafuegos para formar grupos de direcciones dinámicas. haga clic en el nombre de etiqueta que aparezca como enlace y modifique los ajustes.

si la primera etiqueta de cada regla indica su función (administración. o ver únicamente la primera etiqueta aplicada a cada regla en la base de reglas.0 • 319 . Por ejemplo. Uso del explorador de etiquetas Políticas > Fundamento de la regla (seguridad. El campo Ubicación muestra el grupo de dispositivos actual. De manera predeterminada. El número de regla al que se asocia la etiqueta se muestra junto con el nombre de la etiqueta. Cuando se muestran por orden de aparición. examinar. Haga clic en Duplicar o Mover y seleccione la etiqueta en la ventana. Le permite ver una lista de todas las etiquetas y el orden en el que se enumeran en la base de reglas. Cancele la selección de la casilla de verificación Error en el primer error detectado en la validación si desea que el proceso de validación detecte todos los errores del objeto antes de mostrar los errores. Cuando revierte una etiqueta. Guía de referencia de interfaz web. NAT.. Orden de regla Palo Alto Networks Clasifica las etiquetas por orden de aparición en la base de reglas seleccionada. proxy). Seleccione la ubicación de Destino (grupo de dispositivos o sistema virtual) de la etiqueta. las etiquetas utilizadas en reglas contiguas se muestran agrupadas. También puede seleccionar la opción Deshabilitar anulación para deshabilitar cancelaciones adicionales. el campo Ubicación muestra el grupo de dispositivos o sistema virtual del que se heredó la etiqueta. Regla Enumera el número de regla o intervalo de números asociados a las etiquetas. buscar y filtrar en busca de una etiqueta específica.º) Muestra la etiqueta y el número de regla o intervalo de números en los que la etiqueta se utiliza de manera contigua. • Cancele o revierta una etiqueta (solamente en Panorama): La opción Cancelar está disponible si no seleccionó la opción Deshabilitar anulación al crear la etiqueta. Para deshacer los cambios en una etiqueta. La ubicación puede haberse heredado de la ubicación Compartido. Puede ordenar. haga clic en Revertir. QoS. un grupo de dispositivos o un sistema virtual.Otros objetos de las políticas • Traslade o duplique una etiqueta: La opción de trasladar o clonar una etiqueta le permite copiar una etiqueta o trasladarla a un grupo de dispositivos o sistema virtual diferente en dispositivos habilitados para varios sistemas virtuales. cuando se selecciona. La tabla siguiente describe las opciones del explorador de etiquetas: Tabla 162. la casilla de verificación está habilitada y el proceso de validación se detiene cuando se detecta el primer error y solamente muestra ese error. acceso web.) El explorador de etiquetas presenta un resumen de todas las etiquetas utilizadas en una base de reglas (conjunto de políticas).. Filtrar por primera etiqueta de la regla Muestra solamente la primera etiqueta aplicada a cada regla en la base de reglas. Esta vista es de especial utilidad si desea acotar la lista y ver reglas relacionadas que podrían estar extendidas en la base de reglas. acceso al centro de datos. Uso del explorador de etiquetas Campo Descripción Etiqueta (n. versión 7. puede acotar el resultado y examinar las reglas basándose en su función. Pase el ratón por encima de la etiqueta para ver la ubicación en la que se definió la regla. Le permite cancelar el color asignado a la etiqueta heredado de un grupo de dispositivos compartido o antecesor.

Borrar Borra el filtro de las etiquetas seleccionadas actualmente en la barra de búsquedas. 2. no muestra los números de reglas de aquellas reglas no etiquetadas. Seleccione una regla en el panel derecho. Para ver las etiquetas seleccionadas actualmente. También muestra el número total de etiquetas de la base de reglas y el número de etiquetas seleccionadas. consulte “Gestión de etiquetas”. Cuando selecciona Ninguno. Seleccione una o más etiquetas en el explorador de etiquetas. seleccione Aplicar etiqueta a las selecciones. 2. Para ver las etiquetas seleccionadas actualmente. Cuando suelte las etiquetas. Realice una de las siguientes acciones: – Seleccione una etiqueta en el explorador de etiquetas y. Las etiquetas se filtran utilizando un operador OR.0 Palo Alto Networks . La etiqueta Ninguno representa las reglas que no tienen ninguna etiqueta. El panel derecho se actualiza para mostrar las reglas que tengan cualquiera de las etiquetas seleccionadas. Barra de búsquedas Le permite buscar una etiqueta. introducir el término y hacer clic en el icono de flecha verde para aplicar el filtro. Uso del explorador de etiquetas (Continuación) Campo Descripción Alfabético Clasifica las etiquetas por orden alfabético en la base de reglas seleccionada. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas. pase el ratón por encima de la etiqueta Borrar del explorador de etiquetas.Otros objetos de las políticas Tabla 162. Gestión de etiquetas Etiquete una regla. Visualice las etiquetas seleccionadas actualmente. en la lista desplegable. 1. Gestión de etiquetas La siguiente tabla enumera las acciones que puede realizar mediante el explorador de etiquetas. 3. el panel derecho se filtra para mostrar las reglas que no tienen ninguna etiqueta asignada. 320 • Guía de referencia de interfaz web. – Arrastre y suelte etiquetas desde el explorador de etiquetas a la columna de etiquetas de la regla. versión 7. Para conocer otras acciones. La pantalla muestra el nombre de etiqueta. 1. el color (si hay un color asignado) y el número de veces que se utiliza en la base de reglas. aparecerá un cuadro de diálogo de confirmación.

Los resultados se muestran con un operador AND. • Filtro AND: Para ver reglas que tengan todas las etiquetas seleccionadas. • Filtro OR: Para ver reglas que tengan etiquetas específicas. seleccione una o más etiquetas en el explorador de etiquetas. Puede filtrar reglas en función de etiquetas con un operador AND u OR. Pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Quitar etiquetas a las reglas en la lista desplegable. introduzca las primeras letras del nombre de la etiqueta que quiera buscar y haga clic en . versión 7. Seleccione una o más etiquetas. Busque una etiqueta. Palo Alto Networks En el explorador de etiquetas. El panel derecho mostrará solamente las reglas que incluyan las etiquetas seleccionadas actualmente. Haga clic en en la barra de búsquedas del panel derecho. la nueva regla se añadirá después de la regla a la que pertenezcan las etiquetas seleccionadas. El orden numérico de la nueva regla varía dependiendo de si seleccionó una regla en el panel derecho. Confirme que quiere eliminar la etiqueta seleccionada de la regla. Seleccione una etiqueta de la lista desplegable en la ventana para mover reglas y seleccione si desea aplicar la opción Mover antes de o Mover después de con respecto a la etiqueta seleccionada en la lista desplegable. Reordene una regla utilizando etiquetas. pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Añadir nueva regla en la lista desplegable. Añada una nueva regla que aplique las etiquetas seleccionadas. la nueva regla se añadirá después de la regla seleccionada. Seleccione una o más etiquetas y pase el ratón por encima del número de la regla en la columna Regla del explorador de etiquetas y seleccione Mover reglas en la lista desplegable. Elimine la etiqueta de una regla. Repita esta acción para añadir más etiquetas. Si no se ha seleccionado ninguna regla en el panel derecho. De lo contrario.Otros objetos de las políticas Gestión de etiquetas Visualice reglas que coincidan con las etiquetas seleccionadas. pase el ratón por encima del número de la columna Regla del explorador de etiquetas y seleccione Filtro en la lista desplegable. Aparecerán las etiquetas que coincidan con el texto que ha introducido.0 • 321 . Guía de referencia de interfaz web.

Otros objetos de las políticas

Patrones de datos
El patrón de datos le permite especificar categorías de información confidencial que desea someter al
filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre cómo
configurar patrones de datos, consulte “Definición de patrones de datos”.
Cuando añade un nuevo patrón (expresión regular), se aplican los siguientes requisitos generales:

• El patrón debe tener una cadena de al menos 7 bytes. Puede contener más de 7 bytes, pero no menos.
• La coincidencia de cadena puede o no distinguir entre mayúsculas y minúsculas, dependiendo del
descodificador que se esté utilizando. Cuando sea necesario distinguir entre mayúsculas y
minúsculas, deberá definir patrones de todas las cadenas posibles para hallar coincidencias de todas
las variaciones de un término. Por ejemplo, si desea encontrar coincidencias de documentos
denominados como confidenciales, deberá crear un patrón para “confidencial”, “Confidencial” y
“CONFIDENCIAL”.
La sintaxis de expresión regular en PAN-OS es similar a la de los motores de expresiones regulares
tradicionales, pero cada motor es único. La tabla siguiente describe la sintaxis compatible con PAN-OS.

Tabla 163. Reglas de patrones
Sintaxis

Descripción

.

Busca cualquier carácter único.

?

Busca el carácter o la expresión anterior 0 o 1 veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)?

*

Busca el carácter o la expresión anterior 0 o más veces. La expresión general DEBE estar
entre paréntesis.
Ejemplo: (abc)*

+

Busca el carácter o la expresión anterior una o más veces. La expresión general DEBE
estar entre paréntesis.
Ejemplo: (abc)+

|

Equivalente a “o”.
Ejemplo: ((bif)|(scr)|(exe)) busca “bif”, “scr” o “exe”. Tenga en cuenta que las
subcadenas deben estar entre paréntesis.

-

Se utiliza para crear expresiones de intervalo.
Ejemplo: [c-z] busca cualquier carácter entre c y z, ambos inclusive.

[]

Busca cualquier carácter.
Ejemplo: [abz]: coincide con cualquiera de los caracteres a, b o z.

^

Busca cualquier carácter excepto.
Ejemplo: [^abz] busca cualquier carácter excepto a, b, o z.

{}

Número mínimo/máximo de bytes.
Ejemplo: {10-20} busca cualquier cadena entre 10 y 20 bytes. Debe estar justo delante de
una cadena fija y solo admite “-”.

\

Para realizar una búsqueda literal de uno de los caracteres especiales anteriores, DEBE
definirse como carácter de escape precediéndolo de “\” (barra diagonal inversa).

&amp

& es un carácter especial, por lo que para buscar “&” en una cadena debe utilizar “&amp”.

322 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Ejemplos de patrones de datos
A continuación se incluyen algunos ejemplos de patrones personalizados válidos:

• .*((Confidencial)|(CONFIDENCIAL))
– Busca la palabra “Confidencial” o “CONFIDENCIAL” en cualquier parte
– “.*” al principio especifica que se debe buscar en cualquier parte en la secuencia
– Dependiendo de los requisitos de distinción entre mayúsculas y minúsculas del descodificador,
puede que esto no coincida con “confidencial” (todo en minúsculas)

• .*((Privado &amp Confidencial)|(Privado y Confidencial))
– Busca “Privado & Confidencial” o “Privado y Confidencial”
– Es más preciso que buscar “Confidencial”

• .*(Comunicado de prensa).*((Borrador)|(BORRADOR)|(borrador))
– Busca “Comunicado de prensa” seguido de las diferentes formas de la palabra borrador, lo que
puede indicar que el comunicado de prensa no está preparado aún para ser emitido.

• .*(Trinidad)
– Busca un nombre de código de proyecto, como “Trinidad”

Listas de bloqueos dinámicos
Objetos > Listas de bloqueos dinámicos
Utilice la página Listas de bloqueos dinámicos para crear un objeto de dirección basado en una lista
importada de direcciones IP. Debe crear esta lista como archivo de texto y guardarla en un servidor web al
que el cortafuegos pueda acceder y que pueda importar; el cortafuegos utilizará el puerto de gestión para
recuperar esta lista.
Puede configurar el cortafuegos para que actualice automáticamente la lista del dispositivo cada hora, día,
semana o mes. Una vez haya creado un objeto de lista de bloqueo dinámico, puede utilizar el objeto de la
dirección en los campos de origen y destino en las políticas de seguridad.
Se admite un máximo de diez listas de bloqueos dinámicos en la mayoría de las plataformas; las
excepciones son los cortafuegos de las series PA-5000 y PA-7000, que admiten hasta 50 listas. Cada lista
puede contener hasta 5.000 direcciones IP (IPv4 y/o IPv6), que pueden incluir intervalos y/o subredes de
IP. La lista debe contener una dirección IP, intervalo o subred por línea. A continuación se incluyen varios
ejemplos:
Dirección IP única:
IPv4: 192.168.80.150/32
IPv6: 2001:db8:123:1::1 o 2001:db8:123:1::/64
Intervalo de IP:
Para especificar un intervalo de direcciones, seleccione Intervalo de IP, e introduzca un intervalo de
direcciones. El formato es:
dirección_ip–dirección_ip
donde cada dirección puede ser IPv4 o IPv6.
IPv4: “192.168.80.0/24” indica todas las direcciones de 192.168.80.0 a 192.168.80.255
IPv6: 2001:db8:123:1::1 - 2001:db8:123:1::22

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 323

Otros objetos de las políticas

La siguiente tabla describe la configuración de lista de bloqueadas dinámicas:

Tabla 164 Listas de bloqueos dinámicos
Campo

Descripción

Nombre

Introduzca un nombre para identificar la lista de bloqueos
dinámicos (de hasta 32 caracteres). Este nombre aparecerá
cuando seleccione el origen o el destino de una política.

Compartido

Seleccione esta casilla de verificación si quiere que la lista de
bloqueos dinámicos esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si cancela la selección de la casilla de verificación, la lista
de bloqueos dinámicos únicamente estará disponible para el
Sistema virtual seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la casilla de verificación, la lista de bloqueos dinámicos
únicamente estará disponible para el Grupo de dispositivos
seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la lista de bloqueos
dinámicos en grupos de dispositivos descendientes cancelando
sus valores heredados. La casilla de verificación no está
seleccionada de manera predeterminada, lo que significa que la
cancelación está habilitada.

Descripción

Introduzca una descripción de la lista de bloqueos dinámicos
(hasta 255 caracteres).

Origen

Introduzca una ruta URL HTTP o HTTPS que contenga el archivo
de texto. Por ejemplo, http://1.1.1.1/miarchivo.txt.

Repetir

Especifique la frecuencia en la que la lista se debe importar.
Puede elegir cada hora, día, semana o mes. En el intervalo
especificado, la lista se importará a la configuración. No es
necesario realizar una compilación completa para que este tipo
de actualización tenga lugar.

Probar URL de origen
(solamente cortafuegos)

Comprueba que la URL de origen o la ruta del servidor está
disponible. Este botón solamente está disponible en la interfaz
web del cortafuegos, no en Panorama.

324 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Firmas personalizadas de spyware y vulnerabilidades
Esta sección describe las opciones disponibles para crear firmas personalizadas de spyware y
vulnerabilidades que se pueden utilizar para crear perfiles personalizados de vulnerabilidades.
Objetos > Objetos personalizados > Patrones de datos
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
Objetos > Objetos personalizados > Categoría de URL

Definición de patrones de datos
Objetos > Objetos personalizados > Patrones de datos
Utilice la página Patrones de datos para definir las categorías de información confidencial que desea
someter al filtrado mediante políticas de seguridad de filtrado de datos. Para obtener instrucciones sobre
cómo definir perfiles de filtrado de datos, consulte “Perfiles de filtrado de datos”.
La siguiente tabla describe la configuración de patrones de datos:

Tabla 165. Configuración de patrones de datos
Campo

Descripción

Nombre

Introduzca el nombre de patrón de datos (de hasta 31 caracteres).
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Descripción

Introduzca una descripción del patrón de datos (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que el patrón de datos esté
disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, el patrón de datos
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el patrón de datos únicamente estará disponible
para el Grupo de dispositivos seleccionado en la pestaña Objetos.

Deshabilitar anulación
(solamente Panorama)

Palo Alto Networks

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del patrón de datos en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Guía de referencia de interfaz web, versión 7.0 • 325

Otros objetos de las políticas

Tabla 165. Configuración de patrones de datos (Continuación)
Campo

Descripción

Peso

Introduzca el peso de los tipos de patrones especificados de forma
predeterminada. El peso es un número entre 1 y 255. Los umbrales de
alerta y bloqueo especificados en el perfil de filtrado de datos son una
función de este peso.
• CC#: Especifique un peso para el campo de tarjeta de crédito (intervalo
0-255).
• SSN#: Especifique un peso para el campo del número de la seguridad
social, donde el campo incluye guiones, como 123-45-6789 (intervalo
0-255, 255 es el peso máximo).
• SSN# (sin guión): Especifique un peso para el campo del número de la
seguridad social, donde la entrada se realiza sin guiones, como
123456789 (intervalo 0-255, 255 es el peso máximo).

Patrones personalizados

Los patrones predefinidos incluyen el número de la tarjeta de crédito y el
de la seguridad social (con y sin guiones).
Haga clic en Añadir para agregar un patrón nuevo. Especifique un
nombre para el patrón, introduzca la expresión regular que define el
patrón e introduzca un valor de peso para asignarlo al patrón. Añada los
patrones que sean necesarios.

Definición de firmas de spyware y vulnerabilidad
Objetos > Objetos personalizados > Spyware
Objetos > Objetos personalizados > Vulnerabilidad
El cortafuegos permite crear firmas de spyware y vulnerabilidades con el motor de amenazas del
cortafuegos. Puede escribir patrones de expresiones regulares para identificar comunicaciones de llamada
a casa de spyware o intentos de explotar las vulnerabilidades. Los patrones de spyware y vulnerabilidades
resultantes están disponibles para su uso en cualquier perfil de vulnerabilidad personalizado.
El cortafuegos busca los patrones definidos de forma personalizada en el tráfico de la red y toma las
medidas especificadas para la explotación de la vulnerabilidad.
Las publicaciones semanales de contenido incluyen periódicamente nuevos
descodificadores y contextos para los que puede desarrollar firmas.
También puede incluir un atributo temporal cuando defina firmas personalizadas especificando un
umbral por intervalo para activar posibles acciones en respuesta a un ataque. Las acciones solo se activan
una vez alcanzado el umbral.
Utilice la página Firma de spyware personalizada para definir firmas de perfiles de antispyware. Utilice la
página Firma de vulnerabilidad personalizada para definir firmas de perfiles de protección de
vulnerabilidades.

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware
Campo

Descripción

Pestaña Configuración
ID de amenaza

Introduzca un identificador numérico para la configuración. En el caso
de firmas de spyware, el intervalo es 15000-18000; para firmas de
vulnerabilidades, el intervalo es 41000-45000.

Nombre

Especifique el nombre de la amenaza.

326 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Compartido

Seleccione esta casilla de verificación si quiere que la firma
personalizada esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples.
Si cancela la selección de la casilla de verificación, la firma
personalizada únicamente estará disponible para el Sistema virtual
seleccionado en la pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la firma personalizada únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la firma en grupos de
dispositivos descendientes cancelando sus valores heredados.
La casilla de verificación no está seleccionada de manera
predeterminada, lo que significa que la cancelación está habilitada.

Comentarios

Introduzca un comentario opcional.

Gravedad

Asigne un nivel que indique la gravedad de la amenaza.

Acción predeterminada

Asigne la acción predefinida que se activará si se cumplen las
condiciones de la amenaza. Para ver una lista de las acciones, consulte
“Acciones en perfiles de seguridad”.

Dirección

Indique si la amenaza se evaluará desde el cliente al servidor, desde el
servidor al cliente, o ambos.

Sistema afectado

Indique indicar si la amenaza afecta al cliente, servidor, a uno de ellos
o a ambos. Se aplica a las firmas de vulnerabilidades, pero no a las
firmas de spyware.

CVE

Especifique las vulnerabilidades y exposiciones comunes (CVE) como
una referencia externa de información y análisis adicional.

Proveedor

Especifique el identificador del proveedor de la vulnerabilidad como
una referencia externa de información y análisis adicional.

Bugtraq

Especifique la bugtraq (similar a CVE) como una referencia externa de
información y análisis adicional.

Referencia

Añada vínculos a la información o al análisis. La información se
muestra cuando un usuario hace clic en la amenaza desde ACC, logs o
el perfil de vulnerabilidad.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 327

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción

Pestaña Firmas
Firma estándar

Seleccione el botón de opción Estándar y haga clic en Añadir para
añadir una firma nueva. Especifique la siguiente información:
• Estándar: Introduzca un nombre para identificar la firma.
• Comentarios: Introduzca una descripción opcional.
• Importa el orden de las condiciones: Seleccione si el orden en que se
definen las condiciones de la firma es importante.
• Ámbito: Seleccione si desea aplicar esta firma a la transacción actual
únicamente o a la sesión completa del usuario.
Añada una condición haciendo clic en Añadir condición OR o Añadir
condición AND. Para añadir una condición en un grupo, seleccione el
grupo y haga clic en Añadir condición. Añada una condición a una
firma para que la firma se genere para el tráfico cuando los parámetros
que defina para la condición sean verdaderos. Seleccione un Operador
de la lista desplegable. El operador define el tipo de condición que
debe ser verdadera para que la firma personalizada coincida con el
tráfico. Seleccione un operador de entre Inferior a, Igual que, Mayor
que y Coincidencia de patrones.
• Cuando seleccione un operador Coincidencia de patrones,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione uno de los contextos disponibles.
– Patrón: Especifique una expresión regular. Consulte Tabla 163
para ver reglas de patrones de expresiones regulares.
– Calificador y Valor: Puede añadir pares de calificador/valor.
– Negar: Seleccione la casilla de verificación Negar para que la firma
personalizada coincida con el tráfico únicamente cuando la
condición Coincidencia de patrones definida no sea verdadera.
Esto le permite garantizar que la firma personalizada no se active
en ciertas circunstancia.
Nota: Una firma personalizada no se puede crear únicamente con
condiciones Negar; se debe incluir al menos una condición positiva para
poder especificar una condición Negar. Asimismo, si el ámbito de la firma
se establece como Sesión, no se podrá configurar una condición Negar
como la última condición que debe coincidir con el tráfico.
Ahora podrá definir excepciones para firmas de vulnerabilidades o
spyware personalizadas utilizando la nueva opción para negar la
generación de firmas cuando el tráfico coincida tanto con una firma
como con la excepción de la firma. Utilice esta opción para permitir
determinado tráfico en su red que de otro modo se clasificaría como
spyware o una explotación de la vulnerabilidad. En este caso, la firma
se ha generado para el tráfico que coincide con el patrón; el tráfico que
coincide con el patrón pero que también coincide con la excepción del
patrón se excluye de la generación de firmas y cualquier acción de
política asociada (como su bloqueo o denegación). Por ejemplo, puede
definir una firma para que se genere para URL redirigidas; sin
embargo, ahora también puede crear una excepción cuando la firma no
se genere para URL que redirijan a un dominio de confianza.

328 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Tabla 166. Firmas personalizadas - Vulnerabilidades y spyware (Continuación)
Campo

Descripción
• Cuando seleccione un operador Igual que, Inferior a o Mayor que,
especifique que lo siguiente sea verdadero para que la firma coincida
con el tráfico:
– Contexto: Seleccione entre solicitudes desconocidas y respuestas
de TCP o UDP.
– Posición: Seleccione los primeros cuatro bytes o los segundos
cuatro en la carga.
– Máscara: Especifique un valor hexadecimal de 4 bytes, por
ejemplo, 0xffffff00.
– Valor: Especifique un valor hexadecimal de 4 bytes, por ejemplo,
0xaabbccdd.

Firma de combinación

Seleccione el botón de opción Combinación. En el área por encima de
las pestañas secundarias, especifique la siguiente información:
En la pestaña secundaria Firmas de combinación, especifique las
condiciones que definirán las firmas:
• Añada una condición haciendo clic en Añadir condición AND o
Añadir condición OR. Para añadir una condición en un grupo,
seleccione el grupo y haga clic en Añadir condición.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.
En la pestaña secundaria Atributo de fecha y hora, especifique la
siguiente información:
• Número de resultados: Especifique el umbral que activará una
acción basada en una política como un número de resultados (1-1000)
en un número especificado de segundos (1-3600)
• Criterios de agregación: Especifique si los resultados los supervisará
la dirección IP de origen, la dirección IP de destino o una
combinación de las direcciones IP de origen y destino.
• Para mover una condición en un grupo, seleccione la condición y
haga clic en el flecha Mover hacia arriba o Mover hacia abajo. Para
mover un grupo, seleccione el grupo y haga clic en el flecha Mover
hacia arriba o Mover hacia abajo. No puede mover condiciones de
un grupo a otro.

Categorías de URL personalizadas
Objetos > Objetos personalizados > Categoría de URL
La función de categorías URL personalizadas permite crear sus propias listas de URL que puede
seleccionar en cualquier perfil de filtrado de URL. Cada una de las categorías se puede controlar de forma
independiente y tendrá una acción asociada en cada perfil de filtrado URL (permitir, bloquear, continuar,
cancelar, alertar o ninguno). La acción ninguno solo se aplica a las categorías de URL personalizadas.
El objetivo de seleccionar la opción ninguno es garantizar que si existen varios perfiles de URL, la categoría
personalizada no influirá en otros perfiles. Por ejemplo, si tiene dos perfiles URL y la categoría URL
personalizada se establece para bloquear en uno de los perfiles, el otro perfil debería tener la acción
establecida en ninguno si no quiere que se aplique.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 329

Otros objetos de las políticas

Las entradas URL se pueden agregar individualmente o puede importar una lista de URL. Para ello, cree
un archivo de texto con las URL que se incluirán, con una URL por línea. Cada URL puede tener el
formato “www.ejemplo.com” y puede contener * como comodín, como en “*.ejemplo.com”. Para obtener
información adicional sobre comodines, consulte la descripción del campo Lista de bloqueadas en la tabla
“Configuración de perfil de filtrado de URL”.
Las entradas URL añadidas a las categorías personalizadas no distinguen entre
mayúsculas y minúsculas. De igual forma, para eliminar una categoría
personalizada después de que se haya añadido a un perfil de URL y de que se haya
establecido una acción, la acción debe estar establecida en Ninguno para poder
eliminar la categoría personalizada.
Para obtener instrucciones sobre cómo configurar perfiles de filtrado URL, consulte “Perfiles de filtrado
de URL”.
La siguiente tabla describe la configuración de URL personalizada:

Tabla 167. Categorías de URL personalizadas
Campo

Descripción

Nombre

Introduzca un nombre para identificar la categoría de URL personalizada
(de hasta 31 caracteres). Este nombre aparece en la lista de categorías
cuando se definen políticas de seguridad. El nombre hace distinción
entre mayúsculas y minúsculas y debe ser exclusivo. Utilice únicamente
letras, números, espacios, guiones y guiones bajos.

Descripción

Introduzca una descripción de la categoría URL (hasta 255 caracteres).

Compartido

Seleccione esta casilla de verificación si quiere que la categoría de URL
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, la categoría de URL
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, la categoría de URL únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales de la categoría de URL en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Sitios

En el área Sitios, haga clic en Añadir para introducir una URL o haga clic
en Importar y navegue para seleccionar el archivo de texto que contiene
la lista de URL.

330 • Guía de referencia de interfaz web, versión 7.0

Palo Alto Networks

Otros objetos de las políticas

Grupos de perfiles de seguridad
Objetos > Grupos de perfiles de seguridad
El cortafuegos permite crear grupos de perfiles de seguridad, que especifican los grupos que se pueden
tratar como una unidad y añadirse posteriormente a las políticas de seguridad. Por ejemplo, puede crear
un grupo de perfil de seguridad “amenazas” que incluya perfiles de antivirus, antispyware y protección
contra vulnerabilidades y, a continuación, crear una política de seguridad que incluya el perfil
“amenazas”.
Los perfiles de antivirus, antispyware, protección de vulnerabilidades, filtrado URL y bloqueo de archivos
que se suelen asignar juntos pueden combinarse en grupos de perfiles para simplificar la creación de las
políticas de seguridad.
Para definir nuevos perfiles de seguridad, consulte “Definición de políticas de seguridad”.
La siguiente tabla describe la configuración de perfil de seguridad:

Tabla 168. Configuración de grupos de perfiles de seguridad
Campo

Descripción

Nombre

Introduzca el nombre del grupo (de hasta 31 caracteres). Este nombre
aparece en la lista de perfiles cuando se definen políticas de seguridad.
El nombre hace distinción entre mayúsculas y minúsculas y debe ser
exclusivo. Utilice únicamente letras, números, espacios, guiones y
guiones bajos.

Compartido

Seleccione esta casilla de verificación si quiere que el grupo de perfiles
esté disponible para:
• Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. Si
cancela la selección de la casilla de verificación, el grupo de perfiles
únicamente estará disponible para el Sistema virtual seleccionado en la
pestaña Objetos.
• Cada grupo de dispositivos en Panorama. Si cancela la selección de la
casilla de verificación, el grupo de perfiles únicamente estará
disponible para el Grupo de dispositivos seleccionado en la pestaña
Objetos.

Deshabilitar anulación
(solamente Panorama)

Seleccione la casilla de verificación si desea impedir que los
administradores creen copias locales del grupo de perfiles en grupos de
dispositivos descendientes cancelando sus valores heredados. La casilla
de verificación no está seleccionada de manera predeterminada, lo que
significa que la cancelación está habilitada.

Perfiles

Seleccione un perfil de antivirus, antispyware, protección de
vulnerabilidades, filtrado URL y/o bloqueo de archivos que se incluirá
en este grupo. Los perfiles de filtrado de datos también se pueden
especificar en grupos de perfiles de seguridad. Consulte “Perfiles de
filtrado de datos”.

Palo Alto Networks

Guía de referencia de interfaz web, versión 7.0 • 331

mientras que los logs de amenazas registran las amenazas o problemas con el tráfico de la red. antispyware y protección de vulnerabilidades asociados a cada regla determinan las amenazas que se registran (de forma local o remota). Si desea más información sobre cómo configurar esta interfaz. Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. Solamente tiene que configurar el puerto de datos en uno de los NPC de la serie PA-7000 como tipo de interfaz Tarjeta de log y comprobar que la red que se va a usar puede establecer contacto con sus servidores de logs. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. Esto también se aplica al reenvío a WildFire. Este nombre aparece en la lista de perfiles de reenvío de logs cuando se definen políticas de seguridad. Para reenvío de WildFire. Para aplicar los perfiles de log a políticas de seguridad.0 Palo Alto Networks . se usará este puerto automáticamente para el reenvío de logs y de WildFire y no hará falta ninguna configuración especial para ello. • Cada grupo de dispositivos en Panorama. consulte “Configuración de una interfaz de tarjeta de log”. versión 7. Tenga en cuenta que los perfiles de antivirus. espacios. se debe configurar un tipo de interfaz especial (Tarjeta de log) antes de que el cortafuegos reenvíe los siguientes tipos de logs: Syslog. Si cancela la selección de la casilla de verificación. Una vez configurado el puerto. En un cortafuegos de la serie PA-7000. correo electrónico y SNMP. mensajes de Syslog o notificaciones por correo electrónico. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. consulte “Definición de políticas de seguridad”. y/o se envían como traps SNMP. Si cancela la selección de la casilla de verificación. Los log de tráfico registran información sobre cada flujo de tráfico. La casilla de verificación no está seleccionada de manera predeterminada. la red necesitará comunicarse con la nube WildFire o dispositivo WildFire. 332 • Guía de referencia de interfaz web. como la detección de virus o spyware. De forma predefinida. números. Utilice únicamente letras. guiones y guiones bajos. lo que significa que la cancelación está habilitada. La siguiente tabla describe la configuración de reenvío de logs: Tabla 169.Otros objetos de las políticas Reenvío de logs Objetos > Reenvío de logs Cada política de seguridad puede especificar un perfil de reenvío de log que determine si las entradas de log de tráfico y amenazas se registran de forma remota con Panorama. Configuración de perfiles de reenvío de logs Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres). solo se realizan logs locales. El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo.

Otros objetos de las políticas Tabla 169. Un perfil de descifrado predeterminado se configura en el cortafuegos y se incluye automáticamente en las nuevas políticas de descifrado (no puede modificar el perfil de descifrado predeterminado). • Informativo: El resto de eventos no incluidos en los niveles de seguridad anteriores. • Medio: Ataques leves detectados por el motor de seguridad de amenazas. Trap SNMP Correo electrónico Syslog En cada nivel de gravedad. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas del log de amenazas. incluyendo búsquedas de objeto de ataques informativos. • “Configuración de ajustes de notificaciones por correo electrónico” • “Configuración de servidores Syslog” Configuración del log de amenazas Panorama Haga clic en la casilla de verificación de cada nivel de seguridad de las entradas del log de amenazas que se enviarán a Panorama. Configuración de perfiles de reenvío de logs (Continuación) Campo Descripción Configuración de tráfico Panorama Seleccione la casilla de verificación para habilitar el envío de entradas del log de tráfico al sistema de gestión centralizado de Panorama. consulte “Gestión de entidades de certificación de confianza predeterminadas”. • Bajo: Ataques de advertencias detectados por el motor de seguridad de amenazas. Para obtener más información. Para definir la dirección del servidor de Panorama. consulte: • “Configuración de destinos de traps SNMP”. inspección entrante SSL y tráfico SSH. • Alto: Ataques graves detectados por el motor de seguridad de amenazas. incluyendo el bloqueo de URL. Después de crear un perfil de descripción. Palo Alto Networks Guía de referencia de interfaz web. consulte “Definición de la configuración de gestión”. Los niveles de gravedad son los siguientes: • Crítico: Ataques muy graves detectados por el motor de seguridad de amenazas. Para definir nuevos destinos. Syslog y/o correo electrónico que especifican destinos adicionales a los que se envían las entradas de tráfico. Haga clic en Añadir para crear un nuevo perfil de descifrado. o seleccione un perfil existente para duplicarlo mediante Duplicar o modificarlo. podrá añadir dicho perfil a una política de descifrado. versión 7. Perfiles de descifrado Objetos > Perfil de descifrado Los perfiles de descifrado permiten bloquear y controlar diferentes aspectos del proxy SSL de reenvío. También puede controlar las CA de confianza de su dispositivo. cualquier tráfico que coincida con la política de descifrado se aplicará de acuerdo con los ajustes de perfil. seleccione los ajustes de SNMP.0 • 333 . Trap SNMP Correo electrónico Syslog Seleccione los ajustes de SNMP.

Esta opción es de utilidad si está reenviando el tráfico descifrado a otros dispositivos de detección de amenazas. números. el perfil únicamente estará disponible para el Sistema virtual seleccionado en la pestaña Objetos. espacios. Este nombre aparece en la lista de perfiles de descifrado cuando se definen políticas de descifrado.Otros objetos de las políticas Las siguientes secciones ofrecen descripciones de ajustes que suelen aplicarse al tráfico que coincide con una política de descifrado. debe obtener una licencia de reflejo del puerto de descifrado. Para obtener información detallada sobre ajustes de perfiles adicionales de Descifrado SSL. PA-5000 y PA-7000) Pestañas Descifrado SSL. solamente se reflejará el tráfico reenviado a través del cortafuegos. lo que le permitirá reproducir eventos y analizar el tráfico que genere una amenaza o active una acción de descarte. tráfico SSH descifrado y tráfico que coincida con una política de no descifrado (excepciones de descifrado): • • • • “Configuración general de perfiles de descifrado” “Ajustes de descifrado SSL en un perfil de descifrado” “Ajustes de ausencia de descifrado en un perfil de descifrado” “Ajustes de proxy SSH en un perfil de descifrado” Antes de poder habilitar el reflejo del puerto de descifrado. Compartido Seleccione esta casilla de verificación si quiere que el perfil esté disponible para: • Cada sistema virtual (vsys) de un cortafuegos de vsys múltiples. lo que significa que la cancelación está habilitada. versión 7. así como información detallada sobre ajustes que pueden aplicarse específicamente a tráfico SSL descifrado. Utilice únicamente letras. consulte: • “Configuración de la pestaña Descifrado SSL” • “Configuración de la pestaña No hay descifrado” • “Configuración de la pestaña Proxy SSH” 334 • Guía de referencia de interfaz web. el cortafuegos reflejará todo el tráfico descifrado en la interfaz antes de la búsqueda de políticas de seguridad. el perfil únicamente estará disponible para el Grupo de dispositivos seleccionado en la pestaña Objetos. No hay descifrado y Proxy SSH Seleccione la casilla de verificación Reenviado solo si desea reflejar el tráfico descifrado solamente después de la aplicación de la política de seguridad. Con esta opción. (únicamente cortafuegos de las series PA-3000. Si cancela la selección de la casilla de verificación (el ajuste predeterminado). El nombre hace distinción entre mayúsculas y minúsculas y debe ser exclusivo. PA-5000 y PA-7000) Reenviado solo (únicamente cortafuegos de las series PA-3000. instalar la licencia y reiniciar el cortafuegos. Si cancela la selección de la casilla de verificación. como un dispositivo de DLP u otro sistema de prevención de intrusiones (IPS). Deshabilitar anulación (solamente Panorama) Seleccione la casilla de verificación si desea impedir que los administradores creen copias locales del perfil en grupos de dispositivos descendientes cancelando sus valores heredados. guiones y guiones bajos. Interfaz de reflejo de descifrado Seleccione una Interfaz que debe utilizarse para el reflejo del puerto de descifrado. No hay descifrado y Proxy SSH. • Cada grupo de dispositivos en Panorama. Tabla 170. La casilla de verificación no está seleccionada de manera predeterminada. Si cancela la selección de la casilla de verificación. Configuración general de perfiles de descifrado Campo Descripción Nombre Introduzca un nombre de perfil (de hasta 31 caracteres).0 Palo Alto Networks .

PAN-OS admite SSLv3. generando un certificado de reenvío fiable (o no fiable.0 • 335 . El estado de revocación de certificado indica si se ha revocado o no la fiabilidad del certificado. se presenta al cliente. Validación de certificado de servidor Seleccione las opciones para controlar certificados de servidor para el tráfico SSL descifrado. Seleccione las opciones para limitar o bloquear el tráfico SSL descifrado mediante Proxy SSL de reenvío. Bloquear sesiones con conjuntos de cifras no compatibles Finalice la sesión si el conjunto de cifrado especificado en el protocolo de enlace SSL si no es compatible con PAN-OS. Bloquear sesiones con estado de certificado desconocido Finalice la sesión SSL si un servidor devuelve un estado de revocación de certificado “Desconocido”. incluidos el estado del certificado del servidor externo. si el certificado del servidor original no está firmado por un CA de confianza) para el servidor externo que. El cortafuegos se establece como agente externo de confianza en la sesión. De esta forma se evita que un usuario acepte un certificado caducado y continúe con una sesión SSL. Bloquear sesiones con versión no compatible Finalice las sesiones si PAN-OS no admite el mensaje de bienvenida del cliente. a continuación. Restringir extensiones de certificado Limita las extensiones de certificados utilizados en el certificado de servidor dinámico al uso de claves y claves extendidas.Otros objetos de las políticas Ajustes de descifrado SSL en un perfil de descifrado La tabla siguiente describe los ajustes que puede utilizar para controlar el tráfico SSL que se ha descifrado mediante descifrado del proxy SSL de reenvío o inspección entrante SSL. Bloquear sesiones al agotar el tiempo de espera de comprobación de estado de certificado Finalice la sesión SSL si el estado del certificado no se puede recuperar en la cantidad de tiempo que el cortafuegos tiene configurado antes de dejar de esperar una respuesta de un servicio de estado de certificado. Bloquear sesiones con certificados caducados Finalice la conexión SSL si el certificado del servidor está caducado.0. Configuración de la pestaña Descifrado SSL Campo Pestaña secundaria Proxy SSL de reenvío Descripción Con el descifrado del proxy SSL de reenvío. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles para procesar el descifrado. versión 7. TLS1. Comprobaciones de modo no admitidas Seleccione las opciones para controlar aplicaciones SSL no compatibles. Puede utilizar estos ajustes para limitar o bloquear sesiones SSL en función de los criterios. Bloquear sesiones si no hay recursos disponibles Finalice las sesiones si los recursos del sistema no están disponibles para procesar el descifrado. Bloquear sesiones con emisores no fiables Finalice la sesión SSL si el emisor del certificado del servidor no es fiable. el uso de conjuntos de cifras o versiones de protocolos no compatibles o la disponibilidad de los recursos del sistema para procesar el descifrado. Palo Alto Networks Guía de referencia de interfaz web. el cortafuegos funciona como proxy para una sesión entre un cliente interno y un servidor externo. Puede configurar el valor de Tiempo de espera del estado del certificado al crear o modificar un perfil de certificado (Dispositivo > Gestión de certificados > Perfil del certificado). TLS1. Bloquear sesiones con autenticación de cliente Finalice las sesiones con autenticación de cliente para el tráfico de proxy de reenvío SSL.1 y TLS1. Tabla 171.2.

TLS1. versión 7. Algoritmos de cifrado Aplique el uso de los algoritmos de cifrado seleccionados para la sesión SSL. En su lugar. en este caso. utilice las casillas de verificación para bloquear esas sesiones. Esto permite que el cortafuegos acceda a la sesión SSL entre el servidor de destino y el cliente de manera transparente. Pestaña secundaria Configuración de protocolo SSL Seleccione los ajustes siguientes para aplicar versiones de protocolo y conjuntos de cifras al tráfico de la sesión SSL. Puede seleccionar la opción máxima para que no se especifique ninguna versión máxima. Comprobaciones de fallos Seleccione la acción que se adoptará si los recursos del sistema no están disponibles. Versión máx. Bloquear sesiones si HSM no está disponible Finalizar sesiones si no hay un módulo de seguridad de hardware (HSM) disponible para descifrar la clave d